• Artykuł

Co nowego w zabezpieczeniach urządzeń klienckich?      Co nowego w zabezpieczeniach urządzeń klienckich?, cz. II

Co nowego w zabezpieczeniach urządzeń klienckich?, cz. I

Opublikowano: 3 marca 2010

Zawartość strony
Zmiany w usłudze Instalator formantów ActiveX  Zmiany w usłudze Instalator formantów ActiveX
Zmiany w szyfrowaniu dysków funkcją BitLocker  Zmiany w szyfrowaniu dysków funkcją BitLocker
Zmiany w systemie szyfrowania plików EFS  Zmiany w systemie szyfrowania plików EFS

Zmiany w usłudze Instalator formantów ActiveX

Usługa Instalator formantów ActiveX umożliwia specjalistom IT zarządzanie wdrażaniem formantów ActiveX na komputerach w organizacji przy użyciu zasad grupy. Formanty ActiveX to samorejestrujące się obiekty COM gwarantujące bardziej interaktywne czynności użytkownika podczas korzystania z programu Internet Explorer. Formanty ActiveX często rozprowadzane są w plikach .cab. Standardowe konta użytkownika domyślnie nie posiadają uprawnień do instalowania formantów ActiveX. Poniższa sekcja opisuje nowe funkcje instalatora formantów ActiveX w systemie Windows 7.

Usługa Instalator formantów ActiveX instalowana domyślnie

Usługa Instalator formantów ActiveX jest obecnie instalowana domyślnie we wszystkich wersjach systemu Windows 7. Jest ona aktywna i skonfigurowana tak, aby możliwe było jej uruchomienie, w momencie otrzymania żądania od witryn sieci Web dostarczających formanty ActiveX.

Poddomeny mogą być określane przy użyciu symboli wieloznacznych

Administratorzy będą mogli określić zasady, w celu zezwolenia na instalację formantów ActiveX z witryn znajdujących się na liście Zaufanych witryn w programie Internet Explorer. Lista ta obsługuje symbole wieloznaczne w adresach URL poddomen. Umożliwia to organizacjom posiadającym farmy serwerów lub wiele zaufanych domen zezwolenie standardowym kontom użytkownika na instalację formantów ActiveX z dowolnej witryny znajdującej się na liście Zaufanych witryn.

Aby mieć pewność, że zezwolenie na instalację formantów ActiveX posiadają wyłącznie witryny zaufane dla organizacji, należy tak skonfigurować strefy zaufane programu Internet Explorer, aby użytkownicy nie mogli modyfikować list Zaufanych witryn oraz aby uzupełniano je przy użyciu jednego z poniższych sposobów:

  • Instalacja z zaufanych witryn jest aktywowana przez zasady grupy.
  • Program Internet Explorer konfigurowany jest tak, aby odczytywał listę zaufanych witryn z klucza rejestru HKLM\Computer Configuration\Administrative Templates\Internet Explorer\Security Zone: Use Only Machine Settings is enabled.
  • Ustawienie zasady grupy Lista przypisywanie witryn do stref znajdujące się w lokalizacji Computer Configuration\Administrative Templates\Internet Explorer\Internet Control Panel\Security Page zawiera listę zaufanych witryn wdrażanych przez zasady grupy.

Uwaga dotycząca zabezpieczeń

Jeśli do zezwolenia na instalację z zaufanych witryn wykorzystana zostanie niniejsza funkcja, ustawienie zasad grupy Lista przypisywanie witryn do stref musi posiadać przynajmniej jeden wpis do zaufanych witryn tak, aby zapobiec instalowaniu dowolnych formantów ActiveX przez standardowych użytkowników.

Użycie poddomen z symbolami wieloznacznymi pozwala użytkownikom standardowym na instalowanie programów i aplikacji z dowolnego serwera w poddomenie korzystającej z symboli wieloznacznych, która może zawierać złośliwe oraz potencjalnie niechciane oprogramowanie. Zatem przed aktywowaniem niniejszej funkcji należy upewnić się, że wszystkie serwery w poddomenie są w pełni zaufane.

Do początku strony Do początku strony

Zmiany w szyfrowaniu dysków funkcją BitLocker

W systemie Windows 7, zakres stosowania technologii szyfrowania dysków funkcją BitLocker został poszerzony z dysków z systemem operacyjnym oraz stałych dysków danych do wymiennych urządzeń magazynujących takich, jak przenośne twarde dyski oraz dyski flash USB. Pozwala to przewozić dane chronione podczas podróży i korzystać z nich na dowolnym komputerze, na którym uruchomiony jest system Windows 7.

Ustawianie funkcji BitLocker

W systemie Windows 7 dyski są automatycznie przygotowane do użycia funkcji BitLocker. Nie ma zatem potrzeby tworzenia osobnych partycji przed włączeniem funkcji BitLocker. Partycja systemowa zostaje utworzona automatycznie i nie posiada litery dysku, więc nie jest widoczna w Eksploratorze Windows, a pliki danych nie są na niej przypadkowo zapisywane. W instalacji domyślnej komputer będzie posiadał oddzielną partycję systemową oraz dysk z systemem operacyjnym. Partycja systemowa jest mniejsza w systemie Windows 7, niż w systemie Windows Vista i wymaga zaledwie 100 MB przestrzeni.

Funkcję BitLocker można wykorzystać do szyfrowania dysków z systemem operacyjnym, stałych dysków danych oraz wymiennych dysków danych w systemach Windows 7 oraz Windows Server 2008 R2. Kiedy funkcję BitLocker wykorzystuje się na dyskach danych, dysk może zostać sformatowany przy użyciu systemu plików exFAT, FAT16, FAT32, lub NTFS i musi mieć przynajmniej 64 MB dostępnej pamięci. Kiedy funkcję BitLocker wykorzystuje się na dyskach z systemem operacyjnym , dysk musi być sformatowany przy użyciu systemu plików NTFS.

Wykorzystanie funkcji BitLocker To Go na dyskach wymiennych

W systemie Windows 7 użytkownicy mogą szyfrować swoje nośniki wymienne otwierając Esplorator Windows, klikając prawym przyciskiem myszy na dysk, a następnie klikając Włącz funkcję BitLocker. Następnie zostaną poproszeni o wybranie metody odblokowania dysku. Oto dostępne opcje:

  • Hasło. Jest to kombinacja liter, symboli oraz cyfr wprowadzonych przez użytkownika w celu odblokowania dysku.
  • Karta inteligentna. W większości przypadków karta inteligentna wydawana jest przez daną organizację. W celu odblokowania dysku, użytkownik wprowadza kod PIN karty inteligentnej.

Po wybraniu metody odblokowania użytkownicy zostaną poproszeni o wydrukowanie, lub zapisanie hasła odzyskiwania. Jest to 48-cyfrowe hasło, które można przechowywać również w usługach domenowych w usłudze Active Directory (AD DS) i z którego można skorzystać, jeśli pozostałe metody odblokowania zawiodą (np., kiedy zapomnimy hasło). Na koniec użytkownicy zostaną poproszeni o potwierdzenie wyboru sposobu odblokowania oraz rozpoczęcie szyfrowania.

Odblokowanie dysków chronionych funkcją BitLocker

Po włożeniu do komputera dysku chronionego funkcją BitLocker, system Windows automatycznie wykryje, że dysk ten jest zaszyfrowany, a następnie pojawi się monit o odblokowanie go. Podczas gdy możliwość szyfrowania dysków dostępna jest wyłącznie w niektórych wersjach systemu Windows 7, wszystkie jego wersje pozwalają na odblokowanie dysków chronionych funkcją BitLocker.

Nowe ustawienia zasad grupy

Funkcja BitLocker w systemie Windows 7 wprowadza kilka nowych ustawień zasad grupy, które pozwalają łatwiej zarządzać funkcjami. Na przykład, administratorzy będą mogli:

  • Wymagać, aby wszystkie dyski wymienne były chronione funkcją BitLocker zanim możliwe będzie zapisanie na nich danych.
  • Wymagać, lub nie zezwolić na poszczególne metody odblokowania dysków chronionych funkcją BitLocker.
  • Konfigurować metody odzyskiwania danych z dysków chronionych funkcją BitLocker, w przypadku gdy poświadczenia użytkownika dotyczące odblokowywania są niedostępne.

 

Uwaga

Aby skonfigurować klucz publiczny dotyczący całej domeny, czyli agenta odzyskiwania danych, który pozwala administratorom odblokować dowolny dysk zaszyfrowany funkcją BitLocker, oprócz haseł odzyskiwania, administratorzy mogą użyć zasad grupy. Zanim możliwe będzie użycie agenta odzyskiwania danych, musi on zostać dodany z elementu Zasady kluczy publicznych w konsoli zarządzania zasadami grupy (GPMC), lub w edytorze lokalnych zasad grupy. Aby użyć agenta odzyskiwania danych z funkcją BitLocker, należy włączyć ustawienia zasad grupy odpowiednie dla dysków, na których użyto funkcji BitLocker.
Takie ustawienia to: Określ, jak mogą być odzyskiwane dyski z systemem operacyjnym chronione funkcją BitLocker, Określ, jak mogą być odzyskiwane przenośne dyski danych chronione funkcją BitLocker, Określ, jak mogą być odzyskiwane stałe dyski danych chronione funkcją BitLocker oraz Określ, jak mogą być odzyskiwane dyski chronione funkcją BitLocker (Windows Server 2008 i Vista). Po włączeniu ustawień zasad, zaznacz pole wyboru Włącz agenta odzyskiwania danych.
Ustawienie zasad istnieje dla każdego typu dysku, zatem możliwe jest konfigurowanie indywidualnych zasad odzyskiwania dla każdego typu dysku, na którym włączona jest funkcja BitLocker. Należy również włączyć i skonfigurować ustawienie zasady Podaj unikatowe identyfikatory dla organizacji, w celu skojarzenia unikatowego identyfikatora z nowym dyskiem chronionym funkcją BitLocker. Pola identyfikacji wymagane są do zarządzania agentami odzyskiwania danych na dyskach chronionych funkcją BitLocker. Funkcja ta będzie zarządzać i aktualizować agenty odzyskiwania danych tylko, jeśli na dysku znajduje się pole identyfikacji i jest ono identyczne jak wartość skonfigurowana na danym komputerze.

W systemie Windows 7 ustawienia zasad grupy dla funkcji BitLocker zostały rozszerzone o konfigurowalne opcje zarówno dla wymiennych dysków danych, jak również dla stałych dysków danych. Większość ustawień zasad grupy posiada osobne ustawienia, które należy zastosować w przypadku dysków z systemem operacyjnym, dysków stałych oraz dysków wymiennych, tam gdzie jest to właściwe. Ustawienia zasad grupy funkcji BitLocker można przeglądać przy użyciu edytora lokalnych zasad grupy, lub konsoli zarządzania zasadami grupy. Użycie niniejszych ustawień zasad pomaga wprowadzić standardowy proces wdrożeniowy szyfrowania dysków funkcją BitLocker w organizacji.

Ustawienia zasad grupy, które wpływają na funkcję BitLocker znajdują się w lokalizacji Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption. W niniejszym folderze znajdują się globalnie stosowane ustawienia zasad grupy funkcji BitLocker. Podfoldery dla stałych dysków danych, dysków z systemem operacyjnym oraz dysków wymiennych obsługują konfigurację ustawień zasad określonych dla tych dysków.

Uwaga

Jeśli funkcję BitLocker chcemy wykorzystać do ochrony dysku z systemem operacyjnym na komputerze, który nie posiada modułu TPM, należy włączyć ustawienie zasad grupy Wymagaj dodatkowego uwierzytelniania przy uruchamianiu, a następnie wewnątrz tego ustawienia kliknąć Zezwól na funkcję BitLocker bez zgodnego modułu TPM.

Do początku strony Do początku strony

Zmiany w systemie szyfrowania plików EFS

System szyfrowania plików (EFS) jest podstawową technologią szyfrowania na potrzeby przechowywania zaszyfrowanych plików w woluminach systemu plików NTFS. Zaszyfrowane pliki nie mogą być wykorzystywane, chyba że użytkownik ma dostęp do kluczy wymaganych do odszyfrowania informacji. System szyfrowania plików obsługuje standardowe branżowe algorytmy szyfrowania, w tym algorytm AES (Advanced Encryption Standard), algorytm SHA (Secure Hash Algorithm), kryptografię opartą na krzywej eliptycznej (ECC), szyfrowanie oparte na karcie inteligentnej i inne funkcje. Ponieważ standardy szyfrowania ciągle się rozwijają, a stare algorytmy stają się mniej bezpieczne, aby pomóc użytkownikom chronić ich dane, należy uwzględnić nowe algorytmy szyfrowania.

System szyfrowania plików (EFS) obsługuje kryptografię opartą na krzywej eliptycznej

W systemie Windows 7 architektura systemu szyfrowania plików (EFS) zmieniła się i obecnie uwzględnia kryptografię opartą na krzywej eliptycznej. Dzięki temu system EFS pozostaje zgodny z wymogami szyfrowania Suite B zdefiniowanymi przez Narodową Agencję Bezpieczeństwa w celu spełnienia potrzeb rządowych agencji Stanów Zjednoczonych związanych z ochroną informacji tajnych. Zgodność z Suite B wymaga użycia kryptograficznych algorytmów AES, SKA oraz ECC do ochrony danych. Suite B nie zezwala na kryptografię RSA.

System szyfrowania plików (EFS) w systemie Windows 7 obsługuje operacje „w trybie mieszanym” algorytmów ECC oraz RSA. Zapewnia to kompatybilność wsteczną z plikami systemu szyfrowania plików utworzonymi przy użyciu algorytmów obsługiwanych przez wcześniejsze wersje systemu Windows. Może się to okazać użyteczne w organizacjach, które korzystają z RSA, a które chcą również użyć algorytmu ECC do przygotowania się do zgodności z Suite B.

Użycie certyfikatów z podpisem własnym

Domyślne ustawienie zasad klucza publicznego systemu szyfrowania plików (EFS) pozwala mu generować certyfikaty z podpisem własnym, kiedy urząd certyfikacji jest niedostępny. Niektóre organizacje nie zezwalają na użycie certyfikatów z podpisem własnym ze względu na obawy dotyczące ryzyk związanych z zabezpieczeniami informacji. Jeśli niniejsze ustawienie zostanie wyłączone, użytkownicy muszą otrzymać certyfikat z zaufanego urzędu certyfikacji zanim będą mogli korzystać z systemu szyfrowania plików.

Jeśli zezwolimy na użycie certyfikatów z podpisem własnym, możemy określić długość klucza szyfrowania wykorzystywanego do szyfrowania plików i folderów. System szyfrowania plików domyślnie korzysta z 2048-bitowyowego klucza dla certyfikatów RSA z podpisem własnym oraz klucza 256-bitowyowego dla certyfikatów kryptografii opartej na krzywej eliptycznej (ECC). Dostępne są następujące klucze RSA i ECC:

  • 1024-bitowyowy RSA
  • 2048-bitowy RSA
  • 4096-bitowy RSA
  • 8192-bitowy RSA
  • 16384-bitowy RSA
  • 256-bitowy ECC
  • 384-bitowy ECC
  • 521-bitowy ECC

Do początku strony Do początku strony

 

Co nowego w zabezpieczeniach urządzeń klienckich?      Co nowego w zabezpieczeniach urządzeń klienckich?, cz. II