Режим повышенной безопасности
🕛 06.01.2009, 05:09
Передовые технологии безопасности Windows XP с пакетом обновления 2 (SP2) легли в основу фундаментальных изменений архитектуры Windows Vista, которые помогают улучшить защиту клиентов от постоянно изменяющихся угроз, в т. ч. программ-червей и других типов вредоносных программ. Проектирование и разработка Windows Vista осуществлялись в соответствии с жесткими требованиями цикла разработки безопасности (SDL), процесса, который обеспечивает существенное снижение количества и серьезности имеющих отношение к безопасности ошибок проектирования и программных ошибок. Это позволило лучше защитить операционную систему от во зможных атак, а значит повысить целостность систем и приложений и предоставить организациям возможность более безопасно управлять своими сетями и изолировать их. Кроме того, в Windows Vista включены новые функции, обеспечивающие многоуровневую защиту от вредоносных программ, несанкционированного проникновения в систему и кражи данных. Такой подход основан на следующих принципах: предотвращение и блокирование атак, изоляция с целью ограничения во зможных повреждений, восстановление для возвращения подвергшихся атаке компьютеров в работоспособное состояние, идентификация и управление доступом для предоставления доступа к устройствам, приложениям и данным только легитимным пользователям. Центр обновления Windows, функция автоматического обновления, Центры обновления Microsoft и программа проверки обновлений для программного обеспечения, в рамках которой обновления перед выпуском подвергаются всестороннему тестированию, обеспечивают поддержку Windows Vista. При разработке операционной системы уделялось особое внимание соблюдению требований «Общих критериев» (СС), что необходимо для получения сертификата четвертого уровня (EAL4) и успешного прохождения проверки на соответствие федеральному стандарту обработки информации 140-2.
Сведения об усовершенствованной системе безопасности Windows Vista, предназначенные для ИТ-специалистов, представлены в трех последующих разделах: защита от угроз и ус транение уязвимостей, повышение безопасности доступа к информации и защита данных от несанкционированного доступа. Защита от угроз и устранение уязвимостей ИТ-отделам организаций и индивидуальным пользователям приходится тратить много времени и ресурсов на устранение и профилактику проблем, вызванных вредоносным программным обеспечением. Windows Vista включает мощные функции, с помощью которых можно предотвращать установку вредоносных программ или выявлять и удалять их прежде, чем они нанесут какой-либо ущерб. За счет этого повышается производительность и безопасность компьютера, а также сокращается количество обращений в службу поддержки.
Программы-шпионы и другое нежелательное программное обеспечение Защитник Windows (прежнее название - антишпионская программа Windows) помогает обнаруживать, удалять и блокировать программы-шпионы и другие нежелательные программы в режиме реального времени. Кроме того, в процессе обновления или перехода на Windows Vista используются стандартные сигнатуры вирусов для средства удаления вредоносных программ Майкрософт с целью поиска и удаления вирусов и других вредоносных программ. Пос ле завершения установки операционной системы пользователи могут в любое время загрузить это средство с веб-страницы www.microsoft.com/security и запустить его, либо делать это ежемесячно с помощью компонента «Автоматическое обновление». (Примечание. Применение данного средства не устраняет необходимости в использовании антивирусного ПО.) Дополнительные сведения о корпоративном решении для борьбы с вредоносными программами, Microsoft Forefront Client Security, см. на веб-странице www.microsoft.com/forefront/clientsecurity/default.mspx.
Персональный межсетевой экран
Один из наиболее действенных способов устранения угроз безопасности заключается в ограничении количества приложений, которые имеют право получать доступ к сети. Важной составляющей этой стратегии является встроенный в Windows Vista персональный межсетевой экран. По умолчанию персональный межсетевой экран включен и обеспечивает фильтрацию вх о дящего и исходящего трафика. С его помощью администратор может разрешить выполнение определенного приложения на локальном компьютере, но заблокировать во зможно с ть обмена данными по сети. Так, брандмауэр Windows в Windows Vista позволяет администратору запретить приложениям (например, мультимедийным программам) обращаться к другим компьютерам или отвечать на их запросы. Такие приложения будут во сп ро изво дить музыкальные композиции или демонстрировать видеофильмы на локальном компьютере, но не смогут подключаться к веб-узлам в Интернете. Кроме того, улучшению управляемости, в т. ч. на уровне всей организации, способствует то, что параметры брандмауэра Windows Vista можно настраивать через объекты групповой политики.
Ограничение полномочий системных служб Windows
Персональный межсетевой экран тесно взаимодействует с новой технологией ограничения полномочий системных служб Windows, которая помогает предотвратить использование системных служб Windows для выполнения непредусмотренных действий в файловой системе, реестре или сети. Брандмауэр Windows поддерживает фильтрацию входящего и исходящего трафика и позволяет применять правила ограничения полномочий системных служб. Кроме того, с помощью таблиц управления доступом (ACL) службам можно разрешить производить запись только в определенные области файловой системы и реестра. Благодаря этому служба, которая попала под управление злоумышленника, будет не в состоянии изменить важные параметры конфигурации в файловой системе и реестре или заразить другие компьютеры, имеющиеся в сети. Например, можно запретить службе удаленного вызова процедур (RPC) переписывать системные файлы или модифицировать реестр.
Защита доступа к сети (NAP) Клиент NAP в Windows Vista помогает организации ус танавливать требования к состоянию клиентских компьютеров (например, наличие определенных обновлений для ПО и обновленной базы сигнатур для антивирусной программы) и проверять соблюдение этих требований при подключении компьютеров к сети. Клиентские компьютеры, которые не соответствуют установленным требованиям, в сеть не допускаются. Интегрированное управление межсетевым экраном и IPSec В Windows Vista функции управления межсетевым экраном и протоколом IPSec собраны на консоли «Брандмауэр Windows в режиме повышенной безопасности». Эта консоль обеспечивает наглядное представление конфигурации системы безопасности и позволяет централизованно управлять фильтрацией входящего и ис ходящего трафика, а также настраивать параметры изоляции сервера IPSec и домена.
Повышение безопасности работы в Интернете
При разработке функций безопасности Internet Explorer 7 в Windows Vista на первом плане стояло достижение двух основных целей: защита пользователей от вредоносных программ и обеспечение безопасности личных данных. - Защита от вредоносного программного обеспечения. Более «жесткая» система безопасности Internet Explorer 7 пресекает попытки запуска вредоносных программ на компьютерах пользователей. Например, единый модуль разбора URL-адресов делает практически невозможными атаки, направленные на переполнение буфера или вызов сбоя при разборе. Элементы управления междоменными сценариями ограничивают попытки программ-взломщиков манипулировать содержимым в одном домене Интернета с помощью сценария из другого домена. Кроме того, в обозревателе Internet Explorer 7 реализован новый механизм безопасности под названием «Подтверждение ActiveX», помогающий избежать непреднамеренного использования элементов управления ActiveX, которые были предварительно установлены на компьютере, но еще не включались.
При просмотре неизвестных веб-узлов функция подтверждения Act iveX спрашивает у пользователя разрешения на предоставление доступа к неиспользовавшемуся ранее элементу управления ActiveX. В защищенном режиме (доступен только в Windows Vista) обозреватель Internet Explorer 7 защищает пользователей от загруженных вредоносных программ, запрещая им производить запись в какие-либо ресурсы в зоне «Мой компьютер», кроме папки временных файлов Интернета. В этом режиме Internet Explorer 7 не может вносить изменения в пользовательские и системные файлы и параметры без согласия пользователя. Все взаимодействие происходит при помощи промежуточного процесса между обозревателем Internet Explorer и операционной системой. Этот процесс запускается только в том случае, если пользователь щелкает меню или окно Internet Explorer. В защищенном режиме никакие действия сценария или автоматические процессы не могут загружать данные или влиять на работу системы. Защищенный режим Internet Explorer также обеспечивает безопасность просмотра при помощи вкладок: для содержимого, находящегося вне текущей зоны безопасности, вместо вкладок открываются новые окна.
- Защита данных от кражи. В обозревателе Internet Explorer 7 реализован ряд новых усовершенствований, направленных на защиту личных данных пользователей. - Строка состояния безопасности. Предоставляет четкие и хорошо заметные визуальные сведения о безопасности и надежности веб-узлов (например, значок замка при посещении безопасного узла или результаты проверки сертификатов), позволяя пользователю быстро распознавать подлинные веб-узлы.
- Фильтр фишинга. Этот компонент Internet Explorer 7 повышает безопасность работы в Интернете путем предупреждения пользователя о подозрительных веб-узлах и веб-узлах, которые занимаются несанкционированным сбором данных.
- Адресная строка во всех окнах. Во всех окнах обозревателя Internet Explorer 7 отображается адресная строка. Злоумышленники часто используют вполне легальные действия со всплывающими окнами для отображения изображений и данных, обманным путем убеждающих пользователей загружать и устанавливать вредоносные программы. Наличие в каждом окне адресной строки позволяет пользователям получать сведения об истинном источнике той информации, которую они видят.
- Команда удаления журнала обозревателя. В прошлом пользователям приходилось по отдельности удалять сведения из журнала и кэша, стирать записи об автоматическом заполнении форм и очищать список программ, запущенных при помощи пункта «Выполнить» меню «Пуск». Команда «Удалить журнал обозревателя» дает возможность одним нажатием кнопки немедленно очистить журнал использования обозревателя и все личные данные.
Безопасность 64-разрядных версий
Используя функции безопасности современных 64-разрядных процессоров, 64-разрядные версии Windows Vista обеспечивают улучшенную защиту от наиболее разрушительных программ-червей и программ-взломщиков на аппаратном уровне. Предотвращение выполнения данных (DEP) За последние годы программы-взломщики, вызывающие переполнение буфера, нанесли немало вреда компьютерам под управлением Windows. Переполнение буфера возникает, когда область памяти (буфер), которая имеет ограниченный размер, получает слишком много данных и неправильно их обрабатывает. Например, если почтовый клиент способен обрабатывать вложенные файлы, в названии которых не больше 255 знаков, а в почтовый ящик поступает сообщение, содержащее вложение с названием длиной 256 знаков, то может произойти переполнение буфера. При этом переписываются смежные учас тки памяти, и по окончании ввода может быть выполнен вредоносный программный код. Печально известная программа-червь MSBlaster была программой взломщиком именно этого типа. 64-разрядные версии Windows Vista защищают компьютеры от переполнения буфера за счет поддержки реализованной в 64-разрядных процессорах функции предотвращения выполнения данных. (Некоторые 32-разрядные процессоры также включают встроенные аппаратные средства поддержки этой функции, и в 32-разрядных версиях Windows Vista предусмотрено предотвращение выполнения данных при использовании таких процессоров.) Эту функцию ни в коем случае не следует считать заменой качественному и правильно настроенному ПО для борьбы с вирусами и другими вредоносными приложениями, однако она является важным дополнительным уровнем безопасности и, в случае более раннего появления, скорее всего, смогла бы не допустить распространения программы-червя MSBlaster.
Дополнительные сведения о функциях безопасности см. в разделе Internet Explorer
Защита от исправлений ядра 64-разрядные версии Windows также поддерживают технологию защиты от исправления ядра, которая не позволяет программам вносить исправления в ядро Windows. Защита от исправления ядра обеспечивает отключение недокументированных и неподдерживаемых обработчиков ядра, что приводит к повышению надежности Windows. Недокументированные обработчики ядра могут снижать надежность и производительность, а также создавать проблемы с безопасностью всей системы.
Подписывание драйверов Начиная с версии Windows 2000, корпорация Майкрософт реализует концепцию «подписанных драйверов», которая позволяет пользователям получать сведения о происхождении драйверов и другого программного обеспечения, выполняющегося в ядре операционной системы. Несмотря на то, что эта технология может не допускать установки неподписанных драйверов, по умолчанию пользователь только получает предупреждение об установке неподписанного драйвера. С помощью групповой политики ИТ-администраторы могут заблокировать установку неподписанных драйверов, однако из-за наличия большого количес тва неподписанных драйверов во многих ситуациях это может оказаться нецелесообразным. Как правило, вредоносное программное обеспечение пытается установиться в ядро незаметно, а поскольку до появления Windows Vista проверка во время загрузки в ядро не проводилась, такие вредоносные программы могли успешно работать при условии, что эти действия выполнялись пользователем, обладающим административными привилегиями.
Безопасность на уровне ядра значительно усилена в 64-разрядной версии Windows Vista - теперь все драйверы, работающие в режиме ядра, должны быть подписанными. Наличие цифровой подписи подтверждает идентичность, а также целостность кода. Поврежденный или подделанный модуль ядра не будет загружен. Драйвер, не подписанный должным образом, не сможет попасть в память ядра и не будет загружен.
Подписывание драйверов не является гарантией безопасности, однако позволяет распознавать и предотвращать многие атаки и предос тавляет корпорации Майкрософт возможность оказывать помощь разработчикам с целью повышения общего качества драйверов и снижения количества возникающих из-за них сбоев. Обязательное подписывание драйверов также способствует повышению надежности Windows Vista, поскольку виновниками многих сбоев являются уязвимости в драйверах, работающих в режиме ядра. Идентификация разработчиков таких драйверов упрощает для корпорации Майкрософт выявление причин системных сбоев и позволяет ей вести работу с ответственными поставщиками по устранению таких неполадок. Преимущес твами подписанных и идентифицированных драйверов могут воспользоваться и системные администраторы, поскольку они получают дополнительные сведения о программном обеспечении, установленном на клиентских компьютерах, и его состоянии. Для обеспечения совместимости 64-разрядные драйверы ядра, прошедшие проверку в лаборатории WHQL, считаются надежно подписанными в Windows Vista.
Защита от угроз и устранение уязвимостей - основные возможности Возможность Краткое описание Защита от программ-шпионов Защитник Windows Поиск программ-шпионов и других нежелательных программ и их блокирование в режиме реального времени. Персональный межсетевой экран Фильтрация исходящего трафика Фильтрация как исходящего, так и входящего трафика. Ограничение полномочий системных служб Windows Ограничение полномочий системных служб Windows Каждой службе назначается защищенный от записи маркер, который разрешает доступ к файлам, реестру и сети только операциям, необходимым для нормальной работы соответствующей службы. Защита доступа к сети Агент клиента защиты доступа к сети (NAP) Агенты работоспособности системы определяют наличие необходимых исправлений и сигнатур вирусов, а также параметры конфигурации системы; агент карантина сообщает о сос тоянии клиентского комп ьютер а и координирует действия агентов работоспособности сис темы и серверной службы принудительного помещения на карантин. Интегрированное управление межсетевым экраном и IPSec Полная поддержка протокола IP версии 6 (I Pv6) Настройка протокола IPv6 через интерфейс пользователя и объекты групповой политики.
Брандмауэр Windows в режиме повышенной безопасности Обеспечивает наглядное представление конфигурации сис темы безопасности; поз воляет централизованно управлять фильтрацией входящего и исходящего трафика. Повышение безопасности работы в Интернете - защита от вредоносных программ Подтверждение ActiveX Спрашивает разрешение у пользователя при первом запуске элемента управления ActiveX. Защищенный режим Internet Explorer может производить запись только в папку временных файлов Интернета при нахождении в зоне «Интернет». Повышение безопасности работы в Интернете - защита данных от кражи Фильтр фишинга Предупреждает пользователя при попытке перейти на веб-уз ел с подозрительным адресом TCP/IP или URL ( например, содержащим специальные символы). Когда пользователь открывает веб-страницу, фильтр производит поиск в интерактивной базе данных вебузлов , которые были замечены в несанкционированном сборе данных. Удаление журнала обозревателя Удаление всех кэшированных данных (включая содержимое журнала, кэша обозревателя и форм) одним щелчком мыши. Строка состояния безопасности Подсветка адресной строки во время просмотра безопасного веб-узла, возможность быстро проверить достоверность сертификата узла. Безопасность 64-разря дных версий Предотвращение выполнения данных Блокирует выполнение нежелательного программного ко да при переполнении памяти. Защита от исправлений ядра Запрещает программам, не имеющим надлежащих прав, расширять возможности или заменять отдельные части ядра Windows.
Подписанные драйверы режима ядра
С целью повышения надежности и идентификации авторов драйвера разработчики обязаны подписывать драйверы, работающие в режиме ядра Windows. Повышение безопасности доступа к информации В Windows Vista реализован ряд функций, помогающих ИТ-специалистам проверять подлинность пользователей и контролировать доступ к ус тройс твам, приложениям и данным. Контроль учетных записей Благодаря функции контроля учетных записей (UAC) в Windows Vista появляется возможность развертывать Windows без использования административных привилегий, что дополнительно повышает безопасность и снижает совокупную стоимость владения. Пользователи с обычными учетными записями могут выполнять больше действий и испытывать меньше проблем, связанных с совместимостью приложений. Это помогает снизить опасность вредоносных программ, несанкционированной ус тановки приложений и изменения параметров системы. По умолчанию в Windows Vista существуют два типа пользователей: обычные и администраторы. Обычные пользователи не могут самостоятельно устанавливать большую часть приложений, изменять параметры системы и выполнять административные задачи. При попытке выполнения обычным пользователем задачи, требующей прав администратора, пользователь получает уведомление о том, что либо выполнение этой за дачи запрещено, либ о для продолжения необходимо ввести учетные данные администратора (в зависимости от настройки UAC). Если во втором случае пользователь введет допустимые учетные данные администратора, его полномочия будут повышены до уровня, необходимого для выполнения этой задачи. Чтобы устранить неудобства, которые многие обычные пользователи испытывали при работе с предыдущими версиями, Windows Vista предоставляет некоторые дополнительные привилегии, достаточные для выполнения стандартных задач. Выбор этих привилегий обусловлен тем, что они оказывают минимальное воздействие на безопасность, однако администраторы при желании могут ограничивать такие привилегии.
К новым разрешениям учетных записей обычного доступа относятся следующие: просмотр системных часов и календаря, изменение часового пояса, установка протокола WEP для подключения к защищенным беспроводным сетям, создание и настройка подключений к виртуальной частной сети, а также установка разрешенных устройства и элементов управления Ac t iv eX . Кроме того, теперь выполнение процесса дефрагментации диска планируется автоматически и не требует дейс твий со стороны пользователя. Благодаря виртуализации файлов и реестра в Windows Vista можно выполнять многие старые приложения, которые не могли работать с учетными записями обычных пользователей в Windows XP, поскольку такие приложения пытаются осуществлять запись данных в защищенные облас ти файловой системы и реестра, недоступные для обычного пользователя. Windows Vista улучшает совместимость приложений для таких пользователей за счет перенаправления записи (и последующих операций с файловой системой или реестром) в определенное местоположение в профиле пользователя. В Windows Vista реализован новый уровень защиты для администраторов, называемый режимом одобрения администратором. В обычных условиях администраторы имеют те же полномочия, что и обычные пользователи. При попытке выполнения действия, требующего административных привилегий, появляется запрос подтверждения, и пользователь может принять обоснованное решение о необходимости продолжения. Если пользователь выберет продолжение выполнения, уровень привилегий будет оперативно повышен. Проверка подлинности Сегодня наиболее распространенным способом проверки подлинности является применение паролей. Тем не менее, подобная одноуровневая проверка имеет ряд недостатков. Простые, удобные для запоминания пароли легко разгадываются злоумышленниками. Более длинные и сложные пароли трудно запомнить, и пользователи вынуждены записывать их на бумаге. Благодаря модернизации архитектуры Windows Vista поддерживает добавление альтернативных способов проверки подлинности, например на основе биометрических характеристик и маркеров. С целью внедрения собственных технологий проверки подлинности независимые поставщики ПО и другие компании могут разрабатывать специальные поставщики учетных данных для усовершенствованной службы Winlogon. Модель поставщиков учетных данных значительно проще замещения графической идентификацией и авторизацией (GINA), и несколько поставщиков могут функционировать параллельно. Авторизация Усовершенствованные функции управления правами, реализованные в Windows Vista, позволяют сохранять контроль над объектами интеллектуальной собственности и предоставлять доступ к конфиденциальным данным только полномочным пользователям. Для разработки прав и условий использования цифрового содержимого предназначен язык XrML.
Настраиваемый аудит С помощью функций аудита в Windows Vista можно легко отслеживать действия пользователей. Категории аудита теперь включают в себя ряд подкатегорий, за счет чего снижается количес тво несущественных событий. ИТ-специалисты могут централизованно собирать события с различных компьютеров для целей аудита и анализа. Управление учетными данными Управление учетными данными (например, паролями и сертификатами) и оборудованием (например, смарт-картами для хранения учетных данных) является непростой задачей для многих организаций. В Windows Vista имеются передовые средства для управления учетными данными перемещаемых пользователей, в том числе новая служба управления цифровой идентификацией (DIMS) и новый процесс подачи заявки на сертификат. С помощью таких ресурсов, как автоматическое средство сброса персональных идентификационных номеров (P IN) , стало проще развертывать смарт-карты. Малые предприятия и индивидуальные пользователи теперь могут архивировать и восстанавливать учетные данные, хранящиеся в папке «Сохраненные имена пользователей и пароли». Криптографические службы Криптография является важным компонентом служб проверки подлинности и авторизации Windows. По требованию многих компаний и правительственных учреждений в Windows Vista были реализованы службы криптографии нового поколения (CNG). Первый выпуск служб CNG позволяет добавлять в Windows новые алгоритмы для использования с протоколами SSL/TLS и IPSec. Кроме того, Windows Vista содержит новый обработчик безопасности, обеспечивающий принятие решений о доверии для таких служб, как управление правами. Повышение безопасности доступа к информации - основные возможности Возможность Краткое описание Контроль учетных записей Режим одобрения администратором Создается маркер «администратора» со всеми полномочиями, а когда пользователь с повышенными правами входит в систему, путем отделения административных прав и групп создается второй, «обычный» маркер. Этот маркер обычного пользователя по умолчанию применяется для запуска рабочего стола и других приложений. Запрос подтверждения и учетных данных Перед запуском приложения с полными административными правами на защищенном рабочем столе пользователя появляется предложение подтвердить свое согласие или указать уч етные данные. Виртуализация файлов и реестра В случае невозможности записи в общесистемные файлы и реестр происходит перенаправление записи в профиль пользователя. Чтение происходит в первую очередь из виртуального или назначенного определенному пользователю местоположения, а уже затем - из общесистемных папок. Это позволяет запускать старые приложения без административных полномочий. Значок в виде щита Операции, для выполнения которых необходимы учетные данные администратора, в интерфейсе пользователя отмечены значком в виде щита . Чтобы получить к ним доступ, обычному пользователю достаточно, не выходя из сис темы, указать учетные данные администратора. Проверка подлинности Kerberos и ус о вершен с твованные протоколы Поддержка новых сценариев использования, стандартов веб-служб и протокола IP версии 6, а также повышение произ водительнос ти. Модернизированная архитектура службы Winlogon С целью внедрения альтернативных технологий проверки подлинности независимые поставщики ПО и др у ги е организ ации могут разрабатывать собственные поставщики уч етных данных, например на основе биометрических характеристик и маркеров. Модель поставщиков уч етных данных значительно проще замещения GINA.
Помимо упрощения разработки поставщиков уч етных данных обеспечивается возможность одновременного функционирования нескольких поставщиков. Авторизация Диспетчер авторизации Улучшенное уп р авлен и е ролями, определениями и назначениями ролей; повышение масштабируемости и производительности. Язык XrML Поддержка языка XrML версий 2.0 и 1.2, который применяется для разработки прав и ус ло ви й использования цифрового содержимого. Управление учетными данными Усовершенствованный диспетчер учетных данных Архивирует и восстанавливает учетные данные пользователей. Служба DIMS Обеспечивает перемещение сертификатов и учетных данных в лесу Active Directory, а также поддерживает комплексные сценарии управления жизненным циклом сертификатов. Управление смарт-картами Поддержка дополнительных сценариев, в том числе присоединения к домену. Подача заявки на сертификат Х.509 Переработанный процесс подачи заявки с расширенными классами API для разработчиков и развитыми пользовательскими функциями. Возможность Краткое описание Криптографические службы Службы CNG В рамках криптографич еской инфраструктуры предоставляют интерфейсы API и среду, необходимые для добавления в систему новых алгоритмов или их разновидностей. Службы CNG поддерживают протоколы SSL/TLS и IPSec. В будущем планируется обеспечить поддержку др у ги х сценариев, например S/MIME и EFS. Инфраструктура смарт-карт Через общий модуль карт предоставляется стандартный поставщик служб криптографии для карт всех типов; поддержка подключения к домену. Защита данных от несанкционированного доступа В Windows Vista реализован ряд новых функций, с помощью которых ИТ-администраторы смогут поддерживать целостность устройств и данных. Шифрование диска Windows BitLocker Средство шифрования диска BitLocker, доступное в выпусках Windows Vista Enterprise и Ultimate для клиентских компьютеров и в серверной ОС Windows Server Longhorn, предназначено для защиты данных на аппаратном уровне. Корпорация Майкрософт разработала это средство в ответ на одно из самых настоятельных требований клиентов: ус транить чрезвычайно реальную угрозу кражи или утечки данных на потерянном, украденном или некорректно списанном компьютерном оборудовании, работающем под управлением ОС Windows. Средство BitLocker не позволяет злоумышленникам посредством загрузки другой операционной системы или использования инструментов для взлома ПО нарушать защиту файлов и системы Windows Vista или получать автономный до ст уп к файлам, хранящимся на защищенном диске.
Оптимальным решением для защиты от взлома пользовательских данных и ПК под управлением Windows является использование доверенного платформенного модуля (TPM) версии 1.2. Благодаря функции BitLocker сотрудники организаций, работающие как в офисе, так и за его пределами, получают дополнительную защиту данных в случае кражи или потери компьютеров. Кроме того, обеспечивается надежное удаление данных при списании таких активов. Усиление защиты данных достигается за счет использования двух основных подфункций: шифрования диска и проверки целостности компонентов, используемых на начальных этапах загрузки операционной системы. Шифрование диска не позволяет несанкционированным пользователям взламывать защиту системы и файлов Windows, содержащихся на потерянных, украденных или некорректно списанных компьютерах. Средство BitLocker обеспечивает шифрование всего тома Windows, включая пользовательские и системные файлы, файлы подкачки и спящего режима. Проверка целостности компонентов начальной загрузки гарантирует, что расшифровка данных производится только в том случае, если эти компоненты не были изменены, а зашифрованный диск расположен в исходном компьютере.
Клиент службы управления правами Windows (RMS) Служба управления правами помогает организациям контролировать и защищать важные цифровые данные за счет использования смарт-карт, а также поддержки ключей большей длины и специальных средств обмена информацией при взаимодействии типа бизнес-бизнес. В состав Windows Vista входит встроенный клиент службы RMS. Шифрованная файловая система (EFS) Файловая система EFS служит для шифрования файлов и папок на уровне пользователя. Например, если на одном компьютере работают два пользователя, то с помощью файловой системы EFS каждый из них может шифровать свои данные так, чтобы они были недоступны другому. В Windows Vista управление файловой системой EFS по сети улучшено благодаря возможности хранения ключей EFS на смарт-картах. Управляемая установка драйверов устройств Чтобы не допустить разглашения или кражи конфиденциальных данных и объектов интеллектуальной собственности, ИТ-администратор может с помощью групповой политики Windows Vista заблокировать ус тановку съемных запоминающих устройств (флэш-накопители USB, внешние жесткие диски и др.). Управление использованием съемных запоминающих устройств В дополнение к управлению установкой драйверов ус тройс тв в Windows Vista предусмотрена новая групповая политика в отношении съемных запоминающих устройств, с помощью которой ИТ-администраторы могут управлять передачей данных между компьютером и съемным запоминающим ус тройс твом для отдельных пользователей.
Защита данных от несанкционированного доступа - основные возможности Возможность Краткое описание Шифрование дисков BitLocker Полное шифрование системного загрузочного тома. Управление установкой драйверов устройств Можно настроить политики, запрещающие использовать съемные запоминающие устройства и другие драйверы устройств. Смарт-карты EFS Ключи файловой системы EFS можно хранить на смарт-карте. Клиент RMS Обеспечивает возможность соз дания защищенных документов и получения к ним доступа. (Требуется сервер RMS.)