ЛУЧШИХ ВИРУСОВ - Xakep Online

SYN/ACK
Компонент BitLocker входит в состав ОС, но по умолчанию
не устанавливается
В системе без TPM перед использованием BitLocker следует изменить
групповые политики
info
• Для преобразования
файлов .adm в
.admx, а также для
создания и редактирования
готовых
.admx используй
бесплатную
программу ADMX
Migrator, которую
можно найти на
сайте Microsoft.
• Обновленная консоль
GPO в Win2k3/
Win2k8 позволяет
работать
с ADMX-файлами.
• В Win2k8 сертификаты,
позволяющие
получить доступ к
зашифрованным данным,
можно хранить
на смарт-картах.
• BitLocker не шифрует
метаданные,
загрузочные и поврежденные
сектора.
108
Сертификат, сгенерированный при включении EFS
Òàê êàê èçíà÷àëüíî ìåõàíèçì øèôðîâàíèÿ çàâÿçàí íà èñïîëüçîâàíèè
TPM, â ñèñòåìàõ, ãäå îí îòñóòñòâóåò, ïðèäåòñÿ
âûïîëíèòü åùå ðÿä øàãîâ, ÷òîáû àêòèâèðîâàòü BitLocker.
Äëÿ ýòîãî âûçûâàåì «Ðåäàêòîð ãðóïïîâîé ïîëèòèêè»
(gpedit.msc) è ïåðåõîäèì â «Ðåäàêòîð ëîêàëüíîé ïîëèòèêè
— Àäìèíèñòðàòèâíûå øàáëîíû — Êîìïîíåíòû Windows»
(Group Policy Object Editor — Administrative — Templates
— Windows Component). Âûáèðàåì ïóíêò «Øèôðîâàíèå
äèñêà BitLocker» (BitLocker Encryption) è äâàæäû ùåëêàåì
«Óñòàíîâêà ïàíåëè óïðàâëåíèÿ: âêëþ÷èòü äîïîëíèòåëüíûå
ïàðàìåòðû çàïóñêà». Â ïîÿâèâøåìñÿ îêíå óñòàíàâëèâàåì
ïåðåêëþ÷àòåëü â ïîëîæåíèå «Âêëþ÷èòü» è àêòèâèðóåì ôëàæîê
«Ðàçðåøèòü èñïîëüçîâàíèå BitLocker áåç ñîâìåñòèìîãî
TPM». Òåïåðü âìåñòî TPM ìîæíî èñïîëüçîâàòü êëþ÷ çàïóñêà
íà USB-óñòðîéñòâå. Çàêðûâàåì ðåäàêòîð, ÷òîáû íîâûå
íàñòðîéêè ãðóïïîâûõ ïîëèòèê âñòóïèëè â ñèëó, è ââîäèì
êîìàíäó «gpupdate.exe /force».
 ñîñòàâ Win2k8 âõîäèò äîïîëíèòåëüíûé êîìïîíåíò «Óäàëåííîå
óïðàâëåíèå BitLocker» (BitLocker-RemoteAdminTool),
êîòîðûé ìîæíî óñòàíîâèòü áåç âêëþ÷åíèÿ BitLocker íà èñïîëüçóåìîì
ñåðâåðå. Äëÿ ýòîãî äîñòàòî÷íî ââåñòè êîìàíäó:
> ServerManagerCmd -install RSAT-BitLocker
ШАБЛОНЫ БЕЗОПАСНОСТИ Íåñìîòðÿ íà ñâîå ãðîçíîå
íàçâàíèå, øàáëîíû áåçîïàñíîñòè (Security Templates) ïðåäñòàâëÿþò
ñîáîé îáû÷íûå òåêñòîâûå ôàéëû ñ ðàñøèðåíèåì
.inf. Â íèõ ñîäåðæàòñÿ ãîòîâûå íàñòðîéêè áåçîïàñíîñòè:
ëîêàëüíûå ïîëíîìî÷èÿ, ÷ëåíñòâî â ëîêàëüíûõ ãðóïïàõ (â
Активировать EFS очень просто
èäåàëå, ïîëüçîâàòåëè íå äîëæíû ÿâëÿòüñÿ ÷ëåíàìè ãðóïï,
äàþùèõ áîëüøå ïðàâ, ÷åì èì â äåéñòâèòåëüíîñòè íóæíî),
ðàçðåøåíèÿ äëÿ äîñòóïà ê ñåðâèñàì, ôàéëàì, êàòàëîãàì è
ðàçäåëàì ðååñòðà. Ñ èõ ïîìîùüþ ìîæíî íå òîëüêî óêàçàòü,
÷òî òîëüêî ïîëüçîâàòåëü user10 èìååò ïðàâî âûïîëíèòü
äåéñòâèå X íàä îáúåêòîì Y, íî è ëåãêî âåðíóòü ñèñòåìó ê äåôîëòîâûì
ñèñòåìíûì óñòàíîâêàì. Ýòî ìîæåò áûòü ïîëåçíî,
êîãäà ïîñëå íåêîòîðûõ èçìåíåíèé ñèñòåìà ïåðåñòàëà íîðìàëüíî
ôóíêöèîíèðîâàòü. Íàñòðîèâ øàáëîíû áåçîïàñíîñòè,
èõ çàòåì ìîæíî ëåãêî âíåäðèòü ïðè ïîìîùè ãðóïïîâûõ
ïîëèòèê (Group Policy) ñðàçó íà íåñêîëüêî ñåðâåðîâ èëè äàæå
íà âñå êîìïüþòåðû äîìåíà.
 Win2k3 èñïîëüçîâàëîñü äåâÿòü øàáëîíîâ (íàéäåøü èõ â
êàòàëîãå %systemroot%\security\templates) — êàæäûé îòâå÷àë
çà ñâîé ó÷àñòîê íàñòðîåê. Íàïðèìåð, âñå íàñòðîéêè,
ñâÿçàííûå ñ áåçîïàñíîñòüþ, íàõîäèëèñü â Secure*.inf-ôàéëàõ.
 Win2k8 âñåãî òðè ãëàâíûõ ôàéëà, â êîòîðûõ ñîäåðæàòñÿ
øàáëîíû íàñòðîåê òèïè÷íûõ ñöåíàðèåâ èñïîëüçîâàíèÿ
ñèñòåìû:
1. Defltbase.inf — áàçîâûå/îáùèå íàñòðîéêè.
2. Defltsv.inf — íàñòðîéêè, ñïåöèôè÷íûå äëÿ ñåðâåðîâ.
3. Defltdc.inf — íàñòðîéêè, ñïåöèôè÷íûå äëÿ êîíòðîëëåðîâ
äîìåíà.
È ãëàâíîå: èçìåíåíî ðàñïîëîæåíèå ôàéëîâ — òåïåðü îíè íàõîäÿòñÿ
â %systemroot%\inf ñðåäè ìíîæåñòâà äðóãèõ ôàéëîâ,
èìåþùèõ ðàñøèðåíèå inf. Ýòî íåñêîëüêî çàòðóäíÿåò ïîèñê
íóæíîãî øàáëîíà. Åñòü åùå ðÿä äîïîëíèòåëüíûõ ôàéëîâ äëÿ
ðåøåíèÿ óçêîñïåöèàëèçèðîâàííûõ çàäà÷, íàïðèìåð, dcfirst.
inf ñëåäóåò ïðèìåíÿòü ïðè ñîçäàíèè ïåðâîãî ÊÄ â ëåñó. Íî
XÀÊÅÐ 04 /124/ 09