Руководство по безопасности для системы Windows Vista

  • Статья

Глава 3. Защита конфиденциальных данных

Опубликовано 7 февраля 2007 г.

Каждый год во всем мире происходит потеря, кража или ненадлежащее списание сотни тысяч компьютеров без соответствующих мер безопасности. Согласно опросу о компьютерных преступлениях и безопасности, проведенному ФБР и Институтом компьютерной безопасности США в 2006 г, убытки, связанные с потерей данных, выросли за предыдущий год на 65 %.

Включение в Windows Vista™ эффективных технологий и служб, которые устраняют риск разглашения или кражи данных, было одним из основных требований клиентов к корпорации Майкрософт. Причина этого отчасти в том, что злоумышленники могут использовать альтернативную операционную систему на клиентском компьютере, перенести его диск на другой компьютер или использовать иные способы автономной атаки для просмотра данных на потерянных или похищенных компьютерах. Во многих случаях последние законодательные и государственные нормы, направленные на защиту информации и конфиденциальности, также требуют защиты данных.

По этим причинам корпорация Майкрософт разработала новые и улучшила существующие возможности и службы, чтобы помочь организациям лучше защищать данные на клиентских компьютерах. Возможности и службы, которые рассматриваются в этой главе, предназначены для защиты данных на клиентских компьютерах под управлением Windows Vista в среде Enterprise Client. Конфигурация этих возможностей зависит от конкретных требований и среды. В главе описан процесс определения необходимой настройки следующих возможностей и служб для повышения соответствия требованиям к защите данных:

  • шифрование диска BitLocker™;

  • шифрованная файловая система (EFS);

  • служба управления правами (RMS);

  • управление устройствами.

Шифрование диска BitLocker, EFS, RMS и управление устройствами можно использовать для защиты конфиденциальных данных предприятия. Тем не менее каждая технология и метод выполняют определенные функции для защиты данных. Все эти технологии и методы являются дополнительными элементами защиты данных, и корпорация Майкрософт настоятельно рекомендует использовать их в общей стратегии безопасности предприятия. Эти технологии можно использовать по отдельности или вместе в зависимости от требований организации к безопасности. В следующей таблице приведены примеры использования этих технологий и методов в различных сценариях для защиты предприятия.

Таблица 3.1. Сравнение технологий защиты данных в Windows Vista

Сценарий     BitLocker         Файловая система EFS         RMS Управление устройствами
Защита данных на переносных компьютерах                                   
Защита данных на сервере филиала                          
Локальная защита файлов и папок одного пользователя                          
Защита данных на настольных компьютерах                                   
Защита файлов и папок на компьютере с общим доступом                 
Удаленная защита файлов и папок                 
Защита от неуполномоченных администраторов сети.                 
Удаленное применение политик документов                 
Защита содержимого при передаче                 
Защита содержимого во время совместной работы                 
Защита от хищения данных                 
##### На этой странице [](#eeaa)[Шифрование диска BitLocker](#eeaa) [](#edaa)[Шифрованная файловая система](#edaa) [](#ecaa)[Служба управления правами](#ecaa) [](#ebaa)[Управление устройствами](#ebaa) [](#eaaa)[Дополнительные сведения](#eaaa) ### Шифрование диска BitLocker Шифрование диска BitLocker позволяет защитить данные на клиентском компьютере. Весь том Windows шифруется для предотвращения нарушения защиты файлов Windows и системы, а также автономного просмотра злоумышленниками информации на защищенном диске. В самом начале загрузки BitLocker проверяет целостность системы и оборудования клиентского компьютера. При обнаружении попытки несанкционированного доступа к любым системным файлам или данным загрузка клиентского компьютера прекратится. BitLocker не позволяет злоумышленникам, которые используют другую операционную систему или запускают средства для атаки, обходить защиту файлов и системы Windows Vista или автономно просматривать файлы, хранящиеся на защищенном диске. Шифрование диска BitLocker позволяет заблокировать нормальную последовательность загрузки до ввода пользователем персонального идентификационного номера (ПИН) или вставки флэш-накопителя USB с соответствующими ключами дешифрования. Максимальная защита обеспечивается при наличии на компьютере доверенного платформенного модуля 1.2, защищающего данные пользователей и предотвращающего несанкционированный доступ к автономному клиентскому компьютеру под управлением Windows Vista. Спецификации и материалы о технологии доверенного платформенного модуля см. на веб-узле[группы Trusted Computing Group](http://www.trustedcomputinggroup.org/) (на английском языке). Если доверенный платформенный модуль недоступен, BitLocker защищает данные, но проверка целостности системы не выполняется. Технология BitLocker доступна в выпусках Windows Vista Enterprise Edition и Ultimate Edition для клиентских компьютеров. **Примечание**.   Технология BitLocker обеспечивает защиту раздела Windows и не заменяет файловую систему EFS. Она не шифрует данные, которые не хранятся в разделе Windows, но обеспечивает дополнительный уровень защиты для файловой системы EFS благодаря шифрованию ключей EFS в разделе Windows. #### Оценка риска Мобильные компьютеры обычно используются в незащищенных средах, в которых существует высокий риск их хищения или потери. Если злоумышленники получат физический контроль над системой, они могут обойти многие из мер безопасности, предназначенных для защиты системы и данных. Настольные компьютеры с общим доступом также подвержены значительному риску. Технология BitLocker прежде всего предназначена для снижения риска хищения данных с утерянных или похищенных компьютеров. Если злоумышленник получит физический доступ к компьютеру, это может иметь следующие последствия. - Злоумышленник может войти в систему Windows Vista и скопировать файлы. - Злоумышленник может запустить на клиентском компьютере другую операционную систему, чтобы: - посмотреть имена файлов; - скопировать файлы; - прочитать содержимое файла спящего режима или файла подкачки для обнаружения копий обрабатываемых документов в виде открытого текста; - прочитать содержимое файла спящего режима для обнаружения копий закрытых ключей программного обеспечения в виде открытого текста. Даже если файлы зашифрованы с помощью EFS, невнимательный пользователь может переместить или скопировать файл из зашифрованного расположения в незашифрованное, что приведет к тому, что информация в файле будет иметь формат открытого текста. Кроме того, ИТ-персонал, не знающий о требованиях, может не зашифровать скрытые папки, в которых приложения хранят резервные копии обрабатываемых файлов. Существуют также эксплуатационные риски, такие как получение доступа неавторизованными сотрудниками или изменение системных и корневых файлов, которое может препятствовать нормальной работе системы. #### Снижение рисков Чтобы снизить эти риски, необходимо защитить последовательность загрузки компьютера так, чтобы система запускалась только тогда, когда это разрешено. Кроме того, следует защитить операционную систему и файлы данных. #### Сведения о снижении рисков Технология BitLocker может снижать риски, определенные в предыдущем разделе "Оценка рисков". Тем не менее перед использованием BitLocker важно рассмотреть следующие требования и лучшие решения для этой возможности защиты данных. - Чтобы использовать оптимальную конфигурацию BitLocker, на клиентском компьютере должна быть установлена системная плата с микросхемой доверенного платформенного модуля 1.2, а реализация BIOS должна соответствовать требованиям Trusted Computing Group. Кроме того, может требоваться ключ запуска, который является дополнительным уровнем проверки подлинности. Ключ запуска — это либо дополнительный физический ключ (флэш-накопитель USB с записанным ключом, читаемым компьютером) или устанавливаемый пользователем ПИН. Также требуются надежные протоколы входа пользователей и паролей. - Для использования BitLocker необходимо правильно разбить жесткий диск компьютера на разделы. Для шифрования BitLocker требуются два тома с файловой системой NTFS: системный том и том операционной системы. Раздел системного тома должен иметь объем не менее 1,5 ГБ. - Конфигурации BitLocker, в которых не используется проверка подлинности с помощью внешнего ключа, могут быть подвержены атакам на базе оборудования. - Если BitLocker используется с ключом USB или ПИН, необходимо определить действия при потере ключей и ПИН. - Технология BitLocker оказывает небольшое влияние на производительность системы, которое обычно незаметно. Тем не менее если производительность системы очень важна (как в случае с серверами), необходимо тщательно протестировать конфигурацию, чтобы гарантировать, что использование ресурсов технологией BitLocker не приводит к существенному снижению производительности. - В зависимости от поставщика компьютера средства управления доверенным платформенным модулем могут требовать настройки вручную состояния устройства с доверенным платформенным модулем и установки пароля администратора в BIOS во время сборки, что сделает невозможным полностью автоматизированное развертывание и обновление системы на основе сценариев. - Чтобы использовать устройство с доверенным платформенным модулем, к нему должен быть применен ключ подтверждения (EK), который может предоставить поставщик компьютера или продавец, создающий добавочную стоимость товара, а также (после поставки системы) ИТ-персонал. Ключ EK необходимо защищать и отслеживать при использовании компьютера. - Если на компьютере отсутствует доверенный платформенный модуль, он должен поддерживать использование устройств USB при запуске, что дает возможность применять ключ запуска для разблокировки тома при загрузке. - BitLocker может влиять на процедуры распространения программного обеспечения, если программное обеспечение и обновления системы распространяются удаленно и в ночное время, а компьютеры перезагружаются без участия пользователей. Пример. - Если на компьютере в качестве предохранителя используется доверенный платформенный модуль и ПИН или доверенный платформенный модуль и ключ запуска, а в 2:00 производится развертывание обновления программного обеспечения, которое требует перезагрузки компьютера, компьютер не перезагрузится без ввода ПИН или ключа запуска. - Если для включения компьютеров в целях обслуживания используются функции пробуждения по сети или автоматического включения BIOS, на эти компьютеры будут также влиять доверенный платформенный модуль и ПИН или ключ запуска. - Обновления микропрограмм BIOS и доверенного платформенного модуля, распространяемые изготовителем оборудования, могут влиять на компьютеры с поддержкой BitLocker. Просмотрите инструкции изготовителя оборудования по установке, чтобы определить, будут ли сохраняться данные для восстановления (пароли и ключи для восстановления) после обновления, а также будут ли сохраняться дополнительные предохранители (ПИН или ключи запуска). - На компьютеры с поддержкой BitLocker могут влиять обновления приложений. Если во время установки или обновления изменяется диспетчер загрузки или файлы, которые оценивает BitLocker, произойдет сбой при загрузке системы и компьютер перейдет в режим восстановления. Перед установкой или обновлением приложений, которые влияют на среду загрузки Windows Vista, протестируйте их на компьютерах с поддержкой BitLocker. - На всех контроллерах домена в домене должна быть запущена система Microsoft® Windows Server® 2003 с пакетом обновления 1 (SP1) или более поздней версии. **Примечание**.   Windows Server 2003 требует расширить схему для поддержки хранения данных для восстановления BitLocker в службе каталогов Active Directory®. #### Процесс снижения рисков Используйте следующий процесс снижения риска, чтобы определить наилучший способ настройки BitLocker для защиты конфиденциальных данных на клиентских компьютерах. **Чтобы использовать этот процесс снижения риска** 1. Изучите технологию и возможности BitLocker. **Примечание**.   Дополнительные сведения о BitLocker см. на странице [Шифрование диска BitLocker](http://www.microsoft.com/technet/windowsvista/security/bitlockr.mspx) веб-узла Microsoft TechNet® (на английском языке). 2. Оцените потребность в BitLocker в существующей среде. 3. Проверьте, соответствуют ли все микропрограммы, оборудование и программное обеспечение, используемые в организации, требованиям BitLocker. 4. Определите системы в организации, которым требуется защита BitLocker. 5. Определите необходимый уровень защиты. Для запуска операционной системы может требоваться ПИН или ключ USB с ключами шифрования. Операционная система не будет запускаться без этих ключей. 6. Установите необходимые драйверы в тестовой системе. 7. Настройте BitLocker в тестовых системах с помощью объектов групповой политики. 8. После успешного завершения тестирования установите драйверы и настройте BitLocker в рабочих системах. ##### Использование групповой политики с BitLocker для снижения риска Корпорация Майкрософт рекомендует использовать два шаблона групповой политики для управления конфигурацией BitLocker. Эти шаблоны позволяют управлять конфигурацией доверенного платформенного модуля отдельно от других параметров BitLocker. В следующей таблице указаны параметры групповой политики для BitLocker, доступные в шаблоне VolumeEncryption.admx. Эти параметры можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Шифрование дисков BitLocker** **Таблица 3.2. Параметры шифрования диска BitLocker**
Параметр политики Описание Значение по умолчанию в ОС Windows Vista
Turn on BitLocker backup to Active Directory Domain Services Включает резервное копирование данных для восстановления BitLocker в Active Directory. К данным для восстановления относятся пароль для восстановления и некоторые уникальные идентификаторы. Не задан
Control Panel Setup: Configure recovery folder Определяет, будет ли мастер установки BitLocker запрашивать сохранение ключа восстановления в папку. Задает путь по умолчанию, который отображается при запросе папки для сохранения ключа восстановления мастером установки BitLocker. Не задан
Control Panel Setup: Configure recovery options Определяет, будет ли мастер установки BitLocker запрашивать создание пароля для восстановления. Пароль для восстановления — это последовательность из 48 цифр, которая создается случайным образом. Не задан
Control Panel Setup: Enable advanced startup options Определяет, будет ли мастер установки BitLocker запрашивать создание ПИН на компьютере. ПИН — это последовательность, состоящая из 4—20 цифр, которую пользователь вводит при каждом запуске компьютера. Для задания количества цифр нельзя использовать политику. Не задан
Configure encryption method Настраивает алгоритм шифрования и размер ключа, используемый BitLocker. Этот параметр политики применяется к полностью расшифрованному диску. Если диск уже зашифрован или выполняется его шифрование, изменение метода шифрования не будет применено. Не задан
Configure TPM platform validation profile Определяет способ защиты ключа шифрования тома доверенным платформенным модулем. Этот параметр политики не применяется, если компьютер не имеет совместимого доверенного платформенного модуля. Изменение этой политики также не влияет на существующие копии ключа шифрования. Не задан
В таблице выше приведено краткое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. В следующей таблице указаны параметры групповой политики для доверенного платформенного модуля, доступные в шаблоне TPM.admx. Эти параметры можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Система\\Trusted Platform Module Services** **Таблица 3.3. Параметры доверенного платформенного модуля**
Параметр политики Описание Значение по умолчанию Windows Vista
Turn on TPM backup to Active Directory Domain Services Управляет резервным копированием данных для восстановления доверенного платформенного модуля в Active Directory. К данным для восстановления относится криптографическое наследование пароля владельца доверенного платформенного модуля. Не задан
Configure the list of blocked TPM commands Управляет списком команд доверенного платформенного модуля, заблокированных Windows, которые относятся к групповой политике. Не задан
Ignore the default list of blocked TPM commands Управляет применением списка по умолчанию заблокированных команд доверенного платформенного модуля для компьютера. Не задан
Ignore the local list of blocked TPM commands Управляет применением локального списка заблокированных команд доверенного платформенного модуля для компьютера. Не задан
В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. Политики безопасности должны эффективно поддерживать пароли BitLocker и управление ключами. Эти политики должны быть достаточно полными, чтобы защищать данные, но не слишком ограничительными, чтобы не затруднять поддержку BitLocker. В следующем списке приводятся примеры политик. - Всегда требовать резервного копирования пароля для восстановления в Active Directory. - Всегда требовать резервного копирования сведения владельца доверенного платформенного модуля в Active Directory. - Использовать ключи восстановления наряду с паролями для восстановления в качестве резервного (альтернативного) метода восстановления. - Если используется доверенный платформенный модуль и ПИН или ключи запуска USB, изменять их регулярно по расписанию. - На компьютерах с доверенным платформенным модулем использовать пароль администратора BIOS для запрета доступа. - Запретить хранение пользователями ключей, например ключей запуска USB, на компьютере. - Хранить ключи восстановления централизованно для поддержки и аварийного восстановления. - Выполнять резервное копирование данных для восстановления для защиты автономных хранилищ. [](#mainsection)[К началу страницы](#mainsection) ### Шифрованная файловая система Шифрованную файловую систему (EFS) можно использовать для шифрования файлов и папок, чтобы обеспечить защиту данных от несанкционированного доступа. Файловая система EFS интегрируется с файловой системой NTFS, а ее работа полностью прозрачна для приложений. Когда пользователь или программа пытается получить доступ к зашифрованному файлу, операционная система автоматически получает ключ для расшифровки содержимого, а затем без подтверждения выполняет шифрование и расшифровку от лица пользователя. Пользователи, имеющие разрешенные ключи, смогут получать доступ к зашифрованным файлам и работать с ними точно так же, как с любыми другими файлами, при этом другим пользователям отказывается в доступе. Windows Vista включает множество новых возможностей для файловой системы EFS, связанных с безопасностью, производительностью и управляемостью. Ниже представлены новые возможности Windows Vista для EFS. - Можно хранить ключи пользователей на смарт-картах. - Можно хранить ключи восстановления на смарт-картах, что дает возможность восстанавливать защищенные данные без выделенного компьютера для восстановления (даже в сеансах удаленного рабочего стола). - Можно шифровать файл подкачки Windows с помощью EFS, используя ключ, создаваемый при запуске системы. Этот ключ удаляется при завершении работы системы. - Можно шифровать кэш автономных файлов с помощью EFS. В Windows Vista для этой возможности шифрования используется ключ пользователя, а не системы. Поэтому к файлам в кэше автономных файлов может получать доступ только тот пользователь, от лица которого выполнялось их кэширование. - Групповая политика включает множество новых параметров конфигурации, которые помогают применять политики предприятия. - EFS поддерживает более широкий ряд сертификатов пользователей и ключей. В Windows Vista было добавлено несколько новых параметров групповой политики, которые помогают администраторам определять и внедрять политики организации для EFS. К ним относятся возможность требования смарт-карт для EFS, принудительного шифрования файла подкачки, задания минимальной длины ключа для EFS и принудительного шифрования папки "Документы" пользователя. **Примечание**.   Корпорация Майкрософт рекомендует использовать BitLocker в сочетании с EFS для максимальной защиты данных. #### Оценка риска Несанкционированный доступ к данным может поставить под угрозу бизнес-процессы и снизить рентабельность. Данные особенно подвержены такому риску, если мобильные пользователи имеют доступ к одной и той же системе или применяются мобильные компьютеры. Область риска, которую должна устранять файловая система EFS, связана с хищением и компрометацией данных при потере или краже мобильных компьютеров или при их несанкционированном использовании сотрудниками компании. Такому риску также могут быть подвержены данные на компьютерах с общим доступом. Если злоумышленник получит физический доступ к компьютеру с незашифрованными данными, это может иметь следующие последствия. - Злоумышленник может перезагрузить компьютер и повысить свои привилегии до уровня локального администратора, чтобы получить доступ к данным пользователя. Злоумышленник также может загрузить средства для атаки путем перебора для получения пароля пользователя, что даст ему возможность войти в систему с учетной записью пользователя и получить доступ к его данным. - Злоумышленник может попытаться войти в систему Windows Vista и скопировать все данные, доступные пользователю, на съемный носитель, отправить их по электронной почте, скопировать их по сети или передать их по протоколу FTP на удаленный сервер. - Злоумышленник может запустить на компьютере другую операционную систему и скопировать файлы напрямую с жесткого диска. - Злоумышленник может подключить компьютер к другой сети, запустить похищенный компьютер, а затем удаленно войти в его систему. - Если пользователь кэширует сетевые файлы в папке "Автономные файлы", злоумышленник может повысить привилегии до уровня "Администратор/Локальный компьютер" и просмотреть содержимое кэша автономных файлов. - Любопытный коллега может открыть конфиденциальные файлы, принадлежащие другому пользователю компьютера с общим доступом. - Злоумышленник может запустить на компьютере другую операционную систем, просмотреть содержимое файла подкачки и найти копии обрабатываемых документов в виде открытого текста. #### Снижение рисков Чтобы уменьшить риск потенциальной компрометации данных, можно использовать шифрование данных при их сохранении на жестком диске. Улучшения технологий EFS в Windows Vista позволяют снизить риск в следующих ситуациях. - Можно использовать EFS, чтобы предотвратить чтение злоумышленником зашифрованных файлов с помощью другой операционной системы, потребовав предоставить ключ для расшифровки содержимого. Для обеспечения повышенной безопасности можно хранить такой ключ на смарт-карте. - Можно применять степень шифрования, используемую EFS, с помощью групповой политики. - Можно отклонять атаки злоумышленников, которые пытаются получить доступ к данным пользователя, используя перебор паролей, храня ключи EFS пользователя на смарт-карте или используя BitLocker в сочетании с EFS, чтобы запретить злоумышленнику доступ к хэшам паролей пользователя и кэшированным учетным данным. - Можно предотвратить получение злоумышленником доступа к конфиденциальным данным пользователя путем шифрования папки "Документы" пользователя с помощью групповой политики. Кроме того, можно использовать шифрование других папок или всего раздела данных пользователя с помощью сценария входа. - Можно использовать EFS для шифрования нескольких дисков и сетевых общих папок. - Можно использовать EFS для защиты содержимого системного файла подкачки и кэша автономных файлов. #### Сведения о снижении рисков Файловую систему EFS можно использовать в Windows Vista для снижения рисков, описанных в предыдущем разделе "Оценка риска". Тем не менее перед развертыванием EFS обратите внимание на следующие сведения. - Необходимо внедрить протестированные процедуры управления ключами и восстановления данных. Если отсутствуют надежные и четко определенные процедуры, при потере ключей важные данные могут стать недоступными. - При нормальной работе использование ресурсов, связанное с EFS, незаметно. Тем не менее если производительность системы является очень важной, необходимо выполнить тщательное тестирование, чтобы гарантировать, что EFS не снижает производительность. - Если для тома включена файловая система EFS, на нем нельзя выполнять сжатие файлов. - Если необходимо, разверните и протестируйте дополнительные сценарии для шифрования папок с конфиденциальными файлами. - Необходимо провести обучение пользователей и ИТ-специалистов, чтобы избежать таких проблем, как: - копирование и перемещение файлов из зашифрованного расположения в незашифрованное, которое может привести к тому, что информация в файлах будет иметь формат открытого текста; - отсутствие шифрования скрытых папок, в которых приложения хранят резервные копии обрабатываемых файлов. - Тщательно протестируйте конфигурацию EFS, чтобы обеспечить шифрование всех папок с конфиденциальными файлами, включая папку "Документы", рабочий стол и временные папки. **Примечание**.   EFS можно развернуть только в следующих выпусках Windows Vista: Business, Enterprise и Ultimate. #### Процесс снижения риска Используйте следующий процесс снижения риска, чтобы определить наилучший способ настройки EFS для защиты конфиденциальных данных на клиентских компьютерах. **Чтобы использовать этот процесс снижения риска** 1. Изучите технологию и возможности EFS. **Примечание**.   Дополнительные сведения см. в статье [Лучшие решения: шифрованная файловая система](http://support.microsoft.com/default.aspx?scid=kb;en-us;223316) на веб-узле Microsoft.com (на английском языке). 2. Оцените потребность в EFS в существующей среде. 3. Проанализируйте конфигурацию EFS с использованием групповой политики. 4. Определите компьютеры и пользователей, которым требуется EFS. 5. Определите необходимый уровень защиты. Например, необходимо ли организации использовать смарт-карты для EFS? 6. Настройте EFS в соответствии с требованиями среды, используя групповую политику. ##### Конкретные действия по снижению риска для EFS Чтобы применять групповую политику для управления EFS, необходимо использовать параметры безопасности в следующем разделе: **Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\Политики открытого ключа\\Шифрующая файловая система (EFS)** Чтобы добавить или создать агент восстановления данных (DRA), щелкните правой кнопкой мыши пункт **Шифрующая файловая система (EFS)** и выберите команду **Свойства**. Откроется диалоговое окно **Свойства: Шифрующая файловая система (EFS)**. [![](/security-updates/images/Bb629455.VSGF0301(ru-ru,MSDN.10).gif)](https://technet.microsoft.com/ru-ru/bb629455.vsgf0301_big(ru-ru,msdn.10).gif) **Рисунок 3.1. Диалоговое окно "Свойства: Шифрующая файловая система (EFS)"** Кроме того, существуют четыре шаблона групповой политики, которые включают параметры EFS. Они перечислены в следующей таблице. **Таблица 3.4. Параметры групповой политики EFS**
Шаблон и параметр Путь и описание Значение по умолчанию Windows Vista
GroupPolicy.admx
Обработка политики восстановления EFS		 Конфигурация компьютера\
Административные шаблоны\
Система\Групповая политика
Определяет, когда обновляются политики шифрования.		 Не задан
EncryptFilesonMove.admx
Не выполнять автоматическое шифрование файлов, перемещаемых в зашифрованные папки		 Конфигурация компьютера\
Административные шаблоны\
Система\
Предотвращает шифрование проводником Windows файлов, которые перемещаются в зашифрованную папку.		 Не задан
OfflineFiles.admx
Encrypt the Offline Files cache		 Конфигурация компьютера\
Административные шаблоны\
Сеть\Автономные файлы\
Этот параметр определяет, будут ли шифроваться автономные файлы. Примечание.   В Windows XP эти файлы шифруются с помощью системного ключа, тогда как в Windows Vista — с помощью ключа пользователя.		 Не задан
Search.admx
Allow indexing of encrypted files		 Конфигурация компьютера\
Административные шаблоны\
Компоненты Windows\
Поиск\
Этот параметр разрешает индексацию зашифрованных элементов службой поиска Windows. Примечание.   Если зашифрованные файлы индексируются и индекс не защищается с помощью EFS или других средств, могут возникать проблемы с безопасностью данных.		 Не задан
В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. [](#mainsection)[К началу страницы](#mainsection) ### Служба управления правами Служба управления правами (RMS) обеспечивает применение политик использования и безопасности к конфиденциальным сообщениям электронной почты, документам, веб-содержимому и другим типам данных. RMS обеспечивает защиту данных благодаря постоянному шифрованию информации. Если файл или сообщение электронной почты передается внутри предприятия или через Интернет, к ним могут получать доступ только прошедшие проверку подлинности пользователи, которым предоставлены соответствующие права. RMS включает три компонента: - **RMS-сервер**. Для Windows Vista требуется служба управления правами Windows для Windows Server 2003 или более поздней версии. - **RMS-клиент**. Входит в состав Windows Vista. - **Платформа и приложение RMS**. Это платформа и приложение, которые предназначены для шифрования и контроля использования управляемых данных. #### Оценка риска Риск для организации, которого можно избежать с помощью RMS, заключается в том, что неуполномоченные сотрудники могут просматривать конфиденциальные данные. Пользователи могут получать доступ к таким данным по ошибке или злоумышленно. Ниже приведено несколько примеров такого типа риска. - Неавторизованные пользователи просматривают различные сетевые папки, получают доступ к флэш-накопителям USB и переносным жестким дискам, а также к недостаточно защищенным общим папкам и хранилищам на сервере. - Авторизованные пользователи отправляют конфиденциальные данные неуполномоченным получателям в организации или за ее пределами. - Авторизованные пользователи копируют или перемещают конфиденциальные данные в запрещенные места или приложения либо с разрешенного устройства на запрещенное (например на съемный диск). - Авторизованные пользователи случайно предоставляют доступ к конфиденциальным данным неуполномоченным получателям с помощью одноранговой технологии или обмена мгновенными сообщениями. - Авторизованные пользователи печатают конфиденциальные файлы, а неавторизованные пользователи находят отпечатанные документы и распространяют, копируют их, отправляют по факсу или электронной почте. #### Снижение рисков Чтобы эффективно защитить данные, которыми обмениваются пользователи и с которыми они совместно работают, независимо от применяемого механизма, корпорация Майкрософт рекомендует защищать сведения напрямую с помощью RMS, чтобы они были постоянно защищены при передаче между узлами, устройствами и общими папками. #### Сведения о снижении рисков Файловую систему RMS можно использовать для снижения рисков, описанных в предыдущем разделе "Оценка риска". Тем не менее перед развертыванием RMS обратите внимание на следующие сведения. - В качестве RMS-сервера должен использоваться Windows Server 2003 или более поздней версии со службой управления правами Windows, а на клиентском компьютере должны быть установлены приложения с включенными правами. - Для интеграции SharePoint и RMS требуется Microsoft SharePoint® Server (при такой интеграции RMS защищает документы и данные, которые находятся на узлах SharePoint). - Для использования необязательной интеграции решения RMS со смарт-картами каждый клиентский компьютер, применяемый для получения доступа к содержимому, должен поддерживать смарт-карты. - Чтобы использовать с RMS веб-приложения, такие как веб-клиент Outlook, требуется дополнительный компонент управления правами для Internet Explorer. - Для успешного развертывания, поддержки и устранения неполадок RMS потребуется обучение ИТ-специалистов. #### Процесс снижения риска Используйте следующий процесс снижения риска, чтобы определить наилучший способ настройки RMS для защиты конфиденциальных данных на клиентских компьютерах. **Чтобы использовать этот процесс снижения риска** 1. Изучите технологию и возможности службы управления правами. **Примечание**.   Дополнительные сведения о службе управления правами (RMS) см. на веб-узле центра технологий [Служба управления правами Windows](http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx) (на английском языке). 2. Оцените необходимость службы управления правами в существующей среде. 3. Определите поддержку приложений и служб для службы управления правами. 4. Оцените возможные схемы развертывания RMS, такие как: - один сервер (или один кластер); - один сертификат, одна лицензия; - один сертификат, несколько лицензий; - несколько сертификатов, одна лицензия; - несколько сертификатов, несколько лицензий. 5. Определите данные, которые необходимо защищать с помощью службы управления правами. 6. Определите пользователей и группы, которым требуется доступ к определенной информации. 7. Настройте службу управления правами, чтобы разрешить только требуемый доступ к данным. #### Управление RMS с помощью групповой политики Параметры групповой политики для настройки RMS не относятся к Windows Vista. RMS — это прежде всего серверное решение, потому настройку поведения служб необходимо выполнять на RMS-сервере. Кроме того, приложения, поддерживающие RMS, могут иметь индивидуальные параметры, которые определяют их работу с содержимым, защищенным RMS. Например, параметры, связанные с RMS, существуют у пакета Microsoft Office 2003 или более поздней версии и таких приложений, как Microsoft Outlook® и Microsoft Word. Дополнительные сведения об этих параметрах см. на веб-узле [Файлы шаблонов политик и средства планирования развертывания для Office 2003](http://office.microsoft.com/en-us/assistance/ha011513711033.aspx) (на английском языке). [](#mainsection)[К началу страницы](#mainsection) ### Управление устройствами Способность пользователей добавлять новые самонастраиваемые устройства на клиентские компьютеры, такие как флэш-накопители USB или другие съемные носители, создает для администраторов значительные проблемы, связанные с безопасностью. Такие типы устройств не только усложняют обслуживание клиентских компьютеров, когда пользователи устанавливают неподдерживаемое оборудование, но и могут ставить под угрозу безопасность данных. Злоумышленник потенциально может использовать съемные носители для хищения интеллектуальной собственности организации. Он также может использовать съемный носитель с настроенной вредоносной программой, которая включает сценарий автозапуска для автономной установки вредоносной программы на клиентском компьютере. Windows Vista позволяет администраторам использовать групповую политику для управления неподдерживаемыми или запрещенными устройствами. Например, можно разрешить пользователям устанавливать целые классы устройств (таких как принтеры), но запретить все виды съемных носителей. Администратор может иметь право переопределить эти политики и установить оборудование. Тем не менее важно понимать, что устройство на компьютере устанавливается не для отдельного пользователя. После установки устройства пользователем оно обычно доступно всем пользователям данного компьютера. Windows Vista теперь поддерживает управление доступом к установленным устройствам на чтение и запись на уровне пользователя. Например, можно разрешить полный доступ на чтение и запись к установленным устройствам, таким как флэш-накопитель USB, одной учетной записи пользователя, но предоставить только доступ на чтение другой учетной записи пользователя на том же компьютере. Дополнительные сведения об управлении устройствами и его настройке см. в [*пошаговом руководстве по управлению установкой и использованием устройств с помощью групповой политики*](http://www.microsoft.com/technet/windowsvista/library/9fe5bf05-a4a9-44e2-a0c3-b4b4eaaa37f3.mspx) (на английском языке). #### Оценка риска Несанкционированное добавление и удаление устройств создает высокий риск для безопасности, так как это может позволить злоумышленнику выполнить вредоносную программу, удалить сведения или добавить нежелательные данные. Ниже представлены некоторые примеры риска. - Авторизованный пользователь может скопировать конфиденциальные файлы с разрешенного устройства на запрещенный съемный носитель (намеренно или нет), в том числе скопировать файлы из зашифрованной папки в незашифрованную папку на съемном носителе. - Злоумышленник может войти в систему Windows Vista и скопировать данные на съемный носитель. - Злоумышленник может использовать съемный носитель с вредоносной программой и применить сценарий автозапуска для автоматической установки вредоносной программы на клиентском компьютере. - Злоумышленник может установить запрещенное устройство регистрации ключей и использовать его для записи данных учетной записи пользователя для последующей атаки. #### Снижение рисков Чтобы уменьшить эти риски, корпорация Майкрософт рекомендует защищать компьютеры от установки и использования запрещенных устройств. Можно применять параметры групповой политики для управления использованием самонастраиваемых устройств, такие как флэш-накопители USB и другие съемные носители. #### Сведения о снижении рисков В Windows Vista для снижения рисков, описанных в предыдущем разделе "Оценка риска", можно использовать групповую политику, задавая параметры установки устройств. Тем не менее при развертывании управления устройствами на клиентских компьютерах среды учитывайте следующие сведения о снижении рисков. - Ограничение устройств может блокировать законный обмен файлами или препятствовать эффективной работе мобильных пользователей. - Ограничение устройств может предотвратить использование ключей USB для шифрования диска BitLocker. Например, если параметр политики Removable Disks: Deny write access включен для пользователя, даже если он является администратором, программа установки BitLocker не сможет записать свой ключ запуска на флэш-накопитель USB. - Некоторые устройства, например загрузочные флэш-накопители USB, имеют два идентификатора ("сменный диск" и "локальный диск"). Поэтому важно тщательно протестировать объекты групповой политики, чтобы обеспечить надлежащее разрешение и запрет устройств. #### Процесс снижения риска Используйте следующий процесс снижения риска, чтобы определить наилучший способ настройки управления устройствами для защиты конфиденциальных данных на клиентских компьютерах. **Чтобы использовать этот процесс снижения риска** 1. Изучите возможности управления устройствами системы Windows Vista. **Примечание**.   Дополнительные сведения см. в [*пошаговом руководстве по управлению установкой и использованием устройств с помощью групповой политики*](http://www.microsoft.com/technet/windowsvista/library/9fe5bf05-a4a9-44e2-a0c3-b4b4eaaa37f3.mspx) (на английском языке). 2. Оцените потребность в управлении устройствами в существующей среде. 3. Изучите параметры групповой политики для управления устройствами. 4. Определите съемные носители, необходимые в среде, и запишите их идентификаторы оборудования или совместимости. 5. Определите компьютеры и пользователей, которым требуются съемные устройства. 6. Настройте групповую политику, чтобы разрешить установку требуемых классов устройств. 7. Настройте групповую политику, чтобы разрешить установку устройств на отдельных компьютерах, которым требуется такая возможность. ##### Управление установкой устройств с помощью групповой политики Для управления установкой устройств корпорация Майкрософт рекомендует использовать шаблон групповой политики DeviceInstallation.admx. В таблице 3.5 указаны параметры групповой политики, доступные в этом шаблоне. Эти параметры можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Система\\Device Installation\\Device Installation Restrictions** **Таблица 3.5. Параметры управления устройствами USB**
Параметр политики Описание Значение по умолчанию Windows Vista
Allow administrators to override Device Installation policies Позволяет членам группы "Администраторы" устанавливать и обновлять драйверы для любого устройства независимо от других параметров политики. В противном случае к администраторам применяются все политики, ограничивающие установку устройств. Не задан
Allow installation of devices using drivers that match these device setup classes Задает список GUID класса установки устройств путем описания устройств, которые пользователи могут устанавливать, если это отдельно не запрещено следующими параметрами политики:
Prevent installation of devices that match these device IDs
Prevent installation of devices for these device classes
Prevent installation of removable devices.
Используйте этот параметр только в том случае, если включен параметр Prevent installation of devices not described by other policy settings.		 Не задан
Prevent installation of devices using drivers that match these device setup classes Задает настраиваемое сообщение, которое отображается в заголовке всплывающей подсказки, если установка устройства запрещена этой политикой. Не задан
Display a custom message when installation is prevented by policy (balloon title) Этот параметр задает настраиваемое сообщение, которое отображается в заголовке всплывающей подсказки, если установка устройства запрещена политикой. Не задан
Display a custom message when installation is prevented by policy (balloon text) Задает настраиваемое сообщение, которое отображается в тексте всплывающей подсказки, если установка устройства запрещена политикой. Не задан
Allow installation of devices that match any of these device IDs Задает список идентификаторов оборудования и совместимости самонастраиваемых устройств, описывающий устройства, которые можно устанавливать, если это отдельно не запрещено следующими параметрами политики:
Prevent installation of devices that match these device IDs
Prevent installation of devices for these device classes
Prevent installation of removable devices.
Используйте этот параметр только в том случае, если включен параметр Prevent installation of devices not described by other policy settings.		 Не задан
Prevent installation of devices that match any of these device IDs Задает список идентификаторов оборудования и совместимости самонастраиваемых устройств, которые пользователи не могут устанавливать.
Примечание.   Этот параметр политики имеет приоритет над любым другим параметром политики, разрешающим установку устройства.		 Не задан
Prevent installation of removable devices Если включен этот параметр, пользователи не смогут устанавливать съемные устройства, а существующие съемные устройства не будут получать обновления драйверов.
Примечание.   Этот параметр политики имеет приоритет над любым другим параметром политики, разрешающим установку устройства.
Для применения это политики драйверы устройства должны правильно определять, что оно является съемным. Дополнительные сведения см. в пошаговом руководстве по управлению установкой и использованием устройств с помощью групповой политики (на английском языке).		 Не задан
Prevent installation of devices not described by other policy settings Если включить этот параметр, драйверы устройств, не описанных следующими параметрами, не будут обновляться:
Allow installation of devices that match these device IDs
Allow installation of devices for these device classes.		 Не задан
В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Управление использованием устройств с помощью групповой политики Кроме управления установкой устройств, Windows Vista позволяет контролировать уровень доступа пользователей к отдельным классам устройств после их установки. Существуют еще два шаблона, описанных в следующих таблицах, которые содержат параметры, влияющие на поведение устройств. Шаблон RemovableStorage.admx, включающий перечисленные ниже параметры для съемных носителей, находится в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Система\\Removable Storage Access** **Таблица 3.6. Параметры устройства**
Параметр политики Описание Значение по умолчанию Windows Vista
All Removable Storage classes: Deny all access Настраивает доступ ко всем классам съемных носителей. Не задан
All Removable Storage: Allow direct access in remote sessions Этот параметр предоставляет обычным учетным записям пользователей доступ к съемным носителям в удаленных сеансах. По умолчанию такой доступ в удаленных сеансах запрещен. Не задан
CD и DVD: Deny read access Этот параметр запрещает доступ на чтение к классу съемных носителей "компакт- и DVD-диски". По умолчанию доступ на чтение разрешен. Не задан
CD и DVD: Deny write access Этот параметр запрещает доступ на запись к классу съемных носителей "компакт- и DVD-диски". По умолчанию доступ на запись к этому классу устройств разрешен. Не задан
Custom Classes: Deny read access Этот параметр запрещает доступ на чтение к настраиваемым классам устройств. По умолчанию доступ на чтение разрешен. Не задан
Custom Classes: Deny write access Этот параметр запрещает доступ на запись к настраиваемым классам устройств. По умолчанию доступ на запись к этим классам устройств разрешен. Не задан
Floppy Drives: Deny read access Этот параметр запрещает доступ на чтение к дискетам. По умолчанию доступ на чтение разрешен. Не задан
Floppy Drives: Deny write access Этот параметр запрещает доступ на запись к дискетам. По умолчанию доступ на запись к этим классам устройств разрешен. Не задан
Removable Disks: Deny read access Этот параметр запрещает доступ на чтение к съемным носителям. По умолчанию доступ на чтение разрешен. Не задан
Removable Disk: Deny write access Этот параметр запрещает доступ на запись к съемным носителям. По умолчанию доступ на запись к этим классам устройств разрешен. Не задан
Tape Drives: Deny read access Этот параметр запрещает доступ на чтение к ленточным накопителям. По умолчанию доступ на чтение разрешен. Не задан
Tape Drives: Deny write access Этот параметр запрещает доступ на запись к ленточным накопителям. По умолчанию доступ на запись к этим классам устройств разрешен. Не задан
WPD Devices: Deny read access Этот параметр запрещает доступ на чтение к переносным устройствам Windows, таким как мультимедийные проигрыватели или мобильные телефоны. По умолчанию доступ на чтение разрешен. Не задан
WPD Devices: Deny write access Этот параметр запрещает доступ на запись к переносным устройствам Windows, таким как мультимедийные проигрыватели, мобильные телефоны и т. д. По умолчанию доступ на запись к этим классам устройств разрешен. Не задан
В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Управление автозапуском с помощью групповой политики Шаблон Autoplay.admx содержит указанные ниже параметры, которые влияют на поведение автозапуска для съемных носителей в Windows Vista. Параметры этого шаблона находятся в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\AutoPlay Policies** **Таблица 3.7. Параметры политики для автозапуска**
Параметр политики Описание Значение по умолчанию Windows Vista
Отключить автозапуск Позволяет отключить возможность автозапуска для компакт-дисков, DVD-ROM и съемных носителей или всех дисков. Не задан ‡
Default behavior for AutoRun Этот параметр определяет поведение по умолчанию для команд автозапуска. По умолчанию Windows Vista запрашивает подтверждение выполнения команды автозапуска. Не задан
В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. Эти параметры также находятся в конфигурации пользователя в следующем разделе редактора объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows\\AutoPlay Policies** При конфликте параметров управления устройствами параметры конфигурации компьютера имеют приоритет над параметрами конфигурации пользователя. **Примечание**.   Некоторые параметры политики определяют использование GUID классов установки устройств, а другие используют GUID классов установки самонастраиваемых устройств. Дополнительные сведения см. в статье [Выбор драйверов при установке](http://go.microsoft.com/fwlink/?linkid=54881) (на английском языке). [](#mainsection)[К началу страницы](#mainsection) ### Дополнительные сведения Дополнительные сведения о новых и расширенных возможностях и технологиях безопасности для защиты конфиденциальных данных в Windows Vista см. в следующих ресурсах: - [Лучшие решения: шифрованная файловая система](http://support.microsoft.com/default.aspx?scid=kb;en-us;223316) на веб-узле Microsoft.com (на английском языке). - [Шифрование диска BitLocker](http://www.microsoft.com/technet/windowsvista/security/bitlockr.mspx) на веб-узле TechNet (на английском языке). - Раздел "Управление устройствами" в [*пошаговом руководстве по управлению установкой и использованием устройств с помощью групповой политики*](http://www.microsoft.com/technet/windowsvista/library/9fe5bf05-a4a9-44e2-a0c3-b4b4eaaa37f3.mspx) на веб-узле TechNet (на английском языке). - Раздел "Установка устройств и управление ими" в [*пошаговом руководстве по управлению установкой и использованием устройств с помощью групповой политики*](http://www.microsoft.com/technet/windowsvista/library/9fe5bf05-a4a9-44e2-a0c3-b4b4eaaa37f3.mspx) на веб-узле TechNet (на английском языке). - Статья [Первое знакомство: новые возможности обеспечения безопасности в Windows Vista](https://www.microsoft.com/technet/technetmag/issues/2006/05/firstlook/default.aspx) на веб-узле TechNet содержит общие сведения о функциях безопасности в Windows Vista (на английском языке). - Раздел [Защита данных](http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx#etg) на странице "Улучшения системы безопасности и защиты данных в Windows Vista" веб-узла TechNet (на английском языке). - Статья [Шифрованная файловая система](http://www.microsoft.com/technet/security/topics/cryptographyetc/efs.mspx) на веб-узле TechNet (на английском языке). - Веб-узел [Trusted Computing Group](http://www.trustedcomputinggroup.org/). - [Файлы шаблонов политик и средства планирования развертывания для Office 2003](http://office.microsoft.com/en-us/assistance/ha011513711033.aspx) на веб-узле Microsoft.com (на английском языке). - Центр технологий [Службы управления правами Windows](http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx). **Загрузить** [Получите руководство по безопасности Windows Vista](http://go.microsoft.com/fwlink/?linkid=74028) **Уведомления об обновлении** [Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках](http://go.microsoft.com/fwlink/?linkid=54982) **Обратная связь** [Отправляйте свои комментарии и предложения](mailto:secwish@microsoft.com?subject=windows%20vista%20security%20guide) [](#mainsection)[К началу страницы](#mainsection)