Orin Thomas
Há várias etapas básicas óbvias para proteger um computador: Mantê-lo atualizado com as atualizações de aplicativos e mais recente sistema operacional, verifique se você instalou o anti-spyware mais recente e o software antivírus e usar senhas complexas, alterá-los regularmente. Neste artigo, abordarei algumas dicas de segurança que vão além dessas estratégias básicas e ajudá-lo a utilizarem melhor os recursos de segurança do Windows 7.
Preparar para BitLocker
Um dos mais notáveis aprimoramentos de segurança no Windows 7 está sendo BitLocker, a tecnologia de disco rígido de criptografia e ambiente de inicialização-proteção de integridade que apresentou no Windows Vista. Windows 7, Enterprise e Ultimate edições incluem o BitLocker. A tecnologia garante que usuários não autorizados não é possível recuperar dados de unidades de disco rígido de roubo ou perda de laptops, desde que o computador foi desligado quando está ausente.
Um desafio que BitLocker apresenta, porém, é recuperar dados após uma falha de hardware que bloqueia volumes protegidos. Portanto, embora o BitLocker oferece excelente proteção, muitos profissionais de TI encontrá-lo problemático porque eles tendem a encontrá-lo somente quando eles devem executar as operações de recuperação.
Recuperação de dados requer acesso às chaves do BitLocker ou senhas associadas com os volumes protegidos. Embora seja relativamente fácil controlar os para um pequeno número de computadores, ao fazer isso de várias centenas é muito mais desafiador.
A diretiva de grupo ajuda os profissionais de TI a configurar o BitLocker para que ele pode ser ativado somente quando a recuperação de chaves e senhas com êxito sofreram backup para o Active Directory. Extrair esses dados de recuperação foi bastante simplificada, aperfeiçoamentos para o console do Active Directory Users and Computers no Windows Server 2008 R2 e para as ferramentas ServerAdministration remota para computadores que executam o Windows 7. Localizar as senhas de recuperação e chaves é muito mais fácil do que com as ferramentas do Windows Vista.
Em vez de baixar, instalar e configurar ferramentas especiais, você pode acessar as chaves de recuperação do BitLocker e senhas de uma guia de recuperação do BitLocker. Você verá isso ao exibir propriedades da conta do computador no Active Directory Users and Computers. Garantir que as chaves de BitLocker e as senhas são backup é um processo em três etapas:
1. Na diretiva de grupo para as contas de computador do sistema BitLocker protegerá, navegue até configuração do computador | configurações do Windows | Modelos administrativos | componentes do Windows | BitLocker Drive Encryption.
2. Agora, se o computador tiver somente uma unidade de armazenamento, navegue até o nó Brazilian OS unidades e edite a escolher como protegido por BitLocker unidades do sistema operacional podem ser recuperada da diretiva. Se o computador tiver mais de uma unidade de armazenamento, você também deve ir para o nó de unidades de dados fixo e edição a escolher como o BitLocker protegido fixo dados drives podem ser recuperada de diretiva. Observe que, embora você possa configurar suas configurações de forma idêntica, as diretivas serão aplicadas a diferentes unidades.
3. Para configurar o BitLocker de modo que senhas e chaves são submetidas ao backup para Active Directory quando a proteção BitLocker é ativada, certifique-se de ativar as configurações:
· Salvar informações de recuperação do BitLocker em AD DS para OS drives (ou fixo unidades de dados, quando apropriado)
· Não habilite o BitLocker até que a recuperação de informações é armazenada no AD DS para unidades de sistema operacional (ou fixo unidades de dados, quando apropriado)
Chaves e senhas serão incluídos no backup para volumes protegidos somente depois que a diretiva é aplicada. Volumes configurados para que a proteção BitLocker antes de Implementando a diretiva não terá suas chaves e senhas armazenadas automaticamente no Active Directory. Você terá que desativar e reativar o BitLocker nesses computadores para garantir que essas informações de recuperação torna para o banco de dados do AD DS.
Configurando um agente de recuperação de dados
Há outra opção disponível se você precisa recuperar BitLocker protegido volumes sem digitar senhas exclusivas ou pinos para uma conta de computador específica — um agente de recuperação de dados (DRA). Este é um tipo especial de certificado associado a uma conta de usuário que pode ser usada para recuperar dados criptografados.
Os agentes de recuperação de dados do BitLocker são configurados por editar a política de grupo e especificar um certificado DRA através do assistente Adicionar agente de recuperação de dados, que discutiremos em breve. Para usar o assistente, no entanto, deve haver um certificado DRA disponível em um sistema de arquivos acessíveis ou publicada no Active Directory. Computadores que hospedam a função de serviços de certificados do Active Directory podem emitir certificados.
Quando você tem que recuperar dados, uma conta de usuário que possui o certificado DRA instalado localmente não poderá desbloquear o volume protegido por BitLocker. Você pode acessar o Assistente adicionar agente de recuperação de dados, navegue até configuração do computador | configurações do Windows | configurações de segurança | diretivas de chave pública nó, clicando com o botão direito do mouse BitLocker Drive Encryption e selecionando a opção de agente de recuperação de adicionar dados.
Para usar o BitLocker com DRA, também deverá marcar a caixa de seleção de agente de recuperação de dados de ativar na escolha como unidades do sistema operacional protegido por BitLocker podem ser recuperadas diretivas (como bem como dos dados fixos de drives diretiva onde for apropriado). Você pode usar backups de chave/senha DRA e Active Directory para a recuperação dos mesmos volumes protegido por BitLocker.
Recuperação DRA só funcionará em volumes protegido por BitLocker em que o BitLocker foi habilitado depois que a diretiva foi aplicada. A vantagem desse método sobre a recuperação de chave/senha é que um DRA funciona como uma chave mestre do BitLocker. Isso permite que você recupere qualquer volume protegido criptografado sob a influência da diretiva, em vez de precisar localizar uma senha exclusiva ou chave de cada volume ser recuperado.
BitLocker To Go
Muitas das atuais armazenamento removível unidades têm a capacidade de armazenamento médio se aproximando do mais pequena e compartilhamentos de arquivos de nível departamental médias de dez anos atrás. Isso apresenta vários desafios.
Primeiro, quando um dispositivo de armazenamento removível é perdido ou roubado, uma quantidade significativa de dados organizacionais pode ser comprometida. E talvez um problema maior é que enquanto os usuários rapidamente tornará o departamento de TI ciente de um computador laptop ausente, eles Don se sinta a urgência mesma quando um dispositivo de armazenamento USB que possam conter gigabytes de dados organizacionais passou ausente.
O BitLocker para viagem, um novo recurso introduzido com o Windows 7 permite proteger dispositivos de armazenamento USB de forma semelhante para unidades de sistema operacional e fixas BitLocker oferece. Por meio da diretiva de grupo, você pode restringir computadores em sua organização para que eles só podem gravar dados em dispositivos de armazenamento removíveis protegidos pelo BitLocker ir. Esse aumenta a segurança, garantindo que, se um usuário perdem um dispositivo removível, no mínimo os dados nele são criptografados e não pode ser acessados facilmente por terceiros não autorizados.
As diretivas de BitLocker ir relevantes estão localizadas na configuração do computador | Modelos administrativos | componentes do Windows | BitLocker Drive Encryption | nó removível unidades de dados de um objeto de diretiva de grupo. Essas políticas incluem:
· Controlar o uso do BitLocker em unidades removíveis. Isso permite que você configure como o BitLocker é usado em unidades removíveis, inclusive se usuários comuns podem ativar ou desativar o recurso de dispositivos removíveis. Por exemplo, talvez queira permitir que usuários específicos armazenamento de dados em unidades removíveis já configurado com o recurso de proteção, mas bloqueá-los de configurar seus próprios dispositivos com ele.
· Nega acesso de gravação a unidades removíveis não protegido pelo BitLocker. Esta diretiva permite restringir os usuários para que eles só podem gravar dados em dispositivos protegidos por criptografia BitLocker ir. Quando essa diretiva estiver ativada, uma pessoa não autorizada facilmente não é possível acessar os dados gravados em um dispositivo removível, como serão protegido por criptografia.
· Escolha unidades removíveis como protegido por BitLocker podem ser recuperados. Esta diretiva permite que você configurar um agente de recuperação de dados ou salvar informações de recuperação do BitLocker ir no Active Directory. Esta diretiva é importante, porque se você optar por implementar BitLocker ir para proteger dados em dispositivos removíveis, você deverá ter uma estratégia de recuperação de dados para o inevitável caso em que um usuário esquecer a BitLocker ir senha.
Quando tiver configurado BitLocker ir para um dispositivo de armazenamento removível, um usuário deve digitar uma senha para desbloquear o dispositivo em outro computador. Quando a senha seja inserida, o usuário terá acesso de leitura/gravação para o dispositivo em um computador que esteja executando Enterprise ou Ultimate edições do Windows 7. Você também pode configurar o BitLocker ir para permitir o acesso de somente leitura do usuário aos dados do BitLocker para ir protegido em computadores que executam outras versões de sistemas operacionais da Microsoft.
Se sua organização usar BitLocker Go, você precisará de algum tipo de estratégia de recuperação de dados em caso de senhas perdidas ou esquecidas. Configuração de recuperação do BitLocker Ir é semelhante à configuração de recuperação do BitLocker. Nesse caso, você terá que definir a configuração do computador | configurações do Windows | Modelos administrativos | componentes do Windows | BitLocker Drive Encryption | removível unidades de dados | diretiva Choose How BitLocker-Protected Drives podem ser recuperadas.
Você pode fazer com que as senhas BitLocker ir submetidas ao backup para o Active Directory, onde eles serão disponíveis aos administradores que têm acesso ao Active Directory Users and Computers console e a conta de computador em que o dispositivo era originalmente protegido. Você também pode configurar uma diretiva para que os dados são protegidos com um DRA, permitindo que um usuário receber o certificado DRA para recuperar dados das unidades de disco sem exige a recuperação de senhas individuais.
Configurando AppLocker
Nenhum utilitário anti-malware pode capturar todos os programas mal-intencionados. AppLocker pode adicionar outra camada de proteção. Essa tecnologia permite que você criar uma lista de aplicativos conhecidos para ser seguro e limitar a execução para os que estão na lista. Enquanto esse tipo de abordagem para proteger um computador será complicado para alguém que executa software novo e incomum regularmente, a maioria das organizações tem um ambiente padrão do sistema em que ocorrerem alterações nos aplicativos mais gradualmente, portanto, permitindo a execução de aplicativos apenas aceso verde é mais prático.
Você pode estender este conjunto de regras de autorização AppLocker para incluir não apenas arquivos executáveis, mas também scripts, DLLs e arquivos no formato MSI. A menos que o executável, script, DLL ou instalador é autorizado por uma regra, ele não executado.
AppLocker torna criando a lista de regras de aplicativos autorizados simples com um assistente que automatiza o processo. Essa é uma das melhorias significativas de AppLocker sobre as diretivas de restrição de software, uma tecnologia nas versões anteriores do Windows que possui a funcionalidade básica semelhante.
AppLocker também pode usar as regras que identificam arquivos com assinatura digital do Editor do arquivo, para que você possa criar regras que incluem as versões atuais e futuras do arquivo. Isso salva os administradores a tarefa de atualização de regras atuais depois de aplicar atualizações de software. O arquivo executável revisado, script, instalador ou DLL ainda será coberto pela regra original. Isso não era possível com as diretivas de restrição de software, que forçado administradores para atualizar regras quando alterado as configurações de software.
Para criar um conjunto de referência de AppLocker regras de diretiva que podem ser aplicadas a outros computadores, execute as seguintes etapas:
1. Configurar um computador de referência executando o Windows 7 com todos os aplicativos que você deseja executar no seu ambiente.
2. Logon no computador com uma conta de usuário que tenha privilégios de administrador locais.
3. Inicie o Editor de diretiva de grupo local executando gpedit.msc na caixa de texto de programas e arquivos de pesquisa.
4. Navegue para configuração do computador | configurações do Windows | configurações de segurança | diretivas de aplicativo de controle | AppLocker | regras do executável do GPO local. Clique com o botão direito do mouse no nó regras executável e, em seguida, clique em gerar automaticamente novas regras. Isso iniciará o assistente gerar automaticamente regras de executável.
5. Na caixa de texto identificado como a pasta que contém os arquivos a serem analisados, digite c:\. Na caixa de texto denominada nome para identificar este conjunto de regras, digite todos os arquivos executáveis e, em seguida, clique em Avançar.
6. Na página Preferências de regra, selecione Create rules Editor para arquivos que estão assinados digitalmente e no caso de um arquivo não estiver assinado, selecione também o hash do arquivo: as regras são criadas usando o hash do arquivo. Certifique-se de que a opção reduzir o número de regras, agrupando arquivos semelhantes não estiver selecionado e, em seguida, clique em Avançar.
7. Regra geração levará algum tempo. Quando tiver sido geradas, clique em criar. Quando solicitado como a se você deseja criar as regras padrão, clique em não. Você Don precisa criar essas — criando regras para todos os executáveis no computador de referência, que você criou o equivalente de regras padrão mais abrangentes.
8. Se o computador tiver armazenados em vários volumes de aplicativos, repita as etapas 5 a 7, inserindo a letra da unidade apropriada ao executar o Assistente de regras executável gerado automaticamente.
9. Quando as regras foram geradas, você pode exportar a lista de aplicativos no formato XML, clicando com o botão direito do mouse no nó AppLocker e, em seguida, clicar em Exportar diretivas. Você também pode importar essas regras para outros objetos de diretiva de grupo, como aqueles que se aplicam a computadores portáteis da sua organização. Aplicando essas regras por meio de diretiva, você pode limitar a execução de aplicativos, portanto, somente os presentes no computador de referência são permitidos.
10. Ao configurar AppLocker, você precisa garantir que o serviço de identidade do aplicativo é ativado por meio do console de serviços e que executável regras são aplicadas por meio da diretiva. Se este serviço for desativado, as diretivas AppLocker não serão aplicada. Embora você possa configurar o status de inicialização do serviço na diretiva de grupo, você deve limitar quais usuários têm acesso de administrador local para que eles não ignorar AppLocker. Você habilitar regra executável aplicação clicando com o botão direito do mouse na configuração do computador | configurações do Windows | configurações de segurança | diretivas de aplicativo de controle | AppLocker nó e, em seguida, clique no diretivas. Ativar a opção configurado em regras de executável e, em seguida, certifique-se de que impor regras é selecionada.
Felizmente, isso ajudou você aprenda a implementar e recuperar o BitLocker, usar BitLocker ir e para configurar diretivas AppLocker. Usando essas tecnologias juntamente com tarefas de manutenção normal do sistema (como, por exemplo, garantindo que computadores sejam mantidos atualizados com as atualizações, software antivírus e anti-spyware programas), irá aumentar a segurança dos computadores de sua empresa executando o Windows 7.
Orin Thomas (orin.thomas@gmail.com) é um administrador de sistemas e MVP de segurança de consumidor Windows sede em Melbourne, Austrália. Ele foi criado e co-autor de mais de uma dúzia livros-texto da Microsoft Press .
Conteúdo relacionado
- Segurança no Windows 7 do Groovy: 2009 de outubro
- Controle de conta de usuário do Windows 7 interna: 2009 de julho
- Uma introdução à segurança no Windows 7: maio de 2009
Nenhum comentário:
Postar um comentário