Технологии обеспечения безопасности windows 7

http://msplatforma.ru

Microsoft Платформа 2010

Технологии безопасности Windows 7

Microsoft

Бешков Андрей



Прочный фундамент

безопасности

Защита пользователе

й и инфраструкту

ры

Фундамент Windows VistaUser Account ControlРасширенный аудит

Безопасный повсеместны

й доступ

Безопасность в Windows 7Построенная на фундаменте Windows Vista, Windows 7 предоставляет мощные, управляемые и простые в использовании механизмы защиты

Защита данных

Сетевая безопасность Network Access ProtectionDirectAccessTM

AppLockerTMInternet Explorer 8Восстановление данных

RMSEFSBitLockerTM



User Account Control



User Account Control (UAC)

ЦельПользователь должен работать в системе со стандартным набором прав

ПроблемаОчень часто пользователи работают под административной учетной записью Некоторые приложения запускаются только под административной учетной записью

РешениеРазрешить определенные операции для неадминистративных учетных записей, например, изменение часового пояса Создать для приложений виртуальное представление каталогов файловой системы и разделов реестра Реализовать удобное переключение к административным полномочиям



Сеанс администратора

При входе создаются два маркера доступа: административный и обычный При повышении полномочий

Происходит переключение в режим «Защищенный рабочий стол» для предотвращения спуфинг-атак Для приложения используется административный маркер доступа



Сеанс пользователя

При входе создается маркер доступа с обычными привилегиями Для запуска приложения, которому необходимы административные права

Происходит переключение в режим «Защищенный рабочий стол» для предотвращения спуфинг-атак Запрашивается пароль административной учетной записиДля приложения формируется административный маркер доступа



Виртуализация в UAC

Имидж виртуализуется, если обратное не указано в его манифесте Виртуализация осуществляется в режиме ядра

Файловая система: фильтром-драйвером luafv.sys Реестр: встроенными средствами

Перенаправляемые каталоги файловой системы:

\Program Files, \Windows, \Windows\System32 Исключения

Защищенные от записи системные .EXE и DLLФайлы с исполняемыми расширениями (.exe, .bat, .vbs, .scr и пр.)

Перенаправляемые разделы реестраHKLM\SoftwareИсключения

Некоторые ключи подраздела Microsoft



Виртуализация в UAC

Запись: перенаправляется в специальную зону конкретного пользователя

\Users\<Username>\AppData\Local\Virtual StoreHKCU\Software\Classes\VirtualStore

Чтение: сначала используется зона пользователя, затем глобальное расположение



Повышение полномочий

Исполняемый файл может быть помечен признаком повышения полномочий следующими способами:

В манифесте В системной базе совместимости приложений Эвристически инсталлятором Явным запросом пользователя



Развитие User Account ControlWindows Vista

Усовершенствования UAC

Необходимо явное указание на повышение привилегий Отключение UAC снижает защищенность системы

Проблемы

Пользователи могут выполнять расширенный набор задачаОкно UAC появляется реже

Преимущества

Снижено количество приложений и задач ОС, требующих привилегий администратора Приложения разделены на части, требующие/не требующие привилегий Настройка запросов на повышение привилегий

По умолчанию все пользователи работают с обычными привилегиями, включая администраторов Администраторы используют привилегии только для административных задач и приложений

Windows 7




Эксперт

Microsoft

Демонстрация

User Account Control



Bitlocker



Назначение и особенности

Предотвращает несанкционированный доступ к даннымОбеспечивает полное шифрование всего тома, включая:

Файл подкачки, временные файлы и пр.

Использует Trusted Platform Module (TPM) v1.2 для хранения ключа и проверки целостности системы на этапе загрузки Поддерживает защиту нескольких томов/устройств

Начиная с Windows Vista SP1



Используемые ключи Загрузочный раздел:

Зашифрованная ОСЗашифрованный файл подкачки Зашифрованные временные файлы Зашифрованные данные Зашифрованный файл гибернации

Где хранятся ключи?SRK (Storage Root Key) хранится в TPM SRK шифрует VMK (Volume Master Key)VMK шифрует FVEK (Full Volume Encryption Key), используемый для шифрования данных FVEK и VMK хранятся в загрузочном разделе

Системный раздел: MBR Загрузчик Утилиты загрузки

Системный раздел

FVEK

3

4Загрузочный раздел

SRK1

VMK2



BitLocker в Windows VistaТип

устройства Методы доступа

Методы восст-ия

Управление

Доп. требования

Раздел ОС (загрузочный раздел)

TPM

TPM+PIN

TPM+ключ запуска

TPM+PIN+ключ

запуска*

Ключ запуска

Пароль восстано-вления

Ключ восстано-вления

Резервная копия

пароля восстано-вления в

Active Directory

Контроль с помощью

групповых политик

Создание системного

раздела, содержащего

файлы загрузки

Минимальный размер раздела:

1.5ГБ

Системному разделу

присваивается литера

NTFSРазделы данных*

Автомати-ческое

монтирование

Такие же, как для

раздела ОС

Политики отсутствуют

Раздел ОС должен быть зашифрован

NTFS*Начиная с Windows Vista SP1



BitLocker в Windows 7Раздел ОС

Тип устройства

Методы доступа




Раздел ОС (загрузочный раздел)

TPM

TPM+PIN

TPM+ключ запуска

TPM+PIN+ключ запуска

Ключ запуска





Active Directory

Data Recovery

Agent

Более жесткий

контроль с помощью групповых политик

Мин. длина ПИН-кода

Подготовка диска

интегрирована с мастером установки BitLocker

Размер системного раздела:

200МБ без WinRE

400МБ с WinRE

Системному разделу не

присваивается литера

NTFS



Windows RE250 МБNTFS

Системный том

200 МБNTFS

Раздел ОС(Загрузочный раздел)

NTFS

Замечание: дополнительные 50 МБ в разделе восстановления необходимы для моментального снимка при создании полной резервной копии

Системный том/Windows RE

400 МБNTFS

Раздел ОС(Загрузочный раздел)

NTFS

BitLocker в Windows 7Разбиение жесткого диска



BitLocker в Windows 7Установка и управление

УстановкаПри обновлении с Windows Vista раздел ОС остается зашифрованным Поддерживается EFI

Управление и восстановление

Manage-BDE – теперь исполняемый файл Manage-BDE и утилита восстановления входят в состав Windows PE, Windows RE и Windows 7

Интерфейс Дублировать ключ/пароль восстановленияСбросить ПИН-кодДублировать ключ запуска



Windows 7Ситуация сегодня

Защита данных

Использование BitLocker на съемных носителях Принудительное шифрование устройств через групповые политики Упрощенная конфигурация BitLocker для жестких дисков

BitLocker To GoTM

+

• Gartner “Forecast: USB Flash Drives, Worldwide, 2001-2011” 24 September 2007, Joseph Unsworth

• Gartner “Dataquest Insight: PC Forecast Analysis, Worldwide, 1H08” 18 April 2008, Mikako Kitagawa, George Shiffler III

Основной

Основной

Основной Съемные носители

ПК

Мировой объем продаж (тыс.)



Windows 7 BitLocker To Go Тип

устройстваМетоды доступа




Съемные носители

информации,

например:

устройства USB flash

внешние жесткие диски

Пароль

Смарт-карта

Автомати-ческое

монтирование





Active Directory

DataRecovery

Agent

Более жесткий

контроль с помощью групповых политик

Опция обязатель-

ного шифрован

ия для получения

права записи на носитель

NTFSFAT

FAT32ExFAT



Windows 7 BitLocker To Go Новые методы доступа

Применение паролей

Отсутствие особых требований к оборудованию Легкое перемещение носителей внутри предприятия и за его пределами Управление длиной и сложностью паролей с помощью групповых политик



Windows 7 BitLocker To GoНовые методы доступа

Применение смарт-карт Использование инфраструктуры PKI Наличие соответствующего оборудования Перемещение на любой компьютер с Windows 7 или Windows Server 2008 R2Более стойкая защита по сравнению с паролями



Windows 7 BitLocker To GoНовый механизм восстановления

Data Recovery Agents (DRA)Используется механизм цифровых сертификатов

Открытый ключ распространяется через групповые политики и применяется при монтировании любого тома Закрытый ключ хранится DRA

ИТ-отдел может получить доступ к любому зашифрованному носителю организации Базируется на инфраструктуре PKI Один ключ для всех устройств – экономия места в базе AD Применяется к любым разделам (ОС и данных)



Windows 7 BitLocker To Go Обязательное шифрование

Обязательное включение BitLocker для съемных носителей

Запись на носитель возможна только, если для этого носителя включен BitLockerДоступ на запись появится только после полного завершения шифрования При появлении нового носителя в системе, можно либо включить для него BitLocker, либо получить доступ «Только чтение»




Эксперт

Microsoft

Демонстрация

BitLocker в Windows 7



AppLocker



Windows 7

Контроль за приложениями Ситуация сегодня

Устранение нежелательного или неизвестного ПО Стандартизация ПО предприятия Управление на основе гибких правил в объектах групповых политиках

AppLockerTM

Пользователи могут устанавливать и запускать нестандартные приложенияДаже члены группы Users могут устанавливать некоторые типы ПО Неавторизованное ПО:

Повышает риск заражения вирусами Увеличивает количество обращений в ИТСнижает эффективность работы Нарушает соответствие требованиям



AppLockerКлючевые элементы

Наборы (типы) правилИсполняемы файлы (.exe), инсталляционные файлы (.msi), скрипты, DLL

Структура правила Действие, пользователь/группа, условие, исключения

Мастер создания правилРежим аудита Автоматическая генерация правил



Наборы правил Типы правил

ExecutableInstallerScriptDLL (по умолчанию выключен)

Позволяют создавать более гибкие правила, основанные не только на исполняемых файлах

“Разрешить устанавливать подписанные обновления для приложений Microsoft Office версии 12.*”



Структура правила

ДействиеAllow – запускать указанные приложения, блокировать остальныеDeny – блокировать указанные приложения, запускать остальные

На кого распространяется Пользователь или группа

УсловиеИздатель (Publisher) Путь (Path) Хэш файла (File hash)

Исключения

“Запускать подписанные приложения Microsoft Office версии 12 и выше за исключением Microsoft Access”



Условие «Издатель» Основывается на цифровых подписях приложений

Позволяет указывать атрибуты приложения

Обеспечивает корректность правила для приложения и его обновлений

“Запускать подписанные приложения пакета Microsoft Office версии 12 и выше”



Итоги

Windows Vista содержит фундаментальные изменения в системе безопасности Этот фундамент определяет вектор развития технологий безопасности в последующих версиях Windows, включая Windows 7Безопасность – ключевое направление инвестиций как для Microsoft, так и для заказчиков



Ресурсы

Мой блог: http://blogs.technet.com/abeshkov Технический центр Springboard по Windows Client: http://microsoft.com/springboard Русскоязычный блог о Windows Client для IT-специалистов: http://blogs.technet.com/springboard-ru Центр разработки для Windows: http://msdn.com/windows

http://blogs.technet.com/abeshkov

http://microsoft.com/springboard

http://blogs.technet.com/springboard-ru

http://msdn.com/windows



Вопросы

Бешков АндрейЭксперт

[email protected]://blogs.technet.com/abeshkov/

Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада

mailto:[email protected]

Технологии обеспечения безопасности windows 7

Documents

windows 7 bitlocker

microsoft 2010 http

windows 7

windows

bitlocker

http

exe

worldwide