Przewodnik Zabezpieczen Systemu Windows 7 SP1 SCP

PRZEWODNIK ZABEZPIECZE SYSTEMU WINDOWS 7 SP1
WERSJA 1.0
OPRACOWANIE POWSTAO W RAMACH SECURITY COOPERATION PROGRAM (SCP)
Spis treci 1. a. b. 1.1. 1.2. 1.3. Wstp............................................................................................................................................... 5 Streszczenie wykonawcze ............................................................................................................ 6 Zarzdzanie bezpieczestwem i zgodnoci ze standardami przy wykorzystaniu technologii .... 7 Praca z rekomendowanymi bazowymi ustawieniami konfiguracji (baseline) ......................... 9 Do kogo skierowany jest ten podrcznik? ............................................................................. 10 Dodatkowe informacje i wskazwki ...................................................................................... 10
2. Wdraanie rekomendowanych zasad bezpieczestwa w kontekcie bazowych ustawie systemu Windows 7 ............................................................................................................................................. 12 2.1. Wprowadzenie ....................................................................................................................... 12
a. Projektowanie struktur jednostek organizacyjnych (OU) ze szczeglnym uwzgldnieniem zasad bezpieczestwa ................................................................................................................................. 13 b. Projektowanie obiektw zasad grupowych (GPO) struktur jednostek organizacyjnych ze szczeglnym uwzgldnieniem zasad bezpieczestwa ....................................................................... 15 d. Zastosowanie filtrowania WMI w celu okrelenia dokadnej grupy docelowej odbiorcw zasad GPO 18 2.5. 2.6. 2.7. 2.8. 2.8.1. 2.9. 2.10. 2.11. 2.12. 2.13. 2.14. 2.15. 2.16. 2.17. 2.18. 2.19. Omwienie narzdzia Local Policy Tool ................................................................................. 20 Omwienie i praktyczne zastosowanie narzdzia Attack Surface Analyzer (ASA) ................. 21 Omwienie mechanizmu kont MSA ...................................................................................... 21 Ustawienia zasad domenowych ............................................................................................ 22 Konfigurowanie ustawie dla zbioru Zasady hase ............................................................ 22 Konfigurowanie ustawie hase granularnych oraz dla zbioru Zasady blokady konta .......... 23 Ustawienia zasad Computer Policy Settings ...................................................................... 24 Konfigurowanie szczegowych ustawie zbioru Zasady inspekcji.................................... 24 Konfigurowanie szczegowych zasad zbioru Przypisywanie praw uytkownika .............. 29 Konfigurowanie szczegowych zasad zbioru Opcje zabezpiecze .................................... 32 Konfigurowanie ustawie MSS .......................................................................................... 45 Potencjalne zagroenia zwizane z zasadami podpisywania cyfrowego pakietw SMB ... 45 Ograniczenie stosowania mechanizmu uwierzytelnienia NTLM ....................................... 46 Konfigurowanie szczegowych zasad zbioru Dziennik zdarze ........................................ 47 Szczegowa konfiguracja zapory systemu Windows Firewall with Advanced Security .... 48 Usuga Windows Update ................................................................................................... 49
2.20. Ataki na usug zintegrowanego uwierzytelniania systemu Windows polegajce na przekazywaniu powiadcze ............................................................................................................. 50 2. Sposoby ochrony przed zoliwym oprogramowaniem ................................................................. 52
3.1. 3.2. 3.3. 3.7. 3.8. 3.6. 3.7. 3.8. 3.9. 3.10. 4.
Wprowadzenie do funkcji zabezpiecze stosowanych w systemie Windows 7 SP1.............. 52 Konsola Centrum akcji ........................................................................................................... 53 Mechanizm Kontrola konta uytkownika (User Account Control UAC) .............................. 56 Zabezpieczenia biometryczne ............................................................................................... 63 Oprogramowanie Windows Defender ................................................................................... 69 Narzdzie do usuwania zoliwego oprogramowania ........................................................... 75 Zapora systemu Windows 7 SP1 ............................................................................................ 77 Ograniczanie dostpu do aplikacji AppLocker .................................................................... 80 Zasady ogranicze oprogramowania ..................................................................................... 82 Dodatkowe informacje i wskazwki .................................................................................. 82
Ochrona wraliwych danych .......................................................................................................... 84 4.1. 4.2. 4.3. 4.4. Szyfrowanie i ochrona dyskw przy zastosowaniu funkcji BitLocker..................................... 85 Tryby pracy BitLocker oraz zarzdzanie ukadem TPM .......................................................... 86 Ochrona danych znajdujcych si na dyskach systemowych oraz dyskach staych............... 89 Zastosowanie ustawie zasad grup do wdroenia BitLocker w celu minimalizacji ryzyka .... 92
4.5. Ochrona danych przechowywanych na wymiennych dyskach danych z zastosowaniem funkcji BitLocker To Go .................................................................................................................... 103 4.6. Zastosowanie ustawie zasad grup do wdroenia BitLocker To Go w celu minimalizacji ryzyka 106 4.7. 4.8. 4.9. 4.9. 4.10. 4.11. 4.12. System szyfrowania plikw EFS ........................................................................................... 108 Szczegowe ustawienia systemu EFS zapewniajce ochron wraliwych danych ............. 112 Usugi zarzdzania prawami do informacji (RMS) ............................................................... 115 Zastosowanie ustawie zasad grup do wdroenia usugi RMS ............................................ 117 Instalacja i zarzdzanie urzdzeniami w systemie Windows 7 SP1 ................................. 118 Zastosowanie ustawie zasad grupowych do nadzorowania instalacji urzdze ........... 120 Zastosowanie ustawie zasad grupowych do kontroli obsugi urzdze ........................ 123
4.13. Zastosowanie ustawie zasad grup do kontroli i blokowania funkcji autostartu i autoodtwarzania ............................................................................................................................. 125 4.14. 5. Dodatkowe informacje i wskazwki ................................................................................ 126
Zapewnienie kompatybilnoci aplikacji w kontekcie bezpieczestwa stacji z Windows 7 ........ 128 5.1. 5.2. 5.3. Testowanie zgodnoci aplikacji z systemem Windows 7 SP1 .............................................. 128 Znane problemy zgodnoci aplikacji w kontekcie rozszerzonych mechanizmw ochrony 128 Zmiany i ulepszenia systemu operacyjnego Windows 7 SP1 ............................................... 129
5.4. Omwienie stosowanych narzdzi w celu zapewnienia zgodnoci aplikacji z systemem Windows 7 SP1 ................................................................................................................................ 130
6.
ad korporacyjny, zarzdzanie ryzykiem oraz zgodno ze standardami w IT (IT GRC) ............... 131 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. Wprowadzenie ..................................................................................................................... 132 Omwienie i budowa IT GRC PMP....................................................................................... 133 Korzyci wynikajce ze stosowania IT GRC PMP .................................................................. 136 Terminy i definicje................................................................................................................ 137 Cykl ycia procesu zgodnoci w oparciu o IT GRC PMP ....................................................... 139 Dodatkowe informacje i wskazwki .................................................................................... 141
7.
Narzdzie Security Compliance Manager (SCM) w praktyce....................................................... 142
1. Wstp
Przewodnik zabezpiecze systemu Windows 7 SP1 zawiera instrukcje i rekomendacje, ktre pomog wzmocni poziom zabezpieczenia komputerw stacjonarnych i komputerw przenonych pracujcych pod kontrol systemu Windows 7 SP1 w domenie Active Directory Domain Services (AD DS). Dodatkowo w podrczniku tym zostan zaprezentowane narzdzia, szczegowe instrukcje, rekomendacje oraz procesy, ktre w znacznym stopniu usprawni proces wdraania systemu Windows 7 SP1. Publikacja wprowadzi rwnie uytkownika w proces zarzdzania zgodnoci, a take przedstawi dodatkowe informacje (wraz z odsyaczami) na temat narzdzi zapewniajcych zgodno IT oraz zalecenia Microsoft. Szczeglnie polecanym narzdziem jest Security Compliance Manager 1 (SCM). W poczeniu z Przewodnikiem zabezpiecze systemu Windows 7 SP1 zapewnia on moliwo eksportowania wszystkich ustawie zasad grupowych, aby w praktyczny sposb wykorzysta proponowane rozwizania we wasnym rodowisku. Autorzy starali si uczyni ten przewodnik: sprawdzonym bazujcym na zebranym dowiadczeniu w tej dziedzinie wiarygodnym oferujcym najlepsze dostpne dobre praktyki w tym zakresie dokadnym przekazujcym rozwizania przetestowane od strony technicznej gotowym do uycia prezentujcym kroki niezbdne do pomylnego wdroenia proponowanych rozwiza uytecznym obejmujcym rzeczywiste problemy zwizane z bezpieczestwem
W dokumencie zamieszczono najlepsze praktyki stosowane w celu implementacji systemw: Windows 7 SP1, Windows Vista SP2, Windows Server 2003 SP2, Windows Server 2008 SP2 oraz Windows Server 2008 R2 SP1 w rnorodnych rodowiskach. Aby oszacowa szanse wdroenia Windows 7 SP1 we wasnym rodowisku, mona skorzysta z pomocy oferowanej przez narzdzie Microsoft Assessment and Planning Toolkit2. Przeprowadzi ono uytkownika przez proces okrelania gotowoci infrastruktury organizacji redniej wielkoci do uruchomienia systemu Windows 7 SP1, asystujc w inwentaryzacji sprztu i wyborze scenariusza wsparcia oraz dostarczajc niezbdnych informacji i wskazujc komputery wymagajce aktualizacji sprztu.
1 2
http://go.microsoft.com/fwlink/?LinkId=113940 http://go.microsoft.com/fwlink/?LinkId=105520
Niniejszy przewodnik przedstawia funkcjonalnoci zwikszajce poziom bezpieczestwa systemu Windows 7 SP1. Zawarte informacje zostay sprawdzone i przetestowane na komputerach pracujcych w domenie, a take komputerach autonomicznych, niepracujcych w domenie.
Uwaga: Wszystkie odniesienia do systemu Windows XP w niniejszym przewodniku dotycz systemu Windows XP Professional SP3, a odniesienia dotyczce systemu Windows Vista dotycz systemu Windows Vista SP2.
a. Streszczenie wykonawcze
Niezalenie od wielkoci rodowiska organizacji, kwestie bezpieczestwa teleinformatycznego naley traktowa priorytetowo. Wiele organizacji nie docenia ryzyka zwizanego z moliwociami nowoczesnych technologii informatycznych. Konsekwencje skutecznie przeprowadzonego ataku na serwery organizacji mog zakci codzienne funkcjonowanie organizacji oraz kluczowe procesy biznesowe. Przykadem moe by zainfekowanie komputerw klienckich przez oprogramowanie zoliwe we wasnej sieci; organizacja moe wwczas utraci dane wraliwe i ponie koszty zwizane z przywrceniem stanu sprzed ataku. Atak na firmow witryn internetow moe za przyczyni si do jej niedostpnoci w sieci, naraenia organizacji na straty finansowe, utrat zaufania klientw i osabienia reputacji marki. Zgodno z przepisami i standardami staje si kluczow kwesti dla dziaania organizacji, a organy urzdowe zalecaj lub nakazuj stosowanie si do wytycznych i zalece, ktrych celem jest zapewnienie bezpieczestwa. Audytorzy, wykonujc ocen dojrzaoci organizacji, przewanie wymagaj potwierdzenia podjtych dziaa i weryfikuj, czy speniono wymagania okrelone w regulacjach. Brak dziaa w kierunku zapewnienia zgodnoci z obowizujcymi wytycznymi i regulacjami moe narazi organizacj na straty finansowe, utrat reputacji, kar grzywny lub inne kary przewidziane w obowizujcym prawie. Przeprowadzenie analizy bezpieczestwa, ewentualnych ryzyk i zagroe pozwala na wypracowanie rozsdnego kompromisu pomidzy odpowiednim poziomem bezpieczestwa a funkcjonalnoci wszystkich systemw informatycznych pracujcych w organizacji. Niniejszy przewodnik przedstawi najwaniejsze rodki zaradcze odnoszce si do kwestii bezpieczestwa, omwi dostpne funkcjonalnoci systemu Windows 7 SP1 i wskae potencjalne zagroenia, by poprawi bezpieczestwo organizacji. Przewodnik bezpieczestwa w przystpny sposb przedstawia niezbdne informacje oraz narzdzia wspomagajce, umoliwiajc: wdroenie i zastosowanie ustawie bazowych zapewniajcych wyszy poziom bezpieczestwa w rodowisku organizacji poznanie i wykorzystanie funkcjonalnoci zwizanych z bezpieczestwem systemu Windows 7 SP1 w najczciej spotykanych sytuacjach identyfikacj poszczeglnych ustawie zabezpiecze wraz z okreleniem ich znaczenia
Aby przeprowadzi testy i wprowadzi ustawienia zabezpiecze, naley skorzysta z narzdzia Security Compliance Manager (SCM). Narzdzie to uatwi i zautomatyzuje proces wdraania bazowych
ustawie bezpieczestwa. Poradnik, ktry szczegowo omawia, jak korzysta z narzdzia SCM, dostpny jest jako dodatek Narzdzie Security Compliance Manager (SCM) w praktyce. Cho przewodnik ten skierowany jest przede wszystkim do duych organizacji, wikszo zawartych w nim informacji mona zastosowa dla kadej organizacji bez wzgldu na jej wielko. Najlepsze efekty przyniesie lektura caej publikacji, jednak aby zapewni odpowiedni poziom bezpieczestwa organizacji i towarzyszcych jej celw biznesowych, moliwe jest te zapoznanie si tylko z wybranymi czciami materiau.
b. Zarzdzanie bezpieczestwem i zgodnoci ze standardami przy wykorzystaniu technologii

Organizacje wymagaj od swoich dziaw IT, by w sprawny i podlegajcy kontroli sposb dostarczay bezpieczn infrastruktur, ktra bdzie zgodna z obowizujcymi regulacjami, standardami certyfikacji oraz najlepszymi praktykami. Dzia IT musi dokonywa staej kontroli owej zgodnoci, to za wymaga cigego dostosowywania si do potrzeb nowych technologii. Aby zapewni organizacji bezpieczestwo, konieczne jest wdroenie efektywnych rozwiza w zakresie aktualizacji systemw i monitoringu zgodnoci infrastruktury IT. Firma Microsoft opracowaa zbir przewodnikw i narzdzi, ktre wspieraj organizacje niezalenie od ich wielkoci w zapewnianiu i utrzymywaniu bezpieczestwa informacji w zarzdzanych systemach. Przewodniki te wspomagaj zespoy IT w procesach: implementacji, wsparcia i weryfikacji bazowych ustawie systemw wykorzystujcych rnorodne produkty Microsoft w swoim rodowisku. Niniejszy przewodnik stanowi doskonay punkt wyjcia dla zwikszenia i zapewnienia bezpieczestwa informacji w zarzdzanych systemach. Ustawienia bazowe s kluczowym pojciem okrelajcym zbir rekomendowanych ustawie wykorzystywanych w caym przewodniku oraz innych powizanych dokumentach i narzdziach wydanych przez Microsoft. Co oznacza termin ustawienia bazowe (ang. baseline)? Ustawienia bazowe to zbir rekomendowanych ustawie funkcji poszczeglnych produktw Microsoft, ktre pomagaj zminimalizowa okrelone ryzyka poprzez wykonanie czynnoci kontrolnych. Czynnoci kontrolne wchodz w zakres obowizkw osb sprawujcych funkcje compliance managerw oraz kadej osoby, ktra z uwagi na podejmowane dziaania wymagajce okrelenia zasad zarzdzania wystpujcym ryzykiem i sposobw, by je zminimalizowa, wykorzystujc okrelone technologie odpowiada w organizacji za bezpieczestwo. Firma Microsoft przez wiele lat publikowaa zbiory ustawie bazowych, zwracajc szczegln uwag na ustawienia konfiguracji umoliwiajce podniesienie poziomu bezpieczestwa produktw Microsoft. Zbiory te zawieray gotowe rekomendowane ustawienia do bezporedniego zastosowania przez administratorw IT w rodowisku produkcyjnym organizacji.
Po wprowadzeniu produktu IT GRC Process Management Pack dla Manager 2012 opublikowane zostay bazowe ustawienia konfiguracji zapewniajce zgodno ze standardami (ang. compliance baselines). Na potrzeby wytycznych, ktre opisano w przewodniku, bazowe ustawienia konfiguracji uwzgldniaj: - list rekomendowanych rodkw zaradczych majcych na celu zwikszenie poziomu zabezpiecze produktw Microsoft - informacje techniczne niezbdne do implementacji kadego rodka zaradczego minimalizujcego ryzyko - informacje techniczne niezbdne do okrelenia stanu kadego rodka zaradczego minimalizujcego ryzyko, ktre pozwol na automatyczne skanowanie stanu zgodnoci i tworzenie raportu z przeprowadzonej czynnoci - ustawienia zgrupowane w elementy konfiguracji (ang. Configuration Item [CI]), czce IT Governance, Risk, and Compliance (IT GRC) Process Management Pack (PMP) z czynnociami kontrolnymi Jak korzysta z bazowych ustawie konfiguracji? Pierwszym rekomendowanym krokiem jest przeprowadzenie identyfikacji systemw operacyjnych i aplikacji wykorzystywanych we wasnej sieci komputerowej; pozwoli to na okrelenie waciwych ustawie bazowych konfiguracji, ktre zostan zaimplementowane. Czynnoci te mona wykona w kilku etapach: inwentaryzacja z wykorzystaniem bezpatnego narzdzia Microsoft Assessment and Planning Toolkit3, ktre uproci i zautomatyzuje proces identyfikacji posiadanych zasobw w sieci wybr waciwych bazowych ustawie konfiguracji, korzystajc z przygotowanych rozwiza Microsoft lub innych upowanionych organizacji analiza i korekta bazowych ustawie konfiguracji tak, aby odpowiaday biznesowym potrzebom organizacji oraz speniay wymogi organw wydajcych regulacje. Krok ten mona wykona, korzystajc z informacji udostpnionych w narzdziu SCM, przewodnikach zabezpiecze oraz Information Technology Governance, Risk, and Compliance (IT GRC) Process Management Pack for System Center Service Manager4 zastosowanie celw kontrolnych i czynnoci kontrolnych w poczeniu z ustawieniami bazowymi w celu waciwej konfiguracji zarzdzanych systemw i utrzymania stanu zgodnoci IT Konfiguracji ustawie takich produktw Microsoft jak: systemy Windows, Microsoft Office oraz Internet Explorer mona dokonywa poprzez wykorzystanie zasad grupowych (Group Policy) w narzdziu SCM. Pozwoli to na dopasowanie ustawie bazowych do wasnych potrzeb. Przygotowane ustawienia naley wyeksportowa do arkusza kalkulacyjnego Excel i omwi ze stronami zainteresowanymi w caej organizacji. Zatwierdzone ustawienia eksportujemy w postaci kopii
3 4
zapasowej zasad grupowych i wdraamy w rodowisku testowym, wykorzystujc mechanizm zasad grupowych usug katalogowych Active Directory. W przypadku komputerw niepracujcych w domenie naley zastosowa narzdzie Local Policy Tool, dostpne w SCM (narzdzie to bdzie omwione rozdziale 2.5).
1.1. Praca z rekomendowanymi bazowymi ustawieniami konfiguracji (baseline)

Narzdzie SCM zawiera rekomendowane bazowe ustawienia konfiguracji produktw Microsoft, ktre mog by zarzdzane i dostosowywane do wasnych potrzeb. Gdy w bazowych ustawieniach konfiguracji wprowadzimy zmiany, majc na uwadze wymagania organizacji, nowe ustawienia zasad grupowych moemy zweryfikowa, generujc dla kadego komputera dostosowane ustawienia bazowe w narzdziu SCM. Utworzenie pakietw Desired Configuration Management (DCM) dla bazowych ustawie, a nastpnie importowanie tych ustawie do System Center Configuration Managera pozwoli w prosty i zautomatyzowany sposb osign zgodno ze standardami. Narzdzie SCM pozwala take na eksport bazowych ustawie konfiguracji do formatu Security Content Automation Protocol (SCAP). Format SCAP jest wspierany przez wiele narzdzi sucych do zarzdzania dostarczonymi przez Microsoft oraz firmy trzecie zabezpieczeniami i danymi konfiguracyjnymi. Aby uzyska dodatkowe informacje na temat formatu SCAP, naley zapozna si z informacjami umieszczonymi na stronie National Institute of Standards and Technology (NIST) 5. Kontroli dziaa majcych na celu zapewnienie zgodnoci mona dokona poprzez zastosowanie i zintegrowanie produktw: Microsoft System Center Service Manager i IT GRC Process Management Pack. Wspomoe to organizacje we wprowadzaniu zasad adu korporacyjnego, w skutecznym zarzdzaniu ryzykiem i osigniciu zgodnoci ze standardami IT (IT GRC). Produkt System Center Service Manager umoliwia przygotowanie automatycznych raportw dla kadr kierowniczych, audytorw IT oraz innych osb biorcych udzia w projekcie. Proces IT GRC zostanie omwiony szerzej w rozdziale drugim ad korporacyjny, zarzdzanie ryzykiem oraz zgodno ze standardami w IT (IT GRC). Narzdzie SCM wspomaga zarzdzanie bazowymi ustawieniami konfiguracji produktw Microsoft, ktrych nie mona konfigurowa poprzez zasady grupowe (Group Policy); naley do nich m.in. serwer Microsoft Exchange. SCM zawiera zestaw skryptw PowerShell, ktre umoliwiaj wdroenie bazowych ustawie konfiguracji dla jednego lub wielu serwerw, korzystajc z procesu automatyzacji. Proces ten, dziki wykorzystaniu skryptw (programw) uatwiajcych wykonywanie powtarzajcych si zada, redukuje zasoby ludzkie przy realizacji zada. Ten sam zestaw skryptw mona rwnie wykorzysta do weryfikacji zgodnoci sprztu IT. Moliwe jest take skorzystanie z funkcji eksportowania pakietw konfiguracyjnych DCM w narzdziu SCM. W celu uzyskania dodatkowych informacji naley zapozna si z dokumentem Exchange Server PowerShell Script Kit User Guide, dostpnym wewntrz narzdzia SCM (zakadka Attachments\Guides).
5
http://scap.nist.gov/
Na rys. 1.2.1. przedstawiono proces zarzdzania bezpieczestwem i zgodnoci ze standardami przy zastosowaniu technologii dla potrzeb organizacji. Wicej informacji na temat narzdzia SCM znajduje si na stronie Microsoft Security Compliance Manager6. Warto rwnie odwiedzi witryn SCM Wiki7 na stronach TechNet.
Rys. 1.2.1. Zarzdzanie bezpieczestwem i zgodnoci ze standardami przy zastosowaniu technologii dla potrzeb organizacji
1.2.
Do kogo skierowany jest ten podrcznik?
Podrcznik przeznaczony jest przede wszystkim dla specjalistw zarzdzajcych bezpieczestwem, architektw sieciowych, administratorw IT, specjalistw IT oraz konsultantw planujcych wdroenie infrastruktury IT i systemu Windows 7 SP1 na komputerach klienckich w rodowiskach domenowym i pozadomenowym.
1.3.
Dodatkowe informacje i wskazwki
Poniej przedstawiono dodatkowe rda informacji na tematy zwizane z bezpieczestwem systemu Microsoft Windows 7 SP1: Federal Desktop Core Configuration (FDCC)8 Microsoft Assessment and Planning Toolkit9
6 7
http://go.microsoft.com/fwlink/?LinkId=113940 http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-managerscm.aspx#comment-2585 8 http://fdcc.nist.gov/
Microsoft Security Compliance Manager10 SCM Wiki11 Security and Compliance Management Forum12
http://go.microsoft.com/fwlink/?LinkId=105520 http://go.microsoft.com/fwlink/?LinkId=113940 11 http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliancemanager-scm.aspx#comment-2585 12 http://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threads

10
2. Wdraanie rekomendowanych zasad bezpieczestwa w kontekcie bazowych ustawie systemu Windows 7

2.1. Wprowadzenie
Firma Microsoft wraz z kadym nowo udostpnianym systemem operacyjnym wprowadza ulepszone rozwizania w zakresie bezpieczestwa. Ich dua rnorodno w Windows 7 SP1 sprawia, e jest on aktualnie najlepiej zabezpieczonym systemem Windows, jaki zosta do tej pory wydany. Konfiguracja opcji zabezpiecze w odrnieniu od wczeniejszych wersji Windows odbywa si obecnie poprzez Zasady polityk grupowych GPO (z ang. Group Policy Object). Mechanizm GPO zapewnia centraln infrastruktur, ktra w oparciu o struktur hierarchiczn umoliwia zarzdzanie ustawieniami komputerw i/lub uytkownikw, wczajc ustawienia zabezpiecze. Znane z wczeniejszych wersji systemw Windows kategorie ustawie bezpieczestwa: Specialized Security Limited Functionality (SSLF) oraz Enterprise Client (EC) zostay zastpione poziomami wanoci (ang. severity level). W Windows 7 SP1 stosowane s cztery poziomy wanoci: Krytyczny Ustawienia na tym poziomie w najwyszym stopniu wpywaj na bezpieczestwo komputera i/lub przechowywanych na nim danych. Zaleca si stosowanie wszystkich ustawie krytycznych w organizacji. Istotny Ustawienia na tym poziomie maj znaczcy wpyw na bezpieczestwo komputera i/lub przechowywanych na nim danych. S one konfigurowane w organizacjach, ktre przechowuj wraliwe dane i dbaj o ochron wasnych systemw informatycznych. Opcjonalny Ustawienia na tym poziomie maj niewielki wpyw na bezpieczestwo, przez co wikszo organizacji pomija je na etapie projektowania zasad bezpieczestwa. Nie oznacza to jednak dowolnoci w zakresie ich stosowania. Dla przykadu: wiele ustawie dotyczcych Windows, Internet Explorer czy Office ukrywa elementy interfejsu uytkownika, ktre upraszczaj prac, a nie maj bezporedniego wpywu na bezpieczestwo. Niezdefiniowany Jest to domylny poziom wanoci w Security Compliance Manager. Ustawienia, ktre nie byy dostpne wczeniej, oznaczane s takim poziomem bezpieczestwa. Przyjmuje si, e ich znaczenie porwnywalne jest z poziomem Opcjonalnym, co oznacza, e maj one bardzo may lub zerowy wpyw na bezpieczestwo.
W zalenoci od wybranego formatu eksportu dla regu, poziomy wanoci przyjmuj nazwy zgodnie z ponisz tabel: Security Compliance Manager (SCM) Krytyczny Istotny Opcjonalny Niezdefiniowany Desired Configuration Management (DCM) Krytyczny Ostrzegawczy Informacyjny Inny Security Content Automation Protocol (SCAP) Wysoki redni Niski Nieznany
Tab. 2.1.1. Wykaz nazw poziomw wanoci w zalenoci od wybranego formatu eksportu
2.2. Projektowanie struktur jednostek organizacyjnych (OU) ze szczeglnym uwzgldnieniem zasad bezpieczestwa
Usuga katalogowa Active Directory umoliwia scentralizowane zarzdzanie infrastruktur przedsibiorstwa. Stosujc hierarchiczn struktur, mona stworzy model, ktry bdzie uwzgldnia narzucone i podane aspekty bezpieczestwa organizacji. Jednostka organizacyjna OU (z ang. Organizational Unit) jest kontenerem wewntrz domeny Active Directory Domain Services (AD DS), ktry moe zawiera uytkownikw, grupy, komputery oraz inne jednostki organizacyjne. Wyrniamy nadrzdne oraz podrzdne jednostki organizacyjne. Jedn z wanych cech jednostek organizacyjnych jest moliwo doczania do nich zbiorw zasad grupowych GPO. Dziki temu zadeklarowane ustawienia mog by przenoszone do uytkownikw i komputerw znajdujcych si wewntrz tych obiektw. Dodatkowo istnieje moliwo delegowania kontroli administracyjnej (rys. 2.2.1) nad jednostkami organizacyjnymi, co znacznie usprawnia proces zarzdzania.
Rys. 2.2.1 Delegation Wizard w ADUC.
Dziki jednostkom organizacyjnym mona rwnie tworzy granice administracyjne oddzielajce uytkownikw od komputerw. Takie rozwizanie idealnie sprawdza si, gdy stosujemy ustawienia dedykowane wycznie komputerom oraz wycznie uytkownikom. Najwaniejszym celem projektowania struktury jednostek organizacyjnych powinna by moliwo jednolitej implementacji zasad grupowych z uwzgldnieniem koniecznoci spenienia wszystkich standardw i zalece w zakresie bezpieczestwa. Na rysunku 2.2.2 zaprezentowana zostaa przykadowa struktura uwzgldniajca moliwe do zastosowania poziomy jednostek organizacyjnych w typowych rozwizaniach usug katalogowych Active Directory.
Korze domeny
Serwery czonkowskie
Departament
Kontrolery domeny Windows Server 2008 Windows 7
Rola serwerowa 1
Uytkownicy Windows 7
Komputery Windows 7
Rola serwerowa 2
Rola serwerowa 3
Rola serwerowa 4
Rys. 2.2.2. Przykadowa struktura jednostek organizacyjnych dla komputerw oraz uytkownikw
Korze domeny Ustawienia, ktre dotycz zabezpiecze caej domeny, mona stosowa w ramach GPO doczonego do domeny. Na tym poziomie komputery ani uytkownicy nie podlegaj zarzdzaniu.
Jednostki organizacyjne Serwery penice role kontrolerw domeny przechowuj wiele wraliwych danych, w tym dane, ktre kontroluj konfiguracj zabezpiecze ich samych. Stosowanie GPO na poziomie jednostki organizacyjnej Kontrolery domeny umoliwia konfiguracj i ochron kontrolerw domeny. Serwery czonkowskie Stosowanie zasad GPO do poredniej jednostki organizacyjnej Serwery czonkowskie umoliwia konfiguracj staych opcji dla wszystkich serwerw, bez uwzgldniania podziau na penione przez nie role. Role serwerowe Dobr praktyk jest tworzenie dedykowanych jednostek organizacyjnych dla wszystkich rl serwerowych w organizacji. Dziki takiemu rozwizaniu zachowany zostaje ujednolicony model zarzdzania, ktry umoliwia stosowanie zasad GPO opartych na rolach serwerowych. Dla serwerw utrzymujcych wiele rl mona tworzy dodatkowe jednostki organizacyjne, zgodnie z ich konfiguracj. Do takiej jednostki organizacyjnej docza si nastpnie zbiory GPO dedykowane okrelonym rolom serwerowym. Naley zwrci szczegln uwag na mieszane konfiguracje, aby uwzgldni kolejno przetwarzania zasad GPO, warunkujc uzyskiwane ustawienia kocowe. Departament Wymagania w zakresie zabezpiecze s rne i czsto zale od struktury organizacyjnej. Tworzenie jednostek organizacyjnych dla poszczeglnych komrek pozwala na stosowanie ustawie zabezpiecze dla komputerw i uytkownikw w zgodzie z celem biznesowym. Uytkownicy Windows 7 Stosowanie specjalnych jednostek organizacyjnych, w ktrych przechowywane s konta uytkownikw, daje moliwo stosowania zasad zabezpiecze, ktre s im dedykowane. Komputery Windows 7 Stosowanie dedykowanych jednostek organizacyjnych, w ktrych przechowywane s konta komputerw, pozwala na stosowanie ustawie zabezpiecze dla komputerw zarwno stacjonarnych, jak i mobilnych.
2.3. Projektowanie obiektw zasad grupowych (GPO) struktur jednostek organizacyjnych ze szczeglnym uwzgldnieniem zasad bezpieczestwa
GPO jest zbiorem zawierajcym ustawienia zasad grupowych, ktry definiuje si w przystawce Zarzdzanie zasadami grupy (rys. 2.3.1).
Rys. 2.3.1 Przystawka Zarzdzanie zasadami grupy
Zawarte tam ustawienia przechowywane s na poziomie domeny i mog oddziaywa na uytkownikw i/lub komputery w lokacji, domenach i jednostkach organizacyjnych. Rczna konfiguracja ustawie zapewniajcych powyszy efekt moe prowadzi do niespjnoci zarzdzania. To za w konsekwencji moe wymusi konieczno zapewnienia odpowiedniej liczby osb, ktrych zadaniem bdzie nadzorowanie jednolitego wdroenia narzuconych zasad. Wykorzystanie zasad grupowych w odrnieniu od rcznej konfiguracji ustawie upraszcza zarzdzanie oraz zapewnia natychmiastow aktualizacj rozwiza na wielu komputerach i dla wielu uytkownikw. Zasady GPO zdefiniowane w obrbie domeny nadpisuj ustawienia zasad lokalnych, co pozwala na utrzymanie centralnego modelu zarzdzania konfiguracj. Kolejno przetwarzania GPO przedstawiona zostaa na rysunku 2.3.2.
5 Podrzdne zasady OU 4 Nadrzdne zasady OU 3 Zasady domeny 2 Zasady lokacji 1 Zasady lokalne
Rys. 2.3.2. Kolejno przetwarzania zasad GPO
Jako pierwsze przetwarzane s zasady lokalne, nastpnie za zasady na poziomach: lokacji, domeny oraz jednostek organizacyjnych. Zbiory znajdujce si na poziomie jednostek organizacyjnych s
przetwarzane hierarchicznie od OU najwyszego do pooonego najniej. Tym samym zdefiniowane dla komputerw ustawienia znajdujce si na najniszym poziomie hierarchii jednostek organizacyjnych stosowane s jako ostatnie i maj najwyszy priorytet. Takie dziaanie obowizuje od systemw: Windows Server 2003 SP2, Windows Server 2008, Windows XP SP3 oraz Windows Vista. Dla uytkownikw model przetwarzania zasad jest identyczny. Istnieje kilka zalece zwizanych z projektowaniem zasad grupowych, o ktrych warto pamita. W przypadku wielu GPO administrator powinien ustali kolejno doczania ich do jednostki organizacyjnej. Domylnie kolejno ta jest zgodna z porzdkiem doczania poszczeglnych elementw na etapie konfiguracji. Zasady, ktre znajduj si wyej na licie Kolejno czy, maj wyszy priorytet. W przypadku zdefiniowania takiego samego ustawienia w dwch zbiorach zasad grupowych, efektywne staje si wic to, ktre pochodzi ze zbioru majcego wyszy priorytet.
Rys. 2.3.3. Zakadka Powizane obiekty zasad grupy, definiujca kolejno przetwarzania zasad grupowych
W ramach konfiguracji GPO dostpna jest opcja Wymuszone. Jej zastosowanie sprawia, e zdefiniowane w niej zasady nie bd nadpisywane przez inne zbiory bez wzgldu na kolejno ich doczenia. Stosowanie ustawie zasad grupowych jest cile zwizane z pooeniem obiektw: uytkownik i komputer w AD DS. W niektrych przypadkach podane jest jednak stosowanie ustawie dla uytkownika w oparciu o pooenie obiektu komputer. W takich sytuacjach przydatna staje si opcja Tryb przetwarzania sprzenia zwrotnego zasad grupy uytkownika. Umoliwia ona stosowanie ustawie konfiguracji uytkownika pochodzcego ze zbioru zawierajcego ustawienia konfiguracji komputera. Na poziomach: lokacji, domeny oraz jednostki organizacyjnej mona zastosowa opcj Zablokuj dziedziczenie. Jej wczenie powoduje, e ustawienia pochodzce od nadrzdnych zbiorw GPO nie s przekazywane do obiektw podrzdnych. Przy konfiguracji zawierajcej opcje Wymuszone oraz Zablokuj dziedziczenie waniejsza jest opcja Wymuszone.
W odniesieniu do wczeniej proponowanej struktury jednostek organizacyjnych (rys. 3.3.2), projekt zakadajcy wykorzystanie zasad grupowych powinien uwzgldni zbiory GPO zapewniajce: zasady dla domeny zasady dla kontrolerw domeny
zasady dla serwerw czonkowskich zasady dla kadej roli serwerowej w organizacji zasady dla uytkownikw zgromadzonych w jednostce organizacyjnej Windows 7 SP1 zasady dla komputerw znajdujcych si w jednostce organizacyjnej Komputery
Struktura speniajca powysze warunki zostaa przedstawiona na rysunku 2.3.4.
Zasadydla domeny
Korze domeny
Zbir podstawowy zasad dla kontrolerw domeny
Serwery czonkowskie
Departament
Zbir podstawowy zasad dla serwerw Windows Server 2008 Windows Server 2008 Windows 7
Kontrolery domeny
Uytkownicy Windows 7
Komputery Windows 7
Zasady uytkownika Windows 7 Zasady uytkownika Internet Explorer 8
Zasady uytkownika Office 2010
Zasady uytkownika Windows 7 Zasady uytkownika Internet Explorer 8
Zasady uytkownika Office 2010
Zasady dla serwerw AD DS
Zasady dla serwerw DNS
Zasady dla serwerw plikw
Zasady dla serwerw AD CS
Zasady dla serwerw RDS
Zasady dla serwerw DHCP
Zasady dla serwerw Web
Zasady dla serwerw wydruku
Zasady dla serwerw NPAS
Zasady dla serwerw Hyper-V
Rys. 2.3.4. Przykadowa struktura jednostek organizacyjnych z dowizaniami GPO dla infrastruktury Windows 7 SP1 oraz Windows Server 2008 R2
2.4. Zastosowanie filtrowania WMI w celu okrelenia dokadnej grupy docelowej odbiorcw zasad GPO
Filtrowanie oparte o instrumentacj zarzdzania Windows WMI (z ang. Windows Management Instrumentation) zostao wprowadzone po raz pierwszy w systemach Windows XP i Windows Server 2003. Mechanizm WMI umoliwia dynamiczne sprawdzanie wartoci tych atrybutw, na ktre ma
oddziaywa okrelony zbir GPO. Atrybuty to dane konfiguracyjne sprztu i/lub oprogramowania, na przykad: rodzaj procesora wersja Windows dane producenta komputera wolne miejsce na dysku liczba procesorw logicznych dane odczytywane z rejestru informacje o sterownikach elementy systemu plikw konfiguracja sieciowa dane aplikacji
Jeli ze zbiorem GPO zwizany jest filtr WMI, na stacji nastpi jego przetworzenie. Dziki temu ustawienia GPO zostan zastosowane tylko po spenieniu warunkw okrelonych filtrem WMI. Zapytania WMI tworzone s przy wykorzystaniu jzyka WQL (z ang. WMI Query Language), ktry jest jzykiem podobnym do SQL (z ang. Structured Query Language). Zapytania mog by czone operatorami AND i OR w zalenoci od potrzeb. Kade zapytanie WMI jest wykonywane w przestrzeni nazewniczej WMI. Domyln przestrzeni jest root\CIMv2. Filtry WMI s oddzielnymi obiektami, niezalenymi od GPO. Aby zastosowa filtr WMI, naley doczy go do zbioru GPO (rys. 2.4.1).
Rys. 2.4.1 Doczanie filtru WMI do zbioru GPO.
Kady zbir GPO moe posiada tylko jeden filtr WMI. Natomiast pojedynczy filtr WMI moe by doczany do wielu GPO. Filtry WMI oraz powizane zbiory GPO musz znajdowa si w tej samej domenie. W tabeli 2.4.2 zawarte zostay przykady filtrw WMI.
Kryterium Konfiguracja
Cel administracyjny
Filtr WMI
Blokada moliwoci wczania Select * from Win32_NetworkProtocol where Microsoft Network Monitor SupportsMulticasting = true (Netmon.exe) na stacjach, ktre maj wczony ruch grupowy Stosowanie zasad na wszystkich serwerach zlokalizowanych w Root\cimv2 ; Select * from win32_timezone
Strefa czasowa
Polsce Poprawki Stosowanie zasad na komputerach z zainstalowan okrelon poprawk Przypisanie oprogramowania tylko do komputerw, ktre maj zainstalowany jeden lub wicej okrelonych pakietw oprogramowania Zastosowanie zasad wycznie na komputerach z Windows XP
where bias =-60 Root\cimv2 ; Select * from Win32_QuickFixEngineering where HotFixID = 'q147222' Root\cimv2;Select * from Win32_Product where name = "MSIPackage1" OR name = "MSIPackage2"
Inwentaryzacja oprogramowania
System operacyjny
Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional" Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > 629145600 AND Description <> "Network Connection"
Zasoby
Zastosowanie zasad wycznie na komputerach, ktre maj co najmniej 600 MB wolnego miejsca na dysku
Tab 2.4.2. Przykady filtrw WMI
Tworzenie i zarzdzanie filtrami WMI moe by wykonane za pomoc dodatkowych narzdzi: WMI Administrative Tools http://www.microsoft.com/en-us/download/details.aspx?id=24045 WMI Code Creator
http://www.microsoft.com/en-us/download/details.aspx?id=8572
2.5.
Omwienie narzdzia Local Policy Tool
Security Compliance Manager zawiera narzdzie tekstowe LocalGPO. Umoliwia ono wykonywanie wielu czynnoci obsugowych na zbiorach ustawie zasad grupowych, m.in.: stosowanie ustawie zabezpiecze w kontekcie lokalnych ustawie zasad grupowych eksport lokalnych ustawie zasad grupowych
tworzenie pakietw zawierajcych ustawienia, ktre mona stosowa na stacjach, na ktrych nie zainstalowano narzdzia LocalGPO centralizacj lokalnych zbiorw zasad grupowych za pomoc Multiple Local GPO (MLGPO) aktualizacj interfejsu graficznego potrzebnego do wywietlenia dodatkowych ustawie zbiorw zasad grupowych w ramach grupy MSS (z ang. Microsoft Solutions for Security)
Narzdzie LocalGPO nie jest automatycznie instalowane wraz z SCM. Aby je zainstalowa, naley uruchomi plik LocalGPO.msi z lokalizacji c:\Program Files (x86)\Microsoft Security Compliance Manager\LGPO i wykorzystujc kreatora wybra preferowane opcje instalacji. Po pomylnym zainstalowaniu LocalGPO folder narzdzia dostpny bdzie w Menu Start:
Rys.2.5.1. Folder LocalGPO w Menu Start
2.6. Omwienie i praktyczne zastosowanie narzdzia Attack Surface Analyzer (ASA)

Firma Microsoft udostpnia narzdzie Attack Surface Analyzer (ASA), ktre umoliwia okrelenie zmian dokonywanych na systemie operacyjnym komputera podczas instalacji oprogramowania. Dziaanie narzdzia ASA poprzedzone jest kadorazowo wykonaniem testu stanu komputera. Po instalacji danego oprogramowania wywietlany jest raport o zmianach w zakresie: usug sterownikw uruchomionych procesw kontrolek COM serwerw DCOM zmian dokonanych w zakresie uprawnie domylnych DCOM skojarze rozszerze plikw kontrolek Microsoft ActiveX Internet Explorer Pluggable Protocol Handlers Internet Explorer Silent Elevation Entries Internet Explorer Preapproved Controls portw strumieni nazw regu zapory punktw kocowych wywoa RPC wpisw cieek grup i czonkostwa w nich zasobw sieciowych Dziki raportowi, ktry wykonuje ASA, mona atwo okreli wpyw instalacji oprogramowania na funkcje Windows oraz w atwy sposb go zweryfikowa.
2.7.
Omwienie mechanizmu kont MSA
Jedn z nowych funkcji w Windows 7 SP1 oraz Windows Server 2008 R2 s konta MSA (z ang. Managed Service Accounts), ktre pozwalaj zmniejszy ryzyko, ktre wie si z uytkowaniem kont sucych do zarzdzania usugami. Na stacjach lokalnych administrator moe tak skonfigurowa poszczeglne aplikacje, by byy one uruchamiane w powizaniu z kontami: usuga lokalna, usuga sieciowa lub system lokalny. Rozwizania tego nie mona zastosowa w przypadku domeny; zasig jej dziaania uniemoliwia wykorzystanie kont.
Stosujc standardowe konta uytkownikw do uruchamiania aplikacji, naley zadba o polityk zarzdzania hasami. Konta MSA umoliwiaj pen automatyzacj w tym zakresie, a take przypisanie im nazwy gwnej usugi SPN (z ang. Service Principal Name) oraz delegowanie zarzdzania SPN. Zarzdzanie kontami MSA odbywa si wycznie z poziomu PowerShell. Kontrolery domeny w systemach Windows Server 2008 i Windows Server 2003 posiadaj wsparcie dla kont MSA.
2.8.
Ustawienia zasad domenowych
Domylnie do obiektw usugi katalogowej Active Directory Domain Services stosowana jest ograniczona liczba ustawie zabezpiecze. S one konfigurowane w obrbie wza Konfiguracja komputera w ramach zbiorw: Zasady hase Zasady blokady konta Poniej omwione zostay szczegowe ustawienia dla tych gazi. Zalecenia dotyczce ustawie znajduj si w zalenoci od roli serwerowej w narzdziu Security Compliance Manager (SCM).
2.8.1. Konfigurowanie ustawie dla zbioru Zasady hase

Jednym z kluczowych zaoe bezpieczestwa systemw IT jest ustalona i dostosowana polityka dotyczca hase. Takie elementy jak: zoono hase, cykliczno ich zmiany czy wiadomo w zakresie ich przechowywania skadaj si na ogln polityk bezpieczestwa. Zasady dotyczce hase zorganizowane s w obrbie gazi: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpiecze\Zasady konta\Zasady hase (Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy) Zasada Wymuszaj tworzenie historii hase Maksymalny okres wanoci hasa Minimalny okres wanoci hasa Minimalna dugo hasa Haso musi spenia wymagania co do zoonoci Poziom wanoci Krytyczny Ustawienie domylne 0 pamitanych hase Ustawienie zalecane przez Microsoft 24 pamitane hasa 90 dni
Krytyczny
42 dni
Krytyczny
0 dni
1 dzie
Krytyczny Krytyczny
0 znakw Wyczone
12 znakw Wczone
Zapisz hasa dla wszystkich uytkownikw w domenie, korzystajc z szyfrowania odwracalnego
Krytyczny
Wyczone
Wyczone
W hasach mog by stosowane znaki z czterech grup: wielkie litery mae litery cyfry
znaki specjalne Zoono hasa (w kontekcie zasady: Haso musi spenia wymagania co do zoonoci) oznacza, e s w nim wykorzystane znaki z co najmniej trzech powyszych grup. Aby wymusi na uytkownikach zmian hase tylko w cile okrelonym momencie, naley ustali zasady dotyczce minimalnego i maksymalnego okresu uytkowania hasa. Dla zasad Minimalny okres wanoci hasa oraz Maksymalny okres wanoci hasa obowizuj ponisze zalenoci: Minimalny okres wanoci hasa Warto minimalna 0 oznacza, e haso moe by zmieniane w dowolnym momencie. Warto maksymalna 998 oznacza, e haso moe by zmienione po upywie 998 dni. Maksymalny okres wanoci hasa Warto minimalna 0 oznacza, e wano hasa nigdy nie wygasa. Warto maksymalna 999 oznacza, e wano hasa wygasa po 999 dniach. Midzy zasadami Minimalny okres wanoci hasa a Maksymalny okres wanoci hasa obowizuje zaleno: Maksymalny okres wanoci hasa = Minimalny okres wanoci hasa + 1
2.9. Konfigurowanie ustawie hase granularnych oraz dla zbioru Zasady blokady konta
Wrd ustawie zwizanych z hasami uytkownikw istotn rol peni ustawienia hase granularnych (ang. Fine-Grained Password) oraz Zasady blokady konta. Hasa granularne to rozwizanie umoliwiajce wdroenie modelu ustawie zasad hase, ktry jest dedykowany okrelonym uytkownikom lub grupom uytkownikw. Jest to moliwe w rodowisku domenowym o poziomie funkcjonalnoci domeny od Windows Server 2008. Zasady blokady konta zapewniaj ochron przed prbami odgadnicia hase uytkownikw poprzez zliczanie bdnych prb logowania i wykonywanie okrelonej akcji zwizanej ze stanem konta uytkownika. Zasady blokady konta znajduj si w gazi: Konfiguracja komputera\Ustawienia konta\Zasady blokady konta systemu Windows\Ustawienia zabezpiecze\Zasady
(Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy)
Zasada Czas trwania blokady konta Prg blokady konta Wyzeruj licznik blokady konta po upywie...
Poziom wanoci Krytyczny
Ustawienie domylne Brak
Ustawienie zalecane przez Microsoft 15 minut
Krytyczny Krytyczny
0 nieudanych zalogowania Brak
prb
50 nieudanych prb zalogowania 15 minut
2.10. Ustawienia zasad Computer Policy Settings

Ustawienia zabezpiecze stosowane dla obiektw Komputer skupione s wok poniszych gazi: Zasady inspekcji Przypisywanie praw uytkownika Opcje zabezpiecze Dziennik zdarze Zapora systemu Windows z zabezpieczeniami zaawansowanymi Szablony administracyjne
2.11. Konfigurowanie szczegowych ustawie zbioru Zasady inspekcji

Zasady inspekcji umoliwiaj gromadzenie w okrelonych kategoriach szczegowych informacji na temat aktywnoci uytkownikw i systemu. W Windows 7 SP1 uwzgldniono 9 kategorii gwnych oraz ustawienia podkategorii. S one dostpne w gazi Inspekcja globalnego dostpu do obiektw. Zasady inspekcji kategorii gwnych znajduj si w gazi: Konfiguracja komputera\Ustawienia lokalne\Zasady inspekcji systemu Windows\Ustawienia zabezpiecze\Zasady
(Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy) Przeprowad inspekcj zdarze logowania na kontach Przeprowad inspekcj dostpu do obiektw Przeprowad inspekcj dostpu do usugi katalogowej Przeprowad inspekcj ledzenia procesw Przeprowad inspekcj uycia uprawnie Przeprowad inspekcj zarzdzania kontami Przeprowad inspekcj zdarze logowania Przeprowad inspekcj zdarze systemowych
Zasady inspekcji podkategorii znajduj si w gazi: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpiecze\Konfiguracja zaawansowanych zasad inspekcji (Computer Configuration\Windows Configuration) Settings\Security Settings\Advanced Audit Policy
Zasada Przeprowad inspekcj weryfikacji powiadcze Przeprowad inspekcj usugi uwierzytelniania Kerberos Przeprowad inspekcj operacji biletw usugi Kerberos Przeprowad inspekcj innych zdarze logowania na kontach Przeprowad inspekcj zarzdzania grupami aplikacji Przeprowad inspekcj zarzdzania kontami komputerw Przeprowad inspekcj zarzdzania grupami dystrybucyjnymi Przeprowad inspekcj innych zdarze zarzdzania kontami Przeprowad inspekcj zarzdzania grupami zabezpiecze
Ustawienie domylne Nie skonfigurowano
Ustawienie zalecane przez Microsoft Sukces i Niepowodzenie Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces i Niepowodzenie
Krytyczny
Nie skonfigurowano
Przeprowad inspekcj zarzdzania kontami uytkownikw Przeprowad inspekcj dziaania DPAPI Przeprowad inspekcj tworzenia procesu Przeprowad inspekcj zakoczenia procesu Przeprowad inspekcj zdarze RPC Przeprowad inspekcj szczegowej replikacji usugi katalogowej Przeprowad inspekcj dostpu do usugi katalogowej Przeprowad inspekcj zmian usugi katalogowej Przeprowad inspekcj replikacji usugi katalogowej Przeprowad inspekcj blokady konta Przeprowad inspekcj trybu rozszerzonego protokou IPsec Przeprowad inspekcj trybu gwnego protokou IPsec Przeprowad inspekcj trybu szybkiego protokou IPsec Przeprowad inspekcj wylogowywania
Krytyczny
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces
Przeprowad inspekcj logowania Przeprowad inspekcj serwera zasad sieciowych Przeprowad inspekcj innych zdarze logowania/wylogowywania Przeprowad inspekcj logowania specjalnego Przeprowad inspekcj wygenerowanych przez aplikacj Przeprowad inspekcj usug certyfikacji Przeprowad inspekcj szczegowego udziau plikw Przeprowad inspekcj udziau plikw Przeprowad inspekcj systemu plikw Przeprowad inspekcj poczenia platformy filtrowania Przeprowad inspekcj porzucania pakietw platformy filtrowania Przeprowad inspekcj manipulowania dojciem Przeprowad inspekcj obiektu jdra Przeprowad inspekcj innych zdarze dostpu do obiektw
Krytyczny
Nie skonfigurowano
Sukces i Niepowodzenie Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Przeprowad inspekcj rejestru Przeprowad inspekcj SAM Przeprowad inspekcj zmiany zasad inspekcji Przeprowad inspekcj zmiany zasad uwierzytelniania Przeprowad inspekcj zmiany zasad autoryzacji Przeprowad inspekcj zmiany zasad platformy filtrowania Przeprowad inspekcj zmiany zasad na poziomie reguy MPSSVC Przeprowad inspekcj innych zdarze zmiany zasad Przeprowad inspekcj niepoufnego uycia uprawnie Przeprowad inspekcj innych zdarze uycia uprawnie Przeprowad inspekcj poufnego uycia uprawnie Przeprowad inspekcj sterownika IPsec Przeprowad inspekcj innych zdarze systemowych
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces i Niepowodzenie Sukces
Krytyczny
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces i Niepowodzenie Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Przeprowad inspekcj zmiany stanu zabezpiecze Przeprowad inspekcj rozszerzenia systemu zabezpiecze Przeprowad inspekcj integralnoci systemu System plikw Rejestr
Krytyczny
Nie skonfigurowano
Sukces i Niepowodzenie Sukces i Niepowodzenie
Krytyczny
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces i Niepowodzenie Nie skonfigurowano Nie skonfigurowano
Krytyczny Krytyczny
Nie skonfigurowano Nie skonfigurowano
2.12. Konfigurowanie szczegowych zasad zbioru Przypisywanie praw uytkownika

Przypisywanie praw uytkownika jest zbiorem ustawie, ktry mona definiowa, zapewniajc uytkownikom moliwo wykonywania cile okrelonych czynnoci na systemie operacyjnym. Zbir Przypisywanie praw uytkownika znajduje si w gazi: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpiecze\Zasady lokalne\Przypisywanie praw uytkownika (Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment) Poziom wanoci Istotny Krytyczny Istotny Ustawienie domylne Administratorzy Administratorzy, Usuga lokalna, Usuga sieciowa Ustawienie zalecane przez Microsoft Administratorzy Administratorzy, Usuga lokalna, Usuga sieciowa -
Zasada Blokuj strony w pamici Debuguj programy Dostosuj przydziay pamici dla procesw
Dziaanie jako cz systemu operacyjnego Generuj inspekcje zabezpiecze Logowanie w trybie usugi
Krytyczny
Krytyczny
Usuga lokalna, Usuga sieciowa NT Services\All services
Usuga lokalna, Usuga sieciowa -
Krytyczny
Logowanie w trybie wsadowym
Istotny
Administratorzy, Operatorzy kopii zapasowych, Uytkownicy dziennikw wydajnoci Administratorzy
aduj i zwalniaj sterowniki urzdze Modyfikuj etykiet obiektu Modyfikuj wartoci rodowiskowe oprogramowania ukadowego Obejd sprawdzanie przy przechodzeniu
Istotny
Administratorzy
Istotny
Istotny
Administratorzy
Administratorzy
Krytyczny
Administratorzy, Operatorzy kopii zapasowych, Usuga lokalna, Usuga sieciowa, Uytkownicy, Wszyscy -
Administratorzy, Usuga sieciowa, Usuga lokalna, Uytkownicy
Odmawiaj logowania za pomoc usug pulpitu zdalnego Odmowa dostpu do tego komputera z sieci Odmowa logowania lokalnego Odmowa logowania w trybie usugi Odmowa logowania w trybie wsadowym Okrel konta komputerw i uytkownikw jako zaufane w kwestii delegowania
Opcjonalny
Krytyczny
Go
Gocie
Krytyczny
Go
Gocie
Krytyczny
Krytyczny
Gocie
Krytyczny
Personifikuj klienta po uwierzytelnieniu
Istotny
Administratorzy, Usuga, Usuga lokalna, Usuga sieciowa Administratorzy
Administratorzy, Usuga, Usuga lokalna, Usuga sieciowa -
Profiluj pojedynczy proces Profiluj wydajno systemu Przejmij na wasno pliki lub inne obiekty Przywracaj pliki i katalogi
Istotny
Istotny
Administratorzy, NT Administratorzy, NT Service\WdiServiceHost Service\WdiServiceHost Administratorzy Administratorzy
Istotny
Istotny
Administratorzy, Operatorzy kopii zapasowych -
Synchronizuj dane usugi katalogowej Usu komputer ze stacji dokujcej Utwrz cza symboliczne Utwrz obiekt tokenu Utwrz obiekty globalne
Istotny
Opcjonalny
Administratorzy, Uytkownicy Administratorzy Administratorzy, Usuga, Usuga lokalna, Usuga sieciowa Administratorzy
Administratorzy, Uytkownicy Administratorzy, Usuga, Usuga lokalna, Usuga sieciowa Administratorzy
Istotny Istotny Istotny
Utwrz plik stronicowania Utwrz trwae obiekty udostpnione Uzyskaj dostp do Menedera powiadcze jako zaufany obiekt wywoujcy Uzyskiwanie dostpu do tego komputera z sieci
Krytyczny
Istotny
Istotny
Krytyczny
Administratorzy, Operatorzy kopii zapasowych, Uytkownicy, Wszyscy
Administratorzy, Uytkownicy
Wykonuj kopie zapasowe plikw i katalogw
Istotny
Administratorzy, Operatorzy kopii zapasowych Administratorzy
Wykonuj zadania konserwacji woluminw Wymuszaj zamknicie z systemu zdalnego Zamie token na poziomie procesu Zamknij system
Krytyczny
Administratorzy
Krytyczny
Administratorzy
Administratorzy
Istotny
Usuga lokalna, Usuga sieciowa Administratorzy, Operatorzy kopii zapasowych, Uytkownicy Administratorzy
Usuga lokalna, Usuga sieciowa Administratorzy, Uytkownicy
Istotny
Zarzdzaj dziennikami inspekcji i zabezpiecze Zezwalaj na logowanie lokalne
Krytyczny
Administratorzy
Krytyczny
Administratorzy, Gocie, Operatorzy kopii zapasowych, Uytkownicy Administratorzy, Uytkownicy pulpitu zdalnego Administratorzy, Usuga lokalna Administratorzy, Usuga lokalna, Uytkownicy Administratorzy
Administratorzy, Uytkownicy
Zezwalaj na logowanie za pomoc usug pulpitu zdalnego Zmie czas systemowy
Istotny
Istotny
Administratorzy, Usuga lokalna Administratorzy, Usuga lokalna, Uytkownicy Administratorzy
Zmie stref czasow
Istotny
Zwiksz priorytet planowania Zwiksz zestaw roboczy procesu
Istotny
Istotny
Uytkownicy
Administratorzy, Usuga lokalna
2.13. Konfigurowanie szczegowych zasad zbioru Opcje zabezpiecze

Ustawienia w ramach gazi Opcje zabezpiecze zapewniaj szeroki zakres moliwoci konfiguracji zabezpiecze, ktre s uporzdkowane wedug grup. Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpiecze\Zasady lokalne\Opcje zabezpiecze
(Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options) Poziom wanoci Krytyczny Ustawienie domylne 30 dni Ustawienie zalecane przez Microsoft 30 dni
Zasada Czonek domeny: maksymalny wiek hasa konta komputera Czonek domeny: podpisuj cyfrowo dane bezpiecznego kanau gdy to moliwe Czonek domeny: szyfruj cyfrowo dane bezpiecznego kanau gdy to moliwe Czonek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanau zawsze Czonek domeny: wycz zmiany hasa konta komputera Czonek domeny: wymagaj silnego klucza sesji (system Windows 2000 lub nowszy) DCOM: Ograniczenia dotyczce dostpu do komputera w skadni jzyka SDDL (Security Descriptor Definition Language) DCOM: Ograniczenia dotyczce uruchamiania komputera w skadni jzyka SDDL (Security Descriptor Definition Language)
Krytyczny
Wczone
Wczone
Krytyczny
Wczone
Wczone
Krytyczny
Wczone
Wczone
Krytyczny
Wyczone
Wyczone
Krytyczny
Wyczone
Wczone
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Dostp sieciowy: nazwane potoki, do ktrych mona uzyskiwa dostp anonimowo Dostp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM Dostp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziaw Dostp sieciowy: nie zezwalaj na przechowywanie hase ani powiadcze do uwierzytelniania sieciowego Dostp sieciowy: ogranicz anonimowy dostp do nazwanych potokw i udziaw Dostp sieciowy: cieki rejestru, do ktrych mona uzyskiwa dostp anonimowo
Istotny
Niezdefiniowane
Krytyczny
Wczone
Wczone
Krytyczny
Wyczone
Wczone
Krytyczny
Wyczone
Niezdefiniowane
Istotny
Wczone
Wczone
Istotny
System\CurrentControl Set\Control\ProductOp tions System\CurrentControl Set\Control\Server Applications Software\Microsoft\Wi ndows NT\CurrentVersion
System\CurrentControl Set\Control\ProductOp tions System\CurrentControl Set\Control\Server Applications Software\Microsoft\Wi ndows NT\CurrentVersion
Dostp sieciowy: cieki rejestru, do ktrych mona uzyskiwa dostp anonimowo i cieki podrzdne
Krytyczny
System\CurrentControl Set\Control\Print\Print ers System\CurrentControl Set\Services\Eventlog Software\Microsoft\OL AP Server Software\Microsoft\Wi ndows NT\CurrentVersion\Prin t Software\Microsoft\Wi ndows NT\CurrentVersion\Win dows System\CurrentControl Set\Control\ContentInd ex System\CurrentControl Set\Control\Terminal Server System\CurrentControl Set\Control\Terminal Server\UserConfig System\CurrentControl Set\Control\Terminal Server\DefaultUserConf iguration Software\Microsoft\Wi ndows NT\CurrentVersion\Perf lib System\CurrentControl Set\Services\SysmonLo g
System\CurrentControl Set\Control\Print\Print ers System\CurrentControl Set\Services\Eventlog Software\Microsoft\OL AP Server Software\Microsoft\Wi ndows NT\CurrentVersion\Prin t Software\Microsoft\Wi ndows NT\CurrentVersion\Win dows System\CurrentControl Set\Control\ContentInd ex System\CurrentControl Set\Control\Terminal Server System\CurrentControl Set\Control\Terminal Server\UserConfig System\CurrentControl Set\Control\Terminal Server\DefaultUserConf iguration Software\Microsoft\Wi ndows NT\CurrentVersion\Perf lib System\CurrentControl Set\Services\SysmonLo g
Dostp sieciowy: udostpnianie i model zabezpiecze dla kont lokalnych
Krytyczny
Klasyczny uwierzytelnianie uytkownikw lokalnych, jako samych siebie Niezdefiniowane
Klasyczny uwierzytelnianie uytkownikw lokalnych, jako samych siebie -
Dostp sieciowy: udziay, do ktrych mona uzyskiwa dostp anonimowo Dostp sieciowy: zezwalaj na anonimow translacj identyfikatorw SID/nazw Dostp sieciowy: zezwalaj na stosowanie uprawnie Wszyscy do anonimowych uytkownikw Inspekcja: inspekcjonuj dostp do globalnych obiektw systemu Inspekcja: inspekcjonuj uycie prawa do wykonywania kopii zapasowych i przywracania Inspekcja: wymu ustawienia podkategorii zasad inspekcji (system Windows Vista lub nowszy), aby zastpi ustawienia kategorii zasad inspekcji Inspekcja: zamknij system natychmiast, jeli nie mona rejestrowa wynikw inspekcji
Istotny
Krytyczny
Wyczone
Wyczone
Krytyczny
Wyczone
Wyczone
Krytyczny
Wyczone
Niezdefiniowane
Krytyczny
Wyczone
Niezdefiniowane
Krytyczny
Niezdefiniowane
Wczone
Krytyczny
Wyczone
Wyczone
Klient sieci Microsoft: podpisuj cyfrowo komunikacj (za zgod serwera) Klient sieci Microsoft: podpisuj cyfrowo komunikacj (zawsze) Klient sieci Microsoft: wylij niezaszyfrowane haso w celu nawizania poczenia z innymi serwerami SMB Konsola odzyskiwania: zezwalaj na automatyczne logowanie administracyjne Konsola odzyskiwania: zezwalaj na kopiowanie na dyskietk oraz dostp do wszystkich dyskw i folderw Konta: ogranicz uywanie pustych hase przez konta lokalne tylko do logowania do konsoli Konta: Stan konta administratora Konta: Stan konta gocia Konta: Zmienianie nazwy konta administratora Konta: Zmienianie nazwy konta gocia
Krytyczny
Wczone
Wczone
Krytyczny
Wyczone
Wczone
Krytyczny
Wyczone
Wyczone
Krytyczny
Wyczone
Wyczone
Istotny
Wyczone
Niezdefiniowane
Krytyczny
Wczone
Wczone
Krytyczny
Wyczone
Niezdefiniowane
Krytyczny Krytyczny
Wyczone Administrator
Wyczone Niezdefiniowane
Istotny
Go
Niezdefiniowane
Kontrola konta uytkownika: podnoszenie uprawnie tylko tych aplikacji z poziomem UIAccess, ktre s zainstalowane w bezpiecznych lokalizacjach Kontrola konta uytkownika: podnoszenie uprawnie tylko tych plikw wykonywalnych, ktre s podpisane i maj sprawdzon poprawno Kontrola konta uytkownika: przecz na bezpieczny pulpit przy monitowaniu o podniesienie uprawnie Kontrola konta uytkownika: tryb zatwierdzania przez administratora dla wbudowanego konta administratora Kontrola konta uytkownika: uruchamianie wszystkich administratorw w trybie zatwierdzania przez administratora Kontrola konta uytkownika: wirtualizuj bdy zapisu plikw i rejestru w lokalizacjach poszczeglnych uytkownikw
Krytyczny
Wczone
Wczone
Krytyczny
Wyczone
Wyczone
Krytyczny
Wczone
Wczone
Krytyczny
Wyczone
Wczone
Krytyczny
Wczone
Wczone
Krytyczny
Wczone
Wczone
Kontrola konta uytkownika: wykrywanie instalacji aplikacji i monitowanie o podniesienie uprawnie Kontrola konta uytkownika: zachowanie monitu o podniesienie uprawnie dla administratorw w trybie zatwierdzania przez administratora Kontrola konta uytkownika: zachowanie monitu o podniesienie uprawnie dla uytkownikw standardowych Kontrola konta uytkownika: zezwalaj aplikacjom z poziomem UIAccess na monitowanie o podniesienie uprawnie bez uywania bezpiecznego pulpitu Kryptografia systemu: uyj zgodnych algorytmw FIPS dla celw szyfrowania, tworzenia skrtu i podpisywania Kryptografia systemu: wymu mocn ochron klucza dla kluczy uytkownikw przechowywanych na komputerze
Krytyczny
Wczone
Wczone
Krytyczny
Monituj o zgod na pliki binarne niepochodzce z systemu Windows
Monituj o powiadczenia
Krytyczny
Automatycznie odrzucaj dania podniesienia
Krytyczny
Wyczone
Wyczone
Istotny
Wyczone
Niezdefiniowane
Istotny
Wyczone
Niezdefiniowane
Logowanie interakcyjne: liczba poprzednich zalogowa do zbuforowania (w przypadku niedostpnoci kontrolera domeny) Logowanie interakcyjne: monituj uytkownika o zmian hasa przed jego wyganiciem Logowanie interakcyjne: nie wymagaj nacinicia klawiszy CTRL+ALT+DEL Logowanie interakcyjne: nie wywietlaj nazwy ostatniego uytkownika Logowanie interakcyjne: tekst komunikatu dla uytkownikw prbujcych si zalogowa Logowanie interakcyjne: tytu komunikatu dla uytkownikw prbujcych si zalogowa Logowanie interakcyjne: wymagaj karty inteligentnej Logowanie interakcyjne: wymagaj uwierzytelnienia kontrolera domeny do odblokowania stacji roboczej
Krytyczny
10 logowa
2 logowania
Krytyczny
14 dni
14 dni
Krytyczny
Niezdefiniowane
Wyczone
Krytyczny
Wyczone
Wczone
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Istotny
Wyczone
Niezdefiniowane
Krytyczny
Wyczone
Wczone
Logowanie interakcyjne: wywietlaj informacje o uytkowniku, gdy sesja jest zablokowana Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej Obiekty systemu: wymagaj nierozrniania wielkoci liter dla podsystemw innych ni Windows Obiekty systemu: wzmocnij uprawnienia domylne wewntrznych obiektw systemu (np. czy symbolicznych) Serwer sieci Microsoft: okres bezczynnoci wymagany dla wstrzymania sesji Serwer sieci Microsoft: podpisuj cyfrowo komunikacj (za zgod klienta) Serwer sieci Microsoft: podpisuj cyfrowo komunikacj (zawsze) Serwer sieci Microsoft: poziom sprawdzania poprawnoci docelowej gwnej nazwy usugi serwera Serwer sieci Microsoft: rozczaj klientw po upywie limitu czasu logowania
Krytyczny
Niezdefiniowane
Niezdefiniowane
Istotny
Brak akcji
Zablokuj stacj robocz
Istotny
Wczone
Wczone
Krytyczny
Wczone
Wczone
Krytyczny
15 minut
15 minut
Krytyczny
Wyczone
Wczone
Krytyczny
Wyczone
Wczone
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Wczone
Wczone
Urzdzenia: ogranicz dostp do stacji CD-ROM tylko do uytkownika zalogowanego lokalnie Urzdzenia: ogranicz dostp do stacji dyskietek tylko do uytkownika zalogowanego lokalnie Urzdzenia: zapobiegaj instalacji sterownikw drukarek przez uytkownikw Urzdzenia: zezwalaj na oddokowywanie bez potrzeby logowania si Urzdzenia: zezwolono na formatowanie i wysunicie wymiennego nonika Ustawienia systemowe: opcjonalne podsystemy Ustawienia systemowe: uyj regu certyfikatw do plikw wykonywalnych systemu Windows dla Zasad ogranicze oprogramowania Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla klientw opartych na NTLM SSP (wczajc secure RPC)
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Istotny
Wyczone
Wczone
Opcjonalny
Wczone
Niezdefiniowane
Istotny
Niezdefiniowane
Administratorzy i uytkownicy interakcyjni
Opcjonalny
Posix
Niezdefiniowane
Istotny
Wyczone
Niezdefiniowane
Krytyczny
Wymagaj szyfrowania 128-bitowego
Wymaga zabezpiecze sesji NTLMv2, Wymagaj szyfrowania 128bitowego
Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla serwerw opartych na NTLM SSP (wczajc secure RPC) Zabezpieczenia sieci: nie przechowuj wartoci skrtu (hash) programu LAN Manager dla nastpnej zmiany hasa Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager Zabezpieczenia sieci: wymagania podpisywania klienta LDAP Zabezpieczenia sieciowe: konfigurowanie typw szyfrowania dozwolonych dla protokou Kerberos Zabezpieczenia sieciowe: Ograniczania ruchu NTLM: Dodaj wyjtki dla serwerw z tej domeny Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Dodaj wyjtki dla serwerw zdalnych w celu uwierzytelniania NTLM Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przeprowad inspekcj przychodzcego ruchu NTLM
Krytyczny
Wymagaj szyfrowania 128-bitowego
Wymaga zabezpiecze sesji NTLMv2, Wymagaj szyfrowania 128bitowego
Krytyczny
Wczone
Wczone
Krytyczny
Wylij tylko odpowied NTLMv2
Wylij tylko odpowied NTLMv2. Odmw LM i NTLM. Negocjuj podpisywanie
Krytyczny
Negocjuj podpisywanie
Istotny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przeprowad inspekcj uwierzytelniania NTLM w tej domenie Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przychodzcy ruch NTLM Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Uwierzytelnianie NTLM w tej domenie Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Wychodzcy ruch NTLM do serwerw zdalnych Zabezpieczenia sieciowe: Wymu wylogowanie uytkownikw po upyniciu czasu logowania Zabezpieczenia sieciowe: Zezwalaj kontu systemowi lokalnemu na uywanie pustych sesji Zabezpieczenia sieciowe: Zezwalaj lokalnemu systemowi na uwierzytelnianie NTLM przy uyciu tosamoci komputera
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Istotny
Wyczone
Niezdefiniowane
Istotny
Niezdefiniowane
Niezdefiniowane
Istotny
Niezdefiniowane
Niezdefiniowane
Zabezpieczenia sieciowe: Zezwalaj na wysyanie da uwierzytelniania PKU2U do tego komputera w celu uywania tosamoci online Zamknicie: wyczy plik stronicowania pamici wirtualnej Zamknicie: zezwalaj na zamykanie systemu bez koniecznoci zalogowania
Istotny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Wyczone
Wyczone
Istotny
Wczone
Niezdefiniowane
2.14. Konfigurowanie ustawie MSS

Wrd wielu ustawie zabezpiecze istniej takie, ktre nie maj reprezentacji w postaci zasad GPO. Mona je za to definiowa poprzez bezporednie wpisy w rejestrze. Ustawienia tego typu posiadaj prefiks MSS (z ang. Microsoft Solutions for Security). Wanym aspektem zarzdzania ustawieniami MSS jest to, e nie s kasowane wraz z usuwaniem szablonw zabezpiecze. To wymusza ich rczn konfiguracj z poziomu rejestru systemu (regedit32.exe).
2.15. Potencjalne zagroenia zwizane z zasadami podpisywania cyfrowego pakietw SMB

Protok SMB (z ang. Server Message Block), znany rwnie jako CIFS (z ang. Common Internet File System), zapewnia metody udostpniania zasobw komputerowych takich jak: pliki, drukarki czy porty szeregowe. W sytuacji, gdy klient wykorzystujcy SMB w wersji 1 nawizuje poczenie w sesji konta innego ni konto Go lub loguje si nieanonimowo, kiedy zasady podpisywania SMB s wczone, wcza on podpisywanie cyfrowe komunikacji dla serwera; kolejne nawizane sesje bd dziedziczyy i stosoway podpisan cyfrowo komunikacj SMB. Aby podwyszy poziom bezpieczestwa, w Windows 7 SP1 zasady bezpieczestwa poczenia uwierzytelnionego przez serwer s chronione przed degradacj do poziomu sesji Go lub Anonimowe. Powysza zasada nie znajduje zastosowania, gdy kontrolery domeny pracuj pod kontrol Windows Server 2003, a stacjami klienckimi s Windows Vista SP2 lub Windows Server 2008.
Majc to na uwadze, aby zachowa jednolite zachowanie zasad podpisywania pakietw SMB, naley skonfigurowa ponisze ustawienia znajdujce si w gazi: Konfiguracja komputera\Ustawienia lokalne\Opcje zabezpiecze systemu Windows\Ustawienia zabezpiecze\Zasady
(Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options) Zasada w zakresie kontrolera domeny pracujcego pod kontrol Windows Server 2003: Poziom wanoci Krytyczny Ustawienie domylne Wczony Ustawienie zalecane przez Microsoft Wczony
Serwer sieci Microsoft: podpisuj cyfrowo komunikacj (za zgod klienta) Serwer sieci Microsoft: podpisuj cyfrowo komunikacj (zawsze)
Krytyczny
Wczony
Wczony
W zakresie komputerw bdcych czonkami domeny pracujcymi pod kontrol Windows Vista SP1 lub Windows Server 2008 Zasada Poziom wanoci Krytyczny Ustawienie domylne Wyczone Ustawienie zalecane przez Microsoft Wczony
Serwer sieci Microsoft: podpisuj cyfrowo komunikacj (za zgod klienta) Serwer sieci Microsoft: podpisuj cyfrowo komunikacj (zawsze)
Krytyczny
Wyczone
Wczony
Omawiane problemy zostay rozwizane w Windows Server 2008 R2 oraz Windows Vista SP2.
2.16. Ograniczenie stosowania mechanizmu uwierzytelnienia NTLM

Uwierzytelnianie NT LAN Manager (NTLM) stosowane jest w wielu sieciach komputerowych nawet jeli dostpne s bezpieczniejsze protokoy uwierzytelniania Windows. W Windows 7 SP1 pojawiy si nowe zasady zabezpiecze, pozwalajce na analiz i ograniczanie wykorzystania NTLM w rodowisku IT. Funkcje te obejmuj zbieranie danych, analiz ruchu NTLM oraz proces metodyczny, ktry wprowadza ograniczenia w ruchu NTLM na rzecz silniejszych protokow uwierzytelniania, takich jak
Kerberos. Ograniczenie uycia protokou NTLM wymaga wiedzy, jak wykorzystywany jest on przez aplikacj, oraz znajomoci strategii i krokw niezbdnych w konfiguracji infrastruktury do pracy z innymi protokoami. Zasady umoliwiajce audyt oraz ograniczenie wykorzystania ruchu NTLM znajduj si w gazi: Konfiguracja komputera\Ustawienia lokalne\Opcje zabezpiecze systemu Windows\Ustawienia zabezpiecze\Zasady
(Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options) i obejmuj:

o o o o o
w zakresie audytu:
Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przeprowad inspekcj przychodzcego ruchu NTLM Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przeprowad inspekcj uwierzytelniania NTLM w tej domenie w zakresie ograniczania: Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przychodzcy ruch NTLM Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Uwierzytelnianie NTLM w tej domenie
Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Wychodzcy ruch NTLM do serwerw zdalnych
2.17. Konfigurowanie szczegowych zasad zbioru Dziennik zdarze

Rejestrowanie zdarze naley do najwaniejszych zada realizowanych w obszarze bezpieczestwa Windows, ktre mona przeglda z poziomu Dziennika zdarze. Istotnym aspektem konfiguracji s atrybuty dziennikw zwizane z ich rozmiarem, prawami dostpu oraz metod nadpisywania zdarze. Zasady umoliwiajce konfiguracj wymienionych atrybutw znajduj si gazi: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpiecze\Dziennik zdarze (Computer Configuration\Windows Settings\Security Settings\Event Log) Maksymalny rozmiar dziennika aplikacji Maksymalny rozmiar dziennika systemu Maksymalny rozmiar dziennika zabezpiecze Metoda przechowywania dziennika aplikacji Metoda przechowywania dziennika systemu Metoda przechowywania dziennika zabezpiecze Odmawiaj dostpu lokalnej grupie goci do dziennika aplikacji Odmawiaj dostpu lokalnej grupie goci do dziennika systemu Odmawiaj dostpu lokalnej grupie goci do dziennika zabezpiecze Przechowuj dziennik aplikacji przez Przechowuj dziennik systemu przez Przechowuj dziennik zabezpiecze przez
2.18. Szczegowa konfiguracja zapory systemu Windows Firewall with Advanced Security
Precyzyjna konfiguracja narzdzia Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest moliwa z poziomu zasad grupowych w ramach gazi: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpiecze\Zapora systemu Windows z zabezpieczeniami zaawansowanymi (Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security)
Rys. 2.18.1. Ustawienia zasad grupowych dla Zapory systemu Windows z ustawieniami zaawansowanymi
W ramach dostpnych ustawie mona dokonywa zmian w zakresie: ustawie oglnych zapory dostpnych we waciwociach narzdzia Zapora systemu Windows z zabezpieczeniami zaawansowanymi wywietlania i tworzenia regu wchodzcych i wychodzcych zapory
wywietlania i tworzenia regu w zakresie uwierzytelniania komunikacji midzy komputerami
Przystpujc do konfiguracji ustawie, naley sprecyzowa profil sieciowy, dla ktrego bd definiowane ustawienia. Zapora systemu Windows z zabezpieczeniami zaawansowanymi udostpnia profile sieciowe opisane poniej: Profil domenowy Profil stosowany jest, kiedy komputer zosta podczony do sieci oraz nastpio uwierzytelnienie do kontrolera domeny, do ktrego naley komputer. Domylna konfiguracja profilu umoliwia nawizywanie sesji Pulpitu zdalnego oraz Pomocy zdalnej. Profil prywatny Profil stosowany jest, jeli uytkownik posiadajcy powiadczenia lokalnego administratora przypisze go w ramach biecego poczenia sieciowego. Zaleca si, by profil prywatny uywany by w sieciach zaufanych. Profil publiczny Jest to profil domylny, stosowany, gdy komputer nie jest doczony do domeny. Profil ten zawiera zbir najbardziej restrykcyjnych ustawie, w ktrych wyczona jest komunikacja wchodzca.
2.19. Usuga Windows Update

Usuga Windows Update umoliwia systematyczne sprawdzanie dostpnoci aktualizacji komponentw systemu Windows. Wszystkie poprawki s dystrybuowane domylnie poprzez witryn Windows Update. Istnieje take moliwo lokalnej dystrybucji poprawek z centraln synchronizacj do witryny Windows Update. Tak metod pozwala zastosowa serwer WSUS (z ang. Windows Server Update Services)13. Serwer WSUS zapewnia: administracyjn kontrol synchronizacji poprawek z witryny Windows Update, ktre bd dystrybuowane lokalnie lokalny serwer Windows Update administracyjn kontrol nad poprawkami automatyczn aktualizacj komputerw (stacji roboczych i/lub serwerw) Konfiguracja klientw serwera WSUS realizowana jest poprzez ustawienia zasad grupowych, dostpne w gazi: Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Usuga Windows Update (Computer Configuration\Administrative Templates\Windows Components\Windows Update) Nie wywietlaj opcji Zainstaluj aktualizacje i zamknij system w oknie dialogowym Zamykanie systemu Windows Nie ustawiaj opcji domylnej na Zainstaluj aktualizacje i zamknij system w oknie dialogowym Zamykanie systemu Windows Wczanie Opcji zasilania, aby funkcja Windows Update automatycznie wznawiaa system w celu zainstalowania zaplanowanych aktualizacji Konfigurowanie aktualizacji automatycznych
13
http://technet.microsoft.com/en-us/windowsserver/bb332157.aspx
Okrel lokalizacj intranetowej usugi aktualizujcej firmy Microsoft Czstotliwo wykrywania aktualizacji automatycznych Zezwalaj, aby uytkownicy inni ni administratorzy otrzymywali powiadomienia aktualizacji Wcz powiadomienia o oprogramowaniu Zezwalaj na natychmiastow instalacj aktualizacji automatycznych Wcz zalecane aktualizacje za pomoc aktualizacji automatycznych Bez automatycznego uruchamiania ponownego dla zaplanowanych instalacji aktualizacji automatycznych przy zalogowanych uytkownikach Ponw monit o ponowne uruchomienie komputera z zaplanowanymi instalacjami Opniaj ponowne uruchomienie komputera dla zaplanowanych instalacji Zaplanuj ponownie zaplanowane instalacje aktualizacji automatycznych Wcz konfigurowanie docelowej strony klienta Zezwalaj na podpisane aktualizacje z intranetowej lokalizacji usugi aktualizacji firmy Microsoft Do prawidowego dziaania klienta z serwerem WSUS naley skonfigurowa minimum cztery zasady: Okrel lokalizacj intranetowej usugi aktualizujcej firmy Microsoft Konfigurowanie aktualizacji automatycznych Bez automatycznego uruchamiania ponownego dla zaplanowanych instalacji aktualizacji automatycznych przy zalogowanych uytkownikach Zaplanuj ponownie zaplanowane instalacje aktualizacji automatycznych
2.20. Ataki na usug zintegrowanego uwierzytelniania systemu Windows polegajce na przekazywaniu powiadcze
Poradniki bezpieczestwa Microsoft MSA (z ang. Microsoft Security Advisory) zawieraj informacj na temat ryzyka atakw zwizanych z przechwyceniem powiadcze uytkownika wykorzystujcego usug zintegrowanego uwierzytelniania systemu Windows IWA (z ang. Integrated Windows Authentication). Tego typu naruszenia bezpieczestwa mog wystpi poprzez ataki typu czowiek porodku (ang. man-in-the-middle) lub poprzez sprowokowanie uytkownika do uruchomienia konkretnego odnonika. Przykady powyszych typw atakw: Przekazanie powiadcze Atak nastpuje, kiedy przechwycone powiadczenia s wykorzystywane do logowania si do innych usug ni te, do ktrych miaa dostp ofiara ataku. Odbicie powiadcze Tego typu atak zakada wykorzystanie przechwyconych powiadcze do ponownego logowania si na komputerze ofiary. Aby zmniejszy ryzyko tego typu atakw, udostpniono funkcj EPA (z ang. Extended Protection for Authentication). Jest ona zawarta w systemach Windows 7 SP1 oraz w Windows Server 2008 R2 SP1; dla poprzednich wersji Windows mona j pobra jako aktualizacj. Szczegowe informacje o konfiguracji EPA dla wczeniejszych wersji Windows znajduj si w KB968389 (http://support.microsoft.com/kb/968389).
W zaoeniach zintegrowanego uwierzytelniania Windows przyjto, e niektre odpowiedzi uwierzytelniania s uniwersalne, co sprawia, e w atwy sposb mog zosta powtrne uyte lub przekazane. Dlatego jako minimalne zabezpieczenie zaleca si, by konstrukcja odpowiedzi w komunikacji zawieraa okrelone informacje o kanale komunikacji. Dziki temu usugi maj zapewnion rozszerzon ochron w zakresie odpowiedzi uwierzytelniania zawierajcych okrelone informacje dotyczce usug, takie jak SPN (z ang. Service Principal Name).
3.
Sposoby ochrony przed zoliwym oprogramowaniem
Oprogramowanie zoliwe, tzw. malware (ang. malicious software), to kady program komputerowy lub skrypt wykazujcy szkodliwe lub zoliwe dziaanie w stosunku do uytkownika komputera. Przykadami oprogramowania zoliwego s: wirusy, robaki, konie trojaskie, rootkity oraz oprogramowanie szpiegujce (ang. spyware), ktre gromadz informacje na temat dziaalnoci uytkownika bez uprzedniej zgody uytkownika systemu. Windows 7 wprowadzi nowe technologie, ktre mog zosta wykorzystane w celu zapewnienia ochrony przed oprogramowaniem zoliwym na komputerach pracujcych pod kontrol systemu Windows 7 SP1. Rozdzia ten zawiera przegld funkcji zabezpiecze i rekomendacje dotyczce konfigurowania i stosowania tych technologii. Rekomendowane ustawienia nowych funkcji zabezpiecze w systemie Windows 7 SP1 mog zosta wprowadzone poprzez zastosowanie zasad grupowych, opisanych w rozdziale Wdraanie rekomendowanych zasad bezpieczestwa w kontekcie bazowych ustawie systemu Windows 7. W wielu przypadkach wymagane s jednak informacje charakterystyczne dla danego rodowiska systemu komputerowego, ktre ma wpyw na wybr funkcji i ustawie. Dlatego te wikszo rekomendowanych wartoci dla dodatkowych ustawie nie zostao zawartych w niniejszym przewodniku. Wszystkie opisane funkcje z ustawionymi wartociami domylnymi zapewniaj dodatkowy poziom ochrony komputerw pracujcych pod kontrol systemw Windows 7 SP1. Dostpne s jednak nowe ustawienia zasad grupowych, ktre mog poprzez dostosowanie dziaa i funkcjonalnoci poszczeglnych komponentw systemu zapewni jeszcze lepsz ochron przed zoliwym oprogramowaniem dla wasnego rodowiska.
3.1. SP1
Wprowadzenie do funkcji zabezpiecze stosowanych w systemie Windows 7
System Windows 7 SP1 zawiera nastpujce nowe i rozszerzone technologie, ktre zapewniaj ochron przed zoliwym oprogramowaniem: Konsola Centrum akcji (ang. Action Center) Kontrola konta uytkownika (ang. User Account Control UAC) Zabezpieczenia biometryczne (ang. Biometric Security) Windows Defender Narzdzie do usuwania zoliwego oprogramowania (ang. Malicious Software Removal Tool) Zapora systemu Windows AppLocker Ponadto w celu zwikszenia bezpieczestwa rekomenduje si, by logowanie do systemu przebiegao z wykorzystaniem konta zwykego uytkownika (nieposiadajcego uprawnie administracyjnych). Dodatkowo wysoce rekomendowane jest zainstalowanie programu antywirusowego, ktry zapewnia ochron w czasie rzeczywistym przez nowymi zagroeniami, pojawiajcymi si kadego dnia.
Przykadem takiego rozwizania jest System Center 2012 Endpoint Protection14. Jeli dana organizacja stosuje strategi defense-in-depth, zaleca si okrelenie dodatkowych usug przeszukujcych zasoby pod katem zagroe. Usugi te mog by pobrane ze stron firmy Microsoft jako skadnik systemu Windows 7 SP1 lub dodatkowa funkcjonalno w formie programu lub usugi. Naley podkreli, i nawet zastosowanie wszystkich moliwych technologii zabezpiecze nie uchroni uytkownikw komputerw przed ryzykiem niebezpieczestwa, jeli w odpowiedni sposb nie zabezpieczymy i nie bdziemy kontrolowali dostpu do kont, ktre posiadaj uprawnienia na poziomie administracyjnym, do zabezpieczanych komputerw.
3.2.
Konsola Centrum akcji
Centrum akcji to centralne miejsce, w ktrym uytkownik moe wywietla alerty i podejmowa dziaania majce na celu zapewnienie sprawnego funkcjonowania systemu Windows. W Centrum akcji wywietlana jest lista wanych komunikatw dotyczcych ustawie zabezpiecze oraz konserwacji, ktre wymagaj uwagi uytkownika. Zakres wywietlanych komunikatw, ktre mog by wyczane lub wczane, zosta przedstawiony na rysunku 3.2.1 (ustawienia konsoli Zmie ustawienia Centrum akcji).
Rys. 3.2.1. Widok okna Zmie ustawienia Centrum akcji

14
http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx
Konsola Centrum akcji poza raportowaniem i powiadamianiem uytkownikw systemu Windows 7 SP1 o wystpujcych problemach, pozwala na kontrolowanie zakresu informacji wysyanych do firmy Microsoft w celu wykrycia i rozwizania problemw. Ustawienia raportowania problemw zostay przedstawione na rysunku 3.2.2.
Rys. 3.2.2. Widok okna Ustawienia raportowania problemw Kady uytkownik moe przejrze informacje dotyczce raportowania problemw, ktre wysyane s do firmy Microsoft, stosujc si do poniszej instrukcji: 1. Otwrz gwne okno Centrum akcji. 2. Wybierz opcj Konserwacja. 3. Kliknij na hipercze Wywietl histori niezawodnoci, znajdujce si poniej opcji Wyszukaj rozwizania dotyczce raportw o problemach. 4. Na licie historii niezawodnoci kliknij dwukrotnie na dowolnym zdarzeniu, aby wywietli jego szczegy techniczne. 5. Zdarzenia wywietlone w sekcji Informacje zwykle zawieraj szczegy zmian dokonanych w konfiguracji sprztu lub oprogramowania. Aby dowiedzie si wicej na temat raportowania problemw i zasad zachowania poufnoci informacji, odwied witryn Microsoft: Usuga raportowania bdw firmy Microsoft zasady zachowania poufnoci informacji15.
15
http://oca.microsoft.com/pl/dcp20.asp
Zastosowanie ustawie zasad grup w celu minimalizacji ryzyka dla Centrum akcji Konfiguracja tych ustawie dostpna jest w dwch lokalizacjach, w gaziach: Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Raportowanie bdw systemu Windows (Computer Configuration\Windows Components\Windows Error Reporting) Ponisza tabela przedstawia szczegowe ustawienia zabezpiecze dla omawianej funkcji, dostpne w systemie Windows 7 SP1. Ustawienie zasad Wycz funkcj Raportowanie bdw systemu Windows Opis Jeeli to ustawienie zostanie wczone, funkcja Raportowanie bdw systemu Windows nie bdzie wysya do firmy Microsoft adnych informacji o problemach. Ponadto w aplecie Centrum akcji w Panelu sterowania nie bd dostpne informacje dotyczce rozwizania. Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano
Tabela 3.2.1. Ustawienia Centrum akcji w systemie Windows Konfiguracja uytkownika\Szablony administracyjne\Menu Start i pasek zada (User Configuration\Start Menu and Taskbar\) Ponisza tabela przedstawia szczegowe ustawienia zabezpiecze dostpne w systemie Windows 7 SP1 dla omawianej funkcji. Ustawienie zasad Usu ikon Centrum akcji Opis Zapobiega wywietlaniu ikony Centrum akcji w obszarze kontroli systemu. Jeeli to ustawienie zostanie wczone, ikona Centrum akcji nie bdzie wywietlana w obszarze powiadomie systemu. Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano
Jeeli to ustawienie zostanie wyczone lub nie zostanie skonfigurowane, ikona Centrum akcji bdzie wywietlana w obszarze powiadomie systemu. Tabela 3.2.2. Ustawienia Centrum akcji w systemie Windows
3.3.
Mechanizm Kontrola konta uytkownika (User Account Control UAC)
System Windows Vista wprowadzi mechanizm kontroli konta uytkownika (ang. User Account Control UAC), aby uatwi korzystanie z oprogramowania uytkownikowi, ktry nie posiada uprawnie administracyjnych. Funkcja ta powiadomi uytkownika w sytuacji, gdy na komputerze bd miay zosta dokonane zmiany wymagajce uprawnie na poziomie administratora. Na mechanizm UAC skada si kilka rozwiza: Konto Protected Administrator (PA) Podnoszenie uprawnie (ang. UAC elevation prompts) Wirtualizacja rejestru (ang. registry virtualization) Wirtualizacja systemu plikw (ang. file system virtualization) Poziomy integralnoci Windows (ang. Windows Integrity levels) Mimo e korzystanie z konta skonfigurowanego w trybie Protected Administrator (PA) wie si z nieco wyszym poziomem bezpieczestwa ni ten, ktry zapewnia konto administratora niechronionego tym mechanizmem, to w zwykej, codziennej pracy zaleca si wci jako rozwizanie najbardziej bezpieczne korzystanie z konta standardowego uytkownika. Zminimalizuje to ryzyko zwizane z oprogramowaniem zoliwym, ktre wykorzystujc wysokie uprawnienia uytkownika, potrafi zainstalowa niechciane aplikacje lub dokona nieautoryzowanych zmian w systemie Windows. W systemie Windows 7 SP1 mona ustawi tryb i czstotliwo powiadamiania uytkownika o prbie wprowadzenia zmian na komputerze. Poniej przedstawiono cztery podstawowe poziomy powiadomie, ktre mona odpowiednio skonfigurowa w ustawieniach UAC w Centrum akcji. Ustawienie Powiadamiaj zawsze Opis Uytkownik bdzie powiadamiany zanim programy wprowadz na komputerze lub w systemie Windows zmiany wymagajce uprawnie administratora. Wpyw na bezpieczestwo Jest to najbezpieczniejsze ustawienie.
Gdy zostanie wywietlone powiadomienie, pulpit zostanie przyciemniony, a uytkownik zanim wykona jakkolwiek inn czynno na komputerze bdzie musia zaakceptowa lub odrzuci prob w oknie dialogowym funkcji Kontrola konta uytkownika. Przyciemnienie pulpitu jest nazywane bezpiecznym pulpitem; inne programy nie mog dziaa w czasie, gdy pulpit jest przyciemniony. Powiadamiaj mnie tylko Uytkownik bdzie powiadamiany zanim programy wprowadz na komputerze lub w
Po wywietleniu powiadomienia uytkownik powinien uwanie przeczyta tre kadego z okien dialogowych nim zezwoli na wprowadzenie zmian na komputerze.
Uytkownik bdzie powiadamiany zanim programy wprowadz na
wtedy, gdy programy prbuj wprowadza zmiany na komputerze
systemie Windows zmiany wymagajce uprawnie administratora.
komputerze lub w systemie Windows zmiany wymagajce uprawnie administratora.
Uytkownik nie bdzie powiadamiany, gdy w ustawieniach systemu Windows samodzielnie wprowadzi zmiany wymagajce uprawnie administratora.
Uytkownik bdzie powiadamiany, gdy program zewntrzny spoza systemu Windows bdzie prbowa wprowadzi zmiany w ustawieniach systemu Windows.
Uytkownik bdzie powiadamiany, gdy program zewntrzny spoza systemu Windows bdzie prbowa wprowadzi zmiany w ustawieniach systemu Windows. Ustawienie domylne w systemie Windows 7 SP1
Powiadamiaj mnie tylko wtedy, gdy programy prbuj wprowadza zmiany na komputerze (nie przyciemniaj pulpitu)
Uytkownik bdzie powiadamiany zanim programy wprowadz na komputerze lub w systemie Windows zmiany wymagajce uprawnie administratora.
To ustawienie jest identyczne jak Powiadamiaj mnie tylko wtedy, gdy programy prbuj wprowadza zmiany na komputerze, ale powiadomienia nie s wywietlane na bezpiecznym pulpicie.
Uytkownik bdzie powiadamiany, gdy program zewntrzny spoza systemu Windows bdzie prbowa wprowadzi zmiany w ustawieniach systemu Windows.
Poniewa przy tym ustawieniu okno dialogowe funkcji Kontrola konta uytkownika nie znajduje si na bezpiecznym pulpicie, inne programy mog wpywa na wygld tego okna. Stanowi to mae zagroenie dla bezpieczestwa, jeli zoliwy program ju dziaa na komputerze.
Nie powiadamiaj nigdy
Uytkownik nie bdzie powiadamiany przed wprowadzeniem jakichkolwiek zmian na komputerze. Jeli uytkownik jest zalogowany jako administrator, programy mog bez jego
Uytkownik nie bdzie powiadamiany przed wprowadzeniem jakichkolwiek zmian na komputerze. Jeli uytkownik jest
wiedzy wprowadza zmiany na komputerze.
zalogowany jako administrator, programy mog bez jego wiedzy wprowadza zmiany na komputerze.
Jeli uytkownik jest zalogowany jako uytkownik standardowy, wszelkie zmiany wymagajce uprawnie administratora zostan automatycznie odrzucone.
Po wybraniu tego ustawienia konieczne bdzie ponowne uruchomienie komputera w celu ukoczenia procesu wyczania funkcji Kontrola konta uytkownika. Po wyczeniu funkcji Kontrola konta uytkownika uytkownicy logujcy si jako administrator bd mie zawsze uprawnienia administratora.
Jeli uytkownik jest zalogowany jako uytkownik standardowy, wszelkie zmiany wymagajce uprawnie administratora zostan automatycznie odrzucone.
Po wybraniu tego ustawienia konieczne bdzie ponowne uruchomienie komputera w celu ukoczenia procesu wyczania funkcji Kontrola konta uytkownika. Po wyczeniu funkcji Kontrola konta uytkownika uytkownicy logujcy si jako administrator bd mie zawsze uprawnienia administratora. Ustawienie niezalecane.
Tabela. 3.3.1. Opis ustawie funkcji Kontrola konta uytkownika Gdy technologia UAC zostaa wprowadzona po raz pierwszy, powiadomienia byy wysyane do uytkownika systemu zbyt czsto. Sprawio to, e wikszo uytkownikw wyczyo to ustawienie, zmniejszajc w ten sposb poziom bezpieczestwa komputera. W systemie Windows 7 SP1 proby o podniesienie powiadcze wywietlane s rzadziej tak, aby umoliwi standardowemu uytkownikowi wykonanie wikszej liczby zada. Dodatkowo podczas wykorzystania konta PA niektre programy zawarte w systemie Windows 7 SP1 mog automatycznie podnosi poziom uprawnie bez wywietlenia powiadomienia. Rekomendowanym minimalnym ustawieniem UAC jest domylny poziom Powiadamiaj mnie tylko wtedy, gdy programy prbuj wprowadza zmiany na komputerze, ale w sytuacjach, gdy uytkownicy komputerw klienckich czsto podczaj si i korzystaj z sieci publicznych lub kiedy wymagany jest wysoki poziom bezpieczestwa, naley rozway ustawienie poziomu Powiadamiaj zawsze. Zastosowanie pozostaych, mniej bezpiecznych poziomw zwiksza prawdopodobiestwo dokonania przez oprogramowanie zoliwe nieautoryzowanych zmian na komputerze. Funkcja zatwierdzania przez administratora (ang. Administrator Approval Mode) w technologii AC zapewnia komputerom z systemami: Windows 7 SP1 oraz Windows Vista Service Pack 1 (SP1) ograniczon ochron przed niektrymi typami oprogramowania zoliwego. Wikszo programw i funkcjonalnoci w systemie Windows 7 SP1 bdzie poprawnie dziaao na koncie uytkownika standardowego; kiedy zajdzie potrzeba wykonania czynnoci administracyjnych (np. instalacji
oprogramowania lub modyfikacji ustawie systemu), system powiadomi o tym uytkownika i poprosi go o udzielenie zgody na wykonanie wymaganych zada. Tryb ten nie zapewnia jednak tego samego poziomu zabezpiecze, co konto standardowego uytkownika, i nie gwarantuje, i oprogramowanie zoliwe, ktre ju znajduje si na komputerze, nie bdzie mogo skorzysta z moliwoci podniesienia uprawnie dla wasnej aplikacji, aby wykona czynnoci szkodliwych dla komputera, na ktrym si znajduje. Ocena ryzyka Uytkownicy, ktrzy posiadaj uprawnienia administracyjne podczas normalnej pracy w systemie, naraeni s na to, e czynnoci administracyjne zostan wykonane bez ich wiedzy w sposb przypadkowy lub szkodliwy. Poniej przedstawiono kilka przykadw takich sytuacji: Uytkownik pobra i zainstalowa oprogramowanie szkodliwe ze strony internetowej, ktra zostaa spreparowana, celowo zaraona wirusem lub zaatakowana przez malware. Uytkownik zosta podstpnie zwabiony do otworzenia zacznika z poczty elektronicznej zawierajcego oprogramowanie zoliwe, ktre zainstalowao si w sposb automatyczny i niezauwaalny na komputerze uytkownika. Nonik pamici przenonej zosta podczony do komputera i funkcja autoodtwarzania samoczynnie uruchomia i zainstalowaa oprogramowanie zoliwe. Uytkownik zainstalowa niewspieran lub niesprawdzon aplikacj, ktra wpywa na wydajno komputera i jego awaryjno. Minimalizacja ryzyka W codziennych czynnociach wykonywanych na komputerach pod kontrol systemu Windows rekomendowane jest stosowanie kont uytkownika standardowego bez uprawnie administracyjnych. Podczas wykorzystywania mechanizmu UAC w celu podniesienia uprawnie i wprowadzenia powiadcze dla konta administratora zaleca si otwarcie innej sesji dla administratora, stosujc rozwizanie umoliwiajce szybkie przeczanie uytkownikw. Zagadnienia minimalizacji ryzyka wymagajce rozwaenia Mechanizm UAC pomaga zminimalizowa zagroenie zdefiniowane w poprzedniej sekcji (Ocena ryzyka), jednak wane jest, aby przed zastosowaniem technologii UAC rozway podjcie poniszych krokw: Jeli wewntrzny dzia programistw dostarcza aplikacje we wasnym zakresie, rekomendowane jest zapoznanie si z artykuem "Windows Vista Application Development Requirements for User Account Control Compatibility"16. Dokument ten opisuje, w jaki sposb naley projektowa i dostarcza aplikacje zgodne z mechanizmem UAC. Aplikacje niekompatybilne z technologi UAC mog spowodowa problemy w dziaaniu domylnie wczonego trybu UAC. Wane jest wic, aby przeprowadzi testy aplikacji na zgodno z technologi UAC zanim nowe oprogramowanie zostanie wdroone w rodowisku produkcyjnym. Wicej informacji na temat testw kompatybilnoci aplikacji znajduje si w rozdziale 6.
16
http://go.microsoft.com/fwlink/?linkid=104243
Wczenie UAC znacznie zwiksza liczb da, ktre dotycz podniesienia uprawnie lub stosowania kont administracyjnych, podczas normalnych czynnoci wykonywanych przez uytkownikw systemu. Gdy takie dziaanie wyranie wpywa na wydajno pracy administratorw, mona rozway skonfigurowanie ustawienia zasady grup Kontrola konta uytkownika: zachowanie monitu o podniesienie uprawnie dla administratorw w trybie zatwierdzania przez administratora, korzystajc z opcji Podnie uprawnienia bez monitowania. Jednake zmiana ta obnia poziom bezpieczestwa konfiguracji komputerw i zwiksza ryzyko ataku przez oprogramowanie zoliwe. Uytkownik, ktry posiada uprawnienia administracyjne i posuguje si kontem Protected Administrator (PA), moe wyczy funkcj zatwierdzania przez administratora (ang. Administrator Approval Mode). Ponadto moe on wyczy UAC tak, aby system nie powiadamia o koniecznoci podnoszenia uprawnie w celu instalacji aplikacji lub dokonania zmian w systemie. Jeli uytkownicy posiadaj uprawnienia administracyjne na komputerach w organizacji, nie mona zagwarantowa, i stosowane zasady grup dotyczce mechanizmu UAC bd skuteczne. Rekomendowane jest stosowanie dwch kont dla administratorw systemw. Pierwsze powinno suy do wykonywania na komputerze wszystkich normalnych czynnoci i zada jako standardowy uytkownik, nieposiadajcy uprawnie administracyjnych. Gdy wymagane jest zastosowanie uprawnie administracyjnych, administratorzy systemu powinni zalogowa si, korzystajc z drugiego konta, i wykona na nim okrelone czynnoci administracyjne. Po zakoczeniu dziaa naley si wylogowa i powrci do normalnej pracy z wykorzystaniem konta standardowego uytkownika. Wskazane w tym przewodniku ustawienia zasad grup nie pozwalaj standardowemu uytkownikowi na podnoszenie uprawnie. Rozwizanie takie jest stosowane na komputerach, ktre korzystaj z domeny Active Directory. Jest to rekomendowane ustawienie, ktre wymusza, by czynnoci administracyjne wykonywane byy tylko przez uytkownikw posiadajcych konta z przypisanymi uprawnieniami administracyjnymi. Jeli aplikacja zostanie niepoprawnie zidentyfikowana jako aplikacja wymagajca uprawnie administracyjnych lub aplikacja uytkownika, system Windows moe uruchomi takie oprogramowanie w zym kontekcie zabezpiecze. Proces minimalizacji ryzyka Proces minimalizacji ryzyka naley rozpocz od zbadania i przetestowania penych moliwoci mechanizmu UAC. Dodatkowe informacje w tym zakresie mona uzyska na stronach Microsoft: Understanding and Configuring User Account Control in Windows Vista17 oraz Getting Started with User Account Control on Windows Vista18. W celu minimalizacji ryzyka zaleca si wykonanie poniszych dziaa: 1. Ustalenie liczby uytkownikw, ktrzy wykonuj zadania administracyjne.
17 18
http://go.microsoft.com/fwlink/?linkid=148165 http://go.microsoft.com/fwlink/?linkid=84129
2. Okrelenie, jak czsto wykonywane s zadania administracyjne. 3. Okrelenie, w jaki sposb czynnoci administracyjne s wykonywane przez administratorw: prostszy, realizowany poprzez powiadomienie UAC i wyraanie zgody na wykonanie danej czynnoci, czy wymagajcy wprowadzenia okrelonych powiadcze w celu wykonania zada administracyjnych. 4. Okrelenie, czy standardowi uytkownicy powinni mie moliwo podniesienia uprawnie w celu wykonania zada administracyjnych. Zastosowane ustawienia zasad grupowych wskazane w tym przewodniku wyranie blokuj moliwo podnoszenia uprawnie standardowym uytkownikom. 5. Zidentyfikowanie sposobu obsugi procesu instalacji aplikacji na komputerach. 6. Konfiguracja ustawie zasad grupowych dla UAC dopasowanych do indywidualnych potrzeb i wymaga. Zastosowanie ustawie zasad grupowych w celu minimalizacji ryzyka dla UAC Konfiguracja tych ustawie dostpna jest w gazi: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpiecze\Zasady lokalne\Opcje zabezpiecze\ (Computer Configuration\Windows Settings\Security Settings\Local Policy\Security Options\) Ponisza tabela przedstawia szczegowe ustawienia zabezpiecze dostpne w systemie Windows 7 SP1 dla omawianego zagadnienia: Ustawienie zasad Kontrola konta uytkownika: tryb zatwierdzania przez administratora dla wbudowanego konta administratora Kontrola konta uytkownika: zezwalaj aplikacjom z poziomem UIAccess na monitowanie o podniesienie uprawnie bez uywania bezpiecznego pulpitu Opis To ustawienie zasad decyduje o funkjjonalnoci trybu zatwierdzania przez administratora dla wbudowanego konta administratora. To ustawienie zabezpiecze kontroluje, czy programy z funkcj dostpnoci interfejsu uytkownika (UIAccess lub UIA, User Interface Accessibility) mog automatycznie wycza bezpieczny pulpit na potrzeby monitowania o podniesienie uprawnie przez uytkownika standardowego. To ustawienie zabezpiecze okrela zachowanie monitu o podniesienie uprawnie dla administratorw. Domylne ustawienie w systemie Windows 7 SP1 Wyczone
Wyczone
Kontrola konta uytkownika: zachowanie monitu o podniesienie uprawnie dla administratorw w trybie zatwierdzania przez administratora
Monituj o zgod na pliki binarne niepochodzce z systemu Windows
Kontrola konta uytkownika: zachowanie monitu o podniesienie uprawnie dla uytkownikw standardowych
To ustawienie zabezpiecze okrela zachowanie monitu o podniesienie uprawnie dla uytkownikw standardowych.
Kontrola konta uytkownika: To ustawienie zabezpiecze steruje wykrywanie instalacji aplikacji i procesem wykrywania instalacji monitowanie o podniesienie aplikacji dla komputera. uprawnie Kontrola konta uytkownika: podnoszenie uprawnie tylko tych plikw wykonywalnych, ktre s podpisane i maj sprawdzon poprawno To ustawienie zabezpiecze wymusza sprawdzanie podpisw infrastruktury kluczy publicznych (PKI) dla kadej aplikacji interakcyjnej, ktra da podniesienia uprawnie. Administratorzy przedsibiorstwa mog kontrolowa list dozwolonych aplikacji administratora poprzez dodanie certyfikatw znajdujcych si w magazynie zaufanych wydawcw na komputerach lokalnych. To ustawienie zabezpiecze kontroluje, czy aplikacje dajce wykonywania dziaa z poziomem integralnoci UIAccess musz znajdowa si w bezpiecznej lokalizacji systemu plikw. Bezpieczne lokalizacje ograniczaj si do nastpujcych katalogw:
Wczone
Wyczone
Kontrola konta uytkownika: Podnie uprawnienia tylko tych aplikacji z poziomem UIAccess, ktre s zainstalowane w bezpiecznych lokalizacjach
Wczone
- \Program Files\ wraz z podkatalogami - \Windows\system32 - \Program Files (x86)\ wraz z podkatalogami dla 64-bitowych wersji systemu Windows
Uwaga: system Windows wymusza sprawdzanie podpisu infrastruktury kluczy publicznych (PKI) w kadej aplikacji interaktywnej, ktra da wykonywania dziaa z poziomem
integralnoci UIAccess, niezalenie od stanu tego ustawienia zabezpiecze. Kontrola konta uytkownika: uruchamianie wszystkich administratorw w trybie zatwierdzania przez administratora Kontrola konta uytkownika: przecz na bezpieczny pulpit przy monitowaniu o podniesienie uprawnie Kontrola konta uytkownika: wirtualizuj bdy zapisu plikw i rejestru w lokalizacjach poszczeglnych uytkownikw To ustawienie zabezpiecze kontroluje zachowanie wszystkich zasad funkcji Kontrola konta uytkownika dla komputera. Wczone
To ustawienie zabezpiecze kontroluje zachowanie wszystkich zasad funkcji Kontrola konta uytkownika dla komputera. To ustawienie zabezpiecze kontroluje przekierowywanie bdw zapisu starszych aplikacji do zdefiniowanych lokalizacji zarwno w rejestrze, jak i w systemie plikw. Funkcja ta ogranicza aplikacje, ktre wczeniej byy uruchamiane z uprawnieniami administratora i w czasie dziaania zapisyway dane aplikacji, do katalogw %ProgramFiles%, %Windir%, %Windir%\system32 lub HKLM\Software\.
Wczone
Wczone
Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego ustawienia mona znale w zakadce POMOC w ustawieniach Edytora obiektw zasad grupy.
3.4.
Zabezpieczenia biometryczne
Windows 7 SP1 zawiera struktur biometryczn systemu Windows (ang. Windows Biometric Framework), obsugujc czytniki linii papilarnych oraz inne urzdzenia biometryczne przez aplikacje wyszego poziomu. Wbudowane komponenty systemu Windows zapewniaj wsparcie tej czynnoci z poziomu systemu operacyjnego i uatwiaj obsug rozpoznawania linii papilarnych przez aplikacje korzystajce z rozwiza biometrycznych. W poprzednich wersjach systemu Windows do prawidowej obsugi i logowania do systemu z zastosowaniem linii papilarnych potrzebne byy sterowniki i aplikacje firm trzecich. System Windows 7 obsuguje natywnie rozwizania biometryczne, wymagajc jedynie instalacji sterownika do urzdzenia czytnika biometrycznego. Ocena ryzyka Standardowe metody weryfikacji uytkownika, z zastosowaniem hasa, posiadaj liczne wady, ktre mog stwarza zagroenie dla bezpieczestwa zarzdzanego rodowiska informatycznego. Gdy hasa s jedynym mechanizmem uwierzytelniajcym uytkownikw, istnieje ryzyko, e zostan one przez
uytkownikw zapomniane lub zapisane na kartkach bd stan si atwym celem ataku siowego, przeprowadzanego na systemie w celu ujawnienia i pozyskania hase. Aby zwikszy poziom ochrony kont uytkownikw, naley stosowa wieloczynnikowe metody uwierzytelniania przy uyciu takich urzdze jak karty inteligentne. Mechanizm ten wymaga od uytkownika wprowadzenia informacji, ktr zna (PIN), oraz zastosowania czego, co posiada fizycznie (karta inteligenta). Metoda ta zwiksza poziom bezpieczestwa uwierzytelnienia, ale nadal podatna jest na utrat i w niewielkim stopniu na modyfikacj. Minimalizacja ryzyka Zastosowane wsparcie dla urzdze biometrycznych w systemie Windows 7 SP1 pozwala organizacjom na wprowadzenie dodatkowego sposobu weryfikacji tosamoci, realizowanego poprzez wymaganie informacji bdcej integraln czci weryfikowanej osoby. Wbudowany mechanizm obsugi czytnikw biometrycznych w Windows 7 SP1 moe wsppracowa z wieloma rnymi typami uwierzytelnienia biometrycznego. Coraz wiksza dostpno czytnikw linii papilarnych oraz ich niska cena sprawiy, e forma uwierzytelnienia biometrycznego moe zosta skutecznie wdroona w wielu organizacjach. Identyfikacja na podstawie linii papilarnych oferuje nastpujce zalety: odcisk palca pozostaje w normalnych okolicznociach niezmienny przez cae ycie nie wystpuj dwa identyczne odciski palca (nawet w przypadku blinit) czytniki linii papilarnych stay si tasze i przez to oglnie dostpne proces skanowania linii papilarnych jest prosty i szybki
stopie niezawodnoci skanowanych prbek jest wysoki; system ten cechuje si ma liczb bdnych prbek biometrycznych (ang. false acceptance rate [FAR]) w porwnaniu z innymi formami biometrycznego skanowania, takimi jak rozpoznawanie twarzy lub analiza gosu Identyfikacja na podstawie linii papilarnych posiada rwnie wady: uytkownicy z uszkodzonymi (poprzez obraenia fizyczne naskrka) odciskami palcw nie bd mogli si uwierzytelni w sposb poprawny zostao udowodnione naukowo, i moliwe jest uzyskanie dostpu do komputerw poprzez przedstawienie systemowi spreparowanych odciskw palcw. Aby uzyska dodatkowe informacje na ten temat, naley odwiedzi witryn: Impact of Artificial "Gummy" Fingers on Fingerprint Systems19 wiek uytkownika oraz zakres wykonywanej przez niego pracy fizycznej mog wpyn na poziom niezawodnoci procesu skanowania linii papilarnych Zagadnienia minimalizacji ryzyka wymagajce rozwaenia
19
http://cryptome.org/gummy.htm
Mechanizm weryfikacji biometrycznej, takiej jak odciski linii papilarnych, jest czci procesu wdraania systemu Windows 7 SP1. Przed wdroeniem takiego rozwizania naley zastanowi si nad przedstawionymi poniej kwestiami: Systemy biometryczne zwykle wymagaj odpowiedniego przetwarzania wraliwych danych biometrycznych uytkownikw, ktre przechowywane s na komputerach, by umoliwi dokonanie uwierzytelnienia. Moe to stanowi naruszenie prywatnoci, konieczny jest wic waciwy sposb przetwarzania wraliwych danych osobowych w organizacji. Wikszo nowoczesnych komputerw przenonych posiada wbudowany czytnik linii papilarnych, co uatwia proces wdraania urzdze biometrycznych. Jednak w porwnaniu z dedykowanymi rozwizaniami biometrycznymi wbudowane czytniki mog cechowa si rn precyzj skanowania, nie zawsze najwyszej jakoci. Zaleca si oszacowanie jakoci czytnikw na podstawie przeprowadzonych testw w zakresie biometrii: false rejection rate (FRR), false acceptance rate (FAR), crossover error rate (CER), failure to enroll rate (FTE/FER) oraz wskanika wydajnoci. Jeli rodowisko pracy zawiera obszary, w ktrych z uwagi na rodzaj wykonywanej pracy nie jest moliwe utrzymanie czystych rk, czytniki linii papilarnych nie mog by stosowane. W tej sytuacji zaleca si rozway wykorzystanie w tym celu innych indywidualnych cech fizycznych (np. rozpoznanie na podstawie siatkwki oka, twarzy lub geometrii doni). Zaleca si, aby podczas uwierzytelnienia uytkownik wprowadza dodatkowy czynnik, taki jak: fraza kodujca, kod PIN lub karta inteligentna. Rozwizanie takie jest rekomendowane z uwagi na fakt, i znane s sposoby oszukania czytnikw linii papilarnych, np. poprzez podstawienie sztucznego odcisku palca, wykonanego z elu, w celu ominicia zabezpiecze. Aby uzyska dodatkowe informacje na ten temat, naley odwiedzi witryn: Impact of Artificial "Gummy" Fingers on Fingerprint Systems20. Proces minimalizacji ryzyka Kada organizacja ze wzgldu na unikalne rodowisko, w ktrym funkcjonuje, posiada wasn specyfik pracy. Przed wdroeniem rozwizania naley dokadnie przeanalizowa jego potencjalne skutki i upewni si, czy speni ono wymaganie zwikszenia poziomu bezpieczestwa procesu uwierzytelnienia. W celu efektywnego wdroenia zabezpiecze biometrycznych oraz minimalizacji ryzyka zaleca si: 1. Sprawdzenie przy pomocy szeregu testw rnorodnych rozwiza weryfikacji biometrycznych; pomoe to wybra najlepsze dostpne rozwizania, ktre speni wymagania i potrzeby organizacji. 2. Zapoznanie si z polityka prywatnoci obowizujc w danej organizacji, ze szczeglnym uwzgldnieniem zasad przetwarzania wraliwych danych osobowych.
20
http://cryptome.org/gummy.htm
3. Okrelenie wymaga technicznych stawianych urzdzeniom biometrycznym oraz zaplanowanie fazy testowej, ktra sprawdzi zgodno urzdze z wymaganiami. 4. Okrelenie dodatkowych wymaga technicznych niezbdnych do wdroenia rozwizania biometrycznego; np. infrastruktura klucza publicznego lub instalacja oprogramowania klienckiego do obsugi biometrii. 5. Oszacowanie liczby pracownikw, ktrzy mog mie trudnoci podczas korzystania z rozwizania biometrycznego z uwagi na ich cechy fizyczne, wraz z przygotowaniem alternatywnego rozwizania dla tej grupy osb. Naley rozway alternatywny sposb uwierzytelnienia, obejmujcy korzystanie z hase lub kart inteligentnych wymagajcych wprowadzenia kodu PIN. 6. Uwiadomienie pracownikw w zakresie stosowania uwierzytelnienia biometrycznego oraz poprawnego wykorzystania tego rozwizania, a w przypadku braku moliwoci uytkowania tego systemu wskazanie alternatywnego procesu uwierzytelnienia. 7. Przeprowadzenie wdroenia pilotaowego, obejmujcego du grup osb, w celu identyfikacji potencjalnych problemw, a nastpnie ich rozwizania przed waciwym wdroeniem rozwizania w rodowisku produkcyjnym. 8. Zapisanie indywidualnych cech fizycznych pracownikw w bazie rozwizania biometrycznego, stosujc si do instrukcji przekazanych przez dostawc urzdzenia. Proces obejmuje skanowanie i weryfikacj pobranych danych. 9. Przeszkolenie pracownikw w zakresie korzystania z systemu biometrycznego oraz zapewnienie wsparcia w przypadku napotkanych trudnoci. 10. Zaplanowanie wdroenia alternatywnego sposobu uwierzytelnienia dla osb, ktre odmwi korzystania z systemu biometrycznego, nie wyraajc zgody na przetwarzanie wraliwych danych osobowych lub kierujc si innymi przesankami. Zastosowanie ustawie zasad grup w celu minimalizacji ryzyka dla rozwiza biometrycznych Konfiguracja tych ustawie dostpna jest w gazi: Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Biometria (Computer Configuration\Administrative Templates\Windows Components\Biometrics) Ponisza tabela przedstawia szczegowe ustawienia zabezpiecze dostpne w systemie Windows 7 SP1 dla omawianej technologii: Ustawienie zasad Zezwalaj na uywanie biometrii Opis Jeeli to ustawienie zasad zostanie wczone (lub nie zostanie skonfigurowane), Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano
usuga biometryczna systemu Windows bdzie dostpna, a uytkownicy systemu Windows bd mogli uruchamia aplikacje uywajce biometrii. Zezwalaj uytkownikom na logowanie przy uyciu biometrii To ustawienie zasad okrela, czy uytkownicy domeny mog logowa si lub podwysza poziom uprawnie Kontroli konta uytkownika przy uyciu biometrii. Nie skonfigurowano
Domylnie uytkownicy domeny nie mog uywa biometrii w celu logowania. Jeeli to ustawienie zasad zostanie wczone, uytkownicy domeny bd mogli logowa si do komputera z systemem Windows przy uyciu biometrii. W zalenoci od rodzaju uywanej biometrii, wczenie prezentowanego ustawienia zasad moe osabi zabezpieczenia uytkownikw logujcych si przy uyciu tej technologii. Zezwalaj uytkownikom To ustawienie zasad okrela, czy Nie skonfigurowano
domeny na logowanie przy uyciu biometrii
uytkownicy domeny mog logowa si lub podwysza poziom uprawnie Kontroli konta uytkownika przy uyciu biometrii.
Domylnie uytkownicy domeny nie mog uywa biometrii w celu logowania. Jeeli to ustawienie zasad zostanie wczone, uytkownicy domeny bd mogli logowa si do komputera z systemem Windows przy uyciu biometrii. W zalenoci od rodzaju uywanej biometrii, wczenie prezentowanego ustawienia zasad moe osabi zabezpieczenia uytkownikw logujcych si przy uyciu tej technologii. Limit czasu zdarze szybkiego przeczania uytkownikw To ustawienie zasad okrela liczb sekund, przez ktr oczekujce zdarzenie szybkiego przeczania uytkownikw pozostanie aktywne przed zainicjowaniem przeczenia. Domylnie zdarzenie Nie skonfigurowano
szybkiego przeczania uytkownikw jest aktywne przez 10 sekund; potem staje si nieaktywne. Tabela 3.4.1. Ustawienia zasad grupowych dla rozwiza biometrycznych Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego ustawienia mona znale w zakadce POMOC w ustawieniach Edytora obiektw zasad grupy.
3.5.
Oprogramowanie Windows Defender
Usuga Windows Defender jest oprogramowaniem antyszpiegowskim doczonym do systemu Windows 7 SP1 i uruchamianym automatycznie po wczeniu systemu. W systemie Windows XP usuga bya opcjonalna; mona byo j pobra i zainstalowa. Uywanie oprogramowania antyszpiegowskiego moe pomc w zapewnieniu ochrony komputera przed programami szpiegujcymi i innym potencjalnie niechcianym oprogramowaniem. Program szpiegujcy moe zosta zainstalowany na komputerze bez wiedzy uytkownika podczas kadego poczenia z Internetem. Ponadto komputer moe zosta nim zainfekowany podczas instalowania niektrych programw przy uyciu nonikw wymiennych. Usuga Windows Defender oferuje dwa sposoby ochrony komputera przed zainfekowaniem programami szpiegujcymi: Ochrona w czasie rzeczywistym. Usuga Windows Defender alarmuje uytkownika w przypadku prby zainstalowania lub uruchomienia programu szpiegujcego na komputerze. Uytkownik jest powiadamiany rwnie wwczas, gdy programy prbuj zmienia wane ustawienia systemu Windows. Opcje skanowania. Przy uyciu usugi Windows Defender mona skanowa komputer w poszukiwaniu programw szpiegujcych, ktre mogy zosta zainstalowane na komputerze. Mona take ustala harmonogram regularnego skanowania oraz automatycznie usuwa dowolne elementy wykryte podczas skanowania.
Na rys. 3.5.1 przedstawiono rekomendowane ustawienia dla usugi Windows Defender dla komputerw pracujcych w systemie Windows 7 SP1.
Rys. 3.5.1. Widok okna ustawie rekomendowanych dla usugi Windows Defender Spoeczno Microsoft SpyNet Microsoft SpyNet to spoeczno online, pomagajca wybra odpowiednie reakcje na potencjalnie zagroenia programami szpiegujcymi. Spoeczno ta pomaga rwnie zatrzyma infekcje rozprzestrzeniajce si poprzez nowe programy szpiegujce. SpyNet do prawidowego dziaania wymaga dostpu do Internetu dla stacji klienckiej. Gdy Windows Defender wykryje takie oprogramowanie lub prb zmiany wanych ustawie systemu Windows dokonywan przez wykryte programy, ktre nie zostay jeszcze sklasyfikowane jako zagroenie, uytkownik moe zasign informacji, jakie rozwizania w analizowanej sytuacji wdroyli czonkowie spoecznoci SpyNet. Natomiast akcje, ktre po wykryciu zagroenia zostan podjte przez uytkownika, mog pomc innym czonkom wsplnoty w doborze czynnoci naprawczych. Informacje dodatkowe uatwiaj firmie Microsoft sprawdzenie potencjalnych zagroe oraz tworzenie nowych definicji, umoliwiajcych lepsz ochron komputera. Danymi takimi mog by na przykad informacje o lokalizacji szkodliwego oprogramowania, ktre zostao wykryte i usunite. W tych przypadkach program Windows Defender bdzie automatycznie zbiera i wysya dane do spoecznoci Microsoft SpyNet. Administratorzy poprzez konfiguracj usugi Windows Defender mog zdecydowa o przyczeniu si do spoecznoci Microsoft SpyNet lub rezygnacji z tego kroku. Dodatkowe informacje
na temat zasad zachowania poufnoci danych mona znale w dokumencie: Zasady zachowania poufnoci informacji w systemie Windows 721. Ocena ryzyka Oprogramowanie szpiegujce wie si z powanym ryzykiem dla organizacji. W celu zapewnienia jej bezpieczestwa ryzyko to musi by minimalizowane poprzez zapobieganie ujawnieniu danych przechowywanych na komputerach. Oto najwaniejsze zagroenia, ktre stwarza oprogramowanie szpiegujce: wraliwe dane organizacji mog zosta naraone na ryzyko ujawnienia przez osoby nieupowanione dane osobiste pracownikw mog zosta naraone na ryzyko ujawnienia przez osoby nieupowanione na skutek dziaa zewntrznej osoby atakujcej komputery mog zosta naraone na utrat kontroli nad systemem ryzyko przestojw z powodu oprogramowania szpiegujcego, wynikajce z obnienia wydajnoci i stabilnoci systemw komputerowych ryzyko dotyczce wzrostu kosztw utrzymania i zapewnienia ochrony z powodu oprogramowania szpiegujcego potencjalne ryzyko szantau organizacji w przypadku, kiedy zainfekowany system ujawni wraliwe dane Minimalizacja ryzyka Usuga Windows Defender zostaa zaprojektowana w celu minimalizacji ryzyka zwizanego z oprogramowaniem szpiegujcym. Naley regularne i automatycznie pobiera aktualizacje definicji, korzystajc z usug Windows Update lub Windows Server Update Services (WSUS). Oprcz ochrony antyszpiegowskiej, zapewnianej przez Windows Defender, wysoce rekomendowana jest instalacja oprogramowania antywirusowego, ktre dodatkowo rozszerzy ochron antyszpiegowsk i zapewni ochron przed wirusami, trojanami, robakami oraz innymi zagroeniami ze strony oprogramowania zoliwego. Uniwersaln ochron przed oprogramowaniem zoliwym, stosowan na komputerach przenonych, stacjonarnych oraz serwerach, zapewnia np. program Microsoft System Center 2012 Endpoint Protection. Zagadnienia minimalizacji ryzyka wymagajce rozwaenia Usuga Windows Defender domylnie jest wczona i uruchamiana automatycznie po wczeniu komputera z systemem Windows 7 SP1. Rozwizanie to zostao zaprojektowane tak, aby nie przeszkadzao zwykym uytkownikom w ich codziennej pracy. W celu efektywnego wdroenia Windows 7 SP1 w organizacji, naley rozway nastpujce rekomendowane dziaania: Przeprowadzenie testw interoperacyjnoci przed wdroeniem oprogramowania firm trzecich zapewniajcego ochron antywirusow i antyszpiegowsk w czasie rzeczywistym.
21
http://windows.microsoft.com/pl-PL/windows7/windows-7-privacy-statement
Zaprojektowanie systemu, ktry wspomaga zarzdzanie aktualizacj sygnatur i definicji, w przypadku, gdy nadzorujemy du liczb komputerw. Zapewnienie uytkownikom wiedzy w zakresie moliwych atakw dokonywanych przez oprogramowanie zoliwe oraz metod atakw socjotechnicznych. Dostosowanie zaplanowanego czasu wykonywania automatycznego skanowania do potrzeb danej organizacji. Domylny czas uruchomienia skanowania codziennego to godzina 2:00 w nocy. Jeli komputer nie bdzie mg przeprowadzi skanowania w zaplanowanym czasie, uytkownik zostanie o tym fakcie poinformowany i zapytany o zgod na uruchomienie skanowania w innym terminie. Jeli jednak skanowanie nie odbdzie si w cigu 2 nastpnych dni, przeprowadzone zostanie ono o tym czasie automatycznie po upywie 10 minut od startu komputera. W systemie Windows 7 SP1 proces skanowania uruchamiany jest z niskim priorytetem w sposb minimalizujcy obcienie pracujcego komputera. Windows Defender nie zosta zaprojektowany jako aplikacja klasy Enterpise, skierowana do duych organizacji. Rozwizanie to nie zapewnia penego centralnego raportowania, monitorowania i mechanizmw kontroli konfiguracji. W przypadku potrzeby wykorzystania dodatkowego elementu zapewniajcego te funkcje naley rozway wdroenie produktw zaawansowanych, takich jak Microsoft System Center 2012 Endpoint Protection. Okrelenie polityki poufnoci dla organizacji w zakresie wysyania i raportowania wykrytego oprogramowania spyware oraz moliwoci przyczenia si do programu spoecznoci Microsoft SpyNet. Proces minimalizacji ryzyka Windows Defender jest domylnym skadnikiem systemu Windows 7 SP1 i nie wymaga dodatkowych czynnoci aktywacyjnych. Naley jednak rozway wykonanie kilku dodatkowych rekomendowanych krokw, ktre zapewni organizacji sta ochron: 1. Przeprowadzenie testw moliwoci usugi Windows Defender dziaajcej pod kontrol systemu Windows 7 SP1. 2. Przeprowadzenie testw konfiguracji Windows Defender poprzez zastosowanie zasad grup. 3. Oszacowanie i przetestowanie dodatkowej ochrony antywirusowej, wraz z okreleniem, czy oferowana ochrona zapewnia zabezpieczenie przed oprogramowaniem szpiegujcym i ochron antywirusow. 4. Zaplanowanie optymalnych regularnych aktualizacji sygnatur i definicji dla wszystkich komputerw (naley pamita, i komputery przenone mog wymaga innej konfiguracji ni komputery stacjonarne). 5. Przeprowadzenie szkole wrd uytkownikw, ktre pozwol im uzyska wiedz w zakresie samodzielnego identyfikowania podejrzanych dziaa komputera i moliwych infekcji dokonanych przez oprogramowanie zoliwe. 6. Przeprowadzenie szkole wrd pracownikw dziau technicznego, ktre zapewni uytkownikom wsparcie z zakresu dziaania usugi Windows Defender i jej narzdzi.
Zastosowanie ustawie zasad grupowych w celu minimalizacji ryzyka dla Widnows Defender Konfiguracja tych ustawie dostpna jest w nastpujcej lokalizacji w narzdziu Edytor obiektw zasad grupowych: Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Program Windows Defender (Computer Configuration\Administrative Templates\Windows Components\Windows Defender) Ponisza tabela przedstawia szczegowe ustawienia zabezpiecze dostpne w systemie Windows 7 SP1 dla omawianego rozwizania: Ustawienie zasad Wcz aktualizowanie definicji za pomoc usug WSUS i Windows Update Opis To ustawienie zasad umoliwia skonfigurowanie Windows Defender w taki sposb, aby w przypadku niedostpnoci lokalnie zarzdzanego serwera usug WSUS (Windows Server Update Services) program sprawdza dostpno definicji wirusw i instalowa je z witryny Windows Update . To ustawienie zasad umoliwia skonfigurowanie programu Windows Defender w taki sposb, aby w przypadku niedostpnoci lokalnie zarzdzanego serwera usug WSUS (Windows Server Update Services) sprawdza dostpno definicji wirusw i instalowa je z witryny Windows Update Centrum firmy Microsoft ds. ochrony przed zoliwym oprogramowaniem. Wczenie tego ustawienia zasad spowoduje sprawdzanie dostpnoci nowych sygnatur przed rozpoczciem kadego zaplanowanego skanowania. Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano
Wcz przeprowadzanie aktualizacji definicji za porednictwem zarwno usug WSUS, jak i Centrum firmy Microsoft ds. ochrony przed zoliwym oprogramowaniem
Nie skonfigurowano
Sprawdzaj przed zaplanowanym skanowaniem, czy s nowe sygnatury
Nie skonfigurowano
Jeli to ustawienie zasad zostanie wyczone lub nie zostanie skonfigurowane, zaplanowane skanowania bd inicjowanie bez
pobierania nowych sygnatur.
Wycz program Windows Defender
Powoduje wyczenie dostpnego w ramach programu Windows Defender mechanizmu ochrony w czasie rzeczywistym i anulowanie zaplanowanych skanowa. Umoliwia wyczenie monitw ochrony w czasie rzeczywistym dotyczcych wykrywania znanego zoliwego oprogramowania. Wycza rutynowo podejmowan akcj.
Nie skonfigurowano
Wycz program Windows Defender
Nie skonfigurowano
Wycz rutynowo podejmowan akcj
Nie skonfigurowano
To ustawienie zasad umoliwia okrelenie, czy program Windows Defender ma automatycznie podejmowa dan akcj dla wszystkich wykrytych zagroe. Akcja podejmowana w przypadku okrelonego zagroenia bdzie ustalana na podstawie kombinacji: akcji zdefiniowanej przez zasady, akcji zdefiniowanej przez uytkownika i akcji zdefiniowanej przez sygnatur.
Jeli to ustawienie zasad zostanie wczone, program Windows Defender nie bdzie automatycznie podejmowa akcji dla wykrytych zagroe. Zamiast tego wywietli monit o wybranie jednej z akcji dostpnych dla danego zagroenia.
Jeli to ustawienie zasad zostanie wyczone lub pozostanie nieskonfigurowane, program Windows Defender bdzie automatycznie
podejmowa akcj dla wszystkich wykrytych zagroe po upywie okoo 10 minut (czasu tego nie mona zmieni). Konfigurowanie raportowania programu Microsoft SpyNet Okrela zasady czonkostwa we wsplnocie Microsoft SpyNet. Nie skonfigurowano
Tabela 4.5.1. Ustawienia zasad grupowych dla programu Windows Defender Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego ustawienia mona znale w zakadce POMOC w ustawieniach Edytora obiektw zasad grupy.
3.6.
Narzdzie do usuwania zoliwego oprogramowania
Narzdzie do usuwania zoliwego oprogramowania (ang. MSRT Malicious Software Removal Tool) jest programem wykonywalnym niewielkich rozmiarw, ktry uatwia usuwanie najbardziej rozpowszechnionych rodzajw zoliwego oprogramowania (w tym wirusy: Blaster, Sasser i Mydoom) z komputerw z systemami Windows. Firma Microsoft co miesic dostarcza now wersj programu MSRT poprzez usugi aktualizacji: Microsoft Update, Windows Updates, WSUS oraz Centrum pobierania Microsoft. Narzdzie do usuwania zoliwego oprogramowania jest uruchamiane w trybie cichym; po zakoczeniu pracy wywietli raport, gdy wykryte zostanie oprogramowanie zoliwe. Narzdzie to nie jest instalowane w systemie operacyjnym i nie posiada ustawie zasad grupowych. Domylnie plik z raportem z przeprowadzonego skanowania umieszczony jest w lokalizacji: %SystemRoot%\Debug\mrt.log. Program MSRT nie zosta zaprojektowany jako program antywirusowy klasy Enterprise, skierowany do duych organizacji. Rozwizanie to nie zapewnia penego centralnego raportowania, monitorowania i mechanizmw kontroli konfiguracji. W przypadku potrzeby dodatkowego elementu oferujcego te funkcje naley rozway wdroenie produktw zaawansowanych, takich jak Microsoft System Center 22 2012 Endpoint Protection . Ocena ryzyka Zaleca si, aby dostpne w systemach Windows 7 SP1 usugi zapewniajce bezpieczestwo uzupenione zostay o instalacj zewntrznego programu antywirusowego na kadym komputerze w organizacji. Naley jednak pamita, i istniej dodatkowe czynniki ryzyka, ktre mog mie wpyw na bezpieczestwo organizacji: Program antywirusowy moe nie wykry specyficznego oprogramowania zoliwego.
Oprogramowanie zoliwe wyczy lub zablokuje ochron antywirusow na atakowanym komputerze. W przedstawionej powyej sytuacji oprogramowanie MSRT dostarczy dodatkow ochron w celu wykrycia i usunicia najbardziej rozpowszechnionych rodzajw zoliwego oprogramowania. Pena lista zoliwego oprogramowania, ktre jest wykrywane i usuwane przez MSRT, podlega biecej
22
http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx
aktualizacji. Lista dostpna jest na stronie internetowej: Rodziny programw usuwane przez narzdzie do usuwania zoliwego oprogramowania23. Minimalizacja ryzyka Aby zminimalizowa ryzyko ataku, rekomenduje si wczenie na komputerach klienckich funkcji Aktualizacje automatyczne. Gwarantuje ona regularne otrzymywanie nowej wersji narzdzia MSRT (co miesic) i moliwo jego byskawicznego uycia. MSRT zosta zaprojektowany w celu minimalizacji ryzyka zwizanego z oprogramowaniem zoliwym, ktre firma Microsoft zidentyfikowaa i zakwalifikowaa jako zagroenie wysokie i rozpowszechniajce si na szerok skal, co powoduje zagroenie dla bezpieczestwa uytkownikw systemu Windows. Zagadnienia dotyczce minimalizacji ryzyka, ktre wymagaj rozwaenia Jeli rozwaamy zastosowanie omawianego narzdzia MSRT we wasnym rodowisku, warto zapozna si z list najwaniejszych czynnikw uatwiajcych jego prawidowe wdroenie: Program MSRT zajmuje okoo 9 MB; rwnoczesne pobieranie tego programu przez du liczb uytkownikw moe wpyn niekorzystnie na wydajno poczenia internetowego. Narzdzie MSRT zostao pierwotnie zaprojektowane z myl o uytkownikach niekorporacyjnych, ktrzy nie posiadaj zainstalowanych aktualnych rozwiza antywirusowych. Moe ono jednak stanowi uzupenienie uytkowanego ju rozwizania ochrony antywirusowej, stanowic dodatkowy element strategii defense-in-depth. Aby wdroy narzdzie MSRT w rodowisku organizacji, mona wykorzysta nastpujce sposoby instalacji: o Windows Server Update Services o Pakiet instalacyjny SMS / SCCM o Skrypt startowy komputera uruchamiany przez zasady grupowe o Skrypt startowy uytkownika uruchamiany przez zasady grupowe W przypadku duych rodowisk rekomendowane jest zastosowanie si do wytycznych zawartych w dokumencie: Wdraanie Narzdzia Microsoft Windows do usuwania zoliwego oprogramowania w rodowisku przedsibiorstwa 24 ; numer ID artykuu w bazy wiedzy Microsoft Knowledge Base: 891716. Program MSRT nie zapewnia ochrony w czasie rzeczywistym, dlatego wysoce rekomendowane jest zainstalowanie programu antywirusowego, ktry oferuje t funkcjonalno. Przykadem takiego rozwizania jest Microsoft System Center 2012 Endpoint Protection, zapewniajcy uniwersaln ochron przed oprogramowaniem zoliwym, stosowan na komputerach przenonych, stacjonarnych oraz serwerach. Program MSRT w trakcie uruchamiania tworzy tymczasowy katalog o losowej nazwie, ktry lokalizowany jest wewntrz dysku posiadajcego najwiksz moliw przestrze do zapisu (przewanie jest to gwny dysk z systemem operacyjnym). Katalog ten zawiera kilka
23 24
http://www.microsoft.com/pl-pl/security/pc-security/malware-families.aspx http://support.microsoft.com/Default.aspx?kbid=891716
plikw, m.in. Mrtstub.exe. W wikszoci przypadkw katalog zostaje usunity automatycznie po zakoczeniu procesu skanowania lub ponownym uruchomieniu komputera. Moe jednak zdarzy si, e proces ten nie zostanie wykonany automatycznie; w takim przypadku naley usun folder rcznie, bez obawy o szkod dla komputera. Proces minimalizacji ryzyka Aby efektywnie wykorzysta narzdzie MSRT i zminimalizowa ryzyko atakw, zaleca si zastosowa ponisze kroki: 3.7 Przeprowadzenie testw moliwoci narzdzia MSRT; w celu uzyskania dodatkowych informacji naley odwiedzi witryn: Narzdzie do usuwania zoliwego oprogramowania- Malicious Software Removal Tool25 3.7 Oszacowanie potrzeby wdroenia narzdzia MSRT we wasnym rodowisku 3.7 Okrelenie najbardziej odpowiedniego sposobu wdroenia narzdzia MSRT w organizacji. 3.7 Dokonanie identyfikacji systemw, na ktrych wdroenie narzdzia MSRT zapewni dodatkowy stopie ochrony w organizacji. 3.7 Zastosowanie waciwej metody wdroenia narzdzia
3.7
Zapora systemu Windows 7 SP1
Zapora osobista jest krytycznym komponentem systemu obrony przed wieloma rodzajami oprogramowania zoliwego. Zapora osobista jest domylnie wczona w systemach Windows od czasu wydania Windows XP SP2, a wic take w Windows 7 SP1. Jej celem jest zapewnienie komputerowi ochrony, ktra realizowana jest od momentu, gdy system operacyjny uzyskuje gotowo do pracy. Zapora osobista w systemie Windows 7 SP1 wykorzystuje ten sam mechanizm ochrony, ktry dostpny by w Windows Vista, wczajc w to filtrowanie ruchu wchodzcego i wychodzcego dla zapewnienia ochrony poprzez ograniczenie dostpu sieciowego do zasobw systemu operacyjnego. W rozwizaniu tym zostaa zastosowana ta sama konsola interfejsu uytkownika zapory systemu Windows z zabezpieczeniami zaawansowanymi, ktra jest znana z systemu Windows Vista. Konsola ta stanowi centralny punkt zarzdzania, upraszczajcy zwizane z nim procedury. Z jej poziomu moemy zarzdza filtrowaniem ruchu sieciowego przychodzcego i wychodzcego z interfejsw sieciowych oraz ustawieniami protokou Ipsec, zapewniajcymi bezpieczestwo poczenia dziki zastosowaniu: wymiany kluczy, uwierzytelniania, integralnoci danych i opcjonalnie szyfrowania danych. W systemie Windows 7 SP1 istniej trzy profile aplikacji Zapora systemu Windows z zabezpieczeniami zaawansowanymi: Profil domenowy Profil stosowany jest wtedy, gdy komputer zosta podczony do sieci oraz nastpio uwierzytelnienie do kontrolera domeny, do ktrego naley komputer. Profil publiczny Jest to domylny profil, stosowany wtedy, gdy komputer nie jest doczony do domeny. Ustawienia
25
http://www.microsoft.com/pl-pl/security/pc-security/malware-removal.aspx
profilu publicznego powinny by restrykcyjne w najwyszym stopniu, poniewa komputer jest poczony z sieci publiczn, w ktrej nie mona kontrolowa bezpieczestwa. Profil prywatny Profil stosowany jest, gdy uytkownik posiadajcy powiadczenia lokalnego administratora przypisze go w ramach biecego poczenia sieciowego do sieci zdefiniowanej wczeniej jako sie publiczna. Zaleca si, aby uywa profilu prywatnego w sieciach zaufanych. W systemie Windows Vista w danej chwili na komputerze moe by aktywny tylko jeden profil. System Windows 7 SP1 zapewnia wsparcie wielu aktywnych profili na poziomie kart sieciowych. Jeli istnieje wiele kart sieciowych poczonych z rnymi sieciami, dla wszystkich kart na komputerze stosowany jest profil o ustawieniach najlepiej dostosowanych do typu sieci, do ktrej zosta on przyczony. Jeli np. znajdujemy si w kawiarence i korzystamy z darmowego punktu dostpowego sieci bezprzewodowej, aby poczy si z sieci naszej organizacji przy wykorzystaniu VPN, to profil publiczny w dalszym cigu zapewnia nam ochron ruchu sieciowego, ktry nie jest transmitowany przez zestawiony tunel poczenia VPN. To samo odnosi si do karty sieciowej niepodczonej do sieci lub podczonej do sieci nierozpoznanej; w takim przypadku przypisany zostanie profil publiczny, a pozostae karty sieciowe bd uyway profili odpowiednich dla typu sieci, do ktrej zostay przyczone. Ocena ryzyka Poczenie sieciowe i moliwa przy jego uyciu czno z caym wiatem s obecnie niezbdne w prowadzeniu nowoczesnego biznesu. Z drugiej jednak strony, poczenie takie moe sta si gwnym celem przeprowadzenia ataku. Aby zapewni organizacji bezpieczestwo i nie dopuci do ujawnienia wanych danych oraz do infekcji komputerw, zagroenie towarzyszce nawizywanym poczeniom musi by minimalizowane. Pomc w tym moe znajomo najczciej identyfikowanych zagroe zwizanych z atakami z sieci: Zainfekowanie komputera oraz przejcie kontroli nad komputerem cznie z uzyskaniem uprawnie administracyjnych przez nieupowanion osob atakujc. Zastosowanie przez osob atakujc skanerw sieciowych w celu zdalnego ustalenia otwartych portw (niezbdnych do dziaania usug w sieci Internet), ktre mog zosta wykorzystane do przeprowadzenia ataku z zewntrz. Wraliwe dane organizacji mog zosta naraone na ryzyko ujawnienia przez osoby nieupowanione w przypadku, kiedy zoliwe oprogramowanie, takie jak ko trojaski, zainicjuje i nawie poczenie wewntrz sieci bezporednio ze stacji roboczej do komputera atakujcego. Komputery przenone mog zosta naraone na zewntrzne ataki sieciowe, pracujc z sieci niezaufanych, poza kontrol firmowej zapory sieciowej. Komputery pracujce w sieci wewntrznej mog zosta naraone na ataki sieciowej pochodzce z zainfekowanych komputerw podczonych do tej samej sieci wewntrznej.
Istnieje ryzyko szantau organizacji w przypadku, kiedy atakujcy zainfekuje komputery pracujce w sieci wewntrznej. Minimalizacja ryzyka Zapora sieciowa Windows 7 SP1 zapewnia ochron komputera i jest dostpna od razu po instalacji systemu. Blokuje ona niechciane poczenia przychodzce do czasu, kiedy stosowne zmiany zostan dokonane przez administratora lub odpowiedni zasad grupow. Zapora sieciowa zawiera rwnie funkcjonalno filtrowania ruchu wychodzcego z komputera. Regua ta domylnie zezwala na cay ruch wychodzcy; zastosowanie odpowiednich ustawie zasad grupowych pozwala na konfiguracj regu dostpnych w zaporze sieciowej tak, aby pozostawi ustawienia zabezpiecze komputera klienckiego w stanie niezmiennym. Zagadnienia dotyczce minimalizacji ryzyka, ktre wymagaj rozwaenia Poniej przedstawiono list najwaniejszych zada uatwiajcych prawidowe wykonanie procesu wdroenia zapory sieciowej: 3.8 Przeprowadzenie testw interoperacyjnoci aplikacji niezbdnych w pracy na komputerach organizacji. Dla kadej z tych aplikacji naley zanotowa porty, ktre umoliwiaj ich prawidow prac, aby zapora sieciowa umoliwia ich otwarcie. 3.8 Tak jak w przypadku Windows Vista, zapora sieciowa systemu Windows 7 SP1 obsuguje trzy profile: domenowy, publiczny i prywatny. Zapewnia to odpowiedni poziom ochrony komputerw klienckich, ktre pracuj w sieciach niezaufanych poza sieci wewntrzn organizacji. 3.8 Okrelenie odpowiedniego poziomu ochrony na podstawie monitoringu logw generowanych przez zapor sieciow. Pozwoli to na wzajemne dopasowanie istniejcych rozwiza raportowania i kontroli w organizacji. 3.8 Domylnie zapora sieciowa blokuje poczenia zdalnego sterowania oraz zdalnego zarzdzania komputerami opartymi na systemie Windows 7 SP1. Jednak dostpne w ramach zapory wbudowane, zdefiniowane reguy umoliwiaj uytkownikom wykonywanie zada zdalnych. W przypadku potrzeby takiego dziaania wystarczy te reguy wczy w odpowiednich profilach zapory. Istnieje np. moliwo wczenia reguy Pulpit zdalny dla profilu domenowego, aby zezwoli pracownikom dziau wsparcia na zdalne poczenia z komputerami w celu wiadczenia usug pomocy zdalnej. W przypadku profili publicznego i prywatnego reguy te mona pozostawi wyczone, aby zminimalizowa ryzyko ataku sieciowego na komputery znajdujce si poza sieci wewntrzn. Proces minimalizacji ryzyka System Windows 7 SP1 zawiera ustawienia zasad grupowych oraz odpowiednie narzdzia graficzne, ktre wspomagaj administratorw w przeprowadzaniu odpowiedniej konfiguracji funkcjonalnoci zapory sieciowej. Zaawansowane ustawienia zabezpiecze dostpne dla systemu Windows 7 SP1 mona zastosowa rwnie na komputerach pracujcych pod kontrol systemu Windows Vista. Nie mona jednak skorzysta z nich w przypadku komputerw klienckich lub obrazw systemw wirtualnych trybu XP Mode pracujcych pod kontrol systemu Windows XP. Jeli planujemy modyfikacj domylnej konfiguracji zapory sieciowej w celu zarzdzania komputerami pracujcymi po kontrol systemw Windows Vista oraz Windows 7 SP1, rekomendowane jest
wykorzystanie ustawie zasad grupowych dla Zapory systemu Windows z zabezpieczeniami zaawansowanymi. Zasady dotyczce Zapory systemu Windows z zabezpieczeniami zaawansowanymi dostpne s w ramach gazi: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpiecze\Zapora systemu Windows z zabezpieczeniami zaawansowanymi (Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security) Uytkownikom zaleca si wczenie Zapory systemu Windows z zabezpieczeniami zaawansowanymi dla wszystkich trzech profili. Ponadto zapora systemu Windows z zabezpieczeniami zaawansowanymi wspiera i obsuguje Reguy zabezpiecze pocze (ang. Connection security rules). Zabezpieczenia pocze obejmuj uwierzytelnianie dwch komputerw przed rozpoczciem komunikacji midzy nimi i zabezpieczanie wysyanych przez nie informacji. Aplikacja Zapora systemu Windows z zabezpieczeniami zaawansowanymi uywa zabezpiecze protokou internetowego (IPsec), aby uzyska bezpieczestwo poczenia dziki zastosowaniu: wymiany kluczy, uwierzytelniania, integralnoci danych i opcjonalnie szyfrowania danych. Wicej informacji na temat IPSec26 mona uzyska w witrynie Microsoft Technet. Zbir ustawie bazowych, opisujcy zalecane ustawienia Zapory systemu Windows z zabezpieczeniami zaawansowanymi dla systemu Windows 7 SP1, wraz ze wskazaniem zalecanych ustawie, dostpny jest w narzdziu Security Compliance Manager27 (SCM). Narzdzie SCM zostanie opisane w dodatku do niniejszego dokumentu.
3.8
Ograniczanie dostpu do aplikacji AppLocker
Windows 7 SP1 zawiera uaktualnion i ulepszon wersj zasad ogranicze oprogramowania (ang. Software Restriction Policies). Narzdzie to nosi nazw AppLocker i zastpuje funkcj Zasady ograniczania oprogramowania. Funkcja AppLocker udostpnia nowe moliwoci i rozszerzenia, ktre zmniejszaj liczb obowizkw zwizanych z administracj i uatwiaj administratorom kontrolowanie sposobu, w jaki uytkownicy uzyskuj dostp do plikw i moliwo ich uytkowania. Chodzi tu o pliki wykonywalne, skrypty, pliki Instalatora Windows i pliki DLL. Konfiguracja funkcji AppLocker moe zosta przeprowadzona z zastosowaniem zasad grupowych w obrbie domeny Active Directory lub lokalnie, na komputerze, z zastosowaniem konsoli Zasady zabezpiecze lokalnych. Ocena ryzyka Kadorazowa prba instalacji nieautoryzowanej aplikacji stwarza zagroenie dokonania nieuprawnionych zmian w systemie. Proces instalacyjny modyfikuje komponenty systemu operacyjnego komputera; w efekcie tego dziaania powstaje ryzyko uruchomienia dodatkowych usug lub otworzenia dodatkowych portw Zapory systemu Windows. Nawet jeli obawy te nie potwierdz si, to w systemie pozostanie zainstalowana aplikacja, ktra wymaga sprawdzenia pod ktem
26 27
moliwego celu ataku oraz podatnoci na atak. Nieautoryzowana aplikacja w zamierzeniu twrcw moe by szkodliwa (niebezpieczna). Jej instalacja moga zosta przeprowadzona przez uytkownika omykowo lub celowo. Stwarza ona jednak niebezpieczestwo przeprowadzenia ataku na systemy wewntrzne po podczeniu komputera do sieci organizacji. Minimalizacja ryzyka AppLocker umoliwia administratorom wprowadzenie zestawu zasad sterowania aplikacjami, ktre znacznie zmniejsz ryzyko ataku bdcego efektem instalacji nieautoryzowanego oprogramowania na komputerach organizacji. AppLocker pozwala na minimalizacj ryzyka zwizanego z instalacj oprogramowania dziki poniszym dziaaniom: 1. Definiowanie regu na podstawie atrybutw plikw uzyskanych z podpisu cyfrowego, w tym: wydawcy, nazwy produktu, nazwy pliku i wersji pliku. Reguy mona np. utworzy na podstawie atrybutu wydawcy, ktry zachowa trwao po dokonaniu aktualizacji, lub okrelonej wersji pliku. 2. Przypisywanie reguy do grupy zabezpiecze lub do uytkownika. 3. Tworzenie wyjtkw od regu. Mona np. utworzy regu zezwalajc na uruchamianie wszystkich procesw systemu Windows z wyjtkiem Edytora rejestru (Regedit.exe). 4. Uycie trybu Tylko inspekcja, aby wdroy zasady i pozna ich wpyw przed zastosowaniem. 5. Importowanie i eksportowanie regu. Dziaanie to wpywa na ca zasad; jeli np. zasada zostanie wyeksportowana, razem z ni wyeksportowane zostan wszystkie reguy, ze wszystkich kolekcji regu, w tym ustawienia wymuszania dla kolekcji regu. Zaimportowanie zasady spowoduje zastpienie istniejcej zasady. 6. Prostsze tworzenie i zarzdzanie reguami zasad ogranicze oprogramowania dziki zastosowaniu apletw polece programu PowerShell dla zasad ogranicze oprogramowania. Zagadnienia dotyczce minimalizacji ryzyka, ktre wymagaj rozwaenia Jeli rozwaamy zastosowanie funkcji AppLocker we wasnym rodowisku, warto zapozna si z zasadami umoliwiajcymi prawidowe przeprowadzenie tego procesu. Poniej zaprezentowano list dziaa, ktre uatwi wdroenie omawianego narzdzia: 3.9. Przeprowadzenie dokadnych testw zasad sterowania aplikacjami przed wdroeniem ich w rodowisku produkcyjnym. Wszelkie bdy popenione podczas procesu planowania i wprowadzania tej funkcjonalnoci mog spowodowa powane utrudnienia i wpyn znaczco na wydajno pracy uytkownika. 3.9. Zaplanowanie czasu na proces szacowania uytkowanych aplikacji w organizacji poprzez uycie trybu Tylko inspekcja funkcji AppLocker. Ma on na celu zapoznanie si przed wdroeniem ogranicze z zakresem dziaania aplikacji wykorzystywanych przez uytkownikw. 3.9. Rozwaenie stopniowego wdraania ogranicze, rozpoczynajc od zastosowania ich wrd uytkownikw. W ich przypadku instalacja oprogramowania stanowi due zagroenie dla bezpieczestwa organizacji lub komputerw zawierajcych wraliwe dane.
Proces minimalizacji ryzyka Aby wywietli interfejs konfiguracji funkcji AppLocker, naley przej do gazi Zasady sterowania aplikacjami w zasadach grupowych. System Windows 7 SP1 nadal wspiera zasady ogranicze oprogramowania (SRP).
Uwaga: Funkcja AppLocker jest dostpna w systemach Windows 7 Ultimate oraz Windows 7 Enterprise. System Windows 7 Professional umoliwia tworzenie regu funkcji AppLocker. Reguy funkcji AppLocker nie mog by jednak wymuszane na komputerach z systemem Windows 7 Professional.
Zastosowanie zasad grupowych w celu minimalizacji ryzyka stosujc funkcj AppLocker Interfejs konfiguracji funkcji AppLocker dostpny jest w gazi: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienie zabezpiecze\Zasady sterowania aplikacjami (Computer Configuration\Windows Settings\Security Settings\Application Control Policies) Z uwagi na specyficzne wymagania kadej organizacji przewodnik ten nie zawiera rekomendacji, jakie aplikacje warto zablokowa na stacjach klienckich. Aby uzyska dodatkowe informacje na temat planowania i wdraania zasad AppLocker, naley zapozna si z dokumentami: Zasady ogranicze oprogramowania Zasady ogranicze oprogramowania (ang. Software Restriction Policies (SRP)), wprowadzone w systemach Windows Vista, Windows XP, Windows Server 2003 oraz Windows Server 2008, s dostpne i wspierane take w systemie Windows 7 SP1. Dziki nim administratorzy mog okreli, jakie aplikacje pracuj na lokalnych komputerach, oraz sterowa ich dziaaniem. Firma Microsoft rekomenduje jednak zastpienie zasad ogranicze oprogramowania nowymi zasadami sterowania aplikacjami; oferuj one nowe moliwoci i rozszerzenia dziaania funkcji AppLocker dla systemu Windows 7 SP1.
3.9.
Poniej przedstawiono dodatkowe rda informacji na temat bezpieczestwa systemu Windows 7 SP1, opublikowane na stronach Microsoft.com: AppLocker Technical Documentation for Windows 7 and Windows Server 2008 R228 "Deployment of the Microsoft Windows Malicious Software Removal Tool in an enterprise environment29, artyku nr 891716 w bazy wiedzy Microsoft Knowledge Base Impact of Artificial "Gummy" Fingers on Fingerprint Systems30 Install the latest Windows Defender definition updates31 Internet Explorer 8 Security Baseline32 IPsec33
28 29
http://go.microsoft.com/fwlink/?LinkId=154902 http://support.microsoft.com/Default.aspx?kbid=891716 30 http://cryptome.org/gummy.htm 31 http://www.microsoft.com/security/portal/Definitions/HowToWD.aspx 32 http://go.microsoft.com/fwlink/?LinkId=160809 33 http://go.microsoft.com/fwlink/?LinkId=69843
34 System Center 2012 Endpoint Protection Getting Started with User Account Control on Windows Vista35 Malicious Software Removal Tool36 Malware Families Cleaned by the Malicious Software Removal Tool37 Microsoft Security Compliance Manager38 Privacy Statement for the Microsoft Error Reporting Service39 "The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows Vista, Windows Server 2003, Windows Server 2008, Windows XP, or Windows 2000"; artyku nr 890830 w bazy wiedzy Microsoft Knowledge Base Windows Defender Privacy Policy Windows Firewall Windows Server Group Policy Windows Server Update Services (WSUS) artyku "Windows Vista Application Development Requirements for User Account Control Compatibility" Understanding and Configuring User Account Control in Windows Vista User Account Control Using Software Restriction Policies to Protect Against Unauthorized Software
34 35
http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx http://go.microsoft.com/fwlink/?linkid=84129 36 http://go.microsoft.com/fwlink/?LinkId=51307 37 http://www.microsoft.com/security/malwareremove/families.aspx 38 http://go.microsoft.com/fwlink/?LinkId=113940 39 http://go.microsoft.com/fwlink/?linkid=62936
5.
Ochrona wraliwych danych
Firma Microsoft dostarczya nowe i rozszerzone funkcje oraz usugi zapewniajce organizacjom ochron danych przechowywanych na komputerach klienckich. Rozwizania te uwzgldniaj take mechanizmy zabezpieczajce przed ryzykiem kradziey oraz ujawnienia danych. W rozdziale tym zostan omwione rekomendowane ustawienia, ktrych wdroenie pozwoli podwyszy poziom ochrony danych przechowywanych na komputerach klienckich pracujcych pod kontrol systemu Windows 7 SP1. Konfiguracja, ktr wybierzemy dla poszczeglnych funkcji ochrony, zalena jest od wymaga, jakie stawiamy wasnemu rodowisku informatycznemu, i poziomu jego zabezpiecze. Informacje zawarte w tym rozdziale pomog w identyfikacji, projektowaniu oraz dostosowywaniu konfiguracji nastpujcych funkcji i usug: szyfrowanie dyskw funkcj BitLocker
o ochrona plikw przechowywanych na woluminie, na ktrym zainstalowany jest system Windows (dysk systemu operacyjnego), oraz na staych dyskach z danymi o ochrona danych znajdujcych si na dyskach wymiennych (zewntrzne dyski danych lub dyski flash USB) z zastosowaniem funkcji BitLocker To Go system szyfrowania plikw (EFS) usugi zarzdzania prawami dostpu (RMS) mechanizm instalacji i zarzdzania urzdzeniami w systemie Windows
Aby zapewni ochron wraliwych danych, moemy skorzysta z funkcji: Bitlocker, EFS, RMS oraz mechanizmu instalacji urzdze i zarzdzania nimi. Kade z tych rozwiza oferuje organizacji inny rodzaj zabezpieczenia informacji. Stosowanie dostpnych w systemie Windows 7 mechanizmw ochrony danych jest wysoce rekomendowane i powinno sta si czci realizowanej przez organizacj strategii bezpieczestwa. Przedstawione w tabeli przykady, odnoszce si do najczciej spotykanych konfiguracji, pokazuj, w jakich scenariuszach poszczeglne funkcje mog zosta wykorzystane w organizacjach. Scenariusz Ochrona danych komputerw przenonych Ochrona danych serwera biura oddziau Ochrona lokalnych plikw i folderw uytkownika Ochrona komputerw stacjonarnych BitLocker EFS RMS Zarzdzanie urzdzeniami
Ochrona danych dyskw wymiennych Ochrona plikw i folderw wspuytkowanych komputerw Ochrona plikw i folderw zdalnych Ochrona administratora pracujcego w niezaufanej sieci Egzekwowanie zasad ochrony dokumentw zdalnych Ochrona treci podczas przesyania przez sie Ochrona treci podczas wsppracy grupowej Ochrona danych przed kradzie
Tabela 4.1. Porwnanie mechanizmw ochrony danych stosowanych w systemie Windows 7 SP1 Ustawienia bazowe konfiguracji zaprezentowano w doczonych do narzdzia Security Compliance Manager (SCM) arkuszach programu Excel. Wykazano w nich sposoby ograniczania powierzchni atakw dla wybranych produktw Microsoft. Skoroszyty zawierajce ustawienia wybranych produktw dostpne bd w sekcji Attachments\Guides po wybraniu i wskazaniu waciwego produktu w narzdziu SCM. Uwaga: Podstawowe ustawienia dla kadego z obszarw wskazanych w tym rozdziale s wraz z ustawieniami dla zasad grupowych uwydatnione w domylnej konfiguracji dla nowych instalacji systemu Windows 7 SP1. Zalecane lub rekomendowane ustawienia zasad grupowych oznaczono za pomoc symbolu . Wicej informacji na temat podstawowych ustawie bazowych i ich wartoci zawarto w tabelach dokumentu Windows 7 SP1 Security Baseline settings, dostpnych w narzdziu Security Compliance Manager40 (SCM).
4.1.
Szyfrowanie i ochrona dyskw przy zastosowaniu funkcji BitLocker
Szyfrowanie dyskw funkcj BitLocker to mechanizm pozwalajcy na szyfrowanie caych woluminw, a nie tylko poszczeglnych plikw systemu. Rozwizanie to zapewnia ochron wszystkich danych przechowywanych na dyskach pracujcych pod kontrol systemu Windows 7 SP1. Mechanizm zapewnia bezpieczestwo danych rwnie w przypadku, gdy dysk zostanie wymontowany i zainstalowany na innym komputerze. Funkcja BitLocker, dostpna tylko w edycjach Enterprise i Ultimate systemw Windows 7 SP, zapewnia ochron danych znajdujcych si na dyskach twardych
40
http://go.microsoft.com/fwlink/?LinkId=156033
komputerw uytkownikw, wczajc w to ochron dyskw wymiennych, pamici przenonych USB oraz dyskw podczonych poprzez interfejs IEEE 1394. Gdy za pomoc omawianego narzdzia wczymy ochron dyskw systemu operacyjnego, BitLocker chroni bdzie sekwencj rozruchu a do momentu wprowadzenia przez uytkownika waciwych i uprawnionych danych uwierzytelniajcych. Funkcja BitLocker zezwala na zastosowanie pamici flash USB do przechowywania kluczy deszyfrujcych, ale najwyszy stopie bezpieczestwa uzyskuje si przy wykorzystaniu moduu TPM 1.2 (ang. Trusted Platform Module), ktry zapewnia sprztow ochron kluczy szyfrujcych i zapobiega atakom programowym na bezpieczestwo i integralno danych przechowywanych na dyskach. Funkcja BitLocker moe korzysta z moduu TPM do weryfikowania integralnoci skadnikw biorcych udzia we wczesnej fazie uruchamiania oraz do weryfikowania danych konfiguracji rozruchu. Umoliwia to uzyskanie dostpu do zaszyfrowanego dysku tylko wtedy, gdy skadniki te nie zostay naruszone, a zaszyfrowany dysk znajduje si w oryginalnym komputerze.
4.2.
Tryby pracy BitLocker oraz zarzdzanie ukadem TPM
Funkcja BitLocker oferuje kilka trybw pracy, ktre mona konfigurowa i dostosowywa do wasnych wymaga. Tryb pracy, ktry zostanie wybrany i zastosowany, w duej mierze zaley od dostpnoci moduu TPM na chronionych komputerach oraz stopnia ochrony, ktry ma zosta wyegzekwowany. Tryb pracy obejmuje zastosowanie moduu TPM, numeru PIN oraz klucza uruchomienia (ang. startup key). Klucz uruchomienia jest plikiem wygenerowanym w sposb kryptograficzny i umieszczonym na oddzielnym noniku pamici flash USB. Tryby pracy funkcji BitLocker: Tylko modu TPM. Uywanie weryfikacji Tylko modu TPM nie wymaga adnej interakcji z uytkownikiem w celu odszyfrowania i udostpnienia dysku. Do startu systemu nie s potrzebne haso, numer PIN ani klucz uruchomienia. Jeli weryfikacja przy uyciu moduu TPM powiedzie si, przebieg logowania jest z punktu widzenia uytkownika taki sam, jak podczas logowania standardowego. W przypadku, gdy moduu TPM brakuje, zosta on zmieniony, wykryto zmiany o znaczeniu krytycznym w plikach startowych systemu operacyjnego lub nastpi prba uruchomienia dysku na innym komputerze, funkcja BitLocker przejdzie do trybu odzyskiwania dostpu do danych. Wwczas konieczne bdzie podanie hasa odzyskiwania. Tryb ten zapewnia ochron rodowiska rozruchowego systemu Windows 7 SP1 poprzez modu TPM i z uwagi na brak dodatkowego uwierzytelnienia do uruchomienia systemu Windows oferuje najsabszy poziom zabezpieczenia dostpny w ramach funkcji BitLocker . Modu TPM z kluczem uruchomienia. Oprcz ochrony zapewnianej przez modu TPM cz klucza szyfrowania przechowywana jest na dysku flash USB. Dostpu do danych na zaszyfrowanym woluminie nie mona uzyska bez wpisania poprawnego klucza uruchomienia. Tryb ten wymaga, by urzdzenie USB zawierajce klucz uruchomienia podczone byo do komputera w czasie uruchamiania systemu Windows. Jeli system nie odczyta poprawnie klucza uruchomienia, komputer przejdzie w tryb odzyskiwania (ang.
Recovery mode). Tryb ten zapewnia ochron rodowiska rozruchowego dla systemu Windows 7 SP1 poprzez modu TPM. Modu TPM z kodem PIN. W tym trybie oprcz ochrony zapewnianej przez modu TPM funkcja BitLocker oferuje dodatkowe zabezpieczenie wymaga od uytkownika wprowadzenia osobistego numeru identyfikacyjnego (PIN). Dostpu do danych na zaszyfrowanym woluminie nie mona uzyska bez podania kodu PIN. Dodatkowo za pomoc zasad grup mona wymusi konieczno uycia hasa zoonego zamiast prostego numeru PIN. Jeli w czasie uruchamiania systemu uytkownik nie wprowadzi prawidowego kodu PIN, komputer przejdzie w tryb odzyskiwania. Tryb ten zapewnia ochron rodowiska rozruchowego dla systemu Windows 7 SP1 poprzez modu TPM. Modu TPM z kluczem uruchomienia i kodem PIN. Opcj t mona skonfigurowa wycznie przy uyciu narzdzia wiersza polecenia Manage-bde.exe oraz za pomoc zasad grupowych. Oprcz ochrony podstawowych skadnikw, ktr zapewnia sprztowy modu TPM, cz klucza szyfrowania przechowywana jest na dysku flash USB, a uwierzytelnienie uytkownika w module TPM wymaga podania kodu PIN. Uzyskane w ten sposb uwierzytelnianie wieloczynnikowe gwarantuje najwyszy poziom bezpieczestwa; nawet jeli klucz USB zostanie zgubiony lub skradziony, nie bdzie mona go uy w celu uzyskania dostpu do dysku, poniewa do tego celu konieczne jest rwnie podanie poprawnego numeru PIN. Tryb ten zapewnia ochron rodowiska rozruchowego dla systemu Windows 7 SP1 poprzez modu TPM. Ustawienie tego trybu zalecane jest w rodowiskach wymagajcych zapewnienia bardzo wysokiego poziomu bezpieczestwa. Tryb pracy funkcji BitLocker bez moduu TPM. Tryb ten zapewnia pene szyfrowanie caego dysku, ale nie oferuje ochrony rodowiska rozruchowego systemu Windows 7 SP1. To ustawienie zalecane jest dla komputerw nieposiadajcych sprztowego moduu TPM. Aby zastosowa ten tryb, niezbdna jest konfiguracja ustawie zasad grupowych: Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Szyfrowanie dyskw funkcj BitLocker\Dyski z systemem operacyjnym\Wymagaj dodatkowego uwierzytelniania przy uruchamianiu. (Computer Configuration\Administrative Templates\WindowsComponents\BitLocker Drive Encryption\Operating System Drives\Require Additional Authentication At Startup) Tryb pracy bez moduu TPM wymaga urzdzenia pamici flash USB zawierajcego klucz uruchomienia systemu Windows. Funkcja BitLocker w wikszoci przypadkw generuje klucze szyfrujce, ktre zostan zapisane w pamici (bezpieczny magazyn danych) moduu TPM. W momencie wczania i konfiguracji moduu TPM system Windows 7 SP1 bdzie korzysta z niewielkiej informacji (ziarna ang. seed) dostarczanej do generatora liczb losowych systemu Windows (RNG- ang. Random Number Generator). System RNG odpowiada za generowanie kluczy kryptograficznych dla rnych aplikacji w systemie Windows. Stopie przypadkowoci kluczy kryptograficznych bdzie znacznie wyszy, gdy zastosujemy TPM, ni przy uyciu do tego celu wycznie oprogramowania. Rekomendowane jest wic wczenie i skonfigurowanie sprztowego moduu TPM w ustawieniach BIOS komputera.
Domylnie w systemach Windows 7 SP1 generator liczb losowych (RNG) pobiera warto z moduu TPM podczas startu systemu i powtarza t czynno cyklicznie co 40 minut. W systemie dostpne s trzy konfiguracje, ktre pozwalaj kontrolowa to ustawienie. Parametry domylne s optymalne dla wikszoci zastosowa. Ustawienie TPMBOOTENTROPY mona modyfikowa poprzez mechanizm danych konfiguracji rozruchu (ang. Boot Configuration Data BCD). Jeli w konfiguracji ustawiono opcj fasz (ang. false), mechanizm wyczy pobieranie entropii z moduu TPM dla komputerw z wczonym ukadem TPM. Podczas normalnego startu systemu parametr ten ma domylnie ustawion warto: prawda (ang. true), a w trybach awaryjnym oraz awaryjnym z obsug sieci fasz. Wicej informacji na temat zarzdzania ustawieniami przechowywanymi w BCD mona znale w dokumentach: Boot Configuration Data in Windows Vista41 oraz BCDEdit Commands for Boot Environment42. Parametr dotyczcy czstotliwoci odwieania (ang. refresh interval) okrela, jak czsto (w minutach) entropia danych jest pobierana z ukadu TPM. Gdy warto tego ustawienia wynosi zero, entropia nie jest pobierana warto nie wpywa wic na ilo danych pobieranych podczas startu systemu. Podczas modyfikacji tego parametru naley zachowa szczegln uwag; nawet najmniejsza zmiana moe wpyn na ustawienie Mean Time To Failure w poszczeglnych implementacjach rnych dostawcw ukadu TPM. Warto tego parametru przechowywana jest w gazi rejestru Hkey_Local_Machine (warto DWORD o nazwie TpmRefreshEntropyIntervalInMinutes) i umieszczona w lokalizacji \Software\Policies\Microsoft\Cryptography\RNG\. Domylna warto tego ustawienia wynosi 40 i mona j konfigurowa w zakresie od 0 do 40. Dodatkowo moemy zmodyfikowa liczb milibitw (ang. millibits) danych na kady bajt wychodzcy z generatora liczb losowych ukadu TPM. Warto tego parametru przechowywana jest w gazi rejestru Hkey_Local_Machine (warto DWORD o nazwie TpmEntropyDensityInMillibitsPerByte) i zlokalizowana w \System\CurrentControlSet\Control\Cryptography\RNG\. Domylna warto tego ustawienia wynosi 8000 i mona j konfigurowa w zakresie od 1 do 8000. Wicej informacji na temat technologii TPM oraz jej specyfikacji mona znale na stronie Trusted Computing Group43. Naley podkreli, i w przypadku niedostpnoci moduu TPM funkcja BitLocker moe nadal zabezpiecza dane, ale nie oferuje wwczas ochrony integralnoci systemu oraz ochrony rodowiska rozruchowego. Uytkownik moe jednak skorzysta z takich rozwiza jak: ochrona danych znajdujcych si dyskach systemowych oraz dyskach staych ochrona danych przechowywanych na wymiennych dyskach przy zastosowaniu funkcji BitLocker To Go Szczegy wskazanych rozwiza omwione s w dalszej czci niniejszego rozdziau.
Uwaga: Funkcja BitLocker umoliwia zabezpieczenie danych w systemie Windows Server 2008, ale scenariusz ten nie zosta opisany w niniejszym przewodniku.
41 42
http://go.microsoft.com/fwlink/?LinkId=93005 http://go.microsoft.com/fwlink/?LinkId=113151 43 http://www.trustedcomputinggroup.org/
Uwaga: Mimo e dane w programie Windows Virtual PC mona zapisa w formie wirtualnych dyskw (VHD) wewntrz systemu plikw chronionego przez mechanizm BitLocker, to nie ma moliwoci wykorzystania chronionych przez funkcj BitLocker wirtualnych dyskw (VHD) do uruchomienia systemu Windows z pliku VHD (native VHD boot). Nie mona take uruchomi funkcji BitLocker na wolumenach, ktre zawarte s wewntrz plikw VHD.
4.3. Ochrona danych znajdujcych si na dyskach systemowych oraz dyskach staych

Zastosowanie funkcji BitLocker umoliwi w takim przypadku ochron wszystkich staych dyskw z danymi (wewntrzne dyski twarde), ktre zawieraj pliki systemu operacyjnego a take inne dane. Jest to zalecana konfiguracja, ktra gwarantuje, e wszystkie dane w systemie s chronione przez funkcj BitLocker. Ocena ryzyka Gwnym zagroeniem bezpieczestwa dla organizacji jest utrata danych z komputerw przenonych, ktre zostay utracone lub skradzione. Osoba nieupowaniona uzyskuje wwczas fizyczny dostp do niezabezpieczonego komputer. To za wie si z potencjalnymi niebezpieczestwami: Atakujcy moe zalogowa si do komputera z systemem Windows 7 SP1 i skopiowa dane Atakujcy moe uruchomi komputer z alternatywnego systemu operacyjnego, aby: o o przejrze list plikw skopiowa pliki
o odczyta dane z plikw hibernacji lub pliku stronicowania w celu pozyskania informacji przechowywanych jawnie lub dokumentw zwizane z uruchomionym procesem o odczyta dane z plikw hibernacji w celu ujawnienia i pozyskania kopii kluczy prywatnych przechowywanych w postaci tekstowej Nawet jeli pliki zostay zaszyfrowane przy wykorzystaniu systemu szyfrowania plikw EFS, istnieje zagroenie, i nieostrony uytkownik systemu przeniesie je lub skopiuje do katalogu, na ktrym funkcja EFS nie jest wczona (np. katalogi tymczasowe lub ukryte). To za moe skutkowa pozostawieniem kopii plikw w postaci niezaszyfrowanej i dostpnej dla atakujcego. Niewiadomi pracownicy dziaw IT mog dopuci si zaniedbania, nie szyfrujc katalogw ukrytych, w ktrych mog by przechowywane kopie plikw wykonywane przez aplikacje podczas normalnej pracy systemu i aplikacji. Istnieje rwnie ryzyko operacyjne; nieupowanione osoby mog dokona modyfikacji plikw systemowych lub rozruchowych, ktre uniemoliwi normaln prac systemu operacyjnego.
Minimalizacja ryzyka Funkcja BitLocker zostaa zaprojektowana m.in. po to, by zmniejszy ryzyko, ktre wie si z przedstawionymi sytuacjami. Przy odpowiedniej konfiguracji systemu narzdzie BitLocker wykryje
zmiany o znaczeniu krytycznym w plikach startowych systemu operacyjnego oraz zapewni ochron rodowiska rozruchowego dla systemu Windows 7 SP1 wraz z wymuszeniem dodatkowego procesu uwierzytelnienia przed uruchomieniem systemu i uzyskaniem dostpu do w peni zaszyfrowanego dysku. Pomoe to utrzyma wysoki poziom zabezpieczenia systemu operacyjnego oraz chroni dane przed nieautoryzowanym dostpem. Zagadnienia dotyczce minimalizacji ryzyka, ktre wymagaj rozwaenia Funkcja BitLocker stosowana na dyskach, na ktrych zainstalowany jest system Windows (dysk systemu operacyjnego), oraz staych dyskach z danymi (wewntrzne dyski twarde) moe zmniejszy zagroenie zdefiniowane w poprzedniej sekcji (Ocena ryzyka,). Jednak przed zastosowaniem tego narzdzia naley wzi pod uwag zwizane z nim wymagania i najlepsze praktyki: Aby zastosowa konfiguracj optymaln, pyta gwna komputera powinna posiada modu TPM 1.2 lub nowszy oraz obsugiwa system BIOS zgodny z wytycznymi Trusted Computing Group. Zaleca si take stosowanie kodu PIN, ktry zostanie nadany przez uytkownika w celu umoliwienia startu systemu operacyjnego. Opcjonalnie mona zastosowa klucz uruchomienia umieszczony na noniku pamici flash USB. Dysk twardy chronionego komputera powinien zawiera minimum 2 partycje: partycj z systemem operacyjnym i aktywn partycj systemow. Partycja systemowa to miejsce, gdzie zostan zainstalowane pliki systemu operacyjnego w postaci zaszyfrowanej, ktre pozwol na uruchomienie systemu. Aktywna partycja systemowa w postaci niezaszyfrowanej musi posiada minimaln wielko 100 MB. Domylnie podczas instalacji systemu Windows 7 SP1, instalator systemu Windows automatycznie tworzy partycj systemow, do ktrej nie jest przypisana adna litera dysku i ktra jest ukryta przed uytkownikami. Jeli system nie posiada oddzielnej aktywnej partycji systemowej, ukad partycji zostanie zmodyfikowany w sposb automatyczny podczas wczenie i zastosowanie funkcji BitLocker. Jeli konfiguracja BitLockera uwzgldni danie pamici USB lub kodu PIN, konieczne jest ustalenie i wprowadzenie procedury, ktra przewiduje sytuacje awaryjne zwizane z utrat kluczy uruchomienia lub zapomnieniem kodw PIN i jednoczenie pozwala na ich odzyskanie przez uytkownikw. Funkcja BitLocker ma niewielki wpyw na wydajno komputera. Niedogodnoci zwizane z jej stosowaniem pozostaj niezauwaalne dla wikszoci uytkownikw. Jeli jednak wydajno systemu ma bardzo due znaczenie, warto w fazie testw przedwdroeniowych sprawdzi, czy narzdzie to nie wpywa negatywnie na wydajno pracy uytkownika. W zalenoci od rozwiza zastosowanych przez producenta komputerw, narzdzia suce do zarzdzania moduem TPM mog wymaga rcznej konfiguracji komputera lub ustawie BIOS. Naley wzi to pod uwag, planujc wdroenie funkcjonalnoci BitLocker w organizacji(w sposb peni zautomatyzowany lub wykorzystujc skrypty) zarwno w przypadku nowych instalacji, jak i aktualizacji poprzednich systemw Windows.
Aby zastosowa dysk USB z kluczem uruchomienia w celu odblokowania procedury startu i rozruchu systemu, BIOS komputera musi umoliwia odczyt danych z dysku USB w rodowisku przed zainicjowaniem systemu operacyjnego. BitLocker moe mie wpyw na proces dystrybucji oprogramowania, ktry zosta zautomatyzowany i przewiduje zdalne instalacje lub aktualizacje aplikacji, zaplanowane w nocy lub poza godzinami pracy, i ktry wymaga ponownego rozruchu komputera bez obecnoci uytkownika. Opisan sytuacj ilustruj ponisze przykady: o Konfiguracja komputera przewiduje ochron wykorzystujc zastosowanie moduu TPM wraz z kodem PIN lub moduu TPM wraz z kluczem uruchomienia znajdujcym si na noniku USB, a w ustawieniach jednej z aplikacji zaplanowano czynno na godzin 2.00 w nocy. Jeli proces wdroenia aplikacji bdzie wymaga restartu komputera, komputer nie zostanie poprawnie zrestartowany z uwagi na wymaganie wprowadzenia kodu PIN lub obecnoci klucza uruchomienia na noniku pamici USB. o Jeli w organizacji wykorzystywana jest technologia Wake-on-LAN lub funkcja automatycznego uruchomienia komputera poprzez BIOS w celu wykonania czynnoci serwisowych, to takie komputery rwnie nie zostan automatycznie uruchomione z powodu zastosowania moduu TPM z dodatkowym elementem uwierzytelniajcym. Wszelkie aktualizacje oprogramowania ukadowego (ang. firmware) mog wpyn niekorzystnie na komputery z wczon funkcj BitLocker. Aktualizacja oprogramowania BIOS moe zosta rozpoznana przez BitLocker jako modyfikacja rodowiska, co spowoduje, e komputer przejdzie w tryb odzyskiwania (ang. Recovery mode). Jeli funkcja BitLocker jest ju wczona i zachodzi konieczno zaktualizowania systemu BIOS, naley wstrzyma jej dziaanie na czas przeprowadzenia aktualizacji, a nastpnie, po zakoczeniu tego procesu, wznowi funkcjonowanie narzdzia BitLocker. Cho istnieje mae prawdopodobiestwo, e aktualizacje aplikacji mog mie wpyw na dziaanie komputerw z wczon funkcj BitLocker, to naley zwrci szczeglna uwag na zmiany wprowadzane do systemu przez aktualizacje, szczeglnie za na zmiany wprowadzane do menadera rozruchu (ang. boot manager). Mog one powodowa bdy podczas rozruchu systemu i przejcie komputera w tryb odzyskiwania. Przed przystpieniem do instalacji lub aktualizacji aplikacji zaleca si przetestowanie tych czynnoci na komputerze z wczon funkcj BitLocker. Wszystkie kontrolery domenowe musz pracowa pod kontrol systemu Windows Server 2003 z dodatkiem Service Pack 2 (SP2) lub wyszym. Uwaga: Windows Server 2003 wymaga rozszerzenia schematu usugi katalogowej (Active Directory), aby umoliwi poprawn obsug i przechowywanie kopii zapasowej informacji odzyskiwania funkcji BitLocker w usugach domenowych usugi Active Directory (AD DS). Proces minimalizacji ryzyka
Poniej przedstawiono proces minimalizacji ryzyka, ktry pozwoli oszacowa i wdroy najlepsze praktyki w konfiguracji funkcji BitLocker, aby zapewni ochron wraliwych danych znajdujcych si na komputerach klienckich zarzdzanych w organizacji. W celu minimalizacji ryzyka zaleca si zastosowanie nastpujcych czynnoci: 1. Sprawdzenie i przeprowadzenie testw funkcji BitLocker.
Uwaga: Aby uzyska dodatkowe informacje na temat funkcji BitLocker, naley zapozna si z dokumentami: BitLocker Drive Encryption Deployment Guide for Windows 744 i Windows BitLocker Drive Encryption Design and Deployment Guides45, dostpnymi na stronach witryny Microsoft TechNet. 2. Oszacowanie potrzeby wdroenia funkcji BitLocker w organizacji. 3. Ustalenie wymaga dotyczcych sprztu, oprogramowania oraz oprogramowania firmware, ktre naley speni, by zastosowa ochron BitLocker. 4. Dokonanie identyfikacji komputerw, ktre wymagaj zapewnienia ochrony przez funkcj BitLocker. 5. Okrelenie podanego poziomu ochrony z uwzgldnieniem moliwoci zastosowania zabezpiecze dodatkowych (kodw PIN lub nonikw pamici USB z kluczem uruchomienia), majc na uwadze fakt, i system nie uruchomi si poprawnie bez wprowadzenia wymaganych danych. 6. Instalacja niezbdnych sterownikw w systemie testowym. 7. Wykorzystanie obiektw zasad grup (GPO) w celu skonfigurowania funkcji BitLocker w systemach testowych. 8. Wdroenie funkcji BitLocker po uprzednim przeprowadzeniu testw w rodowisku produkcyjnym. 9. Stosowanie zasad grup w celu kontrolowania opcji wczania funkcji BitLocker i prawidowego zarzdzania jej konfiguracj.
4.4. Zastosowanie ustawie zasad grup do wdroenia BitLocker w celu minimalizacji ryzyka
Poniej przedstawione zostan dwa szablony ustawie zasad grup, ktre zaleca si stosowa w zarzdzaniu konfiguracj funkcji BitLocker. Szablony te umoliwiaj zarzdzanie konfiguracj moduu TPM niezalenie od reszty funkcji BitLocker. Ponisza tabela przedstawia ustawienia zasad grup dostpne dla funkcji BitLocker w szablonie VolumeEncryption.admx. Konfiguracji tych ustawie mona dokona w narzdziu Edytor obiektw zasad grupy, w nastpujcej lokalizacji: Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Szyfrowanie dyskw funkcj BitLocker (Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption)
44 45
W systemie Windows 7 SP1 dostpne s trzy poziomy ustawie zasad grupowych, udostpnione w poniszym porzdku: Dyski z systemem operacyjnym Stae dyski danych Wymienne dyski danych
Na poziomie globalnym ustawie dostpne s nastpujce ustawienia zasad grupowych: Oznacza ustawienia zasad grupowych, ktre s nowoci w Windows 7 SP1. Domylne ustawienie w systemie Windows 7 SP1 Ustawienie zalecane przez Microsoft
Zasada Przechowuj informacje odzyskiwania funkcji BitLocker w usugach domenowych w usudze Active Directory (systemy Windows Server 2008 i Windows Vista)
Poziom wanoci
Opis
To ustawienie zasad Nie umoliwia zarzdzanie skonfigurowano kopi zapasow informacji odzyskiwania szyfrowania dyskw funkcj BitLocker w usugach domenowych w usudze Active Directory (AD DS, Active Directory Domain Services) Ta zasada dotyczy tylko komputerw z systemami Windows Server 2008 lub Windows Vista.
Wybierz folder domylny dla hasa odzyskiwania
Opcjonalny
To ustawienie zasad umoliwia okrelenie domylnej cieki wywietlanej w monicie Kreatora instalacji szyfrowania dyskw funkcj BitLocker o wprowadzenie lokalizacji folderu, w ktrym ma zosta zapisane haso
Nie skonfigurowano
Nie skonfigurowano
odzyskiwania. Okrel, jak uytkownicy mog odzyskiwa dyski chronione funkcj BitLocker (systemy Windows Server 2008 i Windows Vista) To ustawienie zasad umoliwia okrelenie, czy w Kreatorze instalacji szyfrowania dyskw funkcj BitLocker bdzie mona wywietli i okreli opcje odzyskiwania funkcji BitLocker. Istotny To ustawienie zasad umoliwia skonfigurowanie algorytmu i siy szyfrowania, uywanych przez funkcjonalno szyfrowania dyskw funkcj BitLocker. Funkcja BitLocker bdzie uywa domylnej metody szyfrowania AES 128 bitw z rozpraszaniem. To ustawienie zasad umoliwia skojarzenie unikatowych identyfikatorw organizacyjnych z nowym dyskiem, dla ktrego wczono funkcj BitLocker. To ustawienie zasad steruje wydajnoci pracy podczas ponownego uruchamiania komputera przy naraeniu na ryzyko ujawnienia tajnych Nie skonfigurowano
Wybierz metod szyfrowania dyskw i si szyfrowania
Nie skonfigurowano
Wczone AES 256 bitw z rozpraszaniem
Podaj unikatowe identyfikatory dla organizacji
Opcjonalny
Nie skonfigurowano
Nie skonfigurowano
Zapobiegaj zastpowaniu pamici podczas ponownego uruchamiania komputera
Opcjonalny
Nie skonfigurowano
Nie skonfigurowano
kluczy funkcji BitLocker. Sprawdzaj zgodno uycia certyfikatu karty inteligentnej z reguami Opcjonalny To ustawienie zasad umoliwia skojarzenie identyfikatora obiektu pochodzcego z certyfikatu karty inteligentnej z dyskiem chronionym funkcj BitLocker. Nie skonfigurowano Nie skonfigurowano
Tabela 4.4.1. Ustawienia globalne szyfrowania dyskw funkcj BitLocker Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego ustawienia mona znale w zakadce POMOC w ustawieniach Edytora obiektw zasad grupy. Tabela poniej przedstawia ustawienia zasad grupowych dostpne dla moduu TPM w szablonie TPM.admx. To ustawienie mona skonfigurowa w narzdziu Edytor obiektw zasad grupy, w nastpujcej lokalizacji: Konfiguracja komputera\Szablony administracyjne System\Usugi moduu TPM (Computer Configuration\Administrative Templates\System\Trusted Platform Module Services)
Ustawienie zasad Wcz tworzenie kopii zapasowej moduu TPM w usugach domenowych Active Directory
Opis To ustawienie zasad umoliwia zarzdzanie kopiami zapasowymi informacji o wacicielu zgodnego sprztowego moduu zabezpieczajcego TPM (Trusted Platform Module) w usugach domenowych usugi Active Directory (AD DS). To ustawienie zasad umoliwia zarzdzanie list zasad grupy polece moduu TPM (Trusted Platform Module) blokowanych w systemie Windows. To ustawienie zasad umoliwia wymuszanie lub ignorowanie domylnej listy polece moduu TPM (Trusted Platform Module) zablokowanych na komputerze. To ustawienie zasad umoliwia wymuszanie lub ignorowanie lokalnej
Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano
Konfigurowanie listy blokowanych polece moduu TPM
Nie skonfigurowano
Ignorowanie listy domylnej blokowanych polece moduu TPM
Nie skonfigurowano
Ignorowanie listy lokalnej blokowanych polece moduu
Nie skonfigurowano
TPM
listy polece moduu TPM (Trusted Platform Module) zablokowanych na komputerze. Tabela 4.4.2. Ustawienia moduu Trusted Platform Module
Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnej konfiguracji mona znale w zakadce POMOC w ustawieniach Edytora obiektw zasad grupy. Dostpne opcje dla ustawie: Stae dyski danych Ustawienia charakterystyczne dla dyskw staych (wewntrzne dyski twarde), zawierajcych dane uytkownika lub aplikacji (ale nie s to dyski, na ktrych zainstalowany jest system Windows), dostpne s w Edytorze obiektw zasad grupy, w nastpujcej lokalizacji: Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Szyfrowanie dyskw funkcj BitLocker\Stae dyski danych (Computer Configuration\Administrative Encryption\Fixed Data Drives) Templates\Windows Components\BitLocker Drive
Ponisza tabela przedstawia ustawienia zasad grupowych, ktre s dostpne dla funkcji BitLocker w szablonie VolumeEncryption.admx. Na poziomie Stae dyski danych dostpne s nastpujce ustawienia zasad grupowych: Oznacza ustawienia zasad grupowych, ktre s nowoci w Windows 7 SP1. Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano Ustawienie zalecane przez Microsoft Wczone Wymagaj uycia kart inteligentnych na staych dyskach twardych
Zasada Konfiguruj uycie kart inteligentnych na staych dyskach danych
Opis To ustawienie zasad umoliwia okrelenie, czy mona uywa kart inteligentnych do uwierzytelniania dostpu uytkownika do dyskw staych na komputerze, ktre s chronione funkcj BitLocker. To ustawienie zasad okrela, czy ochrona funkcj BitLocker jest wymagana, aby komputer umoliwia zapisywanie danych na dyskach staych. Takie
Odmawiaj dostpu do zapisu do dyskw staych niechronionych funkcj BitLocker
Opcjonalny
Nie skonfigurowano
Nie skonfigurowano
ustawienie zasad jest stosowane po wczeniu funkcji BitLocker. Zezwalaj na dostp do staych dyskw danych chronionych funkcj BitLocker ze starszych wersji systemu Windows Krytyczny To ustawienie zasad okrela, czy stae dyski sformatowane za pomoc systemu plikw FAT mona odblokowywa i przeglda na komputerach z systemami operacyjnymi: Windows Server 2008, Windows Vista, Windows XP z dodatkiem Service Pack 3 (SP3) lub Windows XP z dodatkiem Service Pack 2 (SP2). To ustawienie zasad okrela, czy do odblokowania staych dyskw chronionych funkcj BitLocker wymagane jest haso. Jeli wybrana zostanie opcja zezwalania na uywanie hasa, mona bdzie zada uycia hasa, wymusi przestrzeganie wymaga dotyczcych zoonoci hasa oraz skonfigurowa minimaln dugo hasa. To ustawienie zasad umoliwia okrelenie, w jaki sposb odzyskiwane bd Nie skonfigurowano Wyczone
Konfiguruj uywanie hase dla staych dyskw danych
Istotny
Nie skonfigurowano
Wyczone
Okrel, jak mog by odzyskiwane dyski stae chronione funkcj
Krytyczny
Nie skonfigurowano
Wczone
BitLocker
stae dyski chronione funkcj BitLocker w przypadku braku wymaganych powiadcze.
Zezwalaj na uywanie agenta odzyskiwania danych
Nie zezwalaj na uywanie 48cyfrowego hasa odzyskiwania
Nie zezwalaj na uywanie 256bitowego klucza odzyskiwania
Usu opcje odzyskiwania z Kreatora instalacji funkcji bitlocker
Wykonaj kopie zapasowe hase odzyskiwania i pakietw kluczy
Tabela 4.4.3. Ustawienia Stae dyski danych Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego ustawienia mona znale w zakadce POMOC w ustawieniach Edytora obiektw zasad grupy. Dostpne opcje dla ustawie: Dyski z systemem operacyjnym Ustawienia charakterystyczne dla woluminw, na ktrych zainstalowany jest system Windows (dysk systemu operacyjnego), dostpne s w Edytorze obiektw zasad grupy, w nastpujcej lokalizacji: Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Szyfrowanie dyskw funkcj BitLocker\Dyski z systemem operacyjnym
(Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives) Ponisza tabela przedstawia ustawienia zasad grupowych, ktre s dostpne dla funkcji BitLocker w szablonie VolumeEncryption.admx. Na poziomie Dyski z systemem operacyjnym dostpne s nastpujce ustawienia zasad grupowych: Oznacza ustawienia zasad grupowych, ktre s nowoci w Windows 7 SP1. Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano Ustawienie zalecane przez Microsoft Wczone
Zasada Wymagaj dodatkowego uwierzytelniania przy uruchamianiu
Opis To ustawienie zasad umoliwia okrelenie, czy funkcja BitLocker bdzie wymaga dodatkowego uwierzytelniania przy kadym uruchomieniu komputera i czy ma by ona uywana wraz z moduem TPM, czy bez niego.
Nie zezwalaj na uywanie funkcji BitLocker bez zgodnego moduu TPM
Konfiguruj uruchomienia moduu TPM: Nie zezwalaj na uywanie moduu TPM
Konfiguruj numer PIN uruchomienia moduu TPM: Wymagaj startowego kodu PIN z moduem TPM
Nie zezwalaj na uywanie klucza
uruchomienia z moduem TPM
Nie zezwalaj na uywanie klucza i numeru PIN uruchomienia z moduem TPM
Wymagaj dodatkowego uwierzytelniania przy uruchamianiu (systemy Windows Server 2008 i Windows Vista)
To ustawienie zasad umoliwia okrelenie, czy Kreator instalacji szyfrowania dyskw funkcj BitLocker uwzgldni opcj konfiguracji dodatkowej metody uwierzytelniania, ktrej uycie bdzie wymagane przy kadym uruchomieniu komputera. Istotny To ustawienie zasad umoliwia okrelenie, czy rozszerzone numery PIN uruchomienia bd uywane z funkcj BitLocker. To ustawienie zasad umoliwia skonfigurowanie minimalnej dugoci numeru PIN uruchomienia moduu TPM. Takie ustawienie zasad jest stosowane po wczeniu funkcji BitLocker. Minimalna dugo numeru PIN uruchomienia to 4
Nie skonfigurowano
Zezwalaj na uywanie rozszerzonych numerw PIN przy uruchamianiu
Nie skonfigurowano
Wczone
Konfiguruj minimaln dugo numeru PIN uruchomienia
Krytyczny
Nie skonfigurowano
Wczone
Minimalna liczba znakw: 7 Wczone
cyfry, a maksymalna 20 cyfr. Okrel, jak mog by odzyskiwane dyski z systemem operacyjnym chronione funkcj BitLocker Krytyczny To ustawienie zasad umoliwia okrelenie, w jaki sposb odzyskiwane bd dyski z systemem operacyjnym, ktre s chronione funkcj BitLocker, w przypadku braku wymaganych informacji o kluczu uruchomienia. Nie skonfigurowano Wczone
Wymagaj uywania 48cyfrowego hasa odzyskiwania
Usu opcje odzyskiwania z Kreatora instalacji funkcji BitLocker
Zapisz informacje odzyskiwania funkcji BitLocker w usugach AD DS dla dyskw z systemem operacyjnym
Nie wczaj funkcji BitLocker, dopki informacje odzyskowania dla dyskw z
systemem operacyjnym nie bd przechowywane w usugach AD DS.
Konfiguruj profil sprawdzania poprawnoci platformy moduu TPM
Opcjonalny
To ustawienie zasad umoliwia skonfigurowanie sposobu zabezpieczenia klucza szyfrowania funkcji BitLocker przez zabezpieczenia sprztowe moduu TPM. Takie ustawienie zasad nie jest stosowane, gdy komputer nie ma zgodnego moduu TPM oraz wtedy, gdy funkcja BitLocker zostaa ju wczona z ochron za pomoc moduu TPM.
Nie skonfigurowano
Nie skonfigurowano
Tabela 4.4.4. Ustawienia Stae dyski danych Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat danej konfiguracji mona znale w zakadce POMOC w ustawieniach Edytora obiektw zasad grupy. Polityka bezpieczestwa powinna skutecznie wspiera stosowane dla funkcji BitLocker procedury dotyczce hase i zarzdzania kluczami. Polityka ta powinna uwzgldnia wiele aspektw, aby wystarczajco zabezpieczy dane, a jednoczenie nie utrudnia normalnej pracy funkcji BitLocker. Ponisza lista zawiera przykady takich zasad: Zalecane jest wymaganie stosowania kopii zapasowej informacji odzyskiwania szyfrowania dyskw funkcj BitLocker w usugach domenowych Active Directory. Zalecane jest wymaganie stosowania kopii zapasowej informacji o wacicielu zgodnego sprztowego moduu zabezpieczajcego TPM (Trusted Platform Module) w usugach domenowych Active Directory (AD DS). Zalecane jest stosowanie kluczy odzyskiwania danych oraz hase odzyskiwania jako metody dostpu do zaszyfrowanych danych na wypadek awarii.
W przypadku korzystania z moduu TPM w poczeniu z dodatkowymi zabezpieczeniami numerem PIN lub nonikiem USB zawierajcym klucz uruchomienia uwzldnione w nich hasa dostpu naley zmienia w regularnych odstpach czasu. W przypadku komputerw z wczonym i skonfigurowanym moduem TPM zalecane si zaoenie hasa administratora dla BIOS, aby zapobiec modyfikacji ustawie BIOS przez nieupowanione osoby. Zalecane jest stosowanie procedur, ktre zabraniaj przechowywania wraz komputerem nonikw pamici USB zawierajcych klucz uruchomienia (np. jedna torba na komputer i nonik pamici czy pozostawienie klucza USB w pobliu komputera). Zalecane jest stosowanie bezpiecznej lokalizacji centralnej do przechowywania kluczy odzyskiwania funkcji BitLocker w przypadku odzyskiwania danych po awarii. Zalecane jest przechowywanie w bezpiecznym miejscu poza gwn lokalizacj organizacji kopii materiaw zawierajcych informacje niezbdne do odzyskiwania zaszyfrowanych danych. Dodatkowym narzdziem, ktre wspomaga funkcj BitLocker, jest MBAM (ang. BitLocker Administration and Monitoring). Narzdzie to pozwala na atwiejsze wdraanie i odzyskiwanie kluczy, centralizacj zapewniania dostpu, monitorowanie i raportowanie stanu szyfrowania dyskw staych i wymiennych oraz minimalizacj kosztw obsugi. MBAM jest czci pakietu Microsoft Desktop Optimization Pack dla Software Assurance46. Wicej informacji na temat MBAM mona uzyska na stronie dokumentacji produktu MBAM47.
4.5. Ochrona danych przechowywanych na wymiennych dyskach danych z zastosowaniem funkcji BitLocker To Go
Funkcja BitLocker To Go dostpna jest tylko w edycjach Enterprise i Ultimate systemu Windows 7 SP1. Na komputerach pracujcych pod kontrol systemu operacyjnego Windows 7 SP1 moliwe jest skonfigurowanie urzdze USB tak, aby wspieray funkcj BitLocker To Go. Pozostae edycje systemu Windows 7 SP1 mog odczyta dane z zaszyfrowanego dysku USB i zapisa dane w innej lokalizacji, ale nie mog skonfigurowa nowych urzdze USB do obsugi funkcji BitLocker To Go. Funkcja BitLocker To Go pozwala na szyfrowanie dyskw przenonych i umoliwia korzystanie z tych urzdze na innych komputerach pod warunkiem posiadania odpowiedniego hasa. W tym scenariuszu moliwe jest zastosowanie BitLocker To Go w celu ochrony danych na wymiennych dyskach, takich jak zewntrzne dyski IEEE 1394, karty pamici lub pamici flash USB. Funkcja BitLocker To Go pozwala organizacjom na zabezpieczenie danych przechowywanych na tych nonikach przed nieautoryzowanym dostpem; nawet gdy nonik zostanie zgubiony lub skradziony. Ocena ryzyka Przenone noniki danych stanowi istotne zagroenie dla wanych i wraliwych danych w organizacji. Urzdzenia te szybko stay si powszechne z uwagi na nisk cen, prostot stosowania oraz funkcjonalno, umoliwiajc kopiowanie i przenoszenie bardzo duych iloci danych w bardzo krtkim czasie. Jednak komputery przenone i urzdzenia pamici flash USB s czsto naraone na
46 47
http://www.microsoft.com/pl-pl/windows/enterprise/products-and-technologies/mdop/mbam.aspx http://onlinehelp.microsoft.com/en-us/mdop/gg703313.aspx
zagroenia zwizane z ich utrat lub kradzie podczas przewoenia. Stwarza to ryzyko, e dane wraliwe trafi do niepowoanych osb, co narazi organizacj na ogromne straty. Minimalizacja ryzyka Aby zmniejszy zagroenie zwizane z powyszymi kwestiami, organizacje stosuj rne ograniczenia: zakazuj stosowania urzdze, wyczaj porty i urzdzenia USB oraz IEEE 1394, a take wdraaj konfiguracje chronice sekwencj startow poprzez zezwolenie na uruchomienie systemu tylko wtedy, gdy spenione zostanie wymaganie w zakresie dodatkowego uwierzytelnienia. Ponadto czsto podejmowane s kroki w celu zapewnienia ochrony plikw systemu operacyjnego i plikw danych. BitLocker To Go zapewnia skuteczn warstw ochronn, co oznacza, e nawet jeli atakujcy uzyska fizyczny dostp do dysku, to taka sytuacja nie musi wiza si z dostpem do zapisanych na nim danych. Korzystajc z zasad grupowych, organizacje mog wymusi, aby dyski wymienne korzystay z funkcji BitLocker To Go zanim dane zostan skopiowane na urzdzenie; wszystko po to, aby chroni dysk przed nieautoryzowanym dostpem. Zagadnienia dotyczce minimalizacji ryzyka, ktre wymagaj rozwaenia BitLocker To Go moe zmniejszy zagroenie zdefiniowane w poprzedniej sekcji (Ocena ryzyka). Jednak przed zastosowaniem tego narzdzia naley wzi pod uwag zwizane z nim wymagania i najlepsze praktyki: Funkcja BitLocker To Go nie wymaga moduu TPM. Dyski wymienne zaszyfrowane przy pomocy BitLocker To Go mona skonfigurowa tak, aby wymagay podania hasa lub zastosowania karty inteligentnej z odpowiednim certyfikatem w celu umoliwienia dostpu do danych. W przypadku zastosowania kart inteligentnych naley pamita o wyposaeniu komputerw w odpowiednie czytniki, ktre umoliwi odczyt danych z nonikw wymiennych. Funkcja BitLocker ma niewielki wpyw na wydajno komputera. Niedogodno z tym zwizana jest niezauwaalna dla wikszoci uytkownikw. Jeli jednak wydajno systemu ma bardzo due znaczenie, warto w fazie testw przedwdroeniowych sprawdzi, czy narzdzie to nie wpywa negatywnie na wydajno pracy uytkownika. Naley pamita, e na komputerach z systemami Windows XP lub Windows Vista dyski mog by dostpne jako urzdzenia tylko do odczytu. Uytkownicy starszych wersji systemu Windows bd widzie drug partycj na urzdzeniu, ktra zazwyczaj jest ukryta w systemie Windows 7 SP1. Funkcjonalno ta nazywana jest dyskiem odnajdywalnym (ang. discovery drive). Dysk ten zawiera aplikacj BitLocker To Go Reader. Dziki niej uytkownicy mog odblokowa zaszyfrowany dysk, podajc prawidowe hasa lub hasa odzyskiwania. Moliwe jest rwnie skonfigurowanie zasad grupowych Zezwalaj na dostp do wymiennych dyskw danych chronionych funkcj BitLocker ze starszych wersji systemu Windows. Maj one na celu przeprowadzanie kontroli, czy utworzono dysk odnajdywalny i czy zostanie na nim umieszczona aplikacja BitLocker To Go podczas wczania obsugi ochrony BitLocker dla dysku wymiennego. Wicej informacji na ten temat mona znale w dokumencie: Best Practices for BitLocker in Windows 748.
48
http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx
Wszystkie kontrolery domenowe w domenie musz pracowa pod kontrol systemu Windows Server 2003 SP2 lub wyszego. Uwaga: Windows Server 2003 wymaga rozszerzenia schematu usugi katalogowej (Active Directory) w celu umoliwienia poprawnej obsugi i przechowywania kopii zapasowej informacji odzyskiwania funkcji BitLocker w usugach domenowych w Active Directory (AD DS). Proces minimalizacji ryzyka Poniej przedstawiono proces minimalizacji ryzyka, ktry ma pomc oszacowa i wdroy najlepsze praktyki w konfiguracji funkcji BitLocker. Zapewni to ochron wraliwych danych przechowywanych na wymiennych dyskach w komputerach klienckich zarzdzanych w organizacji. W celu minimalizacji ryzyka zaleca si wykonanie poniszych czynnoci: 1. Sprawdzenie i przeprowadzenie testw technologii BitLocker To Go.
Uwaga: Aby uzyska dodatkowe informacje na temat funkcji BitLocker, naley zapozna si z dokumentami: BitLocker Drive Encryption Deployment Guide for Windows 749 i Windows BitLocker Drive Encryption Design and Deployment Guides 50 , dostpnymi w witrynie Microsoft TechNet. 2. Oszacowanie potrzeby wdroenia funkcji BitLocker To Go na wymiennych dyskach danych w organizacji. 3. Okrelenie wymaga dotyczcych sprztu i oprogramowania, ktre naley speni, by zastosowa ochron BitLocker To Go na wymiennych dyskach danych. 4. Dokonanie identyfikacji komputerw, ktre wymagaj zapewnienia przez funkcj BitLocker To Go ochrony na wymiennych dyskach danych. 5. Przeprowadzenie niezbdnych testw urzdze z wymiennymi dyskami, wczajc w to wszelkie noniki pamici flash USB. 6. Wykorzystanie obiektw zasad grupowych (GPO) w celu skonfigurowania funkcji BitLocker na wymiennych dyskach w systemach testowych. 7. Przeszkolenie uytkownikw w zakresie prawidowego uytkowania funkcji BitLocker To Go na dyskach wymiennych w ich wasnym rodowisku. 8. Wdroenie funkcjonalnoci BitLocker po uprzednim przeprowadzeniu testw na wymiennych dyskach danych w rodowisku produkcyjnym. Aby wyczy ochron BitLocker na dyskach wymiennych, naley skorzysta z opcji Szyfrowanie dyskw funkcj BitLocker dostpnej w Panelu Sterowania.
49 50
4.6. Zastosowanie ustawie zasad grup do wdroenia BitLocker To Go w celu minimalizacji ryzyka
Ponisza tabela przedstawia ustawienia zasad grup dostpne dla funkcji BitLocker To Go w szablonie VolumeEncryption.admx. Konfiguracja tych ustawie dostpna jest w narzdziu Edytor obiektw zasad grupy, w nastpujcej lokalizacji: Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Szyfrowanie dyskw funkcj BitLocker\Wymienne dyski danych (Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives) Na poziomie globalnym ustawie dostpne s nastpujce ustawienia zasad grupowych: Oznacza ustawienia zasad grupowych, ktre s nowoci w Windows 7 SP1. Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano Ustawienie zalecane przez Microsoft Nie skonfigurowano
Zasada Kontroluj uycie funkcji BitLocker na dyskach wymiennych
Poziom wanoci Opcjonalny
Opis To ustawienie zasad kontroluje uycie funkcji BitLocker na wymiennych dyskach danych. To ustawienie zasad umoliwia okrelenie, czy mona uywa kart inteligentnych do uwierzytelniania dostpu uytkownika do wymiennych dyskw danych w komputerze, ktre s chronione funkcj BitLocker. To ustawienie zasad umoliwia okrelenie, czy mona uywa kart inteligentnych do uwierzytelniania dostpu uytkownika do wymiennych dyskw w komputerze, ktre s
Konfiguruj uycie kart inteligentnych na wymiennych dyskach danych
Krytyczny
Nie skonfigurowano
Wczone
Wymagaj uycia kart inteligentnych na wymiennych dyskach danych
Odmawiaj dostpu do zapisu do dyskw wymiennych niechronionych funkcj BitLocker
Istotny
Nie skonfigurowano
Wczone
Nie zezwalaj na dostp do zapisu do urzdze skonfigurowanych w innej
chronione funkcj BitLocker. Zezwalaj na dostp do wymiennych dyskw danych chronionych funkcj BitLocker ze starszych wersji systemu Windows Istotny To ustawienie zasad okrela, czy wymienne dyski danych sformatowane za pomoc systemu plikw FAT mona odblokowywa i przeglda na komputerach z systemami operacyjnymi: Windows Server 2008, Windows Vista, Windows XP z dodatkiem Service Pack 3 (SP3) lub Windows XP z dodatkiem Service Pack 2 (SP2). To ustawienie zasad okrela, czy do odblokowania wymiennych dyskw chronionych funkcj BitLocker wymagane jest haso. Jeli wybrana zostanie opcja zezwalania na uywanie hasa, mona bdzie zada uycia hasa, wymusi przestrzeganie wymaga dotyczcych zoonoci hasa oraz skonfigurowa jego minimaln dugo. To ustawienie zasad umoliwia okrelenie, w jaki sposb, w przypadku braku Nie skonfigurowano
organizacji
Wyczone
Konfiguruj uycie hase dla wymiennych dyskw danych
Istotny
Nie skonfigurowano
Wyczone
Okrel, jak mog by odzyskiwane dyski wymienne chronione
Krytyczny
Nie skonfigurowano
Wczone
Zezwalaj na
funkcj BitLocker
wymaganych powiadcze, bd odzyskiwane wymienne dyski danych chronione funkcj BitLocker.
uywanie agenta odzyskiwania danych
Nie zezwalaj na uywanie 48cyfrowego hasa odzyskiwania
Usu opcje odzyskiwania z Kreatora instalacji funkcji BitLocker
Wykonaj kopie zapasowe hase odzyskiwania i pakietw kluczy
Tabela 4.6.1. Ustawienia funkcji BitLocker dla wymiennych dyskw danych Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat danej konfiguracji mona znale w zakadce POMOC w ustawieniach Edytora obiektw zasad grupy.
4.7.
System szyfrowania plikw EFS
System szyfrowania plikw (EFS) pozwala na zaszyfrowanie plikw i folderw w celu zabezpieczenia ich przed nieautoryzowanym dostpem. Funkcjonalno ta, bdca jednym z komponentw systemu plikw NTFS, nie ingeruje w dziaania uytkownika i aplikacji. Podczas normalnej pracy, kiedy uytkownik lub aplikacja prbuj uzyska dostp do zaszyfrowanego pliku, system operacyjny automatycznie uzyskuje dostp do klucza deszyfrujcego zawarto pliku; operacje szyfrowania i deszyfrowania odbywaj si w tle, a system wykonuje te dziaania w imieniu uytkownika. Uytkownicy, ktrzy posiadaj dostp do waciwych kluczy szyfrujcych, pracuj z plikami zaszyfrowanymi tak samo jak z plikami zwykymi; inni uytkownicy otrzymuj odmow dostpu do zaszyfrowanych plikw.
W systemie Windows 7 SP1 wprowadzono zmiany w architekturze. Obecnie system wspiera kryptografi opart na krzywych eliptycznych (ECC ang. Eliptic Curve Cryptography). Funkcjonalno ta jest zgodna z wymaganiami Suite B zestawem algorytmw kryptograficznych zdefiniowanych przez NSA (National Security Agency) na potrzeby amerykaskich agencji rzdowych w celu zapewnienia ochrony informacji niejawnych. Zdefiniowany zestaw Suite B wymaga zastosowania kryptograficznych algorytmw AES, SHA oraz ECC, aby zapewni najwyszy stopie ochrony, i nie zezwala na stosowanie algorytmw kryptografii RSA. Jednak system szyfrowania plikw (EFS) w systemie Windows 7 SP1 wspiera i obsuguje nowy tryb mieszany, obsugujcy algorytmy ECC i RSA. Tryb ten zapewnia zgodno plikw zaszyfrowanych, ktre utworzono przy zastosowaniu algorytmw dostpnych w poprzednich wersjach systemw Windows. Funkcjonalno ta moe by bardzo uyteczna dla organizacji, ktre stosuj kryptograficzne algorytmy RSA i jednoczenie planuj wykorzystywanie algorytmw ECC, aby przygotowa wasne rodowisko do zapewnienia zgodnoci z zestawem Suite B. Uwaga: Zaleca si stosowanie rwnoczesne mechanizmw BitLocker oraz EFS w celu zapewnienia najwyszego stopnia ochrony danych. Ocena ryzyka Nieautoryzowany dostp do danych moe wpyn negatywnie na procesy w organizacji; zwaszcza tam, gdzie wielu uytkownikw ma dostp do tego samego systemu lub korzysta z przenonych systemw komputerowych, co stwarza due ryzyko ujawnienia danych. EFS zosta zaprojektowany, by zminimalizowa ryzyko kradziey danych oraz ujawnienia danych wraliwych w przypadku zgubienia lub kradziey komputerw przenonych. W szczeglnoci chodzi o ryzyko ujawnienia danych wraliwych przez pracownikw wewntrznych, ktrzy posiadaj do tych informacji dostp. Na powysze ryzyko naraone s rwnie komputery oglnodostpne i wspdzielone. Jeli atakujcy uzyska fizyczny dostp do niezabezpieczonego komputera, konsekwencje takiego czynu mog obj nastpujce dziaania: Atakujcy moe uruchomi ponownie komputer i podwyszy swoje uprawnienia do poziomu lokalnego administratora w celu uzyskania dostpu do danych uytkownika. Atakujcy moe rwnie pobra programy narzdziowe i wykona atak siowy, aby uzyska hasa uytkownika. Po dokonaniu skutecznego ataku moliwe bdzie zalogowanie si do systemu przy wykorzystaniu konta uytkownika i ujawnionego hasa, a w konsekwencji uzyskanie dostpu do danych uytkownika. Atakujcy moe zalogowa si do komputera z systemem Windows 7 SP1, aby przekopiowa dostpne dane na noniki przenone, przesa je poprzez wiadomo pocztow (e-mail) lub przekopiowa za pomoc sieci komputerowej. Moe take dokona transferu danych do zdalnego serwera z wykorzystaniem protokou FTP. Atakujcy moe ponownie uruchomi komputer z alternatywnego systemu operacyjnego i przekopiowa dane bezporednio z lokalnego dysku twardego. Atakujcy moe poczy komputer do innej sieci komputerowej, uruchomi skradziony komputer i nastpnie zalogowa si do niego zdalnie.
Jeli uytkownik buforuje swoje pliki sieciowe w trybie offline, atakujcy moe wykorzysta je do podwyszenia swoich uprawnie do poziomu administratora systemu lokalnego, a nastpnie sprawdzi zawarto plikw buforowanych w trybie offline. Atakujcy moe ponownie uruchomi komputer z alternatywnego systemu operacyjnego i dokona odczytu zawartoci pliku stronicowania. Pozwoli mu to na przechwycenie informacji przechowywanych jawnie lub kopii dokumentw w postaci otwartego tekstu, ktre zintegrowane s z uruchomionym procesem. Ciekawski wsppracownik moe zdoby wraliwe dane nalece do innych uytkownikw oglnodostpnego i wspdzielonego komputera. Minimalizacja ryzyka W celu zmniejszenia powyszego ryzyka zaleca si zaszyfrowanie danych przechowywanych na dyskach twardych. Ulepszenia w technologii EFS zastosowane w systemie Windows 7 SP1 pozwol na zmniejszenie zagroenia i podwysz poziom bezpieczestwa. By wykorzysta moliwoci oferowanych rozwiza, warto podj rekomendowane kroki: Naley stosowa szyfrowanie (EFS) plikw i folderw. Uniemoliwi to atakujcemu odczyt plikw za porednictwem innego systemu operacyjnego, jeli nie posiada on klucza deszyfrujcego do odszyfrowania zawartoci pliku. W celu zwikszenia bezpieczestwa klucz taki moe zosta umieszczony na karcie inteligentnej. Naley wymusza silne mechanizmy szyfrowania stosowane w EFS poprzez zastosowanie zasad grup. Naley udaremni dziaania atakujcej osoby, ktra przeprowadzajc atak siowy na haso uytkownika, prbuje uzyska dostp do jego danych. Moemy uniemoliwi skuteczno takiego ataku, stosujc karty inteligentne jako magazyn dla kluczy szyfrujcych EFS lub poczenie obu technologii szyfrowania: BitLocker i EFS. Naley uniemoliwi atakujcemu dostp do wraliwych danych uytkownikw poprzez wymuszenie szyfrowania folderu Moje dokumenty, stosujc zasady grupowe. Alternatywnie mona wymusi szyfrowanie innych lokalizacji zawierajcych dane uytkownika lub zaszyfrowa ca partycj z danymi uytkownika poprzez skrypty logowania. Naley stosowa system szyfrowania plikw EFS, aby zapewni szyfrowanie na wielu dyskach i udziaach sieciowych. Naley stosowa system szyfrowania plikw EFS, aby zapewni ochron pliku stronicowania i buforowanych podrcznych plikw sieciowych trybu offline. Zagadnienia dotyczce minimalizacji ryzyka, ktre wymagaj rozwaenia Szyfrowany system plikw (EFS) moe zmniejszy zagroenie zdefiniowane w poprzedniej sekcji (Ocena ryzyka). Wane jest jednak, aby przed zastosowaniem funkcji EFS wzi pod uwag nastpujce wymagania: Naley wdroy sprawdzone procedury zarzdzania kluczami stosowanymi do odzyskiwania danych oraz procedur odzyskiwania danych. W przypadku braku niezawodnych i
poprawnie zdefiniowanych procedur, krytyczne dane organizacji mog by niedostpne i nie moliwe do odszyfrowania w momencie utraty kluczy deszyfrujcych. Funkcjonalno EFS ma niewielki wpyw na wydajno komputera. Niedogodno ta dla wikszoci uytkownikw jest niezauwaalna podczas normalnej pracy. Jeli jednak wydajno systemu ma bardzo due znaczenie, warto w fazie testw przedwdroeniowych sprawdzi, czy EFS nie wpywa negatywnie na wydajno pracy uytkownika. W przypadku gdy konieczne jest zapewnienie zgodnoci z zestawem Suite B, naley wdroy algorytm ECC w celu przygotowania systemu komputerowego do spenienia wymaga wprowadzenia tego poziomu standardu szyfrowania. Gdy szyfrowanie plikw EFS jest wczone, nie ma moliwoci rwnoczesnego kompresowania plikw na tym samym wolumenie; funkcja kompresji wbudowana jest w system plikw NTFS. Uytkownicy i pracownicy dziau IT musz by odpowiednio przeszkoleni, aby unikn popeniania takich bdw jak: o kopiowanie oraz przenoszenie plikw z miejsc zaszyfrowanych do miejsc niezaszyfrowanych, ktre moe pozostawi pliki w postaci jawnej o niestosowanie szyfrowania plikw w folderach ukrytych, w ktrych aplikacje przechowuj swoje kopie zapasowe Naley bardzo dokadnie przetestowa konfiguracj EFS w celu sprawdzenia, czy szyfrowanie EFS zostao wdroone na wszystkich lokalizacjach plikw z danymi wraliwymi, wliczajc w to folder Moje dokumenty, Pulpit oraz foldery z plikami tymczasowymi. Proces minimalizacji ryzyka Poniej przedstawiono proces minimalizacji ryzyka, ktry pozwoli na okrelenie i wdroenie najlepszych praktyk konfiguracji funkcji EFS. Zapewni to ochron wraliwych danych znajdujcych si na komputerach klienckich zarzdzanych w organizacji. W celu minimalizacji ryzyka zaleca si zastosowanie nastpujcych czynnoci: 1. Sprawdzenie i przeprowadzenie testw technologii szyfrowania EFS. Uwaga: W celu uzyskania dodatkowych informacji na temat EFS, naley zapozna si z artykuem: Best practices for the Encrypting File System"51, umieszczonym w witrynie firmy Microsoft. 2. Oszacowanie potrzeby wdroenia funkcji szyfrowania EFS. 3. Przeprowadzenie testw konfiguracji EFS poprzez zastosowanie zasad grup. 4. Dokonanie identyfikacji komputerw, ktre wymagaj ochrony przez szyfrowanie EFS. 5. Okrelenie podanego poziomu ochrony (wymaga to m.in. rozwaenia, czy organizacja wymaga stosowania kart inteligentnych w poczeniu z systemem EFS). 6. Ustawienie szyfrowania EFS w sposb odpowiedni dla rodowiska przy wykorzystaniu zasad grupowych.
51
http://support.microsoft.com/default.aspx?scid=kb;en-us;223316
4.8. Szczegowe ustawienia systemu EFS zapewniajce ochron wraliwych danych

System szyfrowania plikw EFS poprzez mechanizm zasad grup udostpnia kilka ustawie konfiguracyjnych. S one dostpne w nastpujcej lokalizacji: Konfiguracja Komputera\Ustawienia systemu Windows\Ustawienie zabezpiecze\Zasady kluczy publicznych\System szyfrowania plikw (Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System) Aby doda lub utworzy agenta odzyskiwania danych (DRA ang. Data Recovery Agent), naley klikn prawym przyciskiem myszki na System szyfrowania plikw, a nastpnie wybra Dodaj agenta odzyskiwania danych. W celu wywietlenia ustawie dotyczcych EFS naley klikn prawym przyciskiem myszki na System szyfrowania plikw, a nastpnie wybra opcj Waciwoci. Otworzy si wwczas okno Waciwoci: System szyfrowania plikw.
Rys. 4.8.1. Waciwoci systemu szyfrowania plikw; widok zakadki Oglne Ustawienie pokazanej na rysunku 4.8.1 opcji Kryptografia oparta na krzywej eliptycznej (ECC) w tryb: Zezwalaj ustawia system szyfrowania plikw (EFS) w tryb mieszany, ktry pozwoli komputerom na stosowanie algorytmw RSA lub ECC. W przypadku gdy rodowisko wymaga zgodnoci z wymaganiami zestawu Suite B, przy ustawieniu Kryptografia oparta na krzywej eliptycznej (ECC)
naley ustawi opcj: Wymagaj, a nastpnie wybra odpowiedni rozmiar klucza dla certyfikatw kryptografii opartej na krzywej eliptycznej z podpisem wasnym (rys. 4.8.2).
Rys. 4.8.2. Waciwoci systemu szyfrowania plikw; widok zakadki Certyfikaty Wana uwaga: Naley pamita, e przedstawione ustawienie zasad grupowych zostanie zastosowane tylko wtedy, kiedy plik lub folder bd zaszyfrowane po wczeniu tej opcji. W przypadku gdy plik lub folder zostay zaszyfrowane zanim przedstawiona opcja zostaa skonfigurowana, uytkownik bdzie korzysta z algorytmu, ktry zosta wybrany przy szyfrowaniu. Opcja: Wymagaj w ustawieniu Kryptografia oparta na krzywej eliptycznej (ECC) nie wie si ze stosowaniem algorytmu AES dla tworzonych kluczy szyfrujcych; wymusza jedynie zastosowanie algorytmu ECC.
Rys.4.8.3. Waciwoci system szyfrowania plikw; widok zakadki Pami podrczna Ponisza tabela przedstawia 4 szablony ustawie zasad grup dla funkcji systemu szyfrowania plikw EFS. cieka oraz opis Konfiguracja komputera\Szablony administracyjne\System\Zasady grupy Ustawienia te okrelaj, kiedy zasady dotyczce szyfrowania s aktualizowane. Konfiguracja komputera\Szablony administracyjne\System Zapobiega automatycznemu szyfrowaniu pliku po przeniesieniu go do zaszyfrowanego folderu. Computer Configuration\ Administrative Templates\ Network\Offline Files\ Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano
Szablon oraz ustawienia GroupPolicy.admx Przetwarzanie ustawie dotyczcych zasad odtwarzania EFS EncryptFilesonMove.admx Nie wykonuj automatycznie szyfrowania plikw przenoszonych do zaszyfrowanych folderw OfflineFiles.admx Encrypt the Offline Files cache
Nie skonfigurowano
Nie skonfigurowano
This setting determines whether offline files are encrypted. Note On Windows XP SP3, these files are encrypted with the system key whereas on Windows Vista SP1 or later, they are encrypted with the users key. Search.admx Allow indexing of encrypted files Computer Configuration\ Administrative Templates\ Windows Components\ Search\ This setting allows encrypted items to be indexed by Windows Search. Note There may be data security issues if encrypted files are indexed and the index is not adequately protected by EFS or another means. Nie skonfigurowano
Tabela 4.8.1. Ustawienia systemu szyfrowania plikw EFS Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat danej konfiguracji mona znale w zakadce POMOC w ustawieniach Edytora obiektw zasad grupy.
4.9.
Usugi zarzdzania prawami do informacji (RMS)
Usugi zarzdzania prawami do informacji (RMS ang. Rights Management Services) zostay zaprojektowane w celu zapewnienia ochrony i egzekwowania zasad uytkowania zawartoci: wraliwych treci informacji przechowywanych w wiadomociach poczty elektronicznej, dokumentw, zawartoci stron internetowych oraz innych rodzajw informacji. RMS zapewnia bezpieczestwo zawartoci dokumentw przez trway mechanizm szyfrowania informacji i przypisywania praw uytkowania zawartoci. Zawarto kadej wiadomoci pocztowej oraz pliku, ktre przesyane s przez sie w organizacji lub sie Internet z zastosowaniem rozwizania RMS, dostpna jest tylko i wycznie dla uytkownikw uwierzytelnionych i upowanionych do tego w wyniku przyznania uprawnie. Kada nieuprawniona osoba pomimo dostpu do pliku nie bdzie w stanie odczyta jego treci; informacja jest chroniona poprzez odpowiednie uprawnienia i mechanizm szyfrowania. RMS skada si trzech gwnych komponentw: serwer RMS system Windows 7 SP1 wymaga Usugi zarzdzania prawami dostpu w systemie Windows dla systemu Windows Server 2003 lub nowszego oprogramowanie klienta RMS oprogramowanie to wbudowane jest w system Windows 7 SP1 i nie wymaga dodatkowej instalacji platforma lub aplikacja RMS jest to platforma lub aplikacja zaprojektowana w celu obsugi RMS poprzez mechanizm szyfrowania i kontroli dostpu do treci informacji zarzdzanych przez ten mechanizm Uwaga: Mimo e oprogramowanie klienta usug zarzdzania prawami (RMS) wbudowane jest w system Windows 7 SP1, wymaga ono zakupu oddzielnej licencji dostpowej RMS CAL, ktra umoliwi wykorzystanie tego rozwizania.
Ocena ryzyka Usugi zarzdzania prawami (RMS) pozwalaj na zmniejszenie ryzyka w organizacjach, w ktrych nieuprawnione osoby mog zapozna si z treci wraliwych danych. Informacje wraliwe mog zosta rozpowszechnione lub udostpnione osobom nieuprawnionym w wyniku pomyki lub zaplanowanych dziaa zoliwych. Poniej opisano kilka przykadw moliwych scenariuszy ryzyka: Nieuprawnieni uytkownicy mog pozyska informacje poprzez: podsuchanie ruchu sieciowego, uzyskanie fizycznego dostpu do przenonych urzdze pamici flash bd dyskw twardych lub w wyniku niewaciwego zabezpieczenia udziaw sieciowych serwerw lub magazynw danych. Uprawnieni uytkownicy mog wysa informacje wraliwe do nieuprawnionych odbiorcw wewntrz lub na zewntrz organizacji. Uprawnieni uytkownicy mog skopiowa lub przenie dane wraliwe do nieautoryzowanych lokalizacji lub aplikacji, a take wykona kopie danych z autoryzowanego miejsca przechowywania danych do nieautoryzowanych pamici przenonych flash lub dyskw twardych (noniki zewntrzne). Uprawnieni uytkownicy przypadkowo udzielili dostpu do wraliwych informacji uytkownikom nieuprawnionym poprzez sieci P2P (peer-to-peer) lub komunikatory internetowe. Uprawnieni uytkownicy wydrukowali informacje wraliwe i nie zabezpieczyli ich w sposb waciwy, przez co narazili organizacj na ryzyko pozyskania wydrukw przez nieuprawnione osoby, ktre mog te informacje skopiowa, przefaksowa lub przesa poprzez wiadomoci poczty elektronicznej (e-mail). Minimalizacja ryzyka W celu skutecznej ochrony danych wspdzielonych poprzez zasoby sieciowe niezalenie od mechanizmu ich wykorzystania zaleca si zabezpieczenie zawartoci informacji przy wykorzystaniu usugi zarzdzania prawami do informacji (RMS). Mechanizm RMS doskonale chroni tre informacji, ktre s przesyane pomidzy serwerami, urzdzeniami oraz wspdzielonymi zasobami sieciowymi. Informacja, ktra zostaa pozyskana w sposb nieautoryzowany, pozostaje w postaci zabezpieczonej i zaszyfrowanej przez mechanizm RMS. Zagadnienia dotyczce minimalizacji ryzyka, ktre wymagaj rozwaenia Usugi zarzdzania prawami do informacji (RMS) mog zmniejszy zagroenie zdefiniowane w poprzedniej sekcji (Ocena ryzyka). Jednak przed zastosowaniem i wdroeniem tego rozwizania naley wzi pod uwag nastpujce wymagania i najlepsze praktyki: RMS wymaga zainstalowanej usugi zarzdzania prawami dostpu na serwerze RMS w systemie Windows dla systemu Windows Server 2003 lub nowszego, a take aplikacji obsugujcych technologi RMS zainstalowanych na stacjach klienckich uytkownikw. Microsoft Office SharePoint Server lub nowszy wymagany jest w przypadku zastosowania komponentu SharePoint-RMS Integration (mechanizm RMS chroni
przechowywane w witrynach programu SharePoint dokumenty i informacje przed nieupowanionym dostpem do nich). Jeli planujemy zastosowanie opcjonalnej integracji kart inteligentnych (SMART CARD), naley sprawdzi, czy kada stacja kliencka, ktra bdzie korzystaa z chronionej zawartoci informacji, jest w peni kompatybilna ze stosowanymi kartami inteligentnymi. W przypadku zastosowania aplikacji internetowych (ang. web based), takich jak Microsoft Outlook Web Access (OWA) z komponentem RMS, naley pamita, i wymagany jest dodatek do programu Internet Explorer, ktry umoliwi korzystanie z RMS. Zalecane jest przeszkolenie osb dziau IT z zakresu wdraania technologii RMS oraz zwizanych z ni wsparciem technicznym oraz rozwizywaniem problemw. Proces minimalizacji ryzyka Poniej przedstawiono proces minimalizacji ryzyka poprzez okrelenie i wdroenie najlepszych praktyk konfiguracji usugi zarzdzania prawami (RMS). Zapewni on ochron wraliwych danych przechowywanych na komputerach klienckich zarzdzanych w organizacji. przeprowadzenie testw technologii usugi zarzdzania prawami (RMS) Uwaga: W celu uzyskania dodatkowych informacji na temat RMS naley zapozna si z artykuem: Active Directory Rights Management Services"52, dostpnym w witrynie firmy Microsoft. o o o o o oszacowanie potrzeby wdroenia usugi zarzdzania prawami (RMS) przeprowadzenie identyfikacji aplikacji i usug wspieranych przez RMS okrelenie scenariuszy wdroenia usugi zarzdzania prawami (RMS), tj: pojedynczy serwer RMS (lub pojedynczy klaster) Single server (or single cluster) single certification, single license Single certification, multiple license multiple certification, single license multiple certification, multiple license
dokonanie identyfikacji i oszacowania zakresu chronionych informacji, korzystajc z technologii RMS dokonanie identyfikacji i oszacowania grup uytkownikw, ktrzy wymagaj dostpu do okrelonych i chronionych informacji konfiguracja usugi zarzdzania prawami (RMS) w sposb, ktry zezwala na dostp do okrelonych informacji tylko osobom uprawnionym
4.10. Zastosowanie ustawie zasad grup do wdroenia usugi RMS

Ustawienia zasad grup do konfigurowania usugi zarzdzania prawami (RMS) nie s integralnym elementem instalacji systemu Windows 7 SP1. RMS to przede wszystkim rozwizanie oparte na
52
w jzyku polskim http://technet.microsoft.com/pl-pl/library/cc771234(v=ws.10).aspx , w jzyku angielskim http://go.microsoft.com/fwlink/?LinkId=153465
konfiguracji serwera, w zwizku z czym konfiguracja usugi zarzdzania prawami (RMS) powinna by wykonana na serwerze penicym rol serwera RMS. Ponadto aplikacje wsppracujce z usug zarzdzania prawami (RMS) mog posiada indywidulane ustawienia, ktre okrelaj, w jaki sposb zarzdza chronion zawartoci informacji.
4.11. Instalacja i zarzdzanie urzdzeniami w systemie Windows 7 SP1

Technologia urzdze Plug and Play (PnP) daje uytkownikom du swobod w uytkowaniu urzdze, w tym rwnie przenonych, na ich stacjach roboczych. Z drugiej strony urzdzenia takie jak pamici przenone USB lub przenone dyski twarde stwarzaj istotne wyzwanie w utrzymaniu waciwego poziomu bezpieczestwa dla administratorw i pracownikw IT. Zagroenie to wynika nie tylko z trudnoci w utrzymaniu niekompatybilnego i nieautoryzowanego sprztu na stacjach klienckich i zarzdzaniu nim, ale rwnie ze wzgldu na bezpieczestwo przetwarzanych danych. W systemie Windows 7 SP1 wprowadzono szereg zmian w zasadach grup, ktre maj pomc administratorom IT w zarzdzaniu i kontroli kadej prby instalacji nieobsugiwanych i nieautoryzowanych urzdze. Wane jest jednak, aby mie wiadomo, i kade urzdzenie zainstalowane w systemie dostpne jest dla kadego uytkownika tego systemu; nie tylko dla konkretnego uytkownika. Systemy Windows 7 SP1 oraz Windows Vista zapewniaj wsparcie na poziomie uytkownika w zapewnieniu kontroli dostpu w trybie do odczytu lub zapisu dla urzdzenia zainstalowanego w systemie. Mona np. zapewni peny dostp do zapisu i odczytu danych na zainstalowanym urzdzeniu, takim jak przenona pami USB, dla specyficznego uytkownika, a dla innych uytkownikw tylko dostp do odczytu danych z tego urzdzenia na tym samym komputerze. Wicej informacji na temat zarzdzania urzdzeniami, ich instalacji oraz sposobu, w jaki ustawienia zasad grupowych mog pomc w utrzymaniu i zarzdzaniu urzdze, mona znale w artykule: Step-By-Step Guide to Controlling Device Installation Using Group Policy53. Ocena ryzyka Nieautoryzowane dodawanie urzdze do komputerw lub usuwanie tego sprztu stanowi bardzo wysokie zagroenie dla bezpieczestwa organizacji, poniewa dziaania te mog pozwoli atakujcemu na uruchomienie szkodliwego oprogramowania, usunicie danych oraz zainstalowanie oprogramowania lub innych danych. Urzdzenia te stanowi gwne rdo wycieku danych. Kilka przykadw zawierajcych moliwe scenariusze ryzyka przedstawiono poniej: Uprawnieni uytkownicy mog skopiowa lub przenie dane wraliwe zawarte na autoryzowanych nonikach lub urzdzeniach do nieautoryzowanych pamici masowych lub dyskw twardych (noniki zewntrzne). Czynnoci te mog zosta wykonane przez uytkownikw w sposb wiadomy lub niewiadomy. Sytuacja taka moe obejmowa kopiowanie danych z zaszyfrowanych nonikw danych lub lokalizacji do nieautoryzowanych i nieszyfrowanych, oglnodostpnych pamici przenonych. Atakujcy moe zalogowa si do komputerw autoryzowanych uytkownikw, a nastpnie skopiowa dane na noniki pamici przenonych. Atakujcy moe wykorzysta noniki pamici przenonych lub udziay sieciowe zawierajce oprogramowanie szkodliwe w celu automatycznego uruchomienia skryptu,
53
wykorzystujc mechanizm autouruchomienia (ang. AutoRun) w oprogramowania zoliwego na nienadzorowanych komputerach klienckich.
celu
instalacji
Atakujcy moe zainstalowa nieautoryzowane oprogramowanie lub urzdzenie przechwytujce wszystkie wprowadzane dane z klawiatury (ang. Keyloger), ktre mog zosta wykorzystane do przechwycenia nazwy konta, hasa lub innych danych wraliwych w celu przeprowadzenia pniejszego ataku. Minimalizacja ryzyka W celu zmniejszenia zagroenia, zaleca si ochron systemw komputerowych ze szczeglnym uwzgldnieniem kontroli i nadzoru instalacji oraz uytkowania nieautoryzowanych urzdze podczanych do komputerw. Do kontroli i nadzoru urzdze PnP, takich jak pamici przenone USB lub przenone dyski twarde, mona wykorzysta ustawienia zasad grup. Zagadnienia dotyczce minimalizacji ryzyka, ktre wymagaj rozwaenia Zastosowanie ustawie zasad grup dotyczcych instalacji urzdze w systemie Windows 7 SP1 moe zmniejszy zagroenie zdefiniowane w poprzedniej sekcji (Ocena ryzyka.) Jednak przed wdroeniem ustawie dotyczcych instalacji i zarzdzania urzdze w komputerach klienckich naley wzi pod uwag nastpujce kwestie: Ograniczenie korzystania z urzdze moe zablokowa moliwo korzystania z udostpniania danych uprawnionym uytkownikom lub zmniejszy efektywno uytkownikw mobilnych poprzez zablokowanie dostpu do urzdze przenonych. Ograniczenie korzystania z urzdze przenonych moe uniemoliwi zastosowanie klucza USB, bdcego czci procesu wdroenia szyfrowania dyskw przy wykorzystaniu technologii BitLocker. Jeli np. zastosujemy ustawienie zasad grupowych Dyski wymienne: Odmowa prawa do zapisu mimo e ustawienie to przeznaczone jest dla uytkownikw to bdzie obowizywao ono rwnie w przypadku uytkownika z prawami administratora. Spowoduje to, e program instalacyjny BitLocker nie bdzie mg zapisa klucza uruchomienia na dysku przenonym USB. Pewna cze urzdze identyfikowana jest w systemie podwjnie: jako urzdzenie magazynu wymiennego (ang. removable storage ID) oraz jako urzdzenie magazynu lokalnego (ang. local storage ID). Takiej identyfikacji dokonuj np. niektre typy dyskw przenonych USB, uruchamianych: podczas startu systemu, w zalenoci od momentu podczenia urzdzenia, przed startem systemu lub w czasie, kiedy system jest ju uruchomiony. Dlatego wane jest, aby dokadnie przetestowa ustawienia zasad grupowych (GPO), aby zapewni waciw ochron dla odpowiednich typw urzdze i okreli, czy wykorzystanie tych urzdze jest zabronione czy zezwolone w rodowisku organizacji. Proces minimalizacji ryzyka Poniej przedstawiono proces minimalizacji ryzyka, pozwalajcy na wdroenie najlepszych praktyk dla instalacji urzdze i zarzdzania nimi w systemie Windows 7 SP1. Zapewni to ochron wraliwych danych znajdujcych si na zarzdzanych komputerach:
W celu minimalizacji ryzyka zaleca si zastosowanie nastpujcych czynnoci: 1. Sprawdzenie i przeprowadzenie testw dotyczcych zagadnienia instalacji i zarzdzania urzdzeniami w systemie Windows 7 SP1. Uwaga: W celu uzyskania dodatkowych informacji na ten temat, naley zapozna si z dokumentem: Step-By-Step Guide to Controlling Device Installation Using Group Policy54, dostpnym na stronach witryny Microsoft. 2. Oszacowanie potrzeby wdroenia mechanizmu instalacji urzdze i zarzdzania nimi w systemie Windows 7 SP1. 3. Sprawdzenie i przeprowadzenie testw dotyczcych ustawie zasad grup dla mechanizmu instalacja i zarzdzanie urzdzeniami w systemie Windows 7 SP1. 4. Dokonanie identyfikacji niezbdnych urzdze przenonych pracujcych w rodowisku organizacji, i przygotowanie listy ustawie dla tych urzdze ze szczeglnym uwzgldnieniem identyfikatorw sprztu (ang. Hardware ID) oraz identyfikatorw zgodnych(ang. Compatible ID). 5. Dokonanie identyfikacji i wskazanie komputerw oraz uytkownikw, ktrzy wymagaj codziennej pracy z urzdzeniami przenonymi. 6. Wdroenie i zastosowanie ustawie zasad grupowych w celu wczenia moliwoci instalacji niezbdnych i odpowiednich klas urzdze. 7. Wdroenie i zastosowanie ustawie zasad grupowych w celu wczenia moliwoci instalacji na wybranych komputerach, na ktrych jest to niezbdne do codziennej pracy.
4.12. Zastosowanie ustawie zasad grupowych do nadzorowania instalacji urzdze

W celu nadzorowania instalacji i zarzdzania urzdze rekomendowane jest zastosowanie ustawie zasad grupowych dostpnych w szablonie zasad grupowych Deviceinstallation.admx. Tabela poniej przedstawia zasady grupowe dostpne w tym szablonie. Konfiguracja tych ustawie moliwa jest w gazi: Konfiguracja komputera\Szablony administracyjne\System\Instalacja urzdzenia\Ograniczenia dotyczce instalacji urzdze (Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions) Ustawienie zasad Zezwalaj administratorom na zastpowanie zasad ograniczajcych instalacj urzdze Opis To ustawienie zasad umoliwia okrelenie, czy czonkowie grupy Administratorzy mog instalowa i aktualizowa sterowniki dowolnego urzdzenia, bez wzgldu na inne ustawienia zasad. Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano
54
Zezwalaj na instalacj urzdze za pomoc sterownikw odpowiadajcych tym klasom konfiguracji urzdze
To ustawienie zasad umoliwia okrelenie, czy czonkowie grupy Administratorzy mog instalowa i aktualizowa sterowniki dowolnego urzdzenia, bez wzgldu na inne ustawienia zasad. To ustawienie zasad umoliwia okrelenie listy unikatowych identyfikatorw globalnych (GUID) klasy konfiguracji urzdze dla sterownikw urzdze, ktrych instalacja w systemie Windows ma by niedozwolona. To ustawienie zasad ma pierwszestwo przed kadym innym ustawieniem zasad, ktre zezwala na instalacj urzdzenia w systemie Windows. To ustawienie zasad umoliwia wywietlanie niestandardowego komunikatu w dymku powiadomienia w sytuacji, gdy podjto prb instalacji urzdzenia, a jedno z ustawie zasad uniemoliwia instalacj. To ustawienie zasad umoliwia wywietlanie niestandardowego komunikatu w dymku powiadomienia w sytuacji, gdy podjto prb instalacji urzdzenia i jedno z ustawienie zasad uniemoliwia instalacj. To ustawienie zasad umoliwia okrelenie listy identyfikatorw sprztu typu Plug and Play i zgodnych identyfikatorw urzdze, ktrych instalacja w systemie Windows ma by dozwolona. Tego ustawienia zasad naley uywa tylko wtedy, gdy jest wczone ustawienie zasad Zapobiegaj instalacji urzdze nieopisanych w innych ustawieniach zasad. Inne ustawienia zasad, ktre zapobiegaj instalacji urzdze, maj przed tym ustawieniem pierwszestwo. To ustawienie zasad umoliwia okrelenie listy identyfikatorw sprztu typu Plug and Play oraz zgodnych identyfikatorw urzdze, ktrych instalacja w systemie Windows ma by niedozwolona. To ustawienie zasad ma
Nie skonfigurowano
Nie zezwalaj na instalacj urzdze za pomoc sterownikw odpowiadajcych tym klasom konfiguracji urzdze
Nie skonfigurowano
Wywietl niestandardowy komunikat, jeli ustawienie zasad uniemoliwia instalacj
Nie skonfigurowano
Wywietl niestandardowy tytu komunikatu, jeli ustawienie zasad uniemoliwia instalacj
Nie skonfigurowano
Zezwalaj na instalacj urzdze o identyfikatorach odpowiadajcych tym identyfikatorom urzdze
Nie skonfigurowano
Zapobiegaj instalacji urzdze o identyfikatorach odpowiadajcych tym identyfikatorom urzdze
Nie skonfigurowano
pierwszestwo przed kadym innym ustawieniem zasad, ktre zezwala na instalacj urzdzenia w systemie Windows. Czas (w sekundach), po jakim jest wymuszany ponowny rozruch, jeli jest on wymagany do zastosowania zmian zasad Umoliwia ustawienie czasu (w sekundach), przez jaki system ma czeka zanim dokona ponownego rozruchu, by wymusi zmiany w zasadach ograniczajcych instalacj urzdze. W przypadku wczenia tego ustawienia naley okreli czas w sekundach, przez jaki system ma czeka zanim dokona ponownego rozruchu. Zapobiegaj instalacji urzdze wymiennych Umoliwia ustawienie czasu (w sekundach), przez jaki system ma czeka zanim dokona ponownego rozruchu, by wymusi zmiany w zasadach ograniczajcych instalacj urzdze. W przypadku wczenia tego ustawienia naley okreli czas w sekundach, przez jaki system ma czeka zanim dokona ponownego rozruchu. Zapobiegaj instalacji urzdze wymiennych To ustawienie zasad pozwala zapobiec instalacji urzdze, ktre nie s w sposb precyzyjny opisane w adnym innym ustawieniu zasad. Jeli to ustawienie zostanie wczone, w systemie Windows nie bdzie moliwe zainstalowanie ani zaktualizowanie sterownika adnego urzdzenia, ktre nie jest opisane w ustawieniu zasad: Zezwalaj na instalacj urzdze o identyfikatorach odpowiadajcych tym identyfikatorom urzdze lub Zezwalaj na instalacj urzdze tych klas. Tabela 4.12.1. Ustawienia zasad grupowych do nadzorowania instalacji urzdze Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat danej konfiguracji mona znale w zakadce POMOC w ustawieniach Edytora obiektw zasad grupy. Nie skonfigurowano Nie skonfigurowano Nie skonfigurowano
4.13. Zastosowanie ustawie zasad grupowych do kontroli obsugi urzdze

Aby zapewni nadzr instalacji urzdze, system Windows 7 SP1 pozwala dodatkowo na kontrolowanie poziomu dostpu uytkownikw do poszczeglnych klas urzdze, ktre uprzednio zostay zainstalowane. Szablon RemovableStorage.admx zawiera ustawienia dla urzdze magazynu wymiennego. Konfiguracja tych ustawie dostpna jest w gazi: Konfiguracja komputera\Szablony administracyjne\System\Dostp do magazynu wymiennego (Computer Configuration\Administrative Templates\System\Removable Storage Access) Ustawienie zasad Czas (w sekundach) do wymuszenia ponownego uruchomienia Opis Naley ustawi czas (w sekundach) oczekiwania na ponowne uruchomienie systemu, aby wymusi zmiany w prawach dostpu do wymiennych urzdze magazynowania. Jeli to ustawienie zostanie wczone, naley poda czas (w sekundach), przez jaki system ma czeka zanim dokona ponownego uruchomienia. Jeli to ustawienie zostanie wyczone lub nie zostanie skonfigurowane, system nie bdzie wymusza ponownego uruchomienia. UWAGA: Prawa dostpu nie bd obowizyway do momentu ponownego uruchomienia systemu. Dysk CD i DVD: odmowa dostpu do wykonywania To ustawienie zasad powoduje odmow dostpu do wykonywania zada w przypadku klasy magazynw wymiennych CD i DVD. To ustawienie zasad powoduje odmow dostpu do odczytu danych w przypadku klasy magazynw wymiennych CD i DVD. To ustawienie zasad powoduje odmow prawa do zapisu danych w przypadku klasy magazynw wymiennych CD i DVD. To ustawienie zasad powoduje odmow dostpu do odczytu danych w przypadku niestandardowych klas magazynw wymiennych. Nie skonfigurowano Domylne ustawienie w systemie Windows 7 SP1 Nie skonfigurowano
Dysk CD i DVD: odmowa dostpu do odczytu
Nie skonfigurowano
Dysk CD i DVD: odmowa prawa do zapisu
Nie skonfigurowano
Klasy niestandardowe: odmowa dostpu do odczytu
Nie skonfigurowano
Klasy niestandardowe: odmowa prawa do zapisu
To ustawienie zasad powoduje odmow prawa do zapisu danych w przypadku niestandardowych klas magazynw wymiennych. To ustawienie zasad powoduje odmow dostpu do wykonywania zada w przypadku klasy magazynw wymiennych Stacje dyskietek, obejmujcej te stacje dyskietek USB. To ustawienie zasad powoduje odmow dostpu do odczytu danych w przypadku klasy magazynu wymiennego Stacje dyskietek, obejmujcej te stacje dyskietek USB. To ustawienie zasad powoduje odmow prawa do zapisu danych w przypadku klasy magazynu wymiennego Stacje dyskietek, obejmujcej te stacje dyskietek USB. To ustawienie zasad powoduje odmow dostpu do wykonywania zada w odniesieniu do dyskw wymiennych. To ustawienie zasad powoduje odmow dostpu do wykonywania zada w odniesieniu do dyskw wymiennych. To ustawienie zasad powoduje odmow dostpu do zapisu danych na dyskach wymiennych. Konfiguruje dostp do wszystkich klas magazynw wymiennych. To ustawienie zasad ma pierwszestwo przed wszystkimi ustawieniami zasad dla poszczeglnych magazynw wymiennych. Aby zarzdza poszczeglnymi klasami, naley uy ustawie zasad dla kadej klasy.
Nie skonfigurowano
Stacje dyskietek: odmowa dostpu do wykonywania
Nie skonfigurowano
Stacje dyskietek: odmowa dostpu do odczytu
Nie skonfigurowano
Stacje dyskietek: odmowa dostpu do odczytu
Nie skonfigurowano
Dyski wymienne: odmowa dostpu do wykonywania
Nie skonfigurowano
Dyski wymienne: odmowa dostpu do odczytu
Nie skonfigurowano
Dyski wymienne: odmowa prawa do zapisu Wszystkie klasy magazynw wymiennych: odmowa dostpu
Nie skonfigurowano
Nie skonfigurowano
Wszystkie magazyny wymienne: Zezwalaj na dostp bezporedni w sesjach zdalnych Stacje tam: odmowa dostpu do wykonywania
To ustawienie zasad zapewnia zwykym uytkownikom bezporedni dostp do wymiennych urzdze pamici masowej w sesjach zdalnych. To ustawienie zasad powoduje odmow dostpu do wykonywania
Nie skonfigurowano
Nie skonfigurowano
zada w przypadku klasy magazynu wymiennego Stacja tam. Stacje tam: odmowa dostpu do odczytu To ustawienie zasad powoduje odmow dostpu do odczytu danych w przypadku klasy magazynu wymiennego Stacja tam. To ustawienie zasad powoduje odmow prawa do zapisu danych w przypadku klasy magazynu wymiennego Stacja tam. To ustawienie zasad powoduje odmow dostpu do odczytu danych z dyskw wymiennych, ktre mog obejmowa: odtwarzacze multimedialne, telefony komrkowe, wywietlacze pomocnicze i urzdzenia z systemem Windows CE. To ustawienie zasad powoduje odmow prawa do zapisu danych na dyskach wymiennych, ktre mog obejmowa: odtwarzacze multimedialne, telefony komrkowe, wywietlacze pomocnicze i urzdzenia z systemem Windows CE. Nie skonfigurowano
Stacje tam: odmowa dostpu do odczytu
Nie skonfigurowano
Stacje tam: odmowa dostpu do odczytu
Nie skonfigurowano
Urzdzenia WPD: odmowa prawa do zapisu
Nie skonfigurowano
4.14. Zastosowanie ustawie zasad grup do kontroli i blokowania funkcji autostartu i autoodtwarzania
Szablon Autoplay.admx zawiera ustawienia majce wpyw na zachowanie funkcji automatycznego odtwarzania i uruchamiania dla wymiennych urzdze magazynujcych oraz nonikw wymiennych w systemie Windows 7 SP1. Konfiguracja tych ustawie dostpna jest w gazi: Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Zasady autoodtwarzania (Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies) Ustawienie zasad Wycz funkcj Autoodtwarzanie Opis Domylne ustawienie w systemie Windows 7 SP1
Nie skonfigurowano To ustawienie wycza funkcj Autoodtwarzanie dla stacji dyskw CD/DVD-ROM i dyskw wymiennych albo do wszystkich dyskw. Wyczenie funkcji Autoodtwarzanie pomaga zapobiec rozprzestrzenianiu si oprogramowania zoliwego korzystajcego ze skryptw autoodtwarzania na dyskach
wymiennych lub udziaach sieciowych. Nie zaznaczaj pola wyboru Zawsze wykonuj t czynno Jeli ta zasada zostanie wczona, pole wyboru Zawsze wykonuj t czynno..., znajdujce si w oknie dialogowym Autoodtwarzanie, bdzie domylnie odznaczone po otwarciu tego okna. Jeeli ta zasada zostanie wczona, autoodtwarzanie nie bdzie wczone dla urzdze niezawierajcych woluminw, takich jak urzdzenia MTP. Jeeli ta zasada zostanie wyczona lub nie zostanie skonfigurowana, autoodtwarzanie nadal bdzie wczone dla urzdze niezawierajcych woluminw. Okrela domylne dziaanie polece autouruchamiania. Jeli ta zasada zostanie wyczona lub nie zostanie skonfigurowana, uytkownik systemu Windows Vista bdzie otrzymywa monit o wskazanie, czy polecenie autouruchamiania ma by inicjowane, czy nie. Nie skonfigurowano
Wycz autoodtwarzanie dla urzdze niezawierajcych woluminw
Nie skonfigurowano
Domylne zachowanie autouruchamiania
Nie skonfigurowano
Ustawienia powysze dostpne s rwnie w gazi: Konfiguracja uytkownika\Szablony Administracyjne\Skadniki systemu Windows\Zasady autoodtwarzania (User Configuration\Administrative Templates\Windows Components\AutoPlay Policies) Jeli ustawienia dotyczce nadzorowania instalacji urzdze powoduj konflikt, to ustawienie dla konfiguracji komputera zastpi ustawienie konfiguracji uytkownika.
4.15. Dodatkowe informacje i wskazwki

Poniej przedstawiono dodatkowe rda informacji na temat bezpieczestwa systemu Windows 7 SP1: BCDEdit Commands for Boot Environment55 Best Practices for BitLocker in Windows 756 Best practices for the Encrypting File System57 BitLocker Drive Encryption Deployment Guide for Windows 758
55 56
http://go.microsoft.com/fwlink/?LinkId=113151 http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx 57 http://support.microsoft.com/default.aspx?scid=kb;en-us;223316 58 http://go.microsoft.com/fwlink/?LinkId=140286
BitLocker Drive Encryption Overview59 Boot Configuration Data in Windows Vista60 First Look: New Security Features in Windows Vista61 for general information about security features in Windows Vista SP1 How Setup Selects Drivers62 Microsoft Security Compliance Manager63 Office 2003 Policy Template Files and Deployment Planning Tools64 Step-By-Step Guide to Controlling Device Installation Using Group Policy65 The Encrypting File System66 Trusted Computing Group67 Windows BitLocker Drive Encryption Design and Deployment Guides68 Active Directory Rights Management Services69 Windows Vista Security and Data Protection Improvements70: "Data Protection"
59 60
http://technet.microsoft.com/en-us/library/cc732774.aspx http://go.microsoft.com/fwlink/?LinkId=93005 61 https://www.microsoft.com/technet/technetmag/issues/2006/05/FirstLook/default.aspx 62 http://msdn.microsoft.com/en-us/library/ff546228.aspx 63 http://go.microsoft.com/fwlink/?LinkId=113940 64 http://office.microsoft.com/en-us/assistance/HA011513711033.aspx 65 http://go.microsoft.com/fwlink/?LinkId=130390 66 http://www.microsoft.com/technet/security/topics/cryptographyetc/efs.mspx

67 68
http://www.trustedcomputinggroup.org/ http://go.microsoft.com/fwlink/?LinkId=134201 69 http://go.microsoft.com/fwlink/?LinkId=153465 70 http://technet.microsoft.com/en-us/library/cc507844.aspx
5. Zapewnienie kompatybilnoci aplikacji w kontekcie bezpieczestwa stacji z Windows 7

Wraz z systemem Windows Vista wprowadzono wiele zmian w zakresie ochrony wsppracy na linii aplikacja jdro systemu. To z kolei spowodowao problemy z kompatybilnoci aplikacji. Poniewa model architektury w kolejnej wersji Windows jest taki sam, konieczne jest skupienie si na weryfikacji oprogramowania, ktre planujemy wdroy w organizacji, pod ktem moliwoci pracy w rodowisku Windows 7 SP1. Funkcjonalnoci takie jak Kontrola konta uytkownika UAC (z ang. User Account Control) czy Ochrona zasobw system Windows WRP (z ang. Windows Resource Protection) mog powodowa, e aplikacje zaprojektowane dla starszych systemw nie bd prawidowo funkcjonoway w Windows 7 SP1.
5.1.
Testowanie zgodnoci aplikacji z systemem Windows 7 SP1
Testowanie zgodnoci stanowi podstawow czynno, ktr naley wykona przed wdroeniem oprogramowania w rodowisku Windows 7 SP1. Testowanie zgodnoci aplikacji z Windows 7 SP1 powinno obejmowa nastpujce kroki: 1. 2. Zalogowanie si na konto z uprawnieniami administracyjnymi. Uruchomienie instalacji oprogramowania.
3. W przypadku bdw instalatora naley go uruchomi w trybie Uruchom jako administrator. Jeli bdy nie s zgaszane, kolejnym krokiem jest wykonanie czynnoci opisanej w punkcie 5. 4. Jeli bdy wci wystpuj, we waciwociach instalatora naley ustawi tryb kompatybilnoci na Windows XP Professional SP3 i powtrzy czynno z punktu 2. W przypadku dalszych bdw naley wykona czynno z punktu 7. 5. Zalogowanie si na konto bez uprawnie administracyjnych. tryb 6. Uruchomienie aplikacji. Jeli wywietlane s bdy, naley wczy kompatybilnoci Windows XP Professional SP3 i ponownie uruchomi aplikacj.
7. Jeli aplikacja uruchomia si prawidowo, naley wykona szereg testw zwizanych z jej czynnociami obsugowymi. Po zakoczeniu tego procesu aplikacja jest gotowa do dziaania w systemie Windows 7 SP1. 8. Jeli aplikacja nie zainstalowaa si, nie uruchomia prawidowo, przestaje odpowiada lub wywietla bdy, oznacza to problemy z kompatybilnoci. Naley przeprowadzi dodatkow analiz dziaania oprogramowania.
5.2. Znane problemy zgodnoci aplikacji w kontekcie rozszerzonych mechanizmw ochrony

Istnieje kilka znanych powodw, dla ktrych kompatybilno aplikacji nie jest zachowana. Mog one wynika z wbudowanych w Windows 7 SP1 mechanizmw ochrony, ktre opisane zostay poniej. Kontrola konta uytkownika Funkcja ta, dostpna w Windows Vista i Windows 7 SP1, zapewnia separacj standardowych uprawnie uytkownika i zada od tych, ktre wymagaj dostpu administracyjnego. Dziki kontroli
konta uytkownika podnoszony jest poziom bezpieczestwa, co pozwala standardowym uytkownikom wykonywa wicej czynnoci bez koniecznoci korzystania z kont posiadajcych uprawnienia administracyjne. Jedn z cech tego mechanizmu jest rwnie moliwo wirtualizacji na poziomie rejestru i systemu plikw. Dziki temu mona zapewni kompatybilno aplikacji, ktre zaprojektowane zostay do korzystania z chronionych obecnie obszarw w rejestrze i systemie plikw. Ochrona zasobw systemu Windows Mechanizm ochrony zasobw systemu Windows, dostpny od systemu Windows Vista, zapewnia ochron kluczy rejestru i folderw na tych samych zasadach, na jakich zabezpieczane s kluczowe pliki systemowe. Aplikacje, ktre prbuj uzyska dostp plikw do chronionych przez mechanizm, mog nieprawidowo funkcjonowa w rodowisku Windows 7 SP1. W takim przypadku wymagana jest modyfikacja sposobu dziaania aplikacji. Tryb chroniony Funkcja Internet Explorer 7 uatwia ochron pracujcych pod kontrol Windows komputerw przed instalacj zoliwego oprogramowania i innych aplikacji powodujcych niestabilno systemu. Jeli Internet Explorer pracuje w trybie chronionym, przegldarka wsppracuje wycznie z okrelonymi obszarami systemu plikw i rejestru. Domylnie tryb chroniony jest wczony w Internet Explorer 8, kiedy odbywa si prba dostpu do witryn zlokalizowanych w strefie Intranet i/lub strefie witryn zaufanych.
5.3.
Zmiany i ulepszenia systemu operacyjnego Windows 7 SP1
W Windows 7 SP1 wprowadzone zostay zmiany, ktre mog powodowa brak kompatybilnoci aplikacji firm trzecich. Nale do nich: Nowy interfejs programowania aplikacji API (z ang. Application Programming Interface). Dostpny od Windows Vista interfejs programowania aplikacji w odmienny sposb zapewnia komunikacj midzy programami. Przykadami s tutaj oprogramowanie antywirusowe oraz zapora ogniowa, ktre opierajc si na nowym API, zapewniaj lepsz ochron, ale wymuszaj jednoczenie uwzgldnienie ich istnienia dla dziaajcych w Windows 7 SP1 aplikacji. 64-bitowa wersja Windows Aplikacje 16-bitowe oraz sterowniki 32-bitowe nie s wspierane w rodowisku 64-bitowym Windows 7 SP1. Automatyczne przekierowanie rejestru i plikw systemowych jest dostpne wycznie dla aplikacji 32-bitowych. Z tego powodu aplikacje 64-bitowe musz by napisane w penej zgodzie ze standardami aplikacji Windows Vista oraz Windows 7 SP1. Wersje systemu operacyjnego Zdarza si, e starsze aplikacje sprawdzaj wersje Windows. W przypadku wykrycia innej wersji ni ta, ktrej s dedykowane, ich dziaanie jest zatrzymywane. Jednym z dostpnych rozwiza tej sytuacji jest uruchomienie aplikacji w trybie kompatybilnoci z wczeniejszymi systemami.
5.4. Omwienie stosowanych narzdzi w celu zapewnienia zgodnoci aplikacji z systemem Windows 7 SP1
W ramach Windows 7 SP1 dostpnych jest wiele narzdzi, ktre su do zapewnienia kompatybilnoci aplikacji. Asystent zgodnoci programw Funkcja Asystent zgodnoci programw stworzona zostaa w celu umoliwienia uruchamiania aplikacji zaprojektowanych dla wczeniejszych wersji Windows. W sytuacji, kiedy Windows 7 SP1 wykryje aplikacj, ktra wymaga trybu kompatybilnoci dla Windows 2000, Windows XP Professional SP3 bd innych systemw, Windows 7 SP1 automatycznie ustawia odpowiedni tryb dziaania aplikacji. Asystent zgodnoci programw uruchamia si automatycznie. Kreator kompatybilnoci programw Funkcja ta w ramach dostpnego kreatora umoliwia okrelenie problemw zwizanych z kompatybilnoci wybranej aplikacji i wykrycie ich przyczyn z jednoczesnym zaproponowaniem rozwizania. Uruchomienie kreatora kompatybilnoci programw jest moliwe z poziomu Panelu sterowania, w sekcji Programy po klikniciu opcji Uruchom programy napisane dla starszych wersji systemu Windows. Application Compatibility Toolkit (ACT) Pakiet ACT jest zbiorem narzdzi oraz dokumentacji umoliwiajcych zarzdzanie aplikacjami w organizacji pod ktem zapewnienia ich kompatybilnoci w rodowisku Windows 7 SP1. ACT umoliwia inwentaryzacj oprogramowania, zarzdzanie aplikacjami krytycznymi oraz wskazanie rozwiza, ktre zapewni prawidowe wdroenie Windows 7 SP1. Pakiet jest dostpny bezpatnie na stronach Microsoft. Tryb Windows XP Mode Tryb Windows XP Mode jest funkcj zapewniajc uruchamianie aplikacji wewntrz maszyny wirtualnej Windows XP, bezporednio z Windows 7 SP1. Aplikacja jest udostpniana tak, jak kada inna w systemie, ale dziki przeniesieniu jej dziaania na platform wirtualn Windows XP zapewniana jest pena kompatybilno dziaania. Tryb Windows XP Mode dostpny jest w edycjach Windows 7 SP1 Professional, Ultimate oraz Enterprise i wymaga oddzielnej instalacji pakietw, ktre pobiera si ze stron firmy Microsoft. Tryb Windows XP Mode domylnie skonfigurowany jest do pracy z funkcj translacji adresw sieciowych NAT (z ang. Network Address Translation), co zapewnia dziaanie w sieci, do ktrej doczony jest Windows 7 SP1, stanowicy podstaw dla dziaania pakietu.
5. ad korporacyjny, zarzdzanie ryzykiem oraz zgodno ze standardami w IT (IT GRC)

System adu korporacyjnego, zarzdzania ryzykiem i zgodnoci ze standardami GRC (ang. Governance, Risk, and Compliance) to system, na ktry skadaj si ludzie, procesy i technologie w ramach caej infrastruktury. Przynosi on danej organizacji nastpujce korzyci: ograniczenie ryzyka ujednolicenie procesw biznesowych popraw efektywnoci uwolnienie zasobw usprawnienie zarzdzania zmianami W poniszym rozdziale przedstawione zostay przykady zastosowania produktw Microsoft w kontekcie bazowych ustawie systemu przy wykorzystaniu IT Governance, Risk, and Compliance (IT GRC) Process Management Pack (PMP) dla systemu Microsoft System Center Service Manager 2012 w taki sposb, aby utrzymanie adu korporacyjnego, zarzdzania ryzykiem i zgodnoci ze standardami w IT przynioso organizacji korzyci. Process Management Pack jest pakietem administracyjnym dla produktu System Center Service Manager, ktry wspomaga proces zarzdzania IT, bazujc na regulacjach, midzynarodowych standardach oraz najlepszych praktykach, takich jak: Microsoft Operations Framework (MOF) oraz Information Technology Infrastructure Library (ITIL). IT GRC Process Management Pack wraz z ustawieniami bazowymi systemu pomaga zapewni automatyczny proces zgodnoci komputerom klienckim oraz serwerom. Aby uzyska dodatkowe informacje na temat rozwiza Microsoft wspierajcych system GRC, naley zapozna si z przewodnikami Compliance Solution Accelerators 71 , opisanymi na stronach przewodnikw Microsoft Solution Accelerators. Poniszy rysunek przedstawia umiejscowienie IT GRC w strukturze zarzdzania ryzykiem i zgodnoci caej organizacji. IT GRC Process Management Pack skupia si wycznie na systemie IT GRC bez uwzgldniania innych aspektw zarzdzania ryzykiem i zgodnoci caej organizacji.
71
Zarzdzanie ryzykiem i zgodnoci w caej organizacji Enterprise GRC
Zarzdzanie ryzykiem i zgodnoci w finasach Finance GRC
Zarzdzanie ryzykiem i zgodnoci w IT IT GRC
Zarzdzanie ryzykiem i zgodnoci w dziaaniach biznesowych organizacji Business Operations GRC
IT GRC Zarzdzanie Informacj Rozwj i Kontrola Jakoci Portfel inwestycyjny i Architektura Organizacji
Operacje IT
Procesy IT
Zarzdzanie IT i Bezpieczestwo
Rys. 6.1. Umiejscowienie IT GRC w strukturze zarzdzania ryzykiem i zgodnoci caej organizacji
6.1.
Wprowadzenie
W rozdziale tym zostay przedstawione procesy oraz wskazane dodatkowe zasoby opisujce wykorzystanie IT GRC Process Management Pack dla produktu System Center Service Manager. W celu uzyskania dodatkowych informacji naley zapozna si z przewodnikami: IT GRC Process Management Pack Deployment Guide przewodnik ten opisuje proces wdroenia IT GRC Process Management Pack IT GRC Process Management Pack Operations Guide przewodnik ten zawiera informacje na temat wykorzystania IT GRC Process Management Pack oraz budowania wasnych pakietw
IT GRC Process Management Pack Developers Guide przewodnik ten opisuje proces dostosowania IT GRC Process Management Pack do wasnych potrzeb
Wymienione przewodniki mona pobra ze strony IT GRC Process Management Pack SP1 for System Center Service Manager72; dostpne s w dziale Centrum Pobierania Microsoft. W celu uzyskania dodatkowych informacji naley zapozna si z dodatkowymi zasobami: IT Compliance Management Library Deployment Guide, ktry zawarty jest w kadej bibliotece obejmujcej zarzdzanie zgodnoci ze standardami IT. Przewodnik ten zawiera informacje na temat wdroenia IT GRC Process Management Pack oraz pakietw konfiguracyjnych Microsoft System Center Configuration Manager Microsoft System Center Service Manager73 Microsoft System Center Configuration Manager74
6.2.
Omwienie i budowa IT GRC PMP
IT GRC Process Management Pack dostarcza informacji na temat moliwoci i sposobu zarzdzania procesem IT GRC w obrbie caej organizacji oraz okrela moliwoci automatyzacji tego procesu. IT GRC Process Management Pack umoliwia importowanie gotowych bibliotek zgodnoci ze standardami, ktre mog by zastosowane w celu okrelenia punktw kontrolnych niezbdnych dla wymaga stawianych systemowi IT GRC w organizacjach. Biblioteki zgodnoci przeznaczone dla IT GRC Process Management Pack okrelaj punkty kontrolne wykorzystywane do zapewnienia zgodnoci z dokumentami organw nadrzdnych IT GRC, powoujc si na wytyczne okrelone przez midzynarodowe, rzdowe oraz branowe instytucje opracowujce oglne wytyczne IT GRC. Dokumenty te zawieraj wytyczne oraz okrelaj wymagania szczegowe dotyczce procesw biznesowych oraz technologii rnych sektorw organizacji i instytucji. Dodatkowe pakiety administracyjne i informacje dla produktw System Center dostpne s w Microsoft System Center Marketplace75; oferuj one zintegrowane rozwizania i automatyzacj, pomagajc organizacjom w sprawnym spenieniu wymaga GRC. Korzyci wynikajce ze stosowania integracji produktw System Center Service Manager, System Center Configuration Manager oraz System Center Operations Manager: efektywny sposb na monitorowanie, sprawdzanie oraz raportowanie stanu zgodnoci wdroonych produktw Microsoft jednoczesne stosowanie wymienionych rozwiza wspomaga zrozumienie i poczenie zoonych celw biznesowych, ktrym musi sprosta infrastruktura organizacji
72 73
http://go.microsoft.com/fwlink/?LinkId=201578 http://go.microsoft.com/fwlink/?LinkId=155958 74 http://go.microsoft.com/fwlink/?LinkId=206193 75 http://go.microsoft.com/fwlink/?LinkId=82105
Przedstawiony poniej rysunek ilustruje rozwizanie IT GRC Process Management Pack:
Rys.6.2.1. Ilustracja rozwizania IT GRC Process Management Pack
Kadra kierownicza oraz audytorzy wykorzystuj raporty IT GRC Process Management Pack w celu oceny procesw IT GRC organizacji i analizy ich zgodnoci. Ta grupa uytkownikw przewanie wymaga dostpu tylko do odczytu oraz moliwoci wykonania raportw dotyczcych informacji zarzdzanych przez proces GRC Process Management Pack. W przedstawionym rozwizaniu IT compliance managerowie oraz specjalici IT steruj scentralizowanym procesem zapewnienia zgodnoci IT GRC, korzystajc z narzdzia Service Manager Console. Narzdzie to zapewnia osobie penicej rol IT compliance managera moliwo zarzdzania wieloma programami IT GRC oraz postawionymi celami kontrolnymi, ktre odnosz si do wytycznych oraz wymaga szczegowych przedstawionych w dokumentach wydanych przez organy nadrzdne. Specjalici IT, korzystajc z centralnego narzdzia, mog dokona oszacowania wynikw zgodnoci IT GRC dla wszystkich celw kontrolnych okrelonych w systemie IT GRC. Wyniki przeprowadzonych testw zgodnoci mog by osignite na kilka sposobw: automatycznie funkcjonalno zarzdzania docelow konfiguracj (ang. Desired Configuration Management (DCM)), zawarta w System Center Configuration Manager oraz IT CML Configuration Packs, pomaga osign rezultaty zgodnoci dla zautomatyzowanych celw kontrolnych. Automatyczne cele kontrolne w znacznym stopniu redukuj nakad pracy wymagany do osignicia zgodnoci IT GRC, rcznie specjalici IT mog samodzielnie oceni wyniki zgodnoci:
technologia wyniki zawieraj ustawienia zgodnoci IT GRC, ktre nie mog by oszacowanie metodami automatycznymi procesy raport uwzgldnia procesy zgodnoci stosowane w organizacji i powizane z IT GRC, takie jak waciwe i bezpieczne usuwanie danych z systemw wycofywanych z organizacji, a zawierajcych informacje wraliwe, ludzie raport zawiera aspekty ergonomii pracy w zakresie zgodnoci z IT GRC, takie jak dokadne sprawdzenie pracownika przed udzieleniem dostpu do informacji wraliwych. Zastosowanie integracji opartej na produktach System Center Service Manager oraz System Center Configuration Manager zapewnia nastpujce funkcjonalnoci i korzyci: System Center Configuration Manager analizuje oczekiwan, docelow konfiguracj z aktualn konfiguracj zarzdzanych zasobw, wykorzystujc pakiety DCM, umieszczone na poziomie konfiguracji elementu, aby zapewni obsug celw kontrolnych. Element konfiguracji znajdujcy si w Service Manager CMDB (baza danych zarzdzania konfiguracj) moe by automatycznie wypeniony informacjami dostarczonymi przez System Center Configuration Manager. Przeprowadzone testy zgodnoci dla zautomatyzowanych celw kontrolnych mog by aktualizowane w Service Manager CMDB. Produkt System Center Service Manager umoliwia tworzenie i wykorzystanie wasnych cznikw (ang. connector), za pomoc ktrych mona zdefiniowa poczenia z innymi systemami. Umoliwia to
zebranie informacji na temat zgodnoci z innymi systemami stosowanymi w organizacji. Funkcjonalno ta rozszerza proces automatyzacji testw i zbierania wynikw z wczeniej zdefiniowanych celw kontrolnych.
6.3.
Korzyci wynikajce ze stosowania IT GRC PMP
Rozwizanie zarzdzania procesem zgodnoci oraz zarzdzania ryzykiem oferowane przez IT GRC Process Management Pack, IT Compliance Management Libraries, System Center Service Manager, oraz System Center Configuration Manager oferuje nastpujce moliwoci i korzyci: Mapowanie celw biznesowych bezporednio na cele i dziaania IT GRC mechanizm ten w atwy sposb odwzorowuje cele biznesowe okrelone przez kadr zarzdzajc w postaci celw i dziaa dla programu zgodnoci dziau IT. Rozwizanie to: zawiera bibliotek tysicy dokumentw zgodnoci pochodzcych z setek dokumentw urzdowych, ktre zostay dostosowane w ujednolicony zestaw celw kontrolnych, tworzy bibliotek zgodnoci, zawierajc cele kontrolne, dziaania i ustawienia dla kluczowych produktw Microsoft oraz nowych systemw Windows 7 SP1 i Windows Server 2008, przedstawione w postaci zbioru zaktualizowanych ustawie bazowych dla konfiguracji. Zauwaalne zwikszenie zgodnoci ze standardami uytkownicy w atwy sposb mog zidentyfikowa niezgodnoci, korzystajc z raportw IT GRC Process Management Pack. Utworzenie pojedynczego punktu sterowania zarzdzaniem programw IT GRC organizacje mog zarzdza wieloma programami zgodnoci IT GRC, speniajc jednoczenie wymagania wielu zoonych dokumentw urzdowych. IT GRC Process Management Pack wprowadza kontrol obejmujc wszystkie rda dokumentw urzdowych, redukujc problemy maej wydajnoci w przypadku regulacji wzajemnie si pokrywajcych. Wykorzystanie najlepszych branowych praktyk do zarzdzania procesami procesy zaimplementowane w IT GRC PMP zostay utworzone w oparciu o najlepsze praktyki wykorzystywane do zarzdzania incydentami i zarzdzania zmianami, bazujc na MOG oraz ITIL. Redukcja nakadu pracy proces automatyzacji testw, uwzgldniajcy integracj funkcjonalnoci DCM w System Center Configuration Manager, redukuje rczny nakad pracy, ktry jest wymagany do przeprowadzanie testw sprawdzajcych zgodno ze standardami. Obnienie kosztw kontroli i raportowania redukcja nakadu pracy powiconego na przygotowanie i wykonywania czynnoci kontrolujcych stan zgodnoci ze standardami wpywa na obnienie kosztw zwizanych z przygotowaniem audytw. Minimalizacja ryzyka uytkownicy mog w atwy sposb zidentyfikowa niezgodnoci, a co za tym idzie na bieco kontrolowa wystpujce ryzyko. Prowadzi to do zmniejszenia ryzyka zwizanego z zapewnieniem zgodnoci.
Uatwienie zmian zachodzcych w biznesie biznes wymaga cigych zmian, w zwizku z tym opisywane rozwizanie zarzdzania zgodnoci wykrywa zachodzce zmiany w zarzdzanej infrastrukturze i stosuje odpowiednie mechanizmy kontroli zgodnoci. Przygotowanie do audytw zewntrznych przygotowane predefiniowane raporty IT Compliance Management Pack odzwierciedlaj wikszo informacji na temat zgodnoci ze standardami wymaganych przez audytorw. Wykorzystujc te raporty, organizacje mog na prob audytorw, konsultantw lub zarzdu organizacji w szybki i atwy sposb przedstawi stan zgodnoci ze standardami. Podejmowanie czynnoci korygujcych w celu wyeliminowania niezgodnoci osoby penice funkcje IT GRC managerw mog zidentyfikowa niezgodne ze standardami ustawienia konfiguracji i korzystajc z procesu zarzdzania incydentami, w atwy sposb zleci specjalistom IT zadanie przywrcenia ustawie konfiguracji do stanu zapewniajcego zgodno ze standardami.
6.4.
Terminy i definicje
W poniszej tabeli przedstawiono podstawowe terminy i pojcia zwizane z wykorzystaniem IT GRC Process Management Pack.
Termin lub pojcie Regulacje dotyczce adu korporacyjnego, zarzdzania ryzykiem oraz zgodnoci ze standardami (GRC) (ang. GRC authority document)
Opis Dokumenty obejmujce regulacje w zakresie GRC zawieraj wymagania opublikowane przez organy urzdowe w postaci rozporzdze lub wytycznych, opisanych standardw lub polityki organizacji. Regulacje GRC mog obejmowa wymagania dotyczce procesw minimalizacji ryzyka, ktre okrelaj specyficzne bd oglne opisy konfiguracji i uytkowania lub inne parametry obsugi, ktre dotycz organizacji, personelu, procesw biznesowych oraz technologii. Rnorodne regulacje zwracaj uwag na te same aspekty ryzyka zgodnoci; pomimo to, dokumenty te pozwalaj na spojrzenie z rnych perspektyw na kwestie strategii minimalizacji ryzyka oraz stawianych wymaga. Wymagania wskazane przez regulacje GRC przeksztacone na cele kontrolne i odnosz si do czynnoci kontrolnych zaprojektowanych w celu zapewnienia, i towarzyszce ryzyka s minimalizowane w odpowiedni i uzasadniony sposb. IT GRC Process Management Pack zawiera cele kontrolne, przytoczone z odpowiednich regulacji i speniajce stawiane im wymagania. Regulacje obejmuj swoim zakresem ustawy dotyczce finansw, polityki prywatnoci oraz ochrony zdrowia, takie jak: SarbanesOxley (SOX), European Union Data Protection Directive (EUDPD) oraz Health Insurance Portability and Accountability Act
(HIPAA). Pena lista regulacji, zawarta w produkcie IT GRC Process Management Pack, znajduje si w sekcji Library, w konsoli Service Manager Library | Authority Documents . Program Definiuje zbir ryzyk, celw kontrolnych, dziaa oraz wynikw zgodnoci. Programy definiuj rwnie role uytkownika i towarzyszce mu prawa w okrelonym zakresie poprzez zdefiniowanie odpowiednich uprawie. Zdefiniowane zakresy zezwalaj osobie penicej rol menedera programu na zarzdzanie ryzykiem i kontrol w obrbie tego programu. Programy zostay utworzone w celu okrelenia zgodnoci z jednym lub wieloma dokumentami regulacji oraz ryzyk towarzyszcych strategii zarzdzania IT GRC. Cele kontrolne (ang. Control objectives) Sprecyzowane okrelenie wymaga i wytycznych zawartych w regulacjach GRC. Cele kontrolne mog by wymagane przez jeden lub wiele zbiorw regulacji w celu wykonania jednej lub wielu czynnoci kontrolnych. Odniesienie w obrbie celw kontrolnych do jednego lub wielu szczegowych wymaga dotyczcych obowizujcych przepisw i regulacji.
Powoywanie si na dokumenty organw w zakresie regulacji (ang. Authority document citation) Czynnoci kontrolne (ang. Control Activities)
Szczegowe, podlegajce zaskareniu stopnie konfigurowania i obsugi produktu poprzez okrelenie zgodnoci z wymaganiami celw kontrolnych. Dziaania kontrolne mog obejmowa jeden lub wiele celw kontrolnych. Moliwo wystpienia szansy lub zagroenia, majcych wpyw na osignicie wyznaczonych celw biznesowych lub celw IT danej organizacji. Ryzyko jest mierzone z wykorzystaniem okrele: wpyw lub prawdopodobiestwo. Pojcie ryzyka zwizane jest z celami kontrolnymi, czynnociami kontrolnymi lub innymi ryzykami. Minimalny udzia procentowy obowizujcy dla zarzdzanych jednostek w zakresie programu, ktry musi by zgodny dla czynnoci kontrolnych, aby zosta uznany za zgodny. Proces, w ktrym wszystkie zmiany zachodzce dla jednostek zarzdzanych przez IT GRC PMP s zatwierdzone. Zazwyczaj zmiany wykonuje ten sam proces zatwierdzania, jak w przypadku dania
Ryzyko (ang. Risk)
Prg (ang. Threshold) Zatwierdzanie przepywu pracy (ang. Approval workflow)
zmiany przez System Center Service Manager. Automatyzacja (ang. Automation) Zastosowanie komponentw IT w celu wykonania zada lub krokw wymaganych do rozwizania jednego lub wielu celw kontrolnych, ktre zawieraj automatycznie zgromadzone wyniki zgodnoci IT GRC. Rezultaty testw zgodnoci, ktre zostay wykonane na zarzdzanej jednostce, takiej jak pojedynczy komputer.
Rezultaty testw kontroli (ang. Managed entity result)
Tabela 6.4.1. Terminy i definicje zwizane z IT GRC
6.5.
Cykl ycia procesu zgodnoci w oparciu o IT GRC PMP
Narzdzia IT GRC Process Management Pack, System Center Service Manager oraz System Center Configuration Manager dostarczaj zamknity i peny cykl zarzdzania dla procesu zgodnoci IT. Cykl ycia zgodnoci integruje procesy oraz wiedz poprzez mechanizm mapowania szczegowych wymaga w obrbie obowizujcych przepisw i regulacji na konfiguracj i dziaania dla okrelonych produktw, a nastpnie ledzenie zachodzcych tam zmian poprzez dokonywanie raportw kontrolnych.
Poniszy rysunek ilustruje gwne zadania i obowizki osb zaangaowanych w cykl ycia zgodnoci IT w obrbie kadego kroku procesu.
Rozpoznanie wytycznych IT GRC uwzgldniajc obowizujce prawo, regulacje, standardy, kontrakty oraz polityki
1 2 3 4
Przegld raportw okrelajcych stan zgodnoci IT GRC
Kadra Zarzdzajca
8 7 6 5
Okrelenie moliwoci zastosowania wytycznych IT GRC
Wykonanie kontroli (audytu) dziaa podjtych przez organizacj w celu zapewnienia zgodnoci IT GRC
Audytorzy
Planowanie i wdroenie celw kontrolnych i dziaa programu IT GRC wymaganych przez regulacje i przepisy
IT Compliance Manager
Wykonanie raportw ktre okrelaj stan zgodnoci IT GRC w organizacji
Konfiguracja i wprowadzenie dziaa opartych na technologiach i procesach organizacji w celu zapewnienia zgodnoci z regulacjami i przepisami.
Pomiary stanu zgodnoci IT GRC w organizacji
Specjalici IT Zarzdzanie Zgodnoci Ze Standardami
Zarzdzane Komputery
Rys. 6.5.1. Gwne zadania i obowizki osb zaangaowanych w cykl ycia procesu zgodnoci IT Naley zwrci uwag, e przepyw cyklu ycia zgodnoci IT zaprezentowany na rysunku 2.5.1 jest cile okrelony na wysokim szczeblu kadry zarzdzajcej oraz wskazuje precyzyjny przepyw procesw pomidzy rolami, ale zosta celowo uproszczony. Kady osoba wykonujca swoj prac musi komunikowa si z innymi na temat nastpujcych cech wymaga stawianych przez IT GRC:
Zastosowanie cecha ta zawiera proces rozpoznania wymaga w obrbie obowizujcych przepisw i regulacji, ktre s znaczce i peni istotn rol dla organizacji. Na przykad Payment Card Industry Data Security Standard (PCI DSS) bdzie dotyczyo organizacji prowadzcych dziaalno biznesow z uytkownikami kart kredytowych przetwarzajcych ich dane zawarte na kartach kredytowych w ramach utrzymywanej infrastruktury IT. Wystarczalno cecha ta zawiera proces rozpoznania wymaga w obrbie obowizujcych regulacji i rozpoznanie, czy przedstawione regulacje s wystarczajce i pozwol na zapewnienie zgodnoci. Na przykad: ustawienie minimalnej dugoci hasa na warto 8-znakow dla wszystkich uytkownikw jest elementem wystarczajcym dla wszystkich obowizujcych i stosowanych regulacji. Zasadno cecha ta zawiera proces rozpoznania wymaga w obrbie obowizujcych regulacji i okrelenia, czy przedstawione regulacje s rozsdne, racjonalne i praktyczne. Na przykad decyzja o wymaganiu minimalnej dugoci hasa o wartoci 16 znakw moe by technicznie wykonalna, ale niepraktyczna we wdroeniu z uwagi na fakt, i uytkownicy mog nie zapamita swoich hase. Dodatkowe informacje na temat stosowania IT GRC w kontekcie cyklu ycia usug IT oraz innych rl uytkownikw dziau IT dostpne s w dokumencie: Governance, Risk, and Compliance Service Management Function76 w kontekcie MOF 4.0.
6.6.
Poniej przedstawiono dodatkowe rda informacji na temat bezpieczestwa systemu Windows 7 SP1, opublikowanych na stronach Microsoft.com: Compliance Solution Accelerators77 Governance, Risk, and Compliance Service Management Function78 w oparciu o MOF 4.0 IT GRC Process Management Pack SP1 for System Center Service Manager79 Microsoft System Center Marketplac.80 System Center Configuration Manager81 System Center Service Manager82 System Center Service Manager team blog83
76 77
http://go.microsoft.com/fwlink/?LinkId=115630 http://go.microsoft.com/fwlink/?LinkId=199861 78 http://go.microsoft.com/fwlink/?LinkId=115630 79 http://go.microsoft.com/fwlink/?LinkId=201578 80 http://go.microsoft.com/fwlink/?LinkId=82105 81 http://go.microsoft.com/fwlink/?LinkId=206193 82 http://go.microsoft.com/fwlink/?LinkId=155958 83 http://blogs.technet.com/servicemanager/
7.
Narzdzie Security Compliance Manager (SCM) w praktyce
Rozdzia dostpny jest w formie Zacznika do niniejszego opracowania.

Przewodnik Zabezpieczen Systemu Windows 7 SP1 SCP

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Przewodnik Zabezpieczen Systemu Windows 7 SP1 SCP

Uploaded by

Copyright:

Available Formats

PRZEWODNIK ZABEZPIECZE SYSTEMU WINDOWS 7 SP1

OPRACOWANIE POWSTAO W RAMACH SECURITY COOPERATION PROGRAM (SCP)

Narzdzie Security Compliance Manager (SCM) w praktyce....................................................... 142

b. Zarzdzanie bezpieczestwem i zgodnoci ze standardami przy wykorzystaniu technologii

1.1. Praca z rekomendowanymi bazowymi ustawieniami konfiguracji (baseline)

Do kogo skierowany jest ten podrcznik?

Dodatkowe informacje i wskazwki

http://go.microsoft.com/fwlink/?LinkId=113940 http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-managerscm.aspx#comment-2585 8 http://fdcc.nist.gov/

http://go.microsoft.com/fwlink/?LinkId=105520 http://go.microsoft.com/fwlink/?LinkId=113940 11 http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliancemanager-scm.aspx#comment-2585 12 http://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threads

2. Wdraanie rekomendowanych zasad bezpieczestwa w kontekcie bazowych ustawie systemu Windows 7

Rys. 2.2.1 Delegation Wizard w ADUC.

Kontrolery domeny Windows Server 2008 Windows 7

Rys. 2.3.1 Przystawka Zarzdzanie zasadami grupy

Struktura speniajca powysze warunki zostaa przedstawiona na rysunku 2.3.4.

Zbir podstawowy zasad dla kontrolerw domeny

Zasady uytkownika Windows 7 Zasady uytkownika Internet Explorer 8

Zasady uytkownika Office 2010

Zasady uytkownika Windows 7 Zasady uytkownika Internet Explorer 8

Zasady uytkownika Office 2010

Zasady dla serwerw AD DS

Zasady dla serwerw DNS

Zasady dla serwerw plikw

Zasady dla serwerw AD CS

Zasady dla serwerw RDS

Zasady dla serwerw DHCP

Zasady dla serwerw Web

Zasady dla serwerw wydruku

Zasady dla serwerw NPAS

Zasady dla serwerw Hyper-V

Rys. 2.4.1 Doczanie filtru WMI do zbioru GPO.

Tab 2.4.2. Przykady filtrw WMI

Omwienie narzdzia Local Policy Tool

Rys.2.5.1. Folder LocalGPO w Menu Start

2.6. Omwienie i praktyczne zastosowanie narzdzia Attack Surface Analyzer (ASA)

Omwienie mechanizmu kont MSA

Ustawienia zasad domenowych

2.8.1. Konfigurowanie ustawie dla zbioru Zasady hase

Zapisz hasa dla wszystkich uytkownikw w domenie, korzystajc z szyfrowania odwracalnego

(Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy)

Poziom wanoci Krytyczny

Ustawienie domylne Brak

Ustawienie zalecane przez Microsoft 15 minut

0 nieudanych zalogowania Brak

50 nieudanych prb zalogowania 15 minut

2.10. Ustawienia zasad Computer Policy Settings

2.11. Konfigurowanie szczegowych ustawie zbioru Zasady inspekcji

Poziom wanoci Krytyczny

Ustawienie domylne Nie skonfigurowano

Ustawienie zalecane przez Microsoft Sukces i Niepowodzenie Nie skonfigurowano

Sukces i Niepowodzenie Nie skonfigurowano

Sukces i Niepowodzenie Sukces

Sukces i Niepowodzenie Nie skonfigurowano

Sukces i Niepowodzenie Sukces i Niepowodzenie

Sukces i Niepowodzenie Nie skonfigurowano Nie skonfigurowano

Nie skonfigurowano Nie skonfigurowano

2.12. Konfigurowanie szczegowych zasad zbioru Przypisywanie praw uytkownika

Usuga lokalna, Usuga sieciowa NT Services\All services

Usuga lokalna, Usuga sieciowa -

Logowanie w trybie wsadowym

Administratorzy, Operatorzy kopii zapasowych, Uytkownicy dziennikw wydajnoci Administratorzy

Administratorzy, Usuga sieciowa, Usuga lokalna, Uytkownicy

Personifikuj klienta po uwierzytelnieniu

Administratorzy, Usuga, Usuga lokalna, Usuga sieciowa Administratorzy

Administratorzy, Usuga, Usuga lokalna, Usuga sieciowa -