Глава 3. Защита конфиденциальных данных

  • Статья

Эффективные технологии и средства предотвращения кражи или разглашения данных были одним из главнейших пожеланий потребителей при разработке Windows Vista®. В Windows® 7 эти компоненты получили дальнейшее развитие.

Ряд как новых, так и усовершенствованных компонентов и служб, разработанных корпорацией Майкрософт, призван обеспечить лучшую защиту данных на клиентских компьютерах предприятий. Те из них, что рассматриваются в этой главе, предназначены для защиты данных на клиентских компьютерах под управлением ОС Windows 7 в среде корпоративных клиентов (EC). Способы настройки этих компонентов зависят от конкретных условий работы. В главе описывается процесс, с помощью которого привести в соответствие с необходимым уровнем защиты данных можно следующие компоненты:

   •  шифрование дисков BitLocker™;

  • BitLocker To Go;

   •  шифрованная файловая система (EFS);

   •  служба управления правами (RMS);

   •  управление и установка устройств.

Все перечисленные технологии призваны обеспечить защиту конфиденциальных данных предприятия. Однако, каждая из них работает по-своему. По сути, они дополняют друг друга, и Майкрософт настоятельно рекомендует использовать их все в рамках единой стратегии обеспечения безопасности предприятия. В зависимости от конкретных нужд, каждую из перечисленных технологий можно применять как отдельно, так и в комплексе. В следующей таблице представлены примеры того, какие из технологий пригодятся для защиты данных в различных ситуациях.

Таблица 3.1 Сравнение технологий защиты данных в Windows 7

Ситуация BitLocker EFS RMS Управление устройствами

Защита данных на переносных компьютерах

Fig5.png

Fig5.png

Fig5.png

Защита данных на сервере в филиале

Fig5.png

Fig5.png

Защита файлов и папок отдельного локального пользователя

Fig5.png

Защита данных настольного компьютера

Fig5.png

Fig5.png

Fig5.png

Защита съемного диска

Fig5.png

Fig5.png

Защита файлов и папок общего компьютера

Fig5.png

Защита удаленных файлов и папок

Fig5.png

Защита администратора в недоверенной сети

Fig5.png

Принудительное исполнение политик использования удаленных документов

Fig5.png

Защита передаваемого содержимого

Fig5.png

Защита содержимого при совместной работе

Fig5.png

Защита данных от кражи

Fig5.png

Fig5.png

Примечание   В каждом соответствующем разделе этой главы некоторые параметры групповой политики выделены с целью показать конфигурацию новой установки Windows 7 по умолчанию. Необходимые изменения или рекомендации отмечены знаком ‡. Подробнее о значениях этих параметров см. книгу «Windows 7 Security Baseline Settings».

Оптимизация криптографических случайных чисел

Если имеется установленный и включенный доверенный платформенный модуль (TPM), ОС Windows 7 будет использовать его для задания начального значения своему генератору случайных чисел (ГСЧ). Такие генераторы используются многими приложениями для создания криптографических ключей. Ключи, сгенерированные описанным способом, оказываются более случайными, нежели те, что получены чисто программным путем. Поэтому рекомендуется включить поддержку оборудования TPM в BIOS компьютеров.

По умолчанию Windows 7 обращается к модулю TPM за данными, используемыми в определении начального числа, сначала при загрузке, а затем каждые 40 минут. Это поведение контролируется тремя параметрами. Их значения по умолчанию оптимальны для большинства ситуаций, поэтому настраивать их обычно нет необходимости.

Параметр TpmBootEntropy находится в данных конфигурации загрузки (BCD). Если задать ему значение false, данные об энтропии не будут собираться при загрузке с доверенного платформенного модуля. Значение по умолчанию — true для нормальной загрузки и false для загрузки в безопасном режиме и безопасном режиме с поддержкой сети. Этот параметр доступен как для BIOS-, так и для EFI-систем. Подробнее о контроле параметров, расположенных в данных конфигурации загрузки, см. «Данные конфигурации загрузки в Windows Vista» и «Команды BCDEdit для загрузочной среды».

Интервал обновления определяет, как часто (в минутах) производится повторный сбор энтропии с доверенного платформенного модуля. Если он равен нулю, повторного сбора энтропии не происходит. Это значение не влияет на первичный сбор энтропии при загрузке. Выбор значения этого параметра следует производить с осторожностью, так как слишком малое значение может на некоторых моделях TPM привести к сокращению средней наработки до отказа. Значение хранится в кусте реестра HKey_Local_Machine, в разделе \Software\Policies\Microsoft\Cryptography\RNG\, и представляет собой параметр DWORD с именем TpmRefreshEntropyIntervalInMinutes. Значение по умолчанию 40, допускаются значения от 0 до 40.

Третий параметр — число миллибит энтропии на байт вывода ГСЧ доверенного платформенного модуля. Значение хранится в кусте реестра HKey_Local_Machine, в разделе \System\CurrentControlSet\Control\Cryptography\RNG\, и представляет собой параметр DWORD с именем TpmEntropyDensityInMillibitsPerByte. Значение по умолчанию 8000, допускаются значения от 1 до 8000.

Шифрование дисков BitLocker

Шифрование дисков BitLocker в ОС Windows 7 было улучшено и теперь позволяет защищать данных на всех жестких дисках клиентского компьютера, в том числе съемных, например USB-накопителях и приводах IEEE 1394.

Если шифрование BitLocker включено на дисках операционной системы, обычная загрузочная последовательность может быть приостановлена, пока не будут предоставлены необходимые учетные данные. Хотя допускается использовать USB-накопитель для хранения ключей расшифровки, с точки зрения безопасности лучше всего использовать доверенный платформенный модуль (TPM 1.2) для хранения ключей шифрования и предотвращения программных атак на целостность системы или хранящиеся на дисках данные. Этот модуль может перед загрузкой проверять, что загрузочные компоненты жесткого диска не были изменены.

Подробнее о технологии доверенных платформенных модулей можно узнать из спецификаций и материалов, расположенных на веб-сайте Trusted Computing Group. Если такого модуля в системе нет, BitLocker будет обеспечивать защиту данных, но проверка целостности системы проводиться не будет.

Технология BitLocker включена в состав корпоративной (Enterprise) и максимальной (Ultimate) редакций клиентской ОС Windows 7.

Предлагаемые технологией BitLocker возможности отвечают следующим потребностям:

  • защита системных дисков операционной системы;
  • защита данных на несъемных дисках;
  • защита данных на съемных дисках.

Подробнее эти ситуации рассмотрены в следующих разделах этой главы.

Примечание   Технология BitLocker также предлагается для защиты дисков ОС Windows Server® 2008 и более поздних. Этот вариант не рассматривается в настоящем руководстве.

Примечание   Допускается сохранить файл виртуального жесткого диска Windows Virtual PC (VHD-файл) в рамках файловой системы, защищенной технологией BitLocker. Однако этот VHD-файл будет нельзя использовать для прямой загрузки, равно как нельзя будет включить защиту BitLocker на любом томе из его состава.

Защита операционной системы и несъемных жестких дисков

В рамках этого сценария BitLocker используется для защиты всех несъемных дисков компьютера, как системных, так и содержащих другие данные. Это рекомендуемая конфигурация, поскольку она обеспечивает защиту всех данных.

Оценка рисков

Один из главных рисков, для устранения которых была создана технология BitLocker, — риск утечки данных с утерянных или украденных компьютеров. Если злоумышленник получает физический доступ к компьютеру, он может:

   •  войти в систему Windows 7 и скопировать файлы;

   •  перезагрузить клиентский компьютер под управлением другой ОС, после чего:

  • просмотреть имена файлов;
  • скопировать файлы;
  • считать содержимое файла гибернации или файла подкачки, где обнаружить открытый текст документов, с которыми велась работа;
  • считать содержимое файла гибернации, где обнаружить открытую текстовую копию закрытых программных ключей.

Даже если файлы зашифрованы файловой системой EFS, небрежный пользователь может переместить или скопировать файл из защищенного расположения в незащищенное, так что данные будут представлены открытым текстом. Несведущий ИТ-персонал может забыть установить шифрование для скрытых папок, в которых приложения хранят резервные копии файлов, с которыми идет работа. Есть и операционные риски, например злонамеренное изменение системных и загрузочных файлов, которое может особым образом отразиться на функционировании системы.

Снижение риска

В целях смягчения указанных рисков следует включить шифрование BitLocker, а также требовать проверки целостности загрузочных компонентов и предзагрузочную проверку подлинности перед предоставлением доступа к зашифрованному системному диску. Помимо этого, следует защитить файлы операционной системы и данных.

Анализ мер по снижению риска

Шифрование BitLocker, используемое на системных и несъемных дисках, позволяет отвечать рискам, описанным в предыдущем разделе, «Оценка рисков». Однако, перед включением этой технологии защиты данных стоит изучить следующие требования и рекомендации.

   •  Для оптимального уровня защиты материнская плата компьютера должна содержать чип TMP 1.2, чья версия BIOS отвечает требованиям Trusted Computing Group. Для разблокирования системы рекомендуется использовать выбираемый пользователем ПИН-код. В качестве варианта, можно также использовать USB-накопитель с ключом запуска в машинном формате.

   •  Жесткий диск должен содержать как минимум два раздела — раздел операционной системы и активный системный раздел. Раздел операционной системы предназначен для зашифрованных файлов установленной ОС Windows. Активный системный раздел должен оставаться незашифрованным, чтобы компьютер мог начать загрузку. Этот раздел должен быть не менее 100 МБ в размере. По умолчанию в Windows 7 системный раздел создается автоматически. Ему не назначается буква диска и он скрывается от пользователей. Если на диске нет отдельного активного системного раздела, BitLocker внесет в разделы требуемые изменения при своей настройке.

   •  Если технология BitLocker используется с USB-накопителями или ПИН-кодами, необходимо предусмотреть действия на случай утерянного накопителя и забытого ПИН-кода.

   •  Технология BitLocker оказывает небольшое влияние на производительность, но оно, как правило, незаметно. Если уровень производительности системы чрезвычайно важен, стоит провести предварительное тестирование степени влияния BitLocker на работу пользователей.

   •  В зависимости от изготовителя, средства управления доверенными платформенными модулями могут предусматривать выполняемые вручную шаги по конфигурированию модуля и требовать введения пароля администратора в BIOS при построении, что может не позволить осуществлять полностью автоматическое развертывание и обновление.

   •  BIOS компьютера должен быть способен считывать информацию с USB-устройств до загрузки системы, иначе не удастся использовать ключ запуска для разблокирования операционной системы.

   •  Технология BitLocker может затруднить процесс распределения ПО, если это ПО или обновления распределяются по ночам, и перезапуск компьютеров происходит без участия пользователей. Например:

  • если компьютер защищен с помощью TMP и ввода ПИН-кода или с помощью TPM и ключа запуска, и в 2 часа ночи развертывается обновление безопасности, после которого компьютер требуется перезагрузить, без ПИН-кода или ключа запуска компьютер повторно не включится;
  • если используется функция Wake-on-LAN или возможности BIOS по автоматическому включению компьютера для обслуживания, TPM с вводом ПИН-кода или ключа запуска также не позволит им включиться.

   •  На работе компьютеров с BitLocker может отразиться установка предоставляемых изготовителем обновлений микропрограмм BIOS или TPM. Обновление BIOS может быть определено доверенным платформенным модулем как изменение дозагрузочных компонентов, в результате чего модуль войдет в режим восстановления. Если это представляет проблему, следует приостановить BitLocker до установки обновления и возобновить после.

   •  Маловероятно, но все же обновления приложений могут нарушить работу компьютеров, защищенных BitLocker. Если при установке или обновлении вносятся изменения в диспетчер загрузки или файлы, отслеживаемые BitLocker, система не сможет загрузиться и войдет в режим восстановления. Перед установкой или обновлением приложений, изменяющих загрузочную среду Windows 7, следует проверить их на компьютере с включенной технологией BitLocker.

   •  Все контроллеры домена в домене должны работать под управлением ОС Windows Server® 2003 с пакетом обновления 2 (SP2) или более поздней.

Примечание   В ОС Windows Server 2003 требуется расширить схему, чтобы иметь возможность хранить информацию восстановления BitLocker в доменных службах Active Directory® (AD DS).

Процесс снижения рисков

В определении конфигурации BitLocker, обеспечивающей оптимальную защиту конфиденциальных данных на клиентских компьютерах, поможет следующий процесс.

Ход процесса снижения рисков

   1.  Изучить технологию BitLocker и ее возможности.

Примечание   Подробнее о BitLocker см. «Шифрование дисков BitLocker» на веб-сайте Microsoft TechNet и «Руководства по планированию и внедрению шифрования дисков Windows BitLocker».

   2.  Определить степень необходимости технологии BitLocker в текущих условиях.

   3.  Убедиться, что используемое оборудование, микропрограммы и программное обеспечение удовлетворяет требованиям BitLocker.

   4.  Определить, какие компьютеры предприятия требуется защитить с помощью BitLocker.

   5.  Определить требуемый уровень защиты. Для запуска операционной системы может потребоваться ПИН-код или USB-накопитель с ключами шифрования. Без них ОС не запустится.

   6.  Установить на тестовую систему необходимые драйверы.

   7.  С помощью объектов групповой политики (GPO) настроить BitLocker на тестовых системах.

   8.  После успешного теста установить драйверы и настроить BitLocker на производственных компьютерах.

   9.  Использовать групповую политику для контроля способа включения технологии BitLocker и управления ею.

Использование групповой политики для снижения рисков, связанных с BitLocker

Для управления конфигурацией BitLocker рекомендуется использовать два шаблона групповой политики Они позволяют управлять параметрами TPM отдельно от остальных аспектов BitLocker. В следующей таблице описаны параметры групповой политики BitLocker из шаблона VolumeEncryption.admx. Эти параметры в редакторе GPO расположены по следующему пути:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование дисков BitLocker)

В ОС Windows 7 по этому пути расположены три группы параметров:

  • Fixed Data Drives (несъемные диски);
  • Operating System Drives (диски операционной системы);
  • Removable Data Drives (съемные диски).

Общие для этих категорий параметры групповой политики приведены ниже.

Знаком § отмечены параметры, появившиеся только в Windows 7.

Таблица 3.2 Общие параметры шифрования дисков BitLocker

Параметр политики Описание По умолчанию в Windows 7

Store BitLocker recovery information in Active Directory Domain Services(Windows Server 2008 and Windows Vista) (Хранить сведения о восстановлении BitLocker в доменных службах Active Directory (Windows Server 2008 и Windows Vista)

Управляет способом хранения резервной копии информации о восстановлении BitLocker.

Эта политика действует только для компьютеров под управлением ОС Windows Server 2008 или Windows Vista.

Не задано

Choose default folder for recovery password (Выберите папку по умолчанию для пароля восстановления)

Указывает путь, который используется мастером настройки BitLocker при запросе папки, где будет храниться пароль восстановления, в качестве пути по умолчанию.

Не задано

Choose how users can recover BitLocker-protected drives (Windows Server 2008 and Windows Vista) (Выберите способ восстановления пользователями дисков, защищенных с помощью BitLocker (Windows Server 2008 и Windows Vista)

Указывает, какие варианты восстановления мастер настройки BitLocker может предлагать пользователю на выбор.

Не задано

Выберите метод шифрования диска и стойкость шифра

Задает используемые алгоритм и стойкость шифра.

По умолчанию используется алгоритм AES со 128-битным ключом и диффузором.

Не задано

§Provide the unique identifiers for your organization (Укажите уникальные идентификаторы для организации)

Позволяет связать с новым диском, создаваемым технологией BitLocker, уникальный идентификатор.

Не задано

Prevent memory overwrite on restart (Запретить перезапись памяти при перезагрузке)

Может сделать перезагрузку быстрее ценой повышения риска разглашения закрытой информации BitLocker.

Не задано

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.

В следующей таблице приведены параметры групповой политики доверенного платформенного модуля из шаблона TPM.admx. Эти параметры в редакторе GPO расположены по следующему пути:

Computer Configuration\Administrative Templates\System\Trusted Platform Module Services (Конфигурация компьютера\Административные шаблоны\Система\Службы доверенного платформенного модуля)

Таблица 3.3 Параметры доверенного платформенного модуля

Параметр политики Описание По умолчанию в Windows 7

Turn on TPM backup to Active Directory Domain Services (Включить резервное копирование TPM в доменные службы Active Directory)

Управляет хранением в службах AD DS резервной копии информации о владельце доверенного платформенного модуля (TPM).

Не задано

Configure the list of blocked TPM commands (Настроить список заблокированных команд TPM)

Задает список команд TPM, которые Windows будет блокировать.

Не задано

Ignore the default list of blocked TPM commands (Игнорировать список заблокированных команд TPM по умолчанию)

Контролирует, используется ли список по умолчанию заблокированных команд TPM.

Не задано

Ignore the local list of blocked TPM commands (Игнорировать локальный список заблокированных команд TPM)

Контролирует, используется ли локальный список заблокированных команд TPM.

Не задано

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.

Параметры для несъемных дисков с данными

Параметры, применяемые к несъемным дискам, содержащим данные пользователей и приложений, но не операционную систему, расположены в следующем разделе редактора объектов GPO:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование дисков BitLocker\Несъемные диски с данными)

В следующей таблице описаны параметры групповой политики BitLocker из шаблона VolumeEncryption.admx. В категории Fixed Data Drives доступны следующие из них.

Таблица 3.4 Параметры для несъемных дисков с данными

Параметр политики Описание По умолчанию в Windows 7

§Configure use of smart cards on fixed data drives (Настроить использование смарт-карт на фиксированных дисках с данными)

Контролирует использование смарт-карт для проверки подлинности пользователя при доступе к защищенным BitLocker несъемным дискам с данными.

Не задано

§Deny write access to fixed drives not protected by BitLocker (Запретить запись на фиксированные диски, не защищенные BitLocker)

Определяет, необходимо ли включить защиту BitLocker, чтобы иметь возможность записи на несъемный диск с данными.

Не задано

§Allow access to BitLocker-protected fixed data drives from earlier versions of Windows (Разрешить доступ к фиксированным дискам с данными, защищенным с помощью BitLocker, из более ранних версий Windows)

Определяет, возможно ли разблокировать и просмотреть несъемные диски с файловой системой FAT из ОС Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Не задано

§Configure use of passwords for fixed data drives (Настроить использование паролей для фиксированных дисков с данными)

Определяет, требуется ли пароль для разблокирования несъемных дисков с данными, защищенных BitLocker. Также задает длину и сложность пароля.

Не задано

§Choose how BitLocker-protected fixed drives can be recovered (Выбор методов восстановления жестких дисков, защищенных с помощью BitLocker)

Определяет метод восстановления защищенных BitLocker несъемных дисков с данными при отсутствии требуемых учетных данных.

Не задано

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.

Параметры для дисков операционной системы

Параметры, относящиеся к дискам, содержащим файлы операционной системы, расположены в следующем разделе редактора GPO:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование дисков BitLocker\Диски операционной системы)

В этой категории доступны следующие параметры.

Таблица 3.5 Параметры BitLocker для дисков операционной системы

Параметр политики Описание По умолчанию в Windows 7

§Require additional authentication at startup (Обязательная дополнительная проверка подлинности при запуске)

Определяет, будет ли BitLocker разрешать или требовать дополнительную проверку подлинности при каждом запуске компьютера, а также то, используется ли TPM.

Не задано

Require additional authentication at startup (Windows Server 2008 and Windows Vista) (Обязательная дополнительная проверка подлинности при запуске (Windows Server 2008 и Windows Vista)

Определяет, может ли мастер настройки BitLocker включить дополнительный метод проверки подлинности, используемый при каждом запуске компьютера.

Не задано

§Allow enhanced PINs for startup (Разрешить использование улучшенных ПИН-кодов при запуске компьютера)

Определяет, будет ли BitLocker использовать улучшенные ПИН-коды при запуске.

Не задано

§Configure minimum PIN length for startup (Установить минимальную длину ПИН-кода для запуска)

Минимальная длина ПИН-кода запуска для доверенного платформенного модуля. Этот параметр вступает в силу, когда включается BitLocker. ПИН-код может быть не менее 4 и не более 20 цифр длиной.

Не задано

§Choose how BitLocker-protected operating system drives can be recovered (Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker)

Определяет метод восстановления защищенных дисков BitLocker операционной системы при отсутствии необходимого ключа запуска.

Не задано

Configure TPM platform validation profile (Настройка профиля проверки платформы TPM)

Определяет, как оборудование TPM обеспечивает безопасность ключа шифрования BitLocker.

Не задано

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.

Утвержденные политики должны позволять эффективно управлять паролями и ключами BitLocker. Они должны обеспечивать достаточный уровень защиты данных, но в то же время не усложнять поддержку решения. Вот некоторые примеры политик.

  • Всегда требовать хранения резервной копии пароля восстановления в AD DS.
  • Всегда требовать хранения информации о владельце TPM в AD DS.
  • В качестве резервного способа восстановления использовать ключи восстановления и пароли восстановления.
  • Если в связке используются TPM и ПИН-коды или ключи запуска на USB-накопителях, следует менять их по утвержденному расписанию.
  • На компьютерах с TPM использовать пароль администратора, ограничивающий доступ в BIOS.
  • Убедиться, что какие бы то ни было ключи, например USB-накопители с ключами запуска, не хранятся рядом с компьютером.
  • Сохранять ключи восстановления в централизованном расположении для поддержки и аварийного восстановления.
  • Хранить резервные копии данных для восстановления в защищенном автономном хранилище.

Защита съемных дисков

Технология BitLocker может использоваться для защиты данных на съемных дисках, например внешних приводах IEEE 1394 и USB, SD-картах и USB-накопителях.

Оценка рисков

Со съемными дисками связан существенный риск для конфиденциальных данных предприятия. Подобные устройства стали настолько общедоступными, что огромные объемы информации можно очень быстро скопировать и унести с собой.

Кроме того, переносные ПК и съемные USB-накопители часто подвержены риску быть потерянными или украденными в дороге. В обоих случаях закрытая информация может попасть не в те руки.

Снижение риска

В целях снижения описанного риска компании предпринимают обширные меры, в числе которых запрет на использование устройств, отключение портов USB и IEEE 1394 и включение защиты последовательности запуска, чтобы компьютер мог загрузиться только в надлежащих условиях. Защита файлов операционной системы и данных также в числе этих мер.

BitLocker To Go — это новая технология, появившаяся в ОС Windows 7. Она обеспечивает защиту данных на съемных дисках даже в том случае, если диск оказывается потерянным или украденным. Защита BitLocker To Go весьма надежна, и даже если у злоумышленника есть физический доступ к диску, это не значит, что у него есть доступ и к данным на этом диске. С помощью групповой политики можно ввести требование включать на съемном диске защиту BitLocker To Go, прежде чем разрешать копирование на него.

Анализ мер по снижению риска

Риски, описанные в предыдущем разделе, «Оценка рисков», могут быть снижены благодаря BitLocker. Однако, перед включением этой технологии защиты данных на съемных дисках стоит изучить следующие требования и рекомендации.

   •  Для работы BitLocker To Go не требуется чип TPM.

   •  Диски, зашифрованные BitLocker To Go, могут требовать для доступа либо пароль, либо смарт-карту. В последнем случае необходимо обеспечить считывателями смарт-карт все компьютеры, где съемный диск будет использоваться.

   •  Технология BitLocker оказывает небольшое влияние на производительность, но оно, как правило, незаметно. Если уровень производительности системы чрезвычайно важен, стоит провести предварительное тестирование степени влияния BitLocker на работу пользователей.

   •  Обратите внимание, что из ОС Windows XP или Windows Vista защищенный диск будет доступен только для чтения. В более ранних версиях Windows будет отображаться второй раздел диска, который обычно спрятан в Windows 7. Этот раздел называется разделом обнаружения и содержит приложение BitLocker To Go Reader. Это приложение позволяет разблокировать зашифрованный диск, если известен пароль или пароль восстановления. Параметр групповой политики Allow access to BitLocker-protected removable data drives from earlier versions of Windows (разрешить доступ к съемным дискам с данными, защищенным с помощью BitLocker, из более ранних версий Windows) определяет, будет ли при включении для диска защиты BitLocker создаваться этот дополнительный раздел обнаружения, содержащий приложение BitLocker To Go Reader. Подробнее см. «Рекомендации по использованию BitLocker в Windows 7».

   •  Все контроллеры домена в домене должны работать под управлением ОС Windows Server 2003 с пакетом обновления 2 (SP2) или более поздней.

Примечание   В ОС Windows Server 2003 требуется расширить схему, чтобы иметь возможность хранить информацию восстановления BitLocker в службах AD DS.

Процесс снижения рисков

В определении конфигурации BitLocker, обеспечивающей оптимальную защиту конфиденциальных данных на съемных дисках клиентских компьютеров, поможет следующий процесс.

Ход процесса снижения рисков

   1.  Изучить технологию BitLocker и ее возможности.

Примечание   Подробнее о BitLocker см. «Шифрование дисков BitLocker» на веб-сайте Microsoft TechNet и «Руководства по планированию и внедрению шифрования дисков Windows BitLocker».

   2.  Определить степень необходимости технологии BitLocker для съемных дисков в текущих условиях.

   3.  Убедиться, что используемое оборудование и программное обеспечение удовлетворяет требованиям BitLocker для съемных дисков.

   4.  Определить, съемные диски каких компьютеров предприятия требуется защитить с помощью BitLocker.

   5.  Протестировать используемые съемные устройства, включая USB-накопители.

   6.  С помощью GPO на тестовых компьютерах задать параметры BitLocker для съемных дисков.

   7.  Обучить пользователей правильному обращению со съемными дисками, защищенными BitLocker.

   8.  После успешного тестирования включить BitLocker для съемных дисков на рабочих компьютерах.

Чтобы прекратить использование шифрования BitLocker на съемном диске, обратитесь к элементу панели управления «Шифрование дисков BitLocker».

Использование групповой политики для снижения рисков, связанных с BitLocker для съемных дисков

В следующей таблице описаны параметры групповой политики BitLocker To Go из шаблона VolumeEncryption.admx. Эти параметры в редакторе GPO расположены по следующему пути:

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование дисков BitLocker\Съемные диски с данными)

На глобальном уровне здесь доступны следующие параметры групповой политики.

Таблица 3.6 Параметры BitLocker для съемных дисков с данными

Параметр политики Описание По умолчанию в Windows 7

§Control use of BitLocker on removable drives (Управление использованием BitLocker для съемных дисков)

Управляет использованием BitLocker на съемных дисках с данными.

Не задано

§Configure use of smart cards on removable data drives (Настроить использование смарт-карт на съемных дисках с данными)

Контролирует использование смарт-карт для проверки подлинности пользователя при доступе к защищенным BitLocker съемным дискам с данными.

Не задано

§Deny write access to removable drives not protected by BitLocker (Запретить запись на съемные диски, не защищенные BitLocker)

Определяет, необходимо ли включить защиту BitLocker, чтобы иметь возможность записи на съемный диск с данными. Также контролирует, можно ли осуществлять запись на диск, защищенный BitLocker в другой организации.

Не задано

§Allow access to BitLocker-protected removable data drives from earlier versions of Windows (Разрешить доступ к съемным дискам с данными, защищенным с помощью BitLocker, из более ранних версий Windows)

Определяет, можно ли будет разблокировать и просмотреть съемные диски с файловой системой FAT на компьютерах под управлением ОС Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) и Windows XP с пакетом обновления 2 (SP2). Также определяет, будет ли на диски помещаться приложение BitLocker To Go Reader.

Не задано

§Configure use of passwords for removable data drives (Настроить использование паролей для съемных дисков с данными)

Определяет, является ли обязательным использовать пароль для разблокирования съемных дисков с данными, защищенных BitLocker. Также задает длину и сложность пароля.

Не задано

§Choose how BitLocker-protected removable drives can be recovered (Выбор методов восстановления съемных дисков, защищенных с помощью BitLocker)

Определяет метод восстановления защищенных BitLocker съемных дисков с данными при отсутствии требуемых учетных данных.

Не задано

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.

Шифрованная файловая система

Шифрованная файловая система (EFS) позволяет шифровать файлы и папки для защиты от несанкционированного доступа. Она полностью встроена в файловую систему NTFS и совершенно прозрачна для приложений. Когда пользователь или программа обращаются к зашифрованному файлу, операционная система автоматически пытается получить ключ расшифровки, после чего выполняет шифровку и расшифровку от имени пользователя. Пользователи, имеющие доступ к ключам, могут работать с зашифрованными файлами так, словно они не зашифрованы, в то время как остальным пользователям доступ будет запрещен.

В ОС Windows 7 в архитектуре EFS появилась полная поддержка эллиптической криптографии (ECC). Благодаря этому EFS отвечает требованиям к шифрованию, предъявляемым стандартом Suite B Агентства национальной безопасности США, и пригодна для защиты секретной информации в государственных учреждениях. Стандартом Suite B требуется использование для защиты данных алгоритмов AES, SHA и ECC.

Стандарт Suite B не допускает использования шифрования RSA, но файловая система EFS в Windows 7 поддерживает режим совместного использования алгоритмов ECC и RSA. Так обеспечивается обратная совместимость с файлами EFS, которые были зашифрованы алгоритмами из предыдущих версий Windows. Предприятия, использующие RSA и собирающиеся перейти на ECC для соответствия требованиям Suite B, могут воспользоваться ею.

Примечание   Для максимальной защиты данных рекомендуется использовать и BitLocker, и EFS.

Оценка рисков

Несанкционированный доступ к данным может негативно отразиться на работе предприятия и его прибыли. Это особенно верно в ситуациях, когда за одним компьютером работает несколько пользователей или когда используются переносные ПК. Задача файловой системы EFS — предотвратить «вынос» конфиденциальных данных самими сотрудниками, а также защитить информацию, находящуюся на утерянных или украденных компьютерах. Общие компьютеры также входят в эту группу риска.

Получив физический доступ к компьютеру с незашифрованными данными, злоумышленник может предпринять следующее.

  • Перезапустить компьютер и повысить свои полномочия до локального администратора, в результате чего получить доступ к данным пользователей. Также возможно проведение с помощью специальных средств атаки по подбору пароля пользователя, что позволит войти от имени этого пользователя и получить доступ к его данным.
  • Попытаться войти в систему компьютера с ОС Windows 7, чтобы скопировать все доступные данные на съемный диск, после чего отправить их по электронной почте, скопировать по сети или передать по FTP на удаленный сервер.
  • Перезапустить компьютер под управлением другой ОС, чтобы напрямую скопировать файлы с жесткого диска.
  • Подключить компьютер к другой сети, запустить его и осуществить удаленный вход в систему.
  • Если использовалась функция кэширования сетевых файлов в виде автономных, можно, повысив свои привилегии до администратора или локальной системы, просмотреть содержимое кэша автономных файлов.
  • Перезапустить компьютер под управлением другой ОС и считать содержимое файла подкачки, где обнаружить открытый текст документов, с которыми велась работа.
  • Из простого любопытства сотрудник может просмотреть закрытые файлы, принадлежащие другим пользователям общего компьютера.

Снижение риска

Для снижения описанных рисков разглашения данных можно использовать шифрование информации на жестком диске. Усовершенствования технологии EFS в ОС Windows 7 позволят при этом достичь следующих результатов.

  • Злоумышленник не сможет прочитать зашифрованные файлы, используя другую операционную систему, если у него не будет ключа расшифровки. Для повышения защиты такой ключ можно хранить на смарт-карте.
  • Групповая политика позволяет повысить стойкость шифрования, используемую EFS.
  • Злоумышленник не сможет добраться до пользовательских данных с помощью атаки подбора пароля, если ключ EFS, принадлежащий пользователю, хранится на смарт-карте, или если вместе с EFS используется шифрование BitLocker, охраняющее хэш пароля и кэшированные учетные данные.
  • Злоумышленник не сможет получить доступ к конфиденциальным данным пользователя, если с помощью групповой политики включить обязательное шифрование папки «Документы». Используя же сценарий входа, можно включить шифрование и для других расположений, в том числе для всего раздела с данными пользователя.
  • Использование EFS позволяет шифровать данные на нескольких дисках и общих сетевых папках.
  • Использование EFS позволяет защищать содержимое системного файла подкачки и кэша автономных файлов.

Анализ мер по снижению риска

Используя файловую систему EFS в ОС Windows 7, можно снизить риски, описанные в предыдущем разделе, «Оценка рисков». Однако, перед развертыванием EFS стоит учесть следующие соображения.

   •  Необходимо разработать и проверить работоспособность способов управления ключами и восстановления данных. В отсутствие надежных, проверенных процедур можно потерять доступ к особо важной информации при утере ключей.

   •  В нормальных условиях EFS не оказывает сколько-нибудь заметного влияния на производительность. Если уровень производительности системы чрезвычайно важен, стоит провести тщательное тестирование степени влияния EFS на работу пользователей.

   •  Если предприятию необходимо соответствовать стандарту Suite B, потребуется начать использование алгоритма ECC.

   •  Если включить на томе шифрование EFS, использовать сжатие файлов на том же томе не получится.

   •  При необходимости следует развернуть и протестировать дополнительные сценарии, устанавливающие шифрование охраняемых расположений.

   •  Пользователей и ИТ-персонал необходимо обучить во избежание следующих проблем:

  • копирование файлов из зашифрованного расположения в незашифрованное, что оставляет их на диске открытым текстом;
  • не включенное по незнанию шифрование скрытых папок, где приложения хранят резервные копии файлов, с которыми идет работа.

   •  Необходимо тщательно протестировать выбранную конфигурацию EFS, проверяя, что шифрование используется для всех важных расположений, включая «Документы», «Рабочий стол» и папки для временных файлов.

Процесс снижения рисков

В определении конфигурации EFS, обеспечивающей оптимальную защиту конфиденциальных данных на клиентских компьютерах, поможет следующий процесс.

Ход процесса снижения рисков

   1.  Изучить технологию EFS и ее возможности.

Примечание   Подробнее см. статью «Рекомендации по использованию шифрованной файловой системы» на веб-сайте Microsoft.com.

   2.  Определить степень необходимости технологии EFS в текущих условиях.

   3.  Изучить средства настройки EFS через групповую политику.

   4.  Определить, какие компьютеры и пользователи нуждаются в EFS.

   5.  Определить требуемый уровень защиты. Например, требуется ли использовать вместе с EFS смарт-карты.

   6.  С помощью групповой политики настроить EFS в соответствии с выбранной конфигурацией.

Конкретные шаги по снижению риска с помощью EFS

Параметры групповой политики, относящиеся к EFS, расположены в следующем разделе:

Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики открытого ключа\Файловая система EFS)

Чтобы добавить или создать агент восстановления данных (DRA), щелкните правой кнопкой узел Encrypting File System (файловая система EFS) и выберите пункт Properties (свойства), чтобы открыть диалоговое окно Encrypting File System Properties (Свойства: Файловая система EFS).

EFSPropertiesUI.PNG

Рисунок 3.1 Диалоговое окно свойств файловой системы EFS

Параметр для алгоритма ECC «Allow» (разрешить), показанный на рис. 3.1, переводит EFS в смешанный режим, когда используются алгоритмы и RSA, и ECC. Если требуется обеспечить соответствие стандарту Suite B, следует выбрать вариант «Require» (требовать) и указать размер ключа сертификата ECC, как показано на рис. 3.2.

EFSProperties-CertsUI.PNG

Рисунок 3.2 Диалоговое окно свойств сертификатов файловой системы EFS

Важно отметить, что эти параметры политики применяются только при первичном шифровании папки или файла. Если файл или папка уже были зашифрованы на момент изменения настроек, доступ к ним будет обеспечиваться как раньше, и использовавшийся алгоритм шифрования не изменится. Вариант Require (требовать) не обеспечивает принудительного использования алгоритма AES для ключа шифрования файлов; принудительно используется только алгоритм ECC.

Параметры EFS также находятся в четырех шаблонах групповой политики, перечисленных в следующей таблице.

Таблица 3.7 Параметры групповой политики EFS

Шаблон и параметры Путь и описание По умолчанию в Windows 7

GroupPolicy.admx
EFS recovery policy processing (Обработка политики восстановления EFS)

Computer Configuration\
Administrative Templates\
System\Group Policy
(Конфигурация компьютера\Административные шаблоны\Система\Групповая политика)
Определяет, когда обновляются политики шифрования.

Не задано

EncryptFilesonMove.admx
Do not automatically encrypt files moved to encrypted folders (Не выполнять автоматическое шифрование файлов, перемещаемых в зашифрованные папки)

Computer Configuration\
Administrative Templates\
System\
(Конфигурация компьютера\Административные шаблоны\Система\)
Запрещает проводнику Windows шифровать файлы, перемещаемые в зашифрованную папку.

Не задано

OfflineFiles.admx
Encrypt the Offline Files cache (Шифрование кэша автономных файлов)

Computer Configuration\
Administrative Templates\
Network\Offline Files\
(Конфигурация компьютера\Административные шаблоны\Сеть\Автономные файлы)
Определяет, следует ли шифровать автономные файлы.

Примечание   В ОС Windows XP с пакетом обновления 3 (SP3) эти файлы шифруются ключом системы, в то время как в ОС Windows Vista с пакетом обновления 1 (SP1) и более поздних для этого используется ключ пользователя.

Не задано

Search.admx
Allow indexing of encrypted files (Разрешить индексирование шифрованных файлов)

Computer Configuration\
Administrative Templates\
Windows Components\
Search\
(Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Поиск\)
Разрешает индексирование зашифрованных элементов поиском Windows.

Примечание    Если зашифрованные файлы разрешено индексировать, и при этом сам индекс не защищен в достаточной степени средствами EFS или как-то иначе, может возникнуть угроза безопасности.

Не задано

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.

Служба управления правами

Служба управления правами (RMS) предназначена для обеспечения безопасности и принудительного выполнения правил обращения с конфиденциальными документами, сообщениями электронной почты, веб-содержимым и другими видами информации. Защита обеспечивается благодаря постоянному шифрованию. Когда файл или электронное письмо передается службой RMS по предприятию или через Интернет, получить к нему доступ могут только те, кому это в явной форме позволено. Служба управления правами состоит из следующих трех компонентов:

**   •  сервер службы управления правами**. Для ОС Windows 7 требуется Windows Rights Management Services for Windows Server 2003 или более поздней версии;

**   •  клиент службы управления правами**. Этот клиент встроен в Windows 7;

**   •  платформа или приложение службы управления правами**. Платформа или приложение, поддерживающее шифрование и контроль использования информации.

Примечание. Хотя клиент службы управления правами встроен в ОС Windows 7, для его использования необходимо приобрести отдельную клиентскую лицензию (CAL).

Оценка рисков

Служба управления правами позволяет бороться с риском несанкционированного разглашения конфиденциальной информации. Подобное разглашение может произойти случайно или по злому умыслу. Вот некоторые примеры таких ситуаций.

  • Не проходившие проверку пользователи анализируют содержимое сети, обращаются к USB-накопителям и переносным жестким дискам, либо просматривают недостаточно защищенные общие папки и хранилища на сервере.
  • Прошедшие проверку пользователи отправляют конфиденциальную информацию неразрешенным получателям в пределах или вне пределов организации.
  • Прошедшие проверку пользователи копируют или перемещают закрытую информацию в неразрешенные расположения или программы, либо с разрешенного устройства на неразрешенное, например на съемный диск.
  • Прошедшие проверку пользователи случайно дают неразрешенным получателям доступ к закрытой информации через программу обмена мгновенными сообщениями или по одноранговой сети.
  • Прошедшие проверку пользователи распечатывают конфиденциальную информацию. Распечатку могут случайно обнаружить иные сотрудники, которые могут скопировать ее, отправить по факсу или по электронной почте.

Снижение риска

Для эффективной, не зависящей от рабочих средств защиты информации, находящейся в общем доступе или совместной работе, рекомендуется напрямую использовать службы управления правами. В этом случае защита обеспечивается автоматически по мере передачи данных между хостами, устройствами и общими папками.

Анализ мер по снижению риска

Риски, описанные в предыдущем разделе, «Оценка рисков», могут быть снижены благодаря использованию служб управления правами. Однако, перед их развертыванием стоит учесть следующие соображения.

  • Службы управления правами требуют в качестве сервера Windows Rights Management Services for Windows Server 2003 или более поздней версии, а на клиентском компьютере должны использоваться приложения, поддерживающие работу с правами.
  • Для интеграции SharePoint со службами управления правами требуется сервер Microsoft Office SharePoint® Server 2007 или более поздней версии (службы управления правами тогда будут защищать документы и информацию на сайтах SharePoint).
  • Если планируется использовать необязательную возможность интеграции смарт-карт в решение по управлению правами, необходимо обеспечить каждый клиентский компьютер, с которого будет вестись работа, оборудованием для считывания смарт-карт.
  • Для использования служб управления правами в веб-приложениях, например Outlook® Web Access, требуется надстройка управления правами для Internet Explorer.
  • Потребуется обучить ИТ-персонал развертыванию служб управления правами, поддержке и разрешению проблем.

Процесс снижения рисков

В определении конфигурации служб управления правами, обеспечивающей оптимальную защиту конфиденциальных данных на клиентских компьютерах, поможет следующий процесс.

Ход процесса снижения рисков

   1.  Изучить технологию управления правами и ее возможности.

Примечание   Подробнее о службе управления правами см. «Служба управления правами Windows» в центре Technology Center.

   2.  Определить степень необходимости технологии управления правами в текущих условиях.

   3.  Установить, какие приложения и службы поддерживают управление правами.

   4.  Оценить различные варианты развертывания служб управления правами, как то:

  • один сервер (или один кластер);
  • одна сертификация, одна лицензия;
  • одна сертификация, несколько лицензий;
  • несколько сертификаций, одна лицензия;
  • несколько сертификаций, несколько лицензий.

   5.  Определить информацию, которую необходимо защитить службой управления правами.

   6.  Определить, каким пользователям и группам должен быть разрешен доступ к определенной информации.

   7.  Настроить службу управления правами на обеспечение только разрешенного доступа к данным.

Контроль службы управления правами через групповую политику

Параметры групповой политики, отвечающие за службу управления правами, не входят в состав Windows 7. Для такого решения обычно требуется сервер, поэтому настройка поведения службы осуществляется именно на нем.

Помимо этого, приложения, поддерживающие управление правами, могут обладать собственными параметрами, влияющими на способ обработки защищенного содержимого.

Управление и установка устройств

Тот факт, что пользователи могут подключать к своему компьютеру новое оборудование стандарта Plug and Play, например USB-накопители или иные съемные устройства хранения, представляет собой существенный риск безопасности, с которым приходится бороться администраторам. Он состоит не только в том, что в случае установки неподдерживаемого оборудования становится сложнее обеспечивать надлежащую работу компьютера, но и в том, что так можно скопировать конфиденциальные данные.

В групповую политику было внесено немало изменений, позволяющих полнее контролировать попытки установки неподдерживаемых или неразрешенных устройств. Однако, важно понимать, что устройство устанавливается не для одного пользователя. После установки оно обычно доступно всем пользователям компьютера. ОС Windows 7 и Windows Vista обеспечивают контроль доступа к установленным устройствам (чтение и запись) на уровне пользователей. Например, одной учетной записи можно разрешить полный доступ на чтение и запись к установленному устройству, например USB-накопителю, а другой учетной записи того же компьютера — доступ только для чтения.

Подробнее об управлении и установке устройств, а также об использовании для этой цели групповой политики см. «Пошаговое руководство по контролю установки устройств с помощью групповой политики».

Оценка рисков

Несанкционированное добавление или удаление устройств представляет собой большой риск, поскольку так можно запустить вредоносную программу, удалить нужные данные или внести нежелательные. Вот некоторые примеры таких ситуаций.

  • Прошедший проверку пользователь случайно или намеренно копирует конфиденциальные файлы с разрешенного устройства на неразрешенное съемное устройство. Как частный случай, копирование происходит из зашифрованного расположения в незашифрованное на съемном устройстве.
  • Злоумышленник входит в систему на компьютерах прошедших проверку пользователей и копирует данные на съемный диск.
  • Злоумышленник помещает на съемный диск или в общую сетевую папку вредоносный сценарий автозапуска, устанавливающий вредоносное ПО на оставленный без присмотра компьютер.
  • Злоумышленник устанавливает запрещенное устройство слежения за нажатием клавиш, которое перехватывает учетные данные пользователя для проведения атаки.

Снижение риска

Для противостояния описанным рисками рекомендуется защитить компьютеры от установки и использования неразрешенных устройств. Параметры групповой политики позволяют контролировать применение устройств Plug and Play, например USB-накопителей и съемных дисков.

Анализ мер по снижению риска

Используя параметры групповой политики ОС Windows 7, отвечающие за управление установкой устройств, можно снизить риски, описанные в предыдущем разделе, «Оценка рисков». Однако, перед развертыванием этих параметров на рабочие клиентские компьютеры рекомендуется принять во внимание следующие соображения.

   •  Ограничение на использование устройств может заблокировать работу разрешенных общих папок или создать неудобства мобильным пользователям.

   •  При ограничении на использование устройств может оказаться невозможным применять USB-накопитель в рамках схемы шифрования дисков BitLocker. Например, если для пользователя включен параметр политики Removable Disks: Deny write access (Съемные диски: Запретить запись), то, даже если это администратор, он не сможет записать на USB-накопитель ключ запуска при настройке BitLocker.

   •  Некоторые устройства одновременно обозначают себя кодами и съемного, и локального хранилища. В частности, так поступают некоторые USB-накопители, с которых возможен запуск системы. Поэтому следует тщательно протестировать созданные объекты GPO, чтобы убедиться в верности установленных запретов и разрешений.

Процесс снижения рисков

В определении конфигурации управления и установки устройств, обеспечивающей оптимальную защиту конфиденциальных данных на клиентских компьютерах, поможет следующий процесс.

Ход процесса снижения рисков

   1.  Изучить возможности управления и установки устройств в ОС Windows 7.

Примечание   Подробнее см. «Пошаговое руководство по контролю установки устройств с помощью групповой политики».

   2.  Определить степень необходимости контроля за установкой устройств в текущих условиях.

   3.  Изучить параметры групповой политики по управлению и установке устройств.

   4.  Определить, какие съемные устройства необходимы для работы, и записать их коды оборудования и совместимые коды.

   5.  Определить, какие компьютеры и пользователи нуждаются в съемных устройствах.

   6.  Настроить групповую политику на разрешение установки требуемых классов устройств.

   7.  Настроить групповую политику на разрешение установки устройств на компьютеры, где такая возможность необходима.

Использование групповой политики для контроля установки устройств

Для контроля управления и установки устройств рекомендуется использовать шаблон групповой политики DeviceInstallation.admx. В следующей таблице приведены параметры групповой политики, доступные в нем. Эти параметры в редакторе GPO расположены по следующему пути:

Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions (Конфигурация компьютера\Административные шаблоны\Система\Установка устройств\Ограничения на установку устройств)

Таблица 3.8 Параметры управления и установки устройств USB

Параметр политики Описание По умолчанию в Windows 7

Allow administrators to override Device Installation Restriction policies (Разрешить администраторам заменять политики ограничения установки устройств)

Разрешает администраторам не подчиняться политикам ограничения установки устройств.

Не задано

Allow installation of devices that match any of these device IDs (Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств)

Позволяет указать список кодов оборудования и совместимых кодов, соответствующих разрешенным устройствам. Эти устройства можно будет устанавливать, если только это не запрещается любым из следующих параметров:

Prevent installation of devices that match these device IDs (Запретить установку устройств, соответствующих этим кодам устройств)
Prevent installation of devices for these device classes (Запретить установку устройств для этих классов устройств)
Prevent installation of removable devices (Запретить установку съемных устройств).

Использовать этот параметр следует только совместно с параметром Prevent installation of devices not described by other policy settings (Запретить установку устройств, не описанных другими параметрами политики).

Не задано

Allow installation of devices using drivers that match these device setup classes (Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств)

Позволяет указать список глобальных идентификаторов (GUID) классов установки устройств, которые описывают разрешенные устройства. Эти устройства можно будет устанавливать, если только это не запрещается любым из следующих параметров:

Prevent installation of devices that match these device IDs (Запретить установку устройств, соответствующих этим кодам устройств)
Prevent installation of devices for these device classes (Запретить установку устройств для этих классов устройств)
Prevent installation of removable devices (Запретить установку съемных устройств).

Использовать этот параметр следует только совместно с параметром Prevent installation of devices not described by other policy settings (Запретить установку устройств, не описанных другими параметрами политики).

Не задано

Display a custom message title when device installation is prevented by a policy setting (Отображать заголовок специального сообщения, когда установка устройства запрещена параметром политики)

Позволяет задать требуемый заголовок всплывающему сообщению, которое появляется при попытке установить устройство, запрещенное параметром политики.

Не задано

Display a custom message when installation is prevented by policy settings (Отображать специальное сообщение, когда установка запрещена параметром политики)

Позволяет задать требуемый текст всплывающего сообщения, которое появляется при попытке установить устройство, запрещенное параметром политики.

Не задано

Prevent installation of devices not described by other policy settings (Запретить установку устройств, не описанных другими параметрами политики)

Позволяет запретить установку устройств, которые не перечислены явно в каком-либо ином параметре политики. Если этот параметр включен, Windows не сможет установить или обновить драйвер устройства, не упомянутого следующих параметрах:

Allow installation of devices that match any of these device IDs (Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств)

Allow installation of devices for these device classes (Разрешить установку устройств для этих классов устройств).

Не задано

Prevent installation of devices that match any of these device IDs (Запретить установку устройств, соответствующих этим кодам устройств)

Позволяет указать список кодов оборудования и совместимых кодов устройств Plug and Play, которые запрещено устанавливать.

Примечание    Этот параметр имеет приоритет над любым разрешающим установку параметром.

Не задано

Prevent installation of devices using drivers that match these device setup classes (Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств)

Позволяет указать список глобальных идентификаторов (GUID) классов установки устройств тех драйверов, что запрещены к установке. Этот параметр имеет приоритет над любым разрешающим установку параметром.

Не задано

Prevent installation of removable devices (Запретить установку съемных устройств)

Запрещает Windows устанавливать съемные устройства. Устройство считается съемным, если подключенный к нему драйвер описывает его как съемное.

Примечание    Этот параметр имеет приоритет над любым разрешающим установку параметром.

Чтобы эта политика верно применялась, драйверы устройств должны корректно сообщать, что устройство съемное. Подробнее см. «Пошаговое руководство по контролю установки устройств с помощью групповой политики».

Не задано

§Time (in seconds) to force reboot when required for policy changes to take effect (Время (сек.) до принудительной перезагрузки при необходимости введения параметров политики в действие)

Задает время (в секундах), через которое произойдет перезагрузка, необходимая для введения в силу изменений в политике ограничения установки устройств. Если отключить или не настраивать этот параметр, принудительной перезагрузки не будет.

Примечание    Если перезагрузка не выполняется принудительно, новые права доступа не вступят в силу, пока система не будет перезагружена.

Не задано

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.

Использование групповой политики для контроля использования устройств

Помимо контроля установки устройств, ОС Windows 7 позволяет контролировать уровень доступа, который оказывается разрешен для отдельных классов устройств после их установки. В следующих таблицах описываются два других шаблона, содержащих соответствующие параметры. Шаблон RemovableStorage.admx содержит следующие параметры съемных запоминающих устройств, расположенные в следующем разделе редактора объектов GPO:

Computer Configuration\Administrative Templates\System\Removable Storage Access (Конфигурация компьютера\Административные шаблоны\Система\Доступ к съемным запоминающим устройствам)

Таблица 3.9 Параметры устройств

Параметр политики Описание По умолчанию в Windows 7

All Removable Storage classes: Deny all access (Съемные запоминающие устройства всех классов: Запретить любой доступ)

Контролирует доступ ко всем классам съемных запоминающих устройств.

Не задано

All Removable Storage: Allow direct access in remote sessions (Все съемные носители: Разрешать прямой доступ в удаленных сеансах)

Позволяет учетной записи обычного пользователя обращаться к съемному носителю в рамках удаленного сеанса. По умолчанию это запрещено.

Не задано

§CD and DVD: Deny execute access (Компакт-диски и DVD-диски: Запретить выполнение)

Запрещает доступ на исполнение к классу компакт- и DVD-дисков. По умолчанию такой доступ разрешен.

Не задано

CD and DVD: Deny read access (Компакт-диски и DVD-диски: Запретить чтение)

Запрещает доступ на чтение к классу компакт- и DVD-дисков. По умолчанию такой доступ разрешен.

Не задано

CD and DVD: Deny write access (Компакт-диски и DVD-диски: Запретить запись)

Запрещает доступ на запись к классу компакт- и DVD-дисков. По умолчанию такой доступ разрешен.

Не задано

Custom Classes: Deny read access (Специальные классы: Запретить чтение)

Запрещает доступ на чтение к специальным классам устройств. По умолчанию такой доступ разрешен.

Не задано

Custom Classes: Deny write access (Специальные классы: Запретить запись)

Запрещает доступ на запись к специальным классам устройств. По умолчанию такой доступ разрешен.

Не задано

§Floppy Drives: Deny execute access (Накопители на гибких дисках: Запретить выполнение)

Запрещает доступ на выполнение к съемным носителям на гибких дисках, в том числе USB-приводам гибких дисков. По умолчанию такой доступ разрешен.

Не задано

Floppy Drives: Deny read access (Накопители на гибких дисках: Запретить чтение)

Запрещает доступ на чтение к гибким дискам. По умолчанию такой доступ разрешен.

Не задано

Floppy Drives: Deny write access (Накопители на гибких дисках: Запретить запись)

Запрещает доступ на запись к гибким дискам. По умолчанию такой доступ разрешен.

Не задано

§Removable Disks: Deny execute access (Съемные диски: Запретить выполнение)

Запрещает доступ на выполнение к съемным дискам. По умолчанию такой доступ разрешен.

Не задано

Removable Disks: Deny read access (Съемные диски: Запретить чтение)

Запрещает доступ на чтение к съемным дискам. По умолчанию такой доступ разрешен.

Не задано

Removable Disk: Deny write access (Съемные диски: Запретить запись)

Запрещает доступ на запись к съемным дискам. По умолчанию такой доступ разрешен.

Не задано

§ Tape Drives: Deny execute access (Ленточные накопители: Запретить выполнение)

Запрещает доступ на выполнение к классу ленточных накопителей. По умолчанию такой доступ разрешен.

Не задано

Tape Drives: Deny read access (Ленточные накопители: Запретить чтение)

Запрещает доступ на чтение к ленточным накопителям. По умолчанию такой доступ разрешен.

Не задано

Tape Drives: Deny write access (Ленточные накопители: Запретить запись)

Запрещает доступ на запись к ленточным накопителям. По умолчанию такой доступ разрешен.

Не задано

Time (in seconds) to force reboot (Время (в секундах) до принудительной перезагрузки)

Задает время (в секундах), через которое произойдет перезагрузка, необходимая для введения в силу изменений в политике доступа к съемным носителям.

Если отключить или не настраивать этот параметр, принудительной перезагрузки не будет.

Примечание    Если перезагрузка не выполняется принудительно, новые права доступа не вступят в силу, пока система не будет перезагружена.

Не задано

§ WPD Devices: Deny execute access (WPD-устройства: Запретить выполнение)

Запрещает доступ на выполнение к съемным дискам, которые могут принадлежать, например, проигрывателям, сотовым телефонам, внешним дисплеям и CE-устройствам. По умолчанию такой доступ разрешен.

Не задано

WPD Devices: Deny read access (WPD-устройства: Запретить чтение)

Запрещает доступ на чтение к съемным дискам, которые могут принадлежать, например, проигрывателям, сотовым телефонам, внешним дисплеям и CE-устройствам. По умолчанию такой доступ разрешен.

Не задано

WPD Devices: Deny write access (WPD-устройства: Запретить запись)

Запрещает доступ на запись к съемным дискам, которые могут принадлежать, например, проигрывателям, сотовым телефонам, внешним дисплеям и CE-устройствам. По умолчанию такой доступ разрешен.

Не задано

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.

Использование групповой политики для контроля автозапуска

В шаблоне Autoplay.admx содержатся следующие параметры, контролирующие поведение автозапуска на съемных носителях и накопителях в ОС Windows 7. Эти параметры расположены в следующем разделе редактора объектов GPO:

Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Политики автозапуска)

Таблица 3.10 Параметры политики автозапуска

Параметр политики Описание По умолчанию в Windows 7

Default behavior for AutoRun (Вариант работы автозапуска по умолчанию)

Контролирует поведение команд автозапуска по умолчанию. Если не настроено, ОС Windows Vista и Windows 7 запрашивают согласие на выполнение команды автозапуска.

Не задано

Don't set the always do this checkbox (Не устанавливать флажок «Всегда выполнять выбранное действие»)

Если включить этот параметр, в диалоговом окне запроса на подтверждение автозапуска не будет по умолчанию установлен флажок «Всегда выполнять выбранное действие».

Не задано

Turn off Autoplay (Отключить автозапуск)

Позволяет отключить автозапуск для компакт-дисков, DVD-дисков, съемных дисков или для всех дисков. Отключение автозапуска помогает бороться с вредоносными программами, использующими сценарии автозапуска для распространения через съемные носители и общие сетевые папки.

Не задано‡

§ Turn off Autoplay for non-volume devices (Отключить автозапуск устройств, не являющихся томами)

Если включить этот параметр, автозапуск будет отключен для устройств, не являющихся томами, например устройств на основе протокола передачи мультимедиа (MTP). Если его отключить или не настраивать, автозапуск для этих устройств будет разрешен.

Не задано

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.

Данные параметры также можно найти в конфигурации пользователя в следующем разделе:

User Configuration\Administrative Templates\Windows Components\AutoPlay Policies (Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Политики автозапуска)

Если одни параметры противоречат другим, параметры из конфигурации компьютера имеют приоритет над параметрами из конфигурации пользователя.

Примечание   Для одних параметров политики требуются глобальные идентификаторы (GUID) классов установки устройств, а для других — глобальные идентификаторы классов установки устройств Plug and Play. Подробнее см. «Механизм выбора драйвера при установке».

Дополнительные сведения

Подробнее об улучшениях в компонентах обеспечения безопасности конфиденциальных данных ОС Windows 7 можно узнать из следующих источников на Microsoft.com.

   •  Команды BCDEdit для загрузочной среды.

   •  Рекомендации по использованию BitLocker в Windows 7.

   •  Рекомендации по использованию шифрованной файловой системы.

   •  Шифрование диска BitLocker.

   •  Обзор шифрования дисков BitLocker.

   •  Данные конфигурации загрузки в Windows Vista.

   •  Вводный обзор новых средств обеспечения безопасности Windows Vista (общие сведения о защитных компонентах ОС Windows Vista с пакетом обновления 1 (SP1).

   •  Механизм выбора драйвера при установке.

   •  Шаблоны политик и средства планирования развертывания Office 2003.

   •  Пошаговое руководство по контролю установки устройств с помощью групповой политики.

   •  Шифрованная файловая система.

   •  Trusted Computing Group.

   •  Руководства по планированию и внедрению шифрования дисков Windows BitLocker.

   •  Служба управления правами Windows (центр Technology Center).

   •  Улучшения безопасности и защиты данных в ОС Windows Vista: «Защита данных».

Обратная связь

Вопросы и комментарии по поводу этого руководства направляйте на адрес secwish@microsoft.com.