Общие сведения о безопасности и защите
Применимо к:Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
Этот сборник содержит описания изменений в технологиях безопасности в Windows Server 2012 R2, Windows Server 2012, Windows 8.1 и Windows 8, а также ссылки на сведения об этих технологиях.
В следующей таблице приведены ссылки на доступную информацию для ИТ-специалистов о технологиях и возможностях безопасности в Windows Server 2012 R2, Windows Server 2012, Windows 8.1 и Windows 8. По мере того как станет доступным соответствующее содержимое, в таблицу будет добавлена информация о других технологиях и возможностях.
Функция или технология |
Обзор |
Что изменилось в Windows Server 2012 R2 |
Что изменилось в Windows Server 2012 |
|---|---|---|---|
Управление доступом |
Управление доступом помогает защитить файлы, приложения и другие ресурсы от несанкционированного использования. |
Группа безопасности "Защищенные пользователи" и приемники команд политик проверки подлинности обеспечивают дополнительную защиту учетных данных. Их управление осуществляется с помощью доменных служб Active Directory. В клиенте служб удаленных рабочих столов (RDS) доступен режим ограниченного администрирования. Дополнительные сведения см. в статье Защита учетных данных и управление ими. |
Добавлена возможность использования динамических политик на основе правил для защиты общих папок и файлов. Дополнительные сведения см. в разделе Динамический контроль доступа. Обзор сценария Редактор ACL был переработан для более четкого предоставления ключевой информации, необходимой для доступа к функциям управления доступа и управления ими. Дополнительные сведения см. в разделе Усовершенствованный редактор ACL. |
AppLocker |
Технология Windows AppLocker обеспечивает управление доступом к приложениям на основе политик. |
Чтобы упростить процесс анализа, AppLocker собирает сведения о командах для каждого процесса во время выполнения, записывает эти данные в журнал безопасности и сообщает, что "система пытается запустить процесс со следующими атрибутами:". |
Добавлены возможности по заданию правил в пакетах приложений, что упрощает управление приложениями Магазина Windows. Дополнительные сведения см. в разделе Упакованные приложения и правила установщика упакованных приложений в AppLocker. |
BitLocker |
Шифрование дисков BitLocker позволяет зашифровать все данные, хранящиеся на томе операционной системы и сконфигурированных томах данных, для компьютеров под управлением поддерживаемых версий Windows. С помощью доверенного платформенного модуля (TPM) можно гарантировать целостность компонентов ранних этапов загрузки. |
Расширение поддержки дополнительных платформ. Пароль восстановления теперь является FIPS-совместимым. Дополнительные сведения см. в разделе Новые возможности BitLocker. |
Добавлены усовершенствования для методов подготовки и шифрования, для обычных пользователей добавлена возможность изменения ПИН-кодов, обеспечена поддержка зашифрованных жестких дисков и добавлена функция разблокировки сети. Дополнительные сведения см. в разделе Новые возможности BitLocker для Windows 8 и Windows Server 2012 [перенаправлено]. |
Хранилище учетных данных |
Обзор хранилища учетных данных Управление хранилищем учетных данных осуществляется через компонент "Диспетчер учетных данных" панели управления. |
Усовершенствования хранилища учетных данных за счет веб-приложений с поддержкой брокера и возможность выбора учетных данных по умолчанию для каждого сайта |
Добавлена возможность программирования приложений Магазина Windows для использования хранилища учетных данных, внесены усовершенствования для перемещения учетных данных (отключено для компьютеров, присоединенных к домену). Дополнительные сведения см. в разделе Новые и измененные функции. |
Защита учетных данных |
Защита учетных данных и управление ими. Новые методы и функции для управления и защиты учетных данных во время проверки подлинности. |
Добавлены дополнительные параметры конфигурации защиты LSA, новая группа безопасности, новые способы группировки пользователей и применения определенных политик проверки подлинности. Дополнительные сведения см. в разделе Защита учетных данных и управление ими |
Отсутствует |
Зашифрованный жесткий диск |
Зашифрованный жесткий диск — это предоставляемая BitLocker функция для улучшения безопасности данных и управления ими. |
Шифрование устройств доступно в большинстве выпусков Windows. Дополнительные сведения см. в разделе Шифрование устройств. |
Представлено в Windows Server 2012 и Windows 8. Дополнительные сведения см. в разделе Поддержка зашифрованных жестких дисков для Windows. |
Модуль политики Exchange ActiveSync |
Общие сведения о системе Exchange ActiveSync политики Набор API-интерфейсов, позволяющих приложениям применять политики EAS на настольных компьютерах, ноутбуках и планшетных ПК для защиты данных, синхронизируемых из облака, например данные с Exchange Server. |
В некоторых случаях при превышении ограничений на максимальное количество неудачных попыток методы биометрического входа не отключаются. Дополнительные сведения см. в разделе Новые и измененные функции. |
Представлено в Windows Server 2012. |
Групповые управляемые учетные записи служб |
Обзор групповых управляемых учетных записей служб Групповая управляемая учетная запись службы обеспечивает те же функции, что и автономная управляемая учетная запись службы в рамках домена, а кроме того, расширяет функциональность на несколько серверов. |
Без изменений. |
Добавлена групповая управляемая учетная запись служб. Дополнительные сведения см. в разделе Новые возможности управляемых учетных записей служб. |
Kerberos |
Обзор проверки подлинности Kerberos Протокол Kerberos — это механизм проверки подлинности, используемый для проверки удостоверения пользователя или узла. |
Изменение поведения, когда учетная запись входит в группу безопасности "Защищенные пользователи". Дополнительные сведения см. в разделе Защита учетных данных и управление ими. |
Уменьшение числа сбоев проверки подлинности из-за большего размера билетов службы; изменения для разработчиков и ИТ-специалистов, изменения входа в систему со смарт-картой по умолчанию для проверки KDC, усовершенствования настройки и обслуживания. Важно! Для устройств, присоединенных к домену, теперь для входа со смарт-картой по умолчанию требуется, чтобы сертификат KDC был связан с ЦС в хранилище NTAuth. Дополнительные сведения см. в разделе Что нового в проверке подлинности Kerberos |
Параметры политики на локальном компьютере |
Общие сведения о параметрах политики безопасности Политика безопасности — это настраиваемый набор правил, которым следует операционная система при определении разрешений, предоставляемых в ответ на запрос доступа к ресурсам. Административные шаблоны групповой политики также могут использоваться для управления безопасностью. |
Параметр политики Системная криптография: Использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания был изменен в соответствии с изменениями процесса восстановления пароля BitLocker. Для улучшения аудита процессов параметр Аудит создания процессов был добавлен в узел Система раздела Административные шаблоны в области Конфигурация компьютера. |
Добавлены новые политики безопасности для улучшения управления. Дополнительные сведения см. в разделе Новые и измененные функции. |
Протокол NTLM |
Протоколы проверки подлинности NTLM основаны на механизме запроса и подтверждения, который доказывает серверу или контроллеру домена, что пользователю известен пароль, связанный с учетной записью. |
Изменение поведения, когда учетная запись входит в группу безопасности "Защищенные пользователи". Дополнительные сведения см. в разделе Группа безопасности "Защищенные пользователи". |
Без изменений. |
Пароли |
Наиболее распространенный метод проверки подлинности пользователя — использование секретной парольной фразы или пароля при входе пользователя в систему. |
Без изменений. Корпорация Майкрософт предлагает другие способы проверки удостоверений. Дополнительные сведения см. в разделах Общие сведения о смарт-картах и Виртуальные смарт-карты. |
Без изменений. |
Аудит безопасности |
Общие сведения об аудите безопасности Аудит безопасности позволяет идентифицировать атаки (успешные либо неуспешные), которые представляют угрозу для сети, и атаки, направленные на ресурсы, которые вы при анализе рисков определили как ценные. |
Без изменений. |
Добавлены политики аудита на основе выражений и улучшены возможности проводить аудит новых типов защищаемых объектов и съемных носителей. Дополнительные сведения см. в статье Новые возможности аудита безопасности. |
Мастер настройки безопасности |
Мастер настройки безопасности — это средство уменьшения поверхности, подверженной атакам, которое помогает администраторам в создании политик безопасности на основе принципа минимальных функций, необходимых для ролей сервера. |
Без изменений. |
Без изменений. |
Смарт-карты |
Смарт-карты предоставляют защищенные от несанкционированного вмешательства и мобильные решения обеспечения безопасности, предназначенные для таких задач, как проверка подлинности клиентов, вход в систему доменов, подписывание программного кода и обеспечение безопасности электронной почты. |
Улучшен процесс регистрации устройств с поддержкой TPM в качестве устройств виртуальных смарт-карт. Добавлены API-интерфейсы для упрощения процесса регистрации, что позволяет без труда регистрировать устройства с виртуальными смарт-картами независимо от их присоединения к домену и независимо от оборудования. |
Изменен порядок входа с использованием смарт-карты, поведение службы при запуске и останове и транзакции смарт-карт за счет добавления поддержки устройств Windows RT и приложений Windows 8. Дополнительные сведения см. в разделе Новые возможности смарт-карт. |
Политики ограниченного использования программ |
Обзор политик ограниченного использования программ Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. |
Без изменений. |
Без изменений. Добавлена дополнительная гибкость для AppLocker для управления программами в организации. Дополнительные сведения см. в разделе Технический обзор AppLocker. |
TLS/SSL (Schannel SSP) |
Обзор протоколов TLS/SSL (Schannel SSP) Канал SCHANNEL — это поставщик поддержки безопасности (SSP), в котором реализованы стандартные интернет-протоколы проверки подлинности SSL и TLS. |
Поддерживает "Возобновление сеанса TLS/SSL без расширения состояния на стороне сервера" (также известный как RFC 5077) на стороне сервера. Добавление согласование протокола приложения на стороне клиента Дополнительные сведения см. в разделе Новые возможности TLS/SSL (Schannel SSP) в Windows Server 2012 R2 и Windows 8.1. |
Изменен порядок управления доверенными издателями для проверки подлинности клиента, добавлена поддержка протокола TLS для расширений индикатора имени сервера (SNI) и добавлен протокол DTLS для поставщика. Дополнительные сведения см. в разделе Новые возможности TLS/SSL (Schannel SSP) в Windows Server 2012 R2 и Windows 8. |
Доверенный платформенный модуль (TPM) |
Обзор технологии доверенного платформенного модуля Технология доверенных платформенных модулей (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. |
Улучшения поставщика хранилища ключей TPM для аттестация платформы и ключей. Дополнительные сведения см. в разделе Обеспечение устойчивости к вредоносному программному обеспечению и Новые возможности доверенного платформенного модуля (TPM) в Windows 8.1. |
Улучшено администрирование и функциональные возможности, включая автоматическую подготовку и управления, измеряемую загрузку с поддержкой аттестация, виртуальные смарт-карты на основе TPM и защищенное хранилище для важных элементов. Дополнительные сведения см. в разделе Новые и измененные функции. |
Контроль учетных записей (UAC) |
Общие сведения о контроле учетных записей Контроль учетных записей помогает уменьшить влияние вредоносных программ. |
Без изменений. |
Внесено уточнение, упрощающее администрирование конфигурации UAC и сообщений. Дополнительные сведения см. в разделе Новые и измененные функции. |
Виртуальные смарт-карты |
Смарт-карты обеспечивают многофакторную проверку подлинности и совместимость со многими инфраструктурами смарт-карт, а также устраняют необходимость использования физических карт, поэтому пользователи с большей вероятностью будут придерживаться рекомендаций по поддержке безопасности в своей организации, а не обходить их. |
Улучшен процесс регистрации устройств с поддержкой TPM в качестве устройств виртуальных смарт-карт. Добавлены API-интерфейсы для упрощения процесса регистрации, что позволяет без труда регистрировать устройства с виртуальными смарт-картами независимо от их присоединения к домену и независимо от оборудования. Дополнительные сведения см. в разделе Виртуальные смарт-карты. |
Представлено в Windows Server 2012. |
Биометрическая платформа Windows и Биометрия Windows |
Обзор биометрической платформы Windows [W8] Биометрическая платформа Windows (WBF) — это набор служб и интерфейсов, обеспечивающих согласованную разработку и управление биометрическими устройствами, такими как сканер отпечатков пальцев. WBF повышает надежность и совместимость с биометрическими службами и драйверами. |
Усовершенствован клиент и соответствующие API-интерфейсы. Дополнительные сведения см. в разделе Биометрические данные отпечатков пальцев. |
Улучшена интеграцию сканеров отпечатков пальцев с быстрым переключением пользователей и синхронизация паролей с отпечатками пальцев. Дополнительные сведения см. в разделе Новые и измененные функции. |
Защитник Windows |
Защитник Windows — это полнофункциональное решение по защите от вредоносных программ, которое способно обнаруживать и останавливать распространение широкого диапазона потенциально вредоносных программ, включая вирусы. |
Доступно и включено по умолчанию в параметрах установки основных серверных компонентов и Core System Server (без пользовательского интерфейса). Дополнительные сведения см. в разделе Защитник Windows. |
Обновлено с антишпионского решения до полнофункционального решения по защите от вредоносных программ, которое способно обнаруживать и останавливать распространение широкого диапазона потенциально вредоносных программ, включая вирусы. |
См. также:
Безопасность Windows Server 2012 R2 и Windows Server 2012
Изменения в технологиях безопасности в Windows 8.1 [Win 8.1]