Обеспечение безопасной серверов, сети и рабочих станций

не позволяет изменять файлы и папки защищенные Windows Resource Protection

(WRP).
Случайное или намеренное удаление защищенных объектов затруднено.
Window Resource Protection (WRP) может защищать ключи реестра.

Типы защищаемых файлов:

.acm, .ade, .adp, .app, .asa, .asp, .aspx, .ax, .bas, .bat, .bin, .cer, .chm, .clb, .cmd, .cnt, .cnv, .com, .cpl, .cpx, .crt, .csh, .dll, .drv, .dtd, .exe, .fxp, .grp, .h1s, .hlp, .hta, .ime, .inf, .ins, .isp, .its, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .man, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msi, .msp, .mst, .mui, .nls, .ocx, .ops, .pal, .pcd, .pif, .prf, .prg, .pst, .reg, .scf, .scr, .sct, .shb, .shs, .sys, .tlb, .tsp, .url, .vb, .vbe, .vbs, .vsmacros, .vss, .vst, .vsw, .ws, .wsc, .wsf, .wsh, .xsd, and .xsl.

в кэш папку %Windir%\winsxs\Backup.

Прочие защищаемые файлы хранятся в %systemroot%\system32\dllcache

.asp, .aspx, .ax, .bas, .bat, .bin, .cer, .chm, .clb, .cmd,

.cnt, .cnv, .com, .cpl, .cpx, .crt, .csh, .dll, .drv, .dtd, .exe, .fxp, .grp, .h1s, .hlp, .hta, .ime, .inf, .ins, .isp, .its, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .man, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msi, .msp, .mst, .mui, .nls, .ocx, .ops, .pal, .pcd, .pif, .prf, .prg, .pst, .reg, .scf, .scr, .sct, .shb, .shs, .sys, .tlb, .tsp, .url, .vb, .vbe, .vbs, .vsmacros, .vss, .vst, .vsw, .ws, .wsc, .wsf, .wsh, .xsd, and .xsl.

его из следующих источников:

Кэш папки
Сетевой путь к дистрибутиву
Windows CD-ROM

для защиты от физической кражи систем
Позволяет выполнять защищенный старт системы
Использует

TPM или USB диск для хранения ключей

BitLocker

и зеленые – сервисы сторонних производителей
Режим ядра (Kernel Mode)
NT Сервис

(TPM) v1.2 для проверки pre-OS компонентов
Настраиваемые методы защиты и аутентификации
Защита

до запуска ОС
USB ключи, PIN, TPM аутентификация
Единый драйвер TPM от Microsoft
Улучшеная стабильность и безопасость

TPM Base Services (TBS)
Позволяет включать в цепочку приложение от сторонних поставщиков
Active Directory Backup
Автоматизированное резервное копирование ключей в AD
Поддержка групповых политик
Скриптовые интерфейсы
Управление TPM
Управление BitLocker™
Инструменты коммандной строки

логотип Vista certified
Не совместимое с TPM оборудование
BIOS должен поддерживать загрузку

с USB включая считывание данных с USB до загрузки ОС.

состоят из трех избыточных копий данных, включая статистическую информацию о

томе
защищенные копии некоторых ключей расшифровки*





*Эти элементы не требуют шифрования, поскольку не являются уникальными, ценными или позволяющими определить личность.

увеличение длины ключа до 256 бит с помощью GPO или

WMI.

Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному.

Перед шифрованием данных используется алгоритм, называемый диффузором (diffuser). В результате его применения любое мельчайшее изменение исходных данных приводит к полному изменению всего сектора.

защифрован VMK. Пользователи доступа к
ключу FVEK не имеют и

он никогда не попадает
на диск в расшифрованном виде

(volume master key, VMK) – мастер ключ тома
разблокируется контрольной суммой
предзагрузочных компонентов

подсчитывает контрольные суммы и сравнивает с эталонными

же PC? (EFS)
Неавторизованый физический доступ? (BitLocker™)

о состоянии здоровья Network Policy серверу (RADIUS)
3
3
Network Policy Server (NPS)

проверяет параметры здоровья на соответствие политике здоровья определенной департаментом ИТ

4

Если здоровье не соответствует политикам, помещаем клиента в карантинную сеть и даем доступ к серверу восстановления где он сможет скачать обновления, настройки, сигнатуры антивируса. (Повторяем шаги 1 - 4)

Не соответствует

5

Если здоровье клиента соответствует политикам, даем ему доступ в корпоративную сеть

Соответствует политике

NPS

DHCP, VPN
маршрутизато, коммутатор

4

5

Клиент запрашивает доступ в сеть и передает данные о состоянии здоровья

(IAS)
NPS это реализация RADIUS сервера от Microsoft с поддержкой

основных RFC RADIUS и EAP
NPS работает только на Windows Server 2008

доступа в сеть
Хранение настроек устройств используемых для доступа в сеть
Прозрачное

перенаправление запросов аутентификации в AD

предоставлять удобный доступ к сетям и сервисам (single sign-on)
NPS

объединяет в одной точке отчетность и управление доступом для всех способов (802.1x, VPN, DHCP…)

изменениями
Администрирование основаное на ролях и шаблонах
Гибкая модель делегирования
Отслеживание версий, история

изменений и возвращение к предыдущей конфигурации

Ускорение управления за счет более точного административного контроля
Уменьшает риск глобального сбоя

Управляемость PC
Диагностика и Help Desk

лесе Active Directory

Просмотр всех объектов GPO в одном списке

Редактирование объектов в автономном режиме

Отчет о настройках GPO, безопасности (security), фильтрах (filter), копировании (delegation) и т.п.

Контроль наследования GPO inheritance с помощью Block Inheritance (блокировка наследования), Enforce (усиление) и Security Filtering (фильтры безопасности)

Модель делегирования (Delegation model)

Создание резервных копий объектов GPO

Перемещение объектов GPO в различные домены и леса

Что затронуло это изменение

компьютеров компании Forsyth County в реальном времени, эффективно и безопасно

Результат:
Легкость

и безопасность построения объектов групповых политик
Развертование групповых политки в нужный момент вместо ожидания замены PC из-за износа
Применение групплвых политик в реальном времени и минимизация простоев
Упрощение и автоматизация процесса управления изменениями групповых политик

“Advanced Group Policy для нас это серебряная пуля. Автоматизация управления изменениями и система делегирования полномочий действительно впечатляют. Я не смог бы управлять групповыми политиками без нее”.
MICHAEL WILCOX
MIS CLIENT SERVICES SUPERVISOR
FORSYTH COUNTY

Создание и управление групповых политик, подерживающих конфигурацию рабочих мест в соответствии с последними требованиями