Администратор Плюс

Безопасность по-прежнему остается важнейшей задачей ИТ-специалистов; теперь, после выпуска бета-версии Windows® 7, появилось множество вопросов о том, что корпорация Майкрософт сделала с операционной системой Windows 7. Необходимо рассмотреть множество вопросов — больше, чем возможно в короткой статье, — но существует три основных темы, заслуживающие нашего внимания.

• Операционная система Windows 7 основана на системе безопасности системы Windows Vista®, при этом она улучшает аудит и контроль учетных записей (UAC).
• Windows 7 помогает ИТ контролировать программное обеспечение, которое может работать в средах с AppLocker™.
• Windows 7 улучшает основные функции шифрования диска BitLocker™ с ведением BitLocker To Go™ для съемных носителей.

Рассмотрим все это подробнее.

Безопасная по сути среда

Windows 7 основана на прочной «родословной» безопасности Windows Vista и процессах и технологиях разработки, которые сделали Windows Vista наиболее надежной версией Windows на сегодняшний день. Фундаментальные функции безопасности, такие как защита от исправлений ядра, ограниченный режим работы служб, предотвращение выполнения данных, рандомизация загрузки адресного пространства и необходимые уровни целостности, продолжают предоставлять улучшенную защиту от вредоносных программ и атак. Windows 7 задумана и разработана с помощью Microsoft Security Development Lifecycle (SDL) и поддерживает требования Common Criteria для обеспечения соответствия сертификату Evaluation Assurance Level 4 и стандарту FIPS (федеральный стандарт обработки информации) 140-2.

Улучшенный аудит

Windows 7 предоставляет улучшенные возможности аудита, что упрощает соблюдение организациями как требований, предъявляемых к госучреждениям, так и требований, предъявляемых к коммерческим структурам. Улучшения аудита начинаются с упрощенного управления настройками аудита, а заканчиваются большей прозрачностью того, что происходит в организации. Например, Windows 7 предоставляет более информации о том, почему пользователь получил или не получил доступ к определенной информации, а также об изменениях, сделанных определенными пользователями или группами пользователей.

Оптимизированный контроль учетных записей

Контроль учетных записей (UAC) впервые был представлен в Windows Vista для того, чтобы упростить работу устаревших приложений права обычного, а также адаптацию программного обеспечения от независимых поставщиков для запуска с правами обычного пользователя. Windows 7 продолжает улучшение контроля учетных записей и вносит изменения для улучшения работы пользователей. Эти изменения включают в себя уменьшение количества задач и приложений операционной системы, для которых необходимы права администратора, и предоставление гибкого поведения запроса согласия для пользователей, которые продолжают работать с правами администратора. В результате стандартные пользователи могут сделать гораздо больше,  чем раньше, а все остальные пользователи получат меньше запросов.

AppLocker

Windows 7 дает новый заряд энергии политикам управления приложениями с AppLocker, который является простым и гибким в администрировании механизмом. Он позволяет ИТ точно указать, выполнение чего разрешено в инфраструктуре рабочей системы, и предоставляет пользователям возможность запуска приложений, программ установки и сценариев, которые им необходимы для обеспечения производительности. В результате ИТ может обеспечить стандартизацию приложений в организации, одновременно предоставляя преимущества в областях безопасности, эксплуатации и совместимости.

AppLocker предоставляет простую и мощную структуру благодаря трем типам правил: «разрешить», «запретить» и «исключение». Разрешающие правила ограничивают выполнение приложений известными и надежными приложениями и блокируют все остальное. Запрещающие правила используют другой подход и разрешают выполнение всех приложений за исключением тех, которые находятся в списке «известных ненадежных» приложений. Хотя многие организации, вероятно, будут использовать сочетание разрешающих и запрещающих правил, в идеальном развертывании AppLocker будут использоваться разрешающие правила со встроенными исключениями. Правила исключений исключают файлы из разрешающего/запрещающего правила, которые обычно включаются. С помощью исключений можно, например, создать правила для «разрешения выполнения всего в операционной системе Windows за исключением встроенных игр». Использование разрешающих правил с исключениями обеспечивает надежный способ создания «известного надежного списка» приложений без необходимости создания слишком большого количества правил.

В AppLocker представлены правила издателя, основанные на цифровых подписях приложения. Правила издателя позволяют создавать правила, переживающие обновления приложений, поскольку можно указать такие атрибуты, как версия приложения. Например, организация может создать правило, чтобы «разрешить выполнение всех версий Acrobat Reader выше версии 9.0, если они подписаны издателем программного обеспечения Adobe». Теперь, когда компания Adobe обновляет программу Acrobat, можно безопасно установить обновление приложения без необходимости создания другого правила для новой версии приложения.

Правила AppLocker также могут быть связаны с определенным пользователем или группой в организации. Это обеспечивает детальное управление, позволяющее гарантировать соответствие нормативам благодаря подтверждению и указанию пользователей, которые могут запускать определенные приложения. Например, можно создать правило, чтобы «разрешить пользователям в финансовом отделе выполнять финансовые бизнес-приложения». Это блокирует запуск финансовых приложений пользователями из других отделов (включая администраторов), но предоставляет доступ пользователям, которым необходим запуск этих приложений.

AppLocker обеспечивает больше возможностей для ИТ-администраторов благодаря новым инструментам и мастерам создания правил. Использование пошагового подхода и полностью встроенной справки, создание новых правил, автоматическое создание правил и импорт / экспорт правил интуитивно понятны и просты в обслуживании. Например, ИТ-администраторы могут автоматически создавать правила с помощью тестового эталонного компьютера, а затем импортировать правила в рабочую среду для широкого развертывания. ИТ-администратор также может экспортировать политику для создания резервной копии рабочей конфигурации или документации для целей соответствия.

BitLocker и BitLocker To Go

Ежегодно происходят утери, кражи или списание сотен компьютеров без достаточных мер защиты. Однако потеря или кража данных – это не просто проблема физического компьютера. USB-устройства флэш-памяти, электронная почта и утечка документации предоставляют дополнительные возможности попадания данных к злоумышленникам. Windows 7 решает проблему непрерывной угрозы утечки данных благодаря управляемости и развертыванию обновлений для шифрования диска BitLocker, а также введению BitLocker To Go, который предоставляет улучшенную защиту от утери или кражи данных благодаря расширению BitLocker для поддержки съемных устройств хранения.

Шифрование диска BitLocker (BitLocker) помогает предотвратить взлом файлов и системной защиты Windows 7 или выполнение автономного просмотра файлов, хранящихся на защищенном диске, злоумышленником, загружающим другую операционную систему или запускающим средства взлома программного обеспечения. Windows 7 BitLocker обладает теми же основными преимуществами Windows Vista BitLocker; но основная функциональность Windows 7 BitLocker улучшена и предоставляет большие преимущества ИТ-специалистам и конечными пользователям. Для клиентов, которые не развернули Windows Vista с необходимой для BitLocker конфигурацией диска с двумя разделами, перераспределение разделов диска для обеспечения работы BitLocker было гораздо более утомительным процессом, чем он должен был быть. Windows 7 автоматически создает необходимые разделы диска во время установки для значительного упрощения развертываний BitLocker. Другое изменение BitLocker Windows 7 – возможность щелкнуть диск правой кнопкой мыши, чтобы включить защиту BitLocker.  

В Windows 7 BitLocker добавлена поддержка агента восстановления данных (DRA) для всех томов. По просьбе клиентов поддержка DRA позволяет ИТ обеспечивать шифрование всех томов, защищенных с помощью BitLocker, (операционная система, фиксированные тома и новые портативные тома) с соответствующим DRA. DRA – это новое ключевое средство защиты, записываемое на каждый том данных, чтобы авторизованные ИТ-администраторы всегда имели доступ к томам, защищенным с помощью BitLocker.

BitLocker To Go расширяет поддержку BitLocker для съемных устройств хранения, включая флэш-накопители USB и портативные диски. BitLocker To Go также предоставляет администраторам возможность следить за тем, как используются съемные носители в производственной среде, и контролировать уровень защиты, необходимый для этих носителей. Администраторам может требоваться защита данных для любых съемных устройств, на которые пользователям необходимо записать данные, одновременно разрешая использование незащищенных устройств в режиме только для чтения.  Также доступны политики для требования соответствующих паролей, смарт-карт или учетных данных пользователей домена для использования защищенных съемных устройств.

BitLocker To Go может использоваться самостоятельно без необходимости защиты системного раздела с традиционной функцией BitLocker. Наконец, BitLocker To Go предоставляет поддержку только для чтения для съемных устройств в старых версиях операционной системы Windows, что позволяет пользователям более безопасно обмениваться файлами с пользователями, по-прежнему использующими Windows Vista и Windows XP с BitLocker To Go Reader.  

При путешествии с переносным компьютером, обмене большими файлами с доверенным партнером или работе дома BitLocker и BitLocker To Go помогают гарантировать то, что только авторизованные пользователи могут выполнять чтение данных даже в случае потери, кражи или иного неправильного использования носителя.

Заключение

Операционная система Windows 7, основанная на системе безопасности Windows Vista, содержит ряд улучшений безопасности для предоставления пользователям уверенности в том, что корпорация Майкрософт продолжает искать лучшие способы защиты инвестиций пользователей в ИТ и данные. Бизнес получает преимущества от улучшений, помогающих защищать ценные данные компании, обеспечивающих защиту от вредоносного программного обеспечения и помогающих защитить доступ к корпоративным ресурсам и данным. Конечные пользователи могут использовать преимущества компьютеров и Интернета, зная, что в Windows 7 применяются новые технологии и функции для защиты конфиденциальной и личной информации. Наконец, все пользователи получают преимущества от гибких вариантов конфигурации безопасности в Windows 7, которые помогают им достигать уникального баланса безопасности и удобства использования в соответствие с их потребностями.