Руководство по безопасности Windows® 7

Вид материала

Руководство

Содержание Процесс снижения рисков Ход процесса снижения рисков Конкретные шаги по снижению риска с помощью EFS Encrypting File System Рисунок 3.1 Диалоговое окно свойств файловой системы EFS Шаблон и параметры Computer Configuration\ Computer Configuration\ Computer Configuration\ Computer Configuration\

Подобный материал:

• Пошаговое руководство по использованию служб развертывания операционной системы Windows, 625.55kb.
• Пошаговое руководство по лицензированию служб терминалов операционной системы Windows, 1052.45kb.
• Операционные системы Windows и их архитектура, 278.87kb.
• Active Directory Rights Management Services ad rms в составе ос windows Server® 2008., 872.38kb.
• Обзор архитектуры Windows X, Windows 95, os/2 Warp, Windows, 132.71kb.
• Программы серии «эколог» по оценке загрязнения воздушного бассейна, 1181.63kb.
• Windows 2000 server русская версия, 684.62kb.
• Контрольная работа по дисциплине «Операционные системы» на тему: «Создание загрузочной, 431.67kb.
• Программа курса повышения квалификации профессорско-преподавательского состава «Поддержка, 52.13kb.
• Windows Vista против Ubuntu: кто лучше, 62.25kb.

Процесс снижения рисков

В определении конфигурации EFS, обеспечивающей оптимальную защиту конфиденциальных данных на клиентских компьютерах, поможет следующий процесс.

Ход процесса снижения рисков

1. 
   Изучить технологию EFS и ее возможности.
   

Примечание   Подробнее см. статью «Рекомендации по использованию шифрованной файловой системы» на веб-сайте Microsoft.com.

2. Определить степень необходимости технологии EFS в текущих условиях.
   
3. Изучить средства настройки EFS через групповую политику.
   
4. Определить, какие компьютеры и пользователи нуждаются в EFS.
   
5. Определить требуемый уровень защиты. Например, требуется ли использовать вместе с EFS смарт-карты.
   
6. С помощью групповой политики настроить EFS в соответствии с выбранной конфигурацией.
   

Конкретные шаги по снижению риска с помощью EFS

Параметры групповой политики, относящиеся к EFS, расположены в следующем разделе:

Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики открытого ключа\Файловая система EFS)

Чтобы добавить или создать агент восстановления данных (DRA), щелкните правой кнопкой узел Encrypting File System (файловая система EFS) и выберите пункт Properties (свойства), чтобы открыть диалоговое окно Encrypting File System Properties (Свойства: Файловая система EFS).



Рисунок 3.1 Диалоговое окно свойств файловой системы EFS

Параметр для алгоритма ECC «Allow» (разрешить), показанный на рис. 3.1, переводит EFS в смешанный режим, когда используются алгоритмы и RSA, и ECC. Если требуется обеспечить соответствие стандарту Suite B, следует выбрать вариант «Require» (требовать) и указать размер ключа сертификата ECC, как показано на рис. 3.2.



Рисунок 3.2 Диалоговое окно свойств сертификатов файловой системы EFS

Важно отметить, что эти параметры политики применяются только при первичном шифровании папки или файла. Если файл или папка уже были зашифрованы на момент изменения настроек, доступ к ним будет обеспечиваться как раньше, и использовавшийся алгоритм шифрования не изменится. Вариант Require (требовать) не обеспечивает принудительного использования алгоритма AES для ключа шифрования файлов; принудительно используется только алгоритм ECC.

Параметры EFS также находятся в четырех шаблонах групповой политики, перечисленных в следующей таблице.

Таблица 3.7 Параметры групповой политики EFS

Шаблон и параметры	Путь и описание	По умолчанию в Windows 7
GroupPolicy.admx EFS recovery policy processing (Обработка политики восстановления EFS)	Computer Configuration\ Administrative Templates\ System\Group Policy (Конфигурация компьютера\Административные шаблоны\Система\Групповая политика) Определяет, когда обновляются политики шифрования.	Не задано
EncryptFilesonMove.admx Do not automatically encrypt files moved to encrypted folders (Не выполнять автоматическое шифрование файлов, перемещаемых в зашифрованные папки)	Computer Configuration\ Administrative Templates\ System\ (Конфигурация компьютера\Административные шаблоны\Система\) Запрещает проводнику Windows шифровать файлы, перемещаемые в зашифрованную папку.	Не задано
OfflineFiles.admx Encrypt the Offline Files cache (Шифрование кэша автономных файлов)	Computer Configuration\ Administrative Templates\ Network\Offline Files\ (Конфигурация компьютера\Административные шаблоны\Сеть\Автономные файлы) Определяет, следует ли шифровать автономные файлы. Примечание   В ОС Windows XP с пакетом обновления 3 (SP3) эти файлы шифруются ключом системы, в то время как в ОС Windows Vista с пакетом обновления 1 (SP1) и более поздних для этого используется ключ пользователя.	Не задано
Search.admx Allow indexing of encrypted files (Разрешить индексирование шифрованных файлов)	Computer Configuration\ Administrative Templates\ Windows Components\ Search\ (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Поиск\) Разрешает индексирование зашифрованных элементов поиском Windows. Примечание   Если зашифрованные файлы разрешено индексировать, и при этом сам индекс не защищен в достаточной степени средствами EFS или как-то иначе, может возникнуть угроза безопасности.	Не задано

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.