- •Авторизация
- •Группы безопасности
- •Политика групп
- •Шифрование
- •2. Корпоративная безопасность
- •3. Управляемый доступ к сети
- •Управление сетевой проверкой подлинности
- •4. Упрощенное совместное использование ресурсов
- •5. Ограничение на учетные записи с пустыми паролями
- •Шифрованная файловая система
- •Архитектура efs
- •Как работает efs
- •Конфигурирование efs
- •Что разрешается шифровать
- •Шифрование базы данных автономных файлов
- •Удаленные операции efs на общих файлах и Web-папках
- •6. Службы сертификации
- •Хранилища сертификатов с открытыми ключами
- •Хранение закрытых ключей
- •Автоматический запрос сертификата пользователя
- •Запросы в ожидании и обновление сертификатов
- •7. Управление реквизитами
- •Интерфейс пользователя для ввода реквизитов
- •Хранилище реквизитов пользователя
- •Связка ключей
- •8. Быстрое переключение пользователей
- •9. Личная конфиденциальность
- •10. Доступ к Интернету - Internet Connection Firewall
- •Групповая политика в icf
- •Как работает межсетевой экран
- •Параметры групповой политики, относящиеся к безопасности
- •9. Политика ограничения используемых приложений
- •11. Протокол ipSec
- •Зачем нужен ipSec
- •Криптографические механизмы защиты
- •IpSec в работе
- •12. Поддержка смарт-карт
- •Pin вместо пароля
- •Стандарты смарт-карт
- •Вход в систему с использованием смарт-карты
- •Применение смарт-карт для администрирования
- •Аутентификатор
- •Служба центра распространения ключей Kerberos
Шифрованная файловая система
Дополнительные функции шифрованной файловой системы (Encrypting File System, EFS) существенно обогатили Windows XP Professional, обеспечив дополнительную гибкость для корпоративных пользователей при развертывании решений безопасности, основанных на шифровании файлов с данными. Любой злоумышленник, имеющий физический доступ к компьютеру, может загрузить на нем другую ОС, обойти защиту основной ОС и получить доступ к конфиденциальным данным. Шифрование конфиденциальных файлов средствами EFS обеспечивает дополнительную защиту. Данные зашифрованного файла останутся недоступными, даже если атакующий получит полный доступ к среде хранения данных компьютера. Только полномочные пользователи и назначенные агенты восстановления данных в состоянии расшифровывать файлы. Пользователи с другими учетными записями, обладающие разрешениями для файла - даже разрешением на передачу прав владения (Take Ownership), не в состоянии открыть его. Администратору доступ к содержимому файла также закрыт, если только он не назначен агентом восстановления данных. При попытке несанкционированного доступа к зашифрованному файлу система откажет в доступе.
Архитектура efs
EFS базируется на технологии шифровании с открытым ключом и использует архитектуру CryptoAPI. Стандартная (по умолчанию) конфигурация EFS не требует никакого административного вмешательства: вы вправе выполнять шифрование файлов сразу же после установки системы. EFS автоматически создает пару ключей шифрования и сертификат пользователя, если они не были созданы ранее. В качестве алгоритма шифрования EFS использует DESX (Expanded Data Encryption Standard) или 3DES (Triple-DES). Поставщики услуг криптографии поддерживают два алгоритма: RSA Base и RSA Enhanced - для создания сертификатов EFS и для шифрования симметричных ключей шифрования. Если зашифровать папку, все файлы и подпапки в ней шифруются автоматически. Рекомендуется шифрование именно на уровне папок, чтобы в процессе работы не появлялись незашифрованные временные файлы.
EFS и NTFS
Шифрованная файловая система (EFS) защищает конфиденциальные данные в файлах на томах NTFS. EFS - основная технология шифрования и расшифровки файлов на томах NTFS. Открывать файл и работать с ним может только пользователь, его зашифровавший. Это чрезвычайно важно для пользователей переносных компьютеров: даже если взломщик получит доступ к потерянному или украденному компьютеру, он не сможет открыть зашифрованные файлы. В Windows XP шифрованная файловая система также поддерживает автономные файлы и папки (Offline Files and Folders). Зашифрованный файл останется недоступным для просмотра в исходном виде, даже если атакующий обойдет системную защиту, например, загрузив другую ОС. EFS обеспечивает устойчивое шифрование по стандартным алгоритмам и тесно интегрирована с NTFS. EFS в Windows XP Professional предоставляет новые возможности совместного использования зашифрованных файлов или отключения агентов восстановления данных, а также облегчает управление посредством групповой политики и служебных программ командной строки.