Bezpieczeństwo: uprawnienia, szyfrowanie,Dysk fizyczny i logiczny
Transkrypt
Bezpieczeństwo: uprawnienia, szyfrowanie,Dysk fizyczny i logiczny
Bezpieczeństwo: uprawnienia, szyfrowanie System szyfrowania plików (EFS, Encrypting File System) jest funkcją systemu Windows pozwalającą na przechowywanie danych na dysku twardym w postaci zaszyfrowanej. Szyfrowanie jest najwyższym stopniem ochrony dostępnym w systemie Windows w celu zapewnienia bezpieczeństwa informacji. Główne funkcje systemu EFS: ■ ■ ■ ■ Szyfrowanie jest proste; aby je włączyć, wystarczy zaznaczyć pole wyboru we właściwościach pliku lub folderu. Użytkownik decyduje, kto może odczytać pliki. Pliki są szyfrowane po ich zamknięciu, ale automatycznie gotowe do użycia po ich otwarciu. Jeśli plik nie ma być dłużej szyfrowany, należy wyczyścić pole wyboru we właściwościach pliku. Szyfrowanie plików: ■ ■ ■ Każdy plik ma unikatowy klucz szyfrowania pliku, który jest później wykorzystywany do odszyfrowywania danych znajdujących się w pliku. Klucz szyfrowania pliku jest również zaszyfrowany ? jest chroniony przez klucz publiczny odpowiadający certyfikatowi użytkownika w systemie EFS. Klucz szyfrowania pliku jest także chroniony przez klucz publiczny każdego dodatkowego użytkownika systemu EFS, który został upoważniony do odszyfrowywania pliku, oraz każdego agenta odzyskiwania. Odszyfrowywanie plików: ■ ■ Aby odszyfrować plik, należy wcześniej odszyfrować klucz szyfrowania pliku. Klucz szyfrowania pliku jest odszyfrowywany, jeśli użytkownik ma klucz prywatny, który pasuje do klucza publicznego. Oryginalny użytkownik może nie być jedyną osobą uprawnioną do odszyfrowywania klucza szyfrowania pliku. Mogą go również odszyfrowywać inni wyznaczeni użytkownicy lub agenci odzyskiwania za pomocą własnych kluczy prywatnych. AppLocker zawiera nowe możliwości i rozszerzenia, które umożliwiają tworzenie reguł zezwalających, lub nie, na uruchomienie aplikacji w oparciu o unikalne tożsamości plików, w celu wskazania użytkowników, lub grup, którzy mogą te aplikacje uruchamiać. Funkcja AppLocker umożliwia: ■ Kontrolowanie następujących typów aplikacji: pliki wykonywalne (.exe and .com), skrypty (.js, .ps1, ■ .vbs, .cmd, and .bat), pliki Instalatora systemu Windows (.msi and .msp) oraz pliki DLL (.dll and .ocx). Definiowanie reguł opartych na atrybutach plików pochodzących z podpisu cyfrowego, w tym wydawcy, nazwy produktu, nazwy pliku oraz jego wersji. Można, na przykład, utworzyć reguły w oparciu o atrybut wydawcy, który pozostaje niezmienny we wszystkich aktualizacjach, lub utworzyć ■ ■ ■ ■ ■ reguły dla określonej wersji pliku. Przypisanie reguły do grupy zabezpieczeń, lub indywidualnego użytkownika. Tworzenie wyjątków od reguł. Możliwe jest, na przykład, utworzenie reguły, która zezwala na uruchamianie wszystkich procesów systemu Windows z wyjątkiem Edytora rejestru (Regedit.exe). Użycie trybu Audit-only do wdrażania zasad i zrozumienia ich wpływu przed ich wprowadzeniem w życie. Importowanie i eksportowanie reguł. Importowanie i eksportowanie wpływa na wszystkie zasady. Jeśli, na przykład, eksportujemy zasadę, eksportowane są również wszystkie reguły z wszystkich zbiorów reguł, w tym ustawienia egzekwowania dla zbiorów reguł. Kiedy importujemy zasady, wszystkie kryteria w istniejących zasadach zostają nadpisane. Sprawne tworzenie reguł funkcji AppLocker i zarządzanie nimi przy użyciu cmdletów programu Windows PowerShell. BitLocker jest systemem szyfrującym partycję systemową (domyślnie), ale za jego pomocą można także zaszyfrować każdą inną partycję za wyjątkiem partycji rozruchowej. Pliki odpowiedzialne za ładowanie systemu operacyjnego muszą pozostać niezaszyfrowane. Najważniejszą zaletą BitLockera jest jednak fakt, że w całości zaszyfrowane zostają takie pliki systemowe jak plik hibernacji, plik stronicowania oraz katalog Windows, Users i Program Files włączając wszystkie katalogi tymczasowe. Co więcej, ważne dane można zaszyfrować podwójnie używając znanej już od wielu lat technologii Encrypted File System (EFS) udostępnianej przez NTFS. BitLocker może pracować w trzech trybach – w zależności od wymagań użytkownika co do poziomu bezpieczeństwa oraz technicznych możliwości komputera. Tryb bez dodatkowych kluczy W tym domyślnym trybie funkcja BitLocker zaszyfruje dane oraz wygeneruje specjalne hasło odzyskiwania. Hasła tego będzie można użyć w celu przywrócenia dostępu do dysku w momencie, gdy zostanie on zablokowany przez BitLocker. Tryb z numerem PIN Tryb ten różni się od domyślnego jedynie wymogiem podania ustalonego przed zaszyfrowaniem danych numeru PIN. W przypadku jego zapomnienia lub zablokowaniu dostępu do dysku z innych powodów konieczne będzie podanie hasła odzyskiwania. Tryb z kluczem USB Najwyższy poziom bezpieczeństwa zapewnia tryb z obsługą klucza USB, na którym zapisane jest hasło uruchomieniowe. Różni się ono jednak od hasła odzyskiwania. Przy każdym normalnym uruchomieniu komputera użytkownik zostanie poproszony o włożenie klucza USB w celu odczytania hasła uruchomieniowego. Zaleca się stosowanie kluczy kryptograficznych. W przypadku zgubienia nośnika USB jedyną możliwością uzyskania dostępu do danych jest podanie hasła odzyskiwania. Dysk fizyczny i logiczny. Podstawowe pojęcia ■ ■ ■ Dysk: fizyczny składnik komputera, służący do przechowywania danych. Windows XP Professional umożliwia zdefiniowanie dysku jako podstawowy lub dynamiczny. Dysk podstawowy posiada jedną lub więcej partycji. Dysk dynamiczny zawiera woluminy dynamiczne. Takie woluminy mogą swoją przestrzeń rozciągać na kilku dyskach. Partycja: część dysku, która w systemie funkcjonuje tak, jakby była osobnym dyskiem. Partycja, którą używamy do uruchamiania systemu operacyjnego nazywana jest partycją podstawową. Pozostałe określane są jako partycje rozszerzone. Partycja podstawowa nie może być dzielona na mniejsze części. W przypadku partycji rozszerzonej istnieje możliwość ustawienia na niej jednego bądź kilku dysków logicznych. Wolumin: w oknie Mój komputer figurują jako dyski lokalne. Są to partycje lub dyski logiczne formatowane przy użyciu systemu plików FAT, FAT32 lub NTFS, które mają przypisaną literę. Dyski podstawowe mogą zawierać jedynie woluminy podstawowe (sformatowane jako partycje podstawowe lub dyski logiczne). Dyski dynamiczne mogą natomiast obsługiwać woluminy proste, rozłożone i łączone (dwa ostatnie wykorzystują przestrzeń z więcej niż jednego dysku). Partycje i dyski logiczne na dyskach podstawowych nazywane są woluminami podstawowymi. Istnieje możliwość utworzenia maksymalnie czterech partycji podstawowych lub trzech partycji podstawowych i jednej partycji rozszerzonej zawierającej dyski logiczne. Zapora systemowa Zapora systemu Windows to technologia zapory hosta. Działa ona na każdym kliencie i serwerze, zapewniając sieci ochronę przed atakami sieciowymi, które przedostają się przez sieć graniczną lub pochodzą z wewnątrz organizacji. Działanie Zapory systemu Windows Gdy pakiet przychodzący dociera do komputera, jest sprawdzany przez Zaporę systemu Windows w celu określenia, czy spełnia kryteria wymienione na liście wyjątków. Jeżeli pakiet odpowiada jednej z pozycji listy, Zapora systemu Windows przekazuje go do protokołu TCP/IP do dalszego przetwarzania. W przeciwnym przypadku Zapora systemu Windows odrzuca pakiet bez powiadamiania i tworzy wpis w pliku dziennika (jeżeli ta opcja została włączona). Pozycje listy wyjątków mogą być nazwami programów, nazwami usług systemowych, oraz portami TCP i UDP. Nie ma możliwości utworzenia pozycji na liście wyjątków na podstawie pola Protokół IP w nagłówku IP. W systemach serwerowych firewall jest realizowany za pomocą dodatkowych płatnych funkcji. Windows Serwer 2003 i 2008 w wersji 32-bitowej wymaga usługi ISA 2006, a Serwer 2008 R2 TMG 2010. Microsoft Internet Security and Acceleration Server (ISA Server) to zaawansowana zapora filtrująca ruch do warstwy aplikacji włącznie. Umożliwia definiowanie reguł bezpiecznej publikacji stron internetowych Microsoft Internet Information Server (IIS) oraz innych usług, jak np. Microsoft Outlook Web Access (OWA), Office SharePoint Portal Server, Routing i dostęp zdalny, usługa katalogowa Active Directory. Razem z zaporą zintegrowany jest moduł obsługujący wirtualne sieci prywatne (VPN) i buforowanie stron internetowych. Serwery TMG zapewniają filtrowanie przesyłanych danych w warstwie sieci i warstwach wyższych, można filtrować wiele protokołów warstwy aplikacji. Charakterystyka procesu instalacji Windows XP Do wyboru mamy dwie opcje instalacji: ■ ■ nową instalację, naprawę istniejącej już wersji systemu. Kroki instalacji: Tryb tekstowy: 1. Zatwierdzenie licencji 2. Wybór partycji. 3. Formatowanie partycji NTFS (zalecanym systemem, ponieważ posiada więcej zabezpieczeń) lub FAT32 4. Kopiowanie plików potrzebnych do instalacji. Tryb graficzny: 5. Właściwa instalacja systemu w komputerze. 6. Ustawienia regionalne i językowe. 7. Personalizacja 8. Wpisanie kluczu produktu, 25-cio znakowy kod, który otrzymaliśmy przy zakupie komputera lub systemu Windows XP 9. Wpisanie Nazwy komputera, pod która m.in. będzie widoczny w Otoczeniu sieciowym oraz Hasła administratora 10. Wpisanie Daty i godziny, wybór Strefy czasowej 11. Ustawienia sieci, grupa robocza/ domena Usługa NAT Adresy prywatne mogą być wykorzystywane tylko w sieciach lokalnych. Te same adresy mogą być wykorzystywane wielokrotnie, bez niebezpieczeństwa wystąpienia konfliktu adresów. Każda z sieci lokalnych jest podłączona do Internetu za pomocą routera, na którym uruchomiona jest usługa translacji adresów NAT. NAT (Network Adress Translation) – usługa translacji adresów odpowiedzialna za tłumaczenie adresów używanych w sieciach lokalnych, na jeden lub kilka adresów publicznych (uzyskanych od dostawcy usług internetowych).