3-1 Основи побудови та захисту сучасних операційних систем / Защита_операционных_систем_КНМЗ

Міцний

фундамент

безпеки

Фундамент Windows Vista

User Account

Control

Розширений

аудит

USER ACCOUNT CONTROL

Мета

Користувач повинен працювати в системі зі стандартним набором прав

Проблема

Дуже часто користувачі працюють під адміністративним обліковим записом

Деякі додатки запускаються тільки під

адміністративним обліковим записом

РІШЕННЯ

Дозволити певні операції для неадміністративних облікових записів, наприклад, зміна часового поясу

Створити для додатків віртуальне уявлення каталогів файлової системи і розділів реєстру

Реалізувати зручне перемикання до адміністративних повноважень

Міцний

фундамент

безпеки

User Account

Control

USER ACCOUNT CONTROL – компонент, який запитує підтвердження дій, що вимагають прав адміністратора, з метою захисту від несанкціонованого використання комп'ютера.

Формування маркера доступу з обмеженими правами

Сеанс адміністратора

При вході створюються два маркера доступу:

адміністративний і звичайний

При підвищенні повноважень :

Відбувається переключення в режим «Захищений робочий стіл» для запобігання спуфинг-атак

Для додатка використовується

адміністративний маркер доступу

Сеанс користувача

При вході створюється маркер доступу з

звичайними привілеями

Для запуску програми, якій необхідні адміністративні права:

Відбувається переключення в режим «Захищений робочий стіл» для запобігання спуфинг-атак

Запитується пароль

адміністративного облікового запису

Для додатка формується адміністративний маркер доступу

Захист користувачів та інфраструктури

AppLocker

Internet Explorer

Відновлення

даних

APPLOCKER

Мета

Забезпечення контролю за додатками, що встановлюються на комп'ютер

Проблема

Користувачі можуть встановлювати і запускати нестандартні додатки

Навіть члени групи Users можуть встановлювати деякі типи ПО

неавторизоване ПО:

Підвищує ризик зараження вірусами

Збільшує кількість звернень в ІТ

Знижує ефективність роботи

Порушує відповідність вимогам

Рішення

Усунення небажаного або невідомого ПО

Стандартизація ПО підприємства

Управління на основі гнучких правил в об'єктах групових політиках

захист даних

RMS

EFS

BitLocker

EFS використовується починаючи з Windows 2000 і у всіх пізніших версіях операційних систем

На відміну від BitLocker за допомогою EFS можна шифрувати окремі файли і папки.

Що б використовувати всі її переваги необхідна операційна система з рангом Професійна або вище

EFS це надбудова над файлової системою NTFS. На інших файлових системах EFS працювати не буде

При копіюванні шифрованих даних на диск з файловою системою відмінною від NTFS вся інформація автоматично розшифровується.

захист даних

RMS

EFS

BitLocker

BITLOCKER

Мета

Забезпечити надійний захист даних, що знаходяться не тільки на жорсткому диску, але і на змінних носіях

Проблема

Низький рівень захисту даних, що зберігаються на жорсткому диску;

Відсутність ефективних механізмів захисту даних,

що знаходяться на змінних носіях

Рішення

Використання BitLocker на знімних носіях

Примусове шифрування пристроїв через групові політики

Спрощена конфігурація BitLocker для жорстких дисків