Protezione di Windows 7: Suggerimenti per proteggere il sistema operativo
Orin Thomas
Esistono numerosi passaggi di base ovvi alla protezione di un computer: Mantenere aggiornato con la versione più recente sistema operativo e gli aggiornamenti dell'applicazione, assicurarsi di aver installato il software antivirus e antispyware più recente e utilizzare password complesse, modificarli regolarmente. In questo articolo che si parlerà alcuni suggerimenti per la protezione che vanno oltre queste strategie di base e consentono di utilizzare meglio le funzionalità di protezione di Windows 7.
Preparazione per BitLocker
Uno dei più importanti miglioramenti di protezione in Windows 7 è in BitLocker, tecnologia per il disco rigido ambiente di avvio di crittografia e integrità di protezione che debuted in Windows Vista. In Windows 7, Enterprise e Ultimate edizioni includono BitLocker. La tecnologia assicura che gli utenti non autorizzati non possono recuperare i dati dalle unità disco rigido di furto o perdita di computer portatili, purché il computer è stato spento quando era manca.
BitLocker, tuttavia, presenta una sfida è recuperare i dati dopo un errore hardware che blocca volumi protetti. Pertanto, BitLocker offre un'eccellente protezione, molti professionisti IT trovare problematica perché tendono a si verifichi solo quando è necessario eseguire operazioni di ripristino.
Ripristino dei dati richiede l'accesso a chiavi di BitLocker o le password associate con i volumi protetti. Mentre è relativamente semplice tenere traccia di questi per un numero limitato di computer, in questo modo per diverse centinaia è molto più difficile.
I criteri di gruppo consente inoltre ai professionisti IT di configurare BitLocker in modo che può essere attivato solo quando le chiavi di ripristino e la password è stato eseguito correttamente il backup in Active Directory. L'estrazione dei dati di ripristino è stata notevolmente semplificata tramite miglioramenti per la console utenti e computer in Windows Server 2008 R2 e gli strumenti ServerAdministration remota per i computer che eseguono Windows 7. Individuazione di chiavi e le password di ripristino è molto più semplice con gli strumenti di Windows Vista.
Anziché scaricare, installare e configurare gli strumenti speciali, è possibile accedere a chiavi di ripristino BitLocker e le password da una scheda di ripristino di BitLocker. Verrà visualizzato quando si visualizzano le proprietà di un account computer in Active Directory Users and Computers. Garantire che le chiavi di BitLocker e le password vengono sottoposti a backup è un tre-passaggio processo:
1. Nei criteri di gruppo per proteggere gli account computer del sistema BitLocker, passare a Configurazione Computer | impostazioni Windows | modelli amministrativi | componenti di Windows | Crittografia unità BitLocker.
2. A questo punto, il computer dispone di una sola unità di archiviazione, passare al nodo di unità del sistema operativo e modificare la modalità protetta da BitLocker Seleziona unità di sistema operativo può essere recuperato criterio. Se il computer dispone di più unità di archiviazione, inoltre deve passare al nodo di unità di dati corretti e dati le unità possono essere fisse modifica la modalità di protezione BitLocker seleziona criteri recuperato. Si noti che, sebbene sia possibile configurare le relative impostazioni nello stesso modo, i criteri applicati a unità diverse.
3. Per configurare BitLocker in modo che le password e le chiavi vengono sottoposti a backup in Active Directory quando viene attivata la protezione BitLocker, assicurarsi di attivare le impostazioni:
· Salvare le informazioni di ripristino di BitLocker in Active Directory per le unità del sistema operativo (o fisso unità di dati, se appropriato)
· Non attivare BitLocker fino a quando le informazioni di ripristino vengono memorizzate in Active Directory per le unità del sistema operativo (o fisso unità di dati, se appropriato)
Le chiavi e le password verranno eseguito il backup per i volumi protetti solo dopo aver applicato il criterio. I volumi configurati per la protezione BitLocker prima alla implementa il criterio non avrà le chiavi e password archiviate automaticamente in Active Directory. Sarà necessario disattivare e riattivare BitLocker su tali computer per assicurarsi che queste informazioni di ripristino consentono al database di Active Directory.
Configurazione di un agente recupero dati
È presente un'altra opzione disponibile se è necessario ripristinare volumi BitLocker protetti senza immettere PIN o password univoche per un account computer specifico, ovvero un agente recupero dati (DRA). Questo è un tipo speciale di certificato associato con un account utente che può essere utilizzato per recuperare i dati crittografati.
Gli agenti recupero dati BitLocker vengono configurati modificando i criteri di gruppo e specificare un certificato DRA mediante la creazione guidata Aggiungi agente recupero dati, che verrà illustrato tra breve. Per utilizzare la procedura guidata, tuttavia, è necessario un certificato DRA disponibili in un sistema di file accessibili o pubblicato in Active Directory. I computer host che il ruolo Servizi certificati Active Directory può rilasciare i certificati.
Quando si dispone di recuperare i dati, un account utente che ha installato localmente il certificato DRA sarà Impossibile sbloccare il volume protetto da BitLocker. La procedura guidata Aggiungi agente recupero dati è possibile accedere passando a Configurazione Computer | impostazioni Windows | impostazioni di protezione | nodo Criteri chiave pubblica, fare clic con il pulsante destro del mouse su Crittografia unità BitLocker e selezionando l'opzione di agente recupero dati Aggiungi.
Per utilizzare BitLocker con DRA, è necessario selezionare anche la check box agente recupero dati attiva nella finestra Scegli come unità di sistema operativo protetto con BitLocker possono essere recuperati i criteri (come bene come nei dati fissi unità criterio dove appropriato). È possibile utilizzare i backup e password chiave DRA e Active Directory per il ripristino dei volumi protetti da BitLocker stessi.
Ripristino DRA funzionerà solo su volumi protetti da BitLocker in cui è stato attivato BitLocker dopo il criterio è stato applicato. Il vantaggio di questo metodo sul ripristino della chiave di password è che un agente di recupero dati funzioni come una chiave master di BitLocker. In questo modo è possibile ripristinare qualsiasi volume protetto crittografati in influenza del criterio, anziché dover individuare una password univoca o di chiave per ogni volume da ripristinare.
BitLocker To Go
Molte delle attuali dell'unità di archiviazione rimovibili hanno la capacità di archiviazione medio che di più piccole per raggiungere e condivisioni di medie dimensioni reparto a livello di file da dieci anni fa. Ciò presenta varie sfide.
In primo luogo, quando una periferica di archiviazione rimovibile viene smarrita o rubata, può essere compromessa una notevole quantità di dati dell'organizzazione. E probabilmente un problema più grave è che mentre gli utenti rapidamente renderà il reparto IT a conoscenza di un computer portatile mancante, essi non ritiene urgenza stesso quando una periferica di memorizzazione che potrebbe contenere gigabyte di dati dell'organizzazione è stata manca.
BitLocker per Vai, una nuova funzionalità introdotta con Windows 7 consente di proteggere periferiche di archiviazione USB in modo simile a BitLocker consente per unità fisse e sistema operativo. Tramite i criteri di gruppo, è possibile limitare i computer dell'organizzazione in modo che solo possono scrivere dati alle periferiche di archiviazione rimovibile protetti da BitLocker Go. Questo aumento protezione garantendo che, se un utente perde un dispositivo rimovibile al minimo dei dati viene crittografati e non è possibile accedervi facilmente da terze parti non autorizzate.
I criteri di BitLocker Vai pertinenti si trovano in Configurazione Computer | Modelli amministrativi | componenti di Windows | BitLocker Drive Encryption | nodo unità rimovibili dati di un oggetto Criteri di gruppo. Questi criteri comprendono:
· Controllare l'utilizzo di BitLocker su unità rimovibili. Ciò consente di configurare modalità di utilizzo di BitLocker in unità rimovibili, ad esempio se gli utenti ordinari possono attivare o disattivare la funzionalità su periferiche rimovibili. Ad esempio, se si desidera consentire agli utenti specifici archivio dati su unità rimovibili già configurato con la funzionalità di protezione, ma impedire di configurazione delle proprie periferiche con esso.
· Negare l'accesso in scrittura alle unità rimovibili non protetto da BitLocker. Questo criterio consente di limitare l'accesso degli utenti in modo che solo possono scrivere dati su dispositivi protetti da crittografia BitLocker Go. Quando questo criterio è attivato, un utente non autorizzato non può accedere facilmente i dati scritti su una periferica rimovibile, come verranno protetti dalla crittografia.
· Scegliere le unità rimovibili come protetta da BitLocker possono essere recuperati. Questo criterio consente di configurare un agente recupero dati o di salvare le informazioni di ripristino BitLocker Vai all'interno di Active Directory. Questo criterio è importante, perché se si sceglie di implementare BitLocker per Vai a proteggere i dati sui dispositivi rimovibili, è necessario disporre di una strategia per il ripristino dei dati per il caso inevitabile in cui un utente dimentica la propria password BitLocker Go.
Quando BitLocker Vai è configurato per un dispositivo di archiviazione rimovibili, un utente deve immettere una password per sbloccare il dispositivo in un altro computer. Quando si immette la password, l'utente avrà accesso in lettura/scrittura per la periferica in un computer che esegue l'Enterprise o Ultimate le edizioni supportate di Windows 7. È inoltre possibile configurare BitLocker in go per consentire l'accesso utente e di sola lettura ai dati BitLocker To Go protetti nei computer che eseguono altre versioni di sistemi operativi Microsoft.
Se l'organizzazione deve utilizzare BitLocker Vai, sarà necessario qualche tipo di strategia di ripristino di dati in caso di password dimenticata o perduta. Configurazione di ripristino BitLocker Vai è simile alla configurazione di ripristino BitLocker. In questo caso, sarà necessario impostare la configurazione computer | impostazioni Windows | modelli amministrativi | componenti di Windows | BitLocker Drive Encryption | unità rimovibili Data | criteri Choose How BitLocker-Protected unità possono essere recuperate.
È possibile il backup di Active Directory, in cui sarà disponibile per gli amministratori che hanno accesso per la console di computer e utenti e account computer in cui la periferica è stata originariamente protetto le password BitLocker Go. È inoltre possibile configurare un criterio in modo che i dati sono protetti con un DRA, che consente di che assegnare il certificato DRA per recuperare i dati dalle unità senza richiedere il ripristino di singole password utente.
Configurazione AppLocker
Nessuna utilità antimalware possibile intercettare ogni programma dannoso. AppLocker possibile aggiungere un ulteriore livello di protezione. Questa tecnologia consente di creare un elenco di applicazioni noti per essere sicuro e limitare l'esecuzione a quelli presenti nell'elenco. Sebbene questo tipo di approccio alla protezione di un computer complesso a un utente che esegue regolarmente il software nuovo e insolito, la maggior parte delle organizzazioni dispone di un ambiente di sistema standard in cui le modifiche apportate alle applicazioni si verificano più graduale, in modo da consentire l'esecuzione di applicazioni solo lighted verde è più pratico.
È possibile estendere questo set di regole di autorizzazione AppLocker per includere non solo i file eseguibili, ma anche gli script, dll e i file in formato MSI. A meno che non è autorizzato l'eseguibile, script, DLL o programma di installazione da una regola, non verrà eseguito.
AppLocker rende la creazione dell'elenco di regole per le applicazioni autorizzate semplice con una procedura guidata che consente di automatizzare il processo. Questo è uno dei miglioramenti significativi della AppLocker attraverso i criteri di restrizione software, una tecnologia nelle precedenti versioni di Windows che dispone di funzionalità di base simile.
AppLocker inoltre possibile utilizzare le regole che identificano i file utilizzando la firma digitale dell'editore del file, in modo che sia possibile creare regole che includono le versioni correnti e future del file. In tal modo gli amministratori il compito di aggiornare le regole correnti dopo aver applicato gli aggiornamenti software. Il file eseguibile revisionato, script, programma di installazione o DLL ancora considerato la regola originale. Non era possibile con i criteri di restrizione software, imposto admins per aggiornare le regole quando le configurazioni software modificato.
Per creare un set di regole dei criteri AppLocker che è possibile applicare ad altri computer di riferimento, attenersi alla seguente procedura:
1. Configurazione di un computer di riferimento che esegue Windows 7 con tutte le applicazioni da eseguire nell'ambiente in uso.
2. Accedere al computer con un account utente che dispone dei privilegi di amministratore locali.
3. Avviare l'editor dei criteri di gruppo locali eseguendo gpedit.msc dalla casella di ricerca programmi e i file di testo.
4. Passare a Configurazione Computer | impostazioni Windows | impostazioni di protezione | Criteri di controllo applicazione | AppLocker | eseguibile regole dell'oggetto Criteri di gruppo locale. Fare clic con il pulsante destro del mouse sul nodo eseguibile Rules e quindi fare clic su Genera automaticamente le nuove regole. Verrà avviata la procedura guidata genera automaticamente regole eseguibile.
5. Nella casella di testo cartella che contiene i file da analizzare, immettere c:\. Nella casella di testo contrassegnata come nome per identificare questo insieme di regole, immettere tutti i file eseguibili e quindi fare clic su Avanti.
6. Nella pagina Rule Preferenze selezionare Crea editore regole per i file con firma digitale e in caso di un file non è firmato, selezionare anche un hash del file: le regole vengono create utilizzando l'hash del file. Assicurarsi che l'opzione Riduci il numero di regole da file simili di raggruppamento non sia selezionato e quindi fare clic su Avanti.
7. Regola di generazione richiederà alcuni minuti. Quando sono stati generati, fare clic su Crea. Quando richiesto se si desidera creare le regole predefinite, fare clic su No. Non è necessario crearle, ovvero creato mediante la creazione di regole per tutti i file eseguibili sul computer di riferimento, l'equivalente di regole predefinite più completo.
8. Se il computer dispone di applicazioni archiviate su più volumi, ripetere i passaggi da 5 a 7, immettere la lettera di unità appropriata quando si esegue la procedura guidata regole eseguibile generato automaticamente.
9. Dopo le regole sono state generate, è possibile esportare l'elenco delle applicazioni consentite in formato XML, facendo clic con il pulsante destro del mouse sul nodo AppLocker, quindi fare clic su Esporta criteri. È inoltre possibile importare tali regole in altri oggetti Criteri di gruppo, ad esempio quelle che si applicano a computer portatili dell'organizzazione. Applicando le regole tramite i criteri, è possibile limitare l'esecuzione di applicazioni sono consentiti solo quelli presenti sul computer di riferimento.
10. Durante la configurazione AppLocker, è necessario assicurarsi che il servizio identità dell'applicazione è attivato tramite la console di servizi e che eseguibile le regole vengono applicate tramite i criteri. Se questo servizio è disabilitato, i criteri AppLocker non verranno applicati. Sebbene sia possibile configurare lo stato di avvio del servizio in Group Policy, è necessario limitare gli utenti che hanno accesso di amministratore locale in modo che non sono in grado di eludere AppLocker. Per attivare l'applicazione eseguibile regola, facendo clic con il pulsante destro del mouse su Configurazione Computer | impostazioni Windows | impostazioni di protezione | Criteri di controllo applicazione | AppLocker nodo e facendo clic su criteri. Attivare l'opzione configurati in modalità eseguibile e verificare che sia selezionata l'opzione Imponi regole.
È auspicabile che questo ha consentito è illustrato come implementare e ripristino di BitLocker, per utilizzare BitLocker Vai e per configurare i criteri AppLocker. Utilizzo di queste tecnologie con le attività di manutenzione normale (ad esempio verificare che i computer siano sempre aggiornati con gli aggiornamenti, software antivirus e antispyware programmi), contribuisce a migliorare la protezione dei computer dell'organizzazione che esegue Windows 7.
Orin Thomas * (orin.thomas@gmail.com) è un amministratore di sistemi Windows Consumer Security MVP in Australia, Melbourne. Egli ha scritto e coautore di più di una dozzina textbooks per Microsoft Press* .