2. Безопасность в Windows 7
Построенная на фундаменте Windows Vista, Windows 7 предоставляет
мощные, управляемые и простые в использовании механизмы защиты
Прочный Безопасный Защита Защита данных
фундамент повсеместный пользователей и
безопасности доступ инфраструктуры
Фундамент Сетевая AppLockerTM RMS
Windows Vista безопасность Internet Explorer 8 EFS
User Account Network Access Восстановление BitLockerTM
Control Protection данных
Расширенный DirectAccessTM
аудит
Microsoft Платформа 2010 http://msplatforma.ru
3. Безопасность в Windows 7
Построенная на фундаменте Windows Vista, Windows 7 предоставляет
мощные, управляемые и простые в использовании механизмы защиты
Прочный Безопасный Защита Защита данных
фундамент повсеместный пользователей и
безопасности доступ инфраструктуры
Фундамент Сетевая AppLockerTM RMS
Windows Vista безопасность Internet Explorer 8 EFS
User Account Network Access Восстановление BitLockerTM
Control Protection данных
Расширенный DirectAccessTM
аудит
Microsoft Платформа 2010 http://msplatforma.ru
5. User Account Control (UAC)
Цель
Пользователь должен работать в системе со стандартным
набором прав
Проблема
Очень часто пользователи работают под административной
учетной записью
Некоторые приложения запускаются только под
административной учетной записью
Решение
Разрешить определенные операции для неадминистративных
учетных записей, например, изменение часового пояса
Создать для приложений виртуальное представление
каталогов файловой системы и разделов реестра
Реализовать удобное переключение к административным
полномочиям
Microsoft Платформа 2010 http://msplatforma.ru
6. Сеанс администратора
При входе создаются два маркера доступа:
административный и обычный
При повышении полномочий
Происходит переключение в режим «Защищенный рабочий
стол» для предотвращения спуфинг-атак
Для приложения используется административный маркер
доступа
Microsoft Платформа 2010 http://msplatforma.ru
7. Сеанс пользователя
При входе создается маркер доступа с обычными
привилегиями
Для запуска приложения, которому необходимы
административные права
Происходит переключение в режим «Защищенный рабочий
стол» для предотвращения спуфинг-атак
Запрашивается пароль
административной учетной записи
Для приложения формируется
административный маркер доступа
Microsoft Платформа 2010 http://msplatforma.ru
8. Виртуализация в UAC
Имидж виртуализуется, если обратное не указано в
его манифесте
Виртуализация осуществляется в режиме ядра
Файловая система: фильтром-драйвером luafv.sys
Реестр: встроенными средствами
Перенаправляемые каталоги файловой системы:
Program Files, Windows, WindowsSystem32
Исключения
Защищенные от записи системные .EXE и DLL
Файлы с исполняемыми расширениями (.exe, .bat, .vbs, .scr и пр.)
Перенаправляемые разделы реестра
HKLMSoftware
Исключения
Некоторые ключи подраздела Microsoft
Microsoft Платформа 2010 http://msplatforma.ru
9. Виртуализация в UAC
Запись: перенаправляется в специальную зону
конкретного пользователя
Users<Username>AppDataLocal
Virtual Store
HKCUSoftwareClassesVirtualStore
Чтение: сначала используется зона пользователя,
затем глобальное расположение
Microsoft Платформа 2010 http://msplatforma.ru
10. Повышение полномочий
Исполняемый файл может быть помечен
признаком повышения полномочий
следующими способами:
В манифесте
В системной базе совместимости
приложений
Эвристически инсталлятором
Явным запросом пользователя
Microsoft Платформа 2010 http://msplatforma.ru
11. Развитие User Account Control
По умолчанию все пользователи Усовершенствования UAC
работают с обычными привилегиями, Снижено количество приложений
включая администраторов и задач ОС, требующих
Администраторы используют привилегий администратора
привилегии только для Приложения разделены на части,
административных задач и требующие/не требующие
приложений привилегий
Проблемы Настройка запросов на
Необходимо явное указание на повышение привилегий
повышение привилегий
Преимущества
Отключение UAC снижает
защищенность системы Пользователи могут выполнять
расширенный набор задача
Окно UAC появляется реже
Microsoft Платформа 2010 http://msplatforma.ru
13. Bitlocker
Microsoft Платформа 2010 http://msplatforma.ru
14. Назначение и особенности
Предотвращает несанкционированный доступ
к данным
Обеспечивает полное шифрование всего
тома, включая:
Файл подкачки, временные файлы и пр.
Использует Trusted Platform Module (TPM) v1.2
для хранения ключа и проверки целостности
системы на этапе загрузки
Поддерживает защиту нескольких
томов/устройств
Начиная с Windows Vista SP1
Microsoft Платформа 2010 http://msplatforma.ru
16. BitLocker в Windows Vista
Тип Методы Методы Управление Доп. требования
устройства доступа восст-ия
Раздел ОС TPM Пароль Контроль с Создание
(загрузочный восстано- помощью системного раздела,
раздел) TPM+PIN вления групповых содержащего
политик файлы загрузки
TPM+ключ Ключ
запуска восстано- Минимальный
вления размер раздела:
TPM+PIN+ 1.5ГБ
ключ запуска* Резервная
копия пароля Системному
Ключ запуска восстано- разделу
вления в присваивается
Active литера
Directory
NTFS
Разделы Автомати- Такие же, Политики Раздел ОС должен
данных* ческое как для отсутствуют быть зашифрован
монтирование раздела ОС
NTFS
*Начиная с Windows Vista SP1
Microsoft Платформа 2010 http://msplatforma.ru
17. BitLocker в Windows 7
Раздел ОС
Тип Методы Методы Управление Доп. требования
устройства доступа восст-ия
Раздел ОС TPM Пароль Более Подготовка диска
(загрузочный восстано- жесткий интегрирована с
раздел) TPM+PIN вления контроль с мастером
помощью установки
TPM+ключ Ключ групповых BitLocker
запуска восстано- политик
вления Размер системного
TPM+PIN+ Мин. длина раздела:
ключ запуска Резервная ПИН-кода 200МБ без WinRE
копия пароля 400МБ с WinRE
Ключ запуска восстано-
вления в Системному
Active разделу не
Directory присваивается
литера
Data
Recovery NTFS
Agent
Microsoft Платформа 2010 http://msplatforma.ru
18. BitLocker в Windows 7
Разбиение жесткого диска
Windows RE Системный том Раздел ОС
250 МБ 200 МБ (Загрузочный раздел)
NTFS NTFS NTFS
Замечание: дополнительные 50 МБ в разделе восстановления необходимы для
моментального снимка при создании полной резервной копии
Системный том/Windows RE Раздел ОС
400 МБ (Загрузочный раздел)
NTFS NTFS
Microsoft Платформа 2010 http://msplatforma.ru
19. BitLocker в Windows 7
Установка и управление
Установка
При обновлении с Windows
Vista раздел ОС остается
зашифрованным
Поддерживается EFI
Управление и восстановление
Manage-BDE – теперь
исполняемый файл
Manage-BDE и утилита
восстановления входят в
состав Windows PE, Windows
RE и Windows 7
Интерфейс
Дублировать ключ/пароль
восстановления
Сбросить ПИН-код
Дублировать ключ запуска
Microsoft Платформа 2010 http://msplatforma.ru
20. Защита данных
BitLocker To GoTM
+
Мировой объем продаж (тыс.)
Основной
Использование BitLocker на
Съемные
Основной
Основной носители съемных носителях
Основной
Основной
Основной
Принудительное шифрование
Основной ПК
устройств через групповые
политики
Упрощенная конфигурация
• Gartner “Forecast: USB Flash Drives, Worldwide, 2001-2011” 24 September
2007, Joseph Unsworth BitLocker для жестких дисков
• Gartner “Dataquest Insight: PC Forecast Analysis, Worldwide, 1H08” 18 April
2008, Mikako Kitagawa, George Shiffler III
Microsoft Платформа 2010 http://msplatforma.ru
21. Windows 7 BitLocker To Go
Тип Методы Методы Доп. требования
доступа восст-ия Управление
устройства
Съемные Пароль Пароль Более NTFS
носители восстано- жесткий FAT
вления контроль с
информации, Смарт-карта помощью FAT32
например: Ключ групповых ExFAT
Автомати- восстано- политик
устройства ческое вления
USB flash монтирование Опция
Резервная
копия пароля обязатель-
внешние восстано- ного
жесткие вления в шифрования
диски Active для
Directory получения
права записи
Data на носитель
Recovery
Agent
Microsoft Платформа 2010 http://msplatforma.ru
22. Windows 7 BitLocker To Go
Новые методы доступа
Применение паролей
Отсутствие особых
требований к
оборудованию
Легкое перемещение
носителей внутри
предприятия и за его
пределами
Управление длиной и
сложностью паролей с
помощью групповых
политик
Microsoft Платформа 2010 http://msplatforma.ru
23. Windows 7 BitLocker To Go
Новые методы доступа
Применение смарт-карт
Использование
инфраструктуры PKI
Наличие соответствующего
оборудования
Перемещение на любой
компьютер с Windows 7 или
Windows Server 2008 R2
Более стойкая защита по
сравнению с паролями
Microsoft Платформа 2010 http://msplatforma.ru
24. Windows 7 BitLocker To Go
Новый механизм восстановления
Data Recovery Agents (DRA)
Используется механизм цифровых сертификатов
Открытый ключ распространяется через групповые
политики и применяется при монтировании любого тома
Закрытый ключ хранится DRA
ИТ-отдел может получить доступ к любому
зашифрованному носителю организации
Базируется на инфраструктуре PKI
Один ключ для всех устройств – экономия места в
базе AD
Применяется к любым разделам (ОС и данных)
Microsoft Платформа 2010 http://msplatforma.ru
25. Windows 7 BitLocker To Go
Обязательное шифрование
Обязательное включение
BitLocker для съемных
носителей
Запись на носитель
возможна только, если для
этого носителя включен
BitLocker
Доступ на запись появится
только после полного
завершения шифрования
При появлении нового
носителя в системе, можно
либо включить для него
BitLocker, либо получить
доступ «Только чтение»
Microsoft Платформа 2010 http://msplatforma.ru
26. BitLocker в Windows 7
Демонстрация
Бешков Андрей
Эксперт
Microsoft
Microsoft Платформа 2010 http://msplatforma.ru
27. AppLocker
Microsoft Платформа 2010 http://msplatforma.ru
28. Контроль за приложениями
AppLockerTM
Пользователи могут устанавливать и Устранение нежелательного или
запускать нестандартные приложения неизвестного ПО
Даже члены группы Users могут Стандартизация ПО предприятия
устанавливать некоторые типы ПО Управление на основе гибких правил
Неавторизованное ПО: в объектах групповых политиках
Повышает риск заражения вирусами
Увеличивает количество обращений в ИТ
Снижает эффективность работы
Нарушает соответствие требованиям
Microsoft Платформа 2010 http://msplatforma.ru
29. AppLocker
Наборы (типы) правил
Исполняемы файлы (.exe), инсталляционные
файлы (.msi), скрипты, DLL
Структура правила
Действие, пользователь/группа, условие,
исключения
Мастер создания правил
Режим аудита
Автоматическая генерация правил
Microsoft Платформа 2010 http://msplatforma.ru
30. Наборы правил
Типы правил
Executable
Installer
Script
DLL (по умолчанию
выключен)
Позволяют создавать
более гибкие правила,
основанные не только на
исполняемых файлах
“Разрешить устанавливать подписанные обновления для
приложений Microsoft Office версии 12.*”
Microsoft Платформа 2010 http://msplatforma.ru
31. Структура правила
Действие
Allow – запускать указанные приложения, блокировать
остальные
Deny – блокировать указанные приложения, запускать
остальные
На кого распространяется
Пользователь или группа
Условие
Издатель (Publisher)
Путь (Path)
Хэш файла (File hash)
Исключения
“Запускать подписанные приложения Microsoft Office версии 12
и выше за исключением Microsoft Access”
Microsoft Платформа 2010 http://msplatforma.ru
32. Условие «Издатель»
Основывается на
цифровых подписях
приложений
Позволяет указывать
атрибуты приложения
Обеспечивает
корректность правила
для приложения и его
обновлений
“Запускать подписанные приложения пакета Microsoft Office
версии 12 и выше”
Microsoft Платформа 2010 http://msplatforma.ru
33. Итоги
Windows Vista содержит
фундаментальные изменения в системе
безопасности
Этот фундамент определяет вектор
развития технологий безопасности в
последующих версиях Windows, включая
Windows 7
Безопасность – ключевое направление
инвестиций как для Microsoft, так и для
заказчиков
Microsoft Платформа 2010 http://msplatforma.ru
34. Ресурсы
Мой блог:
http://blogs.technet.com/abeshkov
Технический центр Springboard по
Windows Client:
http://microsoft.com/springboard
Русскоязычный блог о Windows Client
для IT-специалистов:
http://blogs.technet.com/springboard-ru
Центр разработки для Windows:
http://msdn.com/windows
Microsoft Платформа 2010 http://msplatforma.ru
35. Вопросы
Бешков Андрей
Эксперт
abeshkov@microsoft.com
http://blogs.technet.com/abeshkov/
Вы сможете задать вопросы докладчику
в зоне «Спроси эксперта» в течение часа
после завершения этого доклада
Microsoft Платформа 2010 http://msplatforma.ru
Editor's Notes
Это рекомендуемый титульный слайд. Для использования другого варианта титульного слайда выберете пункт меню “New Slide”.