Файл: Управление правами пользователей в ос windows Локальная политика безопасности Пенза, 2014.doc
Добавлен: 12.01.2024
Просмотров: 373
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Принудительное изменение названия сетей для пользователей, находящихся в домене
Как в рабочих группах, так и в доменах пользователи могут самостоятельно изменять имя сети. Для этого нужно выполнить следующие действия:
-
Открыть окно «Центр управления сетями и общим доступом»; -
В группе «Просмотр активных сетей» щёлкнуть на значке сети, имя которой необходимо изменить; -
В диалоговом окне «Настройка свойств сети», в текстовом поле «Сетевое имя» изменить имя сети.
Нужно сделать так, чтобы пользователи домена не могли изменить название сети в «Центре управления сетями и общим доступом». Для этого нужно выполнить следующие действия:
-
Так как действие этой групповой политики должно распространяться на все компьютеры этого домена, в оснастке «Управление групповой политикой», в дереве консоли, развернуть узел «Лес: имя домена\Домены\имя домена» и выбрать объект групповой политики «Default Domain Policy»; -
Нажать правой кнопкой мыши на этом объекте групповой политики и из контекстного меню выбрать команду «Изменить»; -
В открывшейся оснастке «Редактор управления групповыми политиками» в дереве консоли развернуть узел «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей» и открыть политику «Все сети». В открывшемся окне политики безопасности, в группе «Имя сети» установить переключатель на опцию «Пользователь не может изменить имя» и нажать на «ОК»; -
Открыть политику, именем которой назначено имя домена. На вкладке «Имя сети», в группе «Имя» установить переключатель на опцию «Имя» и указать название. В группе «Разрешёния пользователя» можно установить переключатель на опцию «Пользователь не может изменить имя», но в этом нет крайней необходимости, так как подобная операция была выполнена на предыдущем шаге для всех сетей компьютеров организации. -
Закрыть «Редактор управления групповыми политиками» и, при необходимости, обновить политики конфигурации компьютера, используя команду GPUpdate /Target:Computer /force /boot в командной строке.
Принудительное изменение профиля брандмауэра Windows в неопознанных сетях
В последние годы всё больше пользователь используют мобильные компьютеры. Используя свои мобильные компьютеры, пользователи могут подключаться к сети Интернет даже находясь в кафе, аэропортах или просто сидя на скамейке в парке. Именно в таких случаях их компьютеры находятся под более существенным риском нападения злоумышленниками, нежели в корпоративной среде или у себя дома. Когда пользователь подключается к беспроводной сети, операционная система Windows автоматически определяет такую сеть как общедоступную. Для того чтобы настройки безопасности брандмауэра Windows применялись к компьютеру в зависимости от пользовательского места нахождения были разработаны профили брандмауэра. В том случае, если соединение проходит проверку подлинности на контроллере домена, то сеть классифицируется как тип доменного размещения сети. Если компьютер используется дома или в офисе – обычно применяется домашняя сеть с частным профилем брандмауэра. В местах общего пользования принято использовать общий профиль брандмауэра. Часто случается, что пользователи, находясь в общедоступных местах, пренебрегают этим средствам безопасности и для общедоступного профиля устанавливают частные профили брандмауэра.
Используя политики диспетчера списка сетей можно указать пользователю, какой профиль нужно использовать в случае неопознанных сетей, которые идентифицируются как «Общественная сеть». Для этого выполните следующие действия:
-
Открыть оснастку «Редактор локальной групповой политикой». -
В открывшемся окне, в дереве оснастки, перейти в узел «Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей» и открыть политику «Неопознанные сети». -
В диалоговом окне «Свойства: Неопознанные сети», в группе «Тип расположения», установив переключатель на нужную опцию, выбрать профиль брандмауэра, который будет сопоставлен с неопознанными сетями. В данном случае, устанавливается профиль «Общий». В группе «Разрешения пользователя» можно установить переключатель на опцию «Пользователь не может изменить расположение» для того чтобы пользователь вручную не мог изменить сетевое расположение. -
Закрыть «Редактор локальной групповой политикой» и, при необходимости, обновить политики конфигурации компьютера, используя команду GPUpdate /Target:Computer /force /boot в командной строке.
Политики открытого ключа. Файловая система EFS
Дополнительные функции шифрованной файловой системы (Encrypting File System, EFS) обеспечили дополнительную гибкость для корпоративных пользователей при развертывании решений безопасности, основанных на шифровании файлов с данными.
Любой злоумышленник, имеющий физический доступ к компьютеру, может загрузить на нем другую ОС, обойти защиту основной ОС и получить доступ к конфиденциальным данным. Шифрование конфиденциальных файлов средствами EFS обеспечивает дополнительную защиту. Данные зашифрованного файла останутся недоступными, даже если атакующий получит полный доступ к среде хранения данных компьютера.
Только полномочные пользователи и назначенные агенты восстановления данных в состоянии расшифровывать файлы. Пользователи с другими учётными записями, обладающие разрешениями для файла – даже разрешением на передачу прав владения (Take Ownership), не в состоянии открыть его. Администратору доступ к содержимому файла также закрыт, если только он не назначен агентом восстановления данных. При попытке несанкционированного доступа к зашифрованному файлу система откажет в доступе.
Процесс шифрования в EFS
Две основные криптографические системы. Наиболее простая – шифрование с использованием секретного (симметричного) ключа, т.е. для шифровки и расшифровки данных используется один и тот же ключ. Преимущества: высокая скорость шифрования; недостатки: проблема передачи секретного ключа, а именно возможность его перехвата. Представители: DES, 3DES, DESX, AES. Отличие шифрования с открытым ключом (асимметричное шифрование) заключается в том, что данные шифруются одним ключом, а расшифровываются другим, с помощью одного и того же ключа нельзя осуществить обратное преобразование. Эта технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей – открытый ключ (public key) и личный или закрытый ключ (private key). Таким образом, свободно распространяя открытый ключ, один пользователь предоставляет другим пользователям возможность шифровать свои сообщения, направленные этому пользователю, которые сможет расшифровать только он. Если открытый ключ и попадет в «плохие руки», то он не даст возможности определить секретный ключ и расшифровать данные. Отсюда и основное преимущество систем с открытым ключом: не нужно передавать секретный ключ, однако есть и недостаток – низкая скорость шифрования. Представители: RSA, алгоритм Эль-Гамаля, алгоритм Диффи-Хелмана.
В EFS для шифрования используются все преимущества вышеперечисленных систем. Данные шифруются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK – сгенерированный EFS случайным образом ключ. На следующем этапе FEK шифруется с помощью открытого ключа пользователя и сохраняется в пределах атрибута, называемого полем расшифровки данных (Data Decryption Field, DDF) непосредственно внутри самого файла. Кроме того, EFS шифрует FEK, используя открытый ключ агента восстановления, и помещает его в атрибут Data Recovery Field – DRF. DRF может содержать данные для множества агентов восстановления.
Агент восстановления данных (Data Recovery Agent, DRA) – пользователь, который имеет доступ ко всем зашифрованным данным других пользователей. Это актуально в случае утраты пользователями ключей или других непредвиденных ситуациях. Агентом восстановления данных назначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных и определить политику восстановления, а затем назначить одного из пользователей таким агентом. Политика восстановления играет важную роль в системе шифрования, она определяет агентов восстановления, а их отсутствие или удаление политики вообще запрещает использование пользователями шифрования.
EFS и NTFS
Шифрованная файловая система (EFS) защищает конфиденциальные данные в файлах на томах NTFS. EFS – основная технология шифрования и расшифровки файлов на томах NTFS. Открывать файл и работать с ним может только пользователь, его зашифровавший. Это чрезвычайно важно для пользователей переносных компьютеров: даже если взломщик получит доступ к потерянному или украденному компьютеру, он не сможет открыть зашифрованные файлы. В Windows XP шифрованная файловая система также поддерживает автономные файлы и папки (Offline Files and Folders).
Зашифрованный файл останется недоступным для просмотра в исходном виде, даже если атакующий обойдет системную защиту, например, загрузив другую ОС. EFS обеспечивает устойчивое шифрование по стандартным алгоритмам и тесно интегрирована с NTFS. EFS в Windows XP предоставляет новые возможности совместного использования зашифрованных файлов или отключения агентов восстановления данных, а также облегчает управление посредством групповой политики и служебных программ командной строки.
Как работает EFS
EFS позволяет сохранить конфиденциальность информации на компьютере в условиях, когда люди, имеющие физический доступ к компьютеру, могут преднамеренно или неумышленно скомпрометировать её. EFS чрезвычайно удобна для обеспечения конфиденциальности данных на мобильных компьютерах или на компьютерах, на которых работают несколько пользователей, т. е. таких системах, которые могут подвергаться атакам, предусматривающим обход ограничений списков ACL.
В совместно используемой системе атакующий обычно получает несанкционированный доступ, загружая другую ОС. Злоумышленник также может захватить компьютер, вынуть жесткий диск, поместить его на другой компьютер и получить доступ к файлам. Однако если у него нет ключа расшифровки, зашифрованный средствами EFS файл будет выглядеть как бессмысленный набор символов.
Поскольку EFS тесно интегрирована с NTFS, шифрование и расшифровка выполняются незаметно («прозрачно») для пользователя. При открытии файла EFS автоматически расшифровывает его по мере чтения данных с диска, а при записи – шифрует данные при записи на диск.
В стандартной конфигурации EFS позволяет зашифровать файл прямо из Проводника Windows без какого-либо вмешательства администратора. С точки зрения пользователя шифрование файла или папки – это просто назначение ему определённого атрибута.
Конфигурирование EFS
По умолчанию система поддерживает работу EFS. Разрешается шифровать файлы, для которых имеется разрешение на изменение. Поскольку в EFS для шифрования файлов применяется открытый ключ, нужно создать пару ключей открытый/закрытый и сертификат с открытым ключом шифрования. В EFS разрешены сертификаты, подписанные самим владельцем, поэтому вмешательство администратора для нормальной работы не требуется.
Если применение EFS не соответствует требованиям организации или если есть файлы, которые нельзя шифровать, существует много способов отключить EFS или нужным образом конфигурировать её.
Для работы с EFS всем пользователям требуются сертификаты EFS. Если в организации нет инфраструктуры открытого ключа (Public Key Infrastructure, PKI), применяются подписанные самим владельцем сертификаты, которые автоматически создаются ОС. При наличии центров сертификации сертификаты EFS обычно выпускают именно они. Если используется EFS, необходимо предусмотреть план восстановления данных при сбое системы.
Что разрешается шифровать?
На томах NTFS атрибут шифрования разрешается назначать отдельным файлам и папкам с файлами (или подпапками). Хотя папку с атрибутом шифрования и называют «зашифрованной», сама по себе она не шифруется, и для установки атрибута пары ключей не требуется. При установленном атрибуте шифрования папки EFS автоматически шифрует:
-
все новые файлы, создаваемые в папке; -
все незашифрованные файлы, скопированные или перемещённые в папку; -
все вложенные файлы и подпапки (по особому требованию); -
автономные файлы.