Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender № 674: новые боссы PlayStation, опасная стратегия Microsoft и ассасины в Японии

Gamesblender № 673: внезапная Hades II, закрытие студий Bethesda и контроль видеоигр в России

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Gamesblender № 657: дата выхода S.T.A.L.K.E.R. 2, «Индиана Джонс» от авторов Wolfenstein, закрытие Piranha Bytes, Larian против подписок

Gamesblender № 656: ремастер Half-Life 2, сиквел Cyberpunk 2077 и новый конкурент Steam Deck

Gamesblender № 654: главные события 2023 года в игровой индустрии

Будущее Starfield, фанаты The Day Before, Spider-Man 2 и Wolverine на PC! Новости игр ALL IN 21.12

Курьёзы на старте продаж VR-шлемов. Oculus Rift и HTC Vive

Игромания! Игровые новости, 22 мая (Ведьмак, Destiny 2, Life is Strange, Sega, GTA 5)

Во что поиграть на этой неделе — 7 сентября + Лучшие скидки на игры

Во что поиграть на этой неделе — 29 сентября (Total War: WARHAMMER 2, FIFA 18, Cuphead)

Half-Life Alyx, Bleeding Edge, Control: The Foundation, Breakpoint: Deep State. ВЧП от 27.03

Во что поиграть на этой неделе — 6 апреля (Infernium, The Adventure Pals, Minit)

Во что поиграть на этой неделе — 6 октября (Forza Motorsport 7, Battle Chasers, Road Redemption)

Игромания! ИГРОВЫЕ НОВОСТИ, 7 мая (Red Dead Redemption 2, Beyond Good and Evil 2, Hotline Miami)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1512
Видео: 220
Каталог файлов: 98
Каталог статей: 6794
Фотоальбом: 1236
Форум: 1142/8135
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1681
Сегодня: 0
Вчера: 0
За неделю: 1
За месяц: 13

Из них:
Пользователи: 1606
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1267
Девушек 412


ON-Line всего: 1
Гостей: 1
Пользователей: 0

Сейчас на сайте:


День Рождения у: kopxx(33), Prok(46), DDD(59), klinton777(44)
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Windows 7

На страже безопасности: Советы и рекомендации по защите Windows 7

Есть несколько очевидных мероприятий по обеспечению защиты компьютера: регулярно устанавливайте самые свежие исправления ОС и приложений, обзаведитесь самым свежим антивирусным ПО и используете сложные пароли, не забывая регулярно их менять. В этой статье речь пойдет о рекомендациях, которые выходят далеко за рамки перечисленных советов и позволят лучше задействовать имеющиеся в Windows 7 возможности защиты.

Знакомимся с BitLocker

BitLocker — одно из самых известных усовершенствований защиты в Windows 7. Эта технология шифрования жесткого диска и защиты целостности загрузочной среды впервые появилась в Windows Vista. BitLocker входит в редакции Enterprise и Ultimate операционной системы Windows 7. Технология не позволяет злоумышленнику извлечь данные с жесткого диска украденного ноутбука при условии, что на момент кражи компьютер был выключен.

С BitLocker связана одна сложность — восстановление данных после аппаратного сбоя, при котором были заблокированы защищенные тома. Поэтому, хотя BitLocker обеспечивает превосходную защиту, много ИТ-специалистов считают его проблематичным, потому что как правило сталкиваются с этой технологией, когда приходится восстанавливать данные.

Для восстановления данных требуется доступ к ключам или паролям BitLocker, относящимся к заблокированными томами. Когда компьютеров немного, следить за ключами и паролями просто, но если счет идет на сотни, задача сильно усложняется.

Групповые политики позволяют ИТ-специалистам сконфигурировать BitLocker так, чтобы шифрование активировалось только после успешного создания резервных копий ключей и паролей восстановления в Active Directory. Восстановление зашифрованных данных значительно упростилось за счет изменений, внесенных в оснастку «Active Directory — пользователи и компьютеры» (Active Directory Users and Computers) в Windows Server 2008 R2Ю, и появления Средства удаленного администрирования сервера (Remote Server Administration Tools) для Windows 7. Поиск паролей и ключей восстановления стал намного проще, чем в аналогичных средствах Windows Vista.

Вместо того, чтобы загружать, устанавливать и конфигурировать специальные средства, достаточно обратиться ключам и паролям восстановления BitLocker, используя вкладку «Восстановление BitLocker» (BitLocker Recovery) — она отображается на странице свойств учетной записи компьютера в оснастке «Active Directory — пользователи и компьютеры». Процесс резервного копирования ключей и паролей BitLocker состоит из трех этапов.

1. В редакторе групповой политики учетных записей компьютеров, которые будет защищать BitLocker перейдите в папку Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Защита диска BitLocker (Computer Configuration/Windows Settings/Administrative Templates/Windows Components/BitLocker Drive Encryption).

2. Если у компьютера лишь один диск, перейдите к узлу «Диски операционной системы» (Operating System Drives) и отредактируйте политику «Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker» (Choose how BitLocker-protected operating system drives can be recovered). Если на машине более одного диска, перейдите к узлу «Фиксированные диски с данными» (Fixed Data Drives) и отредактируйте политику «Выбор методов восстановления жестких дисков, защищенных с помощью BitLocker» (Choose how BitLocker protected fixed data drives can be recovered). Обратите внимание, что хотя политики можно настроить одинаково, действовать они будут на разные диски.

3. Чтобы настроить резервное копирование паролей и ключей BitLocker в Active Directory при включенной защите BitLocker, включите следующие параметры:

·       Сохранить данные восстановления BitLocker в AD DS для дисков операционной системы (Save BitLocker recovery information to AD DS for operating system drives) (а также для жестких дисков, если это требуется);

·       Не включать BitLocker до сохранения данных восстановления в AD DS для дисков операционной системы (Do not enable BitLocker until recovery information is stored in AD DS for OS drives) (а также для жестких дисков, если это требуется).

Ключи и пароли защищенных томов будут скопированы только после применения политики. Ключи и пароли томов, на которых защита BitLocker была сконфигурирована раньше, автоматически копироваться в Active Directory не будут. На таких компьютерах придется отключить и вновь включить BitLocker — только после этого информация восстановления попадет в Active Directory.

Настройка агента восстановления данных

Есть другой вариант восстановления защищенных BitLocker томов, не требующий указания своих уникальных паролей или ПИН-кодов для каждого компьютера — Агент восстановления данных (Data Recovery Agent, DRA). Это специальный связанный с учетной записью пользователя сертификат, который может использоваться для восстановления зашифрованных данных.

Агенты восстановления данных BitLocker настраиваются путем редактирования групповой политики и определения сертификата с помощью мастера добавления агентов восстановления данных, о котором поговорим чуть позже. До запуска мастера нужно установить сертификат агента восстановления в доступной файловой системе или опубликовать его в Active Directory. Выпустить сертификат можно на компьютере, на котором установлена служба сертификации Active Directory.

При попытке восстановления данных учетная запись пользователя с локальным сертификатом агента восстановления не сможет открыть защищенный механизмом BitLocker том. Чтобы открыть Мастер добавления агентов восстановления, перейдите к узлу Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Политики открытого ключа (Computer Configuration/Windows Settings/Security Settings/Public Key Policies), щелкните правой кнопкой «Шифрование диска BitLocker » (BitLocker Drive Encryption) и выберите «Добавить агент восстановления данных» (Add data recovery agent).

Чтобы активизировать BitLocker с агентом восстановления, нужно также установить флажок «Разрешить агент восстановления данных» (Enable data recovery agent) в политике «Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker» (Choose how BitLocker-protected operating system drives can be recovered) (если требуется, это же нужно сделать для жестких дисков). Одни и те же защищенные BitLocker тома можно восстанавливать как с помощью ключей и паролей, сохраненных в Active Directory, так и средствами агента восстановления.

Восстановление с помощью агента возможно только на защищенных BitLocker томах, на которых BitLocker был включен после применения политики. Преимущество этого метода по сравнению с восстановлением с применением пароля и ключа состоит в том, что агент действует как универсальный ключ BitLocker. Это позволяет восстанавливать защищенный том, зашифрованный в рамках политики, избавляя от необходимости искать уникальный пароль или ключ каждого восстанавливаемого тома.

Средство BitLocker To Go

Средний размер многих современных съемных дисков сравним с объемом хранилища общих файлов в отделах малого и среднего размера десять лет тому назад. Это создает ряд сложностей.

Во-первых, при утере или воровстве съемного диска компрометируется существенный объем корпоративных данных. Но большую проблему составляет то, что пользователи намного быстрее уведомят отдел ИТ об утере ноутбука, чем USB-диска, который может содержать гигабайты корпоративных данных.

Новое средство Windows 7, BitLocker To Go, позволяет защищать запоминающие USB-устройства примерно так же, как BitLocker защищает операционную систему и установленные диски. Настроив надлежащим образом групповую политику, можно запретить запись данных на съемные запоминающие устройства, не защищенные BitLocker To Go. Это повышает безопасность — ведь даже если пользователь потеряет съемное устройство, данные будут зашифрованы и посторонним будет совсем нелегко добраться до содержимого.

Соответствующая BitLocker To Go политика находится в узле Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Защита диска BitLocker/Съемные диски с данными (Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Removable Data Drives) объекта групповой политики. В этом узле есть следующие политики.

·       Управление использованием BitLocker для съемных дисков (Control use of BitLocker on removable drives). Эта политика позволяет определить порядок использования BitLocker To Go на съемных дисках, в том числе могут ли обычные пользователи включать или отключать BitLocker To Go на съемных устройствах. Например, можно разрешить определенным пользователям хранить данные на уже защищенных съемных дисках, но запретить им самостоятельно включать BitLocker на съемных устройствах.

·       Запретить запись на съемные диски, не защищенные BitLocker (Deny write access to removable drives not protected by BitLocker). Эта политика позволяет разрешить пользователям записывать данные только на устройства, защищенные шифрованием BitLocker To Go. Когда действует эта политика, посторонний человек не сможет беспрепятственно прочитать данные, хранящиеся на съемном устройстве, так как они защищены шифрованием.

·       Выбор методов восстановления съемных дисков, защищенных с помощью BitLocker (Choose how BitLocker-protected removable drives can be recovered). Эта политика позволяет сконфигурировать агент восстановления данных или хранить информацию для восстановления BitLocker To Go в Active Directory. Эта очень важная политика, потому как развертывая BitLocker To Go для защиты данных съемных устройств, обязательно нужно предусмотреть план восстановления данных в тех неизбежно возникающих ситуациях, когда пользователи забывает свой пароль BitLocker To Go.

При наличии политик BitLocker To Go для съемных устройств, пользователь должен будет вводить пароль, чтобы разблокировать устройство на другом компьютере. После ввода пароля пользователь сможет выполнять чтение и запись на устройство на компьютере с редакцией Enterprise или Ultimate операционной системы Windows 7. Можно также сконфигурировать BitLocker To Go так, чтобы у пользователей был доступ только для чтения защищенных средствами BitLocker To Go данных на компьютерах под управлением других операционных систем Microsoft.

Если в организации планируется использовать BitLocker To Go, нужно обязательно предусмотреть стратегию восстановления данных на случай, если пользователи потеряют или забудут пароль. Настройка восстановления BitLocker To Go похоже на ту же операцию в BitLocker. В этом случае нужно настроить политику «Выбор методов восстановления съемных дисков, защищенных с помощью BitLocker» (Choose how BitLocker-protected removable drives can be recovered) в узле Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Защита диска BitLocker/Съемные диски с данными (Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Removable Data Drives).

Можете организовать копирование паролей BitLocker To Go в Active Directory, где они будут доступны администраторам, пользующимся оснасткой «Active Directory — пользователи и компьютеры» (Active Directory Users and Computers), и учетной записи компьютера, на котором устройство изначально было защищено средствами BitLocker To Go. Можно также сконфигурировать политику защиты данных средствами агента восстановления данных, что позволит пользователю с сертификатом такого агента восстанавливать данные на дисках, не прибегая к паролям.

Настройка AppLocker

Никакая антивирусная программа не в состоянии перехватить абсолютно все вирусы или вредные программы, но можно создать дополнительный рубеж защиты с помощью AppLocker. Эта технология позволяет создать список приложений, считающихся безопасными, и позволить выполнение только таких приложений. Такой подход к защите компьютера очень неудобен тем, кто регулярно запускает новые и необычные программы, но в большинстве организаций системная среда стандартизована, а любые изменения приложений происходят постепенно, поэтому разрешение выполнять только «одобренные» приложения представляется вполне разумным.

В разрешающие правила AppLocker можно включить не только исполняемые файлы, но сценарии, DLL-библиотеки и MSI-файлы. Не разрешенные программы, сценарии, DLL или установщики выполняться не могут.

Имеющийся в AppLocker мастер облегчает задачу создания списка разрешенных приложений. Это одно из значительный усовершенствований AppLocker по сравнению с политиками ограничения, которые использовались в более ранних версиях Windows и обеспечивали аналогичную функциональность.

В AppLocker также поддерживаются правила идентификации файлов на основе цифровой подписи файла издателем — это позволяет разрешить выполнение не только существующих, но и будущих версий файла. Это избавляет администраторов от рутины обновления имеющихся правил после установки обновлений ПО. Обновленный исполняемый файл, сценарий, установщик или DLL будут автоматически удовлетворять условиям исходного правила. Подобное было невозможно в политиках ограничения, которые вынуждали администраторов обновлять правила при каждом изменении конфигурации ПО.

Чтобы создать стандартный набор политик AppLocker, который затем можно будет применять к другим компьютерам, выполните следующие операции.

1.     Создайте эталонный компьютер под управлением Windows 7 со всеми приложениями, которые будут использоваться в вашей среде.

2.     Войдите в систему компьютера под учетной записью пользователя с правами локального администратора.

3.     Откройте окно Редактора локальной групповой политики, выполнив команду Gpedit.msc в поле «Найти программы и файлы» (Search programs and files textbox).

4.     Перейдите в узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Политики управления приложениями/AppLocker/Исполняемые правила (Computer Configuration/Windows Settings/Security Settings/Application Control Policies/AppLocker/Executable Rules). Щелкните правой кнопкой узел «Исполняемые правила» (Executable Rules) и выберите «Создать правила автоматически» (Automatically generate new rules). Откроется окно «Создавать автоматически исполняемые правила» (Automatically Generate Executable Rules).

5.     В текстовом поле «Папка, содержащая файлы для анализа» (Folder that contains the files to be analyzed) введите c:\\. В текстовом поле «Имя, определяющее набор правил» (Name to identify this set of rules) введите Все исполняемые файлы (All Executables) и щелкните Далее (Next).

6.     На странице «Параметры правил» (Rule Preferences) выберите «Создать правила издателя для файлов с цифровой подписью» (Create publisher rules for files that are digitally signed) и, на тот случай, если файл не подписан, также выберите «Хэш файла: правила создаются с помощью хэша файла» (File hash: rules are created using a file’s hash). Убедитесь, что параметр «Группировать схожие правила (чтобы уменьшить количество правил)» (Reduce the number of rules by grouping similar files ) не выбран и щелкните Далее.

7.     Создание правила займет некоторое время. Когда завершится генерация правил, щелкните Создать (Create). На вопрос, нужно ли создавать правила по умолчанию, ответьте Нет (No).Эти правила не нужны, так как область действия создаваемых правил для всех исполняемых файлов более широка, чем у правил по умолчанию.

8.     Если на компьютере приложения хранятся на нескольких томах, повторите операции с 5 по 7, вводя соответствующее имя диска в мастере создания автоматически исполняемых правил.

9.     Создав правила, выполните экспорт списка разрешенных приложений в формате XML, для чего щелкните правой кнопкой узел AppLocker и выберите «Экспортировать список» (Export Policy). Можно также импортировать эти правила в другие объекты групповой политики, например расположенные на корпоративных ноутбуках. После применения этих правил средствами политики будет разрешено выполнение только тех приложений, которые были установлены на исходном компьютере.

10.  При конфигурировании AppLocker нужно не забыть убедиться, что работает Служба удостоверений приложений (Application Identity) и исполняемые правила применяются средствами политики. Если эта служба отключена, политики AppLocker применяться не будут. В групповой политике можно настроить автоматический запуск службы, но число пользователей с правами локального администратора нужно ограничивать, чтобы они не могли обойти ограничения, наложенные AppLocker. Чтобы включить применение исполняемых правил, откройте узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Политики управления приложениями/AppLocker (Computer Configuration/Windows Settings/Security Settings/Application Control Policies/AppLocker) и выберите «Свойства» (Properties). Установите флажок «Настроено» (Enable) в разделе «Правила исполняемых файлов» и убедитесь, что выбран вариант «Принудительное применение правил» (Enforce Rules).

Надеюсь, вы поняли, как реализовывать и восстанавливать BitLocker, использовать BitLocker To Go и конфигурировать политики AppLocker. Использование этих технологий наряду с выполнением обычных задач по обслуживанию (таких как своевременная установка обновлений и антивирусных программ) позволит повысить безопасность компьютеров под управлением Windows 7 в вашей организации.

 


Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " На страже безопасности: Советы и рекомендации по защите Windows 7 ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Sony Ericsson перекрасит логотип
Intel убирает с рынка Core i7 965
Супружеская неверность
Fable 2: новые скриншоты и видео
Вступительные ролики Wrath of the Lich King и Warhammer Online
В спаме виноваты мы сами
За первую неделю продано 1,4 млн The Sims 3
Данные 130 тысяч пользователей сети «ВКонтакте» похищены
Яндекс улучшил фильтрацию контента для взрослых
Раскрываем секреты Canon EOS 1D Mark IV
Скриншоты и отличия РС-версии GTA 4
Выход игры Dark Void откладывается до 2010 года
StarCraft 2 выйдет в 2009 году
Зафиксирована массовая рассылка писем с вредоносными программами
IE8 Beta 2 вызывает проблемы с Windows XP SP3
SPARKLE GeForce GTX 275 c 1792 Мб видеопамяти
E3 2009: трейлер экшена Front Mission Evolved
Симулятор «Ил-2 Штурмовик: Крылатые хищники» улетел в продажу
Рост интернет-трафика за последний год составил 53%
Diablo 3 невозможно взломать

Если вам понравился материал "На страже безопасности: Советы и рекомендации по защите Windows 7", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Windows 7 | Добавил: Фокусник (18.07.2010)
Просмотров: 1411

Ниже вы можете добавить комментарии к материалу " На страже безопасности: Советы и рекомендации по защите Windows 7 "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ



WMZ: Z143317192317
WMB: X706980753649

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.


Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.
30 абсолютно гениальных самодельных изобретений для жизни
30 абсолютно гениальных самодельных изобретений для жизни
Gamesblender № 271: сплав технологий в Quake Champions и чудеса совместимости Quantum Break
Gamesblender № 271: сплав технологий в Quake Champions и чудеса совместимости Quantum Break
Игрозор №192
Игрозор №192
Обзор игры Humankind
Обзор игры Humankind
Игрозор №193
Игрозор №193
Gamesblender № 206: в предвкушении E3 2015
Gamesblender № 206: в предвкушении E3 2015
Семён Слепаков- Обращение к акционерам Газпрома
Семён Слепаков- Обращение к акционерам Газпрома
#хочувигру — Трейлер (2021)
#хочувигру — Трейлер (2021)
10 самых опасных пород кошек
10 самых опасных пород кошек
Блондинка на бентли не догадывается, что ее снимают
Блондинка на бентли не догадывается, что ее снимают

Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
Балансирующие скульптуры Ежи Кендзёры, бросающие вызов гравитации (25 фото)
Балансирующие скульптуры Ежи Кендзёры, бросающие вызов гравитации (25 фото)
Города мира тогда и сейчас
Города мира тогда и сейчас
Прикольные фото для выходного дня (50 шт)
Прикольные фото для выходного дня (50 шт)
15-летний художник из Сербии рисует по памяти невероятно детализированные изображения животных (14 фото)
15-летний художник из Сербии рисует по памяти невероятно детализированные изображения животных (14 фото)
30 фотографий, сделанных за мгновение до провала
30 фотографий, сделанных за мгновение до провала
Неудачный день в картинках (27 фото)
Неудачный день в картинках (27 фото)
Свежие демотиваторы  (16 шт)
Свежие демотиваторы (16 шт)
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2024, Alex LTD and System PervertedХостинг от uCoz