Улучшения системы безопасности и защиты данных в ОС Windows Vista

  • Статья

Новые компоненты делают ОС Windows Vista значительно более безопасной, чем предыдущие клиентские операционные системы Windows.

Опубликовано 1 июня 2005

Автор Тони Нортрап (Tony Northrup)

 

Угрозы безопасности становятся все более изощренными. Чтобы оставаться защищенной от таких угроз в Интернете и в беспроводных сетях, клиентская операционная система Microsoft Windows тоже должна совершенствоваться. Windows Vista — это самая безопасная и надежная из всех операционных систем Windows. С ее помощью организации смогут решить свои коммерческие и вычислительные задачи без ущерба для конфиденциальности. В данной статье описываются наиболее значительные улучшения системы безопасности и их преимущества, а также объясняется, почему эти новые компоненты так важны для специалистов в области информационных технологий.

*

 

На этой странице

Обзор
Контроль учетных записей
Проверка подлинности
ПО для защиты от вредоносных программ
Защита доступа к сети
Брандмауэр
Ограниченный режим работы служб Windows
Улучшения Internet Explorer
Защита данных

Обзор

Корпорация Microsoft делает существенные инвестиции в технологии, чтобы обеспечить дополнительную безопасность своих клиентов. Достаточно отметить использование жизненного цикла разработки системы безопасности для создания более защищенных программ и реализацию в рамках данной платформы новых технологий для обеспечения многоуровневой защиты, или глубокой обороны. В ОС Windows Vista включено множество новых компонентов и улучшений системы безопасности, предназначенных для защиты клиентских компьютеров от угроз последнего поколения, таких как сетевые черви, вирусы и другое вредоносное программное обеспечение (под общим названием вредоносные программы).

  • Контроль учетных записей позволяет пользователям решать многие задачи и изменять обычные параметры, работая под учетной записью обычного пользователя. Для этого не требуются административные привилегии. При этом пользователи могут запускать нужные приложения, но не могут вносить в компьютер потенциально опасные изменения.
  • Во встроенный веб-обозреватель Windows Vista, Microsoft Internet Explorer (IE), были добавлены многочисленные улучшения системы безопасности, защищающие пользователей от фишинга и атак путем подделки пакетов. В число таких улучшений входит защищенный режим Internet Explorer, который помогает защитить пользовательские данные и параметры конфигурации от удаления или изменения вредоносными веб-узлами или программами.
  • Защитник Windows может выявлять многие типы подозрительного программного обеспечения и запрашивать пользователя, прежде чем разрешить приложениям вносить потенциально опасные изменения.
  • Новая возможность фильтрации исходящего трафика в брандмауэре обеспечивает административное управление приложениями общего доступа в одноранговой сети и другими подобными приложениями, работу которых компании хотели бы контролировать.
  • Ограниченный режим работы служб Windows позволяет уменьшить возможный вред, который злоумышленник мог бы нанести системе в том маловероятном случае, если бы ему удалось нарушить безопасность службы. В результате уменьшается вероятность того, что злоумышленник внесет в клиентскую систему Windows Vista постоянные изменения или атакует другие компьютеры в сети.
  • Защиту доступа к сети администраторы могут использовать для запрета клиентским компьютерам, не соответствующим внутренней политике работоспособности системы, подключаться к внутренней сети и потенциально распространять вредоносные программы на другие компьютеры.

Корпоративные пользователи, работающие на компьютерах с соответствующим оборудованием, смогут защитить данные на утерянных или украденных компьютерах с помощью шифрования диска BitLocker™. На компьютере с включенной системой BitLocker шифруется весь том Windows. Данные, файлы, электронная почта и интеллектуальная собственность защищены от попыток несанкционированного проникновения в компьютер.

И наконец, чтобы предоставить информационным подразделениям широкий выбор методов проверки подлинности, в Windows Vista включена новая архитектура проверки подлинности с упрощением расширения сторонними разработчиками. В итоге это приведет к появлению более широкого спектра смарт-карт, сканеров отпечатков пальцев и других вариантов строгой проверки подлинности. Все эти улучшения системы безопасности помогут сохранить конфиденциальность пользователей при работе на компьютере.

К началу страницыК началу страницы

Контроль учетных записей

Сегодня многие пользователи Windows работают с административными привилегиями как в организации, так и у себя дома. Если пользователь работает под учетной записью с правами администратора, его рабочей средой трудно управлять и поддержка такой среды может потребовать больших затрат. Развертывание рабочей среды с правами обычного пользователя поможет снизить затраты, поскольку пользователь, не имеющий прав администратора, не может случайно неправильно настроить доступ к сети или установить приложение, способное повлиять на стабильность системы. Работа без административных привилегий сегодня является довольно сложной, поскольку многие приложения в таком режиме не запускаются, а конечные пользователи не могут выполнить простые задачи, например добавить принтер.

В Windows Vista новый компонент контроля учетных записей (UAC) вносит в операционную систему фундаментальные изменения, призванные улучшить работу пользователей без прав администратора. Например, в рамках предприятия пользователь переносного компьютера сможет задать WEP-ключ для подключения к защищенной беспроводной сети, установить принтер, загрузить и установить обновления для приложений, задать и настроить подключение к виртуальной частной сети, а также выполнить множество других стандартных задач, работая при этом без прав администратора.

Контроль учетных записей усиливает пользовательскую модель безопасности Windows, более четко определяя различия между администраторами и обычными пользователями. Учетная запись обычного пользователя — это учетная запись без прав администратора компьютера. Когда пользователь, учетная запись которого является членом группы локальных администраторов, входит в компьютер под управлением Windows Vista, по умолчанию он регистрируется в системе как обычный пользователь. Если он должен выполнить какую-либо задачу, требующую административных привилегий, например установить приложение, Windows Vista явно запрашивает у него разрешения или просит ввести учетные данные, в зависимости от выбранной политики безопасности. Этот процесс позволяет гарантировать, что вредоносная программа не сможет незаметно установиться на компьютере пользователя. Однако, в отличие от Windows XP, в Windows Vista обычные пользователи не сталкиваются с автоматическим запретом на выполнение любых задач, для которых требуются административные привилегии. Эта операционная система предлагает обычному пользователю явно ввести действительные учетные данные для учетной записи локального администратора, прежде чем позволить ему выполнить такую задачу.

В то же время, если администратору нужно использовать свои административные привилегии, он больше не должен использовать команду Запуск от имени, поскольку система автоматически запрашивает у него нужные учетные данные, как показано на рис. 1.


Рис. 1. Windows Vista автоматически запрашивает данные учетной записи администратора, если они необходимы для запуска приложения.

Хотя из этого правила есть исключения, большинство приложений одинаково хорошо работают под учетной записью и администратора, и обычного пользователя. Многим приложениям для работы в Windows XP сегодня требуются административные привилегии, поскольку эти приложения пытаются внести изменения в разделы файловой системы и реестра, к которым пользователь не имеет доступа (например, C:\Program Files, C:\Windows или HKEY_LOCAL_MACHINE). Если пользователь не обладает административными привилегиями, виртуализация реестра и файлов в Windows Vista перенаправит запись, которая должна быть выполнена в файлы и разделы реестра, общие для всего компьютера, в расположения данных конкретного пользователя. Это позволяет обычным пользователям работать с приложениями, которым требуется запись в разделы реестра или файловой системы, доступные только для администраторов, не внося изменений, влияющих на систему в целом.

Преимущества

Контроль учетных записей позволяет организациям перейти к проще управляемым настольным компьютерам при потенциально меньшей стоимости поддержки.

Контроль учетных записей уменьшит:

  • необходимость повторного использования образов ПО компьютеров при изменении конфигурации пользователя;
  • риск влияния вредоносной программы на уровне системы.

Чтобы лучше понять преимущества контроля учетных записей, рассмотрим следующую ситуацию. Дон Холл — удаленный пользователь, путешествующий по делам бизнеса. У Дона имеется переносной компьютер с установленной на нем ОС Windows Vista, на котором он работает как обычный пользователь. Когда у него появилось свободное время в отеле, Дон подключается к Интернету и пытается загрузить игру. Однако он не знает, что на самом деле игра представляет собой программу-троян. Эта игра пытается установить вредоносную программу, которая будет автоматически запускаться при запуске компьютера. Впрочем, поскольку для установки вредоносной программы требуются административные привилегии, а Дон работает как обычный пользователь, вредоносной программе не удастся заразить его компьютер. Затем Дону нужно установить драйвер нового принтера, чтобы напечатать документ на принтере в отеле. Поскольку драйвер подписан компанией, которой ИТ-подразделение доверяет, Дон сможет установить драйвер, не имея административных привилегий. Таким образом, контроль учетных записей защищает пользователей, в то же время позволяя им эффективно выполнять свою работу.

Почему это важно

В Microsoft Windows XP и более ранних версиях операционной системы Windows у ИТ-специалистов было два варианта:

  • предоставить пользователям административные привилегии и затем разбираться со звонками в службу поддержки после неправильной установки программного обеспечения или изменений конфигурации;
  • предоставить пользователям ограниченные привилегии и затем разбираться со звонками в службу поддержки по поводу того, что приложения не работают.

С появлением Windows Vista больше не нужно идти на компромиссы. Пользователи могут эффективно работать. Они защищены от установки вредоносных программ на уровне системы и при этом могут запускать большинство приложений. В конечном счете это означает уменьшение количества обращений в службу поддержки и времени, потраченного на настройку приложений для работы с ограниченными привилегиями.

К началу страницыК началу страницы

Проверка подлинности

Описание компонента

В Windows Vista сохранена поддержка встроенных механизмов проверки подлинности на основе паролей и смарт-карт. Однако поскольку многие клиенты хотели бы использовать не пароли, а другие способы проверки подлинности, в этой операционной системе разработчикам станет проще добавлять в Windows собственные методы проверки подлинности, например на основе биометрии и маркеров. Улучшены также протокол проверки подлинности Kerberos и процедура входа с помощью смарт-карты. Средства развертывания и управления, такие как самостоятельный сброс личного ПИН-кода, позволят упростить управление смарт-картами. Общая модель прикладного программного интерфейса (API) для разработчиков смарт-карт также облегчает разработку таких средств.

Преимущества

Благодаря улучшениям системы смарт-карт в Windows Vista организации смогут развертывать и поддерживать этот встроенный метод проверки подлинности с меньшими усилиями. Новые возможности Windows Vista будут полезны непосредственно разработчикам, предлагающим настраиваемые методы проверки подлинности, например на основе биометрии и маркеров, поскольку реализация таких механизмов значительно упрощена. Опосредованно эти возможности будут полезны и ИТ-подразделениям, которые теперь имеют более широкий выбор решений сторонних производителей.

Почему это важно

Для многих организаций недостаточно однофакторной проверки подлинности. Компаниям, работающим в области информационных технологий, которые нуждаются в усиленной безопасности, требуется многофакторная проверка подлинности. Поскольку разработчикам станет легче создавать собственные методы проверки подлинности, ИТ-подразделения получат в свое распоряжение более широкий выбор вариантов строгой проверки подлинности на основе биометрии, смарт-карт и других технологий.

К началу страницыК началу страницы

ПО для защиты от вредоносных программ

Описание компонента

Контроль учетных записей, описанный выше, и улучшения системы безопасности Internet Explorer (включая новый защищенный режим, который будет рассмотрен далее) помогут уменьшить влияние вредоносных программ в Windows Vista. В дополнение к этим компонентам в системе Windows Vista имеется возможность удалять многие сетевые черви, вирусы, скрывающие (rootkit) и шпионские программы, гарантируя таким образом целостность операционной системы и конфиденциальность данных пользователя. Кроме того, в состав Windows Vista входит защитник Windows — технология, помогающая защитить компьютер от всплывающих окон, снижения производительности и угроз безопасности, вызванных шпионскими и иными нежелательными программами. Характерными особенностями этой технологии являются защита в режиме реального времени (система наблюдения, которая при обнаружении шпионской программы предлагает действия по борьбе со нею), а также новый удобный интерфейс, позволяющий минимизировать время простоев пользователя и помогающий ему эффективно работать.

 Внимание!  Защитник Windows предназначен для индивидуальных пользователей и не поддерживает корпоративное управление. 

 

Преимущества

Вредоносные программы часто снижают производительность системы. При этом пользователи могут преждевременно решить, что их компьютеры работают слишком медленно и ненадежно и нуждаются в переустановке системы. К сожалению, при этом увеличиваются общие затраты на обслуживание компьютеров. Однако основную угрозу вредоносные программы представляют для безопасности. Например, они могут нарушить защиту конфиденциальных данных или добавить дополнительные уязвимые места к системе безопасности компьютера. Новые функции дополнительной защиты и удаления вредоносных программ, реализованные в Windows Vista, позволяют увеличить производительность и усилить безопасность компьютеров в сети, а также уменьшить число обращений в службу поддержки.

Почему это важно

ИТ-подразделения вынуждены задействовать множество ресурсов для решения проблем, вызванных вредоносными программами: это снижение производительности компьютеров и уменьшение их надежности, а также нарушение безопасности. Защитник Windows удаляет вредоносные программы и позволяет пользователям лучше контролировать программное обеспечение на своих компьютерах.

К началу страницыК началу страницы

Защита доступа к сети

Описание компонента

В состав Windows Vista входит агент, который может запретить клиенту под управлением этой операционной системы подключаться к частной сети, если он не отвечает определенным требованиям к работоспособности компьютеров (не установлены последние обновления безопасности или описания вирусов и т.д.). Защиту доступа к сети можно использовать для защиты сети от клиентов удаленного доступа или клиентов локальной сети. Агент сообщает службе защиты доступа к сети, работающей на сервере, состояние клиента Windows Vista (например, установлены ли на нем последние обновления безопасности и описания вирусов). Инфраструктура защиты доступа к сети в составе ОС Windows Server Code Name Longhorn определяет, может ли клиент получить доступ к частной или ограниченной сети.

Преимущества

Защита доступа к сети может обеспечить соблюдение требований к работоспособности для мобильных и удаленных компьютеров, а также компьютеров, непосредственно подключенных к частной сети. Часто пользователи, путешествующие со своими компьютерами, неделями не имеют возможности подключиться к своей частной сети. Когда же это им, наконец, удается, подключение может быть таким непродолжительным, что компьютеры не успевают загрузить последние обновления, параметры настройки безопасности и описания вирусов. Поэтому мобильные компьютеры часто находятся в худшем состоянии, чем остальные компьютеры. Защита доступа к сети позволяет повысить безопасность таких мобильных компьютеров, гарантируя, что пользователи смогут подключиться к своей частной сети только после установки последних обновлений.

Почему это важно

Вирусы и сетевые черви часто попадают в частную сеть через зараженный мобильный или удаленный компьютер. Если защита доступа к сети в Windows Vista используется совместно с инфраструктурой защиты доступа к сети, она позволяет настроить требования для всех клиентских компьютеров. Если клиентский компьютер не соответствует требованиям к работоспособности, то можно выполнить следующие действия :

  • запретить компьютеру подключаться к частной сети и потенциально распространять вирус или сетевой червь;
  • предоставить пользователю инструкции по обновлению компьютера или обновить компьютер автоматически (при наличии соответствующих технологий исправления);
  • предоставить ограниченный доступ к некоторому числу серверов в сети, чтобы позволить пользователю загрузить обновления.

К началу страницыК началу страницы

Брандмауэр

Описание компонента

Личный брандмауэр, встроенный в Windows Vista, обладает той же функциональностью, что и брандмауэр в Microsoft Windows XP с пакетом обновления 2 (SP2). Кроме того, к нему была добавлена возможность фильтрации исходящего трафика на уровне приложений, которая обеспечивает полное направленное управление трафиком. Например, с помощью брандмауэра Windows в составе Windows Vista администраторы могут запретить приложениям (таким как приложения общего доступа к одноранговой сети или приложения для обмена мгновенными сообщениями) связываться с другими компьютерами или отвечать им. Кроме того, чтобы упростить управление брандмауэром Windows Vista, параметры последнего теперь можно настроить с помощью объектов групповой политики.

Преимущества

Многие потенциально опасные приложения, такие как клиентские приложения общего доступа к одноранговой сети, которые могут передавать сведения личного характера через Интернет, разработаны таким образом, что могут обходить брандмауэры, блокирующие входящие подключения. Брандмауэр Windows Vista позволяет администраторам организации настраивать параметры групповой политики для приложений, трафик которых требуется разрешить или заблокировать. Таким образом, администраторы могут определять, какие приложения смогут подключаться к сети.

Почему это важно

Один из наиболее важных подходов, который ИТ-подразделения могут использовать для уменьшения рисков безопасности, состоит в ограничении доступа приложений к сети. Личный брандмауэр, встроенный в Windows Vista, является важным компонентом этой стратегии. С его помощью администраторы могут разрешить локальную работу приложения на компьютере, одновременно запретив этому приложению подключаться к сети. Такой подход дает администраторам средство точного управления, позволяющее снизить риски для безопасности без отрицательного влияния на эффективность работы пользователей.

К началу страницыК началу страницы

Ограниченный режим работы служб Windows

Описание компонента

Ограниченный режим работы служб Windows позволяет запретить критически важным службам Windows выполнять необычные действия в файловой системе, реестре, сети или других ресурсах, которые могли бы использоваться вредоносной программой для собственной установки или проведения атак на другие компьютеры. Например, службе удаленного вызова процедур (RPC) можно запретить замену системных файлов или изменение реестра.

Службы Windows отвечают за значительную часть общей уязвимой контактной зоны системы Windows, из-за большого объема кода, который «всегда выполняется», и уровня привилегий этого кода. В Windows Vista число служб, которые запускаются и работают по умолчанию, уменьшено. Сегодня многие системные службы и службы сторонних производителей запускаются с правами учетной записи LocalSystem, поэтому любое нарушение безопасности службы может привести к непоправимому ущербу для локального компьютера, включая форматирование диска, предоставление доступа к пользовательским данным или установку драйверов.

Ограниченный режим работы служб Windows позволяет уменьшить потенциальный вред, который может быть нанесен при нарушении безопасности службы. С этой целью для работы служб Windows используются следующие новые подходы.

  • Добавлены идентификаторы безопасности (SID) для каждой службы. Теперь каждая служба имеет собственное удостоверение, которое, в свою очередь, позволяет настроить управление доступом в рамках существующей модели управления доступом Windows, которая охватывает все объекты и диспетчеры ресурсов, использующие списки управления доступом (ACL). Службы теперь могут настраивать явные списки управления доступом к собственным ресурсам, причем другие службы, так же как и пользователи, не будут иметь доступа к этому ресурсу.
  • Запуск служб не с правами LocalSystem, а от имени учетной записи с меньшими привилегиями, например LocalService или NetworkService. При этом уменьшается уровень привилегий службы в целом — так же, как это происходит при использовании контроля учетных записей.
  • Удаление привилегий Windows, не являющихся необходимыми (например, способности выполнять отладку), отдельно для каждой службы.
  • Применение к процессу службы маркера доступа с ограничением записи. Такой маркер доступа можно использовать в том случае, если набор объектов, в который служба выполняет запись, ограничен и может быть настроен. Чтобы служба могла успешно выполнить запись в ресурс, последний должен явно предоставить доступ для SID службы.
  • Привязка к службам сетевой политики брандмауэра, которая ограничивает доступ к сети вне рамок обычной работы программы службы. Политика брандмауэра привязывается непосредственно к SID каждой службы.

Преимущества

Ограниченный режим работы служб Windows обеспечивает дополнительный уровень защиты для служб на основе принципа безопасности «глубокая оборона». Этот режим не может предотвратить нарушение безопасности уязвимой службы. В этом могут помочь другие компоненты и стратегии глубокой обороны Windows Vista, такие как брандмауэр Windows и хорошо организованные процессы управления исправлениями. Однако ограниченный режим работы служб Windows позволяет значительно уменьшить ущерб, который может быть нанесен системе в маловероятном случае, когда злоумышленнику удается распознать и использовать уязвимую службу.

Ограниченный режим работы служб Windows можно использовать при создании служб сторонними разработчиками, что позволяет авторам приложений усилить безопасность своего кода за счет применения этой технологии.

Почему это важно

Издержки, связанные с нарушениями безопасности, могут быть очень большими. Конфиденциальность данных может быть нарушена, пользователи могут потерять свои данные, эффективность работы может существенно снизиться. ИТ-подразделение может потратить несколько недель, исправляя последствия серьезного нарушения безопасности. Ограниченный режим работы служб Windows может значительно уменьшить вред, нанесенный службой с нарушенной безопасностью, запретив этой службе изменять важные параметры конфигурации или заражать другие компьютеры в сети. Использование этого режима позволяет свести к минимуму возможный ущерб, нанесенный самым серьезным средством атаки.

К началу страницыК началу страницы

Улучшения Internet Explorer

Описание компонента

Благодаря контролю учетных записей, у обозревателя Internet Explorer в Windows Vista останется достаточно прав для просмотра Интернета, но их не хватит для изменения пользовательских файлов или параметров по умолчанию. Эта возможность, реализованная только в Windows Vista и известная как защищенный режим, появится в Windows Vista бета-версии 2. В результате, даже если вредоносный узел попытается использовать потенциальную уязвимость в Internet Explorer, код такого узла не будет иметь достаточных прав для установки программного обеспечения, копирования файлов в папку автозагрузки пользователя или подмены параметров домашней страницы обозревателя или поставщика поиска.

Чтобы помочь защитить личные данные пользователя, Internet Explorer:

  • при посещении узла, защищенного с помощью SSL, выводит новую панель состояния безопасности и позволяет пользователю легко проверить, действителен ли сертификат безопасности узла;
  • имеет в своем составе функцию антифишинга, которая предупреждает пользователей о возможной попытке похитить их конфиденциальные данные с помощью поддельного веб-узла и тем самым делает работу пользователей в Интернете более безопасной. Антифишинг анализирует содержимое веб-узла, проверяет известные характеристики технологий фишинга и использует глобальную сеть источников данных, чтобы решить, является ли этот веб-узел надежным. Данные антифишинга обновляются несколько раз в час, что очень важно при той скорости, с которой поддельные веб-узлы могут появляться и потенциально собирать пользовательские данные;
  • позволяет удалить все кэшированные данные одним щелчком мыши.

Преимущества

Эти новые возможности Internet Explorer дают пользователям возможность посещать ресурсы в Интернете с минимальной угрозой для безопасности. Уменьшение риска атак со стороны вредоносных веб-узлов сокращает возможные затраты на поддержание безопасности.

Почему это важно

Вредоносные веб-узлы способны подорвать безопасность компьютеров пользователей даже при посещении только узлов, кажущихся совершенно безобидными. Улучшения Internet Explorer в Windows Vista значительно уменьшают риск нарушения безопасности обозревателя, что, в свою очередь, позволяет снизить угрозу для безопасности. Использование контроля учетных записей в сочетании с новым защищенным режимом Internet Explorer приведет к снижению числа звонков в службу поддержки от пользователей, обнаруживших изменение их домашней страницы или появление нежелательных панелей инструментов в Internet Explorer.

К началу страницыК началу страницы

Защита данных

Описание компонента

Организации все чаще сталкиваются с хищением или потерей корпоративной интеллектуальной собственности. В Windows Vista добавлена улучшенная поддержка защиты данных на уровне документов, файлов, каталогов и компьютеров. Встроенный клиент управления правами позволяет усилить политики использования документов. Шифрующая файловая система, которая обеспечивает шифрование файлов и каталогов указанных пользователей, улучшена за счет добавления возможности хранения ключей шифрования на смарт-картах, что усиливает защиту этих ключей. Кроме того, новый корпоративный компонент шифрования диска BitLocker добавляет защиту данных на уровне компьютера. На компьютере с соответствующим оборудованием шифрование диска BitLocker обеспечивает полное шифрование системного тома, включая системные файлы Windows и файл спящего режима, что помогает предотвратить нарушение безопасности данных на утерянном или украденном компьютере. Для хранения ключей для шифрования и расшифровки секторов жесткого диска Windows используется микросхема доверенного платформенного модуля (TPM) 1.2, что позволяет создать простое в развертывании и обслуживании решение. Для обеспечения комфортной работы конечных пользователей с этим компонентом требуются доверенный платформенный модуль и инфраструктура управления предприятием.

Симметричный ключ шифрования BitLocker для полного шифрования тома хранится в микросхеме TPM 1.2. Микросхема TPM — это аппаратный компонент, который имеется в некоторых современных компьютерах и используется для хранения ключей, паролей и цифровых сертификатов.

В микросхеме TPM также хранятся характеристики основных файлов операционной системы для BitLocker. При каждом запуске компьютера Windows Vista проверяет, не были ли изменены файлы операционной системы в результате автономной атаки. Автономной атакой называется такой вариант атаки, при котором злоумышленник загружает альтернативную операционную систему, чтобы получить управление над данной системой. Если файлы были изменены, ОС Windows Vista оповещает пользователя и отказывается предоставить ключ, необходимый для доступа к Windows. Затем система переходит в режим восстановления, предлагая пользователю указать ключ восстановления, чтобы получить доступ к загрузочному тому.

Кроме того, режим восстановления используется в случае переноса диска на другой компьютер. Для этого режима требуется ключ восстановления, который создается при включенном шифровании BitLocker. Этот ключ подходит только для конкретного компьютера. Таким образом, система BitLocker предназначена для предприятий с инфраструктурой управления, позволяющей хранить ключи восстановления, такой как служба каталогов Active Directory. В противном случае можно потерять все данные, если произошел сбой компьютера и диск пришлось перенести на другой компьютер, а ключ восстановления недоступен.

Преимущества

Операционная система Windows XP, так же как и более ранние версии Windows, уязвима перед лицом автономных атак, используемых для получения пользовательских данных на утерянном или украденном компьютере. В отличие от оперативных атак, которые выполняются, когда операционная система запущена (и с которыми, следовательно, можно бороться с помощью брандмауэров и антивирусного программного обеспечения), автономные атаки проводятся при выключенной операционной системе. Наиболее распространенными типами автономных атак являются:

  • запуск незагруженного компьютера с помощью загрузочного диска и сброс пароля администратора, что позволяет злоумышленнику запустить операционную систему и пройти проверку подлинности;
  • непосредственный доступ к жесткому диску компьютера из другой операционной системы, что позволяет обойти систему прав доступа на файлы.

Шифрование BitLocker защищает от атак обоих описанных типов. Такая защита особенно важна для мобильных компьютеров, которые чаще становятся предметом кражи.

Почему это важно

Утерянный или украденный компьютер часто содержит конфиденциальную корпоративную интеллектуальную собственность или сведения о клиентах, позволяющие раскрыть личность последних. Нарушение безопасности этих данных может привести к тому, что информация о краже получит нежелательную для организации огласку. Это происходит, когда компания вынуждена оповестить своих клиентов об утечке их личных данных. В результате организация может потерять доверие клиентов и получить негативные отклики в прессе.

С помощью полного шифрования тома в Windows Vista можно значительно снизить риск того, что злоумышленник сможет нарушить безопасность конфиденциальных файлов с помощью автономной атаки. Полное шифрование тома позволяет гарантировать, что злоумышленник не сможет извлечь важные данные компании или клиентов даже из утерянного или украденного переносного компьютера.

 Внимание!  Все описанные в данной статье компоненты и возможности могут быть изменены. Возможно, по экономическим, техническим или иным причинам некоторые из них не войдут в окончательную версию продукта.

К началу страницыК началу страницы