Групповые политики
GPO(group policy object)-это набор правил используемый для администрирования системы и позволяющий применять пользователям соответствующие политики безопасности установленные групповые политики действуют на всех пользователей без исключения используя для каждой группы пользователей свой набор правил можно только в актив директории.Для вызова консоли управления политиками команда gpedit.msc . Виды политики;
Конфигурация комп- содержит политики для управления всей системы в целом указанные здесь скрипты выполняются до ввода пользователя логина и пароля . В данный раздел рекомендуется размещять скрипты создания пользователя и групп а также права доступа к системе .
Конфигурация пользователя –содержит индивидуальные настройки применяемые к пользователю, размещенные здесь скрипты применяются только после входа пользователя в систему.
Измененные групповой политики применяется после перезагрузки системы или через 30 минут, для обновления политики вручную используется команда gpupdate /force
Архивирование и резирвное копирование Windows 7
Основные понятия
Архивирование – процедура создания точного образа системы, с возможностью её дальнейшего востановления с помощью средств windows или загрузочного диска. При этом сжатие данных не производится. Система не может производить архивирование заштфрованых файлов и папок.
Методы архивирования:
Полное – архивирование всей системы
Добавачное – архивация производится только изменений произошедших с последней полной архивации
Резервирование данных – выполняется самостоятельно средствами операционный системы, сохраняя предыдущие версии файлов, если данная функция была активирована, при этом они хранятся в папке System Volume Information на кадом диске. Резирвирование выполняется каждый день или при внесении изменений.
UAC
Uac – User Account control, служба интегрированная в ОС Microsoft Windows и запрашивающая пароль или разрешение на выполнение действий требующих административных привилегий, используется для предотвращения заражения компьютеров вирусами и троянами, а также уменьшения вероятности ошибки при выполнении тех или иных действий.
Выбор конфигурации:
Высокий - запрашивать привилегий при выполнении любого действия связанное с внесений изменений.
По умолчанию – запрашиваются административные права при внесении изменений в систему или инсталляции программного обеспечения, однако не запрашиваются при изменений настроек Windows. Выполняемое приложение перемещается на виртуальный рабочий стол для предотвращения работы с ним.
Средний уровень – аналогичен предыдущему однако без затемнения экрана и активации виртуального рабочего стола.
Отключенный – никаких предупреждений не выдаётся.
Bit locker
Технология используемая для шифрования данных и предотвращения несанкционированного доступа к ним, не обходимым условием для шифрования является наличие 100 мб загрузочного сектора, используемого для хранения загрущика и ключей.
Система шифрования:
128 bits key
128 bits + difusore (по умолчанию)
256 bits key
256 bits + difusore
В качестве алгоритма шифрования применяется симметричный алгоритм AES использующий работу над матрицей. Использование дифузора позволяет повысить крипто-устойчивость, за счёт перестановки блока данных после шифрования. Изменение алгоритма шифрование через групповую политику.
Комбинация для доступа:
TPM TPM+Pin TPM+Pin+USB TPM+USB USB
TPM – trust platform module, программный или аппаратный модуль используемый для дешифровки логических разделов.
Режимы работы:
прозрачный – как правило применяется в локальных корпоративных сетях где шифровка разделов выполняется автоматически при доступе корпоративной системе хранения ключей, обеспечивая защиту от кражи компьютеров.
Проверка подлинности – для доступа к разделам требуется ввод пароля.
USB доступ – ключи для дешифровки находятся на USB флешке и при её наличии возможен доступ к системе.