Политика ограничений на исполнение программ дает возможность создать централизованно список допустимых приложений, с целью заблокировать выполнение на рабочих станциях неизвестных программ или вредоносного кода. Эта функция построенная на основе политики для идентификации программного обеспечения. Она определяет нежелательное или враждебное программное обеспечение запрещает его исполнение на компьютерах. Политика ограничений на исполнение программ работает только в домене, а значит не может использоваться в одноранговых сетях на базе Windows XP Professional и на компьютерах с ОС Windows XP Home Edition.
Существует два варианта установки правил ограничения:
На все программное обеспечение устанавливается запрет на исполнение, затем создается список разрешенных к выполнению программ.
Разрешается запуск любых программ и создается список запрещенных к исполнению программ. Доступ к программам определяется правами пользователя.
При создании файла, создается уникальный цифровой "отпечаток пальцев" файла (хеш), который хранится вместе с файлом. Хеш не меняется при перемещении или переименовании файла. Однако, при внесении изменений в файл, хеш тоже меняется. Как правило код программы не меняется и хеш точно идентифицирует файл. Можно создавать правило для хеша, чтобы идентифицировать разрешаемую или запрещаемую для исполнения программу. Также можно идентифицировать программы по полному пути, указав папку, программы из которой запускаться не будут (или будут, в зависимости от того, какое правило необходимо создать). Правило для хеша имеет приоритет над правилом для пути. Из двух похожих правил для пути, приоритет имеет правило с большим ограничением. Можно вести журнал примечаний политик ограничений на исполнение программ.
Служба управления правами.
Служба управления правами (Rights Management Services, RMS) поможет пользователям контролировать и защищать электронную информацию. Используя политику безопасности, служба RMS дает пользователям возможность назначать доступ к данным, включая закрытую деловую информацию и другие жизненно важные ресурсы сети. Например, можно разрешить использовать файл с данными только для просмотра. Такой файл нельзя распечатать, скопировать или вставить данные в другую программу. То же правило можно применить и к сообщениям электронной почты. В качестве дополнительной меры предосторожности можно указать, что электронное сообщение невозможно редактировать и переадресовывать. Так же можно установить ограничение по времени, и спустя указанный срок документ станет недоступен.
Компоненты Службы управления правами (RMS):
Серверная часть Службы управления правами, устанавливается на платформе Windows Server 2003 и обрабатывает основные функции лицензирования, активации оборудования, регистрации и администрирования.
Клиентская часть Службы управления правами будет доступна для пользователей Windows 98 Second Edition и более поздних версий операционных системы Microsoft. Пользователи могут назначать правовые политики для клиентских приложений.
Для повышения уровня защиты в Службе управления правами используется язык XrML (Extensible Rights Markup Language), являющийся новым стандартом языка с поддержкой прав доступа. Язык XrML, основанный на языке XML, представляет простое в использовании средство создания прав и политик при работе с электронными документами.
Центр сертификации.
Центр сертификации, встроенный в Windows Server 2003, объединяет службы сертификации и средства управления сертификатами, и предназначен для организации защищенного документооборота с использованием электронных цифровых подписей. Используя инфраструктуру открытого ключа (PKI), центр сертификации может реализовывать следующие технологии:
поддержку входа со смарт-картой,
проверка подлинности клиента с использованием SSL (Secure Sockets Layer) и TLS (Transport Layer Security),
безопасная электронная почта,
цифровые подписи,
защита сетевого трафика с помощью IPSec (Internet Protocol Security).
Операционная система Windows XP Professional хранит сертификаты в персональном хранилище, расположенном в папке Documents and Setting\<имя_пользователя>\ApplicationData\Microsoft\SystemCertificates\My\Certificates. При каждом входе в систему компьютера сертификаты записываются в локальном реестре.
Встроенные средства шифрования.
Приложения Microsoft Office XP и Office 2003 для защиты документов используют встроенные средства шифрования. Пользователи могут шифровать файлы с данными, используя пароль в качестве ключа. Такое шифрование отличается от использования шифрующей файловой системы (EFS) тем, что здесь файл передаваемый по сети остается зашифрованным, тем самым позволяя гарантировать защиту информации пользователя как во время хранения, так и во время пересылки.
Применяя эту модель обеспечения безопасности в Microsoft Outlook 2002 и Outlook 2003, пользователи могут обмениваться безопасными сообщениями электронной почты, как через Интернет, так и внутри организации.
Шифрующая файловая система EFS.
Шифрующая файловая система (Encrypting File System, EFS) предназначена для защиты файлов, хранящихся на жестких дисках формата NTFS. Шифрование файлов происходит на физическом уровне, и пользователь работает с шифрованными файлами и папками так же, как и с незашифрованными. При этом неавторизованные пользователи не смогут открыть зашифрованные файлы и папки, даже получив физический доступ к компьютеру.
Применение шифрующей файловой системы особенно удобно при работе нескольких пользователей на одном компьютере или для мобильных пользователей, которые сталкиваются с повышенным риском кражи и потери компьютера. Даже если злоумышленник извлечет жесткий диск и подключит его к другому компьютеру, он не сможет овладеть конфиденциальной информацией.
Шифрующая файловая система не используется при передачи файлов по сети. Файл сначала расшифровывается, а затем в обычном виде передается по сети. За безопасную передачу данных по сети отвечают другие службы (например, протокол IPSec), шифрующая файловая система EFS отвечает только за безопасное хранение данных.
Основные свойства EFS:
Пользователи Windows 2000, Windows XP и Windows Server 2003 могут зашифровать каталоги NTFS томов, при этом все файлы в закрытых каталогах будут зашифрованы.
Система EFS поддерживает шифрование удаленных файлов, даже при их совместном использовании.
При необходимости зашифрованные данные могут быть восстановлены при помощи EFS.
Политика восстановления данных для каждой группы пользователей может быть сконфигурирована своя, а контроль за соблюдением этой политики может делегироваться другим пользователям.
Восстановление данных в EFS - закрытая операция, при которой расшифровываются сами данные, но не ключ пользователя, при помощи которого эти данные были зашифрованы.
Шифрование и расшифрование происходит незаметно для пользователя, в процессе записи и считывания данных с диска.
Средства резервного копирования от Microsoft поддерживают систему шифрования EFS и позволяют копировать и восстанавливать зашифрованные файлы без их расшифровки.
Система EFS гарантирует, что все создаваемые копии будут зашифрованы.
Усовершенствованная система шифрования EFS в Windows Server 2003 позволяет выполнять авторизацию дополнительных пользователей для доступа к зашифрованным данным, шифровать автономные файлы, а также хранить зашифрованные файлы в веб-папках.
Поддержка протокола IPSec.
Протокол IP не имеет механизма безопасности, поэтому пакеты, передаваемые по сети, легко перехватывать и фальсифицировать. Протокол IPSec был разработан с целью обеспечить безопасность пересылаемых по сети данных и выполняет две основные задачи:
защита IP-пакетов
защита от сетевых атак
Для защиты IP-пакетов в IPSec служат криптографические механизмы. Они защищают пакеты путем шифрования, используя алгоритм и ключ. Секретный ключ создается на каждом компьютере локально и никогда не передается по сети. На основе этого ключа, используя специальный алгоритм, компьютеры создают общий ключ, который станет частью политики IPSec. С помощью общего ключа информация шифруется отправителем и дешифруется получателем.
Помимо защиты на физическом уровне, IPSec обеспечивает безопасность на основе правил политики. Контроль доступа в IPSec обеспечивается за счет фильтров и указанных для них действий. Действия фильтров определяются требованиями к безопасности и могут выполнять три основные функции:
политику сквозного трафика (защита выключена). Данная настройка применима когда удаленный компьютер не поддерживает IPSec или для сети не нуждающейся в защите. *политику блокировки (запрет соединения), например, если необходимо заблокировать опасный компьютер. *политику согласования защиты (защита включена частично). Позволяет соединяться с компьютером, но используя ряд ограничений.
В правилах могут использоваться различные методы аутентификации, например:
протокол безопасности Kerberos v5
сертификаты открытого ключа
общий ключ
Новые возможности протокола IPSec реализованы в операционной среде Windows Server 2003. Среди них:
Фильтрация сетевого трафика в процессе загрузки операционной системы, вплоть до полной блокировки трафика до тех пор, пока не начнет действовать политика IPSec
Использование 2048-битных ключей для протокола IKE (Internet Key Exchange)
Приложение IP SM (IP Security Monitor) позволяющее конфигурировать политику IPSec.
Утилита командной строки Netsh, позволяющая управлять параметрами и правилами протокола IPSec.
Безопасность беспроводных соединений.
Повышенный уровень безопасности в беспроводных сетях (стандарт 802.1х) обеспечивается за счет поддержки автоматического управления ключами, а также проверки подлинности и авторизации пользователей перед доступом к локальной сети. При использовании подключений с длительным временем ожидания быстрая восстанавливаемость практически исключает возможность повреждения пакетов и разъединения.
Операционная система Windows XP позволяет подключить к компьютеру различные переносные устройства (сотовые телефоны, компьютеры, и т.д.) благодаря встроенной поддержке средств беспроводной передачи данных.
Организация виртуальных частных сетей (VPN).
С помощью виртуальной частной сети (VPN) можно предоставить пользователю безопасный доступ к локальной сети используя сеть Интернет.
Операционная система Windows Server 2003 реализует два типа VPN-технологий:
протокол PPTP (Point-to-Point Tunneling Protocol), применяющий методы проверки подлинности PPP (Point-to-Point Protocol) на уровне пользователя и шифрование данных MPPE (Microsoft Point-to-Point Encryption);
протокол L2TP (Layer Two Tunneling Protocol) с IPSec. L2TP применяет методы проверки подлинности PPP на уровне пользователя и сертификаты с шифрованием данных IPSec на уровне компьютера.
