.png "Co nowego w zabezpieczeniach urządzeń klienckich?, cz. II"){kind=icon}
.png "Co nowego w zabezpieczeniach urządzeń klienckich?")
.png "Co nowego w zabezpieczeniach urządzeń klienckich?, cz. IV"){kind=icon}
Co nowego w zabezpieczeniach urządzeń klienckich?, cz. III .png)
Opublikowano: 9 marca 2010
Zawartość strony
.gif){kind=icon} |
Zmiany w kontroli konta użytkownika |
|
Wprowadzenie funkcji AppLocker |
|
Obsługa algorytmów kryptograficznych Suite B dla technologii zabezpieczeń w systemie Windows |
|
Ustawienia dostępu do magazynu rozszerzonego |
Zmiany w kontroli konta użytkownika
Wynikiem udoskonalenia kontroli konta użytkownika w systemie Windows 7 oraz Windows Server 2008 R2 są ulepszone czynności użytkownika przy konfigurowaniu komputera oraz przy rozwiązywaniu problemów z nim związanych. Do usprawnień zbioru funkcji kontroli konta użytkownika zalicza się:
- Wzrost liczby zadań, jakie standardowy użytkownik może wykonać, a w przypadku których nie będzie wyświetlany monit o zatwierdzenie przez administratora.
- Pozwalają one użytkownikom posiadającym uprawnienia administratora konfigurować czynności kontroli konta użytkownika w panelu sterowania.
- Zapewniają dodatkowe lokalne zasady zabezpieczeń, które umożliwiają lokalnym administratorom wprowadzanie zmian w zachowaniu komunikatów kontroli konta użytkownika wobec lokalnych administratorów w trybie zatwierdzania przez administratora.
- Zapewniają dodatkowe lokalne zasady zabezpieczeń, które umożliwiają lokalnym administratorom wprowadzanie zmian w zachowaniu komunikatów kontroli konta użytkownika wobec standardowych użytkowników.
Więcej informacji na temat niniejszych ulepszeń znajduje się w Co nowego w kontroli konta użytkownika (j.ang.). Aby uzyskać więcej informacji na temat konfigurowania kontroli konta użytkownika, otwórz Instrukcja krok po kroku po kontroli konta użytkownika (j.ang.).
Zredukowana ilość monitów kontroli konta użytkownika
Domyślne ustawienie kontroli konta użytkownika pozwala standardowemu użytkownikowi wykonywać następujące zadania bez otrzymywania monitów kontroli konta użytkownika:
- Instalacja aktualizacji z Windows Update.
- Instalacja sterowników z Windows Update, lub sterowników dostarczanych z systemem operacyjnym.
- Przeglądanie ustawień systemu Windows. (Jednakże przy próbie zmiany ustawień systemu Windows standardowy użytkownik otrzyma monit o podniesione uprawnienia.)
- Łączenie urządzeń Bluetooth z komputerem.
- Resetowanie karty sieciowej i wykonywanie innych zadań związanych z diagnostyką i naprawianiem sieci.
Poniższa tabela pokazuje prawdopodobieństwo pojawienia się monitów kontroli konta użytkownika dla działań użytkownika w porównaniu z systemem Windows Vista SP1.
| Działania | Powiadamiaj mnie tylko, gdy program próbuje wprowadzić zmiany w moim komputerze | Zawsze mnie powiadamiaj |
| Zmiana ustawień personalizacji | Brak monitów | Mniej monitów |
| Zarządzanie pulpitem | Brak monitów | Mniej monitów |
| Ustawianie sieci i rozwiązywanie problemów z siecią | Brak monitów | Mniej monitów |
| Użycie Windows Easy Transfer | Mniej monitów | Taka sama liczba monitów |
| Instalacja formantów ActiveX poprzez Internet Explorer | Mniej monitów | Mniej monitów |
| Podłączanie urządzeń | Brak monitów | Brak monitów, jeśli sterowniki znajdują się w Windows Update, lub zbliżona liczba monitów, jeśli sterowniki nie znajdują się w Windows Update |
| Korzystanie z Windows Update | Brak monitów | Brak monitów |
| Ustawianie kopii zapasowych | Brak monitów | Taka sama liczba monitów |
| Instalacja, lub usuwanie oprogramowania | Brak monitów | Mniej monitów |
Zmiany w administrowaniu kontrolą konta użytkownika
Zmiany w administrowaniu kontrolą konta użytkownika są następujące:
- Czynności kontroli konta użytkownika mogą być konfigurowane w panelu sterowania; dostępne są cztery poziomy powiadomień.
- Zachowanie komunikatów kontroli konta użytkownika dla administratorów i użytkowników standardowych może zostać zmieniona w lokalnych zasadach zabezpieczeń.
- Usługa Instalator formantów ActiveX pozwala przedsiębiorstwom zarządzać wdrażaniem formantów ActiveX poprzez zasady grupy.
.gif){kind=icon}
Do początku strony
Wprowadzenie funkcji AppLocker
Funkcja AppLocker
Funkcja Zasady ograniczeń oprogramowania została wprowadzona w systemie Windows XP dla administratorów, w celu sterowania oprogramowaniem, które uzyskało pozwolenie na uruchomienie na komputerach, którymi zarządzają. W systemie Windows Server 2008 R2 i w niektórych edycjach systemu Windows 7 dostępna jest bardziej zaawansowana wersja zasad ograniczeń oprogramowania AppLocker.
Funkcje w AppLocker
Reguły wydawców
W funkcji AppLocker istnieje możliwość tworzenia reguł dla poszczególnych nazw produktów, takie jak „Zezwalaj na uruchomienie programu Adobe Acrobat w wersji wyższej, niż 7.0”. W przypadku reguł tego typu nie ma potrzeby zmiany reguły skrótu po każdej aktualizacji oprogramowania, ani weryfikacji ścieżki uprawnień pliku wykonywalnego, lub ścieżki uprawnień dostępu użytkownika w celu zapisania na tej ścieżce. Tego typu reguła może być regułą ogólną, lub szczegółową, w zależności od wybranych kryteriów, jak np. wydawca, nazwa produktu, nazwa pliku, lub wersja. Informacje, na których opiera się reguła zbierane są z cyfrowego podpisu aplikacji.
Uproszczona struktura reguł
W funkcji AppLocker nie występują złożone reguły pierwszeństwa dla różnych typów reguł, takich jak ścieżka, czy skrót. Wszystkie reguły odmowy mają pierwszeństwo przed regułami zezwalania bez względu na typ reguły. Jeśli utworzymy regułę zezwalania w funkcji AppLocker, elementy, które są dozwolone w tych regułach otrzymają zgodę na uruchomienie, chyba że istnieje reguła odmowy, która odmawia dostępu tym konkretnym elementom.
Reguły użytkownika, które można egzekwować bez względu na to, czy użytkownik jest zalogowany interakcyjnie.
W przypadku zasad ograniczeń oprogramowania można skierować reguły dla określonych użytkowników poprzez ustawienie tych reguł w określonych zasadach użytkownika. Oznacza to, że administrator pomocy technicznej, który zdalnie administruje komputerem użytkownika podlega domyślnym regułom komputera i nie może uruchamiać narzędzi administratora, ani innych specjalnie dozwolonych programów. W funkcji AppLocker reguły użytkownika są wymuszone bez względu na to, czy użytkownik jest zalogowany interakcyjnie.
Możliwość ustawiania oddzielnych zasad dla plików .exe, .msi, skryptów oraz bibliotek DLL
W zasadach ograniczeń oprogramowania, jeśli zezwolimy na uruchomienie plików na określonej ścieżce, możliwe jest uruchomienie na tej samej ścieżce plików .msi oraz skryptów. W funkcji AppLocker, aby zrealizować określony scenariusz blokady, wystarczy, że administrator komputerów stacjonarnych autoryzuje niniejsze reguły. Oznacza to, że reguły dla plików wykonywalnych stosowane są w przypadku kodu wykonywalnego. Reguły ścieżki utworzone dla programów wykonywalnych nie będą stosowane wobec bibliotek DLL. Aby kontrolować zachowanie DLL, należy utworzyć regułę DLL. Taka komponentyzacja ułatwia administratorom komputerów stacjonarnych określenie, w jaki sposób wprowadzą do użycia swoje reguły.
Tryb inspekcji
W funkcji AppLocker możliwe jest włączenie trybu inspekcji, który pozwala przetestować, w jaki sposób stosowane byłyby wyznaczone reguły, bez rzeczywistego ich wprowadzania.
Kreator tworzenia reguł
W funkcji AppLocker kreator tworzenia reguł może zostać użyty do generowania reguł pozwalających na uruchomienie wszystkich aplikacji w określonym folderze.
Źródła informacji na temat funkcji AppLocker
Więcej informacji dotyczących zmian funkcjonalności oraz nowych funkcji znajduje się w Co nowego w funkcji AppLocker w systemie Windows Server 2008 R2 (j.ang.).
Więcej informacji na temat użycia funkcji AppLocker znajduje się online, w pliku pomocy Applocker_help.chm.
Do początku strony
Obsługa algorytmów kryptograficznych Suite B dla technologii zabezpieczeń w systemie Windows
Suite B to zbiór algorytmów kryptograficznych zatwierdzonych przez Narodową Agencję Bezpieczeństwa (NSA) Stanów Zjednoczonych. Podczas gdy zbiór Suite A przeznaczony jest dla wysoce poufnej komunikacji oraz krytycznych systemów uwierzytelniania, Suite B jest publicznie dostępnym zbiorem algorytmów wyznaczających standardy kryptograficzne dotyczące szyfrowania oprogramowania. Suite B składa się z następujących elementów:
- Advanced Encryption Standard (AES-128 oraz AES-256)
- Algorytm Elliptic Curve Digital Signature Algorithm (ECDSA)
- Krzywa eliptyczna Diffie’ego-Hellmana (ECDH)
- Algorytm Secure Hash Algorithm (SHA-256 oraz SHA-384)
Obsługa algorytmów kryptograficznych Suite B została dodana w systemie Windows Vista Service Pack 1 (SP1) oraz w systemie Windows Server 2008 razem z wprowadzeniem kryptografii nowej generacji (CNG). W systemach Windows 7 oraz Windows Server 2008 R2 algorytmy Suite B są wykorzystywane przez niektóre technologie zabezpieczeń, w tym:
Protokół uwierzytelniania Transport Security Layer (TLS) (wdrożony w pakiecie uwierzytelniania SChannel)
Więcej informacji o nowościach dotyczących TLS znajduje się w części Wprowadzenie TLS v1.2.
System szyfrowania plików (EFS)
Więcej informacji o nowościach dotyczących systemu EFS znajduje się w części Zmiany w systemie szyfrowania plików EFS.
Dodatkowe źródła dotyczące Suite B oraz kryptografii nowej generacji (CNG) znajdują się w:
- Kryptografia nowej generacji (j.ang.)
- Funkcje CNG (j.ang.)
- Opis obsługi algorytmów kryptograficznych Suite B dodanych w systemach Windows Vista Service Pack 1 oraz Windows Server 2008 (j.ang.)
- Arkusz informacyjny Narodowej Agencji Bezpieczeństwa dotyczący kryptografii Suite B (j.ang.)
Do początku strony
Ustawienia dostępu do magazynu rozszerzonego
Urządzenia magazynu rozszerzonego to urządzenia, które obsługują protokół IEEE 1667 w celu zapewnienia takich funkcji, jak uwierzytelnianie urządzeń magazynujących na poziomie sprzętowym. Urządzenia te mogą być bardzo niewielkie, jak np. dysk flash USB. Zapewnia to wygodny sposób magazynowania i transportowania danych. Jednocześnie ze względu na niewielki rozmiar takie urządzenie łatwo jest zgubić, lub ukraść.
Ustawienia dostępu do magazynu rozszerzonego w systemie Windows 7 oraz Windows Server 2008 R2 umożliwiają użycie zasad grupy do zarządzania urządzeniami magazynu rozszerzonego oraz do administrowania zasadami dla silosów uwierzytelniania certyfikatami i hasłem w organizacji.
Definicje różnych urządzeń magazynu rozszerzonego, w tym sterowników silosów magazynujących, znajdują się w części Definicje (j.ang.) w bibliotece MSDN.
Niniejsze ustawienia zasad grupy znajdują się w lokalizacji: Computer Configuration\Administrative Templates\System\Enhanced Storage Access.
Opisy ustawień zasad
Następujące ustawienia zasad grupy kontrolują zachowanie urządzeń magazynu rozszerzonego.
| Ustawienia zasad | Opis | Jeśli nie zostały skonfigurowane... |
| Zezwalaj na zapewnianie obsługi administracyjnej certyfikatu magazynu rozszerzonego | Pozwala użytkownikom zapewniać obsługę administracyjną certyfikatów w urządzeniach obsługujących silos uwierzytelniania certyfikatem. | Użytkownicy nie mogą zapewnić obsługi administracyjnej certyfikatów w urządzeniach silosu certyfikatów magazynu rozszerzonego. |
| Zezwalaj tylko na urządzenia magazynu rozszerzonego połączone z głównym koncentratorem USB | Zezwalała wyłącznie na urządzenia magazynu rozszerzonego połączone z głównym koncentratorem USB. | Dozwolone są zarówno urządzenia USB magazynu rozszerzonego połączone z głównym koncentratorem USB, jak i te nie połączone. |
| Konfiguruj listę zatwierdzonych urządzeń magazynu rozszerzonego | Pozwala na podstawie producenta oraz identyfikatora produktu konfigurować listę urządzeń dozwolonych na danym komputerze. | Dozwolone są wszystkie urządzenia. |
| Konfiguruj listę zatwierdzonych silosów IEEE 1667 |
Pozwala utworzyć listę dozwolonych silosów, które mogą być używane na danym komputerze. Silos uwierzytelniania certyfikatu zawsze znajduje się na zatwierdzonej liście. |
Dozwolone są wszystkie silosy. |
| Nie zezwalaj na uwierzytelnianie hasłem urządzeń magazynu rozszerzonego | Pozwala na użycie hasła celem odblokowania urządzenia magazynu rozszerzonego, lub zezwala na dostęp na danym komputerze do urządzeń uwierzytelnianych hasłem. | Do odblokowania urządzeń można użyć hasła. |
| Nie zezwalaj na wymienne urządzenia nie należące do magazynu rozszerzonego | Ogranicza użycie urządzeń wymiennych do urządzeń do urządzeń magazynu rozszerzonego. | Dozwolone są urządzenia wymienne nie należące do magazynu rozszerzonego. |
| Zablokuj magazyn rozszerzony, gdy komputer jest zablokowany | Blokuje urządzenie, komputer jest zablokowany. | Stan zabezpieczeń urządzenia pozostanie odblokowany, nawet jeśli komputer zostanie zablokowany kombinacją CTRL+ALT+DELETE. |
Wdrażanie ustawień zasad
Ustawienia dostępu do magazynu rozszerzonego administrowane są w taki sam sposób, jak wszelkie pozostałe zasady grupy w kontrolerze domen. Gdy ustawienia zasad zostaną aktywowane, mają miejsce następujące działania:
| 1. Ustawienia zasad są okresowo wysyłane do komputerów klienckich będących członkami domeny. | |
| 2. Usługa zasad grupy na komputerach klienckich tworzy klucz odpowiadający ustawieniom zasad. | |
| 3. Komponenty magazynu rozszerzonego odczytują klucze rejestru w celu określenia, które ustawienia zasad są włączone, a następnie w celu podjęcia działań w kierunku uzyskania zgodności z ustawieniami. |
Do początku strony