6.05 Повышенная безопасность ОС Windows Vista построена на основе передовых технологий безопасности из состава Windows XP с пакетом обновления 2 (SP2), однако в ее архитектуру были внесены фундаментальные изменения, помогающие лучше защитить клиентов от непрерывно совершен- ствующихся угроз, в том числе червей и других типов вредоносных программ. Проектирование и разработка Windows Vista осуществ- лялись в соответствии с жесткими требованиями процесса SDL, который обеспечивает существенное снижение количества и серь- езности имеющих отношение к безопасности ошибок в конструкции и программном коде. Благодаря этому уменьшается уязвимость операционной системы перед возможными атаками, а это, в свою очередь, повышает целостность системы и приложений и помогает компаниям безопаснее управлять своими сетями и изолировать их. Кроме того, в состав Windows Vista включены новые функции, обеспечивающие многоуровневую защиту от вредоносных программ, несанкционированного проникновения в систему и кражи данных. Такой подход основан на следующих принципах: ?? Предотвращение атак ?? Изоляция для ограничения потенциального ущерба ?? Восстановление для возвращения подвергнувшихся атаке компьютеров в работоспособное состояние ?? Управление идентификацией пользователей и правами доступа, чтобы только легитимные пользователи могли получить доступ к устройствам, приложениям и данным Windows Vista поддерживается службами Windows Update, автоматического обновления и Microsoft Update, а также программой проверки обновлений для программного обеспечения, в рамках которой обновления перед выпуском подвергаются всестороннему тестированию. Операционная система разработана таким образом, чтобы отвечать будущим требованиям стандарта Common Criteria, что необходимо для получения сертификата Evaluation Assurance Level 4 и успешного прохождения проверки на соответствие стандарту обработки правительственных данных 140-2 (Federal Information Processing Standard 140-2). Предназначенные для ИТ-специалистов сведения об усовершен- ствованной системе безопасности Windows Vista представлены в трех последующих разделах: «Борьба с угрозами и устранение уязвимостей», «Управление идентификацией пользователей и Руководство по Windows Vista (вторая бета-версия) Стр. 269 из 334 © Корпорация Майкрософт, 2006 правами доступа», а также «Защита данных и выполнение законодательных требований». Борьба с угрозами и устранение уязвимостей ИТ-отделам компаний и индивидуальным пользователям приходится тратить много времени и ресурсов, занимаясь устранением и профилактикой проблем, вызванных вредоносным программным обеспечением. В состав Windows Vista входят мощные функции, позволяющие предотвращать установку вредоносных программ или выявлять и удалять их прежде, чем они нанесут какой-либо ущерб. За счет этого повышаются производительность и безопас- ность компьютера, а также сокращается количество обращений в службу поддержки. Шпионское и другое нежелательное программное обеспечение Защитник Windows (прежнее название — Microsoft AntiSpyware) поможет обнаружить, удалить или заблокировать шпионские и другие нежелательные программы в режиме реального времени. Кроме того, в процессе обновления или перехода на Windows Vista используется основная подпись средства удаления вредоносных программ Майкрософт, позволяющая найти и удалить вирусы и другое вредоносное программное обеспечение. Можно загрузить и запустить средство в любое время после установки операционной системы с веб-страницы www.microsoft.com/security либо делать это ежемесячно с помощью компонента «Автоматическое обнов- ление». (Примечание. Применение данного средства не отменяет необходимости установить антивирусное ПО.) Дополнительные сведения о корпоративном решении для борьбы с вредоносными программами Microsoft Client Protection можно найти на веб-странице www.microsoft.com/windowsserversystem/solutions/security/ clientprotection/default.mspx. Персональный межсетевой экран Один из наиболее действенных способов устранения угроз безопас- ности заключается в ограничении количества приложений, которые имеют право получать доступ к сети. Важной составляющей этой стратегии является встроенный персональный межсетевой экран Windows Vista. С его помощью администратор может разрешить определенному приложению функционировать локально, но заблокировать возможность обмена данными по сети. Так, брандмауэр Windows в Windows Vista позволяет администратору запретить приложениям (например, мультимедийным программам) обращаться к другим компьютерам или отвечать на их запросы. Такие приложения будут поддерживать воспроизведение музыкаль- Для получения дополнительных сведений о защитнике Windows см. раздел 3.08: «Защитник Windows» на стр. 96. Руководство по Windows Vista (вторая бета-версия) Стр. 270 из 334 © Корпорация Майкрософт, 2006 ных композиций или просмотр видеофильмов на локальном компьютере, но не смогут подключаться к веб-узлам в Интернете. Кроме того, улучшению управляемости, в том числе на уровне всей компании, способствует то, что параметры межсетевого экрана Windows Vista можно настраивать через объекты групповой политики. Ограничение полномочий служб Windows Персональный межсетевой экран тесно взаимодействует с новой технологией ограничения полномочий служб Windows, которая помогает предотвратить использование системных служб Windows для выполнения непредусмотренных действий в файловой системе, реестре или сети. Брандмауэр Windows поддерживает фильтрацию входящего и исходящего трафика и позволяет применять сетевые правила ограничения полномочий системных служб. Кроме того, с помощью таблиц управления доступом (ACL) службам можно разрешить производить запись только в определенные области файловой системы и реестра. Благодаря этому служба, которая попала под контроль злоумышленника, будет не в состоянии изменить важные параметры конфигурации в файловой системе и реестре или заразить другие компьютеры в составе сети. Например, можно запретить службе удаленного вызова процедур (RPC) переписывать системные файлы или модифицировать реестр. Защита сетевого доступа (NAP) Клиент защиты сетевого доступа (NAP) в Windows Vista помогает защититься от возможных атак из сети путем составления списка требований к состоянию клиентских компьютеров (например, наличие определенных обновлений для ПО и обновленной базы описаний для антивирусной программы) и проверки соблюдения этих требо- ваний при подключении компьютеров к сети. Клиентские компью- теры, которые не соответствуют установленным требованиям, в сеть не допускаются. Интегрированное управление межсетевым экраном и IPSec В Windows Vista функции управления межсетевым экраном и безопасностью протокола Интернета (IPSec) собраны на консоли «Брандмауэр Windows в режиме повышенной безопасности». Эта консоль повышает наглядность конфигурации системы безо- пасности и позволяет централизованно осуществлять фильтрацию входящего и исходящего трафика, а также настраивать параметры изоляции сервера IPSec и домена. Для получения дополнительных сведений о про- токоле IPSec см. раздел 6.06: «Расширенные сетевые возможности» на стр. 281. Руководство по Windows Vista (вторая бета-версия) Стр. 271 из 334 © Корпорация Майкрософт, 2006 Повышение безопасности работы в Интернете При разработке функций безопасности Internet Explorer 7 в составе Windows Vista на первом плане стояло достижение двух основных целей: защита пользователей от вредоносных программ и обеспечение безопасности их данных. ?? Защита от вредоносного программного обеспечения. Более «жесткая» система безопасности Internet Explorer 7 пресекает попытки запуска вредоносных программ на компьютерах пользователей. Например, консолидированный модуль анализа URL-адресов делает практически невоз- можными атаки, направленные на переполнение буфера или вызов сбоя при анализе. Элементы управления междоменными сценариями предотвращают попытки манипулирования содержимым в одном домене с помощью сценария из другого домена в Интернете. Кроме того, в Internet Explorer 7 реализован новый механизм безопас- ности под названием ActiveX Opt-In, помогающий не допустить непреднамеренного использования элементов управления ActiveX, которые были предварительно установлены на компьютере, но еще не включались. При просмотре неизвестных веб-узлов функция ActiveX Opt-In запрашивает у пользователя разрешение на предо- ставление доступа к не использовавшемуся ранее элементу управления ActiveX. В защищенном режиме (доступен только в Windows Vista) обозреватель Internet Explorer 7 защищает пользователей от загруженных вредоносных программ, запрещая им производить запись в какие-либо ресурсы из зоны «Мой компьютер», кроме временных файлов Интернета. В этом режиме Internet Explorer 7 не может вносить изменения в пользовательские и системные файлы и параметры. Все взаимодействие происходит при помощи промежуточного процесса между обозревателем Internet Explorer и операци- онной системой. Этот процесс запускается только тогда, когда пользователь щелкает мышью меню или окно Internet Explorer. Все действия, запускаемые по сценарию, или автоматические процессы не могут загружать данные или влиять на работу системы. Защищенный режим Internet Explorer также обеспечивает безопасность просмотра на вкладках: для содержимого, находящегося вне текущей зоны безопасности, вместо вкладок открываются новые окна. Руководство по Windows Vista (вторая бета-версия) Стр. 272 из 334 © Корпорация Майкрософт, 2006 ?? Защита данных от хищения. В Internet Explorer 7 реализован ряд усовершенствований, направленных на защиту личных данных пользователей. ¦ Строка состояния безопасности. Предоставляет четкие и хорошо заметные визуальные сведения о безопасности и надежности веб-узлов (например, значок замка при посещении безопасного узла или результаты проверки сертификатов), позволяя поль- зователю быстро распознавать подлинные веб-узлы. ¦ Фильтр фишинга. Этот компонент Internet Explorer 7 повышает безопасность работы в Интернете путем предупреждения пользователя о подозрительных веб-узлах и веб-узлах, которые занимаются несанк- ционированным сбором данных. ¦ Адресная строка во всех окнах. Все окна обозрева- теля Internet Explorer 7 должны иметь адресную строку. Хакеры часто используют вполне легальные действия со всплывающими окнами для отображения изображений и данных, обманным путем убеждающих пользователей загрузить и установить вредоносные программы. Наличие адресной строки в каждом окне позволяет пользователям получать сведения об истин- ном источнике той информации, которую они видят. ¦ Команда удаления журнала обозревателя. В прошлом пользователям приходилось по отдельности удалять сведения из журнала и кэша, стирать записи об авто- матическом заполнении форм и очищать список программ, запущенных при помощи команды «Пуск/Выполнить». Команда удаления журнала обозревателя дает возможность одним нажатием кнопки немедленно очистить журнал использования обозревателя и все личные данные. Безопасность 64-разрядных версий Используя функции безопасности современных 64-разрядных процессоров, 64-разрядные версии Windows Vista обеспечивают улучшенную защиту от наиболее разрушительных вирусов и червей на аппаратном уровне. Предотвращение выполнения данных На протяжении нескольких последних лет атаки, имеющие целью вызвать переполнение буфера, нанесли немало вреда системам под управлением Windows. Переполнение буфера возникает, когда область памяти (буфер), которая имеет ограниченный размер, получает слишком много данных и неправильно их обрабатывает. Для получения дополнительных сведений о функциях безопасности см. раздел 3.06: Internet Explorer на стр. 61. Руководство по Windows Vista (вторая бета-версия) Стр. 273 из 334 © Корпорация Майкрософт, 2006 Например, если почтовый клиент способен обрабатывать вложенные файлы, в названии которых не больше 255 символов, а в почтовый ящик поступает сообщение, содержащее вложение с названием длиной 256 символов, может наступить переполнение буфера. При этом переписываются смежные участки памяти и может быть выполнен вредоносный программный код. Печально известный вирус MSBlaster использовал именно эту уязвимость. 64-разрядные версии Windows Vista защищают компьютеры от переполнения буфера за счет поддержки реализованной в 64-разрядных процессорах функции предотвращения выпол- нения данных. Эту функцию ни в коем случае не следует считать заменой качественного и правильно внедренного ПО для борьбы с вирусами и другими вредоносными приложениями, однако она является важным дополнительным уровнем безопасности, с помощью которого, скорее всего, можно было бы остановить распространение червя MSBlaster. PatchGuard 64-разрядные версии Windows также поддерживают технологию Microsoft PatchGuard, которая предотвращает внесение исправлений в ядро Windows программами, не имеющими соответствующих полномочий. Это существенно повышает общую безопасность и надежность Windows и является дополнительной мерой защиты от вредоносных программ. Технология PatchGuard не разрешает драйверам режима ядра расширять возможности или заменять другие службы ядра, а сторонним приложениям — модифицировать его компоненты. Подписывание драйверов Компании и частные пользователи, которые предъявляют очень высокие требования к безопасности, имеют дополнительное основание, чтобы остановить свой выбор на 64-разрядной версии Windows Vista: все драйверы режима ядра, выполняющиеся на компьютере под управлением 64-разрядной версии Windows Vista, должны быть подписаны разработчиком. Подписывание драйверов не является гарантией безопасности, однако позволяет распознавать и предотвращать многие атаки и предоставляет корпорации Майкрософт возможность оказывать помощь разработчикам с целью повышения общего качества драйверов и снижения количества возникающих из-за них сбоев. В комбинации с поддержкой функции DEP на аппаратном уровне подписывание драйверов делает 64-разрядную версию Windows Vista самой надежной и безопасной из всех когда-либо выпущенных операционных систем Windows. Руководство по Windows Vista (вторая бета-версия) Стр. 274 из 334 © Корпорация Майкрософт, 2006 Борьба с угрозами и устранение уязвимостей — основные возможности Возможность Краткое описание Бета- версия Шпионские программы Защитник Windows Поиск шпионских и других нежелательных программ и их блокирование в режиме реального времени. 2 Персональный межсетевой экран Фильтрация исходящего трафика Фильтрация как исходящего, так и входящего трафика. 2 Ограничение полномочий служб Windows Ограничение полномочий служб Windows Каждой службе сопоставляется защищенный от записи маркер, который ограничивает доступ к файлам, реестру и сети операциями, необходимыми для нормальной работы соответствующей службы. 1 Защита сетевого доступа Агент клиента защиты сетевого доступа (NAP) Агенты работоспособности системы определяют наличие необходимых исправлений и описаний вирусов, а также параметры конфигурации системы; агент карантина сообщает состояние клиентского компьютера и координирует действия агентов работоспособности системы и серверной службы принудительного помещения на карантин. 1 Интегрированное управление межсетевым экраном и IPSec Брандмауэр Windows в режиме повышенной безопасности Повышает наглядность конфигурации системы безопасности, позволяя централизованно осуществлять фильтрацию входящего и исходящего трафика. 2 Полная поддержка протокола Интернета версии 6 (IPv6) Настройка протокола IPv6 через интерфейс пользователя и объекты групповой политики. 2 Повышение безопасности работы в Интернете — защита от вредоносных программ ActiveX Opt-In Запрашивает разрешение пользователя при первом запуске элемента управления ActiveX. 2 Защищенный режим Internet Explorer может производить запись только в папку временных файлов Интернета. 2 Повышение безопасности работы в Интернете — защита данных от хищения Строка состояния безопасности Подсветка адресной строки во время пребывания на безопасном веб- узле и возможность быстро проверить достоверность сертификата узла. 1 Фильтр фишинга Предупреждает пользователя при попытке перейти на веб-узел с подозрительным адресом TCP/IP или URL (например, содержащим специальные символы). Когда пользователь открывает веб-страницу, фильтр производит поиск в интерактивной базе данных веб-узлов, которые были замечены в несанкционированном сборе данных. 2 Удалить журнал обозревателя Удаление всех кэшированных данных (включая содержимое журнала, кэша обозревателя и форм) одним щелчком мыши. 1 Безопасность 64-разрядных версий Предотвращение выполнения данных Блокирует выполнение нежелательного программного кода при переполнении памяти. 1 PatchGuard Запрещает программам, не имеющим надлежащих прав, расширять возможности или заменять отдельные части ядра Windows. 1 Подписанные драйверы режима ядра С целью предотвращения атак со стороны вредоносных программ разработчики обязаны подписывать драйверы режима ядра для Windows. 2 Руководство по Windows Vista (вторая бета-версия) Стр. 275 из 334 © Корпорация Майкрософт, 2006 Управление идентификацией пользователей и правами доступа В Windows Vista реализован ряд функций, позволяющих ИТ-специ- алистам проверять подлинность пользователей и контролировать доступ к устройствам, приложениям и данным. Контроль учетных записей пользователей (UAC) Контроль учетных записей пользователей в Windows Vista представляет собой набор инфраструктурных технологий, помо- гающих компаниям создавать лучше управляемые настольные системы, делать их менее уязвимыми для вредоносных программ и уменьшать ущерб от деятельности таких программ. Функция UAC позволяет пользователям запускать приложения и задачи, имея обычный набор прав. При этом доступ административного уровня требуется только для процессов, выбранных пользователем или ИТ-отделом. Кроме того, данная функция упрощает сохранение неизменной конфигурации настольных систем, поскольку не до- пускает несанкционированной установки приложений и неумыш- ленного изменения системных параметров (что способно существенно снизить количество обращений в службу поддержки). В Windows XP есть два типа пользователей: обычные и админист- раторы. Обычные пользователи запускают приложения с помощью пользовательских учетных записей и являются членами группы «Пользователи». Администраторы запускают приложения с помощью административных учетных записей и являются членами локальной группы «Администраторы». Когда пользователь запускает прило- жение, его маркер доступа и сопоставленные административные полномочия во время выполнения применяются к приложению. Это означает, что приложение, запущенное членом группы «Администраторы», обладает всеми правами и разрешениями, которыми наделены локальные администраторы. (Аналогично, если то же самое приложение запускается членом группы «Пользователи», то оно получает все права, назначенные обычному пользователю.) В Windows Vista большинству приложений присваивается «административный» или «обычный» маркер. Если приложение не является административным, то Windows Vista по умолчанию запускает его в качестве обычного. Перед запуском администра- тивного приложения Windows Vista запрашивает у пользователя разрешение на выполнение приложения с повышенными правами. Это так называемый режим административного утверждения. По умолчанию запрос отображается, даже если пользователь входит в состав локальной группы «Администраторы»; любой администратор работает в качестве обычного пользователя Руководство по Windows Vista (вторая бета-версия) Стр. 276 из 334 © Корпорация Майкрософт, 2006 до тех пор, пока определенное приложение или компонент системы не затребует при запуске учетных данных администратора. (Этот процесс называется повышением прав.) Минимизировать ущерб, наносимый вредоносным программным обеспечением, можно путем уведомления пользователей в ситуациях, когда они собираются выполнить действие, способное нарушить конфигурацию системы (такое как установка приложения). После того как пользователь предоставляет необходимые учетные данные, Windows Vista предпринимает действия по защите административного приложения от атак со стороны приложений и процессов обычных пользователей. Поскольку установка приложений должна утверж- даться администратором, риск автоматической установки несанк- ционированных приложений снижается. Кроме того, обычные пользователи не имеют права менять параметры операционной системы (за немногочисленными исключениями, такими как изменение настроек дисплея, параметров управления питанием и временного пояса). Проверка подлинности Сегодня наиболее распространенным способом проверки подлинности является применение паролей. Однако подобная одноуровневая проверка имеет ряд недостатков. Простые, удобные для запоминания пароли легко разгадываются злоумышленниками. Более длинные и сложные пароли бывает трудно запомнить, и пользователи вынуждены записывать их на бумаге. Благодаря модернизации архитектуры Windows Vista поддерживает добав- ление альтернативных способов проверки подлинности, например на основе биометрических характеристик и маркеров. С целью внедрения собственных технологий проверки подлинности неза- висимые поставщики ПО и другие компании могут разрабатывать специальные поставщики учетных данных для усовершенствованной службы Winlogon. Модель поставщиков учетных данных значи- тельно проще фильтров GINA (Graphical Identification and Authorization), при этом несколько поставщиков могут функционировать параллельно. Авторизация Усовершенствованные функции управления правами в составе Windows Vista позволяют сохранять контроль над объектами интеллектуальной собственности и предоставлять доступ к конфиденциальным данным только уполномоченным поль- зователям. Для разработки прав и условий использования цифрового содержимого предназначен язык XrML (Extensible Rights Markup Language). Руководство по Windows Vista (вторая бета-версия) Стр. 277 из 334 © Корпорация Майкрософт, 2006 Подробный аудит С помощью функций аудита в Windows Vista можно легко отслеживать действия пользователей. Категории аудита теперь включают в себя ряд подкатегорий, за счет чего снижается количество несущественных событий. В Windows Vista реализован встроенный механизм сбора и пересылки важных событий аудита на центральную консоль с целью упорядочения и анализа данных аудита в рамках всей компании. Управление учетными данными Управление учетными данными (например, паролями и сертифи- катами) и оборудованием (например, смарт-картами для хранения учетных данных) является непростой задачей для многих компаний. Windows Vista содержит передовые средства для управления учетными данными перемещаемых пользователей, в том числе новую службу DIMS (Digital Identity Management Service) и новый процесс подачи заявки на сертификат. С помощью таких ресурсов, как автоматическое средство сброса персональных идентификаци- онных номеров (PIN), стало проще развертывать смарт-карты. Малые компании и индивидуальные пользователи теперь могут архивировать и восстанавливать учетные данные, хранящиеся в папке «Сохранение имен пользователей и паролей». Криптографические службы Криптография является важным компонентом служб проверки подлинности и авторизации Windows. В составе Windows Vista реализованы службы Crypto Next Generation (CNG) — об этом просили многие компании и правительственные учреждения. Первый выпуск CNG позволяет добавлять в Windows новые алгоритмы для использования с протоколами Secure Sockets Layer/Transport Layer Security (SSL/TLS) и IPSec. Кроме того, Windows Vista содержит новый процессор системы безопасности, обеспечивающий принятие решений о доверии для таких служб, как управление правами. Руководство по Windows Vista (вторая бета-версия) Стр. 278 из 334 © Корпорация Майкрософт, 2006 Управление идентификацией пользователей и правами доступа — основные возможности Возможность Краткое описание Бета-версия Контроль учетных записей пользователей Запрос согласия/ учетных данных Перед запуском приложения с полными административными правами на интерактивном рабочем столе пользователя появляется предложение подтвердить свое согласие или указать учетные данные. 2 Виртуализация В случае сбоя операций записи в общесистемные файлы и реестр они перенаправляются в профиль пользователя. Чтение происходит в первую очередь из виртуализованного/назначенного определен- ному пользователю места расположения, а уже затем — из обще- системных папок. Это позволяет запускать старые приложения без административных полномочий. 1 Режим административного утверждения Создается маркер «администратора» со всеми полномочиями, а когда пользователь с повышенными правами интерактивно входит в систему, путем отделения административных прав и групп выводится второй, «обычный», маркер. Этот маркер обычного пользователя по умол- чанию применяется для запуска рабочего стола и других приложений. 1 Значок щита Операции, для выполнения которых необходимы права администратора, в интерфейсе пользователя отмечены значком щита. Чтобы получить к ним доступ, обычному пользователю достаточно, не выходя из системы, указать учетные данные администратора. 2 Проверка подлинности Модернизированная архитектура службы Winlogon С целью внедрения альтернативных технологий проверки под- линности независимые поставщики ПО и другие компании могут разрабатывать собственные поставщики учетных данных, например на основе биометрических характеристик и маркеров. Модель поставщиков учетных данных значительно проще фильтров GINA (Graphical Identification and Authorization). Кроме того, несколько поставщиков могут функционировать параллельно. 1 Kerberos и усовершенство- вания протокола Поддержка новых сценариев использования, WS-* (стандарты веб- служб) и протокола IPv6, а также повышенная производительность. 2 Авторизация Диспетчер авторизации Улучшенное управление ролями, определениями и назначениями ролей; повышение масштабируемости и производительности. 1 XrML Поддержка языка XrML версий 2.0 и 1.2, который служит для разработки прав и условий использования цифрового содержимого. 1 Управление учетными данными Усовершенствованный диспетчер учетных данных Архивирует и восстанавливает учетные данные пользователей. 1 Подача заявки на сертификат Х.509 Переработанный процесс подачи заявки с мощными классами API для разработчиков и развитыми пользовательскими функциями. 1 Digital Identity Management Service (DIMS) Обеспечивает перемещение сертификатов и учетных данных в лесу Active Directory, а также поддерживает комплексные сценарии управления жизненным циклом сертификатов. 1 Управление смарт-картами Средства для упрощенного развертывания смарт-карт и управления ими, например автоматическое средство сброса номеров PIN. Стандартная модель API упрощает разработку средств для работы со смарт-картами. 1 Криптографические службы Crypto Next Generation (CNG) В рамках криптографической инфраструктуры предоставляет интер- фейсы API и среду, необходимые для добавления в систему новых алгоритмов или разновидностей существующих. Службы CNG под- держивают протоколы SSL/TLS и IPSec; в будущем планируется реа- лизовать поддержку других возможностей, например S/MIME и EFS. 2 Инфраструктура смарт- карт Через общий модуль карт предоставляется стандартный поставщик служб криптографии для карт всех типов; поддержка подключения к домену. 2 Руководство по Windows Vista (вторая бета-версия) Стр. 279 из 334 © Корпорация Майкрософт, 2006 Защита данных и выполнение законодательных требований В составе Windows Vista реализован ряд новых функций, с помощью которых ИТ-администраторы смогут обеспечивать целостность устройств и данных. Средство шифрования диска Windows BitLocker™ Средство шифрования диска BitLocker (прежде называвшееся полным шифрованием тома) — это функция защиты данных на аппаратном уровне, предназначенная для предотвращения доступа к корпоративным и личным данным на потерянных или украденных системах. Шифрование всего системного тома Windows не позволяет людям без соответствующих полномочий взломать защиту системы и файлов Windows с целью использования данных, содержащихся на потерянных или украденных компьютерах. Это помогает компаниям соблюдать законодательные требования в области защиты конфиденциальности данных и бороться с примене- нием оборудования не по назначению. Функция легко развертывается, удобна в эксплуатации и обеспечивает быстрое восстановление. Оптимальным хранилищем для ключа шифрования с точки зрения функции BitLocker является микросхема доверенного платформен- ного модуля TPM версии 1.2. Если технология развертывается в системе, не имеющей такой микросхемы, то ключ шифрования записывается на запоминающее устройство USB. В этом случае конечный пользователь должен при каждой загрузке системы подключать к ней устройство USB; кроме того, важно, чтобы устройство USB хранилось отдельно от компьютера, который оно защищает (злоумышленник, получивший в свое распоряжение компьютер пользователя и устройство USB с ключом шифрования, может расшифровать том). Преимущество микросхемы ТРМ заключается в том, что она имеет встроенную защиту от подделки. Клиент службы управления правами Windows (RMS) Служба управления правами помогает компаниям контролировать и защищать важные цифровые данные за счет интеграции смарт- карт, а также поддержки ключей большей длины и специальных средств обмена информацией при взаимодействии типа «бизнес- бизнес». В состав Windows Vista входит встроенный клиент RMS. Руководство по Windows Vista (вторая бета-версия) Стр. 280 из 334 © Корпорация Майкрософт, 2006 Шифрованная файловая система (EFS) Файловая система EFS служит для шифрования файлов и папок на уровне пользователя. Например, если на одном компьютере работают два пользователя, то с помощью файловой системы EFS каждый из них может шифровать свои данные так, чтобы они были недоступны другому. В составе Windows Vista управление файловой системой EFS по сети улучшено за счет возможности хранения ключей EFS на смарт-картах. Управляемая установка драйверов устройств Чтобы не допустить разглашения или кражи конфиденциальных данных и объектов интеллектуальной собственности, ИТ-админи- стратор может с помощью групповой политики Windows Vista заблокировать установку съемных запоминающих устройств (флэш-память USB, внешние жесткие диски и пр.). Защита данных и выполнение законодательных требований — основные возможности Возможность Краткое описание Бета- версия Средство шифрования диска BitLocker Полное шифрование системного загрузочного тома. 2 Клиент RMS Обеспечивает возможность создания защищенных документов и получения к ним доступа. (Требуется сервер RMS.) 2 Смарт-карты EFS Ключи файловой системы EFS можно хранить на смарт-карте. 2 Управление установкой драйверов устройств Можно настроить политики, запрещающие использовать съемные запоминающие устройства и другие драйверы устройств. 2 |