Читайте также:
|
|
В дополнение к стандартным защитным механизмам, характерным для сетевых операционных систем от Microsoft, в новых версиях сетевых операционных систем Microsoft Windows Server 2008 и Microsoft Windows Server 2008 R2 используются следующие технологии безопасности:
AppLocker. AppLocker представляет собой новую функцию в Windows 7 и Windows Server 2008 R2, обеспечивающую управление доступом для приложений. AppLocker позволяет администраторам точно определять приложения, которые разрешено запускать на настольных компьютерах. Поэтому AppLocker обеспечивает не только безопасность, но и соблюдение нормативных и эксплуатационных требований, что позволяет администраторам решать следующие задачи:
- препятствовать выполнению нелицензионных программ на настольной системе, если такое программное обеспечение не занесено в список разрешенных;
- предотвращать выполнение уязвимых и неразрешенных приложений, в том числе вредоносных программ;
- не позволять пользователям запускать приложения, без необходимости использующие пропускную способность сети или оказывающие другое негативное влияние на вычислительную среду организации;
- не позволять пользователям запускать приложения, нарушающие стабильное функционирование настольной системы и увеличивающие расходы на службу поддержки;
- предоставлять больше вариантов эффективного управления конфигурацией настольных компьютеров;
- разрешать пользователям запускать одобренные приложения и обновления программного обеспечения в соответствии с политиками, не нарушая требования об установке и запуске приложений и обновлений программного обеспечения только администраторами;
- обеспечить соответствие рабочей среды корпоративным политикам и отраслевым нормативным требованиям.
Диспетчер авторизации. Диспетчер авторизации представляет собой оснастку консоли управления (MMC), которая предназначена для эффективного управления доступом к ресурсам. На этой технологии основаны две категории ролевого администрирования – роли авторизации пользователей, которые определяются должностными обязанностями пользователей, и роли конфигурации компьютера, которые базируются на функциях, выполняемых компьютером.
Шифрование диска Windows BitLocker. Технология Windows BitLocker – это средство безопасности в операционных системах Windows 7 и Windows Server 2008 R2, с помощью которого обеспечивается криптографическая защита самой операционной системы на компьютере пользователя, а также данных, которые хранятся на томе операционной системы. Кроме того, в Windows Server 2008 можно включить защиту BitLocker для томов, на которых хранятся данные. В Windows Server 2008 BitLocker является дополнительным компонентом, который требует отдельной установки.
Шифрование BitLocker помогает предотвратить несанкционированный доступ к данным на потерянных или украденных компьютерах, выполняя две основные защитные функции:
1) Шифрование всего тома операционной системы Windows и томов данных на жёстких дисках. При этом шифруются все пользовательские и системные файлы, включая файлы подкачки, спящего режима и временные файлы, файлы приложений и данные, используемые этими приложениями.
2) Проверка целостности компонентов начальной загрузки и данных конфигурации загрузки. При выполнении указанной проверки шифрование BitLocker работает совместно с так называемым Доверенным платформенным модулем (TPM) версии 1.2. Модуль TPM – это аппаратный компонент, устанавливаемый во многие современные компьютеры их производителями (интегрирован в материнскую плату). Он работает совместно с шифрованием BitLocker и гарантирует, что пользовательские данные будут доступны только при неизменных компонентах, используемых на ранних этапах процесса загрузки, и нахождении зашифрованного жёсткого диска в исходном компьютере. Другими словами, зашифрованный с помощью технологии BitLocker том не будет доступен при загрузке компьютера с альтернативного носителя, даже при подключении жёсткого диска к другому компьютеру.
Кроме того, шифрование BitLocker предлагает возможность блокировки обычного процесса запуска, пока пользователь не введёт личный идентификационный номер или не вставит съёмное USB-устройство, например флэш-диск, содержащее ключ запуска. Эти дополнительные меры безопасности обеспечивают многократную проверку подлинности и гарантию того, что компьютер не будет запущен или выведен из спящего режима, пока не будет предоставлен правильный PIN или ключ запуска.
Применение технологии BitLocker для шифрования тома операционной системы Windows на компьютерах без установленного модуля TPM версии 1.2 также допустимо, однако в этом случае при каждом запуске компьютера или выходе компьютера из спящего режима пользователю потребуется вставить USB-ключ шифрования. Кроме этого, отсутствие модуля TPM не позволит обеспечить проверку целостности системы перед запуском, предлагаемую шифрованием BitLocker вместе с модулем TPM.
Шифрованная файловая система (EFS). Шифрованная файловая система (EFS) представляет собой базовую технологию шифрования, которая позволяет шифровать файлы, хранящиеся на томах с файловой системой NTFS.
Файловая система EFS интегрирована в NTFS, отличается простотой управления и стойкостью к атакам. Пользователи могут выбирать файлы, которые требуется зашифровать, но расшифровывать файлы вручную перед использованием не требуется – можно просто открыть файл и изменить его, как обычно.
Зашифрованные файлы будут защищены даже в том случае, если злоумышленник получит физический доступ к компьютеру. Кроме того, даже пользователи, имеющие право на доступ к компьютеру (например, администраторы), не имеют доступа к файлам, зашифрованным с помощью файловой системы EFS другими пользователями. Тем не менее, файловая система EFS поддерживает назначенные агенты восстановления. При их правильной настройке можно гарантировать восстановление данных при необходимости.
Файловая система EFS в Windows Vista и Windows Server 2008 была усовершенствована за счёт следующих основных возможностей:
- поддержка хранения ключей шифрования на смарт-картах;
- централизованное администрирование политик защиты файловой системы EFS;
- шифрование клиентского кэша (автономных файлов) для каждого пользователя;
- шифрование системного файла подкачки;
- упрощение обновления ключей шифрования с помощью мастера повторного создания ключей.
Kerberos. Kerberos представляет собой механизм проверки подлинности, который используется для проверки идентификаторов пользователя или узла.
Управляемые учётные записи служб. В Windows Server 2008 R2 и Windows 7 доступно два новых типа учётных записей служб: управляемая учетная запись службы и виртуальная учётная запись. Управляемая учётная запись службы позволяет наиболее важным приложениям, таким как SQL Server, Exchange Server и IIS, изолировать их собственные учётные записи домена, тем самым устраняя необходимость администрировать имена участников-служб и учётные данные этих учётных записей вручную. Это управляемые учётные записи домена, которые обеспечивают автоматическое управление паролями и упрощают управление именами участников-служб. Виртуальные учётные записи в Windows Server 2008 R2 и Windows 7 представляют собой "управляемые локальные учётные записи", которые могут использовать учётные данные компьютера для доступа к сетевым ресурсам.
Аудит безопасности. Аудит безопасности – это одно из важнейших средств поддержания безопасности системы. Настройка параметров различных категорий политики аудита позволяет отслеживать и регистрировать события, связанные с безопасностью системы. В рамках общей стратегии безопасности необходимо определить уровень аудита, который подходит для среды. Аудит должен определять как успешные, так и безуспешные атаки, представляющие собой угрозу сети или направленные на ресурсы, которые были признаны ценными при оценке рисков.
Мастер настройки безопасности. Мастер настройки безопасности является средством уменьшения подверженности атакам, которое помогает администраторам создавать политики безопасности на основе минимальных функций, необходимых для ролей сервера.
Управление политиками безопасности. Политика безопасности представляет собой настраиваемый набор правил, соблюдаемых операционной системой при определении разрешений, предоставляемых в ответ на запрос доступа к ресурсам.
Параметры политики безопасности влияют на безопасность компьютера. Например, параметры политики безопасности могут определять, кто может получать доступ к компьютеру, какие ресурсы могут использовать пользователи и будут ли записываться действия пользователя или группы в журнале событий.
Параметры политики безопасности определяются объектами групповой политики, которые можно настроить на уровне локального компьютера и на уровне домена. Некоторые параметры, например параметры политики паролей, применяются только на уровне домена.
Операционная система Microsoft Windows Server 2008 R2 имеет развитые средства управления политиками безопасности.
Smart Cards. Смарт-карты являются портативным и устойчивым к незаконному изменению способом предоставления решений безопасности для таких задач, как проверка подлинности клиента, вход в домены, подписывание кода и обеспечение безопасности электронной почты.
Контроль учётных записей. Контроль учетных записей (UAC) – это компонент безопасности системы, который позволяет администраторам для выполнения нерегулярных административных задач вводить учётные данные во время сеанса работы пользователя, не относящегося к администраторам. При этом отсутствует необходимость смены пользователя, завершения сеанса или использования команды "Запуск от имени".
Контроль учётных записей может также требовать явного одобрения администраторами приложений, которые вносят изменения, влияющие на всю систему, перед их запуском (даже в сеансе работы администратора).
Windows Authentication. В операционной системе Microsoft Windows Server 2008 R2 используется целый набор протоколов проверки подлинности, включая Negotiate, Kerberos, NTLM, протокол TLS/SSL и Digest. Кроме того, некоторые протоколы собраны в пакеты проверки подлинности. Эти протоколы и пакеты позволяют выполнять проверку подлинности пользователей, компьютеров и служб. Процесс проверки подлинности, в свою очередь, позволяет авторизованным пользователям и службам получать безопасный доступ к ресурсам.
Брандмауэр Windows в режиме повышенной безопасности. Начиная с версии Windows Vista и Windows Server 2008, настройка брандмауэра и протокола IPsec выполняется одним средством – оснасткой консоли MMC "Брандмауэр Windows в режиме повышенной безопасности". По умолчанию брандмауэр Windows в режиме повышенной безопасности объединяет и расширяет две функции, которые в предыдущих версиях Windows управлялись по отдельности:
1) Фильтрация всего входящего и исходящего трафика протоколов IPv4 (IP версии 4) и IPv6 (IP версии 6). По умолчанию весь входящий трафик блокируется, если он не является ответом на запрос, отправленный ранее компьютером (запрошенный трафик), или если прохождение этого трафика не разрешено явно соответствующим правилом. По умолчанию весь исходящий трафик пропускается, за исключением трафика, который блокируется правилами ограничений режима работы служб, предотвращающими несанкционированный обмен данными со стандартными службами. Администратор может разрешать прохождение трафика на основании номеров портов, адресов IPv4 или IPv6, пути и имени приложения, названия выполняющейся на компьютере службы и других критериев.
2) Защита входящего и исходящего трафика компьютера с использованием протокола IPsec для проверки целостности трафика, проверки подлинности получающих и отправляющих трафик компьютеров или пользователей и для необязательного шифрования трафика с целью сохранения конфиденциальности.
Групповая политика в Windows Server 2008 R2. Групповая политика позволяет администраторам управлять конфигурациями групп компьютеров и пользователей. В частности, администраторы могут управлять хранящимися в реестре параметрами политики, параметрами безопасности, развертыванием ПО, сценариями, перенаправлением папок, службами удалённой установки и параметрами Internet Explorer. Применение групповой политики значительно снижает совокупную стоимость владения в масштабах организации. В силу большого числа доступных параметров политики, взаимодействия различных политик, наследования и ряда других причин разработка групповой политики часто оказывается трудной задачей. Однако тщательное планирование, проектирование и тестирование решений, основанных на бизнес-требованиях компаний, позволяют создавать стандартизованные средства, предоставляющие необходимые возможности и обеспечивающие требуемый уровень безопасности и управления.
Службы политики сети и доступа. Входящие в состав Windows Server 2008 службы политики сети и доступа помогают соединять сегменты сетей и обеспечивать безопасное подключение пользователей к локальным и удалённым сетям, а также позволяют администраторам сетей централизованно управлять политиками доступа к сети и работоспособности клиентских систем. Службы доступа к сети повышают безопасность развертывания серверов виртуальной частной сети (VPN), серверов удалённого доступа, маршрутизаторов, а также безопасность беспроводного доступа, защищённого в соответствии со стандартом 802.1X. Кроме того, организация может развернуть прокси-сервер и серверы RADIUS и использовать пакет администрирования диспетчера подключений для создания профилей удаленного доступа в целях безопасного подключения клиентских компьютеров к сети организации.
RADIUS (англ. Remote Authentication in Dial-In User Service) – протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием (коммутируемое телефонное соединение, серверы виртуальных частных сетей, точки доступа беспроводных локальных сетей и др.). Протокол авторизации RADIUS является ключевой частью большинства биллинговых систем.
Заключение
Становится всё более очевидным, что будущее развитие информационных технологий ведёт к возникновению новых каналов утечки информации и усилению качественных характеристик уже существующих.
Windows Server 2008 R2 – серверная операционная система компании Microsoft, являющаяся усовершенствованной версией Windows Server 2008. Как и Windows 7, Windows Server 2008 R2 использует ядро Windows NT 6.1. Новые возможности включают улучшенную виртуализацию, новую версию Active Directory, Internet Information Services 7.5 и поддержку до 256 процессоров. Это первая ОС Windows, доступная только в 64-разрядном варианте.
Задание на самостоятельную работу
Студентам необходимо самостоятельно изучить материалы настоящего группового занятия по особенностям защиты информации в сетевой операционной системе Windows Server 2008 R2, а также указанную учебную литературу.
Дата добавления: 2015-07-19; просмотров: 117 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Windows Server 2008 R2 для систем на базе процессоров Itanium. | | | Вводная часть |