1 / 37

Технологии безопасности Windows 7

Технологии безопасности Windows 7. Бешков Андрей. Microsoft. Безопасность в Windows 7. Построенная на фундаменте Windows Vista, Windows 7 предоставляет мощные, управляемые и простые в использовании механизмы защиты. Прочный фундамент безопасности. Безопасный повсеместный доступ.

shel
Download Presentation

Технологии безопасности Windows 7

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Технологии безопасности Windows 7 Бешков Андрей Microsoft

  2. Безопасность в Windows 7 Построенная на фундаменте Windows Vista, Windows 7 предоставляет мощные, управляемые и простые в использованиимеханизмы защиты Прочный фундамент безопасности Безопасный повсеместный доступ Защита пользователей и инфраструктуры Защита данных • Фундамент Windows Vista • User Account Control • Расширенный аудит • Сетевая безопасность • Network Access Protection • DirectAccessTM • AppLockerTM • Internet Explorer 8 • Восстановление данных • RMS • EFS • BitLockerTM

  3. Безопасность в Windows 7 Построенная на фундаменте Windows Vista, Windows 7 предоставляет мощные, управляемые и простые в использованиимеханизмы защиты Прочный фундамент безопасности Безопасный повсеместный доступ Защита пользователей и инфраструктуры Защита данных • Фундамент Windows Vista • User Account Control • Расширенный аудит • Сетевая безопасность • Network Access Protection • DirectAccessTM • AppLockerTM • Internet Explorer 8 • Восстановление данных • RMS • EFS • BitLockerTM

  4. User Account Control

  5. User Account Control (UAC) • Цель • Пользователь должен работать в системе со стандартным набором прав • Проблема • Очень часто пользователи работают под административной учетной записью • Некоторые приложения запускаются только под административной учетной записью • Решение • Разрешить определенные операции для неадминистративных учетных записей, например, изменение часового пояса • Создать для приложений виртуальное представление каталогов файловой системы и разделов реестра • Реализовать удобное переключение к административным полномочиям

  6. Сеанс администратора • При входе создаются два маркера доступа: административный и обычный • При повышении полномочий • Происходит переключение в режим «Защищенный рабочий стол» для предотвращения спуфинг-атак • Для приложения используется административный маркер доступа

  7. Сеанс пользователя • При входе создается маркер доступа с обычными привилегиями • Для запуска приложения, которому необходимы административные права • Происходит переключение в режим «Защищенный рабочий стол» для предотвращения спуфинг-атак • Запрашивается пароль административной учетной записи • Для приложения формируется административный маркер доступа

  8. Виртуализация в UAC • Имидж виртуализуется, если обратное не указано в его манифесте • Виртуализация осуществляется в режиме ядра • Файловая система: фильтром-драйвером luafv.sys • Реестр: встроенными средствами • Перенаправляемые каталоги файловой системы: • \Program Files, \Windows, \Windows\System32 • Исключения • Защищенные от записи системные .EXE и DLL • Файлы с исполняемыми расширениями (.exe, .bat, .vbs, .scr и пр.) • Перенаправляемые разделы реестра • HKLM\Software • Исключения • Некоторые ключи подраздела Microsoft

  9. Виртуализация в UAC • Запись: перенаправляется в специальную зону конкретного пользователя • \Users\<Username>\AppData\Local\Virtual Store • HKCU\Software\Classes\VirtualStore • Чтение: сначала используется зона пользователя, затем глобальное расположение

  10. Повышение полномочий • Исполняемый файл может быть помечен признаком повышения полномочий следующими способами: • В манифесте • В системной базе совместимости приложений • Эвристически инсталлятором • Явным запросом пользователя

  11. Развитие User Account Control Windows 7 Windows Vista Усовершенствования UAC • По умолчанию все пользователи работают с обычными привилегиями, включая администраторов • Администраторы используют привилегии только для административных задач и приложений • Снижено количество приложений и задач ОС, требующих привилегий администратора • Приложения разделены на части, требующие/не требующие привилегий • Настройка запросов на повышение привилегий Преимущества Проблемы • Необходимо явное указание на повышение привилегий • Отключение UAC снижает защищенность системы • Пользователи могут выполнять расширенный набор задача • Окно UAC появляется реже

  12. User Account Control Бешков Андрей Эксперт Microsoft Демонстрация

  13. Bitlocker

  14. Назначение и особенности • Предотвращает несанкционированный доступ к данным • Обеспечивает полное шифрование всего тома, включая: • Файл подкачки, временные файлы и пр. • Использует Trusted Platform Module (TPM) v1.2 для хранения ключа и проверки целостности системы на этапе загрузки • Поддерживает защиту нескольких томов/устройств • Начиная с Windows Vista SP1

  15. Загрузочный раздел: Зашифрованная ОС Зашифрованный файл подкачки Зашифрованные временные файлы Зашифрованные данные Зашифрованный файл гибернации Где хранятся ключи? SRK (Storage Root Key) хранится в TPM SRK шифрует VMK (Volume Master Key) VMK шифрует FVEK (Full Volume Encryption Key), используемый для шифрования данных FVEK и VMK хранятся в загрузочном разделе Используемые ключи VMK FVEK 2 SRK 3 1 Загрузочный раздел 4 • Системный раздел: • MBR • Загрузчик • Утилиты загрузки Системный раздел

  16. BitLocker в Windows Vista *Начиная с Windows Vista SP1

  17. BitLockerв Windows 7Раздел ОС

  18. BitLocker в Windows 7Разбиение жесткого диска Замечание: дополнительные 50 МБ в разделе восстановления необходимы для моментального снимка при создании полной резервной копии

  19. Установка При обновлении с Windows Vista раздел ОС остается зашифрованным Поддерживается EFI Управление и восстановление Manage-BDE – теперь исполняемый файл Manage-BDE и утилита восстановления входят в состав Windows PE, Windows RE и Windows 7 Интерфейс Дублировать ключ/пароль восстановления Сбросить ПИН-код Дублировать ключ запуска BitLocker в Windows 7Установка и управление

  20. Защита данных Windows 7 Ситуация сегодня BitLocker To GoTM + Мировой объем продаж (тыс.) • Использование BitLocker на съемных носителях • Принудительное шифрование устройств через групповые политики • Упрощенная конфигурация BitLocker для жестких дисков • Gartner “Forecast: USB Flash Drives, Worldwide, 2001-2011” 24 September 2007, Joseph Unsworth • Gartner “Dataquest Insight: PC Forecast Analysis, Worldwide, 1H08” 18 April 2008, Mikako Kitagawa, George Shiffler III 

  21. Windows 7 BitLocker To Go

  22. Windows 7 BitLocker To GoНовые методы доступа • Применение паролей • Отсутствие особых требований к оборудованию • Легкое перемещение носителей внутри предприятия и за его пределами • Управление длиной и сложностью паролей с помощью групповых политик

  23. Windows 7 BitLocker To GoНовые методы доступа • Применение смарт-карт • Использование инфраструктуры PKI • Наличие соответствующего оборудования • Перемещение на любой компьютер с Windows 7 или Windows Server 2008 R2 • Более стойкая защита по сравнению с паролями

  24. Windows 7 BitLocker To GoНовый механизм восстановления • Data Recovery Agents (DRA) • Используется механизм цифровых сертификатов • Открытый ключ распространяется через групповые политики и применяется при монтировании любого тома • Закрытый ключ хранится DRA • ИТ-отдел может получить доступ к любому зашифрованному носителю организации • Базируется на инфраструктуре PKI • Один ключ для всех устройств – экономия места в базе AD • Применяется к любым разделам (ОС и данных)

  25. Обязательное включение BitLocker для съемных носителей Запись на носитель возможна только, если для этого носителя включен BitLocker Доступ на запись появится только после полного завершения шифрования При появлении нового носителя в системе, можно либо включить для него BitLocker, либо получить доступ «Только чтение» Windows 7 BitLocker To GoОбязательное шифрование

  26. BitLockerв Windows 7 Бешков Андрей Эксперт Microsoft Демонстрация

  27. AppLocker

  28. Контроль за приложениями Windows 7 Ситуация сегодня AppLockerTM • Пользователи могут устанавливать и запускать нестандартные приложения • Даже члены группы Users могут устанавливать некоторые типы ПО • Неавторизованное ПО: • Повышает риск заражения вирусами • Увеличивает количество обращений в ИТ • Снижает эффективность работы • Нарушает соответствие требованиям • Устранение нежелательного или неизвестного ПО • Стандартизация ПО предприятия • Управление на основе гибких правил в объектах групповых политиках

  29. AppLocker Ключевые элементы • Наборы (типы) правил • Исполняемы файлы (.exe), инсталляционные файлы (.msi), скрипты, DLL • Структура правила • Действие, пользователь/группа, условие, исключения • Мастер создания правил • Режим аудита • Автоматическая генерация правил

  30. Типы правил Executable Installer Script DLL (по умолчанию выключен) Позволяют создавать более гибкие правила, основанные не только на исполняемых файлах Наборы правил “Разрешить устанавливать подписанные обновления для приложений Microsoft Office версии 12.*”

  31. Структура правила • Действие • Allow – запускать указанные приложения, блокировать остальные • Deny – блокировать указанные приложения, запускать остальные • На кого распространяется • Пользователь или группа • Условие • Издатель (Publisher) • Путь (Path) • Хэш файла (File hash) • Исключения “Запускать подписанные приложения Microsoft Office версии 12 и выше за исключением Microsoft Access”

  32. Условие «Издатель» • Основывается на цифровых подписях приложений • Позволяет указывать атрибуты приложения • Обеспечивает корректность правила для приложения и его обновлений “Запускать подписанные приложения пакета Microsoft Office версии 12 и выше”

  33. Итоги • Windows Vista содержит фундаментальные изменения в системе безопасности • Этот фундамент определяет вектор развития технологий безопасности в последующих версиях Windows, включая Windows 7 • Безопасность – ключевое направление инвестиций как для Microsoft, так и для заказчиков

  34. Ресурсы • Мой блог: http://blogs.technet.com/abeshkov • Технический центр Springboard по Windows Client: http://microsoft.com/springboard • Русскоязычный блог о Windows Client для IT-специалистов: http://blogs.technet.com/springboard-ru • Центр разработки для Windows: http://msdn.com/windows

  35. Вопросы Бешков Андрей Эксперт abeshkov@microsoft.com http://blogs.technet.com/abeshkov/ • Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада

More Related