Bezpieczeństwo: uprawnienia, szyfrowanie,Dysk fizyczny i logiczny

Bezpieczeństwo: uprawnienia, szyfrowanie
System szyfrowania plików (EFS, Encrypting File System) jest funkcją systemu Windows
pozwalającą na przechowywanie danych na dysku twardym w postaci zaszyfrowanej. Szyfrowanie
jest najwyższym stopniem ochrony dostępnym w systemie Windows w celu zapewnienia
bezpieczeństwa informacji.
Główne funkcje systemu EFS:
■
■
■
■
Szyfrowanie jest proste; aby je włączyć, wystarczy zaznaczyć pole wyboru we właściwościach pliku
lub folderu.
Użytkownik decyduje, kto może odczytać pliki.
Pliki są szyfrowane po ich zamknięciu, ale automatycznie gotowe do użycia po ich otwarciu.
Jeśli plik nie ma być dłużej szyfrowany, należy wyczyścić pole wyboru we właściwościach pliku.
Szyfrowanie plików:
■
■
■
Każdy plik ma unikatowy klucz szyfrowania pliku, który jest później wykorzystywany do
odszyfrowywania danych znajdujących się w pliku.
Klucz szyfrowania pliku jest również zaszyfrowany ? jest chroniony przez klucz publiczny
odpowiadający certyfikatowi użytkownika w systemie EFS.
Klucz szyfrowania pliku jest także chroniony przez klucz publiczny każdego dodatkowego
użytkownika systemu EFS, który został upoważniony do odszyfrowywania pliku, oraz każdego
agenta odzyskiwania.
Odszyfrowywanie plików:
■
■
Aby odszyfrować plik, należy wcześniej odszyfrować klucz szyfrowania pliku. Klucz szyfrowania
pliku jest odszyfrowywany, jeśli użytkownik ma klucz prywatny, który pasuje do klucza
publicznego.
Oryginalny użytkownik może nie być jedyną osobą uprawnioną do odszyfrowywania klucza
szyfrowania pliku. Mogą go również odszyfrowywać inni wyznaczeni użytkownicy lub agenci
odzyskiwania za pomocą własnych kluczy prywatnych.
AppLocker zawiera nowe możliwości i rozszerzenia, które umożliwiają tworzenie reguł
zezwalających, lub nie, na uruchomienie aplikacji w oparciu o unikalne tożsamości plików, w celu
wskazania użytkowników, lub grup, którzy mogą te aplikacje uruchamiać.
Funkcja AppLocker umożliwia:
■
Kontrolowanie następujących typów aplikacji: pliki wykonywalne (.exe and .com), skrypty (.js, .ps1,
■
.vbs, .cmd, and .bat), pliki Instalatora systemu Windows (.msi and .msp) oraz pliki DLL (.dll and
.ocx).
Definiowanie reguł opartych na atrybutach plików pochodzących z podpisu cyfrowego, w tym
wydawcy, nazwy produktu, nazwy pliku oraz jego wersji. Można, na przykład, utworzyć reguły w
oparciu o atrybut wydawcy, który pozostaje niezmienny we wszystkich aktualizacjach, lub utworzyć
■
■
■
■
■
reguły dla określonej wersji pliku.
Przypisanie reguły do grupy zabezpieczeń, lub indywidualnego użytkownika.
Tworzenie wyjątków od reguł. Możliwe jest, na przykład, utworzenie reguły, która zezwala na
uruchamianie wszystkich procesów systemu Windows z wyjątkiem Edytora rejestru (Regedit.exe).
Użycie trybu Audit-only do wdrażania zasad i zrozumienia ich wpływu przed ich wprowadzeniem w
życie.
Importowanie i eksportowanie reguł. Importowanie i eksportowanie wpływa na wszystkie zasady.
Jeśli, na przykład, eksportujemy zasadę, eksportowane są również wszystkie reguły z wszystkich
zbiorów reguł, w tym ustawienia egzekwowania dla zbiorów reguł. Kiedy importujemy zasady,
wszystkie kryteria w istniejących zasadach zostają nadpisane.
Sprawne tworzenie reguł funkcji AppLocker i zarządzanie nimi przy użyciu cmdletów programu
Windows PowerShell.
BitLocker jest systemem szyfrującym partycję systemową (domyślnie), ale za jego pomocą można
także zaszyfrować każdą inną partycję za wyjątkiem partycji rozruchowej. Pliki odpowiedzialne za
ładowanie systemu operacyjnego muszą pozostać niezaszyfrowane. Najważniejszą zaletą BitLockera
jest jednak fakt, że w całości zaszyfrowane zostają takie pliki systemowe jak plik hibernacji, plik
stronicowania oraz katalog Windows, Users i Program Files włączając wszystkie katalogi
tymczasowe. Co więcej, ważne dane można zaszyfrować podwójnie używając znanej już od wielu lat
technologii Encrypted File System (EFS) udostępnianej przez NTFS.
BitLocker może pracować w trzech trybach – w zależności od wymagań użytkownika co do poziomu
bezpieczeństwa oraz technicznych możliwości komputera.
Tryb bez dodatkowych kluczy
W tym domyślnym trybie funkcja BitLocker zaszyfruje dane oraz wygeneruje specjalne hasło
odzyskiwania. Hasła tego będzie można użyć w celu przywrócenia dostępu do dysku w momencie,
gdy zostanie on zablokowany przez BitLocker.
Tryb z numerem PIN
Tryb ten różni się od domyślnego jedynie wymogiem podania ustalonego przed zaszyfrowaniem
danych numeru PIN. W przypadku jego zapomnienia lub zablokowaniu dostępu do dysku z innych
powodów konieczne będzie podanie hasła odzyskiwania.
Tryb z kluczem USB
Najwyższy poziom bezpieczeństwa zapewnia tryb z obsługą klucza USB, na którym zapisane jest
hasło uruchomieniowe. Różni się ono jednak od hasła odzyskiwania. Przy każdym normalnym
uruchomieniu komputera użytkownik zostanie poproszony o włożenie klucza USB w celu odczytania
hasła uruchomieniowego. Zaleca się stosowanie kluczy kryptograficznych. W przypadku zgubienia
nośnika USB jedyną możliwością uzyskania dostępu do danych jest podanie hasła odzyskiwania.
Dysk fizyczny i logiczny.
Podstawowe pojęcia
■
■
■
Dysk: fizyczny składnik komputera, służący do przechowywania danych. Windows XP Professional
umożliwia zdefiniowanie dysku jako podstawowy lub dynamiczny. Dysk podstawowy posiada jedną
lub więcej partycji. Dysk dynamiczny zawiera woluminy dynamiczne. Takie woluminy mogą swoją
przestrzeń rozciągać na kilku dyskach.
Partycja: część dysku, która w systemie funkcjonuje tak, jakby była osobnym dyskiem. Partycja,
którą używamy do uruchamiania systemu operacyjnego nazywana jest partycją podstawową.
Pozostałe określane są jako partycje rozszerzone. Partycja podstawowa nie może być dzielona na
mniejsze części. W przypadku partycji rozszerzonej istnieje możliwość ustawienia na niej jednego
bądź kilku dysków logicznych.
Wolumin: w oknie Mój komputer figurują jako dyski lokalne. Są to partycje lub dyski logiczne
formatowane przy użyciu systemu plików FAT, FAT32 lub NTFS, które mają przypisaną literę.
Dyski podstawowe mogą zawierać jedynie woluminy podstawowe (sformatowane jako partycje
podstawowe lub dyski logiczne). Dyski dynamiczne mogą natomiast obsługiwać woluminy proste,
rozłożone i łączone (dwa ostatnie wykorzystują przestrzeń z więcej niż jednego dysku).
Partycje i dyski logiczne na dyskach podstawowych nazywane są woluminami podstawowymi.
Istnieje możliwość utworzenia maksymalnie czterech partycji podstawowych lub trzech
partycji podstawowych i jednej partycji rozszerzonej zawierającej dyski logiczne.
Zapora systemowa
Zapora systemu Windows to technologia zapory hosta. Działa ona na każdym kliencie i serwerze,
zapewniając sieci ochronę przed atakami sieciowymi, które przedostają się przez sieć graniczną lub
pochodzą z wewnątrz organizacji.
Działanie Zapory systemu Windows
Gdy pakiet przychodzący dociera do komputera, jest sprawdzany przez Zaporę systemu Windows w
celu określenia, czy spełnia kryteria wymienione na liście wyjątków. Jeżeli pakiet odpowiada jednej z
pozycji listy, Zapora systemu Windows przekazuje go do protokołu TCP/IP do dalszego
przetwarzania. W przeciwnym przypadku Zapora systemu Windows odrzuca pakiet bez
powiadamiania i tworzy wpis w pliku dziennika (jeżeli ta opcja została włączona). Pozycje listy
wyjątków mogą być nazwami programów, nazwami usług systemowych, oraz portami TCP i UDP. Nie
ma możliwości utworzenia pozycji na liście wyjątków na podstawie pola Protokół IP w nagłówku IP.
W systemach serwerowych firewall jest realizowany za pomocą dodatkowych płatnych funkcji.
Windows Serwer 2003 i 2008 w wersji 32-bitowej wymaga usługi ISA 2006, a Serwer 2008 R2 TMG
2010.
Microsoft Internet Security and Acceleration Server (ISA Server) to zaawansowana zapora filtrująca
ruch do warstwy aplikacji włącznie. Umożliwia definiowanie reguł bezpiecznej publikacji stron
internetowych Microsoft Internet Information Server (IIS) oraz innych usług, jak np. Microsoft
Outlook Web Access (OWA), Office SharePoint Portal Server, Routing i dostęp zdalny, usługa
katalogowa Active Directory. Razem z zaporą zintegrowany jest moduł obsługujący wirtualne sieci
prywatne (VPN) i buforowanie stron internetowych.
Serwery TMG zapewniają filtrowanie przesyłanych danych w warstwie sieci i warstwach wyższych,
można filtrować wiele protokołów warstwy aplikacji.
Charakterystyka procesu instalacji
Windows XP
Do wyboru mamy dwie opcje instalacji:
■
■
nową instalację,
naprawę istniejącej już wersji systemu.
Kroki instalacji:
Tryb tekstowy:
1. Zatwierdzenie licencji
2. Wybór partycji.
3. Formatowanie partycji NTFS (zalecanym systemem, ponieważ posiada więcej zabezpieczeń) lub
FAT32
4. Kopiowanie plików potrzebnych do instalacji.
Tryb graficzny:
5. Właściwa instalacja systemu w komputerze.
6. Ustawienia regionalne i językowe.
7. Personalizacja
8. Wpisanie kluczu produktu, 25-cio znakowy kod, który otrzymaliśmy przy zakupie komputera lub
systemu Windows XP
9. Wpisanie Nazwy komputera, pod która m.in. będzie widoczny w Otoczeniu sieciowym oraz
Hasła administratora
10. Wpisanie Daty i godziny, wybór Strefy czasowej
11. Ustawienia sieci, grupa robocza/ domena
Usługa NAT
Adresy prywatne mogą być wykorzystywane tylko w sieciach lokalnych. Te same adresy mogą być
wykorzystywane wielokrotnie, bez niebezpieczeństwa wystąpienia konfliktu adresów. Każda z sieci
lokalnych jest podłączona do Internetu za pomocą routera, na którym uruchomiona jest usługa
translacji adresów NAT.
NAT (Network Adress Translation) – usługa translacji adresów odpowiedzialna za tłumaczenie
adresów używanych w sieciach lokalnych, na jeden lub kilka adresów publicznych (uzyskanych od
dostawcy usług internetowych).