ÛãçèØÃÂ¥ Ã’ØàãáÞÃÂ’ - Xakep Online
ÛãçèØÃÂ¥ Ã’ØàãáÞÃÂ’ - Xakep Online
ÛãçèØÃÂ¥ Ã’ØàãáÞÃÂ’ - Xakep Online
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
SYN/ACK<br />
Компонент BitLocker входит в состав ОС, но по умолчанию<br />
не устанавливается<br />
В системе без TPM перед использованием BitLocker следует изменить<br />
групповые политики<br />
info<br />
• Для преобразования<br />
файлов .adm в<br />
.admx, а также для<br />
создания и редактирования<br />
готовых<br />
.admx используй<br />
бесплатную<br />
программу ADMX<br />
Migrator, которую<br />
можно найти на<br />
сайте Microsoft.<br />
• Обновленная консоль<br />
GPO в Win2k3/<br />
Win2k8 позволяет<br />
работать<br />
с ADMX-файлами.<br />
• В Win2k8 сертификаты,<br />
позволяющие<br />
получить доступ к<br />
зашифрованным данным,<br />
можно хранить<br />
на смарт-картах.<br />
• BitLocker не шифрует<br />
метаданные,<br />
загрузочные и поврежденные<br />
сектора.<br />
108<br />
Сертификат, сгенерированный при включении EFS<br />
Òàê êàê èçíà÷àëüíî ìåõàíèçì øèôðîâàíèÿ çàâÿçàí íà èñïîëüçîâàíèè<br />
TPM, â ñèñòåìàõ, ãäå îí îòñóòñòâóåò, ïðèäåòñÿ<br />
âûïîëíèòü åùå ðÿä øàãîâ, ÷òîáû àêòèâèðîâàòü BitLocker.<br />
Äëÿ ýòîãî âûçûâàåì «Ðåäàêòîð ãðóïïîâîé ïîëèòèêè»<br />
(gpedit.msc) è ïåðåõîäèì â «Ðåäàêòîð ëîêàëüíîé ïîëèòèêè<br />
— Àäìèíèñòðàòèâíûå øàáëîíû — Êîìïîíåíòû Windows»<br />
(Group Policy Object Editor — Administrative — Templates<br />
— Windows Component). Âûáèðàåì ïóíêò «Øèôðîâàíèå<br />
äèñêà BitLocker» (BitLocker Encryption) è äâàæäû ùåëêàåì<br />
«Óñòàíîâêà ïàíåëè óïðàâëåíèÿ: âêëþ÷èòü äîïîëíèòåëüíûå<br />
ïàðàìåòðû çàïóñêà». Â ïîÿâèâøåìñÿ îêíå óñòàíàâëèâàåì<br />
ïåðåêëþ÷àòåëü â ïîëîæåíèå «Âêëþ÷èòü» è àêòèâèðóåì ôëàæîê<br />
«Ðàçðåøèòü èñïîëüçîâàíèå BitLocker áåç ñîâìåñòèìîãî<br />
TPM». Òåïåðü âìåñòî TPM ìîæíî èñïîëüçîâàòü êëþ÷ çàïóñêà<br />
íà USB-óñòðîéñòâå. Çàêðûâàåì ðåäàêòîð, ÷òîáû íîâûå<br />
íàñòðîéêè ãðóïïîâûõ ïîëèòèê âñòóïèëè â ñèëó, è ââîäèì<br />
êîìàíäó «gpupdate.exe /force».<br />
 ñîñòàâ Win2k8 âõîäèò äîïîëíèòåëüíûé êîìïîíåíò «Óäàëåííîå<br />
óïðàâëåíèå BitLocker» (BitLocker-RemoteAdminTool),<br />
êîòîðûé ìîæíî óñòàíîâèòü áåç âêëþ÷åíèÿ BitLocker íà èñïîëüçóåìîì<br />
ñåðâåðå. Äëÿ ýòîãî äîñòàòî÷íî ââåñòè êîìàíäó:<br />
> ServerManagerCmd -install RSAT-BitLocker<br />
ШАБЛОНЫ БЕЗОПАСНОСТИ Íåñìîòðÿ íà ñâîå ãðîçíîå<br />
íàçâàíèå, øàáëîíû áåçîïàñíîñòè (Security Templates) ïðåäñòàâëÿþò<br />
ñîáîé îáû÷íûå òåêñòîâûå ôàéëû ñ ðàñøèðåíèåì<br />
.inf. Â íèõ ñîäåðæàòñÿ ãîòîâûå íàñòðîéêè áåçîïàñíîñòè:<br />
ëîêàëüíûå ïîëíîìî÷èÿ, ÷ëåíñòâî â ëîêàëüíûõ ãðóïïàõ (â<br />
Активировать EFS очень просто<br />
èäåàëå, ïîëüçîâàòåëè íå äîëæíû ÿâëÿòüñÿ ÷ëåíàìè ãðóïï,<br />
äàþùèõ áîëüøå ïðàâ, ÷åì èì â äåéñòâèòåëüíîñòè íóæíî),<br />
ðàçðåøåíèÿ äëÿ äîñòóïà ê ñåðâèñàì, ôàéëàì, êàòàëîãàì è<br />
ðàçäåëàì ðååñòðà. Ñ èõ ïîìîùüþ ìîæíî íå òîëüêî óêàçàòü,<br />
÷òî òîëüêî ïîëüçîâàòåëü user10 èìååò ïðàâî âûïîëíèòü<br />
äåéñòâèå X íàä îáúåêòîì Y, íî è ëåãêî âåðíóòü ñèñòåìó ê äåôîëòîâûì<br />
ñèñòåìíûì óñòàíîâêàì. Ýòî ìîæåò áûòü ïîëåçíî,<br />
êîãäà ïîñëå íåêîòîðûõ èçìåíåíèé ñèñòåìà ïåðåñòàëà íîðìàëüíî<br />
ôóíêöèîíèðîâàòü. Íàñòðîèâ øàáëîíû áåçîïàñíîñòè,<br />
èõ çàòåì ìîæíî ëåãêî âíåäðèòü ïðè ïîìîùè ãðóïïîâûõ<br />
ïîëèòèê (Group Policy) ñðàçó íà íåñêîëüêî ñåðâåðîâ èëè äàæå<br />
íà âñå êîìïüþòåðû äîìåíà.<br />
 Win2k3 èñïîëüçîâàëîñü äåâÿòü øàáëîíîâ (íàéäåøü èõ â<br />
êàòàëîãå %systemroot%\security\templates) — êàæäûé îòâå÷àë<br />
çà ñâîé ó÷àñòîê íàñòðîåê. Íàïðèìåð, âñå íàñòðîéêè,<br />
ñâÿçàííûå ñ áåçîïàñíîñòüþ, íàõîäèëèñü â Secure*.inf-ôàéëàõ.<br />
 Win2k8 âñåãî òðè ãëàâíûõ ôàéëà, â êîòîðûõ ñîäåðæàòñÿ<br />
øàáëîíû íàñòðîåê òèïè÷íûõ ñöåíàðèåâ èñïîëüçîâàíèÿ<br />
ñèñòåìû:<br />
1. Defltbase.inf — áàçîâûå/îáùèå íàñòðîéêè.<br />
2. Defltsv.inf — íàñòðîéêè, ñïåöèôè÷íûå äëÿ ñåðâåðîâ.<br />
3. Defltdc.inf — íàñòðîéêè, ñïåöèôè÷íûå äëÿ êîíòðîëëåðîâ<br />
äîìåíà.<br />
È ãëàâíîå: èçìåíåíî ðàñïîëîæåíèå ôàéëîâ — òåïåðü îíè íàõîäÿòñÿ<br />
â %systemroot%\inf ñðåäè ìíîæåñòâà äðóãèõ ôàéëîâ,<br />
èìåþùèõ ðàñøèðåíèå inf. Ýòî íåñêîëüêî çàòðóäíÿåò ïîèñê<br />
íóæíîãî øàáëîíà. Åñòü åùå ðÿä äîïîëíèòåëüíûõ ôàéëîâ äëÿ<br />
ðåøåíèÿ óçêîñïåöèàëèçèðîâàííûõ çàäà÷, íàïðèìåð, dcfirst.<br />
inf ñëåäóåò ïðèìåíÿòü ïðè ñîçäàíèè ïåðâîãî ÊÄ â ëåñó. Íî<br />
XÀÊÅÐ 04 /124/ 09