Технологии обеспечения безопасности windows 7
DESCRIPTION
TRANSCRIPT
http://msplatforma.ru
Microsoft Платформа 2010
Технологии безопасности Windows 7
Microsoft
Бешков Андрей
http://msplatforma.ru
Microsoft Платформа 2010
Прочный фундамент
безопасности
Защита пользователе
й и инфраструкту
ры
Фундамент Windows VistaUser Account ControlРасширенный аудит
Безопасный повсеместны
й доступ
Безопасность в Windows 7Построенная на фундаменте Windows Vista, Windows 7 предоставляет мощные, управляемые и простые в использовании механизмы защиты
Защита данных
Сетевая безопасность Network Access ProtectionDirectAccessTM
AppLockerTMInternet Explorer 8Восстановление данных
RMSEFSBitLockerTM
http://msplatforma.ru
Microsoft Платформа 2010
Прочный фундамент
безопасности
Защита пользователе
й и инфраструкту
ры
Фундамент Windows VistaUser Account ControlРасширенный аудит
Безопасный повсеместны
й доступ
Безопасность в Windows 7Построенная на фундаменте Windows Vista, Windows 7 предоставляет мощные, управляемые и простые в использовании механизмы защиты
Защита данных
Сетевая безопасность Network Access ProtectionDirectAccessTM
AppLockerTMInternet Explorer 8Восстановление данных
RMSEFSBitLockerTM
http://msplatforma.ru
Microsoft Платформа 2010
User Account Control
http://msplatforma.ru
Microsoft Платформа 2010
User Account Control (UAC)
ЦельПользователь должен работать в системе со стандартным набором прав
ПроблемаОчень часто пользователи работают под административной учетной записью Некоторые приложения запускаются только под административной учетной записью
РешениеРазрешить определенные операции для неадминистративных учетных записей, например, изменение часового пояса Создать для приложений виртуальное представление каталогов файловой системы и разделов реестра Реализовать удобное переключение к административным полномочиям
http://msplatforma.ru
Microsoft Платформа 2010
Сеанс администратора
При входе создаются два маркера доступа: административный и обычный При повышении полномочий
Происходит переключение в режим «Защищенный рабочий стол» для предотвращения спуфинг-атак Для приложения используется административный маркер доступа
http://msplatforma.ru
Microsoft Платформа 2010
Сеанс пользователя
При входе создается маркер доступа с обычными привилегиями Для запуска приложения, которому необходимы административные права
Происходит переключение в режим «Защищенный рабочий стол» для предотвращения спуфинг-атак Запрашивается пароль административной учетной записиДля приложения формируется административный маркер доступа
http://msplatforma.ru
Microsoft Платформа 2010
Виртуализация в UAC
Имидж виртуализуется, если обратное не указано в его манифесте Виртуализация осуществляется в режиме ядра
Файловая система: фильтром-драйвером luafv.sys Реестр: встроенными средствами
Перенаправляемые каталоги файловой системы:
\Program Files, \Windows, \Windows\System32 Исключения
Защищенные от записи системные .EXE и DLLФайлы с исполняемыми расширениями (.exe, .bat, .vbs, .scr и пр.)
Перенаправляемые разделы реестраHKLM\SoftwareИсключения
Некоторые ключи подраздела Microsoft
http://msplatforma.ru
Microsoft Платформа 2010
Виртуализация в UAC
Запись: перенаправляется в специальную зону конкретного пользователя
\Users\<Username>\AppData\Local\Virtual StoreHKCU\Software\Classes\VirtualStore
Чтение: сначала используется зона пользователя, затем глобальное расположение
http://msplatforma.ru
Microsoft Платформа 2010
Повышение полномочий
Исполняемый файл может быть помечен признаком повышения полномочий следующими способами:
В манифесте В системной базе совместимости приложений Эвристически инсталлятором Явным запросом пользователя
http://msplatforma.ru
Microsoft Платформа 2010
Развитие User Account ControlWindows Vista
Усовершенствования UAC
Необходимо явное указание на повышение привилегий Отключение UAC снижает защищенность системы
Проблемы
Пользователи могут выполнять расширенный набор задачаОкно UAC появляется реже
Преимущества
Снижено количество приложений и задач ОС, требующих привилегий администратора Приложения разделены на части, требующие/не требующие привилегий Настройка запросов на повышение привилегий
По умолчанию все пользователи работают с обычными привилегиями, включая администраторов Администраторы используют привилегии только для административных задач и приложений
Windows 7
http://msplatforma.ru
Microsoft Платформа 2010
Бешков Андрей
Эксперт
Microsoft
Демонстрация
User Account Control
http://msplatforma.ru
Microsoft Платформа 2010
Bitlocker
http://msplatforma.ru
Microsoft Платформа 2010
Назначение и особенности
Предотвращает несанкционированный доступ к даннымОбеспечивает полное шифрование всего тома, включая:
Файл подкачки, временные файлы и пр.
Использует Trusted Platform Module (TPM) v1.2 для хранения ключа и проверки целостности системы на этапе загрузки Поддерживает защиту нескольких томов/устройств
Начиная с Windows Vista SP1
http://msplatforma.ru
Microsoft Платформа 2010
Используемые ключи Загрузочный раздел:
Зашифрованная ОСЗашифрованный файл подкачки Зашифрованные временные файлы Зашифрованные данные Зашифрованный файл гибернации
Где хранятся ключи?SRK (Storage Root Key) хранится в TPM SRK шифрует VMK (Volume Master Key)VMK шифрует FVEK (Full Volume Encryption Key), используемый для шифрования данных FVEK и VMK хранятся в загрузочном разделе
Системный раздел: MBR Загрузчик Утилиты загрузки
Системный раздел
FVEK
3
4Загрузочный раздел
SRK1
VMK2
http://msplatforma.ru
Microsoft Платформа 2010
BitLocker в Windows VistaТип
устройства Методы доступа
Методы восст-ия
Управление
Доп. требования
Раздел ОС (загрузочный раздел)
TPM
TPM+PIN
TPM+ключ запуска
TPM+PIN+ключ
запуска*
Ключ запуска
Пароль восстано-вления
Ключ восстано-вления
Резервная копия
пароля восстано-вления в
Active Directory
Контроль с помощью
групповых политик
Создание системного
раздела, содержащего
файлы загрузки
Минимальный размер раздела:
1.5ГБ
Системному разделу
присваивается литера
NTFSРазделы данных*
Автомати-ческое
монтирование
Такие же, как для
раздела ОС
Политики отсутствуют
Раздел ОС должен быть зашифрован
NTFS*Начиная с Windows Vista SP1
http://msplatforma.ru
Microsoft Платформа 2010
BitLocker в Windows 7Раздел ОС
Тип устройства
Методы доступа
Методы восст-ия
Управление
Доп. требования
Раздел ОС (загрузочный раздел)
TPM
TPM+PIN
TPM+ключ запуска
TPM+PIN+ключ запуска
Ключ запуска
Пароль восстано-вления
Ключ восстано-вления
Резервная копия
пароля восстано-вления в
Active Directory
Data Recovery
Agent
Более жесткий
контроль с помощью групповых политик
Мин. длина ПИН-кода
Подготовка диска
интегрирована с мастером установки BitLocker
Размер системного раздела:
200МБ без WinRE
400МБ с WinRE
Системному разделу не
присваивается литера
NTFS
http://msplatforma.ru
Microsoft Платформа 2010
Windows RE250 МБNTFS
Системный том
200 МБNTFS
Раздел ОС(Загрузочный раздел)
NTFS
Замечание: дополнительные 50 МБ в разделе восстановления необходимы для моментального снимка при создании полной резервной копии
Системный том/Windows RE
400 МБNTFS
Раздел ОС(Загрузочный раздел)
NTFS
BitLocker в Windows 7Разбиение жесткого диска
http://msplatforma.ru
Microsoft Платформа 2010
BitLocker в Windows 7Установка и управление
УстановкаПри обновлении с Windows Vista раздел ОС остается зашифрованным Поддерживается EFI
Управление и восстановление
Manage-BDE – теперь исполняемый файл Manage-BDE и утилита восстановления входят в состав Windows PE, Windows RE и Windows 7
Интерфейс Дублировать ключ/пароль восстановленияСбросить ПИН-кодДублировать ключ запуска
http://msplatforma.ru
Microsoft Платформа 2010
Windows 7Ситуация сегодня
Защита данных
Использование BitLocker на съемных носителях Принудительное шифрование устройств через групповые политики Упрощенная конфигурация BitLocker для жестких дисков
BitLocker To GoTM
+
• Gartner “Forecast: USB Flash Drives, Worldwide, 2001-2011” 24 September 2007, Joseph Unsworth
• Gartner “Dataquest Insight: PC Forecast Analysis, Worldwide, 1H08” 18 April 2008, Mikako Kitagawa, George Shiffler III
Основной
Основной
Основной Съемные носители
ПК
Мировой объем продаж (тыс.)
http://msplatforma.ru
Microsoft Платформа 2010
Windows 7 BitLocker To Go Тип
устройстваМетоды доступа
Методы восст-ия
Управление
Доп. требования
Съемные носители
информации,
например:
устройства USB flash
внешние жесткие диски
Пароль
Смарт-карта
Автомати-ческое
монтирование
Пароль восстано-вления
Ключ восстано-вления
Резервная копия
пароля восстано-вления в
Active Directory
DataRecovery
Agent
Более жесткий
контроль с помощью групповых политик
Опция обязатель-
ного шифрован
ия для получения
права записи на носитель
NTFSFAT
FAT32ExFAT
http://msplatforma.ru
Microsoft Платформа 2010
Windows 7 BitLocker To Go Новые методы доступа
Применение паролей
Отсутствие особых требований к оборудованию Легкое перемещение носителей внутри предприятия и за его пределами Управление длиной и сложностью паролей с помощью групповых политик
http://msplatforma.ru
Microsoft Платформа 2010
Windows 7 BitLocker To GoНовые методы доступа
Применение смарт-карт Использование инфраструктуры PKI Наличие соответствующего оборудования Перемещение на любой компьютер с Windows 7 или Windows Server 2008 R2Более стойкая защита по сравнению с паролями
http://msplatforma.ru
Microsoft Платформа 2010
Windows 7 BitLocker To GoНовый механизм восстановления
Data Recovery Agents (DRA)Используется механизм цифровых сертификатов
Открытый ключ распространяется через групповые политики и применяется при монтировании любого тома Закрытый ключ хранится DRA
ИТ-отдел может получить доступ к любому зашифрованному носителю организации Базируется на инфраструктуре PKI Один ключ для всех устройств – экономия места в базе AD Применяется к любым разделам (ОС и данных)
http://msplatforma.ru
Microsoft Платформа 2010
Windows 7 BitLocker To Go Обязательное шифрование
Обязательное включение BitLocker для съемных носителей
Запись на носитель возможна только, если для этого носителя включен BitLockerДоступ на запись появится только после полного завершения шифрования При появлении нового носителя в системе, можно либо включить для него BitLocker, либо получить доступ «Только чтение»
http://msplatforma.ru
Microsoft Платформа 2010
Бешков Андрей
Эксперт
Microsoft
Демонстрация
BitLocker в Windows 7
http://msplatforma.ru
Microsoft Платформа 2010
AppLocker
http://msplatforma.ru
Microsoft Платформа 2010
Windows 7
Контроль за приложениями Ситуация сегодня
Устранение нежелательного или неизвестного ПО Стандартизация ПО предприятия Управление на основе гибких правил в объектах групповых политиках
AppLockerTM
Пользователи могут устанавливать и запускать нестандартные приложенияДаже члены группы Users могут устанавливать некоторые типы ПО Неавторизованное ПО:
Повышает риск заражения вирусами Увеличивает количество обращений в ИТСнижает эффективность работы Нарушает соответствие требованиям
http://msplatforma.ru
Microsoft Платформа 2010
AppLockerКлючевые элементы
Наборы (типы) правилИсполняемы файлы (.exe), инсталляционные файлы (.msi), скрипты, DLL
Структура правила Действие, пользователь/группа, условие, исключения
Мастер создания правилРежим аудита Автоматическая генерация правил
http://msplatforma.ru
Microsoft Платформа 2010
Наборы правил Типы правил
ExecutableInstallerScriptDLL (по умолчанию выключен)
Позволяют создавать более гибкие правила, основанные не только на исполняемых файлах
“Разрешить устанавливать подписанные обновления для приложений Microsoft Office версии 12.*”
http://msplatforma.ru
Microsoft Платформа 2010
Структура правила
ДействиеAllow – запускать указанные приложения, блокировать остальныеDeny – блокировать указанные приложения, запускать остальные
На кого распространяется Пользователь или группа
УсловиеИздатель (Publisher) Путь (Path) Хэш файла (File hash)
Исключения
“Запускать подписанные приложения Microsoft Office версии 12 и выше за исключением Microsoft Access”
http://msplatforma.ru
Microsoft Платформа 2010
Условие «Издатель» Основывается на цифровых подписях приложений
Позволяет указывать атрибуты приложения
Обеспечивает корректность правила для приложения и его обновлений
“Запускать подписанные приложения пакета Microsoft Office версии 12 и выше”
http://msplatforma.ru
Microsoft Платформа 2010
Итоги
Windows Vista содержит фундаментальные изменения в системе безопасности Этот фундамент определяет вектор развития технологий безопасности в последующих версиях Windows, включая Windows 7Безопасность – ключевое направление инвестиций как для Microsoft, так и для заказчиков
http://msplatforma.ru
Microsoft Платформа 2010
Ресурсы
Мой блог: http://blogs.technet.com/abeshkov Технический центр Springboard по Windows Client: http://microsoft.com/springboard Русскоязычный блог о Windows Client для IT-специалистов: http://blogs.technet.com/springboard-ru Центр разработки для Windows: http://msdn.com/windows
http://msplatforma.ru
Microsoft Платформа 2010
Вопросы
Бешков АндрейЭксперт
[email protected]://blogs.technet.com/abeshkov/
Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада