Шифрование дисков BitLocker


BitLocker может шифровать жесткие диски ПК и внешние USB-накопители

Система шифрования дисков BitLocker появилась в Windows Vista. Благодаря BitLocker похитители, использующие другую операционную систему или запускающие вредоносные программные средства, не смогут взломать защиту файлов и системы Windows или просмотреть в автономном режиме файлы, хранящиеся на защищенном диске.

BitLocker обладает следующими возможностями:

· Защита данных путем предотвращения взлома неавторизованными пользователями защиты системы и файлов Windows на потерянных, украденных или неправильно списанных компьютерах. Защита распространяется на том с операционной системой и на тома с данными.

· Проверка целостности загружаемых компонентов гарантирует отсутствие внешнего вмешательства в систему и позволяет убедиться, что зашифрованный диск находится в исходном компьютере.

· Защита от атак на основе "холодной" перезагрузки: пользователь должен ввести ПИН-код или вставить USB-накопитель с ключом, чтобы компьютер был загружен или возобновил работу после режима гибернации.

· Интеграция в доменные службы Active Directory для удаленного управления ключами восстановления, чтобы иметь возможность восстановить данные, если пользователь забудет ПИН-код или утратит ключ, хранящийся на USB-накопителе.

· Простой, эффективный процесс аппаратного восстановления, поддерживающий перемещение защищенного жесткого диска с томом операционной системы на другой компьютер и замену системной платы.

В Windows 7 для защиты от постоянной опасности утечки данных, а также для обеспечения управляемости и обновлений развертывания используется шифрование дисков BitLocker и новая функция BitLocker To Go. Новый компонент предназначен для защиты данных на переносных накопителях (флэш-накопители USB, переносные жесткие диски USB и т. п.); только авторизованные пользователи смогут прочесть данные, даже если накопитель утерян, украден или используется без разрешения. BitLocker To Go обеспечивает защиту данных, поддерживая существующую технологию BitLocker на съемных накопителях. За счет поддержки в BitLocker томов с файловой системой FAT поддерживается более широкий набор устройств и накопителей, включая флэш-накопители USB и переносные жесткие диски. Таким образом, система BitLocker стала более универсальной.

BitLocker To Go позволяет обеспечивать доступ к защищенным файлам для пользователей Windows Vista и Windows XP с помощью программы "BitLocker To Go Reader". Эта программа записывается на каждый том, защищенный при помощи BitLocker To Go, и автоматически запускается при подключении устройства, защищенного при помощи BitLocker To Go, в клиентский ПК под управлением Windows. Программа BitLocker To Go Reader обеспечивает простой доступ только для чтения к файлам, хранящимся на переносном накопителе, и позволяет пользователям перетаскивать файлы из этой программы на рабочий стол. При этом пользователь должен ввести нужный пароль (или предоставить учетные данные смарт-карты) для доступа к защищенному устройству. Поскольку механизм защиты данных BitLocker применяется не к отдельным файлам, а к устройствам, файлы на компьютере назначения не будут зашифрованы, если на этом компьютере не используется какая-либо еще технология шифрования. Вследствие этого в Windows Vista необходимо включить Windows BitLocker, чтобы убедиться в том, что и на компьютере назначения данные будут зашифрованы. В Windows XP пользователи могут перетащить файл в папку, защищенную файловой системой EFS, чтобы файл остался зашифрованным.

В Windows 7 работа с BitLocker была сделана более удобной и для ИТ-специалистов, и для конечных пользователей. Есть самые разные улучшения. Например, теперь для включения защиты BitLocker можно щелкнуть нужный диск правой кнопкой мыши; скрытый загрузочный раздел создается автоматически; для ИТ-специалистов предусмотрены новые параметры управляемости, в том числе и параметры групповой политики, а также новые способы доступа к данным и их восстановления. Для всех защищенных томов поддерживается агент восстановления данных (DRA). Это новшество было внедрено по просьбам пользователей. С помощью DRA ИТ-отделы могут обеспечить принудительное шифрование всех томов, защищенных системой BitLocker (ОС, фиксированные и съемные диски) с соответствующим агентом DRA. DRA - это новый механизм защиты ключа, записывающийся в каждый том данных с тем, чтобы авторизованные ИТ-администраторы всегда имели доступ к томам, защищенным при помощи BitLocker.

С помощью BitLocker To Go администраторы могут управлять использованием съемных накопителей и требуемым уровнем защиты. Например, администраторы могут принудительно включить защиту данных для всех устройств, на которые пользователи хотят записывать данные, при этом можно разрешить использовать незащищенные устройства в режиме только для чтения. Можно использовать политики, при которых пользователь должен ввести нужный пароль (или предоставить учетные данные смарт-карты) для доступа к защищенному устройству. Для управления этими и другими параметрами используется групповая политика.
Посмотреть: нажмите кнопку "Пуск" и введите "BitLocker".


Ограничение выполняемых программ AppLocker
Для запуска AppLocker достаточно открыть локальную политику безопасности в Консоли управления (MMC)

AppLocker - это политика управления приложениями, предоставляющая ИТ-отделам возможность контролировать программы, которые могут быть запущены на настольных ПК в организации. AppLocker обеспечивает не только защиту, но и соответствие правилам и политикам использования программ в организации за счет поддержки следующих функций.

· Запрет запуска на компьютере нелицензионного ПО

· Запрет запуска на компьютере уязвимых и неразрешенных программ, в том числе вредоносных программ

· Запрет запуска пользователями приложений, расходующих без необходимости сетевой трафик или иным образом отрицательно влияющих на корпоративную ИТ-среду

· Запрет запуска пользователями приложений, нарушающих стабильность работы компьютера и приводящих к увеличению затрат на поддержку

· Упрощение развертывания ПО и поддержки в организациях за счет управления конфигурацией настольных ПК

· Предоставление пользователям возможности установки и запуска утвержденных приложений и обновлений на основе необходимости для бизнеса

· Обеспечение соответствия ИТ-среды настольных компьютеров корпоративной политике и отраслевым нормам, таким как PCI DSS, закон Сарбейнса - Оксли, HIPAA, Basel II и пр.

Политики ограниченного использования программ в Windows XP и Windows Vista стали одним из первых на рынке решений по управлению приложениями. Политики ограниченного использования программ давали ИТ-администраторам достаточно грубый механизм для создания и принудительного применения политик управления приложениями. Однако политики ограниченного использования программ работали недостаточно хорошо в среде с динамическими рабочими столами, где приложения постоянно устанавливаются и обновляются, поскольку в этих политиках использовались правила на основе хэша. При использовании хэша необходимо создавать новое правило всякий раз, когда нужно обновить приложение.

В Windows 7 политики блокировки приложений работают иначе за счет новых возможностей AppLocker. AppLocker предоставляет администраторам гибкий механизм для указания точного списка разрешенных программ и позволяет пользователям запускать приложения, программы установки и сценарии, явным образом разрешенные администраторами. В результате ИТ-отделы могут добиться стандартизации приложений во всей организации с минимальными затратами.

В AppLocker предусмотрена простая и мощная структура с тремя типами правил: разрешение, запрет и исключение. Разрешающие правила допускают запуск только тех приложений, которые указаны в списке разрешенных, и запрещают запуск всех остальных приложений. Запрещающие правила работают наоборот: они разрешают запуск всех приложений, кроме тех, которые указаны в списке запрещенных. Во многих организациях используются сочетания разрешающих и запрещающих правил, однако в идеале следует использовать разрешающие правила с исключениями. Правила исключений позволяют исключать определенные файлы из области действия разрешающих или запрещающих правил. С помощью исключений можно создавать правила типа "разрешать запуск всех приложений, встроенных в операционную систему Windows, кроме игр". Подход с использованием разрешающих правил и исключений является удобным способом создавать список разрешенных приложений без необходимости создавать слишком много сложных правил.

В AppLocker появились правила издателей, основанные на цифровой подписи приложений. Правила издателей дают возможность создавать правила, работающие и после обновления приложений, так как есть возможность указывать такие атрибуты как версию приложения. Например, в организации можно создать правило типа "разрешить запуск всех версий программы Adobe Reader, более новых, чем версия 9.0, если программа подписана издателем - компанией Adobe". Если компания Adobe обновит Acrobat, можно безопасно распространять обновление приложения, не создавая еще одного правила для новой версии.

В AppLocker поддерживаются различные независимо настраиваемые политики: исполняемые файлы, программы установки, сценарии и DLL-библиотеки. Благодаря поддержке нескольких политик можно создавать правила, учитывающие не только исполняемые файлы. Это повышает гибкость и надежность защиты. Например, в организации можно создать правило типа "разрешить отделу обработки графики получать обновления для Photoshop непосредственно с сайта Adobe, если используется Adobe Photoshop версии 14".* При этом ИТ-отдел полностью контролирует ситуацию, но пользователи имеют возможность обновлять свои системы, если это требуется для бизнеса. Кроме того, каждую из политик можно по отдельности перевести в режим аудита, чтобы протестировать правила перед их применением, так как неверная настройка правил может затруднить работу пользователей.

Правила AppLocker можно связать с определенным пользователем или с группой пользователей в организации. Это обеспечивает необходимую точность управления для поддержки нормативных требований, поскольку так можно указать, какие пользователи могут запускать те или иные приложения. Например, можно создать правило типа "разрешить пользователям финансового отдела запускать финансовые бизнес-приложения". При этом все пользователи, не относящиеся к финансовому отделу (в том числе и администраторы), не смогут запускать финансовые приложения, а доступ будет предоставлен только тем пользователям, кому такие приложения необходимы для работы.

Применение AppLocker весьма просто благодаря новым средствам создания правил и мастерам. Пошаговый подход со встроенной справкой, создание новых правил, автоматическое создание правил, экспорт и импорт правил интуитивно понятны, поэтому создавать и поддерживать правила чрезвычайно удобно. Например, ИТ-администраторы могут автоматически создавать правила с помощью тестового эталонного компьютера, а затем импортировать эти правила в рабочую среду для широкого распространения. Кроме того, ИТ-администраторы могут экспортировать политики, чтобы создавать копии рабочей конфигурации или документацию для обеспечения соответствия нормативам.

Посмотреть: нажмите кнопку "Пуск", введите "secpol" и нажмите <Enter>; в открывшемся окне консоли управления выберите пункт "AppLocker" в меню "Политики управления приложениями"


Контроль учетных записей пользователей



В Windows 7 можно настраивать количество запросов контроля учетных записей пользователей

До внедрения контроля учетных записей большинство частных и корпоративных пользователей Windows работали с правами администраторов, а это означало, что поставщики программ могли непреднамеренно создавать приложения, работающие только при наличии у пользователя прав администратора. Программы, запущенные с правами администратора, могут изменять любые данные пользователей и системы Windows, в том числе отключать антивирусы и другие меры безопасности. Контроль учетных записей пользователей впервые появился в Windows Vista. Это набор технологий, который позволяет устаревшим приложениям работать с правами обычных пользователей, а также помогает поставщикам программ приспосабливать свои программы так, чтобы они работали с правами обычных пользователей. Благодаря этому повышается безопасность систем в целом, так как пользователи могут работать с правами обычных пользователей, а не с правами администраторов.

При внедрении контроля учетных записей была в значительной степени переработана платформа Windows с тем, чтобы часто используемые действия, такие как смена часового пояса, можно было осуществлять с правами обычного пользователя, с виртуализацией файлов и реестра, с пакетами совместимости приложений и с запросами о расширении прав. Виртуализация файлов и реестра помогает приложениям, без необходимости изменяющим реестр и системные папки в файловой системе, работать без прав администраторов. Пакеты совместимости приложений дают возможность приложениям, выполняющим административные действия, такие как проверка членства пользователя в группе администраторов, работать с правами обычных пользователей. Запросы на расширение прав дают возможность отделять в приложениях функциональность для прав обычных пользователей от функций, для которых требуются права администратора; в последнем случае пользователи с правами администраторов могут по своему усмотрению предоставить программе нужные права или отказать в предоставлении прав.

Программы, запущенные с правами администратора, могут изменять любые данные пользователей и системы Windows, в том числе отключать антивирусы и другие меры безопасности. Программы, способные работать с правами обычных пользователей, дают возможность запускать их пользователям с учетными записями, не имеющим прав администраторов. Такие учетные записи не могут изменять параметры или читать данные других учетных записей на компьютере без явного разрешения владельца другой учетной записи, они не могут изменять параметры системы и безопасности. Благодаря этому родители могут повысить уровень безопасности, предоставляя свой компьютер детям, а администраторы в организациях могут настраивать для всех сотрудников учетные записи с правами обычных пользователей, что приводит к снижению совокупной стоимости владения и повышению уровня безопасности.

Пользователи, входящие в состав группы администраторов, работают, не имея полных прав администраторов. Если приложению требуется выполнить действие, для которого необходимы права администратора, например установку драйвера принтера, открытие портов в брандмауэре или установку приложений в папку Program Files, то система Windows запросит у пользователя подтверждение расширения прав. Запросы дают возможность пользователям запретить приложению доступ к изменению системы и уведомляют пользователей о действиях программ, требующих прав администраторов.

В Windows 7 уменьшено число запросов в целом, чтобы все оставшиеся запросы имели большее значение для пользователей. Теперь с помощью новой панели управления пользователь может выбрать один из четырех уровней контроля учетных записей, причем доступ к параметрам контроля учетных записей упрощен, а сами параметры более понятны. По умолчанию контроль учетных записей запрашивает подтверждение пользователя при попытках программ изменить параметры, поэтому при обычной работе с ПК запросы контроля учетных записей отображаются реже, чем раньше. Кроме того, часто выполняемые пользователями операции в Windows были изменены так, что для их работы больше не требуется прав администраторов. Также мы постарались избавиться от дублирующихся запросов при выполнении распространенных действий, например при установке приложений из IE. Помимо этого, теперь можно просматривать системные параметры Windows, не имея прав администраторов. Для этого пришлось переработать многие элементы панели управления, отделив в них интерфейсы, предназначенные для просмотра параметров, от интерфейсов, служащих для изменения параметров.

В Windows Vista на панели управления было два состояния контроля учетных записей - "Включено" и "Выключено". В Windows 7 осталось состояние "Выключено", а состояние "Включено" заменено на три варианта включения с различным уровнем запросов в каждом. Пользователь может выбрать один из этих четырех режимов с помощью ползунка на новой панели управления контроля учетных записей. При выборе самого верхнего варианта система будет выводить запросы при каждом расширении прав на безопасном рабочем столе - как было в Windows Vista по умолчанию. При выборе второго сверху варианта система выводит запросы при расширении прав для программ, не входящих в состав Windows; используется безопасный рабочий стол. Третий сверху вариант аналогичен второму: система выводит запросы при расширении прав для программ, не входящих в состав Windows; при этом безопасный рабочий стол не используется. При выборе нижнего варианта контроль учетных записей пользователей отключается. При отключенном контроле учетных записей любые приложения могут вносить изменения на системном уровне без уведомления пользователя; в Internet Explorer становится недоступным защищенный режим.

Диалоговые окна контроля учетных записей были переработаны так, чтобы пользователь мог принять более взвешенное решение. Теперь используются только два цвета: синий при наличии цифровой подписи и желтый при ее отсутствии. Название издателя выделено жирным шрифтом, поскольку в исследованиях удобства работы пользователей было установлено, что именно данный фактор является решающим для пользователя. Кроме того, в диалоговом окне отображается происхождение файла (Интернет, сеть, съемный диск и т. п.). Также в диалоговом окне есть ссылка "Помочь в принятии решения", ведущая на небольшой раздел справки со сведениями, которые нужно учесть при принятии решении об ответе на запрос контроля учетных записей. Помимо синего и желтого цветов, диалоговое окно отображается красным цветом в редких случаях, когда приложение полностью заблокировано администратором.

Посмотреть: нажмите кнопку "Пуск", введите "UAC" и выберите пункт "Изменение параметров контроля учетных записей"


Источник interface.ru