- •2.Идентификатор безопасности (sid)
- •3. Маркеры и субъекты доступа. Олицетворение.
- •4. Диспетчер уз. Назначение. Виды…
- •5. Взломы паролей. Меры повышения защищенности паролей.
- •6. Защита компа во время запуска. Wsh
- •7. Dep, kpp, wpr, Изоляция сессий, aslr.
- •9. Редактор шаблонов.
- •10. Групповая политика
- •11. Родконтроль
- •12. AppLocker
- •13. Дескрипторы безопасности объекта. Dacl и acl.
- •14. Организация контроля доступа к объекту.
- •15. Особенности наследования
- •16. Efs, причины появления. Механизмы работы
- •17. Основные компоненты.
- •18. Особенности реализации функции KeyRecovery
- •19. Efs, особенности работы в сети операций копирования и перемещения
- •20. Tpm. Использование BitLocker
- •21. Принципы работы системы Bitlocker. Bitlocker to go
11. Родконтроль
В висте в домашних версиях имелась функция родительского контроля, который позволял ограничивать использование компьютера детьми и контролировать их действия.
В Win7 родительский контроль есть во всех версиях. Для его настройки необходимы админские права, а дети должны иметь права обычного пользователя. Родительское ограничение можно задавать только на локальном компьютере, причем ни для админских, ни для доменных УЗ задавать их нельзя.
Родительский контроль позволяет:
1)ввести ограничение по времени
2) можно включить контроль игр, установив возрастную категорию, или явно запретить запуск некоторых игр. При желании можно блокировать игры по конкретному содержанию.
3) можно разрешить/запретить запуск любой проги, т.е. реализовать ЗПС.
В Vistaбыл веб-фильтр, который позволяет установить уровень ограничения
на посещение сайтов. Можно было явно задать список разрешенных сайтов, блокировать загрузку.
В Vistaможно было просмотреть отчет об активности отдельного пользователя. В отчет заносились наиболее посещаемые сайты, информация о запущенных приложениях и играх, об медиа, интернет-чатах. Анализировалась информация об обмене гиперссылками.
В отчет вносится изменения в системе, в параметрах ПК, изменения в системных часах, неудачные попытки регистрации.
В Win7 компоненты о веб-фильтрации и отчеты об активности исключены, их можно загрузить с веб-сайтаMicrosoft.
В отличие от Vistaпоявилась дополнительная возможность управлять списком контактов отслеживаемого, кому может посылать сообщения, либо с кем он общается через пейджеры.
Также можно посмотреть отчет о действиях пользователя: что делал, загружал,играл, какие сайты посещал.
12. AppLocker
При построении рабочей станции одно из правил безопасности это - использование доверенного ПО.
В ХР и 2003 для этого использовались политики ограниченного использования программ или software restriction policies (SRP). Начиная с висты к этим политикам добавились правила для сетевых зон, а в Win 7 появился Applocker. В целом могли использоваться несколько типов правил -
правила для сертификата (издателя). Считается надежным типом правила, позволяет разрешать-запрещать использовать приложение на основе их эцп. Но есть ПО без цифровых подписей, это плохо. границы подписей чересчур широки, так при разрешении подписанных микрософтом приложений разрешаются все приложения микрософта, коих миллионы.
хэш-правило. Анализируются хэш исполняемых файлов. -: при обновлении приложений, их хэш меняется, их уже не запустить.
правило для путей. Одно из слабых. Разрешение или блокировка производится на основе пути файловой системы или реестра, где оно установлено. Пользователь с достаточными правами может перенести прогу в другое место, не ограниченное данным правилом, и запускать оттуда.
правило для зон интернета. Запрещение загрузки или установки для зон приложений из интернета на основе определенных зон или сайтов, с которых эти приложения были загружены. Недостаток - правило касается только пакетов винды .msi и применимо только для загрузки файлов. Если юзер загрузил .zip, такой тип файла не мог препятствовать установке приложения.
правило для сетевых зон. Учитывает сетевое расположение файла в данный момент. Может создать политику, разрешающую пользователю выполнять приложение только на локальном компьютере.
В Win 7 и Server 2008 политика ограничения ПО кардинально переделана и получила название Applocker. Он используется во всех серверных версиях и в версиях клиентских ОС. W7 Professional может использоваться для создания правила Applocker, но применяться к ним AppLocker не может.
При обновлении до семерки политики ограничения ПО для объектра групповой политики продолжает работать. Но если определить политику апплокера в том GPO, где были политики ограничения ПО, то на компьютерах с семеркой будут применяться только политики Апплокера, на компах с хп и вистой только политики ограничения ПО. Правила Апплокера могут быть настроены на принудительное исполнение файла или только на аудит. Имеется четыре раздела правил Апплокера:
Исполняемый файл .exe, com
Файлы сценариев cmd
Пакеты винды .msi
Dll-файлы .dll, .ocx, если они включены в настройку.
Правила апплокера либо разрешающие, либо запрещающие. Сjздаются белые или черные списки приложений. За всем не уследишь, лучше использовать белый список. Можно добавлять исключения, они позволяют запускать определенные файлы, не взирая на правила.
Правила апплокера могут быть связаны с конкретными пользователями или группами в рамках организации, например только запускать 1С.
Правила для издателя позволяют указывать разрешенные версии, например можно создать правило разрешать запускать acrobat reader 9.0+, если у него есть эцп adobe.
Правила апплокера могут быть организованы в коллекции. Для создания правил необходима локальная или групповая политика безопасности, нужно выбрать политику управления приложений. Правило можно создать
- с помощью мастера создания правил, одновременно только одно правило.
- реализовать автоматизированную генерацию правил, выбрав папку, юзера или группу, для которых будет применяться правило, которое сгенерирует несколько правил. Генерировать можно только белые правила.
Можно выпонять импорт и экспорт правила. Апплокер обеспечивает реализацию ЗПС, защиты ПО, мешает уязвимости, благодаря запрещенному запуску НС приложений, в т.ч. вредоносного ПО. Запрещен пользовательский запуск приложений, которые бесполезно потребляют сетевую пропускную способность.
Юзеры с правами админа могут обойти ограничение на ПО.