.png "Co nowego w zabezpieczeniach urządzeń klienckich?, cz. II"){kind=icon}
.png "Co nowego w zabezpieczeniach urządzeń klienckich?")
.png "Co nowego w zabezpieczeniach urządzeń klienckich?, cz. IV"){kind=icon}
Co nowego w zabezpieczeniach urządzeń klienckich?, cz. II .png)
Opublikowano: 9 marca 2010
Zawartość strony
.gif){kind=icon} |
Zmiany zasad grupy dla systemu szyfrowania plików (EFS) |
|
Zmiany w narzędziu wiersza polecenia Cipher.exe |
|
Zmiany zasad grupy dla systemu szyfrowania plików (EFS) |
|
Zmiany w inspekcji zabezpieczeń |
|
Zmiany w zarządzaniu modułem TPM |
Zmiany zasad grupy dla systemu szyfrowania plików (EFS)
Etapy włączania systemu szyfrowania plików (EFS) nie zmieniły się w wyniku obsługiwania kryptografii opartej na krzywej eliptycznej (ECC). Jednakże wprowadzono dodatkowe opcje administracyjne związane z ECC. W szczególności, ustawienia zasad grupy mogą być używane przez administratorów do odmowy utworzenia plików systemu EFS poprzez wykorzystanie algorytmów niezgodnych z Suite B. Ustawienia zasad dla systemu szyfrowania plików znajdują się w edytorze lokalnych zasad grupy w lokalizacji Local Computer Policy\Windows Settings\Security Settings\Public Key Policies\Encrypting File System.
Po włączeniu oraz skonfigurowaniu ustawień zasad systemu szyfrowania plików, możliwe jest użycie ustawień zasad grupy do określania sposobu obsługi ECC. W Zasady kluczy publicznych otwórz właściwości System szyfrowania plików. Następnie, w zakładce Ogólne w Kryptografia oparta na krzywej eliptycznej, wybierz odpowiednią opcję: Zezwalaj, aby umożliwić użycie zarówno algorytmów ECC, jak i algorytmów RSA, Wymagaj, aby zezwolić na użycie wyłącznie algorytmów szyfrowania ECC, lub Nie zezwalaj, aby używać wyłącznie szyfrowania RSA.
Uwaga:
Niniejsze ustawienia zasad stosuje się tylko, jeśli plik, lub folder został pierwotnie zaszyfrowany. Jeśli plik, lub folder został zaszyfrowany przed skonfigurowaniem niniejszego ustawienia, użytkownik nadal będzie miał dostęp do zawartości poprzez użycie wprowadzonego wtedy algorytmu. Wybór opcji Wymagaj nie wymusza użycia AES w przypadku klucza szyfrowania plików. Wymusza wyłącznie użycie algorytmu ECC. Niektóre algorytmy ECC są zgodne z Suite B, a niektóre nie.
.gif){kind=icon}
Do początku strony
Zmiany w narzędziu wiersza polecenia Cipher.exe
Opcje /K oraz /R narzędzia Cipher.exe zawierają dodatkowy parametr /ECC:length, który pozwala na generowanie kluczy ECC. Długość klucza dla kluczy ECC może zostać określona jako 256, 384, lub 521. Parametr ten jest ignorowany, chyba że wygenerowany zostanie certyfikat z podpisem własnym.
Zmiany w uwierzytelnianiu Kerberos
Niniejsza część, zawierająca ocenę produktu, napisana dla specjalistów IT opisuje ulepszenia kryptograficzne wprowadzone w procesie wdrażania protokołu Kerberos v5 firmy Microsoft w systemie Windows® 7 oraz Windows Server® 2008 R2.
Algorytm DES domyślnie wyłączony w systemie Windows 7 oraz Windows Server 2008 R2
Oba mechanizmy szyfrowania DES (DES-CBC-MD5 oraz DES-CBC-CRC) są w systemie Windows 7 domyślnie wyłączone. W systemach Windows 7 oraz Windows Server 2008 R2 domyślnie włączone są następujące mechanizmy szyfrowania:
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC
Włączanie typów szyfrowania DES dla Kerberos
W systemie Windows 7 oraz Windows Server 2008 R2 należy skonfigurować komputery tak, aby korzystały z mechanizmu szyfrowania DES-CBC-MD5, lub DES-CBC-CRC. Jeśli dane środowisko wymaga szyfrowania DES, wtedy to ustawienie może wpłynąć na kompatybilność z komputerami klienckimi, lub usługami i aplikacjami w danym środowisku.
Ustawienie zasady Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos znajduje się w lokalizacji Computer Configuration\Security Settings\Local Policies\Security Options.
Obsługa algorytmu ECC w protokole Kerberos dla logowania karty inteligentnej
W systemie Windows 7 oraz Windows Server 2008 R2 protokół Kerberos obsługuje kryptografię opartą na krzywej eliptycznej (ECC) logowania karty inteligentnej, które używa certyfikatów X.509. Mimo iż zmiana ta nie jest widoczna dla użytkowników końcowych, odczują oni korzyści płynące z mocniejszej kryptografii logowań karty inteligentnej. Do uzyskania obsługi ECC w protokole Kerberos nie jest wymagana żadna konfiguracja. Jednak karty inteligentne oraz czytniki muszą obsługiwać ECC.
Do początku strony
Zmiany zasad grupy dla systemu szyfrowania plików (EFS)
Minimalne 128-bitowowe zabezpieczenie sesji oparte na NTLM
W systemie Windows 7 oraz Windows Server 2008 R2 minimalne zasady zabezpieczeń sesji oparte na NTLM są ustawione tak, aby wymagały minimum 128-bitowego szyfrowania zarówno komputerów, jak i serwerów klienckich w przypadku nowych instalacji systemu Windows. Wymaga to, aby wszystkie urządzenia sieciowe oraz systemy operacyjne korzystające z NTLM obsługiwały szyfrowanie 128-bitowe. Istniejące zabezpieczenia sesji zostaną zachowane podczas uaktualniania wcześniejszej wersji systemu Windows.
Jeśli, w celu umożliwienia korzystania ze słabszego szyfrowania, wymagane jest 40-bitowe lub 56-bitowe szyfrowanie z NTLM dla aplikacji klienckich, lub serwera, należy wtedy ustawić odpowiednie zasady poprzez odznaczenie pola wyboru Wymagaj szyfrowania 128-bitowego w następujących ustawieniach zasad:
- Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla klientów opartych na NTLM SSP (włączając secure RPC)
- Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla serwerów opartych na NTLM SSP (włączając secure RPC)
Powrót usług systemowych do protokołu NTLM z użyciem tożsamości komputera
Podczas łączenia się z komputerami, na których uruchomione są wcześniejsze niż Windows Vista, czy Windows Server 2008 wersje systemu Windows, usługi uruchomione jako system lokalny i korzystające z SPNEGO (Negocjator), które powracają do protokołu NTLM, używają tożsamości komputera. W systemie Windows 7 kiedy łączymy się z komputerem, na którym uruchomiony jest system Windows Server 2008, lub Windows Vista, usługa systemowa korzysta z tożsamości komputerowej, lub z pustych sesji. Łącząc się z użyciem pustej sesji, utworzony zostaje klucz sesji generowany przez system, co nie zapewnia żadnej ochrony, ale pozwala aplikacjom bezbłędnie podpisywać i szyfrować dane. Podczas łączenia się z użyciem tożsamości komputera, w celu zapewnienia ochrony danych obsługiwane jest zarówno podpisywanie, jak i szyfrowanie.
Aby zezwolić usługom systemu lokalnego, które korzystają z Negocjatora na użycie tożsamości komputera podczas powracania do uwierzytelniania przy pomocy protokołu NTML, można skonfigurować ustawienie zasad zabezpieczeń Zabezpieczenia sieciowe: Zezwalaj lokalnemu systemowi na uwierzytelnianie NTLM przy użyciu tożsamości komputera.
Jeśli wskazane ustawienie zasad nie zostanie skonfigurowane, usługi uruchomione jako system lokalny, korzystające z poświadczeń domyślnych oraz pustej sesji, w przypadku systemów operacyjnych Windows wcześniejszych, niż Windows Vista, czy Windows Server 2008, powrócą do uwierzytelniania z użyciem protokołu NTLM. Może to spowodować niepowodzenie w przesyłaniu żądań uwierzytelnienia między systemami operacyjnymi Windows, lub wyświetlenie błędu.
Do początku strony
Zmiany w inspekcji zabezpieczeń
Niniejsza część, zawierająca ocenę produktu, napisana dla specjalistów IT opisuje zmiany w inspekcji zabezpieczeń, w tym funkcji szczegółowych zasad inspekcji, w systemie Windows 7 oraz Windows Server 2008 R2.
Inspekcja zabezpieczeń
Wdrożenie i konfigurowanie zasad inspekcji w sposób scentralizowany poprzez zasady grupy dostępny jest w systemach Windows 2000, Windows XP oraz Windows Server 2003. W systemie Windows Vista i Windows Server 2008, funkcja szczegółowych zasad inspekcji umożliwia bardziej precyzyjną inspekcję. Jednakże funkcja ta nie zapewnia scentralizowanej konfiguracji poprzez zasady grupy.
Tak jak we wcześniejszych wersjach systemu Windows, zasady inspekcji zabezpieczeń w systemie Windows 7 oraz Windows Server 2008 R2 mogą zostać umieszczone w lokalizacji Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies przy użyciu przystawki lokalnych zasad komputera.
Szczegółowe zasady inspekcji oraz zasady grupy
W systemie Windows 7 oraz Windows Server 2008 R2 konfiguracja oraz wdrażanie konkretnych zasad inspekcji przy użyciu funkcji szczegółowych zasad inspekcji można wykonać przy użyciu zasad grupy.
Szczegółowe zasady inspekcji znajdują się w lokalizacji Local Computer Policy\Computer Configuration\Windows Settings\Advanced Audit Policy Configuration.
Inspekcja dostępu do obiektów
Inspekcja dostępu do obiektów została usprawniona przez następujące funkcje:
Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla klientów opartych na NTLM SSP (włączając secure RPC)
Obecnie komunikaty zdarzeń wyświetlają powód zezwolenia lub odmowy dostępu dla konta.
Globalne zasady inspekcji obiektów
We wcześniejszych wersjach systemu Windows, systemowa lista kontroli dostępu (SACL) musiała być propagowana w każdym obiekcie we wszystkich zasobach. Poprzez użycie globalnych zasad inspekcji obiektów, obiekt zasad grupy można wykorzystać do śledzenia wszystkich obiektów docelowych. Obecnie analitycy mogą analizować zdarzenia dostępu do obiektów, aby dowiedzieć się, do których obiektów użytkownicy lub procesy próbowali uzyskać dostęp, oraz poznać powody próby udanej, lub niepowodzenia.
Do początku strony
Zmiany w zarządzaniu modułem TPM
Aktualizacja: 18.05.2009 r.
Dotyczy: Windows 7,Windows Server 2008 R2
Zarządzanie modułem TPM jest przystawką programu Microsoft Management Console (MMC), która pozwala administratorom oddziaływać na usługi modułu TPM. Używa się ich do administrowania zabezpieczeniami sprzętowymi modułu TPM na danym komputerze. W systemie Windows® 7 oraz Windows Server® 2008 R2 przystawka zarządzania modułem TPM może być obecnie używana do zresetowania wartości blokady modułu TPM.
Resetowanie wartości blokady modułu TPM
Moduł TPM zablokuje się, aby zapobiec manipulacji osób niepożądanych, lub atakom, czyli nastąpi tzw. blokada. Blokada modułu TPM często trwa zmienną ilość czasu, lub do momentu wyłączenia komputera. Zwykle kiedy moduł TPM pozostaje w trybie blokady, zwraca błąd, gdy otrzymuje polecenie wymagające wartości autoryzacji. Istnieje jeden wyjątek. Moduł TPM zawsze zezwala właścicielowi na przynajmniej jedną próbę zresetowania blokady modułu TPM, gdy jest on w trybie blokady. Potrzeba zresetowania wartości blokady może wystąpić, jeśli moduł TPM wejdzie w tryb blokady, lub wolno reaguje na polecenia.
Uwaga:
Resetowanie blokady modułu TPM wymaga autoryzacji właściciela tego modułu. Jeśli nie pamiętamy hasła autoryzacji właściciela, należy rozważyć następujące miejsca, w których hasło to mogło zostać zachowane. Hasło autoryzacji właściciela modułu TPM mogło zostać zapisane razem z kluczem odzyskiwania funkcji BitLocker na dysku USB, lub w udziale sieciowym. Plik hasła właściciela modułu TPM posiada rozszerzenie .tpm. Jeśli klucz odzyskiwania funkcji BitLocker został wydrukowany, hasło właściciela modułu TPM mogło zostać wydrukowane w tym samym czasie. Ponadto wartość skrótu hasła właściciela modułu TPM została zapisana w kopii zapasowej w usługach domenowych usługi Active Directory® (AD DS), jeśli ustawienia zasad grupy w organizacji zostały w ten sposób skonfigurowane.
Do początku strony