Поради та рекомендації щодо захисту windows 7

Знайомимося з BitLocker

BitLocker - одне з найвідоміших удосконалень захисту в Windows 7. Ця технологія шифрування жорсткого диска і захисту цілісності завантажувальної середовища вперше з`явилася в Windows Vista. BitLocker входить в редакції Enterprise і Ultimate операційної системи Windows 7. Технологія не дозволяє зловмисникові отримати дані з жорсткого диска вкраденого ноутбука за умови, що на момент крадіжки комп`ютер був вимкнений.

З BitLocker пов`язана одна складність - відновлення даних після апаратного збою, при якому були заблоковані захищені томи. Тому, хоча BitLocker забезпечує чудовий захист, багато ІТ-фахівців вважають його проблематичним, тому що як правило стикаються з цією технологією, коли доводиться відновлювати дані.

Для відновлення даних потрібен доступ до ключів або паролів BitLocker, що належать до заблокованими томами. Коли комп`ютерів трохи, стежити за ключами і паролями просто, але якщо рахунок іде на сотні, завдання сильно ускладнюється.

Групові політики дозволяють ІТ-фахівцям настроїти BitLocker так, щоб шифрування активізувалося тільки після успішного створення резервних копій ключів і паролів відновлення в Active Directory. Відновлення зашифрованих даних значно спростилося за рахунок змін, внесених в оснастку «Active Directory - користувачі і комп`ютери» (Active Directory Users and Computers) в Windows Server 2008 R2Ю, і появи Засоби віддаленого адміністрування сервера (Remote Server Administration Tools) для Windows 7. Пошук паролів і ключів відновлення став набагато простіше, ніж в аналогічних засобах Windows Vista.

Замість того, щоб завантажувати, встановлювати та конфігурувати спеціальні засоби, досить звернутися ключам і паролів відновлення BitLocker, використовуючи вкладку «Відновлення BitLocker» (BitLocker Recovery) - вона відображається на сторінці властивостей облікового запису комп`ютера в оснащенні «Active Directory - користувачі і комп`ютери».

Процес створення резервної копії ключів і паролів BitLocker складається з трьох етапів.

1. У редакторі групової політики облікових записів комп`ютерів, які буде захищати BitLocker перейдіть в папку Конфігурація комп`ютера / Адміністративні шаблони / Компоненти Windows / Захист диска BitLocker (Computer Configuration / Windows Settings / Administrative Templates / Windows Components / BitLocker Drive Encryption).

2. Якщо у комп`ютера лише один диск, перейдіть до вузла «Диски операційної системи» (Operating System Drives) і відредагуйте політику «Вибір методів відновлення дисків операційної системи, захищених за допомогою BitLocker» (Choose how BitLocker-protected operating system drives can be recovered). Якщо на машині більше одного диска, перейдіть до вузла «Фіксовані диски з даними» (Fixed Data Drives) і відредагуйте політику «Вибір методів відновлення жорстких дисків, захищених за допомогою BitLocker» (Choose how BitLocker protected fixed data drives can be recovered). Зверніть увагу, що хоча політики можна налаштувати однаково, діяти вони будуть на різні диски.

3. Щоб налаштувати резервне копіювання паролів і ключів BitLocker в Active Directory при включеному захисті BitLocker, включите наступні параметри:

• Зберегти дані відновлення BitLocker в AD DS для дисків операційної системи (Save BitLocker recovery information to AD DS for operating system drives) (а також для жорстких дисків, якщо це потрібно);
• Не вмикати BitLocker до збереження даних відновлення в AD DS для дисків операційної системи (Do not enable BitLocker until recovery information is stored in AD DS for OS drives) (а також для жорстких дисків, якщо це потрібно).

Ключі та паролі захищених томів будуть скопійовані тільки після застосування політики. Ключі та паролі томів, на яких захист BitLocker була налаштована раніше, автоматично копіюватися в Active Directory не будуть. На таких комп`ютерах доведеться відключити і знову включити BitLocker - тільки після цього інформація відновлення потрапить в Active Directory.

Відео: ВСТАНОВИТИ 💽 WINDOWS 7 + ДРАЙВЕРА + ПРОГРАМИ + НАЛАШТУВАННЯ

Налаштування агента відновлення даних

Є інший варіант відновлення захищених BitLocker томів, що не вимагає вказівки своїх унікальних паролів або ПІН-кодів для кожного комп`ютера - Агент відновлення даних (Data Recovery Agent, DRA). Це спеціальний пов`язаний з обліковим записом користувача сертифікат, який може використовуватися для відновлення зашифрованих даних.

Агенти відновлення даних BitLocker налаштовуються шляхом редагування групової політики і визначення сертифікату за допомогою майстра додавання агентів відновлення даних, про який поговоримо трохи пізніше. До запуску майстра потрібно встановити сертифікат агента відновлення в доступній файлової системи або опублікувати його в Active Directory. Випустити сертифікат можна на комп`ютері, на якому встановлена служба сертифікації Active Directory.

При спробі відновлення даних обліковий запис користувача з локальним сертифікатом агента відновлення не зможе відкрити захищений механізмом BitLocker тому. Щоб відкрити Майстер додавання агентів відновлення, перейдіть до вузла Конфігурація комп`ютера / Конфігурація Windows / Параметри безпеки / Політики відкритого ключа (Computer Configuration / Windows Settings / Security Settings / Public Key Policies), клацніть правою кнопкою «Шифрування диска BitLocker» (BitLocker Drive Encryption) і виберіть «Додати агент відновлення даних» (Add data recovery agent).

Щоб активізувати BitLocker з агентом відновлення, потрібно також встановити прапорець «Дозволити агент відновлення даних» (Enable data recovery agent) в політиці «Вибір методів відновлення дисків операційної системи, захищених за допомогою BitLocker» (Choose how BitLocker-protected operating system drives can be recovered ) (якщо потрібно, це ж потрібно зробити для жорстких дисків). Одні і ті ж захищені BitLocker томи можна відновлювати як за допомогою ключів і паролів, збережених в Active Directory, так і засобами агента відновлення.

Відновлення за допомогою агента можливо тільки на захищених BitLocker томах, на яких BitLocker був включений після застосування політики. Перевага цього методу в порівнянні з відновленням із застосуванням пароля і ключа полягає в тому, що агент діє як універсальний ключ BitLocker. Це дозволяє відновлювати захищений тому, зашифрований в рамках політики, позбавляючи від необхідності шукати унікальний пароль або ключ кожного відновлюваного томи.

Засіб BitLocker To Go

Середній розмір багатьох сучасних знімних дисків порівняємо з об`ємом сховища загальних файлів в відділах малого і середнього розміру десять років тому. Це створює ряд складнощів.

По-перше, при втраті або крадіжці знімного диска компрометується істотний обсяг корпоративних даних. Але більшу проблему становить те, що користувачі набагато швидше повідомлять відділ ІТ про втрату ноутбука, ніж USB-диска, який може містити гігабайти корпоративних даних.

Новий засіб Windows 7, BitLocker To Go, дозволяє захищати запам`ятовують USB-пристрої приблизно так само, як BitLocker захищає операційну систему і встановлені диски. Налаштувавши належним чином групову політику, можна заборонити запис даних на знімні пристрої зберігання інформації, не захищені BitLocker To Go. Це підвищує безпеку - адже навіть якщо користувач втратить знімний пристрій, дані будуть зашифровані і стороннім буде зовсім нелегко дістатися до вмісту.

Відповідна BitLocker To Go політика знаходиться у вузлі Конфігурація комп`ютера / Адміністративні шаблони / Компоненти Windows / Захист диска BitLocker / Знімні диски з даними (Computer Configuration / Administrative Templates / Windows Components / BitLocker Drive Encryption / Removable Data Drives) об`єкта групової політики. У цьому вузлі є такі політики.

• Управління використанням BitLocker для знімних дисків (Control use of BitLocker on removable drives). Ця політика дозволяє визначити порядок використання BitLocker To Go на знімних дисках, в тому числі можуть звичайні користувачі включати або відключати BitLocker To Go на знімних пристроях. Наприклад, можна дозволити певним користувачам зберігати дані на вже захищених знімних дисках, але заборонити їм самостійно включати BitLocker на знімних пристроях.
• Заборонити запис на знімні диски, не захищені BitLocker (Deny write access to removable drives not protected by BitLocker). Ця політика дозволяє вирішити користувачам записувати дані тільки на пристрої, захищені шифруванням BitLocker To Go. Коли діє ця політика, стороння людина не зможе безперешкодно прочитати дані, що зберігаються на знімному пристрої, так як вони захищені шифруванням.
• Вибір методів відновлення зовнішніх носіїв, захищених за допомогою BitLocker (Choose how BitLocker-protected removable drives can be recovered). Ця політика дозволяє настроїти агент відновлення даних або зберігати інформацію для відновлення BitLocker To Go в Active Directory. Ця дуже важлива політика, бо як розгортаючи BitLocker To Go для захисту даних знімних пристроїв, обов`язково потрібно передбачити план відновлення даних в тих неминуче виникають ситуаціях, коли користувачі забуває свій пароль BitLocker To Go.

При наявності політик BitLocker To Go для знімних пристроїв, користувач повинен буде вводити пароль, щоб розблокувати пристрій на іншому комп`ютері. Після введення пароля користувач зможе виконувати читання і запис на пристрій на комп`ютері з редакцією Enterprise або Ultimate операційної системи Windows 7. Можна також настроїти BitLocker To Go так, щоб у користувачів був доступ тільки для читання захищених засобами BitLocker To Go даних на комп`ютерах під управлінням інших операційних систем Microsoft.

Якщо в організації планується використовувати BitLocker To Go, потрібно обов`язково передбачити стратегію відновлення даних на випадок, якщо користувачі втратять або забудуть пароль. Налаштування відновлення BitLocker To Go схоже на ту ж операцію в BitLocker. В цьому випадку потрібно налаштувати політику «Вибір методів відновлення зовнішніх носіїв, захищених за допомогою BitLocker» (Choose how BitLocker-protected removable drives can be recovered) в вузлі Конфігурація комп`ютера / Адміністративні шаблони / Компоненти Windows / Захист диска BitLocker / Знімні диски з даними ( Computer Configuration / Administrative Templates / Windows Components / BitLocker Drive Encryption / Removable Data Drives).

Можете організувати копіювання паролів BitLocker To Go в Active Directory, де вони будуть доступні адміністраторам, які користуються оснащенням «Active Directory - користувачі і комп`ютери» (Active Directory Users and Computers), і облікового запису комп`ютера, на якому пристрій спочатку було захищено засобами BitLocker To Go . Можна також настроїти політику захисту даних засобами агента відновлення даних, що дозволить користувачеві з сертифікатом такого агента відновлювати дані на дисках, не вдаючись до паролів.

Налаштування AppLocker

Ніяка антивірусна програма не в змозі перехопити абсолютно всі віруси або шкідливі програми, але можна створити додатковий рубіж захисту за допомогою AppLocker. Ця технологія дозволяє створити список програм, що вважаються безпечними, і дозволити виконання тільки таких додатків. Такий підхід до захисту комп`ютера дуже незручний тим, хто регулярно запускає нові і незвичайні програми, але в більшості організацій системна середовище стандартизована, а будь-які зміни додатків відбуваються поступово, тому дозвіл виконувати тільки «схвалені» додатка видається цілком розумним.

В дозволяють правила AppLocker можна включити не тільки виконувані файли, але сценарії, DLL-бібліотеки і MSI-файли. Чи не дозволені програми, сценарії, DLL або установники виконуватися не можуть.

Наявний в AppLocker майстер полегшує завдання створення списку дозволених додатків. Це одне з значний удосконалень AppLocker порівняно з політиками обмеження, які використовувалися в попередніх версіях Windows і забезпечували аналогічну функціональність.

У AppLocker також підтримуються правила ідентифікації файлів на основі цифрового підпису файлу видавцем - це дозволяє вирішити виконання не тільки існуючих, але і майбутніх версій файлу. Це позбавляє адміністраторів від рутини поновлення наявних правил після установки оновлення програмного забезпечення. Оновлений виконуваний файл, сценарій, установник або DLL будуть автоматично відповідати умовам вихідного правила. Подібне було неможливо в політиках обмеження, які змушували адміністраторів поновлювати правила при кожній зміні конфігурації ПО.

Щоб створити стандартний набір політик AppLocker, який потім можна буде застосовувати до інших комп`ютерів, виконайте наступні операції.

Відео: Вірус WannaCry! Як захистити Microsoft Windows (XP, 7, 8, 10) від WannaCry

1. Створіть еталонний комп`ютер під управлінням Windows 7 з усіма додатками, які будуть використовуватися у вашому середовищі.

2. Увійдіть в систему комп`ютера під обліковим записом користувача з правами локального адміністратора.

3. Відкрийте вікно Редактора локальної групової політики, виконавши команду Gpedit.msc в поле «Знайти програми та файли» (Search programs and files textbox).

4. Перейдіть в вузол Конфігурація комп`ютера / Конфігурація Windows / Параметри безпеки / Політики управління додатками / AppLocker / Виконувані правила (Computer Configuration / Windows Settings / Security Settings / Application Control Policies / AppLocker / Executable Rules). Клацніть правою кнопкою вузол «Виконувані правила» (Executable Rules) і виберіть «Створити правила автоматично» (Automatically generate new rules). Відкриється вікно «Створювати автоматично виконувані правила» (Automatically Generate Executable Rules).

5. У текстовому полі «Папка, що містить файли для аналізу» (Folder that contains the files to be analyzed) введіть c: . У текстовому полі «Ім`я, яке визначає набір правил» (Name to identify this set of rules) введіть Все виконувані файли (All Executables) і натисніть Далі (Next).

6. На сторінці «Параметри правил» (Rule Preferences) виберіть «Створити правила видавця для файлів з цифровим підписом» (Create publisher rules for files that are digitally signed) і, на той випадок, якщо файл не підписаний, також виберіть «Хеш файлу : правила створюються за допомогою хеша файлу »(File hash: rules are created using a filersquo-s hash). Переконайтеся, що параметр «Групувати схожі правила (щоб зменшити кількість правил)» (Reduce the number of rules by grouping similar files) не обрана і клацніть Далі.

7. Створення правила займе якийсь час. Коли завершиться генерація правил, клацніть Створити (Create). На питання, чи потрібно створювати правила за замовчуванням, дайте відповідь Ні (No) Ці правила не потрібні, так як область дії створюваних правил для всіх виконуваних файлів більш широка, ніж у правил за замовчуванням.

8. Якщо на комп`ютері програми зберігаються на декількох томах, повторіть операції з 5 по 7, вводячи відповідне ім`я диска в майстра створення автоматично виконуваних правил.

9. Створивши правила, виконайте експорт списку дозволених програм у форматі XML, для чого клацніть правою кнопкою вузол AppLocker і виберіть «Експортувати список» (Export Policy). Можна також імпортувати ці правила в інші об`єкти групової політики, наприклад розташовані на корпоративних ноутбуках. Після застосування цих правил засобами політики буде дозволено виконання тільки тих програм, які були встановлені на вихідному комп`ютері.

10. При конфігуруванні AppLocker потрібно не забути переконатися, що працює Служба посвідчень додатків (Application Identity) і виконувані правила застосовуються засобами політики. Якщо ця служба відключена, політики AppLocker застосовуватися не будуть. У груповій політиці можна налаштувати автоматичний запуск служби, але число користувачів з правами локального адміністратора потрібно обмежувати, щоб вони не могли обійти обмеження, накладені AppLocker. Щоб включити застосування виконуваних правил, відкрийте вузол Конфігурація комп`ютера / Конфігурація Windows / Параметри безпеки / Політики управління додатками / AppLocker (Computer Configuration / Windows Settings / Security Settings / Application Control Policies / AppLocker) і виберіть «Властивості» (Properties). Встановіть прапорець «Налагоджено» (Enable) в розділі «Правила виконуваних файлів» і переконайтеся, що обраний варіант «Примусове застосування правил» (Enforce Rules).

Відео: Як створити точку відновлення

Сподіваюся, ви зрозуміли, як реалізовувати і відновлювати BitLocker, використовувати BitLocker To Go і конфігурувати політики AppLocker. Використання цих технологій поряд з виконанням звичайних завдань з обслуговування (таких як своєчасна установка оновлень і антивірусних програм) дозволить підвищити безпеку комп`ютерів під управлінням Windows 7 у вашій організації.