OPERÁCIÓS RENDSZER VÉDELMÉHEZ ÉS AZ SCM ESZKÖZ HASZNÁLATÁHOZ 1.0-S VERZIÓ. A dokumentum a Security Cooperation Program (SCP)

ÚTMUTATÓ A WINDOWS 8 OPERÁCIÓS RENDSZER VÉDELMÉHEZ ÉS AZ SCM ESZKÖZ HASZNÁLATÁHOZ

1.0-S VERZIÓ

A dokumentum a Security Cooperation Program (SCP) elnevezésű együttműködési program keretében készült.

Tartalom 1.

2.

Bevezetés......................................................................................................................................... 5 1.1.

Vezetői összefoglaló ................................................................................................................ 6

1.2.

A biztonság és a megfelelőség kezelése a technológiai szabványok alkalmazásával .............. 7

1.3.

Az ajánlott konfigurációs alapszintek használata .................................................................... 8

1.4.

Kinek szól ez az útmutató? .................................................................................................... 10

1.5.

Kiegészítő tudnivalók és hivatkozások .................................................................................. 10

Az ajánlott biztonsági házirendek alkalmazása a Windows 8 alapbeállításainak környezetében 11 2.1.

Bevezetés............................................................................................................................... 11

2.2. A szervezeti egységek (Organizational Units, OU) struktúrájának tervezése a biztonsági házirendek figyelembe vételével....................................................................................................... 12 2.3. A szervezeti egységeket tartalmazó struktúra csoportházirend-objektumainak (GPO) tervezése a biztonsági házirendek figyelembevételével ................................................................... 14 2.4.

WMI-szűrés használata a csoportházirendek pontos célcsoportjának meghatározásához .. 17

2.5.

A Local Policy Tool eszköz áttekintése .................................................................................. 19

2.6.

Az Attack Surface Analyzer (ASA) eszköz áttekintése ........................................................... 20

2.7.

A felügyelt szolgáltatásfiókok (MSA-fiókok) mechanizmusának áttekintése ........................ 21

2.8.

A tartományi házirendek beállításai ...................................................................................... 21

2.8.1 2.9.

A Fiókházirend készlet beállításainak konfigurálása ......................................................... 21 A részletes jelszóházirendek, valamint a Fiókzárolási házirend beállításainak konfigurálása 22

2.10.

A számítógép-házirendek beállításai ................................................................................. 23

2.11.

A Naplózási házirend részletes beállításainak konfigurálása ............................................ 23

2.12.

A felhasználói jogok kiosztása házirend beállításainak konfigurálása............................... 26

2.13.

A biztonsági beállítások konfigurálása .............................................................................. 29

2.14.

Az MSS beállításainak konfigurálása ................................................................................. 41

2.15.

Az SMB-csomagok digitális aláírási házirendjéhez kapcsolódó potenciális veszélyek ...... 41

2.16.

Az NTLM-hitelesítés használatának korlátozása ............................................................... 42

2.17.

Az Eseménynapló beállításainak konfigurálása ................................................................. 44

2.18.

A Fokozott biztonságú Windows tűzfal beállításainak konfigurálása ............................... 44

2.19.

A Windows Update szolgáltatás ........................................................................................ 46

2.20. A beépített Windows-hitelesítésre irányuló, a hitelesítő adatok továbbítását használó támadások ......................................................................................................................................... 47 3.

A rosszindulatú szoftverek elleni védekezés módszerei ............................................................... 48 3.1.

A Windows 8 rendszerben alkalmazott biztonsági funkciók ................................................. 48

4.

3.2.

A Műveletközpont konzol...................................................................................................... 49

3.3.

Biztonságos indítás (Secure Boot) ......................................................................................... 51

3.4.

A Felhasználói fiókok felügyelete szolgáltatás ...................................................................... 52

3.5.

Biometrikus védelem............................................................................................................. 59

3.6.

A Windows Defender szolgáltatás......................................................................................... 63

3.7.

Kártevő-eltávolító eszköz ...................................................................................................... 68

3.8.

A Windows 8 tűzfala .............................................................................................................. 71

3.9.

Az alkalmazások hozzáférésének korlátozása – AppLocker .................................................. 74

3.10.

Szoftverkorlátozási házirendek ......................................................................................... 76

3.11.

Biztonságos hitelesítés intelligens kártyák használatával ................................................. 76

3.12.

A Windows kiinduló állapotba hozása és a számítógép visszaállítása alapállapotba ....... 79

3.13.

Kiegészítő tudnivalók és hivatkozások .............................................................................. 80

A bizalmas adatok védelme ........................................................................................................... 81 4.1.

Meghajtók titkosítása és védelme a BitLocker funkció használatával .................................. 82

4.2.

A BitLocker üzemmódjai és a TPM modul kezelése .............................................................. 83

4.3.

A rendszermeghajtókon és a rögzített merevlemezeken található adatok védelme ........... 86

4.4. Csoportházirend-beállítások használata a BitLocker funkcióval kapcsolatos kockázatok minimalizálásához ............................................................................................................................. 89 4.5. A cserélhető adathordozókon található adatok védelme a BitLocker To Go funkció használatával ..................................................................................................................................... 97 4.6. Csoportházirend-beállítások használata a BitLocker To Go funkcióval kapcsolatos kockázatok minimalizálásához ........................................................................................................ 100 4.7.

Titkosított fájlrendszer (EFS) ............................................................................................... 101

4.8.

Az EFS fájlrendszer adatvédelmi beállításai ........................................................................ 104

4.9.

Tartalomvédelmi szolgáltatások (RMS) ............................................................................... 108

4.10.

Csoportházirend-beállítások használata a tartalomvédelmi szolgáltatások telepítéséhez 110

4.11.

Eszközök telepítése és kezelése a Windows 8 rendszerben ........................................... 110

4.12.

Csoportházirend-beállítások használata az eszközök telepítésének felügyeletéhez ...... 113

4.13.

Csoportházirend-beállítások használata az eszközök hozzáférés-vezérléséhez ............. 116

4.14. Csoportházirend-beállítások használata az automatikus indítási és az automatikus lejátszási funkció vezérléséhez és letiltásához ................................................................................ 118 4.15.

Windows To Go ............................................................................................................... 119

4.16.

Kiegészítő tudnivalók és hivatkozások ............................................................................ 121

5. Az alkalmazáskompatibilitás és a Windows 8 rendszerű számítógépek biztonsági szolgáltatásainak kapcsolata ............................................................................................................... 122

5.1.

Az alkalmazások tesztelése a Windows 8 rendszerrel való kompatibilitás szempontjából 122

5.2. A kiterjesztett adatvédelmi mechanizmusokkal kapcsolatos ismert alkalmazáskompatibilitási problémák ............................................................................................. 122

6.

5.3.

A Windows 8 operációs rendszerben végrehajtott változtatások és javítások ................... 123

5.4.

A Windows 8 alkalmazáskompatibilitást biztosító eszközei................................................ 124

Hyper-V kliens ............................................................................................................................. 125 6.1

7.

8.

A biztonsági funkciók konfigurációja ................................................................................... 125

6.1.1

A szülő operációs rendszer védelme ........................................................................... 125

6.1.2

A virtuális gépek biztonsága ........................................................................................ 127

Irányítás, kockázatkezelés és az informatikai szabványoknak való megfelelés (IT GRC) ............ 128 7.1.

Bevezetés............................................................................................................................. 129

7.2.

Az IT GRC PMP áttekintése .................................................................................................. 130

7.3.

Az IT GRC PMP használatának előnyei ................................................................................ 134

7.4.

Fogalommeghatározások .................................................................................................... 135

7.5.

A megfelelőségi folyamat életciklusa az IT GRC PMP csomagban ...................................... 136

7.6.

Kiegészítő tudnivalók és hivatkozások ................................................................................ 138

Gyakorlati útmutató a Security Compliance Manager (SCM) használatához ............................. 139 8.1

Bevezetés............................................................................................................................. 142

8.2

Az SCM program használata ................................................................................................ 142

8.3

Az SCM program használatának megkezdése ..................................................................... 144

8.4

A „Welcome to SCM” rész főbb elemei ............................................................................... 145

8.4.1

A beállítások kezelése (Setting management) ............................................................ 145

8.4.2

A LocalGPO parancssori eszköz ................................................................................... 149

8.5

A „Getting started with SCM” rész főbb elemei .................................................................. 154

8.5.1

A konfigurációs alapszintek kezelése (Get knowledge) ............................................... 154

8.5.2

A konfigurációs alapszintek testreszabása (Customize knowledge) ........................... 157

8.5.3

A konfigurációs alapszintek exportálása (Export knowledge) ..................................... 166

1. Bevezetés A Windows 8 védelmével foglalkozó útmutató javaslatokat tartalmaz, amelyek alapján biztonságosabbá tehetők az Active Directory tartományi szolgáltatásokhoz (AD DS) tartozó tartományban lévő, munkacsoportban vagy önálló munkaállomásként működő Windows 8-as asztali számítógépek és hordozható számítógépek. Az útmutató részletesen ismerteti azokat az eszközöket, műveleteket, javaslatokat és folyamatokat, amelyek jelentős mértékben megkönnyítik a Windows 8 telepítését. Ezenkívül bemutatja a megfelelőség kezelésének folyamatát, illetve tartalmazza az informatikai megfelelőséget biztosító eszközökre vonatkozó információkat és a kapcsolódó hivatkozásokat, valamint a Microsoft javaslatait. A legfontosabb ajánlott eszköz a Security Compliance Manager1 (SCM), amely az „Útmutató a Windows 8 rendszer védelméhez” című kiadványban foglaltakhoz kapcsolódóan lehetővé teszi a csoportházirendek minden ajánlott beállításának exportálását, így megkönnyíti a biztonsági irányelvek gyakorlati alkalmazását a felhasználó saját környezetében. A szerzők arra törekedtek, hogy a jelen dokumentum tényszerű, mérvadó, hiteles, használatra kész és hasznos segítséget nyújtson az olvasóknak.     

Tényszerű: Az adott témára vonatkozó ismereteken és tapasztalatokon alapul. Mérvadó: Az adott témában elérhető legjobb gyakorlati megoldásokat tartalmazza. Hiteles: Ellenőrzött és technikai szempontból tesztelt megoldásokat mutat be. Használatra kész: Részletesen leírja a sikeres telepítéshez szükséges műveleteket. Hasznos: A biztonsággal kapcsolatos valós problémákkal foglalkozik.

A dokumentum a Windows 8, a Windows 7 SP1, a Windows Vista SP2, a Windows Server 2003 SP2, a Windows Server 2008 SP2, a Windows Server 2008 R2 SP1, illetve a Windows Server 2012 különböző környezetekben történő telepítéséhez alkalmazható legjobb gyakorlati megoldásokat tartalmazza. A Windows 8 rendszer saját környezetben való telepítését megelőző felmérési és tervezési folyamathoz segítséget nyújt a Microsoft által kínált Microsoft Assessment and Planning Toolkit2, amellyel megállapítható, hogy az infrastruktúra alkalmas-e a Windows 8 futtatására a közepes méretű szervezetek igényeinek megfelelő módon, továbbá számba vehetők az eszközök, meghatározhatók a támogatási igények, és megkereshetők az eszközök frissítését igénylő számítógépek. Ez az útmutató a Windows 8 rendszerbiztonsági szintjét növelő funkciókat mutatja be. A dokumentumban foglalt információk ellenőrzése és tesztelése tartományban működő számítógépek és tartományhoz nem csatlakozó, önálló számítógépek használatával egyaránt megtörtént. Figyelem: Ebben az útmutatóban a „Windows XP” kifejezés a Windows XP Professional SP3 rendszert, a „Windows Vista” pedig a Windows Vista SP2 rendszert jelenti. 1 2

http://go.microsoft.com/fwlink/?LinkId=113940 http://go.microsoft.com/fwlink/?LinkId=105520

1.1.

Vezetői összefoglaló

A szervezet környezetének méretétől függetlenül igen komoly kérdésnek kell tekinteni az informatikai rendszerek védelmét, bár több szervezet sok esetben nem értékeli kellően a korszerű információtechnológiai megoldásokat, vagy nem tulajdonít nagy fontosságot azoknak. A szervezet kiszolgálói ellen irányuló sikeres támadás azonban egyértelműen rá tud világítani arra, hogy ez a megközelítés hátráltathatja a szervezet működését, és zavart okozhat a kulcsfontosságú üzleti folyamatokban. Vegyünk néhány példát: Ha a szervezet hálózatához csatlakozó számítógépeket kártevő szoftverek támadása éri, a szervezet fontos adatokat veszíthet el, emellett többletkiadásai keletkeznek, mert vissza kell állítani a támadás előtti állapotot. A vállalat webhelye ellen irányuló támadás elérhetetlenné teheti a webhelyet, pénzügyi veszteséget jelenthet a vállalatnak, illetve az ügyfelek bizalmának megrendülését és a vállalat hírnevének csorbulását is okozhatja. Az előírásoknak és a szabványoknak való megfelelőség kulcsfontosságú a szervezet működéséhez, a hatóságok ajánlják vagy megkövetelik az irányelveket és az ajánlásokat. A szervezet érettségét értékelő auditorok rendszerint kérik a szervezettől a végrehajtott intézkedések igazolását, és ellenőrzik a szabályokba foglalt követelményeknek és irányelveknek megfelelő műveleteket. A kötelező irányelveknek és szabályoknak való megfelelés elmulasztása pénzügyi veszteséget okozhat a szervezetnek, ronthatja a hírnevét, illetve ilyen esetben a szervezet a hatályos jogszabályokban előírt bírságokkal vagy más büntetésekkel is sújtható. A megfelelőséget elemezni kell a biztonság, az esetleges kockázatok és veszélyek szempontjából, mert ez alapján lehet meghatározni a biztonság és a működőképesség közötti egyensúlyt a szervezetben lévő valamennyi informatikai rendszerre vonatkozóan. A jelen útmutató ismerteti a biztonság témakörével kapcsolatos legfontosabb intézkedéseket, bemutatja a Windows 8 rendszervédelmi funkcióit, kiemelve a potenciális veszélyforrásokat és negatív hatásokat (ha vannak ilyenek), amelyek felmerülhetnek a szervezet biztonsági szintjének növelésére irányuló intézkedések bevezetése során. A rendszervédelemmel foglalkozó útmutató közérthető módon írja le az ehhez szükséges fontos tudnivalókat, valamint a használandó eszközöket, beleértve a következőket:   

A konfigurációs alapszintek bevezetése és alkalmazása a szervezeti környezet biztonsági szintjének növeléséhez A Windows 8 biztonsági funkcióinak ismertetése és használata a leggyakoribb helyzetekben Az egyes biztonsági beállítások ismertetése, valamint a szerepük meghatározása

A tesztek elvégzéséhez és a biztonsági beállítások megadásához a Security Compliance Manager (SCM) eszköz használható. Ez jelentős mértékben megkönnyíti a biztonsági alapszintek meghatározásának folyamatát, ezenkívül lehetővé teszi a folyamat automatizálását is. Az SCM használatának részletes ismertetését a „Gyakorlati útmutató a Security Compliance Manager (SCM) használatához” című fejezet tartalmazza. Ez az útmutató elsősorban a nagyobb szervezeteknek szól, azonban a benne található információk többsége minden szervezet számára hasznos, a szervezet méretétől függetlenül. A legjobb eredmény eléréséhez érdemes megismerkedni az útmutató teljes tartalmával. Emellett az a módszer is hatékony lehet, ha az olvasó csak az anyag meghatározott részeivel foglalkozik alaposabban.

1.2. A biztonság és a megfelelőség kezelése a technológiai szabványok alkalmazásával A szervezetek informatikai osztályainak olyan biztonságos infrastruktúrát kell létrehozniuk működőképes és felügyelt módon, amely megfelel a betartandó előírásoknak, szabványoknak, valamint alkalmazhatók benne a legjobb gyakorlati eljárások. Az informatikai osztálynak folyamatosan ellenőriznie kell a megfelelőséget, hogy biztosítsa a szervezetre vonatkozó betartandó előírások, az alkalmazott tanúsítási szabványok követelményeinek teljesülését, valamint az iparág aktuális biztonsági irányelveinek megfelelő bevált gyakorlati eljárások alkalmazását. A megfelelőség biztosítása a megjelenő új technológiákhoz való folyamatos alkalmazkodást igényel, az informatikai osztályoknak állandó felügyelet, ellenőrzés és jelentéskészítés révén követniük kell a sok esetben bonyolult új megoldásokat. A szabványoknak megfelelő infrastruktúra előállításához az informatikai osztályoknak a rendszerek hatékony frissítésével, megerősítésével és az informatikai megfelelőség biztosításának automatizálásával kell kialakítaniuk a szervezeti rendszerek védelmét. Ez az útmutató megfelelő kiindulási pontként használható a felügyelt rendszerek védelmi szintjének növeléséhez és biztosításához. A Microsoft létrehozott egy útmutatókból és eszközökből álló gyűjteményt, amelyet bármely szervezet felhasználhat, a méretétől függetlenül. Ezek az útmutatók segítséget nyújtanak az informatikai csoportoknak a különböző Microsoft-termékeket használó rendszerek konfigurációs alapszintjeinek megadásához, ellenőrzéséhez és az azokkal kapcsolatos támogatási műveletekhez. Mit jelent a konfigurációs alapszint fogalma? A konfigurációs alapszintek az egyes Microsoft-termékekhez ajánlott konfigurációs elemek gyűjteményét jelentik, amelyek megadják a különböző beállítások értékeit, hogy meghatározott ellenőrző műveletek végrehajtásával minimalizálni lehessen bizonyos veszélyeket. Az ellenőrző tevékenységek elsősorban a szervezet megfelelés-ellenőrzési vezetőinek (Compliance Manager) feladatkörébe, valamint a biztonságért felelős személyek feladatkörébe tartoznak, akiknek a szervezetben felmerülő kockázatokkal kapcsolatban intézkedniük kell, és ezekhez az intézkedésekhez szabályokat kell kidolgozniuk, például arra vonatkozóan, hogy az adott kockázat miként kezelendő és hogyan minimalizálható meghatározott technológiai megoldások alkalmazásával. A Microsoft évek óta közzétesz konfigurációs alapszintkészleteket, különös figyelmet fordítva a számítógépek biztonsági konfigurációs beállításaira, hogy ezzel is növelje a Microsofttermékek biztonságát. Ezek a készletek előre megadott beállításokat tartalmaznak, és a rendszergazdák közvetlenül felhasználhatják a saját környezetükben. A Service Manager 2012 szoftverhez kiadott IT GRC Process Management Pack megjelenése után a Microsoft olyan konfigurációs alapszinteket is közzétett, amelyek a bizonyos szabványoknak való megfelelést biztosítják. A jelen útmutatóban tárgyalt irányelvek esetében a konfigurációs alapszintek a következő elemeket tartalmazzák: 1. a Microsoft-termékek biztonsági szintjének növelésére irányuló, ajánlott intézkedések listáját; 2. a kockázatcsökkentő intézkedések megvalósításához szükséges technikai információt;

3. az egyes kockázatcsökkentő intézkedésekhez kapcsolódó állapot meghatározásához szükséges technikai információt, amely lehetővé teszi a megfelelőség automatikus vizsgálatát és az elvégzett műveletre vonatkozó jelentés létrehozását; 4. a beállításokat, rendezve és konfigurációelemekbe (Configuration Item – CI) csoportosítva. A konfigurációelemek alapvető fontosságúak az IT Governance, Risk, and Compliance (IT GRC) Process Management Pack (PMP) és az ellenőrző tevékenységek összekapcsolásához. Hogyan használhatók a konfigurációs alapszintek? Első lépésként meg kell vizsgálni, hogy milyen operációs rendszerek és alkalmazások működnek a szervezet számítógépes hálózatában, mert ez alapján határozható meg, milyen konfigurációs alapszinteket kell alkalmazni. A művelet a következő lépésekkel hajtható végre: 

A hálózatban található erőforrások számba vétele, amihez az ingyenes Microsoft Assessment and Planning Toolkit 3 használható. Ez az eszközkészlet a feladatok automatizálásával megkönnyíti a művelet végrehajtását.  A megfelelő konfigurációs alapszintek kiválasztása kiindulási pontként a Microsoft és más érintett gyártók használatra kész megoldásai közül.  A konfigurációs alapszintek elemzése és finomítása, hogy a beállítások megfeleljenek a szervezet üzleti igényeinek és a hatóságok előírásainak. Ehhez az SCM eszközben, a biztonsággal foglalkozó útmutatókban, valamint az Information Technology Governance, Risk, and Compliance (IT GRC) Process Management Pack for System Center Service Manager4 csomagban rendelkezésre bocsátott információk használhatók.  Ellenőrzési célok és ellenőrző tevékenységek alkalmazása a konfigurációs alapszintekkel együtt a kezelt rendszerek megfelelő konfigurálásához és informatikai megfelelőségének fenntartásához. A Microsoft-termékek, például a Windows, a Microsoft Office, valamint az Internet Explorer beállításai csoportházirendekkel (Group Policy) kezelhetők. Az SCM eszközzel ezek a konfigurációs alapszintek az egyéni igényekhez igazíthatók. A beállítások megadása után Excel-munkalap formájában exportálni kell az adatokat, majd egyeztetni kell azokat az összes érintett féllel a szervezetben. A jóváhagyott beállításokat csoportházirend-másolatként kell exportálni, majd tesztkörnyezetben kell kipróbálni az Active Directory címtárszolgáltatás csoportházirendjeinek használatával. Az olyan számítógépek esetében, amelyeket nem tartományban használnak, az SCM eszközben található Local Policy Tool eszközt kell alkalmazni (az eszköz ismertetését a 2.5. fejezet tartalmazza).

1.3.

Az ajánlott konfigurációs alapszintek használata

Az SCM a Microsoft-termékekhez ajánlott konfigurációs alapszinteket tartalmaz, melyek módosíthatók a szervezeti igényeknek megfelelően. Miután megtörtént a konfigurációs alapszintek hozzáigazítása a szervezet követelményeihez, az SCM eszközben előállíthatók a módosított konfigurációs alapszintek. Ezután végrehajtható a csoportházirendek beállításainak ellenőrzése minden számítógépen. A szabványosítás és a szabványoknak való megfelelés eléréséhez elvárt 3 4


konfigurációs csomagok (Desired Configuration Management, DCM) hozhatók létre, majd a beállítások importálhatók a System Center Configuration Manager megoldásba. A System Center Configuration Manager DCM funkciójának használatával automatizálható a szabványos beállítások alkalmazása. Az SCM ezenkívül lehetővé teszi a konfigurációs alapszintek exportálását SCAPformátumban (Security Content Automation Protocol). A Microsoft és más gyártók számos biztonságés konfigurációkezelő eszköze támogatja az SCAP-formátumot. Az SCAP-formátummal kapcsolatos további tájékoztatás a National Institute of Standards and Technology (NIST) 5 webhelyén található. A megfelelőségre irányuló tevékenységek a Microsoft System Center Service Manager és az IT GRC Process Management Pack együttes használatával ellenőrizhetők. A System Center Service Manager segítségével automatikus jelentések hozhatók létre a vezetők, az informatikai auditorok és a projektben részt vevő más személyek számára. Az IT GRC folyamatot az „Irányítás, kockázatkezelés és az informatikai szabványoknak való megfelelés (IT GRC)” című 7. fejezet ismerteti részletesen. Az SCM lehetővé teszi azon Microsoft-termékek – például a Microsoft Exchange Server – konfigurációs alapszintjeinek kezelését, amelyek nem konfigurálhatók csoportházirendekkel. Az SCM tartalmaz egy PowerShell-parancsfájlokból álló gyűjteményt az ilyen típusú termékekhez. E parancsfájlokkal automatikusan hajtható végre a konfigurációs alapszintek megadása egy vagy több kiszolgálón. A folyamat megkönnyíti az ismétlődő feladatok végrehajtását, nem korlátozva a felhasználók tevékenységét. Ugyanez a parancsfájlgyűjtemény a számítógépek megfelelőségi vizsgálatára is használható, és az SCM eszközben lehetőség van a konfigurációs DCM-csomagok exportálására is. További információkat az „Exchange Server PowerShell Script Kit User Guide” című dokumentum tartalmaz, amely az SCM eszközben, az Attachments \ Guides mappában található. Az 1.3.1. ábra a biztonság és a szabványoknak való megfelelés kezelésének folyamatát és a szervezet igényeinek megfelelő technológiai megoldásokat szemlélteti. Az SCM eszköz bővebb ismertetése a Microsoft Security Compliance Manager6 weblapon érhető el. Érdemes áttekinteni az SCM Wiki7 tartalmát is a TechNet webhelyen.

5

http://scap.nist.gov/ http://go.microsoft.com/fwlink/?LinkId=113940 7 http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-managerscm.aspx#comment-2585 6

1.3.1. ábra: A biztonság és a szabványoknak való megfelelés folyamata és a szervezet igényeinek megfelelő technológiai megoldások

1.4.

Kinek szól ez az útmutató?

Ez az útmutató elsősorban a biztonsággal foglalkozó szakembereknek, a hálózatépítőknek, a rendszergazdáknak, az informatikai szakembereknek és a tanácsadóknak szól, akik informatikai infrastruktúra kiépítését és a Windows 8 tartományi környezetben, illetve tartományon kívül működő kliensszámítógépekre történő telepítését tervezik.

1.5.

Kiegészítő tudnivalók és hivatkozások

Az alábbi lista a Microsoft Windows 8 biztonságával kapcsolatos kiegészítő forrásokat tartalmazza:  Federal Desktop Core Configuration (FDCC)8  Microsoft Assessment and Planning Toolkit9  Microsoft Security Compliance Manager10

  8

SCM Wiki11 Security and Compliance Management Forum12

http://fdcc.nist.gov/ http://go.microsoft.com/fwlink/?LinkId=105520 10 http://go.microsoft.com/fwlink/?LinkId=113940 11 http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-managerscm.aspx#comment-2585 9

2. Az ajánlott biztonsági házirendek alkalmazása a Windows 8 alapbeállításainak környezetében 2.1.

Bevezetés

A Microsoft minden új operációs rendszerben új biztonsági megoldásokat is bevezet. Ezek a megoldások a Windows 8 rendszerben már igen sokrétűek, ennek köszönhetően ez a rendszer minden eddiginél hatékonyabb védelemmel rendelkezik. A biztonsági beállítások megadása – az SCM korábbi verzióival ellentétben – ebben a rendszerben csoportházirend-objektumok (Group Policy Object, GPO) használatával történik. A GPO mechanizmus egy központi infrastruktúrát biztosít, amely hierarchikus struktúra alkalmazásával teszi lehetővé a számítógépek és/vagy a felhasználók beállításainak kezelését, beleértve a biztonsági beállításokat is. A biztonsági beállításokra vonatkozó korábbi kategóriákat, a speciális biztonságú, korlátozott funkcionalitású (Specialized Security – Limited Functionality – SSLF), valamint a vállalati ügyfél (Enterprise Client – EC) kategóriát a súlyossági szint fogalma váltotta fel: 







Kritikus Ezek a beállítások igen komoly hatással vannak a számítógép, valamint az azon tárolt adatok biztonságára. Az összes kritikus beállítást célszerű alkalmazni a szervezetben. Fontos Ezek a beállítások nagy hatással vannak a számítógép, valamint az azon tárolt adatok biztonságára. Ezeket a beállításokat az olyan szervezetekben célszerű alkalmazni, amelyek bizalmas adatokat tárolnak, és fontos szempontnak tartják informatikai rendszereik védelmét. Választható Ezek a beállítások nincsenek nagy hatással a biztonságra, emiatt a szervezetek többsége nem is veszi figyelembe ezeket a biztonsági házirendek tervezésekor. Ez azonban nem azt jelenti, hogy tetszőlegesen alkalmazhatók. Például a Windows rendszerre, az Internet Explorer böngészőre vagy az Office programjaira vonatkozó számos beállítás elrejti a felhasználói felület egyes elemeit, és ezzel megkönnyíti a munkát, de ezeknek a beállításoknak nincs közvetlen hatásuk a biztonságra. Nem meghatározott Ez az alapértelmezett fontossági szint a Security Compliance Manager eszközben. Ehhez a szinthez tartoznak azok a beállítások, amelyek korábban nem voltak elérhetők. A gyakorlatban ezen beállítások jelentősége megegyezik a Választható szinthez tartozó beállításokéval, vagyis kicsi vagy semmilyen hatásuk sincs a biztonságra.

A szabályokhoz választott exportálási formátumtól függően az alábbi táblázatban található elnevezések tartoznak a fontossági szintekhez:

12

http://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threads

Security Compliance Manager (SCM)

Desired Configuration Management (DCM)

Kritikus Fontos

Kritikus Figyelmeztetés

Security Content Automation Protocol (SCAP) Magas Közepes

Választható

Tájékoztatás

Alacsony

Nem meghatározott

Egyéb

Ismeretlen

2.1.1. táblázat: A fontossági szintek elnevezése a választott exportálási formátumtól függően

2.2. A szervezeti egységek (Organizational Units, OU) struktúrájának tervezése a biztonsági házirendek figyelembe vételével Az Active Directory címtárszolgáltatás lehetővé teszi a vállalati infrastruktúra központi kezelését. A hierarchikus felépítésnek köszönhetően létrehozható egy olyan modell, amely figyelembe veszi a szervezet biztonságának előírt és kötelező szempontjait. A szervezeti egység (Organizational Unit – OU) olyan tároló az Active Directory-n (AD DS) belül, amely felhasználókat, csoportokat, számítógépeket, valamint más szervezeti egységeket tartalmazhat. A szervezeti egységek lehetnek fölérendelt és alárendelt egységek. A szervezeti egységek egyik fontos tulajdonsága, hogy csoportházirend-készleteket lehet kapcsolni hozzájuk. Így a deklarált beállítások átadhatók az ezekben az objektumokban található felhasználóknak és számítógépeknek. Ezenkívül lehetőség van a szervezeti egységek vezérlésének és felügyeletének (lásd a 2.2.1. ábrát) delegálására, ami megkönnyíti a kezelési műveleteket.

2.2.1. ábra: A Vezérlés delegálása varázsló az Active Directory Felhasználók és számítógépek (ADUC) moduljában

A szervezeti egységek segítségével felügyeleti szempontból elkülöníthetők a felhasználók és a számítógépek. Ez a megoldás ideális olyan esetekben, amikor a beállításokat kizárólag meghatározott számítógépekre, illetve kizárólag meghatározott felhasználókra kell alkalmazni. A szervezeti egységek struktúrájának tervezésekor elsődleges célnak kell tekinteni a csoportházirendek egységes alkalmazhatóságát, és figyelembe kell venni a biztonságra vonatkozó összes szabványt és előírást. A 2.2.2. ábrán olyan struktúra látható, amely figyelembe veszi a szervezeti egységek szintjeit az Active Directory címtárszolgáltatások szokásos megoldásaiban.

Tartomány gyökere

Tagkiszolgálók

Részleg

Tartományvezérlők Windows Server 2012

1. kiszolgálói szerepkör

Windows 8

Windows 8felhasználók

Windows 8-as számítógépek




2.2.2. ábra: Számítógépek és felhasználók a szervezeti egységek struktúrájában (példa)

Tartomány gyökere Az egész tartományra vonatkozó beállításokat a tartományhoz kapcsolt csoportházirendben lehet megadni. A számítógépek és a felhasználók kezelése nem ezen a szinten történik.

Szervezeti egységek A tartományvezérlő szerepkört betöltő kiszolgálók számos bizalmas adatot tárolnak, többek között olyan adatokat, amelyek az adott kiszolgálók biztonsági konfigurációját vezérlik. A Tartományvezérlők szervezeti egység szintjén használt csoportházirend lehetővé teszi a tartományvezérlők konfigurálását és védelmét. Tagkiszolgálók A Tagkiszolgálók szervezeti egységhez használt csoportházirend segítségével azonos beállítások adhatók meg minden kiszolgálóra vonatkozóan, a kiszolgálók szerepkörétől függetlenül. Kiszolgálói szerepkörök Célszerű dedikált szervezeti egységeket létrehozni a szervezet minden kiszolgálói szerepköréhez. Ezzel biztosítható a modell egységessége, ami lehetővé teszi a kiszolgálói szerepkörökön alapuló csoportházirendek használatát. A több szerepkörrel rendelkező kiszolgálókhoz a konfigurációjuknak megfelelő további szervezeti egységek hozhatók létre. Ezután ezekhez a szervezeti egységekhez a meghatározott kiszolgálói szerepköröknek megfelelő csoportházirend-készletek kapcsolhatók. A vegyes konfigurációk esetében ügyelni kell a csoportházirendek feldolgozási sorrendjének megadására, ami meghatározza az eredményül kapott beállításokat. Részleg A biztonsági követelmények különfélék lehetnek, és gyakran a szervezet struktúrájától is függenek. Az egyes részlegekhez tartozó szervezeti egységek létrehozásával az üzleti funkcióknak megfelelően alkalmazhatók a számítógépekre és a felhasználókra vonatkozó biztonsági beállítások. Windows 8-felhasználók A felhasználói fiókokat tároló speciális szervezeti egységek létrehozásával alkalmazhatók a felhasználói fiókokra vonatkozó biztonsági házirendek. Windows 8-as számítógépek A számítógépfiókokat tároló dedikált szervezeti egységek létrehozásával alkalmazhatók az asztali számítógépek és a hordozható számítógépek biztonsági beállításai.

2.3. A szervezeti egységeket tartalmazó struktúra csoportházirendobjektumainak (GPO) tervezése a biztonsági házirendek figyelembevételével A csoportházirend-objektum (GPO) a csoportházirendek beállításait tartalmazó készlet, amely a Csoportházirend kezelése MMC beépülő modulban definiálható (lásd a 2.3.1. ábrát).

2.3.1. ábra: A Csoportházirendek központi kezelését végző felügyeleti konzol

Az itt található beállítások tárolása a tartomány szintjén történik. Ezek a beállítások az adott helyen, tartományokban és szervezeti egységekben lévő felhasználókra és/vagy számítógépekre vonatkozhatnak. Az azonos hatású beállítások kézi konfigurálása inkonzisztenciát okozhat. A csoportházirendek alkalmazásával egyszerűsíthető a beállítások kezelése, ezenkívül egyszerre érvényesíthetők az esetleges módosítások több számítógépre és felhasználóra vonatkozóan. A tartományi csoportházirendek felülbírálják a helyi házirendek beállításait, ami lehetővé teszi a központi konfigurációkezelést. A csoportházirendek feldolgozási sorrendjét a 2.3.2. ábra szemlélteti.

5. Az alárendelt szervezeti egységek házirendjei 4. A fölérendelt szervezeti egységek házirendjei 3. A tartomány házirendjei 2. A helyre vonatkozó házirendek 1. Helyi házirendek

2.3.2. ábra: A csoportházirendek feldolgozási sorrendje

A feldolgozási sorrendben elsők a helyi házirendek, ezután következnek a telephelyre, a tartományra, valamint a szervezeti egységekre vonatkozó házirendek. A szervezeti egységek szintjén lévő készletek

feldolgozása a hierarchiának megfelelő sorrendben, a legmagasabb szinten található egységtől kezdődik, és a legalacsonyabb szinten található egységig folytatódik. Ez azt jelenti, hogy a szervezeti egységek hierarchiájának legalacsonyabb szintjén lévő számítógépekhez megadott beállítások alkalmazza utoljára a rendszer, így ezek lesznek a legmagasabb prioritású beállítások A felhasználók esetében a házirendek feldolgozása ugyanilyen módon történik. A csoportházirendek tervezésekor figyelembe kell venni néhány további szempontot. 

A rendszergazdának meg kell határoznia, hogy milyen sorrendben rendelhető hozzá több csoportházirend a szervezeti egységekhez. Az alapértelmezés szerinti sorrend az, amelyben a hozzárendelések történtek a konfigurálási szakaszban. A Hivatkozások sorrendje lista elején található házirendek prioritása magasabb. Ha ugyanaz a beállítás két csoportházirendkészletben is meg van adva, akkor a magasabb prioritású készletben lévő beállítás lesz érvényes.

2.3.3. ábra: A csoportházirendek feldolgozási sorrendjét meghatározó Hivatkozott csoportházirendobjektumok beépülő modul







A csoportházirendek konfigurálásakor megadható a Kényszerített beállítás. Ez a beállítás azt eredményezi, hogy a definiált házirendeket más készletek nem bírálhatják felül, a készletek szintjétől függetlenül. A csoportházirendek beállításainak használata szorosan összefügg a felhasználó és a számítógép objektumok Active Directory címtárszolgáltatásban lévő pozíciójával. Néhány esetben azonban a felhasználóra vonatkozó beállításokat a számítógép objektum pozíciója alapján kell alkalmazni. Ilyen szituációban lehet hasznos a Felhasználói csoportházirend – visszacsatolásos feldolgozási mód lehetőség. Ez ugyanis lehetővé teszi egy számítógép konfigurációs beállításait tartalmazó készletből származó felhasználó konfigurációs beállításainak használatát. A hely, a tartomány, valamint a szervezeti egység szintjén megadható az Öröklődés blokkolása beállítás. Bekapcsolásakor a fölérendelt csoportházirend-készletekből származó beállítások nem jut érvényre az alárendelt objektumokon. A Kényszerített és az Öröklődés blokkolása beállítást is tartalmazó konfigurációban a Kényszerített beállítás számít fontosabbnak.

A szervezeti egységek fent ajánlott struktúrája (lásd a 2.2.2. ábrát) esetében a csoportházirendek alkalmazását meghatározó tervnek tartalmaznia kell olyan csoportházirend-készleteket, amelyek megszabják a következő házirendeket: 

a tartományra vonatkozó házirendeket,

    

a tartományvezérlőkre vonatkozó házirendeket, a tagkiszolgálókra vonatkozó házirendeket, a szervezet egyes kiszolgálói szerepköreire vonatkozó házirendeket, a Windows 8 szervezeti egységhez tartozó felhasználókra vonatkozó házirendeket, a Számítógépek szervezeti egységhez tartozó számítógépekre vonatkozó házirendeket.

A fenti feltételeknek megfelelő struktúrát a 2.3.4. ábra szemlélteti.

Tartomány gyökere

A tartományra vonatkozó házirendek

A tartományvezérlőkre vonatkozó házirendek alapkészlete

Tagkiszolgálók

Részleg

Tartományvezérlők

Windows Server 2012-kiszolgálókra vonatkozó házirendek alapkészlete Windows Server 2012

Windows 8

Windows 8felhasználók

A Windows 8 felhasználói házirendjei

Az Office 2013 felhasználói házirendjei

Windows 8-as számítógépek

A Windows 8 felhasználói házirendjei

Az Internet Explorer 10 felhasználói házirendjei

Az AD DS-kiszolgálókra vonatkozó házirendek

Az Internet Explorer 10 felhasználói házirendjei

A DNS-kiszolgálókra vonatkozó házirendek

A DHCP-kiszolgálókra vonatkozó házirendek

Az Office 2013 felhasználói házirendjei

A fájlkiszolgálókra vonatkozó házirendek

A webkiszolgálókra vonatkozó házirendek

Az AD CS-kiszolgálókra vonatkozó házirendek

A nyomtatókiszolgálókra vonatkozó házirendek

Az RDS-kiszolgálókra vonatkozó házirendek

Az NPAS-kiszolgálókra vonatkozó házirendek

A Hyper-V-kiszolgálókra vonatkozó házirendek

2.3.4. ábra: A Windows 8 és a Windows Server 2012 rendszerű infrastruktúra szervezeti egységeinek struktúrája és az egységekhez hozzárendelt csoportházirendek (példa)

2.4. WMI-szűrés használata a csoportházirendek pontos célcsoportjának meghatározásához A Windows rendszer WMI (Windows Management Instrumentation) szolgáltatásával végrehajtott szűrés a Windows XP és a Windows Server 2003 megjelenése óta érhető el. A WMI mechanizmus segítségével dinamikusan ellenőrizhető az azon számítógépekre vonatkozó attribútumok értéke,

amelyekhez hozzárendeltük az adott csoportházirend-készletet. Az attribútumok tartalmazzák az eszközök és/vagy a programok konfigurációs adatait. Ilyen attribútumok például a következők:          

a processzor típusa, a Windows verziója, a számítógép gyártója, a szabad lemezterület mérete, a logikai processzorok száma, a regisztrációs adatbázisból kiolvasott adatok, az illesztőprogramokkal kapcsolatos információk, a fájlrendszer elemei, a hálózati konfiguráció, az alkalmazások adatai.

Ha a csoportházirend-készlethez tartozik egy WMI-szűrő, annak feldolgozása a munkaállomáson történik. Ekkor a csoportházirend beállításai csak a WMI-szűrő által meghatározott feltételek teljesülése esetén érvényesülnek. A WMI-lekérdezések létrehozásához a WQL nyelv (WMI Query Language) használható, amely az SQL nyelvhez (Structured Query Language) hasonló nyelv. A lekérdezések szükség esetén AND és OR operátorokkal kapcsolhatók össze. A WMI-lekérdezések a WMI-névtérben hajthatók végre. Az alapértelmezett névtér a root\CIMv2. A WMI-szűrő a csoportházirendektől független objektum. A WMI-szűrő használatához hozzá kell rendelni azt a csoportházirend-készlethez (lásd a 2.4.1. ábrát).

2.4.1. ábra: A WMI-szűrő hozzárendelése a csoportházirend-készlethez

Minden csoportházirend-készlethez csak egy WMI-szűrő tartozhat. Ugyanaz a WMI-szűrő azonban több csoportházirendhez is hozzárendelhető. A WMI-szűrőnek és a kapcsolódó csoportházirendkészletnek ugyanabban a tartományban kell lennie. A 2.4.2. táblázat a WMI-szűrők néhány példáját mutatja be.

Feltétel Konfiguráció

Időzóna

Javítások

Számítógép típusa Akkumulátor típusa Telepített szoftverek

Operációs rendszer Erőforrások

Felügyeleti cél A Microsoft Network Monitor (Netmon.exe) bekapcsolásának letiltása azokon a munkaállomásokon, amelyeken be van kapcsolva a csoportos küldés A házirendek alkalmazása a Magyarországon található összes kiszolgálón A házirendek használata olyan számítógépeken, amelyeken megtalálható az adott frissítés A házirendek használata csak a hordozható számítógépeken A házirendek használata csak a lítiumion akkumulátorral rendelkező számítógépeken Szoftver hozzárendelése csak azokhoz a számítógépekhez, amelyeken megtalálható egy vagy több megadott szoftvercsomag A házirendek használata kizárólag Windows 8 rendszerű számítógépeken A házirendek használata kizárólag azokon a számítógépeken, amelyek helyi merevlemezein legalább 4 GB szabad terület van

WMI-szűrő SELECT * FROM Win32_NetworkProtocol WHERE SupportsMulticasting = true

Root\cimv2 ; SELECT * FROM win32_timezone WHERE bias =-60 Root\cimv2 ; SELECT * FROM Win32_QuickFixEngineering WHERE HotFixID = 'q147222' Root\CimV2; SELECT * FROM Win32_ComputerSystem WHERE PCSystemType = 2 Root\CimV2; SELECT * FROM Win32_Battery WHERE Chemistry = '6' Root\cimv2; SELECT * FROM Win32_Product WHERE name = "MSIPackage1" OR name = "MSIPackage2"

Root\CimV2; SELECT * FROM Win32_OperatingSystem WHERE Version >=’6.2’ Root\CimV2; SELECT * FROM Win32_LogicalDisk WHERE FreeSpace > 4294967296 AND MediaType = ‘12’

2.4.2. táblázat: A WMI-szűrők használatát bemutató példák

A WMI-szűrők létrehozásához és kezeléséhez a következő eszközök nyújtanak segítséget:   

WMI Administrative Tools http://www.microsoft.com/en-us/download/details.aspx?id=24045 WMI Code Creator http://www.microsoft.com/en-us/download/details.aspx?id=8572 Windows PowerShell Scriptomatic http://www.microsoft.com/en-us/download/details.aspx?id=24121

2.5.

A Local Policy Tool eszköz áttekintése

A Security Compliance Manager tartalmaz egy LocalGPO nevű parancssori eszközt. Ezzel az eszközzel számos karbantartási művelet végrehajtható a csoportházirendek beállításkészletein, például:  

a biztonsági beállítások alkalmazása a csoportházirendek helyi beállításainak környezetében; a csoportházirendek helyi beállításainak exportálása;

  

beállításokat tartalmazó csomagok létrehozása, amelyek olyan munkaállomásokon is alkalmazhatók, amelyeken nincs telepítve a LocalGPO eszköz; a csoportházirendek helyi készleteinek központosítása a Multiple Local GPO (MLGPO) eszköz segítségével; a grafikus felület frissítése a csoportházirend-készletek azon beállításainak megjelenítéséhez, amelyek az MSS-csoporthoz tartoznak (Microsoft Solutions for Security).

Az SCM telepítőprogramja nem telepíti automatikusan a LocalGPO eszközt. A telepítés a c:\Program Files (x86)\Microsoft Security Compliance Manager\LGPO mappában található LocalGPO.msi fájl futtatásával indítható el. A kívánt telepítési beállítások a telepítővarázsló segítségével választhatók ki. A LocalGPO telepítése után a Start menüben megjelenik a LocalGPO mappa:

2.5.1. ábra: A LocalGPO mappa a Start menüben

2.6.

Az Attack Surface Analyzer (ASA) eszköz áttekintése

A Microsoft által kiadott Attack Surface Analyzer (ASA) eszköz segítségével meghatározhatók a számítógép operációs rendszerében a szoftverek telepítése közben végrehajtott változtatások. Az ASA használata előtt minden esetben pillanatkép készül a számítógép állapotáról. A szoftverek telepítése után megjelenik a következő területeken végrehajtott módosításokat tartalmazó jelentés:                  

szolgáltatások, illesztőprogramok, futó folyamatok, COM-vezérlők, DCOM-kiszolgálók, a DCOM alapértelmezett jogosultságai, a fájlnévkiterjesztések társításai, Microsoft ActiveX-vezérlők, az Internet Explorer csatlakoztatható protokollkezelői, az Internet Explorer beavatkozás nélküli jogosultságiszint-emelési bejegyzései, az Internet Explorer jóváhagyott vezérlői, portok, a nevek forrásai, tűzfalszabályok, a távoli eljáráshívások végpontjai, az elérési utak bejegyzései, csoportok és csoporttagságok, hálózati eszközök.

Az ASA által összeállított jelentések segítségével könnyen megállapítható, hogy a szoftverek telepítése milyen hatással van a Windows funkcióira, és a szoftverek telepítése is egyszerűen ellenőrizhető.

2.7. A felügyelt szolgáltatásfiókok (MSA-fiókok) mechanizmusának áttekintése A Windows 7 SP1 és a Windows Server 2008 R2 egyik új funkciója a felügyelt szolgáltatásfiók (Managed Service Accounts – MSA), amellyel csökkenthető a szolgáltatások kezeléséhez használt fiókok veszélyeztetettsége. A rendszergazda a helyi munkaállomásokon beállíthatja az alkalmazásokat a Helyi szolgáltatás, a Hálózati szolgáltatás vagy a Helyi rendszer fiók környezetében történő futtatásra. A tartomány esetében azonban a hatókör nem teszi lehetővé ezek használatát. Ha az alkalmazások futtatása az általános jogú felhasználói fiókokkal történik, meg kell határozni a jelszavak kezelésére vonatkozó irányelveket. A felügyelt szolgáltatásfiókok teljes automatizálást tesznek lehetővé ezen a területen. Ezenkívül egyszerű szolgáltatásnév (Service Principal Name – SPN), valamint az SPN kezelésének delegálása is beállítható hozzájuk. A felügyelt szolgáltatásfiókok kizárólag a PowerShellel kezelhetők. A Windows Server 2008 és Windows Server 2003 rendszerben működő tartományvezérlők támogatják a felügyelt szolgáltatásfiókokat. A Windows 8 és a Windows Server 2012 rendszerben vezették be az MSA-csoportokat. Ezekkel a csoportokkal a felügyelt szolgáltatásfiókok olyan környezetben is használhatók, ahol több számítógépen ugyanazzal a fiókkal kell futtatni a szolgáltatásokat.

2.8.

A tartományi házirendek beállításai

Az Active Directory tartományi szolgáltatások címtárszolgáltatásainak objektumaihoz alapértelmezés szerint korlátozott számú biztonsági beállítás használható. Ezek a beállítások a Számítógép konfigurációja ágban adhatók meg a következő bejegyzéseknél:  

Jelszóházirend Fiókzárolási házirend

Az ezekhez a bejegyzésekhez tartozó beállítások részletes ismertetése az alábbiakban olvasható. A Security Compliance Manager (SCM) a kiszolgálói szerepkörtől függő beállításokra vonatkozó javaslatokat is tartalmaz.

2.8.1 A Fiókházirend készlet beállításainak konfigurálása Az informatikai rendszerek biztonságának egyik kulcsfontosságú feltétele a körültekintően átgondolt és kidolgozott jelszókezelési irányelv. Az egyes elemekre vonatkozó szabályokat, például a jelszavak bonyolultságára, a jelszómódosítás gyakoriságára és a jelszavak tárolására vonatkozó előírásokat a teljes rendszervédelmet alkotó általános biztonsági irányelveknek kell meghatározniuk. A jelszavakra vonatkozó házirendek a következő bejegyzésnél szerepelnek: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Fiókházirend\Jelszóházirend (Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy)

Fontossági szint

Házirend

Alapértelmezett beállítás

A Microsoft által ajánlott beállítás

Előző jelszavak megőrzése

Kritikus

24 tárolt jelszó

24 tárolt jelszó

Jelszó maximális élettartama Jelszó minimális élettartama Legrövidebb jelszó

Kritikus

42 nap

60 nap

Kritikus

0 nap

1 nap

Kritikus

0 karakter

14 karakter

A jelszónak meg kell felelnie a bonyolultsági feltételeknek A jelszavak tárolása visszafejthető titkosítással

Kritikus

Engedélyezve

Engedélyezve

Kritikus

Letiltva

Letiltva

A jelszavakban a következő négy csoportba tartozó karakterek használhatók: 

Nagybetűk



Kisbetűk



Számok



Különleges karakterek

A jelszó akkor tekinthető bonyolultnak (erre vonatkozik „A jelszónak meg kell felelnie a bonyolultsági feltételeknek” szabály), ha a fentiek közül legalább három csoport karakterei szerepelnek benne. A felhasználók által meghatározott időpontban végrehajtandó jelszócsere érvénybe léptetéséhez meg kell adni a jelszó minimális és maximális élettartamára vonatkozó szabályt. A „Jelszó minimális élettartama” és a „Jelszó maximális élettartama” szabályhoz a következő beállításokat kell megadni: 

Jelszó minimális élettartama A minimális 0 érték azt jelenti, hogy a jelszót bármikor meg lehet változtatni. A maximális 998 érték azt jelenti, hogy a jelszót 998 nap elteltével lehet megváltoztatni.



Jelszó maximális élettartama A minimális 0 érték azt jelenti, hogy a jelszó érvényessége soha nem szűnik meg. A maximális 999 érték azt jelenti, hogy a jelszó érvényessége 999 nap elteltével megszűnik.

A „Jelszó minimális élettartama” szabályra és a „Jelszó maximális élettartama” szabályra a következő feltétel érvényes: Jelszó maximális élettartama >= Jelszó minimális élettartama + 1

A felhasználók alapértelmezés szerint a jelszó minimális, illetve maximális élettartamát megadó paraméter által meghatározott időtartományban változtathatják meg a jelszavukat. Ha le kell tiltani a fenti beállításokkal megadott jelszó-módosítási lehetőséget (a Jelszó módosítása gombot, amely a Ctrl+Alt+Delete billentyű megnyomásakor jelenik meg), ezt a csoportházirendre vonatkozó „A Jelszó módosítása gomb eltávolítása” beállításnál lehet megtenni, amely a következő bejegyzésben található: Felhasználó konfigurációja\Felügyeleti sablonok\Rendszer\Ctrl+Alt+Del beállításai

2.9. A részletes jelszóházirendek, valamint a Fiókzárolási házirend beállításainak konfigurálása A felhasználói jelszavakra vonatkozó beállítások között fontos szerepet töltenek be a részletes jelszóházirendek, valamint a Fiókzárolási házirend beállításai.

A részletes jelszóházirend olyan megoldás, amely lehetővé teszi egy meghatározott felhasználóhoz vagy felhasználócsoporthoz rendelt jelszóházirend-beállítási modell alkalmazását. Ez a funkció a Windows Server 2008 rendszertől kezdődően érhető el a tartományi szintű tartományi környezetekben. A felhasználói jelszavak megfejtésére irányuló kísérletek ellen a Fiókzárolási házirend nyújt védelmet. A rendszer ezt úgy valósítja meg, hogy számolja a sikertelen bejelentkezési kísérleteket, és végrehajtja a felhasználói fiók adott állapotához rendelt műveletet. A fiókzárolási házirend a következő bejegyzésnél érhető el: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Fiókházirend\Fiókzárolási házirend (Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy) Fontossági szint

Házirend



Fiókzárolás időtartama

Kritikus

Nincs

15 perc

Fiókzárolás küszöbe

Kritikus

0 érvénytelen bejelentkezési kísérlet


Fiókzárolási számláló nullázása

Kritikus

Nincs

15 perc elteltével

2.10.

A számítógép-házirendek beállításai

A Számítógép objektumok biztonsági beállításai az alábbi bejegyzéseknél érhetők el:      

Naplózási házirend Felhasználói jogok kiosztása Biztonsági beállítások Eseménynapló Fokozott biztonságú Windows tűzfal Felügyeleti sablonok

2.11.

A Naplózási házirend részletes beállításainak konfigurálása

A Naplózási házirend segítségével összegyűjthetők a felhasználók és a rendszer tevékenységére vonatkozó, meghatározott kategóriákba sorolt részletes adatok. A Windows 8 rendszer 9 főkategóriájának és az azokhoz tartozó alkategóriák beállításai a Globális objektum-hozzáférés naplózása bejegyzésnél érhetők el. A főkategóriák naplózási beállításai a következő bejegyzésnél találhatók: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirend\Naplózási házirend (Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy)

       

Fiókbejelentkezés naplózása Objektum-hozzáférés naplózása Címtárszolgáltatás-hozzáférés naplózása Folyamatok nyomon követésének naplózása Rendszerjogok használatának naplózása Fiókkezelés naplózása Bejelentkezés naplózása Rendszeresemények naplózása

Az alkategóriák naplózási beállításai a következő bejegyzésnél találhatók: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Speciális naplórend konfigurálása (Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration) Házirend Hitelesítő adatok érvényesítésének naplózása Kerberos hitelesítési szolgáltatás naplózása Kerberos-jeggyel kapcsolatos műveletek naplózása Egyéb fiókbejelentkezési események naplózása Alkalmazáscsoportok kezelésének naplózása Számítógépfiókok kezelésének naplózása Terjesztési csoportok kezelésének naplózása Egyéb fiókkezelési események naplózása Biztonsági csoportok kezelésének naplózása Felhasználói fiókok kezelésének naplózása DPAPI-tevékenység naplózása Folyamat-létrehozás naplózása Folyamatleállítás naplózása Távoli eljáráshívási események naplózása



Kritikus

Nem konfigurált

Sikeres és Sikertelen

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált


Kritikus

Sikeres


Kritikus

Sikeres


Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Sikeres

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Fontossági szint

Címtárszolgáltatás részletes replikációjának naplózása Címtárszolgáltatáshozzáférés naplózása Címtárszolgáltatás változásainak naplózása Címtárszolgáltatás replikációjának naplózása Fiókzárolás naplózása IPsec kiterjesztett mód naplózása IPsec alapmód naplózása IPsec gyorsmód naplózása Kijelentkezés naplózása Bejelentkezés naplózása Hálózati házirendkiszolgáló naplózása Egyéb bejelentkezési és kijelentkezési események naplózása Speciális bejelentkezés naplózása Létrehozott alkalmazás naplózása Központi hozzáférési házirend tesztelésének naplózása Tanúsítványszolgáltatások naplózása Részletes fájlmegosztás naplózása Fájlmegosztás naplózása Fájlrendszer naplózása Szűrőplatform-kapcsolat naplózása Szűrőplatform elvetett csomagjainak naplózása Leíró kezelésének naplózása Kernelobjektum naplózása Egyéb objektumhozzáférési események naplózása Regisztrációs adatbázis naplózása Cserélhető tároló naplózása SAM naplózása Naplórend változásának naplózása

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus Kritikus

Sikeres Nem konfigurált

Nem konfigurált Nem konfigurált

Kritikus Kritikus Kritikus Kritikus Kritikus

Nem konfigurált Nem konfigurált Sikeres Sikeres Sikeres és Sikertelen

Nem konfigurált Nem konfigurált Sikeres Sikeres és Sikertelen Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Sikeres

Sikeres

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus Kritikus Kritikus

Nem konfigurált Nem konfigurált Nem konfigurált

Nem konfigurált Nem konfigurált Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus Kritikus



Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus Kritikus

Nem konfigurált Sikeres

Nem konfigurált Sikeres és Sikertelen

Hitelesítési házirend változásának naplózása Engedélyezési házirend változásának naplózása Szűrőplatform-házirend változásának naplózása MPSSVC szabályszintű házirendváltozás naplózása Egyéb házirend-változási események naplózása Nem bizalmas használati jogok naplózása

Kritikus

Sikeres

Sikeres

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Kritikus

Nem konfigurált

Nem konfigurált

Egyéb használatijogesemények naplózása

Kritikus

Nem konfigurált

Nem konfigurált

Bizalmas használati jogok naplózása

Kritikus

Nem konfigurált


IPsec-illesztőprogram naplózása

Kritikus

Nem konfigurált


Egyéb rendszeresemények naplózása

Kritikus


Nem konfigurált

Biztonsági állapot változásának naplózása

Kritikus

Sikeres


Védelmi rendszer bővítményének naplózása

Kritikus

Nem konfigurált


Rendszer sértetlenségének naplózása

Kritikus



Fájlrendszer

Kritikus

Nem konfigurált

Nem konfigurált

Regisztrációs adatbázis

Kritikus

Nem konfigurált

Nem konfigurált

2.12.

A felhasználói jogok kiosztása házirend beállításainak konfigurálása

A „Felhasználói jogok kiosztása” házirend olyan beállításkészletet tartalmaz, amellyel pontosan meghatározott tevékenységek delegálhatók a felhasználóknak az operációs rendszerben. A „Felhasználói jogok kiosztása” házirend beállításai a következő bejegyzésnél találhatók: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirend\Felhasználói jogok kiosztása (Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment)

Házirend Memórialapok zárolása Hibakeresés programokban Munkaállomás hozzáadása a tartományhoz Folyamat memóriakvótájának módosítása Az operációs rendszer részeként való működés Biztonsági naplózás létrehozása Bejelentkezés szolgáltatásként Bejelentkezés kötegfájlfolyamatként

Eszközillesztők betöltése és eltávolítása a memóriából Objektumcímke módosítása Belső vezérlőprogram környezeti értékeinek módosítása Bejárás ellenőrzésének mellőzése

Távoli asztali szolgáltatások használatával történő bejelentkezés tiltása A számítógép hálózati elérésének megtagadása Helyi bejelentkezés

Fontossági szint


Fontos Kritikus

Rendszergazdák

Fontos

Fontos

A Microsoft által ajánlott beállítás Rendszergazdák

-

-

Rendszergazdák, Helyi szolgáltatás, Hálózati szolgáltatás -

Rendszergazdák, Helyi szolgáltatás, Hálózati szolgáltatás -

Helyi szolgáltatás, Hálózati szolgáltatás -

Fontos

Helyi szolgáltatás, Hálózati szolgáltatás NT-szolgáltatások\Az összes szolgáltatás Rendszergazdák, Biztonságimásolatfelelősök, Teljesítménynapló felhasználói Rendszergazdák

Fontos

-

Kritikus

Kritikus Kritikus Fontos

-

Rendszergazdák

-

Fontos

Rendszergazdák

Rendszergazdák

Kritikus

Rendszergazdák, Biztonságimásolatfelelősök, Helyi szolgáltatás, Hálózati szolgáltatás, Felhasználók, Mindenki

Rendszergazdák, Hálózati szolgáltatás, Helyi szolgáltatás, Felhasználók

Választható

-

Vendégek

Kritikus

Vendégek

Vendégek

Kritikus

Vendégek

Vendégek

megtagadása Szolgáltatáskénti bejelentkezés megtagadása

Kritikus

-

Kötegelt munka bejelentkezésének megtagadása

Kritikus

-

Delegálás engedélyezése számítógépeknek és felhasználói fiókoknak

Kritikus

-

Ügyfél megszemélyesítése hitelesítés után

Fontos

Egyetlen folyamat kiértékelése Rendszerteljesítmény kiértékelése Fájlok és más objektumok saját tulajdonba vétele Fájlok és mappák visszaállítása Címtár-szolgáltatási adatok szinkronizálása Számítógép dokkolásának megszüntetése Szimbolikus hivatkozás létrehozása Tokenobjektum létrehozása Globális objektumok létrehozása

Fontos Fontos Fontos

Fontos Fontos

Rendszergazdák, Szolgáltatás, Helyi szolgáltatás, Hálózati szolgáltatás Rendszergazdák

Rendszergazdák, Biztonságimásolat-felelősök Rendszergazdák, Felhasználók

Fontos

Rendszergazdák

Fontos

Vendégek

-


Rendszergazdák, NTRendszergazdák, NTszolgáltatás\WdiServiceHost szolgáltatás\WdiServiceHost Rendszergazdák Rendszergazdák

Választható

Fontos

-


Rendszergazdák -

Rendszergazdák


Lapozófájl létrehozása

Kritikus

Állandó megosztott objektum létrehozása Hozzáférés a hitelesítő adatok kezelőjéhez megbízható hívóként

Fontos

-

-

Fontos

-

-

A számítógép elérése a hálózatról

Kritikus

Rendszergazdák, Biztonságimásolatfelelősök, Felhasználók, Mindenki

Rendszergazdák, Felhasználók

Fájlok és mappák biztonsági mentése Kötet-karbantartási műveletek végrehajtása

Fontos

Rendszergazdák

Kritikus

Rendszergazdák, Biztonságimásolat-felelősök Rendszergazdák

Kényszerített leállítás távoli rendszerről

Kritikus

Rendszergazdák

Rendszergazdák

Folyamatszintű token lecserélése Leállítás

Fontos

Helyi szolgáltatás, Hálózati szolgáltatás Rendszergazdák, Felhasználók

A naplózás és a biztonsági napló kezelése

Kritikus

Helyi szolgáltatás, Hálózati szolgáltatás Rendszergazdák, Biztonságimásolatfelelősök, Felhasználók Rendszergazdák

Helyi bejelentkezés engedélyezése

Kritikus

Rendszergazdák, Vendégek, Biztonságimásolatfelelősök, Felhasználók

Rendszergazdák, Felhasználók

Távoli asztali szolgáltatásokkal történő bejelentkezés engedélyezése A rendszeridő megváltoztatása Időzóna módosítása

Fontos

Rendszergazdák, Asztal távoli felhasználói

Fontos

Ütemezési prioritás növelése Folyamat munkakészletének növelése

Fontos

Rendszergazdák, Helyi szolgáltatás Rendszergazdák, Helyi szolgáltatás, Felhasználók Rendszergazdák

Rendszergazdák, Helyi szolgáltatás Rendszergazdák, Helyi szolgáltatás, Felhasználók Rendszergazdák

Fontos

Felhasználók

Rendszergazdák, Helyi szolgáltatás

2.13.

Fontos

Fontos

Rendszergazdák

Rendszergazdák

-

A biztonsági beállítások konfigurálása

A Biztonsági beállítások bejegyzésnél található, csoportokba sorolt beállítások lehetővé teszik a rendszerbiztonság részletes konfigurálását. Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirend\Biztonsági beállítások (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options)

Házirend

Fontossági szint



Tartományi tag: Számítógépfiók jelszavának maximális élettartama

Kritikus

30 nap

30 nap

Tartományi tag: Az adatok digitális aláírása (ha lehet)

Kritikus

Bekapcsolva

Bekapcsolva

Tartományi tag: Az adatok digitális titkosítása (ha lehet)

Kritikus

Bekapcsolva

Bekapcsolva

Tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig)

Kritikus

Bekapcsolva

Bekapcsolva

Tartományi tag: Számítógépfiók jelszómódosításainak tiltása

Kritikus

Kikapcsolva

Kikapcsolva

Tartományi tag: Erős (Windows 2000 vagy frissebb rendszerű) munkamenetkulcs megkövetelése

Kritikus

Kikapcsolva

Bekapcsolva

Választható

Nem definiált

Nem definiált

Választható

Nem definiált

Nem definiált

Fontos

-

Nem definiált

DCOM: Számítógéphozzáférési korlátozások Security Descriptor Definition Language (SDDL) szintaxissal DCOM: Számítógépindítási korlátozások Security Descriptor Definition Language (SDDL) szintaxissal Hálózati hozzáférés: Névtelenül elérhető nevesített csövek

Hálózati hozzáférés: A SAM-fiókok azonosítás nélküli kiértékelése nem engedélyezett

Kritikus

Bekapcsolva

Bekapcsolva

Hálózati hozzáférés: A SAM-fiókok és - megosztások azonosítás nélküli kiértékelése nem engedélyezett

Kritikus

Kikapcsolva

Bekapcsolva

Hálózati hozzáférés: Nem lehet jelszót vagy hitelesítő adatokat tárolni hálózati hitelesítéshez

Kritikus

Kikapcsolva

Nem definiált

Hálózati hozzáférés: Nevesített csövek és megosztások azonosítatlan elérésének korlátozása Hálózati hozzáférés: Távolról elérhető regisztrációs adatbázis elérési utak

Fontos

Bekapcsolva

Bekapcsolva

Fontos

System\CurrentControl Set\Control\ProductOp tions System\CurrentControl Set\Control\Server Applications Software\Microsoft\Wi ndows NT\CurrentVersion

System\CurrentControl Set\Control\ProductOp tions System\CurrentControl Set\Control\Server Applications Software\Microsoft\Wi ndows NT\CurrentVersion

Hálózati hozzáférés: Távolról elérhető regisztrációs adatbázis elérési utak és alelérési utak

Fontos

System\CurrentControl Set\Control\Print\Print ers System\CurrentControl Set\Services\Eventlog Software\Microsoft\OL AP Server Software\Microsoft\Wi ndows NT\CurrentVersion\Pri nt Software\Microsoft\Wi ndows NT\CurrentVersion\Wi ndows System\CurrentControl Set\Control\ContentInd ex System\CurrentControl Set\Control\Terminal Server System\CurrentControl Set\Control\Terminal Server\UserConfig System\CurrentControl Set\Control\Terminal Server\DefaultUserCon figuration Software\Microsoft\Wi ndows NT\CurrentVersion\Per flib System\CurrentControl Set\Services\SysmonLo g Klasszikus – a helyi felhasználók saját magukként történő hitelesítése

System\CurrentControl Set\Control\Print\Print ers System\CurrentControl Set\Services\Eventlog Software\Microsoft\OL AP Server Software\Microsoft\Wi ndows NT\CurrentVersion\Pri nt Software\Microsoft\Wi ndows NT\CurrentVersion\Wi ndows System\CurrentControl Set\Control\ContentInd ex System\CurrentControl Set\Control\Terminal Server System\CurrentControl Set\Control\Terminal Server\UserConfig System\CurrentControl Set\Control\Terminal Server\DefaultUserCon figuration Software\Microsoft\Wi ndows NT\CurrentVersion\Per flib System\CurrentControl Set\Services\SysmonLo g Klasszikus – a helyi felhasználók saját magukként történő hitelesítése

Hálózati hozzáférés: Megosztási és biztonsági modell helyi felhasználói fiókok számára

Kritikus

Hálózati hozzáférés: azonosítatlanul elérhető megosztások Hálózati hozzáférés: Azonosítatlanul helyazonosító/névfordítás engedélyezése

Fontos

Nem definiált

Nem definiált

Kritikus

Kikapcsolva

Kikapcsolva

Hálózati hozzáférés: A azonosítatlan felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkozzanak

Kritikus

Kikapcsolva

Kikapcsolva

Naplózás: Globális rendszerobjektumokhoz való hozzáférések naplózása

Kritikus

Kikapcsolva

Nem definiált

Naplózás: A biztonsági mentés és a helyreállítás jogának naplózása

Kritikus

Kikapcsolva

Nem definiált

Naplózás: A naplórend alkategória-beállításai (Windows Vista vagy újabb) felülbírálják a naplórend kategóriabeállításait

Kritikus

Nem definiált

Bekapcsolva

Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket

Kritikus

Kikapcsolva

Kikapcsolva

Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (ha a kiszolgáló egyetért)

Kritikus

Bekapcsolva

Bekapcsolva

Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig)

Kritikus

Kikapcsolva

Bekapcsolva

Microsoft hálózati ügyfél: Titkosítatlan jelszavak küldése egyéb SMBkiszolgálóknak

Kritikus

Kikapcsolva

Kikapcsolva

Helyreállítási konzol: Automatikus rendszergazdai bejelentkezés

Kritikus

Kikapcsolva

Kikapcsolva

Helyreállítási konzol: Hajlékonylemez másolása és hozzáférés minden meghajtóhoz és mappához Fiókok: Microsoft-fiókok blokkolása

Fontos

Kikapcsolva

Kikapcsolva

Kritikus

Nem definiált

Fiókok: Az üres jelszó használatának konzolbejelentkezésekre korlátozása a helyi fiókoknál

Kritikus

Bekapcsolva

A felhasználók nem vehetnek fel Microsoftfiókokat és nem jelentkezhetnek be velük Bekapcsolva

Fiókok: A rendszergazdai fiók állapota

Kritikus

Kikapcsolva

Kikapcsolva

Fiókok: A vendég fiók állapota

Kritikus

Kikapcsolva

Kikapcsolva

Fiókok: A rendszergazdai fiók átnevezése

Kritikus

Rendszergazda

Nem definiált

Fiókok: A vendégfiók átnevezése Felhasználói fiókok felügyelete: Csak a biztonságos helyre telepített alkalmazások UIAccess jogának megemelése

Fontos

Vendég

Nem definiált

Kritikus

Bekapcsolva

Bekapcsolva

Felhasználói fiókok felügyelete: Csak aláírt és érvényesített végrehajtható fájlok jogosultságszintjének emelése

Kritikus

Kikapcsolva

Kikapcsolva

Felhasználói fiókok felügyelete: Jogosultságszint-emelési kérés során átváltás biztonsági asztalra

Kritikus

Bekapcsolva

Bekapcsolva

Felhasználói fiók felügyelete: Rendszergazdai engedélyezéses mód a beépített rendszergazdai fiókhoz

Kritikus

Kikapcsolva

Bekapcsolva

Felhasználói fiókok felügyelete: Minden rendszergazda rendszergazdai engedélyezéses módban fut

Kritikus

Bekapcsolva

Bekapcsolva

Felhasználói fiókok felügyelete: A fájl- és regisztrációs adatbázisírási hibák felhasználónként különböző helyekre történő virtualizálása

Kritikus

Bekapcsolva

Bekapcsolva

Felhasználói fiókok felügyelete: Alkalmazástelepítések észlelése, és figyelmeztetés a jogosultságszint emelésére

Kritikus

Bekapcsolva

Bekapcsolva

Felhasználói fiókok felügyelete: A jogosultságszintemelési kérés működése rendszergazdák esetében, rendszergazdai engedélyezéses módban Felhasználói fiókok felügyelete: A jogosultságszintemelési kérés működése általános jogú felhasználók esetében

Kritikus

Beleegyezés kérése nem Windows-alapú bináris fájlokhoz

Hozzájárulás kérése a biztonságos asztalon

Kritikus

Hitelesítő adatok kérése

Az emelési kérelmek automatikus megtagadása

Felhasználói fiókok felügyelete: Az alkalmazások kérhetik a UIAccess jog emelését a biztonsági asztal használata nélkül Rendszerkriptográfia: FIPS szabványnak megfelelő algoritmus használata titkosításhoz, kivonatoláshoz és aláíráshoz Rendszerkriptográfia: Kulcs erős védelmének kényszerítése a számítógépen tárolt felhasználói kulcsok esetén Interaktív bejelentkezés: Tartományvezérlő nélküli bejelentkezés helyileg tárolt információval Interaktív bejelentkezés: Számítógép üresjárati korlátja Interaktív bejelentkezés: A felhasználó figyelmeztetése a jelszó lejárta előtt Interaktív bejelentkezés: Nincs szükség CTRL+ALT+DEL billentyűkombinációra Interaktív bejelentkezés: Ne jelenjen meg a legutóbb bejelentkezett felhasználó neve Interaktív bejelentkezés: Számítógépfiókok zárolási küszöbértéke Interaktív bejelentkezés: Bejelentkezési üzenet a felhasználóknak Interaktív bejelentkezés: Bejelentkezési üzenet címe Interaktív bejelentkezés: Intelligens kártya szükséges

Kritikus

Kikapcsolva

Kikapcsolva

Fontos

Kikapcsolva

Bekapcsolva

Fontos

Kikapcsolva

Nem definiált

Kritikus

10 bejelentkezés

4 bejelentkezés

Kritikus

Nem definiált

900 másodperc

Kritikus

14 nap

14 nap

Kritikus

Nem definiált

Kikapcsolva

Kritikus

Kikapcsolva

Bekapcsolva

Kritikus

Nem definiált


Kritikus

Nem definiált

Nem definiált

Kritikus

Nem definiált

Nem definiált

Fontos

Kikapcsolva

Nem definiált

Interaktív bejelentkezés: A munkaállomás zárolásának feloldásához tartományvezérlői hitelesítésre van szükség Interaktív bejelentkezés: Felhasználói információ megjelenítése a munkamenet zárolásakor Interaktív bejelentkezés: Viselkedés intelligens kártya eltávolításakor Rendszerobjektumok: A nem Windows alrendszerek esetén a kis- és nagybetűk megkülönböztetésének tiltása Rendszerobjektumok: A belső rendszerobjektumok (pl. szimbolikus hivatkozások) alapértelmezett engedélyeinek szigorítása Microsoft hálózati kiszolgáló: A munkamenet felfüggesztéséhez szükséges üresjárati idő Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (ha az ügyfél egyetért) Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) Microsoft hálózati kiszolgáló: A kiszolgáló SPN-tárolónevének ellenőrzési szintje Microsoft hálózati kiszolgáló: Ügyfelek leválasztása a munkaidő végén Eszközök: A CD-ROM használatához kötelező bejelentkezni a helyi számítógépre

Kritikus

Kikapcsolva

Kikapcsolva

Fontos

Nem definiált

Nem definiált

Fontos

Nincs művelet

Munkaállomás zárolása

Fontos

Bekapcsolva

Bekapcsolva

Kritikus

Bekapcsolva

Bekapcsolva

Kritikus

15 perc

15 perc

Kritikus

Kikapcsolva

Bekapcsolva

Kritikus

Kikapcsolva

Bekapcsolva

Kritikus

Nem definiált

Elfogadás, ha az ügyfél biztosítja

Kritikus

Bekapcsolva

Bekapcsolva

Választható

Nem definiált

Nem definiált

Eszközök: A hajlékonylemez használatához kötelező bejelentkezni a helyi számítógépre Eszközök: A felhasználók nem telepíthetnek nyomtatókat Eszközök: Dokkolás megszüntethető bejelentkezés nélkül is Eszközök: Cserélhető adathordozó formázása és kiadása a következő csoportok tagjainak engedélyezett Rendszerbeállítások: Választható alrendszerek Rendszerbeállítások: Tanúsítványszabályok használata a futtatható fájlokra vonatkozó szoftverkorlátozási házirendekben Hálózati biztonság: Minimális biztonság az NTLM SSP alapú (a biztonságos RPC is) ügyfelekkel Hálózati biztonság: Minimális munkamenetbiztonság az NTLM SSP alapú (a biztonságos RPC is) ügyfelekkel Hálózati biztonság: A következő jelszómódosításkor ne tárolja a LAN-Manager üzenetkivonatát Hálózati biztonság: LANManager hitelesítési szintje Hálózati biztonság: LDAPügyfél aláírási követelményei Hálózati biztonság: A Kerberos-ügyfél által használható titkosítási típusok konfigurálása

Választható

Nem definiált

Nem definiált

Fontos

Kikapcsolva

Nem definiált

Választható

Bekapcsolva

Nem definiált

Fontos

Nem definiált

Rendszergazdák és Interaktív felhasználók

Posix

Nem definiált

Fontos

Kikapcsolva

Nem definiált

Kritikus

128 bites titkosítás

NTLMv2 munkamenet megkövetelése, 128 bites titkosítás

Kritikus

128 bites titkosítás

NTLMv2 munkamenet megkövetelése, 128 bites titkosítás

Kritikus

Bekapcsolva

Bekapcsolva

Kritikus

Csak NTLMv2-válaszok küldése

Kritikus

Aláírás egyeztetése

Csak NTLMv2-válaszok küldése. LM és NTLM visszautasítása. Aláírás egyeztetése

Fontos

Nem definiált

Választható

RC4/AES128/AES256/ Jövőbeli hitelesítési típusok

Hálózati biztonság: Az NTLM korlátozása: Kiszolgálókivételek hozzáadása ebből a tartományból Hálózati biztonság: Az NTLM korlátozása: Távolikiszolgáló-kivételek hozzáadása az NTLM hitelesítéshez Hálózati biztonság: Az NTLM korlátozása: A bejövő NTLM-forgalom naplózása Hálózati biztonság: Az NTLM korlátozása: Az NTLM hitelesítés naplózása ebben a tartományban Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom Hálózati biztonság: Az NTLM korlátozása: NTLM hitelesítés ebben a tartományban Hálózati biztonság: Az NTLM korlátozása: Távoli kiszolgálókra kimenő NTLM-forgalom Hálózati biztonság: Kötelező kijelentkezés munkaidő lejártakor Hálózati biztonság: A NULL munkamenetre való visszatérés engedélyezése LocalSystem fiók használata esetén Hálózati biztonság: A Helyi rendszer használhatja a számítógép identitását az NTLM hitelesítéshez Hálózati biztonság: A számítógép PKU2U hitelesítési kérelmeinek engedélyezése az online azonosító adatok használatához

Kritikus

Nem definiált

Nem definiált

Kritikus

Nem definiált

Nem definiált

Kritikus

Nem definiált

Nem definiált

Kritikus

Nem definiált

Nem definiált

Kritikus

Nem definiált

Nem definiált

Kritikus

Nem definiált

Nem definiált

Kritikus

Nem definiált

Nem definiált

Fontos

Kikapcsolva

Nem definiált

Fontos

Nem definiált

Kikapcsolva

Fontos

Nem definiált

Bekapcsolva

Fontos

Nem definiált

Kikapcsolva

Leállítás: Virtuális memória lapozófájljának törlése Leállítás: A rendszer leállítható bejelentkezés nélkül

2.14.

Kritikus

Kikapcsolva

Kikapcsolva

Fontos

Bekapcsolva

Bekapcsolva

Az MSS beállításainak konfigurálása

A számos biztonsági beállítás között olyanok is találhatók, amelyek nem tartoznak csoportházirendhez. Ezeket a beállításokat közvetlenül a regisztrációs adatbázisban lehet megadni. Az ilyen típusú beállításokhoz az MSS előtag tartozik (Microsoft Solutions for Security). Az MSS-beállítások kezelésének egyik fontos szempontja az, hogy ezek a beállítások nem törlődnek a biztonsági sablonok törlésekor. Emiatt ezeket a beállításokat manuálisan kell konfigurálni a regisztrációs adatbázisban (regedit32.exe).

2.15. Az SMB-csomagok digitális aláírási házirendjéhez kapcsolódó potenciális veszélyek Az SMB protokoll (Server Message Block) – más néven CIFS (Common Internet File System) – biztosítja a számítógép erőforrásainak – például a fájlok, a nyomtatók vagy a soros portok – megosztását. Amikor az SMB 1-es verzióját használó kliens csatlakozik nem Vendég fiókkal, illetve nem névtelen bejelentkezés használatával, és be van kapcsolva az SMB aláírásának funkciója, akkor a kliens bekapcsolja a kommunikáció digitális aláírását a kiszolgálón, így a következő kapcsolódó munkamenetek örökölni fogják a digitálisan aláírt SMB-kommunikációt, és ilyen kommunikációt fognak használni. A Windows 8 rendszerben a biztonsági házirendek megerősítéséhez a kiszolgáló által hitelesített kapcsolatok nem lehetnek Vendég vagy Névtelen szintűek. A fenti szabály nem vonatkozik az olyan helyzetre, amelyben a tartományvezérlők Windows Server 2003 rendszerrel, a kliens munkaállomások pedig Windows Vista SP2 vagy Windows Server 2008 rendszerrel működnek. Figyelembe véve a fentieket, az SMB-csomagok aláírási házirendjének egységes betartásához a következő bejegyzésnél található beállításokat kell alkalmazni: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirend\Biztonsági beállítások (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options) 

A Windows Server 2003 rendszerrel működő tartományvezérlő esetében: Házirend

Fontossági szint



Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (ha az ügyfél egyetért) Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) 

Kritikus

Bekapcsolva

Bekapcsolva

Kritikus

Bekapcsolva

Bekapcsolva

A tartományban lévő, Windows Vista SP1 vagy Windows Server 2008 rendszerrel működő számítógépek esetében: Házirend

Fontossági szint

Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (ha az ügyfél egyetért) Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig)



Kritikus

Kikapcsolva

Bekapcsolva

Kritikus

Kikapcsolva

Bekapcsolva

Az említett problémák a Windows Server 2008 SP2 és a Windows Vista SP2 rendszerekben már meg megoldott.

2.16.

Az NTLM-hitelesítés használatának korlátozása

Az NT LAN Manager (NTLM) hitelesítési módszer általánosan használt módszer a számítógépes hálózatokban még akkor is, ha rendelkezésre állnak a Windows rendszerbeli hitelesítés biztonságosabb protokolljai. A Windows 8 rendszerben új biztonsági házirendek jelentek meg, amelyekkel megvizsgálható és korlátozható az NTLM használata az informatikai környezetben. Ezen funkciók közé tartozik az adatgyűjtés, az NTLM-forgalom elemzése, valamint egy folyamat, amely korlátozza az NTLM-forgalmat, előnyben részesítve az olyan erősebb hitelesítési protokollokat, mint a Kerberos. Az NTLM protokoll használatának korlátozásához ismerni kell azt, hogyan használják az alkalmazások ezt a protokollt, valamint azokat a stratégiákat és lépéseket, amelyekkel az infrastruktúra beállítható a más protokollokkal való együttműködésre. Az NTLM-forgalom használatának vizsgálatát és korlátozását lehetővé tevő házirend a következő bejegyzésnél található: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirend\Biztonsági beállítások (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options)

A házirendben foglalt beállítások két csoportba sorolhatók.





Vizsgálat: o

Hálózati biztonság: Az NTLM korlátozása: A bejövő NTLM-forgalom naplózása

o

Hálózati biztonság: Az NTLM korlátozása: Az NTLM hitelesítés naplózása ebben a tartományban

Korlátozás:

2.17.

o

Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom

o

Hálózati biztonság: Az NTLM korlátozása: NTLM hitelesítés ebben a tartományban

o

Hálózati biztonság: Az NTLM korlátozása: Távoli kiszolgálókra kimenő NTLM-forgalom

Az Eseménynapló beállításainak konfigurálása

A Windows rendszer védelmével kapcsolatos egyik legfontosabb feladat az események naplózása, amelyet az Eseménynapló szolgáltatással lehet végrehajtani. A konfiguráció fontos elemei a naplók méretére, a hozzáférési jogokra és az események felülírására vonatkozó attribútumok. Az említett attribútumok a következő bejegyzésnél található házirendben adhatók meg: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Eseménynapló (Computer Configuration\Windows Settings\Security Settings\Event Log)            

Alkalmazásnapló maximális mérete Rendszernapló maximális mérete Biztonsági napló maximális mérete Alkalmazásnapló megőrzési módja Rendszernapló megőrzési módja A biztonsági napló megőrzési módja A helyi vendégek csoportja nem férhet hozzá az alkalmazásnaplóhoz A helyi vendégek csoportja nem férhet hozzá a rendszernaplóhoz A helyi vendégek csoportja nem férhet hozzá a biztonsági naplóhoz Alkalmazásnapló megőrzése adott napig Rendszernapló megőrzése adott napig Biztonsági napló megőrzése adott napig

2.18.

A Fokozott biztonságú Windows tűzfal beállításainak konfigurálása

A Fokozott biztonságú Windows tűzfal részletes beállításai a csoportházirendek szintjén, a következő bejegyzésnél érhetők el: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Fokozott biztonságú Windows tűzfal (Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security)

2.18.1. ábra: A Fokozott biztonságú Windows tűzfal csoportházirendjeinek beállításai

Az elérhető beállításokkal a tűzfal következő funkciói módosíthatók:   

A Fokozott biztonságú Windows tűzfal tulajdonságai között található általános beállítások A bejövő és a kimenő forgalomra vonatkozó tűzfalszabályok megjelenítése és létrehozása A számítógépek közötti kommunikáció hitelesítésére vonatkozó szabályok megjelenítése és létrehozása

A beállítások megadása előtt ki kell választani a megadandó beállításokhoz tartozó hálózati profilt. A Fokozott biztonságú Windows tűzfal az alábbi hálózati profilokat tartalmazza. Tartományi profil A rendszer akkor használja ezt a profilt, amikor a számítógép csatlakozik a hálózathoz, és megtörtént a hitelesítése abban a tartományvezérlőben, amelyhez a számítógép tartozik. A profil alapértelmezett konfigurációja lehetővé teszi a Távoli asztal és a Távsegítség szolgáltatás használatát. Otthoni hálózati profil A rendszer akkor használja ezt a profilt, amikor a helyi rendszergazdai jogokkal rendelkező felhasználó hozzárendeli ezt a profilt az aktuális hálózati kapcsolathoz. Ezt a profilt biztonságos hálózatokban ajánlott használni. Nyilvános profil Ez az alapértelmezett profil, amelyet a rendszer akkor használ, amikor a számítógép nincs tartományhoz csatlakoztatva. Ez a profil tartalmazza a legnagyobb mértékű korlátozásokat, többek között letiltott a bejövő kommunikáció.

2.19.

A Windows Update szolgáltatás

A Windows Update szolgáltatás segítségével rendszeresen ellenőrizhető, hogy a számítógépen megtalálhatók-e a szükséges frissítések. Alapértelmezés szerint a Windows Update webhely teszi közzé az összes javítást. Másik megoldásként létrehozható olyan infrastruktúra, amely lehetővé teszi a javítások helyi terjesztését a Windows Update webhellyel való központi szinkronizálással. Ez egy WSUS-kiszolgáló (Windows Server Update Services) 13 segítségével valósítható meg. A WSUSkiszolgáló használata lehetővé teszi:    

A Windows Update webhelyről származó, helyben terjesztendő javítások szinkronizálását Helyi Windows Update-kiszolgáló használatát A javítások rendszergazdai felügyeletét A számítógépek (munkaállomások és/vagy kiszolgálók) automatikus frissítését

A WSUS-kiszolgáló klienseinek konfigurálásához a következő bejegyzésnél található csoportházirend beállítások használhatók: Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\Windows Update (Computer Configuration\Administrative Templates\Windows Components\Windows Update)                

Ne jelenjen meg a „Frissítések telepítése és leállítás” beállítás A Windows leállítása párbeszédpanelen Ne a „Frissítések telepítése és leállítás” beállítás legyen az alapértelmezett érték A Windows leállítása párbeszédpanelen Nem konfigurált A Windows Update Energiagazdálkodás engedélyezése a rendszer automatikus ébresztéséhez és az ütemezett frissítések telepítéséhez Az Automatikus frissítések konfigurálása Adja meg az intraneten található Microsoft frissítési szolgáltatás helyét Automatikus frissítések észlelési gyakorisága A nem rendszergazda felhasználók is kapnak frissítési értesítést Szoftverértesítések bekapcsolása Automatikus frissítések azonnali telepítésének engedélyezése Ajánlott frissítések bekapcsolása az Automatikus frissítéseken keresztül Automatikus újraindítás letiltása ütemezett automatikus frissítések telepítésekor, ha felhasználók vannak bejelentkezve Ismételt újraindítási figyelmeztetés az ütemezett telepítésekhez Újraindítás késleltetése ütemezett telepítéseknél Automatikus frissítések ütemezett frissítéseinek átütemezése Ügyféloldali célcsoport-meghatározás engedélyezése Az intraneten futó Microsoft frissítési szolgáltatás helyéről származó aláírt frissítések engedélyezése

A kliensek és a WSUS-kiszolgáló megfelelő működéséhez legalább négy beállítást meg kell adni:

13

http://technet.microsoft.com/en-us/windowsserver/bb332157.aspx

   

Adja meg az intraneten található Microsoft frissítési szolgáltatás helyét Az Automatikus frissítések konfigurálása Automatikus újraindítás letiltása ütemezett automatikus frissítések telepítésekor, ha felhasználók vannak bejelentkezve Automatikus frissítések ütemezett frissítéseinek átütemezése

2.20. A beépített Windows-hitelesítésre irányuló, a hitelesítő adatok továbbítását használó támadások A Microsoft biztonsági tanácsokat tartalmazó dokumentumai (Microsoft Security Advisory – MSA) olyan támadások ismertetését is tartalmazzák, amelyek a beépített Windows-hitelesítést (Integrated Windows Authentication – IWA) alkalmazó felhasználók hitelesítő adatainak rögzítését célozzák. Ezek a támadások lehetnek betolakodó illetéktelen személyek által intézett támadások vagy olyan megtévesztések, amelyek egy adott hivatkozás használatára veszik rá a felhasználót. Két példa az ilyen jellegű támadásokra: 



Hitelesítő adatok továbbítása A támadás úgy történik, hogy a támadó a rögzített hitelesítő adatok használatával olyan más szolgáltatásokba jelentkezik be, amelyekhez a megtámadott személynek nincs hozzáférése. Hitelesítő adatok duplikálása Ebben az esetben a támadó a rögzített hitelesítő adatokat arra használja, hogy ismételten bejelentkezzen a megtámadott személy számítógépére.

Az ilyen típusú támadások visszaszorítását segíti az EPA funkció (Extended Protection for Authentication), amelyet a Windows 8 és a Windows Server 2012 tartalmaz. A Windows korábbi verzióihoz az EPA funkció frissítésként érhető el. Az EPA funkciónak a Windows korábbi verzióihoz megfelelő konfigurációját a KB968389 tudásbáziscikk (http://support.microsoft.com/kb/976918) ismerteti bővebben. A beépített Windows-hitelesítés egyik ismert elve, hogy a hitelesítési válaszok között lehetnek univerzális válaszok is, amelyeket az univerzális jellegük miatt nem nehéz újból felhasználni vagy továbbítani. Ezért minimális megoldásként olyan konstrukciót tanácsos használni a válaszokhoz a kommunikáció során, amelyek a kommunikációs csatornára vonatkozó adatokat is tartalmaznak. A szolgáltatásokra vonatkozó, meghatározott információt is tartalmazó hitelesítési válaszok erősebb védelmet nyújtanak a szolgáltatásoknak. Ilyen információ lehet például az egyszerű szolgáltatásnév (Service Principal Name – SPN).

3. A rosszindulatú szoftverek elleni védekezés módszerei A rosszindulatú szoftverek (malware, malicious software) közé tartozik minden olyan számítógépes program vagy parancsfájl, amely károkat okozó, ártalmas tevékenységet hajt végre a felhasználó számítógépén. A rosszindulatú szoftverek különféle típusúak lehetnek, például vírusok, férgek, trójai falovak, betörést álcázó programok, illetve kémprogramok (spyware), amelyek adatokat gyűjtenek a felhasználó tevékenységéről a felhasználó beleegyezése nélkül. A Windows 8 a Windows Vista és a Windows 7 rendszer technológiai alapjaira épül. Ezek a technológiák több olyan új megoldást is tartalmaznak, amelyek a rosszindulatú szoftverek elleni védekezéshez használhatók. A Windows 8 rendszerben elérhető új böngészőben, az Internet Explorer 10-ben több fontos és továbbfejlesztett biztonsági funkció is szerepel, amelyekkel megakadályozható a nemkívánatos szoftverek telepítése. Ezek a funkciók a böngésző biztonságának növelésén túl a személyes adatok jogosulatlan átvitelének megakadályozásával az adatvédelemről is gondoskodnak. A Windows 8 lehetőséget nyújt az Internet Explorer 10 teljes eltávolítására, ha ez szükséges. A Microsoft Security Compliance Manager (SCM) eszköz tartalmazza az Internet Explorer 10 böngészőhöz ajánlott alapszint-beállításokat, amelyek megkönnyítik a böngésző biztonsági beállításainak megfelelő konfigurálását. A Windows 8 rendszerben bevezetett új biztonsági funkciók ajánlott beállításait „Az ajánlott biztonsági házirendek alkalmazása a Windows 8 alapbeállításainak környezetében” című fejezetben ismertetett csoportházirendek alkalmazásával lehet megadni. Megjegyzendő, hogy az új biztonsági funkciók számos beállításához az adott informatikai környezetre jellemző információk szükségesek, a funkciókat és a beállításokat a környezettől függően kell kiválasztani. Emiatt a kiegészítő beállítások többségének ajánlott értékei nem szerepelnek ebben az útmutatóban. Az ismertetett funkciók és azok alapértelmezett beállításai magasabb szintre emelik a Windows 8 rendszerrel működő számítógépek védelmét. A csoportházirendekhez új beállítások is tartoznak, amelyek az ismert biztonsági technológiák funkcióinak átvételével és alkalmazásával még kiterjedtebb védelmet biztosítanak a rosszindulatú szoftverek ellen.

3.1.

A Windows 8 rendszerben alkalmazott biztonsági funkciók

A Windows 8 a következő új és továbbfejlesztett technológiákat tartalmazza, amelyek védelmet nyújtanak a rosszindulatú szoftverek ellen:        

A Műveletközpont konzol (Action Center) Biztonságos indítás (Secure Boot) Felhasználói fiókok felügyelete (User Account Control – UAC) Biometrikus védelem (Biometric Security) Windows Defender Kártevő-eltávolító eszköz (Malicious Software Removal Tool) Windows tűzfal AppLocker

Ezenkívül célszerű, ha a felhasználók rendszergazdai jogosultság nélküli, általános jogú fiókkal jelentkeznek be. Vállalati környezetben fontos felügyelhető víruskereső program telepítése, amely valós idejű védelmet nyújt az akár naponta megjelenő újfajta vírusok ellen. Ilyen megoldás például a System Center 2012 Endpoint Protection 14 platform. Ha az adott szervezet a mélységi védelem stratégiáját alkalmazza, célszerű igénybe vennie olyan kiegészítő szolgáltatásokat, amelyek megvizsgálják az erőforrások veszélyeztetettségét. Ezeket a szolgáltatásokat és programokat a Microsoft webhelyéről lehet letölteni a Windows 8 részeként vagy kiegészítéseként. A munkacsoportban működő számítógépek a Windows 8-ban külön telepítés nélkül is teljes értékű vírusvédelmet kapnak a Windows Defenderrel. Hangsúlyozni kell, hogy az összes biztonsági megoldás alkalmazása sem elegendő a felhasználók számítógépeinek védelméhez, ha nem megfelelő azon fiókok védelme és felügyelete, amelyek rendszergazdai jogosultsággal és hozzáféréssel rendelkeznek a számítógép biztonsági beállításaihoz.

3.2.

A Műveletközpont konzol

A Műveletközpont az a központi hely, ahol a felhasználó megtekintheti az értesítéseket és a figyelmeztetéseket, és végrehajthatja a Windows megfelelő működéséhez szükséges műveleteket. A Műveletközpontban tekinthető meg a biztonsági és karbantartási beállításokkal kapcsolatos azon fontos üzenetek listája, amelyek a felhasználó figyelmét igénylik. A megjelenítendő, illetve elrejtendő üzenetek A Műveletközpont beállításainak módosítása konzolon adhatók meg (lásd a 3.2.1. ábrát).

3.2.1. ábra: A Műveletközpont beállításainak módosítása ablak 14

http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx

A Műveletközpont konzol a Windows 8 felhasználóinak értesítése mellett lehetővé teszi annak megadását is, hogy a rendszer milyen információkat küldhet el a Microsoftnak a problémák felderítéséhez és megoldásához. A problémajelentési beállítások a 3.2.2. ábrán láthatók.

3.2.2. ábra: A Problémajelentési beállítások ablak A Microsoftnak elküldött problémajelentésekkel kapcsolatos adatok a következő lépések végrehajtásával tekinthetők át: 1. Nyissa meg a Műveletközpont főablakát. 2. Kattintson a Karbantartás elemre. 3. A Megoldások keresése a problémajelentésekhez szakaszban kattintson a Megbízhatósági előzmények megtekintése elemre. 4. A megbízhatósági előzmények listáján kattintson duplán arra az eseményre, amelynek részletes adatait meg szeretné tekinteni. 5. Az Adatok szakaszban találhatók az eszközök vagy a szoftverek konfigurációjában végrehajtott változtatások részletes adatai. A problémajelentésekkel és adatvédelmi irányelvekkel kapcsolatos részletes tudnivalókat a következő webhelyen tekintheti át: A Microsoft hibajelentési szolgáltatás adatvédelmi nyilatkozata15

15

http://oca.microsoft.com/pl/dcp20.asp

Csoportházirend-beállítások használata a Műveletközponttal kapcsolatos kockázatok minimalizálásához Ezek a beállítások a következő két bejegyzésnél érhetők el: Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\Windows hibajelentés (Computer Configuration\Windows Components\Windows Error Reporting) Az alábbi táblázat az ismertetett technológia Windows 8-as részletes biztonsági beállításait tartalmazza. A házirendek beállításai

Leírás

A Windows 8 alapértelmezett beállítása

Windows hibajelentés letiltása

A beállítás megadása esetén a Nem konfigurált Windows hibajelentés szolgáltatás nem küld semmilyen adatot a Microsoftnak az előfordult problémákról. Ezenkívül a Vezérlőpult Műveletközpont moduljában nem fognak megjelenni a problémák megoldásával kapcsolatos információk. 3.2.1. táblázat: A Műveletközpont beállításai a Windows rendszerben

Felhasználó konfigurációja\Felügyeleti sablonok\Start menü és Tálca (User Configuration\Start Menu and Taskbar\) Az alábbi táblázat az ismertetett technológia Windows 8-as részletes biztonsági beállításait tartalmazza. A házirendek beállításai A Műveletközpont ikon eltávolítása

Leírás Megakadályozza a Műveletközpont ikonjának megjelenítését az értesítési területen. A beállítás megadása esetén a Műveletközpont ikonja nem jelenik meg az értesítési területen.

A Windows 8 alapértelmezett beállítása Nem konfigurált

Ha a beállítás nincs megadva vagy nincs konfigurálva, akkor a Műveletközpont ikonja megjelenik az értesítési területen. 3.2.2. táblázat: A Műveletközpont beállításai a Windows rendszerben

3.3.

Biztonságos indítás (Secure Boot)

A Windows 8 támogatja a biztonságos indítás protokollját, amely a Unified Extensible Firmware Interface (UEFI) specifikáció része. A tervek szerint az UEFI váltja fel a régebbi BIOS rendszereket.

A Windows 8 továbbra is támogatja a BIOS-t, de az UEFI kibővíti a belső vezérlőprogram (firmware) lehetőségeit, beleértve például a nagyobb merevlemezek kezelését (a 2 TB-nál nagyobb, GPT-t, azaz GUID partíciós táblát használó lemezek kezelését), a továbbfejlesztett biztonsági mechanizmusokat, a grafikai funkciókat és a kiterjesztett felügyeleti funkciókat. Kockázatbecslés A régebbi BIOS rendszert használó korszerű számítógépeken az operációs rendszert indító környezetet olyan támadások érhetik, amelyek úgy módosítják a rendszerindító modult, hogy a rosszindulatú kód le tudjon futni a tényleges rendszerindítás előtt, utat engedve ezzel a tervezett támadás végrehajtásának. Ebben az esetben a támadási vektor olyan működést jelent, amelyben a rosszindulatú kód végrehajtása az operációs rendszer és az alkalmazott rendszerbiztonsági funkciók elindítása előtt történik, ami megakadályozza, hogy a védelmi funkciókat ellátó programok észleljék, eltávolítsák vagy blokkolják a támadó programokat. Az ilyen rosszindulatú programok a betörést álcázó rootkit programok vagy a fő rendszertöltő programot támadó bootkit programok közé tartoznak, és komoly kockázatot jelentenek, hisz a rosszindulatú szoftverek elleni védelmet alkalmazó felhasználók biztonságban érzik magukat, holott az alkalmazott biztonsági funkciók az ilyen jellegű támadásokat nem tudják kiszűrni, és ebben az esetben a rendszerből eltávolítandó fájlokat sem tudják felderíteni. Kockázatminimalizálás Az UEFI szabvány újdonsága a biztonságos indítás protokollja, amelyet a Windows 8 is támogat. A biztonságos indítást használó UEFI rendszer az indítási művelet közben ellenőrzi a belső vezérlőprogram digitálisan aláírt kódját, a számítógéphez csatlakoztatott perifériákat, valamint a rendszertöltő modult, és megállapítja, hogy az adott kód rendelkezik-e digitális aláírással és végrehajtható-e. A biztonságos indítás alapértelmezés szerint bekapcsolt a Windows 8 rendszerrel működő olyan számítógépeken, amelyeken elérhető és megfelelően konfigurálva van az UEFI rendszer. A kockázatminimalizálás fontos szempontjai A biztonságos indításhoz olyan belső vezérlőprogram szükséges, amely minimális követelményként megfelel az UEFI specifikáció 2.3.1-es verziójának, valamint az UEFI rendszerben is engedélyezni kell a biztonságos indítást a megfelelő beállítások megadásával.

3.4.

A Felhasználói fiókok felügyelete szolgáltatás

A Windows Vista rendszerben jelent meg újdonságként a felhasználói fiókok felügyelete (User Account Control – UAC). Ez a szolgáltatás megkönnyíti az olyan felhasználói fiók használatát, amely nem rendelkezik rendszergazdai jogosultsággal. Amikor rendszergazdai jogosultságot igénylő módosításokat hajtanak végre a számítógépen, a Felhasználói fiókok felügyelete szolgáltatás erre vonatkozó értesítést jelenít meg. Az UAC mechanizmus több technológiát is tartalmaz:   

Védett rendszergazdai fiók (Protected Administrator – PA) Jogosultságszint-emelés (UAC elevation prompts) A regisztrációs adatbázis virtualizálása (registry virtualization)

 

A fájlrendszer virtualizálása (file system virtualization) A Windows integritási szintjei (Windows Integrity levels)

Annak ellenére, hogy a védett rendszergazdai fiókok valamivel biztonságosabbak, mint a PA mechanizmussal nem védett rendszergazdai fiókok, a napi teendőkhöz továbbra is az általános jogú felhasználói fiókok használata ajánlott, mert ez a legbiztonságosabb megoldás. Ha a felhasználók a számítógépen végzett napi feladatok végrehajtásához általános jogú felhasználói fiókot használnak, azzal minimálisra csökkenthető az olyan rosszindulatú programok általi támadások veszélye, amelyek a magas jogosultsági szintek kihasználásával nemkívánatos alkalmazásokat telepítenek, vagy jogosulatlan módosításokat hajtanak végre a Windows rendszerben. A Windows 8 rendszerben be lehet állítani a felhasználó értesítésének kívánt módját és gyakoriságát. Az alábbi táblázat tartalmazza a négy alapvető értesítési szintet, amelyeket a Műveletközpont Felhasználói fiókok felügyelete moduljában lehet megfelelően beállítani. Beállítás Mindig kérek értesítést

Csak ha valamely program módosítást próbál végrehajtani a számítógépen

Leírás A felhasználó értesítést kap, mielőtt a programok rendszergazdai jogosultságot igénylő változtatásokat hajtanának végre a számítógépen vagy a Windows rendszerben. Az értesítés megjelenítésekor elsötétül az asztal, a felhasználónak pedig el kell fogadnia vagy el kell utasítania a műveletet a Felhasználói fiókok felügyelete funkció párbeszédpaneljén, mielőtt folytathatná a munkát a számítógépen. Az elsötétített asztalt biztonságos asztalnak nevezik, mert ezen az asztalon nem tud működni a többi program. A felhasználó értesítést kap, mielőtt a programok rendszergazdai jogosultságot igénylő változtatásokat hajtanának végre a számítógépen. Ha saját maga hajtja végre a módosításokat, a felhasználó nem kap értesítést, mielőtt rendszergazdai jogosultságot igénylő változtatásokat hajtana végre a Windows beállításaiban. A felhasználó értesítést kap, ha a Windows rendszeren kívüli program kísérel meg változtatásokat végrehajtani a Windows beállításaiban.

Csak ha

A felhasználó értesítést kap, mielőtt a

Hatás a biztonságra Ez a legbiztonságosabb beállítás. Az értesítés megjelenítése után a felhasználónak figyelmesen el kell olvasnia mindegyik párbeszédpanel tartalmát, mielőtt engedélyezi a módosítások végrehajtását a számítógépen.

A felhasználó értesítést kap, mielőtt a programok rendszergazdai jogosultságot igénylő változtatásokat hajtanának végre a számítógépen. Ha saját maga hajtja végre a módosításokat, a felhasználó nem kap értesítést, mielőtt rendszergazdai jogosultságot igénylő változtatásokat hajtana végre a Windows beállításaiban. A felhasználó értesítést kap, ha a Windows rendszeren kívüli program kísérel meg változtatásokat végrehajtani a Windows beállításaiban. A Windows 8 alapértelmezett beállítása Ez a beállítás megegyezik a „Csak ha

valamely program módosítást próbál végrehajtani a számítógépen (ne sötétüljön el az asztal)

programok rendszergazdai jogosultságot igénylő változtatásokat hajtanának végre a számítógépen. Ha saját maga hajtja végre a módosításokat, a felhasználó nem kap értesítést, mielőtt rendszergazdai jogosultságot igénylő változtatásokat hajtana végre a Windows beállításaiban. A felhasználó értesítést kap, ha a Windows rendszeren kívüli program kísérel meg változtatásokat végrehajtani a Windows beállításaiban.

Soha nem kérek értesítést

A felhasználó nem kap értesítést a számítógépen végrehajtott változtatások előtt. Ha a felhasználó rendszergazdaként van bejelentkezve, a programok a tudtán kívül is végrehajthatnak változtatásokat a számítógépen. Ha a felhasználó normál felhasználóként jelentkezik be, az összes olyan változtatás el lesz utasítva, amely rendszergazdai jogosultságot igényel. E beállítás választása esetén újra kell indítani a számítógépet a Felhasználói fiókok felügyelete funkció kikapcsolásához. A Felhasználói fiókok felügyelete funkció kikapcsolása után a rendszergazdaként bejelentkező felhasználók mindig rendszergazdai jogosultságokkal fognak rendelkezni.

valamely program módosítást próbál végrehajtani a számítógépen” beállítással, de az értesítések nem a biztonságos asztalon jelennek meg. Minthogy ennél a beállításnál a Felhasználói fiókok felügyelete funkcióhoz tartozó párbeszédpanel nem a biztonságos asztalon jelenik meg, más programok befolyásolhatják a párbeszédpanel megjelenítését. Ez kisebb mértékű biztonsági kockázatot jelent, ha a számítógépen már működik valamilyen kártevő program. A felhasználó nem kap értesítést a számítógépen végrehajtott változtatások előtt. Ha a felhasználó rendszergazdaként van bejelentkezve, a programok a tudtán kívül is végrehajthatnak változtatásokat a számítógépen. Ha a felhasználó normál felhasználóként van bejelentkezve, az összes olyan változtatás el lesz utasítva, amely rendszergazdai jogosultságot igényel.

E beállítás választása esetén újra kell indítani a számítógépet a Felhasználói fiókok felügyelete funkció kikapcsolásához. A Felhasználói fiókok felügyelete funkció kikapcsolása után a rendszergazdaként bejelentkező felhasználók mindig rendszergazdai jogosultságokkal fognak rendelkezni. Nem ajánlott beállítás. 3.3.1. táblázat: A Felhasználói fiókok felügyelete funkció beállításainak leírása A Felhasználói fiókok felügyelete funkció bevezetése után a zavaróan gyakori értesítések miatt a felhasználók többsége kikapcsolta ezt a funkciót, ami csökkentette a rendszer biztonságát. A Windows 7 SP1 és a Windows 8 rendszerben már csökkent a hitelesítő adatok szintjének növelésére irányuló kérdések száma, hogy a felhasználó több műveletet tudjon végrehajtani normál felhasználóként is. Emellett a védett rendszergazdai fiókok használata közben a Windows 8 egyes programjai automatikusan, külön értesítés megjelenítése nélkül megemelhetik a jogosultsági szintet. A Felhasználói fiókok felügyelete funkció ajánlott minimális beállítási szintje a Csak ha valamely program módosítást próbál végrehajtani a számítógépen beállítás, de célszerű fontolóra venni a

Mindig kérek értesítést beállítás használatát olyan környezetekben, ahol a kliensszámítógépek felhasználói gyakran kapcsolódnak nyilvános hálózatokhoz, illetve olyan helyzetekben, amelyek magas biztonsági szintet igényelnek. A kevésbé biztonságos szintek alkalmazása növeli annak kockázatát, hogy a kártevő programok illetéktelen módosításokat hajtanak végre a számítógépen. A Felhasználói fiókok felügyelete funkció rendszergazdai engedélyezéses módja meghatározott mértékű védelmet nyújt a Windows 8, a Windows 7 SP1 és a Windows Vista Service Pack 1 (SP1) rendszerű számítógépeknek a rosszindulatú szoftverek egyes típusai ellen. A Windows 8 rendszerben futtatott programok és műveletek többsége megfelelően fog működni a normál felhasználó esetében is, és amikor a felhasználónak rendszergazdai tevékenységet kell végrehajtania, például szoftvert kell telepítenie, vagy módosítania kell a rendszerbeállításokat, a rendszer figyelmeztetni fogja a felhasználót, és kérni fogja a jóváhagyását az adott műveletek végrehajtásához. Ez a mód azonban nem nyújtja ugyanazt a biztonsági szintet, mint az általános jogú felhasználói fiók használata, és nincs garancia arra, hogy a számítógépen esetleg már megtalálható rosszindulatú programok nem fogják tudni megemelni a jogosultsági szintet saját maguknak, hogy végrehajthassák kártevő tevékenységüket az adott számítógépen. Kockázatbecslés A rendszergazdai jogosultsággal rendelkező felhasználóknak a rendszerben végzett szokásos tevékenységük közben azzal a veszéllyel kell számolniuk, hogy a tudomásuk nélkül is történhetnek rendszergazdai tevékenységek véletlenül vagy károkozó szándékkal. Néhány példa: 



 

A felhasználó letöltött és telepített egy rosszindulatú programot, amely egy szándékosan módosított vagy vírussal, illetve rosszindulatú szoftverrel megfertőzött webhelyről származik. A felhasználót megtévesztéssel rávették arra, hogy megnyisson egy e-mail mellékletet, amely kártevő szoftvert tartalmaz, és ez a kártevő szoftver automatikusan, észrevehetetlenül települt a felhasználó számítógépére. A felhasználó cserélhető adathordozót csatlakoztatott a számítógéphez, és az automatikus lejátszási funkció elindította és telepítette a rosszindulatú programot. A felhasználó nem támogatott vagy nem ellenőrzött alkalmazást telepített, amely hatással van a számítógép teljesítményére és megbízhatóságára.

Kockázatminimalizálás A napi szinten végzett tevékenységekhez és műveletekhez rendszergazdai jogosultsággal nem rendelkező, általános jogú felhasználói fiókot célszerű használni. Amikor a felhasználó az UAC funkciót használja a rendszergazdai fiók jogosultsági szintjére lépéshez és az ahhoz tartozó hitelesítő adatok alkalmazásához, a gyors felhasználóváltás segítségével célszerű új rendszergazdai munkamenetet indítania. A kockázatminimalizálás fontos szempontjai Az UAC mechanizmus hozzájárul a „Kockázatbecslés” című részben leírt veszélyek minimálisra csökkentéséhez, az UAC technológia alkalmazása előtt azonban figyelembe kell venni a következőket:















Ha a szervezet belső programozói csoportja saját alkalmazásokat készít a szervezet számára, ajánlatos áttekinteni a következő cikket: „Windows Vista Application Development Requirements for User Account Control Compatibility”16. Ez a dokumentum leírja, hogyan kell az UAC mechanizmusnak megfelelő alkalmazásokat tervezni és létrehozni. Az UAC technológiával nem kompatibilis alkalmazások problémát okozhatnak az UAC mechanizmus alapértelmezés szerint bekapcsolt szintjén. Emiatt fontos, hogy az éles környezetben történő használat előtt ellenőrizzék, hogy az alkalmazások megfelelnek-e az UAC technológia követelményeinek. Az alkalmazások kompatibilitási tesztjeivel a 6. fejezet foglalkozik részletesen. Az UAC bekapcsolása jelentős mértékben megnöveli a jogosultságszint emelésére vonatkozó kérések számát, illetve a rendszergazdai fiók használatának szükségességét a rendszergazdák által végzett szokásos tevékenységek esetében. Ha ez számottevően visszaveti a rendszergazdák munkájának teljesítményét, a Felhasználói fiókok felügyelete: A jogosultságszint-emelési kérés működése rendszergazdák esetében, rendszergazdai engedélyezéses módban csoportházirendben megadható a Jogosultságszint-emelés kérés nélkül beállítás. Ez a módosítás azonban csökkenti a számítógép konfigurációjának biztonságát, és növeli a kártevő szoftverek beférkőzésének kockázatát. A rendszergazdai jogosultsággal rendelkező és a védett rendszergazdai (PA) fiókot használó felhasználók kikapcsolhatják a rendszergazdai engedélyezéses funkciót, valamint kikapcsolhatják az UAC funkciót, hogy a rendszer ne jelenítse meg a jogosultságszint emelésének szükségességére vonatkozó értesítéseket az alkalmazások telepítése, illetve a rendszerrel kapcsolatos módosítások végrehajtása közben. Emiatt nincs garancia arra, hogy az UAC mechanizmusra vonatkozó csoportházirendek beállításai a kívánt eredménnyel fognak járni, ha a felhasználók rendszergazdai jogosultsággal rendelkeznek a szervezet számítógépein. A rendszergazdáknak célszerű két fiókot használniuk. Az egyik fiókot a szokásos tevékenységek és műveletek végrehajtásához érdemes fenntartani. Ennek a fióknak rendszergazdai jogosultságok nélküli, általános jogosultságú fióknak kell lennie. Amikor rendszergazdai jogosultságra van szükség, a rendszergazdáknak másik fiókkal kell bejelentkezniük a rendszergazdai tevékenységek végrehajtásához. A teendőik elvégzése után ki kell jelentkezniük, és vissza kell térniük az általános jogú felhasználói fiók használatához. A csoportházirendek jelen útmutatóban ismertetett beállításai nem engedélyezik a jogosultsági szint emelését az általános jogú felhasználóknak. Megjegyzendő, hogy ez normál működésnek számít az Active Directory-tartományt használó számítógépek esetében. Ez az ajánlott beállítás, amely előírja, hogy rendszergazdai tevékenységeket csak azok a felhasználók hajthatnak végre, akik megfelelő rendszergazdai jogosultságú fiókkal rendelkeznek. Ha a Windows egy alkalmazást tévesen rendszergazdai jogosultságot igénylő alkalmazásként vagy felhasználói alkalmazásként azonosít, akkor előfordulhat, hogy az alkalmazás nem a megfelelő biztonságú környezetben indul.

A kockázatminimalizálás folyamata

16

http://go.microsoft.com/fwlink/?linkid=104243

A kockázatminimalizálás folyamatát az UAC mechanizmus által nyújtott lehetőségek elemzésével és tesztelésével kell kezdeni. Ezzel a témával a Microsoft webhelyén elérhető következő cikkek foglalkoznak részletesen: Understanding and Configuring User Account Control in Windows Vista17 és Getting Started with User Account Control on Windows Vista18. A kockázat minimalizálásához ajánlott műveletek a következők: 1. Meg kell határozni a rendszergazdai tevékenységeket végrehajtó felhasználók számát. 2. Meg kell határozni a rendszergazdai tevékenységek végrehajtásának gyakoriságát. 3. Meg kell határozni, hogy a rendszergazdák melyik módszerrel hajtják végre a rendszergazdai tevékenységeket: az egyszerűbb módszerrel, vagyis az UAC értesítéseivel és az adott tevékenység végrehajtásának engedélyezésével, vagy pedig azzal a módszerrel, amely meghatározott hitelesítő adatok megadását igényli a rendszergazdai tevékenységek végrehajtásához. 4. Meg kell határozni, hogy az általános jogú felhasználók rendelkezhetnek-e a jogosultságszint emelésének lehetőségével a rendszergazdai tevékenységek végrehajtásához. A jelen útmutatóban alkalmazott csoportházirend-beállítások kifejezetten tiltják a jogosultszintemelést az általános jogú felhasználóknak. 5. Meg kell állapítani, milyen módon történik az alkalmazások telepítése a számítógépeken. 6. Konfigurálni kell a Felhasználói fiókok felügyelete funkció csoportházirend-beállításait az egyéni igényeknek és követelményeknek megfelelően. Csoportházirend-beállítások használata az UAC funkcióval kapcsolatos kockázatok minimalizálásához A beállítások a következő bejegyzésnél érhetők el: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirend\Biztonsági beállítások\ (Computer Configuration\Windows Settings\Security Settings\Local Policy\Security Options\) Az alábbi táblázat a Windows 8 rendszer részletes biztonsági beállításait tartalmazza. A házirendek beállításai Felhasználói fiók felügyelete: Rendszergazdai engedélyezéses mód a beépített rendszergazdai fiókhoz Felhasználói fiókok felügyelete: Az alkalmazások kérhetik a UIAccess jog emelését a biztonsági asztal használata nélkül 17 18

Leírás Ez a beállítás a rendszergazdai engedélyezéses mód viselkedését határozza meg a beépített rendszergazdai fiókhoz. Ez a beállítás meghatározza, hogy a felhasználói felülethez hozzáféréssel rendelkező (User Interface Accessibility – UIAccess vagy UIA) programok automatikusan letilthatják-

http://go.microsoft.com/fwlink/?linkid=148165 http://go.microsoft.com/fwlink/?linkid=84129

A Windows 8 alapértelmezett beállítása Kikapcsolva

Kikapcsolva

Felhasználói fiókok felügyelete: A jogosultságszint-emelési kérés működése rendszergazdák esetében, rendszergazdai engedélyezéses módban Felhasználói fiókok felügyelete: A jogosultságszint-emelési kérés működése általános jogú felhasználók esetében Felhasználói fiókok felügyelete: Alkalmazástelepítések észlelése, és figyelmeztetés a jogosultságszint emelésére Felhasználói fiókok felügyelete: Csak aláírt és érvényesített végrehajtható fájlok jogosultságszintjének emelése

Felhasználói fiókok felügyelete: Csak a biztonságos helyre telepített alkalmazások UIAccess jogának megemelése

e a biztonsági asztalt az általános jogú felhasználók által használt jogosultságszint-emelési kéréseknél. Ez a beállítás a jogosultságszintemelési kérések viselkedését határozza meg rendszergazdák esetében.

Beleegyezés kérése nem Windows-alapú bináris fájlokhoz

Ez a beállítás a jogosultságszintemelési kérések viselkedését határozza meg általános jogú felhasználók esetében. Ez a beállítás az alkalmazástelepítésészlelések viselkedését határozza meg a számítógépen.

Hitelesítő adatok kérése

Ez a beállítás minden olyan interaktív alkalmazás esetében alkalmaztatja a PKI aláírás-ellenőrzést, amely jogosultságszint-emelést követel meg. A vállalati rendszergazdák úgy szabályozhatják az engedélyezett alkalmazások körét, hogy tanúsítványokat adnak a helyi számítógépek Megbízható kiadók tanúsítványtárolójához. Ezzel a beállítással adható meg, hogy a rendszer megkövetelje-e az UIAccess integritási szinttel való végrehajtást igénylő alkalmazásoknak a fájlrendszer egy biztonságos helyén való tárolását. A biztonságos helyek a következő mappákra korlátozottak:

Kikapcsolva

Bekapcsolva

Bekapcsolva

- …\Program Files\ és annak almappái, - …\Windows\system32, - …\Program Files (x86)\, beleértve a 64 bites Windows-verziók alkönyvtárait is.

Felhasználói fiókok felügyelete: Minden rendszergazda rendszergazdai engedélyezéses módban fut Felhasználói fiókok felügyelete:

Megjegyzés: Ezen beállítás állapotától függetlenül a Windows PKI aláírásellenőrzést követel meg az olyan alkalmazásokon, amelyek végrehajtásához UIAccess integritási szint szükséges. Ez a beállítás az UACházirendbeállítások viselkedését határozza meg a számítógépen. Ez a beállítás az UAC-

Bekapcsolva

Bekapcsolva

Jogosultságszint-emelési kérés során átváltás biztonsági asztalra Felhasználói fiókok felügyelete: A fájl- és regisztrációs adatbázisírási hibák felhasználónként különböző helyekre történő virtualizálása

házirendbeállítások viselkedését határozza meg a számítógépen. Ez a házirend-beállítás azt adja meg, hogy az alkalmazások írási hibái át legyenek-e irányítva a regisztrációs adatbázis és a fájlrendszer megadott helyeire. Ez a beállítás nem engedélyezi azokat az alkalmazásokat, amelyek rendszergazdaként futnak, és futásidejű alkalmazásadatokat írnak a %ProgramFiles%, a %Windir%, a %Windir%\system32 vagy a HKLM\Software\ helyre.

Bekapcsolva

A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található.

3.5.

Biometrikus védelem

A Windows 8 részét képező Windows biometrikus keretrendszer univerzális módon, magasabb szintű alkalmazásokkal kezeli az ujjlenyomat-olvasókat és az egyéb biometrikus eszközöket. A Windows beépített összetevői az operációs rendszer szintjén támogatják és teszik lehetővé a biometrikus megoldásokat használó alkalmazások segítségével az ujjlenyomatok felismerését. A Windows 7 előtti verziókban az ujjlenyomat-felismerés megfelelő kezeléséhez és a rendszerbe ilyen módon való bejelentkezéshez más gyártók illesztőprogramjait és alkalmazásait kellett használni. A Windows 7 és a Windows 8 natív módon kezeli a biometrikus megoldásokat, csak az ujjlenyomat-olvasó illesztőprogramjának telepítését igényli. A Windows 8 új bővítményeket és kiterjesztett támogatást tartalmaz a biometrikus eszközökhöz. Az ujjlenyomat-felismerési technológiák teljes mértékben támogatják és kezelik a gyors felhasználóváltási funkciót, és továbbfejlesztett mechanizmusokat tartalmaznak a jelszavak és az ujjlenyomatok szinkronizálásához. Kockázatbecslés A felhasználók ellenőrzéséhez jelszót használó alapvető módszerek több biztonsági rést és sebezhető pontot tartalmazhatnak, amelyek veszélyeztethetik a felügyelt informatikai környezet biztonságát. Ha a jelszavak jelentik a felhasználók hitelesítésének egyetlen eszközét, akkor egészen hétköznapi veszélyekkel kell számolni, például azzal, hogy a felhasználók felírják a jelszavukat egy cédulára, vagy elfelejtik jelszavukat, emellett a jelszóhasználat könnyű célpontja lehet a rendszer ellen irányuló olyan támadásoknak, amelyek célja a jelszavak feltörése és megszerzése. A felhasználói fiókok biztonságának megerősítéséhez többféle összetevőt alkalmazó hitelesítési módszert kell használni, például olyan eszközök bevezetésével, mint az intelligens kártyák. Az ilyen megoldásoknál a felhasználónak meg kell adnia egy általa ismert adatot (PIN-kód), valamint használnia kell egy fizikai eszközt is (intelligens kártya). Ez a módszer megemeli a hitelesítés biztonsági szintjét, de továbbra is fennáll az adatok elvesztésének, illetve kisebb mértékben az adatok módosításának veszélye.

Kockázatminimalizálás A biometrikus eszközök Windows 8 rendszerbeli támogatása lehetővé teszi, hogy a szervezetek újabb réteget iktassanak be a felhasználók személyazonosságának ellenőrzési folyamatába, olyan azonosító elem bemutatásának előírásával, amely az ellenőrzött személy elválaszthatatlan része. Ez a megoldás csökkenti a jelszavak, illetve az intelligens kártyák használatával járó kockázatot. A Windows 8 beépített ujjlenyomatolvasó-kezelési mechanizmusa együttműködik a biometrikus hitelesítés különböző típusaival. Az ujjlenyomat-olvasók egyre szélesebb körű elérhetőségének és az áruk csökkenésének köszönhetően a biometrikus hitelesítés hatékony megoldást jelenthet számos szervezetben. Az ujjlenyomat alapján történő azonosítás előnyei a következők:     

Az ujjlenyomat nem változik tulajdonosának élete során. Nincs két azonos ujjlenyomat (még az ikrek ujjlenyomatai is különbözőek). Az ujjlenyomat-olvasók egyre olcsóbbak, ami kedvez az elterjedésüknek. Az ujjlenyomatok leolvasása egyszerű és gyors folyamat. A leolvasott minták megbízhatósága magas szintű, kicsi a téves azonosítások aránya összehasonlítva más típusú biometrikus megoldásokkal, például az arcfelismeréssel vagy a hangelemzéssel.

Az ujjlenyomat alapján történő azonosításnak vannak azonban hátrányai is:  



A bőrfelület fizikai károsodása akadályozhatja az azonosítást, ami meggátolhatja a sérült ujjlenyomatú felhasználók megfelelő hitelesítését. Tudományosan alátámasztott tény, hogy az ujjlenyomat-felismerő rendszerek megtéveszthetők mesterségesen előállított ujjlenyomatok használatával. Az Impact of Artificial "Gummy" Fingers on Fingerprint Systems19 webhely foglalkozik részletesen az ezzel kapcsolatos kérdésekkel. A felhasználó életkora, illetve a fizikai munka is befolyásolhatja az ujjlenyomat-olvasás megbízhatóságát.

A kockázatminimalizálás fontos szempontjai A Windows 8 részét képező biometrikus hitelesítési mechanizmus, például az ujjlenyomat-felismerés alkalmazása előtt a következő szempontokat kell mérlegelni: 



19

A biometrikus rendszerek a felhasználók biometrikus adatainak megfelelő feldolgozását igénylik, és ezeket az adatokat a számítógépeken kell tárolni a hitelesítés végrehajtásához. Ez a helyzet az adatvédelmet veszélyeztető kockázatokat idézhet elő, ezért a személyes adatok megfelelő feldolgozási módját igényli. A korszerű hordozható számítógépek többsége tartalmaz beépített ujjlenyomat-olvasót, ami megkönnyítheti a biometrikus eszközök használatának bevezetését, azonban az egyes beépített ujjlenyomat-olvasók beolvasási pontossága eltérő lehet, és ezek az eszközök nem mindig tudják azt a minőséget nyújtani, mint a kifejezetten erre a célra fejlesztett

http://cryptome.org/gummy.htm





biometrikus megoldások. A bevezetés előtt ajánlott elvégezni az ujjlenyomat-olvasók tesztelését és minőség-ellenőrzését a következő biometriai jellemzők alapján: téves visszautasítási arány, téves elfogadási arány, keresztező hibaarány, adatfelvételi hibák aránya, teljesítmény. Az ujjlenyomat-felismerés nem alkalmazható olyan munkakörnyezetben, ahol a végzett tevékenységek jellege miatt a felhasználók nem tudják tisztán tartani a kezüket. Ilyen esetben érdemes fontolóra venni más egyéni fizikai sajátosságokat vizsgáló megoldásokat, például az íriszfelismerést, az arcfelismerést vagy a tenyér formája szerinti azonosítást. Ezenkívül célszerű kiegészítő adatokat is használni a felhasználók hitelesítéséhez, például hozzáférési kódot, PIN-kódot vagy intelligens kártyát, mert az ujjlenyomat-olvasók is megtéveszthetők, például gélből készített mesterséges ujjlenyomat leolvasásával. Az ujjlenyomat-olvasók megtévesztésével kapcsolatos részletes tájékoztatás az Impact of Artificial "Gummy" Fingers on Fingerprint Systems20 webhelyen olvasható.

A kockázatminimalizálás folyamata Lényeges szempont, hogy minden szervezet saját munkafolyamatokkal rendelkezik, amelyek egyediek az adott szervezet környezetében. Bevezetése előtt részletesen elemezni kell a választott megoldást, és meg kell bizonyosodni arról, hogy az meg fog felelni a hitelesítési folyamat biztonságának növelésére vonatkozóan meghatározott követelményeknek. A biometriai védelem sikeres bevezetéséhez és a kockázatok csökkentéséhez a következő műveleteket kell végrehajtani: 1. Több teszt elvégzésével ellenőrizni kell a különböző biometrikus eszközöket alkalmazó megoldásokat, és ki kell választani azt a megoldást, amely a legmegfelelőbb a szervezet követelményei és igényei szempontjából. 2. Meg kell ismerkedni az adott szervezet adatvédelmi irányelveivel, különös tekintettel a személyes adatok feldolgozására vonatkozó szabályokra. 3. Meg kell határozni a biometrikus eszközökre vonatkozó műszaki követelményeket, valamint be kell ütemezni a választott megoldás tesztelési időszakát, amelynek során ellenőrizhető, hogy az eszközök megfelelnek-e az előírt követelményeknek. 4. Meg kell határozni a választott biometrikus megoldás bevezetéséhez szükséges további technikai követelményeket, ilyen lehet például a nyilvános kulcsot alkalmazó infrastruktúra kiépítése vagy a biometrikus eszközöket kezelő szoftverek telepítése. 5. Fel kell mérni, hogy hány felhasználónak okozhat problémát a biometrikus eszköz használata a fizikai sajátosságaik miatt, és ki kell dolgozni egy alternatív megoldást ezeknek a felhasználóknak. Mérlegelni kell egy alternatív hitelesítési módszer alkalmazását is, amely alapulhat jelszavak, illetve PIN-kód megadását igénylő intelligens kártyák használatán. 6. Meg kell ismertetni a felhasználókkal a biometrikus hitelesítés használatának helyes módját, valamint tájékoztatni kell őket arról is, hogy milyen másodlagos hitelesítési folyamatot kell használni, ha a biometrikus hitelesítés nem lehetséges.

20

http://cryptome.org/gummy.htm

7. Nagy létszámú felhasználócsoport bevonásával tesztelni kell a választott megoldást, amelynek során meg kell határozni az esetleges problémákat, és az éles környezetben való tényleges bevezetés előtt meg kell oldani minden problémát. 8. A felhasználók egyéni fizikai tulajdonságait fel kell venni a biometrikus eszköz adatbázisába a leolvasási folyamatot és a rögzített adatok ellenőrzését magában foglaló biometrikus megoldás szállítójától kapott útmutatásnak megfelelően. 9. Gondoskodni kell arról, hogy a felhasználók elsajátítsák a biometrikus rendszer használatát, és megfelelő támogatást kell biztosítani számukra, ha nehézségekbe ütköznek a rendszer használata közben. 10. Megfelelő helyettesítő megoldást kell kidolgozni az olyan személyek hitelesítéséhez, akik elutasítják a biometrikus rendszer használatát azzal az indokkal, hogy nem járulnak hozzá személyes adataik feldolgozásához. Csoportházirend-beállítások használata a biometrikus megoldásokkal kapcsolatos kockázatok minimalizálásához A beállítások a következő bejegyzésnél érhetők el: Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\Biometria (Computer Configuration\Administrative Templates\Windows Components\Biometrics) Az alábbi táblázat az ismertetett technológia Windows 8 rendszerbeli részletes biztonsági beállításait tartalmazza. A házirendek beállításai Biometria használatának engedélyezése

A felhasználók biometrikus bejelentkezésének engedélyezése

Leírás Ha engedélyezi (vagy nem konfigurálja) ezt a házirend-beállítást, akkor a Windows biometrikus szolgáltatás elérhető lesz, és a felhasználók futtathatnak olyan alkalmazásokat a Windows rendszerben, amelyek biometriát használnak. Ez a beállítás határozza meg, hogy a felhasználók bejelentkezhetnek-e, vagy magasabb szintű engedélyt kérhetnek-e a felhasználói fiókok felügyeletétől biometrikus úton.


Nem konfigurált

Alapértelmezés szerint a helyi felhasználók be tudnak jelentkezni a helyi számítógépre. A tartományi felhasználók biometrikus bejelentkezésének engedélyezése

Ez a beállítás határozza meg, hogy a tartomány felhasználói bejelentkezhetnek-e, vagy magasabb szintű engedélyt kérhetnek-e a felhasználói fiókok felügyeletétől biometrikus úton.

Nem konfigurált

Alapértelmezés szerint a tartomány felhasználói nem jelentkezhetnek be biometrikus úton. Ha engedélyezi ezt a házirend-beállítást, a tartomány felhasználói bejelentkezhetnek a Windows-alapú számítógépre biometrikus úton. A használt biometrikus eljárás típusától függően a házirendbeállítás engedélyezése csökkentheti a biztonságot azon felhasználók számára, akik biometrikusan jelentkeznek be. Gyors Ez a beállítás adja meg, hogy hány Nem konfigurált felhasználóváltási másodpercig maradjanak aktívak a események függőben lévő gyors felhasználóváltási időkorlátja események az átváltás megkezdése előtt. Alapértelmezés szerint a gyors felhasználóváltási események 10 másodpercig maradnak aktívak, mielőtt inaktívvá válnának. 3.4.1. táblázat: A biometrikus megoldások csoportházirendjeinek beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található.

3.6.

A Windows Defender szolgáltatás

A Windows Defender a Windows 8 rendszerhez tartozó, annak elindításakor automatikusan betöltődő antimalware szoftver. (A Windows XP rendszerben ezt a szoftvert külön kellett letölteni és telepíteni.) Antimalware szoftver használatával megerősíthető a számítógép védelme a kémprogramok és az egyéb nemkívánatos alkalmazások ellen, például a vírusok, a férgek, a robotok (angol kifejezéssel: bot), illetve a betörést álcázó programok ellen. A kémprogramok a felhasználó tudta nélkül települhetnek a számítógépre, amikor a számítógép kapcsolódik az internethez. Előfordulhatnak olyankor is, amikor a felhasználó cserélhető adathordozóról telepít programokat. A Windows Defender szolgáltatás kétféle módszert kínál, amellyel a számítógép védhető a kémprogramok bejutása ellen: a valós idejű védelmet, valamint az ütemezett vizsgálatot. Az automatikus karbantartás részeként mindkét módszer célja a rendszer védelme. A Windows 8 rendszerben a biztonsági célú vizsgálatot áthelyezték az Automatikus karbantartás szolgáltatásba, amely emellett tartalmazza a programfrissítések elérhetőségének ellenőrzését, valamint a rendszerdiagnosztika funkcióját is. Az ütemezett automatikus karbantartás beállításainak megadásához hajtsa végre a következő műveletsort: 1. Nyissa meg a Műveletközpont főablakát. 2. A Műveletközpont ablakában kattintson a Karbantartás elemre, és válassza a Karbantartási beállítások módosítása lehetőséget. 3. Az Automatikus karbantartás ablakban adja meg az automatikus karbantartás kívánt beállításait, és kattintson az OK gombra.

4. Zárja be a Műveletközpont ablakát. A 3.5.1. ábrán láthatók a Windows 8-as számítógépek Windows Defender szolgáltatásának ajánlott beállításai.

3.5.1. ábra: A Windows Defender ablaka és az automatikus vizsgálathoz ajánlott beállítások Amikor egy alkalmazás a Windows 8 rendszer védett területén próbál meg módosításokat végrehajtani, a Windows Defender üzenetet jelenít meg, és a kártevő szoftverek telepítésének megakadályozása érdekében megkérdezi, hogy a felhasználó engedélyezi-e a módosítást, mert annak hatása lehet a rendszer működésére. A Microsoft Active Protection (MAPS) szolgáltatás A Microsoft Active Protection Service egy online közösség, amely segítséget tud nyújtani a különböző veszélyekkel szembeni óvintézkedések kiválasztásához. Tevékenységei közé tartozik az újonnan megjelenő fertőzések elterjedésének megakadályozása is. A tagoknak lehetőségük van az észlelt szoftverekre vonatkozó alapszintű vagy részletes adatok beküldésére is. A Microsoft az összegyűjtött adatokat arra használja, hogy új definíciókat hozzon létre a számítógépet védő Windows Defender alkalmazáshoz. A vírusok, kémprogramok és egyéb kártevő programok eltávolításával kapcsolatosan beküldött információk között szerepelhetnek a számítógépen fertőzöttként azonosított elemek helyére vonatkozó adatok. Az adatok gyűjtése és beküldése automatikusan történik.

Az adatvédelemre vonatkozó irányelvek részletes leírása a Windows 8 és Windows Server 2012 adatvédelmi nyilatkozat 21 című dokumentumban olvasható. Kockázatbecslés A rosszindulatú szoftverek számos veszélyt jelentenek a szervezetek számára, amelyeket a szervezeteknek minimálisra kell csökkenteniük ahhoz, hogy biztonságosan tudják tárolni adataikat a számítógépeiken, és megakadályozhassák azok jogosulatlan megszerzését. A kémprogramokhoz kapcsolódó legjelentősebb kockázatok a következők:      

A szervezet bizalmas adatai jogosulatlan személyek birtokába juthatnak. A felhasználók személyes adatai jogosulatlan személyek birtokába juthatnak. Külső támadók átvehetik az irányítást a számítógépek rendszere felett. Szolgáltatásleállások történhetnek, hisz a kémprogramok károsan befolyásolhatják a számítógépes rendszerek teljesítményét és stabilitását. A kémprogramok miatt növekedhetnek a fenntartási költségek és a védelemre fordított kiadások. A szervezet visszaéléseknek lehet kitéve, ha fertőzött rendszereiből bizalmas adatok szivárognak ki.

Kockázatminimalizálás A Windows Defender szolgáltatás szerepe a rosszindulatú szoftverekkel kapcsolatos kockázatok minimálisra csökkentése. A Windows Defender definícióit rendszeresen és automatikusan kell letölteni a Windows Update vagy a Windows Server Update Services (WSUS) szolgáltatás segítségével. A kockázatminimalizálás fontos szempontjai A Windows Defender alapértelmezés szerint automatikusan elindul a Windows 8-as számítógépek bekapcsolása után, és úgy működik, hogy ne zavarja a normál felhasználók napi munkáját. A Windows Defender hatékony alkalmazásához a következő műveletek végrehajtása ajánlott:    

21

Együttműködési teszteket kell végezni a más gyártóktól származó olyan víruskereső és kémprogram-elhárító szoftverek telepítése előtt, amelyek valós idejű védelmet biztosítanak. Ha nagy mennyiségű számítógépet kell kezelni, létre kell hozni egy olyan rendszert, amely az aláírások és a definíciók frissítésére használható. A felhasználókat meg kell ismertetni a rosszindulatú szoftverek által végrehajtható támadásokkal, valamint a pszichológiai manipuláció módszereivel végrehajtott támadásokkal. Az adott szervezet igényeinek megfelelően kell beállítani az automatikus vizsgálat ütemezését. A naponta végrehajtott vizsgálat alapértelmezett időpontja 3:00, ekkor a számítógép automatikusan feléled alvó üzemmódból, és a rendszer elvégzi az ütemezett automatikus karbantartási feladatokat. Ha a rendszer nem tudja végrehajtani a vizsgálatot az ütemezett időpontban, értesíti erről a felhasználót, és a jóváhagyását kéri a vizsgálat

http://go.microsoft.com/fwlink/?LinkId=190175, http://windows.microsoft.com/hu-hu/windows8/windows-8-privacy-statement?ocid=W8_UI





elindításához. Ha a vizsgálat nem történik meg a következő 2 napon belül, akkor a rendszer a számítógép bekapcsolása után 10 perccel automatikusan elindítja a vizsgálatot. A Windows 8 rendszerben a vizsgálat alacsony prioritású folyamatként fut, így csak minimálisan foglalja le a számítógép erőforrásait. A Windows Defender nem a nagyvállalatok számára készült Enterprise kategóriájú alkalmazás. Ez a megoldás nem biztosít teljes körű központi jelentéskészítést, figyelést és konfigurációkövetést. Ha a szervezetnek központi felügyeletre és jelentéskészítésre is szüksége van, fejlettebb megoldásokat célszerű alkalmaznia, például a Microsoft System Center 2012 Endpoint Protection szoftvert. Meg kell határozni a Microsoft Active Protection Service online közösségnek történő adatküldésre, vagyis a felderített rosszindulatú programokkal kapcsolatos adatok küldésére vonatkozó adatvédelmi irányelveket.

A kockázatminimalizálás folyamata A Windows Defender a Windows 8 alapértelmezett összetevője, aktiválásához nem kell semmilyen kiegészítő műveletet végrehajtani. Néhány ajánlott művelet elvégzését azonban érdemes megfontolni, mert ezek fontosak lehetnek a szervezet állandó védelmének biztosításához. Ezek a következők: 1. A Windows 8 rendszerben működő Windows Defender funkcióinak ellenőrzése és tesztelése 2. A Windows Defender konfigurációjának ellenőrzése és tesztelése csoportházirendek alkalmazásával 3. Kiegészítő vírusvédelem szükségességének felmérése és tesztelése, valamint annak megállapítása, hogy az adott eszköz által nyújtott védelem a vírusok mellett kiterjed-e a kémprogramokra is. 4. Az aláírások és a definíciók rendszeres frissítésének beütemezése az összes számítógépen, figyelembe véve azt is, hogy a hordozható számítógépek más konfigurációt igényelhetnek, mint az asztali számítógépek. 5. A felhasználók tájékoztatása arról, hogyan ismerhetők fel a gyanús tevékenységek a számítógépen, és milyen jelenségeket okozhatnak a rosszindulatú szoftverek a számítógépen. 6. A technikai támogatást nyújtó részleg munkatársainak megfelelő képzése arra vonatkozóan, hogy milyen eszközök használhatók a Windows Defender szolgáltatással kapcsolatos segítségnyújtáshoz. Csoportházirend-beállítások használata a Windows Defender szolgáltatással kapcsolatos kockázatok minimalizálásához A beállítások a következő bejegyzésnél érhetők el a Csoportházirendobjektum-szerkesztőben: Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\Windows Defender (Computer Configuration\Administrative Templates\Windows Components\Windows Defender) Az alábbi táblázat az ismertetett technológia Windows 8 rendszerbeli részletes biztonsági beállításait tartalmazza. A házirendek beállításai

Leírás

A Windows 8

alapértelmezett beállítása Új aláírások keresése ütemezett ellenőrzések előtt

Új aláírások keresése az ütemezett ellenőrzések futtatása előtt

Nem konfigurált

Ha engedélyezi ezt a házirendbeállítást, az ütemezett ellenőrzés a számítógép ellenőrzése előtt új aláírásokat keres.

Windows Defender kikapcsolása

Valós idejű figyelés kikapcsolása

A rendszeresen végrehajtott műveletek kikapcsolása

Ha letiltja, vagy nem konfigurálja ezt a házirend-beállítást, az ütemezett ellenőrzés új aláírások letöltése nélkül kezdődik. Ez a beállítás kikapcsolja a Windows Defender szolgáltatást. Ha engedélyezi ezt a beállítást, a Windows Defender nem fog futni, és nem ellenőrzi, hogy a számítógépen találhatók-e kémprogramok és más, vélhetően kéretlen szoftverek. Kikapcsolja a valós idejű védelemnek az ismert kártevők észleléséről szóló értesítéseit. Ezzel a beállítással azt konfigurálhatja, hogy a Windows Defender automatikusan cselekedjen-e az összes észlelt veszély esetén. Egy adott fenyegetéssel szemben végrehajtott intézkedést a házirend által meghatározott művelet, a felhasználó által meghatározott művelet és az aláírás által meghatározott művelet kombinációja határoz meg. Ha engedélyezi ezt a házirendbeállítást, a Windows Defender nem fog automatikusan cselekedni az észlelt fenyegetésekkel szemben, de minden fenyegetés esetén felajánlja a felhasználónak, hogy válasszon az elérhető műveletek közül. Ha letiltja, vagy nem konfigurálja a házirend-beállítást, a Windows Defender automatikusan fellép minden észlelt fenyegetéssel szemben, körülbelül 10 perc késleltetéssel (ez az érték nem módosítható).

Nem konfigurált

Nem konfigurált

Nem konfigurált

A Microsoft Active Protection Ezzel a beállítással konfigurálható a Nem konfigurált Service tagságtípusának Microsoft Active Protection Service megadása közösségbeli tagságtípus. 3.5.1. táblázat: A Windows Defender csoportházirendjeinek beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található.

3.7.

Kártevő-eltávolító eszköz

A Kártevő-eltávolító eszköz (Malicious Software Removal Tool – MSRT) egy kisméretű végrehajtható program, amely megkönnyíti a leggyakoribb rosszindulatú szoftverek eltávolítását a Windows rendszerű számítógépekről. A Microsoft minden hónapban elérhetővé teszi az MSRT program új verzióját, amely a Microsoft Update, a Windows Update vagy a WSUS szolgáltatással tölthető le, illetve a Microsoft Letöltőközpontból szerezhető be. A Kártevő-eltávolító eszköz csendes üzemmódban fut, és a vizsgálat befejezése után jelentést jelenít meg, ha rosszindulatú programot talált. Ezt az eszközt nem kell telepíteni az operációs rendszerben, és nem tartoznak hozzá csoportházirend-beállítások. A vizsgálat eredményét tartalmazó jelentés fájljának alapértelmezés szerinti helye a következő: %SystemRoot%\Debug\mrt.log. Az MSRT program nem a nagyvállalatok számára készült Enterprise kategóriájú alkalmazás. Ez a megoldás nem biztosít teljes körű központi jelentéskészítést, figyelést és konfigurációkövetést. Ha a szervezetnek központi felügyeletre és jelentéskészítésre is szüksége van, fejlettebb megoldásokat célszerű alkalmaznia, például a System Center 2012 Endpoint Protection22 szoftvert. Kockázatbecslés Ajánlott megoldásként a szervezetben található minden számítógépre telepíteni kell víruskereső szoftvert a Windows 8 rendszerben elérhető biztonsági szolgáltatások kiegészítéseképpen. A megfelelő vírusvédelem telepítése ellenére sem szabad megfeledkezni arról, hogy további veszélyek is fenyegethetik a szervezet biztonságát:  

Előfordulhat olyan eset, hogy a víruskereső program nem ismer fel egy bizonyos típusú rosszindulatú programot. A rosszindulatú szoftver kikapcsolhatja vagy blokkolhatja a vírusvédelmet a megtámadott számítógépen.

A fenti helyzetekben az MSRT program kiegészítő védelmi rétegként működve segíti a legelterjedtebb kártevő programok felderítését és eltávolítását. Az MSRT program által felismert és eltávolított kártevő programok folyamatosan frissített listája a következő webhelyen érhető el: Malware Families Cleaned by the Malicious Software Removal Tool23. Kockázatminimalizálás

22 23

http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx http://www.microsoft.com/security/pc-security/malware-families.aspx

A kockázat minimalizálásához be kell kapcsolni az automatikus frissítési funkciót a kliensszámítógépeken. Az „Automatikus frissítések” funkció bekapcsolt állapotában a rendszer automatikusan letölti az MSRT havonkénti frissítéseit, így mindig az eszköz legújabb verziója fog futni a számítógépen. Az MSRT a Microsoft által azonosított és komoly veszélyforrásként besorolt, a Windows felhasználóinak biztonságát csökkentő, széles körben terjedő rosszindulatú szoftverekkel kapcsolatos kockázat minimalizálására kifejlesztett megoldás.

A kockázatminimalizálás fontos szempontjai Az alábbi lista tartalmazza az MSRT eszköz megfelelő alkalmazását elősegítő legfontosabb tudnivalókat:  

Az MSRT program kb. 9 MB méretű. Ha sok felhasználó tölti le egyszerre, az negatív hatással lehet az internetkapcsolat minőségére. Az MSRT eszközt elsődlegesen a nem vállalati felhasználók számára fejlesztették ki, akik nem rendelkeznek naprakész vírusvédelmi megoldással. A mélységi védelem stratégiájának részeként azonban a már meglévő vírusvédelmi megoldás kiegészítéséhez is alkalmazható. Az MSRT eszköz a következő módszerekkel telepíthető a szervezeti környezetben: o Windows Server Update Services o SMS-/SCCM-telepítőcsomag o Számítógép indítási parancsfájlja, amelyet csoportházirend indít el o Felhasználó indítási parancsfájlja, amelyet csoportházirend indít el A nagyobb méretű környezetekre vonatkozó további tájékoztatás a Microsoft Tudásbázis A Microsoft Windows kártevőket eltávolító eszközének telepítése vállalati környezetben24 című, 891716-os számú cikkében olvasható.





Az MSRT program nem biztosít valós idejű védelmet, ezért mindenképpen ajánlott egy olyan víruskereső program telepítése is, amely valós idejű védelmet nyújt az akár naponta megjelenő újfajta vírusok ellen. Ilyen megoldás például a Microsoft System Center 2012 Endpoint Protection platform, amely univerzális védelmet nyújt a kártevő szoftverek ellen a hordozható számítógépeken, az asztali számítógépeken és a kiszolgálókon is. Az MSRT program az elindításakor létrehoz egy ideiglenes könyvtárat véletlenszerűen megadott névvel azon a meghajtón, amelyen a legtöbb szabad lemezterület van (ez általában az operációs rendszert tartalmazó meghajtó). Ez a könyvtár néhány fájlt tartalmaz, többek között az Mrtstub.exe fájlt. Az esetek többségében a könyvtár automatikusan törlődik a vizsgálat befejezése után, illetve a számítógép újraindítása után. Előfordulhat azonban, hogy a könyvtár mégsem törlődik automatikusan. Ilyen esetben a könyvtár kézzel törölhető, ez nem fog semmilyen problémát okozni a számítógépen.

A kockázatminimalizálás folyamata Az MSRT eszköz hatékony használatához és a kockázat minimalizálásához a következő műveletek végrehajtása ajánlott:    

24 25

Az MSRT eszköz funkcióinak ellenőrzése és tesztelése; további információ: Malicious Software Removal Tool25 Annak felmérése, hogy szükség van-e az MSRT eszköz használatára a saját környezetben. Az MSRT eszköz szervezetbeli telepítéséhez alkalmazható legmegfelelőbb módszer meghatározása A szervezet azon rendszereinek azonosítása, amelyekben az MSRT eszköz telepítése magasabb szintre emeli a biztonságot.

http://support.microsoft.com/Default.aspx?kbid=891716 http://www.microsoft.com/security/pc-security/malware-removal.aspx



Az eszköz telepítése a megfelelő telepítési módszer használatával.

3.8.

A Windows 8 tűzfala

A személyes tűzfal a különböző típusú kártevő szoftverek elleni védekezés kritikus fontosságú eleme. Ahogy a Windows korábbi verzióiban is (a Windows XP SP2 kiadásától kezdve), a Windows 8 rendszerben is alapértelmezés szerint bekapcsolt a személyes tűzfal, amely így az operációs rendszer elindulásának pillanatától kezdve védelmet nyújt a felhasználónak. A Windows 8 tűzfala ugyanazt a védelmi mechanizmust használja, mint a Windows Vista tűzfala, beleértve a bejövő és a kimenő adatforgalom szűrését, amivel korlátozható az operációs rendszer erőforrásaihoz való hálózaton keresztüli hozzáférés. A Windows fokozott biztonságú tűzfala ugyanazt a konzolt alkalmazza felhasználói felületként, mint a Windows Vista rendszerbeli tűzfal. Ez a konzol a tűzfal kezelésének központi helye. Ezen a konzolon kezelhetők a hálózati adaptereken keresztül haladó bejövő és kimenő hálózati adatforgalom szűrésének beállításai, valamint az IPsec protokoll biztonsági beállításai, például a kulcscserére, a hitelesítésre, az adatintegritásra és az adatok titkosítására vonatkozó beállítások. A Windows 8 fokozott biztonságú tűzfala három profilt tartalmaz: Tartományi profil A rendszer akkor használja ezt a profilt, amikor a számítógép csatlakozik a hálózathoz, és megtörtént a hitelesítése abban a tartományvezérlőben, amelyhez a számítógép tartozik. Nyilvános profil Ez az alapértelmezett profil, amelyet a rendszer akkor használ, amikor a számítógép nincs tartományhoz csatlakoztatva. A nyilvános profilnak kell tartalmaznia a legszigorúbb korlátozásokat, hisz a számítógép nem biztonságos, nyilvános hálózathoz csatlakozik. Otthoni profil A rendszer akkor használja ezt a profilt, amikor a helyi rendszergazdai hitelesítő adatokkal rendelkező felhasználó hozzárendeli ezt a profilt az aktuális hálózati kapcsolathoz, amely korábban nyilvános hálózatként lett definiálva. Ezt a profilt biztonságos hálózatokban ajánlott használni. A Windows Vista rendszerben egyszerre csak egy profil lehet aktív a számítógépen. A Windows 8 rendszerben a hálózati adapterek szintjén több profil is aktív lehet. Ha a számítógépben több hálózati adapter található, amelyek különböző hálózatokhoz vannak csatlakoztatva, akkor a rendszer mindegyik hálózati adapterhez az adott hálózatnak leginkább megfelelő beállításokat tartalmazó profilt rendeli hozzá. Ha például a felhasználó egy internetkávézó ingyenes vezeték nélküli hálózati kapcsolatán keresztül csatlakozik a szervezet hálózatához VPN-kapcsolat használatával, a nyilvános profil továbbra is védelmet nyújt annak a hálózati adatforgalomnak, amely nem a VPN-kapcsolaton keresztül halad. Ugyanez érvényes a hálózathoz nem csatlakoztatott, illetve az ismeretlen hálózathoz csatlakoztatott hálózati adapterre, amelyhez a rendszer a nyilvános profilt fogja használni, míg a többi hálózati adapterhez azt a profilt rendeli hozzá, amely leginkább megfelel az adott hálózati kapcsolatoknak.

Kockázatbecslés A hálózati kapcsolat mára az üzleti tevékenységek kiemelt fontosságú elemének számít, mert egyrészt lehetővé teszi a kapcsolattartást az egész világgal, másrészt ugyanez a kapcsolat a támadások fő célpontjává is válhat. Ezt a veszélyt minimálisra kell csökkenteni a biztonság fenntartásához, valamint a fontos adatokhoz való jogosulatlan hozzáférés és a számítógépek megfertőzésének megakadályozásához. A szervezeteknek a következő veszélyekkel kell számolniuk a hálózati kapcsolatokat felhasználó támadások esetében:  



  

A támadó megfertőzheti a számítógépeket, átveheti a számítógépek feletti irányítást, illetve rendszergazdai jogosultságokat szerezhet illetéktelenül. A támadó egy hálózati keresőeszköz használatával távolról felderítheti a nyitott portokat (amelyek az internetes szolgáltatások működéséhez szükségesek), és ezeken keresztül bejutva hajthatja végre a támadást. A szervezet bizalmas adatai jogosulatlan személyek birtokába juthatnak, amikor egy trójai faló típusú alkalmazás közvetlen kapcsolatot hoz létre a hálózaton belül található egyik munkaállomás és a támadó számítógép között. A hordozható számítógépeket külső hálózati támadások érhetik, amikor a felhasználók a vállalati tűzfal hatókörén kívül eső, nem megbízható hálózatban dolgoznak. A belső hálózatban működő számítógépeket a hálózathoz csatlakozó fertőzött számítógépekről származó támadások érhetik. A szervezet visszaéléseknek lehet kitéve, ha a támadó megfertőzi a belső hálózathoz csatlakozó számítógépeket.

Kockázatminimalizálás A Windows 8 beépített tűzfala biztosítja a számítógép védelmét. A hálózati tűzfal blokkolja a nemkívánatos bejövő kapcsolatokat, amíg a rendszergazda vagy a megfelelő csoportházirend végre nem hajtja a szükséges módosításokat. A hálózati tűzfal a számítógép kimenő adatforgalmának szűrését is előre beállítottan tartalmazza. Ez a szabály alapértelmezés szerint engedélyezi a teljes kimenő forgalmat. A tűzfalszabályok a csoportházirend-beállításokkal konfigurálhatók úgy, hogy a kliensszámítógép biztonsági beállításai változatlanok maradjanak. A kockázatminimalizálás fontos szempontjai Az alábbi lista tartalmazza a hálózati tűzfal megfelelő alkalmazását elősegítő legfontosabb tudnivalókat: 



Tesztelni kell a szervezet számítógépein használt alkalmazások együttműködését. Meg kell határozni, hogy az egyes alkalmazások milyen portokat használnak, hogy a tűzfal engedélyezhesse a szükséges portok megnyitását. A Windows 7 tűzfalához hasonlóan a Windows 8 hálózati tűzfala is három profilt használ: a tartományi profilt, a nyilvános profilt és a saját profilt. A tűzfal ezekkel a profilokkal állítja be a szervezet belső hálózatán kívüli, nem megbízható hálózatokban működő kliensszámítógépek megfelelő védelmi szintjét.





Meg kell határozni a tűzfal által létrehozott naplófájlok adatgyűjtési szintjét, hogy a naplófájlok készítése a szervezet meglévő jelentéskészítési és figyelési megoldásainak megfelelő módon történjen. A tűzfal alapértelmezés szerint blokkolja a Windows 8-as számítógépek távvezérlését és távfelügyeletét. A tűzfal tartalmaz olyan beépített szabályokat is, amelyek lehetővé teszik a távoli feladatok végrehajtását. Ha távvezérlésre van szükség, be lehet kapcsolni ezeket a szabályokat a tűzfal megfelelő profiljaiban. A tartományi profilban be lehet kapcsolni például a „Távoli asztal” szabályt, hogy a technikai támogatással foglalkozó munkatársak távoli kapcsolat létrehozásával tudjanak segítséget nyújtani a felhasználóknak. A nyilvános és a saját profil esetében célszerű kikapcsolva hagyni ezeket a szabályokat, mert ezzel minimálisra csökkenthető a belső hálózatban lévő számítógépek hálózaton keresztüli megtámadásának kockázata.

A kockázatminimalizálás folyamata A Windows 8 olyan csoportházirend-beállításokat és eszközöket tartalmaz, amelyek segítségével a rendszergazdák egyszerűen megadhatják a tűzfal megfelelő konfigurációs beállításait. A Windows 8 rendszerben elérhető speciális biztonsági beállítások a Windows 7 SP1 és a Windows Vista rendszerű számítógépeken is alkalmazhatók, de a Windows XP rendszerű kliensszámítógépeken, illetve a virtuális Windows XP mód használata esetén nincs lehetőség erre. A tűzfal alapértelmezett konfigurációjának módosításakor a Fokozott biztonságú Windows tűzfal csoportházirend-beállításait ajánlott használni a Windows 8, a Windows 7 SP1 és a Windows Vista rendszerű számítógépek felügyeletéhez. A Fokozott biztonságú Windows tűzfal szolgáltatásra vonatkozó házirendek a következő bejegyzésnél találhatók: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Fokozott biztonságú Windows tűzfal (Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security) Mindhárom profilban a Fokozott biztonságú Windows tűzfalat célszerű bekapcsolni. A Fokozott biztonságú Windows tűzfal támogatja a kapcsolatbiztonsági szabályok használatát is. A kapcsolatbiztonsági funkció a két számítógép közötti kommunikáció elkezdése előtt hitelesíti a két számítógépet, és megfelelő védelemmel látja el a két számítógép között átvitt adatokat. A Fokozott biztonságú Windows tűzfal szolgáltatás az IPsec protokoll biztonsági funkcióit használja a kapcsolatok biztonságossá tételéhez, beleértve például a kulcscserére, a hitelesítésre, az adatintegritásra és az adatok titkosítására vonatkozó beállításokat. Az IPSec26 protokollal kapcsolatos további tudnivalók a Microsoft Technet webhelyen olvashatók.

26

http://go.microsoft.com/fwlink/?LinkId=69843

A Windows 8 Fokozott biztonságú tűzfalához ajánlott beállításokat tartalmazó alapbeállítás-készlet a Security Compliance Manager27 (SCM) eszközben érhető el. (Az SCM használatának ismertetését a jelen dokumentum 8. fejezete tartalmazza.)

3.9.

Az alkalmazások hozzáférésének korlátozása – AppLocker

A Windows 8 AppLocker funkciója a szoftverkorlátozási házirendek frissített és továbbfejlesztett verziója. Az AppLocker olyan új funkciókat és kiegészítéseket tartalmaz, amelyek csökkentik a felügyeleti teendőket, és megkönnyítik a rendszergazdák számára a fájlok (például a végrehajtható fájlok, a parancsfájlok, a Windows Installer-fájlok és a DLL-fájlok) hozzáférésének szabályozását. Az AppLocker funkció konfigurálásához használhatók az Active Directory-tartomány csoportházirendjei vagy a rendszer Helyi biztonsági házirend konzolján elérhető helyi házirendek. Kockázatbecslés A nem engedélyezett alkalmazások telepítési kísérletei a rendszer jogosulatlan módosításának kockázatával járnak. A telepítési folyamat változtatásokat hajt végre a számítógép operációs rendszerében, és az is előfordulhat, hogy elindít különböző szolgáltatásokat, vagy megnyit bizonyos portokat a Windows tűzfalon. Ha a fenti események nem következnek be, akkor is ellenőrizni kell, hogy a rendszerben telepített alkalmazás nem lehet-e támadások esetleges célpontja, illetve nem használható-e különböző támadások végrehajtásához. A nem engedélyezett alkalmazások lehetnek kártevő szándékúak, és ha a felhasználó véletlenül vagy szándékosan telepít egy ilyen alkalmazást, az alkalmazás felhasználható arra, hogy a támadók hozzáférjenek a belső rendszerekhez, miután a számítógép csatlakozott a szervezet hálózatához. A Windows 8 rendszerben az Applocker funkcióval a Windows 8 új alkalmazásai is felügyelhetők. A Windows 8 izolált alkalmazásokat használ, amelyekhez hozzá vannak kapcsolva a telepítőfájlok, és az alkalmazások közzététele olyan néven történik, amelyben szerepel a készítő neve, az alkalmazás neve és a verziószám is. Ez azt jelenti, hogy az AppLocker funkcióban csak a készítőre vonatkozó szabály hozható létre a Windows 8 rendszerben használandó alkalmazások telepítésének és elindításának felügyeletéhez. Kockázatminimalizálás Az AppLocker lehetővé teszi, hogy a rendszergazdák alkalmazásvezérlési házirendeket használjanak, amelyekkel jelentősen csökkenthető a szervezet számítógépeire telepített nem engedélyezett alkalmazások felhasználásával végrehajtható támadások kockázata. Az AppLocker funkcióban a következő műveletek végrehajtásával minimalizálható a szoftverek telepítéséhez kapcsolódó kockázat: 1. Szabályok definiálása a digitális aláírásban szereplő fájlattribútumok alapján, például a készítő, a termék neve, a fájl neve és a fájl verziója alapján – létrehozhatók például olyan szabályok a készítőt tartalmazó attribútum alapján, amelyek a frissítések után is megőrzik az érvényességüket, vagy megadhatók csak egy meghatározott fájlverzióra érvényes szabályok. 2. Szabályok hozzárendelése a biztonsági beállítások, illetve a felhasználók csoportjához

27


3. Kivételek megadása a szabályokhoz – létrehozható például olyan szabály, amely engedélyezi a Windows összes rendszerfolyamatának elindítását, kivéve a Registry Editor (Regedit.exe) elindítását. 4. A Csak naplózás üzemmód használata a házirendek hatásának felméréséhez az érvényesítésük előtt 5. Szabályok importálása és exportálása – az importálás és az exportálása a teljes házirendre hatással van. Például egy házirend exportálásakor az összes szabályt exportáljuk az összes szabálygyűjteményből, beleértve a szabálygyűjtemények érvényesítésének beállításait. A házirendek importálása a meglévő házirendek felülírását okozza. 6. Szoftverkorlátozási házirendek létrehozása és kezelése a PowerShell program szoftverkorlátozási kisalkalmazásainak használatával. A kockázatminimalizálás fontos szempontjai Az alábbi lista tartalmazza az AppLocker funkció megfelelő alkalmazását elősegítő legfontosabb tudnivalókat: 





Az alkalmazásvezérlési házirendeket körültekintően tesztelni kell az éles környezetben való használatuk előtt. A funkció használatának tervezésekor és érvényesítésekor vétett hibák számottevően megnehezíthetik a felhasználó munkáját és visszavethetik a teljesítményét. Az AppLocker funkció „Csak naplózás” üzemmódjának használatával végzett felmérés alapján a korlátozás érvényesítése előtt megállapítható, hogy a felhasználók milyen alkalmazásokat használnak. Ügyelni kell a korlátozások fokozatos bevezetésére. A műveletet azoknál a felhasználóknál kell kezdeni, akiknél a telepített szoftverek komoly biztonsági kockázatot jelentenek, illetve azokon a számítógépeken, amelyek bizalmas és fontos adatokat tárolnak.

A kockázatminimalizálás folyamata Az AppLocker konfigurációja a csoportházirendek Alkalmazásvezérlési házirendek bejegyzésénél található. A Windows 8 is támogatja a szoftverkorlátozási házirendeket. Figyelem: Az AppLocker funkció nem érhető el a Windows 8 egyéni felhasználóknak szánt verzióiban.

Kockázatminimalizálás csoportházirendek és az AppLocker funkció használatával Az AppLocker funkció konfigurációs beállításai a következő bejegyzésnél érhetők el: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Alkalmazásvezérlési házirendek (Computer Configuration\Windows Settings\Security Settings\Application Control Policies) Ez az útmutató nem tartalmaz ajánlásokat arra vonatkozóan, hogy milyen alkalmazásokat érdemes letiltani a munkaállomásokon, mert az erre vonatkozó igények egyediek minden szervezetben. Az AppLocker házirendjeinek tervezésével és alkalmazásával kapcsolatos további tudnivalók az

AppLocker Technical Documentation for Windows 7 and Windows Server 2008 R2 28 című dokumentumban olvashatók.

3.10.

Szoftverkorlátozási házirendek

A Windows 8 is tartalmazza és támogatja a Windows Vista, a Windows XP, a Windows Server 2003 és a Windows Server 2008 rendszerben alkalmazott szoftverkorlátozási házirendeket. A rendszergazdák továbbra is használhatják ezeket a házirendeket a helyi számítógépeken működő alkalmazások korlátozásához és vezérléséhez. A Microsoft azonban a Windows 8 AppLocker funkciójában bevezetett új alkalmazásvezérlési házirendek beállításainak és kiegészítéseinek használatát javasolja a szoftverkorlátozási házirendek használata helyett.

3.11.

Biztonságos hitelesítés intelligens kártyák használatával

A Windows rendszerekben az intelligens kártyák biztosítják a lehető legjobb módszert a felhasználók hitelesítésére, illetve a felhasználók bejelentkezésére a számítógépekre, a webhelyekre és az alkalmazásokba. Az intelligens kártyák a Windows korábbi kiadásaiban is támogatottak, de a Windows 8 rendszerben bevezetett változtatások eredményeképpen az intelligens kártyák meghatározott hozzáférési típusok esetében még kényelmesebbé váltak a hitelesítésre. Az intelligens kártya a többfaktoros hitelesítés alkalmazásával jelentős mértékben növeli a biztonságot. A többfaktoros hitelesítés olyan mechanizmus, amelyben a számítógépre vagy egy webhelyre való bejelentkezéshez használt hitelesítés tartalmaz egy fizikai összetevőt, az intelligens kártyát (ez a felhasználó birtokában lévő fizikai összetevő), valamint egy adatot, ami általában egy PIN-kód (ez csak a felhasználó által ismert adat). Így a támadók csak az egyik elemhez hozzájutva, például a PIN-kódot megszerezve nem tudják hitelesíteni magukat a rendszerben a fizikai kártya nélkül. A Windows 8 rendszerben virtuális intelligens kártyák is használhatók, amelyekkel helyettesíthetők a webhelyeken és az alkalmazásokban való hitelesítéshez használt fizikai kártyák. A virtuális intelligens kártyák hasonló biztonsági mechanizmusokat használnak, de a tanúsítványok tárolásához használt tároló a platformmegbízhatósági modul (Trusted Platform Module – TPM), amely a számítógépen található chip vagy firmware. Ilyen esetben a számítógép tekintendő az intelligens kártyának, vagyis a hitelesítéshez (bejelentkezéshez) szükséges fizikai elemnek. A virtuális intelligens kártyák a fizikai intelligens kártyákkal egyenértékű biztonsági szintet kínálnak, és a költségek csökkentéséhez is hozzájárulnak, mert használatuk esetén nem kell megvásárolni az intelligens kártyákat és a megfelelő kártyaolvasókat. Kockázatbecslés A távoli hálózati hozzáférés és az adatokhoz való hozzáférés komoly veszélyforrás lehet olyan esetben, amikor az adott felhasználó fiókja egy támadó birtokába kerül, függetlenül attól, hogy a támadás távolról vagy helyben történt. A támadó úgy szerezhet hozzáférést a számítógéphez vagy a szolgáltatásokhoz, hogy kitalálja a felhasználónevet (például következtetéssel vagy pszichológiai manipulációval), és kitalálja, vagy valamilyen támadással megszerzi a felhasználó jelszavát.

28


Kockázatminimalizálás Az intelligens kártyákat vagy virtuális intelligens kártyákat használó hitelesítési mechanizmus alkalmazásával többfaktoros erős hitelesítés valósítható meg. A támadók nehezebben tudják megszerezni a felhasználók hitelesítő adatait, mert a fizikai elemhez, azaz a kártyához nem tudnak hozzáférni. Az intelligens kártyák alkalmazásához a nyilvános kulcsok infrastruktúrája (Public Key Infrastructure – PKI) szükséges. A PKI-konfiguráció megvalósítása összetett feladat, amelyet körültekintően meg kell tervezni a megvalósítás előtt. A PKI technológia a Windows Server 2012 Active Directory tanúsítványszolgáltatásainak (Active Directory Certificate Services – AD CS) kiszolgálói szerepkörére alapozva használható. A témával kapcsolatos további tudnivalókat lásd: Active Directory Certificate Services Overview29. A kockázatminimalizálás fontos szempontjai Az intelligens kártyák, illetve a virtuális intelligens kártyák használatának bevezetése előtt mérlegelni kell néhány fontos szempontot: 







29

A fizikai intelligens kártyák használata jelentős költségeket róhat a szervezetre, mert megfelelő készülékeket kell vásárolni. Ez a megoldás minden számítógéphez külön kártyaolvasót igényel (a piacon elérhetők olyan számítógépek is, amelyek beépítetten tartalmaznak ilyen kártyaolvasót), valamint fizikai intelligens kártyákat is biztosítani kell minden felhasználónak. Ezenkívül megfelelő mennyiségű tartalék kártyát is be kell szerezni, hogy az új felhasználókat is el lehessen látni ilyen kártyával, illetve pótolni lehessen az elveszett vagy megrongálódott kártyákat. Ha a felhasználó elveszíti vagy otthon felejti a kártyáját, nem fog tudni bejelentkezni a szervezet rendszerébe, ami negatív hatással lesz a teljesítményére. A virtuális intelligens kártyák megoldást jelenthetnek erre a problémára . Az intelligens kártyák nem nyújtanak védelmet a veszélyek hiányos ismeretéből fakadó emberi tévedések ellen. Az intelligens kártyák nem küszöbölik ki az olyan problémákat sem, amelyek abból adódnak, hogy a felhasználók papírra jegyzik fel a PIN-kódjukat. A kártyák esetében számolni az ellopásuk veszélyével. Kiemelt figyelmet kell fordítani a megfelelő eljárások követésére, amelyeket meg kell ismertetni a felhasználókkal is. Ide tartozik például a PIN-kódok védelme, valamint az is, hogy a kártyákat nem szabad felügyelet nélkül hagyni. A virtuális intelligens kártyák használatához a platformmegbízhatósági modul szükséges a számítógépen. A számítógép szállítójától függően a platformmegbízhatósági modul konfigurálásához szükséges eszközök a TPM-eszközre vonatkozó kézi beállítási műveleteket igényelhetnek. Ilyen művelet lehet például a platformmegbízhatósági modul engedélyezése a BIOS beállításaiban, a modul inicializálása, valamint a rendszergazdai jelszó beállítása az eszköz inicializálásakor, ami megakadályozhatja a telepítés, illetve a frissítés automatikus vagy parancsfájlok általi végrehajtását.

http://technet.microsoft.com/en-us/library/hh831740

A témával kapcsolatos további információ a következő dokumentációban olvasható: The Secure Access Using Smart Cards Planning Guide30 és Understanding and Evaluating Virtual Smart Cards31.

30 31

http://technet.microsoft.com/en-us/library/cc170941.aspx http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=29076

3.12. A Windows kiinduló állapotba hozása és a számítógép visszaállítása alapállapotba A Windows 8 két új módszert kínál a számítógép korábbi állapotának visszaállítására. 



A Windows kiinduló állapotba hozása: Ez a művelet Windows helyreállítási környezet (Windows RE) üzemmódban indítja el a számítógépet, törli és formázza a Windows és a felhasználó adatait tartalmazó partíciókat, újratelepíti a Windows rendszert, végül újraindítja a számítógépet. Számítógép visszaállítása alapállapotba: Ez a művelet Windows helyreállítási környezet (Windows RE) üzemmódban indítja el a számítógépet, megkeresi és összegyűjti a felhasználó adatait és fájljait, valamint a Windows 8 konfigurációját és az alkalmazások beállításait (biztonsági másolatot készít ezekről), majd újratelepíti a Windows rendszert, visszaállítja a felhasználó adatait és fájljait, valamint a Windows 8 konfigurációját és az alkalmazások beállításait, végül újraindítja a számítógépet.

A rendszer-visszaállítási funkció megőrzi a számítógép beállításait, beleértve a vezeték nélküli hálózatok és a mobilkapcsolatok konfigurációját, a BitLocker és a BitLocker To Go titkosítási mechanizmus beállításait, a meghajtóbetűjeleket és a személyre szabás beállításait (például a háttérképet). A rendszergazdák létrehozhatnak egyéni rendszer-visszaállítási lemezképet, amely tartalmazhatja a szoftvereket, az eszközöket és az illesztőprogramokat is, így ezek könnyen helyreállíthatók, ha végre kell hajtani a rendszer felújítását vagy visszaállítását. Ha a számítógépet rosszindulatú szoftver fertőzi meg, a Windows kiinduló állapotba hozásának segítségével fertőzésmentes, „tiszta” rendszert lehet előállítani. A számítógép alapállapotának visszaállításával a rosszindulatú szoftverek általi támadások észlelése esetén egyszerűen vissza lehet térni a rendszer korábbi állapotához. Támadás vagy a számítógép megfertőződése esetén a számítógép alapállapotának visszaállításával visszanyerhetők a számítógépen tárolt adatok, illetve előállítható a számítógép korábbi állapota. A Windows felújításának funkciója is igénybe vehető a számítógép operációs rendszerének visszaállítására a fertőzésmentes állapotra a támadások vagy kártevő szoftver észlelése után. A felújítási művelettel nem nyerhetők vissza a felhasználói adatok, de a művelet elvégzése után a felhasználó biztos lehet abban, hogy a számítógépen nem maradt rosszindulatú szoftver.

3.13.


Az alábbi lista a Microsoft.com webhelyen közzétett, a Windows 8 biztonságával foglalkozó dokumentumokat és további hasznos információforrásokat tartalmaz.                     

32

33

Active Directory Certificate Services Overview32 A Microsoft Windows kártevőket eltávolító eszközének telepítése vállalati környezetben 33 (891716-os számú tudásbáziscikk) Impact of Artificial "Gummy" Fingers on Fingerprint Systems34 Install the latest Windows Defender definition updates35 Protecting you from malware36 IPsec37 System Center 2012 Endpoint Protection38 Getting Started with User Account Control on Windows Vista 39 Tartsa biztonságban számítógépét!40 Malware Families Cleaned by the Malicious Software Removal Tool 41 Microsoft Security Compliance Manager42 A Microsoft hibajelentési szolgáltatás adatvédelmi nyilatkozata 43 A Microsoft Windows kártevő-eltávolító eszköz elősegíti az adott, gyakori kártevő szoftverek eltávolítását a Windows támogatott verzióit futtató számítógépekről (890830-as számú tudásbáziscikk) A Windows Defender adatvédelmi nyilatkozata Windows tűzfal Windows Server Group Policy Windows Server Update Services (WSUS) Windows Vista Application Development Requirements for User Account Control Compatibility című cikk Understanding and Configuring User Account Control in Windows Vista User Account Control Using Software Restriction Policies to Protect Against Unauthorized Software

http://technet.microsoft.com/en-us/library/hh831740

http://support.microsoft.com/Default.aspx?kbid=891716 http://cryptome.org/gummy.htm 35 http://www.microsoft.com/security/portal/Definitions/HowToWD.aspx 36 http://blogs.msdn.com/b/b8/archive/2011/09/15/protecting-you-from-malware.aspx 37 http://go.microsoft.com/fwlink/?LinkId=69843 38 http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx 39 http://go.microsoft.com/fwlink/?linkid=84129 40 http://go.microsoft.com/fwlink/?LinkId=51307 41 http://www.microsoft.com/security/malwareremove/families.aspx 42 http://go.microsoft.com/fwlink/?LinkId=113940 43 http://go.microsoft.com/fwlink/?linkid=62936 34

4. A bizalmas adatok védelme A Microsoft új és kibővített funkciókat és szolgáltatásokat nyújt a szervezeteknek a kliensszámítógépeken tárolt adatok védelméhez, beleértve az adatok ellopása és jogosulatlan elérése elleni eszközöket. Ez a fejezet azokat az ajánlott beállításokat ismerteti, amelyekkel növelhető a Windows 8 rendszerű kliensszámítógépeken tárolt adatok biztonsága. Az egyes adatvédelmi funkciók konfigurációja az adott informatikai környezet követelményeitől és biztonsági szintjétől függ. Az itt leírt fontos információk alapján meghatározhatók, megtervezhetők és a szervezet igényeinek megfelelően alakíthatók ki az adatvédelmi megoldások, amelyekhez a következő funkciók és szolgáltatások vehetők igénybe: 

  

Meghajtótitkosítás a BitLocker funkcióval o A Windows rendszert tartalmazó köteten (operációs rendszer meghajtója) található fájlok, valamint a rögzített merevlemezeken található fájlok védelme o A cserélhető lemezeken (külső merevlemezek, USB flash meghajtók) található adatok védelme a BitLocker To Go funkció használatával Titkosított fájlrendszer (EFS) Windows tartalomvédelmi szolgáltatások (RMS) A Windows rendszer eszköztelepítési és eszközkezelési mechanizmusa

A szervezet fontos adatainak védelméhez a BitLocker funkció, a titkosított fájlrendszer, a tartalomvédelmi szolgáltatás, valamint az eszköztelepítési és -kezelési mechanizmus használható. A felsorolt technológiák meghatározott szerepet töltenek be a különböző alkalmazási helyzetekben. Az itt bemutatott beépített adatvédelmi mechanizmusoknak szerepelniük kell a szervezet biztonsági stratégiájában, alkalmazásuk feltétlenül ajánlott. Az alábbi táblázat néhány példán keresztül szemlélteti az egyes funkciók leggyakoribb alkalmazási lehetőségeit. Alkalmazás célja Hordozható számítógépeken lévő adatok védelme Munkahelyi részleg kiszolgálóján lévő adatok védelme Felhasználók helyi fájljainak és mappáinak védelme Asztali számítógépek védelme Cserélhető adathordozókon lévő adatok védelme Több felhasználó által közösen használt számítógépeken lévő fájlok és mappák védelme Távoli fájlok és mappák védelme

BitLocker

EFS







RMS

Eszközkezelés  

 





 

 

Nem megbízható hálózatban  dolgozó rendszergazdák védelme Távoli dokumentumok adatvédelmi házirendjeinek  végrehajtása Hálózaton keresztül küldött  tartalmak védelme Tartalomvédelem a csoportok  közös munkája esetén Adatlopás elleni védelem   4.1. táblázat: A Windows 8 adatvédelmi mechanizmusainak összefoglalása A megfelelő konfigurációs alapszint-beállításokat a Security Compliance Manager (SCM) tartalmazza Excel-munkalapokon felsorolva. A közölt információk felhívják a figyelmet a Microsoft-termékek különböző támadási felületeire is. Az egyes termékek beállításait tartalmazó munkafüzetek az SCM eszközben, az Attachments\Guides szakaszban érhetők el a megfelelő termék kiválasztása után. Figyelem: A jelen fejezetben ismertetett funkciók, valamint a csoportházirendek beállításai a Windows 8 új telepítéseihez megfelelő alapértelmezett konfigurációval szerepelnek. A csoportházirendek ajánlott beállításait a „‡” szimbólum jelzi. A konfigurációs alapszintekkel kapcsolatos további információk, valamint a beállítások megfelelő értékei a Security Compliance Manager44 (SCM) eszközben elérhető „Windows 8 Security Baseline settings” című dokumentum táblázataiban találhatók.

4.1.

Meghajtók titkosítása és védelme a BitLocker funkció használatával

A Windows 8 rendszerű meghajtókon tárolt adatok védelmére szolgáló BitLocker funkcióval végrehajtott meghajtótitkosítás a teljes kötetekre vonatkozik, nem csak meghatározott fájlokra. Ez a mechanizmus akkor is védi az adatokat, amikor az adott meghajtót kiveszik a számítógépből, és egy másik számítógépbe helyezik be. A Windows 8 rendszerben alkalmazott BitLocker technológia biztosítja a felhasználók számítógépeinek meghajtóin tárolt adatok védelmét, beleértve a merevlemezeket, a cserélhető meghajtókat, az USB-meghajtókat, valamint az IEEE 1394 csatlakozású meghajtókat. A BitLocker az operációs rendszer meghajtóvédelmének elindításától kezdve egészen addig védi a rendszerindítási folyamatot, amíg a felhasználó meg nem adja a BitLocker mechanizmus által igényelt, megfelelő jogosultsággal rendelkező hitelesítő adatokat. A BitLocker funkció lehetővé teszi USB flash meghajtó használatát a visszafejtési kulcsok tárolásához, de a legmagasabb biztonsági szint a TPM 1.2 modul (Trusted Platform Module) alkalmazásával érhető el, amely hardveres védelmet biztosít a titkosítási kulcsoknak, és meggátolja a meghajtókon tárolt adatok biztonságát és integritását veszélyeztető szoftveres támadásokat. A BitLocker funkció igénybe tudja venni a platformmegbízhatósági modult a rendszerindítás korai szakaszában részt vevő összetevők sértetlenségének ellenőrzéséhez, valamint a rendszerindítás konfigurációs adatainak ellenőrzéséhez. Ennek köszönhetően a BitLocker csak akkor teszi lehetővé a hozzáférést a titkosított meghajtóhoz, ha ezek az elemek sértetlenek, és a titkosított meghajtó az eredeti számítógépben található.

44


A BitLocker a következő új biztonságnövelő lehetőségeket kínálja a Windows 8 rendszerben: 









Csak a foglalt lemezterület titkosítása: A Windows 8 rendszerben a felhasználó választhat a foglalt lemezterület, illetve a teljes kötet titkosítása közül. A titkosítási folyamat gyorsabb, ha csak a foglalt területet kell titkosítani. A rendszer telepítése a BitLocker használatával: A Windows 8 lehetővé teszi a BitLocker bekapcsolását a rendszer telepítése előtt is. Ha csak a foglalt lemezterület titkosítása van bekapcsolva, akkor a BitLocker működése gyorsabb lesz, és lehetővé teszi a rendszer telepítésének megszakítás nélküli végrehajtását az új számítógépeken. Nem szabad azonban elfeledkezni arról, hogy az új rendszer telepítésének befejezése után a biztonságos kulcs hozzá lesz adva a védett kötethez. Hálózati feloldás a BitLocker funkcióval: Ha a Windows 8 rendszerben bekapcsolt BitLocker funkció a platformmegbízhatósági modult és a PIN-kódokat használja az adatvédelemhez, akkor a funkció a megbízható hálózatokban lehetővé teszi, hogy a felhasználók PIN-kód megadása nélkül indítsák el a rendszert. A BitLocker által kínált hálózati feloldás lehetővé teszi, hogy a rendszergazdák a felügyelet nélküli frissítés vagy a karbantartási feladatok végrehajtásához elindítsák a platformmegbízhatósági modullal és PIN-kóddal védett titkosított rendszereket. Ehhez az szükséges, hogy a kliensszámítógépen telepítve legyen a Dynamic Host Configuration Protocol (DHCP) illesztőprogramja az UEFI (Unified Extensible Firmware Interface) szoftverben. A Windows rendszerű, hardveresen titkosított meghajtók támogatása: A Windows 8 rendszerben a Bitlocker támogatja a teljes lemeztitkosítás (Full Disk Encryption – FDE) mechanizmusát, amely a hardveres merevlemez-titkosítást (Encrypted Hard Drive) biztosító speciális merevlemezeket használ. A hardveres titkosítású lemezeken a blokkok szintjén hajtható végre a titkosítás. A titkosítás és a visszafejtés műveletét a lemezvezérlő hajtja végre, ami csökkenti a számítógép processzorának terhelését. PIN-kód és jelszó módosítása általános jogú felhasználóként: A Windows 8 rendszerben a rendszergazdai jogosultsággal nem rendelkező felhasználók nem módosíthatják a BitLocker funkció konfigurációs beállításait. Lehetőségük van azonban arra, hogy megváltoztassák az operációs rendszert tartalmazó kötethez és a rögzített merevlemezekhez tartozó PIN-kódot vagy jelszót. Így az általános jogú felhasználók könnyen megjegyezhető, saját PIN-kódot vagy jelszót választhatnak. Megjegyzendő azonban, hogy ez a lehetőség a jelszavak megszerzésére irányuló támadások veszélyének teszi ki a szervezetet. Ez a beállítás csoportházirendekkel felügyelhető.

4.2.

A BitLocker üzemmódjai és a TPM modul kezelése

A BitLocker funkció több üzemmódban is használható, amelyek az egyéni igényeknek megfelelően konfigurálhatók. A választandó és használandó üzemmód attól függ, hogy a platformmegbízhatósági modul elérhető-e a védett számítógépeken, valamint attól, hogy milyen szintű védelmet kell megvalósítani. Az üzemmód meghatározza a platformmegbízhatósági modul, a PIN-kód, valamint az indítókulcs alkalmazását. Az indítókulcs egy olyan fájl, amely kriptográfiai módszer alkalmazásával lett létrehozva, és különálló USB flash meghajtón tárolódik.

A BitLocker funkció üzemmódjai: 









Csak a TPM modul használata. A csak a platformmegbízhatósági modult használó ellenőrzés esetén nincs szükség felhasználói műveletre a meghajtó visszafejtéséhez és elérhetővé tételéhez, illetve nem kell jelszót, PIN-kódot vagy indítókulcsot megadni a rendszer elindításához. Ha a platformmegbízhatósági modult használó ellenőrzés sikeres, akkor a bejelentkezés a felhasználó szempontjából ugyanúgy történik, mint a szokásos bejelentkezés. A TPM modul hiánya vagy módosítása esetén, illetve ha a platformmegbízhatósági modul kritikus szintű módosítást észlel az operációs rendszer indításához szükséges fájlokban, vagy ha a meghajtót másik számítógépben próbálják használni, akkor a BitLocker átvált a helyreállítási üzemmódra, és az adatok eléréséhez a helyreállítási jelszó megadására lesz szükség. Ez az üzemmód a platformmegbízhatósági modul segítségével gondoskodik a Windows 8 rendszerindítási környezetének védelméről. Ez az üzemmód a BitLocker funkció alkalmazásának leggyengébb védelmet nyújtó szintje, hisz nem igényel hitelesítést a Windows rendszer elindításához. A TPM modul használata indítókulccsal. A platformmegbízhatósági modul által nyújtott védelem mellett a titkosítási kulcs egy részét USB flash meghajtón kell tárolni. A titkosított köteten található adatokhoz nem lehet hozzáférni az indítókulcs nélkül. Ebben az üzemmódban az indítókulcsot tartalmazó USB-meghajtót kell csatlakoztatni a számítógéphez a Windows elindítása közben. Ha rendszer nem tudja beolvasni a megfelelő indítókulcsot, a számítógép átvált helyreállítási üzemmódra. Ez az üzemmód szintén a platformmegbízhatósági modul segítségével gondoskodik a Windows 8 rendszerindítási környezetének védelméről. A TPM modul használata PIN-kóddal. A platformmegbízhatósági modult használó védelem mellett a BitLocker funkció PIN-kód megadását is igényli a felhasználótól. A PIN-kód megadása nélkül nem lehet hozzáférni a titkosított köteten található adatokhoz. Ezenkívül csoportházirend segítségével beállítható jelszó használata is az egyszerű PIN-kód helyett. Ha a felhasználó nem adja meg a megfelelő PIN-kódot a rendszer elindításakor, a számítógép átvált helyreállítási üzemmódra. Ez az üzemmód a platformmegbízhatósági modul segítségével gondoskodik a Windows 8 rendszerindítási környezetének védelméről. A TPM modul használata indítókulccsal és PIN-kóddal. Ezt az üzemmódot csak a parancssorból, a Manage-bde.exe parancs használatával, valamint csoportházirendek használatával lehet beállítani. A hardveres platformmegbízhatósági modul által nyújtott védelem mellett a titkosítási kulcs egy részét USB flash meghajtón kell tárolni, és a felhasználónak a platformmegbízhatósági modulban való hitelesítéshez PIN-kódot kell megadnia. Ez a többtényezős hitelesítés garantálja, hogy az USB-meghajtó elvesztése vagy ellopása esetén az USB-meghajtót illetéktelenül használni próbáló támadó nem tud hozzáférni a védett meghajtóhoz, mert PIN-kód is szükséges a hozzáféréshez. Ez az üzemmód a platformmegbízhatósági modul segítségével gondoskodik a Windows 8 rendszerindítási környezetének védelméről. Az üzemmódot olyan környezetben célszerű használni, amely magas biztonsági szintet igényel, ez az üzemmód biztosítja a legerősebb adatvédelmet. A BitLocker funkció TPM modul nélküli üzemmódja. Ez az üzemmód teljes meghajtótitkosítást kínál, de nem biztosítja a Windows 8 rendszerindítási környezetének védelmét. Ez a lehetőség a hardveres platformmegbízhatósági modullal nem rendelkező

számítógépek esetében választható. Az üzemmód beállításai a következő csoportházirend konfigurálásával adhatók meg: Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\BitLocker meghajtótitkosítás\Operációsrendszer-meghajtók\További hitelesítés megkövetelése indításkor (Computer Configuration\Administrative Templates\WindowsComponents\BitLocker Drive Encryption\Operating System Drives\Require Additional Authentication At Startup) A platformmegbízhatósági modul nélküli üzemmód használata esetén szükség van egy USB flash meghajtóra, amely a Windows rendszer elindításához használandó indítókulcsot tárolja. A BitLocker funkció használata során az esetek többségében a platformmegbízhatósági modul memóriája (biztonságos adattároló) tárolja a titkosítási kulcsokat. A platformmegbízhatósági modul bekapcsolásakor és konfigurálásakor a Windows 8 egy adatot (védőértéket) ad át a véletlenszámgenerátornak. A véletlenszám-generátor állítja elő a Windows alkalmazásaihoz használt kriptográfiai kulcsokat. A platformmegbízhatósági modul használata jobban növeli a kriptográfiai kulcsok véletlenszerűségét, mint a csak szoftveres módszerek használata, ezért ajánlott bekapcsolni és beállítani a hardveres platformmegbízhatósági modult a számítógép BIOS-beállításaiban. A Windows 8 rendszerben a véletlenszám-generátor alapértelmezés szerint a rendszer elindításakor, majd 40 percenként olvassa ki az indítóértéket a platformmegbízhatósági modulból. A rendszer három konfigurációt tartalmaz a mechanizmus beállításainak megadásához. Az alapértelmezett paraméterek tökéletesen megfelelnek a legtöbb alkalmazási helyzetben. A TPMBOOTENTROPY beállítás a rendszerindítási konfiguráció adataival határozható meg. Ha a beállítás hamis értékű, akkor a mechanizmus kikapcsolja a platformmegbízhatósági modul entrópiaforrásként való használatát a TPM modullal felszerelt számítógépeken. A paraméter alapértelmezés szerint igaz értékű rendszerindításkor, illetve hamis értékű a csökkentett módú és a hálózathasználatot is engedélyező csökkentett módú rendszerindításkor. A rendszerindítási konfiguráció beállításaival kapcsolatos további tudnivalók a következő dokumentumokban olvashatók: Boot Configuration Data in Windows Vista 45 és BCDEdit Commands for Boot Environment46. A frissítési gyakoriság paramétere határozza meg, hogy az adatok entrópiáját milyen gyakran (hány percenként) kell kiolvasni a platformmegbízhatósági modulból. Ha a beállítás értéke nulla, az entrópia nem lesz figyelembe véve, így ez az érték nem befolyásolja a rendszerindítás közben beolvasott adatok mennyiségét (entrópiáját). A paraméter értékének módosításakor ügyelni kell arra, hogy még a legkisebb mértékű módosítás is hatással lehet a „Mean Time To Failure” beállításra a platformmegbízhatósági modul különböző megvalósításaiban. A paraméter értékét a regisztrációs adatbázis HKey_Local_Machine bejegyzése tárolja a TpmRefreshEntropyIntervalInMinutes nevű DWORD-értékben, amely a \Software\Policies\Microsoft\Cryptography\RNG\ útvonalon érhető el. Az alapértelmezett beállítás 40, az érték a 0–40 tartományból válaszható ki. Ezenkívül meg lehet adni 45 46


az adatmennyiséget (entrópiát) millibitben a platformmegbízhatósági modul véletlenszámgenerátora által előállított minden bájthoz. Ezt a paramétert a regisztrációs adatbázis HKey_Local_Machine bejegyzése tárolja a TpmEntropyDensityInMillibitsPerByte nevű DWORDértékben, amely a \System\CurrentControlSet\Control\Cryptography\RNG\ útvonalon érhető el. Az alapértelmezett beállítás 8000, az érték az 1–8000 tartományból válaszható ki. A TPM technológia részletes ismertetése és specifikációja a Trusted Computing Group47 webhelyén érhető el. Megjegyzendő, hogy ha a platformmegbízhatósági modul nem érhető el, a BitLocker funkció továbbra is gondoskodik az adatok védelméről, azonban nem tudja biztosítani a rendszer integritásának védelmét, valamint a rendszerindítási környezet védelmét. Ilyen esetben a következő megoldások alkalmazhatók:   

A rendszermeghajtókon és a rögzített merevlemezeken található adatok védelme A cserélhető adathordozókon található adatok védelme a BitLocker To Go funkció használatával A fenti megoldások részletes ismertetése a fejezet további részeiben található.

Figyelem: A BitLocker funkció a Windows Server 2008 rendszerben is használható az adatok védelmére, de ez az útmutató nem foglalkozik ezzel a témával. Figyelem: Bár a BitLocker funkció lehetővé teszi a Windows Virtual PC program számára az adatok mentését virtuális meghajtó (VHD) formájában a BitLocker által védett fájlrendszerben, a BitLocker által védett virtuális meghajtó (VHD) nem használható a Windows rendszer VHD-fájlból történő elindítására (natív VHD rendszerindítás), és a BitLocker nem indítható el a VHD-fájlokban található köteteken.

4.3. A rendszermeghajtókon és a rögzített merevlemezeken található adatok védelme Ebben az esetben a BitLocker funkció használata lehetővé teszi az operációs rendszer fájljait és egyéb adatokat tartalmazó összes rögzített adatmeghajtó (belső merevlemez) védelmét. Ezzel a konfigurációval megoldható, hogy a BitLocker funkció védelme kiterjedjen a rendszerben lévő összes adatra. Kockázatbecslés Fő biztonsági kockázatnak számít az elvesztett vagy ellopott hordozható számítógépeken tárolt adatok elvesztése. A BitLocker funkció elsődleges szerepe ezen kockázat csökkentése. Ilyen helyzet lép fel, amikor a támadó fizikai hozzáférést szerez a nem védett számítógéphez. Ennek veszélyei a következők: A támadó be tud jelentkezni a Windows 8 rendszerű számítógépre, és lemásolhatja a számítógépen lévő adatokat. 

47

A támadó el tudja indítani a számítógépet egy másik operációs rendszerből, és végre tudja hajtani a következő műveleteket:

http://www.trustedcomputinggroup.org/

o o o

o

Megtekintheti a fájllistákat. Fájlokat másolhat. Adatokat olvashat ki a hibernálási fájlból vagy a lapozófájlból azzal a céllal, hogy a rendszerindítással kapcsolatos, szöveges formában vagy dokumentumként tárolt információt keressen. Adatokat olvashat ki a hibernálási fájlból azzal a céllal, hogy megkeresse és megszerezze a szöveges formában tárolt titkos kulcsokat.

Ha a fájlok a titkosított fájlrendszer (EFS) használatával is védik, akkor számolni kell azzal a veszéllyel, hogy egy óvatlan felhasználó fájlokat helyez át vagy másol át egy titkosított mappából egy olyan mappába, amelynél nincs bekapcsolva az EFS funkció (ilyenek lehetnek például az ideiglenes mappák vagy a rejtett mappák), aminek következtében ezek a fájlok titkosítás nélkül maradnak, és a támadók hozzáférhetnek ezekhez a fájlokhoz. Előfordulhat, hogy az informatikai részlegek tájékozatlan munkatársai tévedésből kihagyják a titkosításból a rejtett mappákat, amelyek az alkalmazások által a rendszer működése során használt fájlok másolatát tárolják. Ezenkívül figyelembe kell venni annak veszélyét is, hogy jogosulatlan személyek a rendszerfájlok vagy a rendszerindító fájlok módosításával lehetetlenné teszik az operációs rendszer normál működését. Kockázatminimalizálás A fenti kockázatokhoz kapcsolódó veszélyek csökkentéséhez a számítógépeken alkalmazni kell a BitLocker funkciót, amely felderíti az operációs rendszer indítófájljainak kritikus súlyossági szintű módosításait, valamint biztosítja a Windows 8 rendszerindítási környezetének védelmét azáltal, hogy egy további hitelesítési folyamat végrehajtását követeli meg a rendszer elindítása és a titkosított meghajtóhoz való hozzáférés előtt. Ezzel megoldható az operációs rendszer teljes védelme, valamint az adatokhoz való jogosulatlan hozzáférés elleni védelem. A kockázatminimalizálás fontos szempontjai A BitLocker funkciónak a Windows operációs rendszert tartalmazó meghajtón (rendszermeghajtón), valamint az adatokat tartalmazó rögzített meghajtókon (belső merevlemezeken) való alkalmazásával csökkenthetők a fenti „Kockázatbecslés” című szakaszban említett kockázatok, a BitLocker alkalmazása előtt azonban figyelembe kell venni az ehhez az adatvédelmi funkcióhoz kapcsolódó következő követelményeket és bevált eljárásokat: 



Az optimális konfiguráció megvalósításához a számítógép elsődleges meghajtójának rendelkeznie kell a TPM modul 1.2-es vagy újabb verziójával, és kezelnie kell a Trusted Computing Group irányelveinek megfelelő BIOS rendszert. Az ajánlott konfiguráció PIN-kód használatát igényli, amelyet a felhasználónak meg kell adnia a rendszer feloldásához. Ezenkívül érdemes USB flash meghajtón tárolt indítókulcsot is használni. A védett számítógép merevlemezének legalább 2 partíciót kell tartalmaznia: az operációs rendszer partícióját és egy aktív rendszerpartíciót. A rendszerpartíció az a hely, ahova az operációs rendszer fájljai vannak telepítve titkosított formában, a nem titkosított aktív rendszerpartíciónak pedig legalább 350 MB méretűnek kell lennie, és ez a partíció tárolja a rendszerindításhoz szükséges fájlokat. A Windows telepítőprogramja a Windows 8 telepítésekor alapértelmezés szerint automatikusan létrehozza a rendszerpartíciót, amelyhez nem tartozik meghajtóbetűjel, és rejtett is, így a felhasználók nem láthatják azt. Ha a















rendszer nem tartalmaz külön aktív rendszerpartíciót, a BitLocker funkció bekapcsolásakor és inicializálásakor a partíciók automatikusan módosulnak. Olyan helyzetben, amikor a BitLocker USB-meghajtót vagy PIN-kódot igényel, meg kell határozni és be kell vezetni egy vészhelyzeti eljárást, amely az indítókulcsok elvesztése, illetve a PIN-kódok elfelejtése esetén lehetővé teszi a felhasználóknak ezen adatok visszanyerését. A BitLocker funkció nem befolyásolja jelentősen a számítógép teljesítményét, az alkalmazása általában észrevétlen lehet, és nem zavarja a felhasználók munkáját. Ha azonban a rendszer teljesítménye kritikus fontosságú, akkor a tesztelési fázisban ellenőrizni kell, hogy a BitLocker működése nincs-e komolyabb hatással a felhasználók teljesítményére. A számítógépek gyártójától függően a platformmegbízhatósági modul felügyeletéhez szükséges eszközök a számítógép vagy a BIOS kézi konfigurálását igényelhetik. Ezt figyelembe kell venni a BitLocker funkció automatikus vagy parancsfájlok általi alkalmazásának tervezésekor, valamint az új telepítések és a korábbi verziójú Windows rendszerek frissítése esetén is. Ahhoz, hogy az USB-meghajtón tárolt indítókulcsot használni lehessen a rendszerindításhoz, a számítógép BIOS-beállításainak engedélyezniük kell az USB-meghajtók adatainak olvasását a rendszerindításnak az operációs rendszer inicializálása előtti szakaszában. A BitLocker befolyásolhatja az automatizált és távoli telepítésű szoftverek terjesztési folyamatát, valamint az éjszakára vagy a munkaidőn kívülre tervezett alkalmazástelepítéseket vagy -frissítéseket, ha azok a számítógép újraindítását igénylik a felhasználó távollétében. Néhány példa: o A számítógép konfigurációja olyan védelmet határoz meg, amely platformmegbízhatósági modult és PIN-kódot, illetve platformmegbízhatósági modult és USB-meghajtón tárolt indítókulcsot használ, egy telepítési művelet végrehajtása pedig éjszakára, 2:00 órára van beütemezve. Amikor az alkalmazástelepítési művelet a számítógép újraindítását igényli, a számítógépet nem lehet majd megfelelően újraindítani, mert ehhez a PIN-kód megadására vagy az USBmeghajtón tárolt indítókulcs használatára van szükség. o Ha a szervezet a karbantartási műveletek végrehajtásához a hálózati ébresztés funkcióját vagy a számítógép BIOS általi automatikus elindítását alkalmazza, akkor ezeket a számítógépeket sem lehet automatikusan elindítani, mert ehhez a platformmegbízhatósági modulra, valamint kiegészítő hitelesítésre, vagyis a PIN-kód megadására vagy az USB-meghajtón tárolt indítókulcs használatára van szükség. A belső vezérlőprogram (firmware) frissítései hátrányosan befolyásolhatják a bekapcsolt BitLocker funkcióval használt számítógépek működését. A BIOS frissítését a BitLocker úgy értelmezheti, mint a környezet módosítását, ami azt eredményezheti, hogy a számítógép átvált helyreállítási üzemmódra. Ha a BitLocker funkció már be van kapcsolva, és frissíteni kell a BIOS rendszert, a frissítés végrehajtása előtt ideiglenesen fel kell függeszteni a BitLocker működését, majd a frissítés befejeztével vissza kell kapcsolni. Bár kicsi a valószínűsége annak, hogy az alkalmazások frissítése valamilyen hatással lehet a bekapcsolt BitLocker funkcióval működő számítógépekre, mégis érdemes figyelni a frissítések által végrehajtott rendszermódosításokra, különösen a rendszertöltés-vezérlő módosításaira, amelyek hibát okozhatnak a rendszer indítása közben, ami azt idézheti elő, hogy a számítógép átvált helyreállítási üzemmódra. A Windows 8 indítását esetlegesen befolyásoló



alkalmazások telepítése vagy frissítése előtt célszerű tesztelni ezeket a műveleteket a számítógépen a BitLocker funkció bekapcsolt állapotában. Minden tartományvezérlőnek a Windows Server 2003 SP2 (vagy újabb) rendszerrel kell működnie.

Figyelem: A Windows Server 2003 a címtárszolgáltatás (Active Directory) sémabővítményét igényli a BitLocker funkció helyes kezeléséhez és a helyreállítási adatairól készült biztonsági másolatnak az Active Directory (AD DS) tartományi szolgáltatásokban való tárolásához. A kockázatminimalizálás folyamata Az alábbi kockázatminimalizáló folyamat célja a BitLocker funkció megfelelő konfigurációjának kialakítása és a funkcióhoz kapcsolódó bevált gyakorlati alkalmazása a szervezet kliens-számítógépein tárolt fontos adatok védelmének biztosításához. A kockázat minimalizálásához ajánlott műveletek a következők: 1. Ellenőrizni és tesztelni kell a BitLocker technológiát. Figyelem: A BitLocker funkcióval kapcsolatos további tudnivalók a BitLocker Drive Encryption Deployment Guide for Windows 748 és a Windows BitLocker Drive Encryption Design and Deployment Guides49 című dokumentumban olvashatók a Microsoft TechNet webhelyén. 2. Fel kell mérni a BitLocker használatának szükségességét a szervezetben. 3. Ellenőrizni kell és meg kell határozni a BitLocker-védelem alkalmazásának követelményeit az eszközök, a szoftver és a firmware szempontjából. 4. Azonosítani kell azokat a számítógépeket, amelyek igénylik a BitLocker funkció általi védelmet. 5. Meg kell állapítani, hogy milyen szintű védelemre van szükség a szervezetben, figyelembe véve a PIN-kódok és az indítókulcsokat tartalmazó USB-meghajtók használatának lehetőségét, mérlegelve ezeknél azt, hogy a rendszerindítást meghiúsítja, ha ezek az eszközök nem alkalmazhatók megfelelően. 6. Telepíteni kell a szükséges illesztőprogramokat egy tesztelési célú rendszerben. 7. Csoportházirend-objektumok használatával konfigurálni kell a BitLocker funkciót egy tesztelési célú rendszerben. 8. A tesztek végrehajtása után alkalmazni kell a BitLocker funkciót az éles környezetben. 9. Csoportházirendeket kell meghatározni a BitLocker funkció konfigurációjának bekapcsolásához és felügyeletéhez.

4.4. Csoportházirend-beállítások használata a BitLocker funkcióval kapcsolatos kockázatok minimalizálásához Az alábbiakban két csoportházirend-beállítási sablon található, amelyek a BitLocker funkció konfigurációjának felügyeletéhez használhatók. Ezekkel a sablonokkal a platformmegbízhatósági modul beállításai is felügyelhetők, függetlenül a BitLocker funkció más beállításaitól. Az alábbi 48 49


táblázat a BitLocker funkció VolumeEncryption.admx sablonban elérhető csoportházirendbeállításait ismerteti. A beállítások a következő bejegyzésnél érhetők el a Csoportházirendobjektumszerkesztőben: Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\BitLocker meghajtótitkosítás (Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption) A Windows 8 ennél a bejegyzésnél háromféle csoportházirend-beállítási szintet tartalmaz:   

Operációsrendszer-meghajtók Rögzített adatmeghajtók Cserélhető adatmeghajtók

A globális beállítások szintjén a következő csoportházirend-beállítások érhetők el: § – A Windows 8 új csoportházirend-beállításait jelöli. Házirend

Fontossági szint

A BitLocker helyreállítási adatinak tárolása az Active Directory tartományi szolgáltatásokban (Windows Server 2008 és Windows Vista)

A helyreállítási jelszó alapértelmezett mappájának kiválasztása

Választható

A BitLocker által védett meghajtók felhasználói helyreállításának kiválasztása (Windows Server 2008 és Windows Vista) A meghajtótitkosítási módszer és a titkosítási erősség kiválasztása

Fontos

Leírás


Ezzel a házirend-beállítással kezelheti a BitLocker meghajtótitkosítás helyreállítási adatainak az Active Directory tartományi szolgáltatásokban tárolt biztonsági másolatát. Ez a házirend csak a Windows Server 2008 vagy a Windows Vista operációs rendszert futtató számítógépekre vonatkozik. Ezzel a házirend-beállítással megadhatja azt az alapértelmezett elérési utat, amely akkor jelenik meg, amikor a BitLocker meghajtótitkosítás telepítővarázslója arra kéri a felhasználót, hogy adja meg, melyik mappába mentse a rendszer a helyreállítási jelszót. Ezzel a házirend-beállítással konfigurálhatja, hogy a BitLocker meghajtótitkosítás telepítővarázslója megjelenítheti-e és beállíthatja-e a BitLocker helyreállítási beállításait. Ezzel a házirend-beállítással konfigurálhatja a BitLocker meghajtótitkosítás által használt algoritmust és a titkosítás erősségét. A BitLocker az

Nem konfigurált



Nem konfigurált

Nem konfigurált Bekapcsolva AES 256

§ A szervezet egyéni azonosítóinak biztosítása

Választható

Memóriatartalom rendszerindítás általi felülírásának megakadályozása

Választható

§ Az intelligenskártyatanúsítvány használati szabályának való megfelelés ellenőrzése

Választható

alapértelmezett 128 bites AES titkosítási módszert használja. Ezzel a házirend-beállítással egyedi szervezeti azonosítókat rendelhet az új, BitLocker által védett meghajtókhoz. Ez a házirend-beállítás a számítógép újraindításakor észlelhető teljesítményt szabályozza. Ezt a házirendbeállítást a rendszer a BitLocker bekapcsolásakor alkalmazza. Ezzel a házirend-beállítással hozzárendelheti egy intelligenskártya-tanúsítvány objektumazonosítóját egy BitLocker által védett meghajtóhoz.




4.4.1. táblázat: A BitLocker funkcióval megvalósított meghajtótitkosítás globális beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található. Az alábbi táblázat a platformmegbízhatósági modul TPM.admx sablonban elérhető csoportházirendbeállításait ismerteti. A beállítások a következő bejegyzésnél érhetők el a Csoportházirendobjektumszerkesztőben: Számítógép konfigurációja\Felügyeleti sablonok\Rendszer\TPM-szolgáltatások (Computer Configuration\Administrative Templates\System\Trusted Platform Module Services)

A házirendek beállításai

Leírás


A „TPM biztonsági másolat mentése az Active Directory tartományszolgáltatásokban” beállítás bekapcsolása

Ezzel a házirend-beállítással kezelheti a platformmegbízhatósági modul (TPM) tulajdonosi információinak az Active Directory tartományi szolgáltatásában lévő biztonsági másolatát.

Nem konfigurált

A blokkolt TPM-parancsok listájának konfigurálása

Ezzel a házirend-beállítással kezelheti a platformmegbízhatósági modul (TPM) Windows által blokkolt parancsainak Csoportházirend listáját.

Nem konfigurált

A blokkolt TPM-parancsok alapértelmezett listájának figyelmen kívül hagyása

Ezzel a házirend-beállítással kényszerítheti vagy mellőzheti a platformmegbízhatósági modul (TPM) blokkolt parancsainak alapértelmezett listáját.

Nem konfigurált

A blokkolt TPM-parancsok helyi

Ezzel a házirend-beállítással

Nem konfigurált

listájának figyelmen kívül hagyása

kényszerítheti vagy mellőzheti a platformmegbízhatósági modul (TPM) blokkolt parancsainak helyi listáját. 4.4.2. táblázat: A TPM modul beállításai

A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található. Választható beállítások: Rögzített adatmeghajtók A rögzített adatmeghajtók (belső merevlemezek) a felhasználók és az alkalmazások adatait tartalmazzák (vagyis ezek nem a Windows rendszert tartalmazó meghajtók). A rögzített adatmeghajtók beállításai a Csoportházirendobjektum-szerkesztő következő bejegyzésénél érthetők el: Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\BitLocker meghajtótitkosítás\Rögzített adatmeghajtók (Computer Configuration\Administrative Templates\Windows Encryption\Fixed Data Drives)

Components\BitLocker

Drive

Az alábbi táblázat a BitLocker funkció VolumeEncryption.admx sablonban elérhető csoportházirendbeállításait ismerteti. A Rögzített adatmeghajtók szinten a következő csoportházirend-beállítások érhetők el:

§ – A Windows 8 új csoportházirend-beállításait jelöli.

Házirend

Fontossági szint

§ Meghajtótitkosítási típus érvényesítése a rögzített merevlemezeken

Fontos

Intelligens kártyák konfigurálása a rögzített adatmeghajtókon való használatra

Kritikus

Írási hozzáférés megtagadása a BitLocker által nem védett rögzített meghajtókhoz

Fontos

Hozzáférés engedélyezése a korábbi Windowsverziók BitLocker által védett rögzített adatmeghajtóihoz

Kritikus

A jelszavak használatának konfigurálása a rögzített adatmeghajtók esetében

Fontos

Leírás Ezzel a házirend-beállítással konfigurálhatja a BitLocker meghajtótitkosítás által használt titkosítási típust. Ezt a házirendbeállítást akkor alkalmazza a rendszer, ha a BitLocker be van kapcsolva. A teljes titkosítás választása esetén a BitLocker funkció bekapcsolásakor a teljes meghajtó titkosítva lesz. A foglalt terület titkosításának választása esetén a BitLocker funkció bekapcsolásakor csak az adatok által elfoglalt terület lesz titkosítva. Ezzel a házirend-beállítással meghatározhatja, hogy hitelesíthetők-e intelligens kártyákkal a felhasználók arra, hogy hozzáférjenek a számítógépen lévő, BitLocker által védett rögzített adatmeghajtókhoz. Ez a házirend-beállítás határozza meg, hogy szükséges-e BitLocker meghajtótitkosítás ahhoz, hogy a rögzített adatmeghajtók írhatók legyenek a számítógépen. Ezt a házirend-beállítást akkor alkalmazza a rendszer, ha a BitLocker be van kapcsolva. Ez a házirend-beállítás azt állítja be, hogy a FAT fájlrendszerrel formázott rögzített adatmeghajtók zárolása feloldható-e, és a meghajtók tartalma megtekinthető-e Windows Server 2008, Windows Vista, Windows XP Service Pack 3 vagy Windows XP Service Pack 2 operációs rendszert futtató számítógépeken. Ez a házirend-beállítás határozza meg, hogy szükség van-e jelszóra a BitLocker által védett rögzített adatmeghajtók zárolásának feloldásához. Ha engedélyezi a jelszóhasználatot, beállíthatja a jelszó használatának szükségességét, bonyolultsági követelményeket fektethet le, és



Nem konfigurált

Nem konfigurált

Nem konfigurált

Bekapcsolva Intelligens kártyák használatának megkövetelése a rögzített merevlemezeken

Nem konfigurált

Nem konfigurált

Nem konfigurált

Kikapcsolva

Nem konfigurált

Kikapcsolva

konfigurálhatja a jelszó minimális hosszát.

A BitLocker által védett rögzített meghajtók helyreállítási módjának megválasztása

Kritikus

Ezzel a házirend-beállítással szabályozhatja, hogy a rendszer hogyan állítja helyre a BitLocker által védett rögzített meghajtókat, ha hiányoznak a szükséges hitelesítő adatok.

Nem konfigurált

Bekapcsolva Adat-helyreállítási megbízott engedélyezése 48 számjegyű helyreállítási jelszó engedélyezése 256 bites helyreállítási kulcs engedélyezése A BitLocker helyreállítási adatainak mentése az Active Directory tartományi szolgáltatásokban rögzített adatmeghajtók esetében

4.4.3. táblázat: A rögzített adatmeghajtók beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található. Választható beállítások: Operációsrendszer-meghajtók A Windows rendszert tartalmazó kötetek (operációsrendszer-meghajtók) Csoportházirendobjektum-szerkesztő következő bejegyzésénél érthetők el:

beállításai

a

Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\BitLocker meghajtótitkosítás\Operációsrendszer-meghajtók (Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives) Az alábbi táblázat a BitLocker funkció VolumeEncryption.admx sablonban elérhető csoportházirendbeállításait ismerteti. Az Operációsrendszer-meghajtók szinten a következő csoportházirendbeállítások érhetők el: § – A Windows 8 új csoportházirend-beállításait jelöli.

Házirend

Fontossági szint

§ Meghajtótitkosítási típus érvényesítése az operációsrendszermeghajtókon

További hitelesítés megkövetelése indításkor

Kritikus

Leírás Ezzel a házirend-beállítással konfigurálhatja a BitLocker meghajtótitkosítás által használt titkosítási típust. Ezt a házirend-beállítást akkor alkalmazza a rendszer, ha a BitLocker be van kapcsolva. Ha a meghajtó már titkosítva van, vagy folyamatban van a titkosítása, akkor a titkosítási típus módosítása nem érvényesíthető. A teljes titkosítás választása esetén a BitLocker funkció bekapcsolásakor a teljes meghajtó titkosítva lesz. A foglalt terület titkosításának választása esetén a BitLocker funkció bekapcsolásakor csak az adatok által elfoglalt terület lesz titkosítva. Ezzel a házirend-beállítással konfigurálhatja, hogy a BitLocker igényel-e további hitelesítést a számítógép minden egyes indulásakor, illetve azt is konfigurálhatja, hogy a BitLocker eszközt platformmegbízhatósági modullal (TPM) vagy anélkül használja.



Nem konfigurált

Nem konfigurált

Nem konfigurált

Bekapcsolva TPM modul indításának beállítása: TPM tiltása PIN-kód beállítása a TPM modul indításához: Indító PIN-kód megkövetelése TPM alkalmazásakor Indítókulcs tiltása TPM alkalmazásakor Indítókulcs és PINkód tiltása TPM alkalmazásakor

További hitelesítés megkövetelése indításkor (Windows Server 2008 és Windows Vista) Bővített PIN-kódok engedélyezése az indításhoz Az indításkor szükséges PIN-kód minimális hosszának beállítása

Fontos

A BitLocker által védett operációsrendszermeghajtók

Kritikus

Kritikus

Ezzel a házirend-beállítással meghatározhatja, hogy a BitLocker meghajtótitkosítás telepítővarázslója beállíthat-e egy kiegészítő hitelesítési lépést, amelyet a számítógép minden indításakor el kell végezni. Ezzel a házirend-beállítással azt konfigurálhatja, hogy használhatók-e bővített PIN-kódok a BitLocker eszközben. Ezzel a házirend-beállítással beállíthatja a platformmegbízhatósági modul (TPM) indító PIN-kódjának minimális hosszát. Ezt a házirend-beállítást akkor alkalmazza a rendszer, ha a BitLocker be van kapcsolva. Az indító PIN-kód legalább 4, legfeljebb 20 számjegyből állhat. Ezzel a házirend-beállítással szabályozhatja, hogy a rendszer hogyan állítja helyre a BitLocker által védett operációsrendszer-meghajtókat, ha

Nem konfigurált

Nem konfigurált

Bekapcsolva

Nem konfigurált

Bekapcsolva Karakterek minimális száma: 7 Bekapcsolva

Nem konfigurált

Bekapcsolva

48 számjegyű

helyreállítási módjának megválasztása

hiányzik a szükséges indítókulcs.

helyreállítási jelszó engedélyezése 256 bites helyreállítási kulcs tiltása Helyreállítási lehetőségek kihagyása a BitLocker telepítővarázslóból A BitLocker helyreállítási adatainak mentése az Active Directory tartományi szolgáltatásokban rögzített operációsrendszermeghajtók esetében A BitLocker helyreállítási adatok Active Directory tartományi szolgáltatásokban való tárolásának konfigurálása Helyreállítási jelszavak és kulcscsomagok tárolása A BitLocker meghajtótitkosítás tiltása, amíg az operációsrendszermeghajtók helyreállítási adatai nincsenek tárolva az Active Directory tartományi szolgáltatásokban

A TPM platformérvényesítési profil konfigurálása (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)

Fontos

Ezzel a házirend-beállítással konfigurálhatja, hogy a számítógép platformmegbízhatósági moduljának (TPM) biztonsági hardvere hogyan biztosítsa a BitLocker titkosítási kulcsát. Ez a házirend-beállítás nem érvényes, ha a számítógép nem rendelkezik TPM modullal, vagy ha a BitLocker már be van kapcsolva TPM-védelemmel.

Nem konfigurált

Nem konfigurált

4.4.4. táblázat: Az operációsrendszer-meghajtók beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található.

A biztonsági irányelveknek támogatniuk kell a BitLocker funkcióhoz használt, a jelszavakra és a kulcsok kezelésére vonatkozó eljárásokat. Az irányelveknek megfelelő adatvédelmet kell biztosítaniuk, egyúttal nem akadályozhatják a BitLocker funkció normál működését. Az alábbi lista néhány szempontot sorol fel, amelyet figyelembe kell venni:     



 

Célszerű beállítani, hogy a BitLocker meghajtótitkosítás helyreállítási adatairól biztonsági másolat készüljön az Active Directory tartományi szolgáltatásokban. Célszerű beállítani, hogy a platformmegbízhatósági modul tulajdonosi információiról biztonsági másolat készüljön az Active Directory tartományi szolgáltatásokban. Helyreállítási kulcsok és helyreállítási jelszavak állíthatók be vészhelyzet esetére a titkosított adatokhoz való hozzáféréshez. Platformmegbízhatósági modul és PIN-kód, illetve indítókulcsot tartalmazó USB-meghajtó használata esetén rendszeres időközönként módosítani kell a jelszavakat és a PIN-kódokat. A bekapcsolt és megfelelően konfigurált platformmegbízhatósági modult használó számítógépeken rendszergazdai jelszót kell beállítani a BIOS eléréséhez, hogy illetéktelen személyek ne tudják módosítani a BIOS beállításait. Olyan szabályokat kell bevezetni, amelyek tiltják az indítókulcsot tartalmazó USB-meghajtók és a számítógépek egy helyen történő tárolását (például a felhasználók nem tárolhatják az USB-meghajtójukat a számítógép hordtáskájában vagy a számítógép közelében). A BitLocker helyreállításai kulcsait érdemes egy biztonságos központi helyen tárolni, hogy vészhelyzet esetén elérhetők legyenek az adatok visszaállításához. A titkosított adatok helyreállításához szükséges információkat tároló eszközökről célszerű másolatokat készíteni, és a szervezet központi helyén kívüli biztonságos helyen tárolni azokat.

A BitLocker funkcióhoz kiegészítésként igénybe vehető az MBAM (BitLocker Administration and Monitoring) eszköz is. Ez az eszköz megkönnyíti a kulcsok használatát és helyreállítását, a hozzáférésvezérlés központosítását, a rögzített és a hordozható meghajtók titkosítási állapotának figyelését és az ezzel kapcsolatos jelentéskészítést, auditálást, valamint csökkenti a támogatási költségeket. Az MBAM eszköz a Microsoft Desktop Optimization Pack a Software Assurance programhoz50 termék része. Az MBAM eszközzel kapcsolatos további tudnivalók az MBAM51 dokumentációját tartalmazó webhelyen olvashatók.

4.5. A cserélhető adathordozókon található adatok védelme a BitLocker To Go funkció használatával A BitLocker To Go funkció csak a Windows 8 Professional és Enterprise kiadásában érhető el. A Windows 8 rendszerű számítógépeken az USB-eszközök beállíthatók úgy, hogy támogassák a BitLocker To Go funkciót. A Windows 8 más kiadásaiban lehetőség van a titkosított USB-meghajtón tárolt adatok olvasására, valamint az adatok írására is, ha ez nem az adott USB-meghajtón történik, azonban nem lehet újabb USB-meghajtókon beállítani a BitLocker To Go funkciót. A BitLocker To Go funkcióval titkosíthatók a cserélhető adathordozók, és ezek az adathordozók a megfelelő jelszó ismeretében más számítógépeken is használhatók. Ilyen esetben a BitLocker To Go funkció 50 51

http://www.microsoft.com/en-us/windows/enterprise/products-and-technologies/mdop/mbam.aspx http://onlinehelp.microsoft.com/en-us/mdop/gg703313.aspx

használható a cserélhető adathordozókon, például az IEEE 1394 szabványnak megfelelő külső meghajtókon, a memóriakártyákon és az USB flash meghajtókon tárolt adatok védelmére. A BitLocker To Go funkció lehetővé teszi, hogy az ilyen adathordozókon tárolt adatokhoz még azok elvesztése vagy ellopása esetén se lehessen hozzáférni. Kockázatbecslés A cserélhető adathordozók komoly veszélyt jelentenek a szervezet fontos és bizalmas adatainak biztonságára. Ezek az eszközök széles körben elterjedtek alacsony áruk és egyszerű használatuk miatt, így lehetővé vált igen rövid idő alatt igen nagy mennyiségű adat másolása és hordozása. Ezenkívül a hordozható számítógépek és az USB flash meghajtók esetében azt is figyelembe kell venni, hogy a felhasználók elveszíthetik ezeket az eszközöket, és számolni kell az ellopásuk veszélyével is. Az ilyen események következtében a bizalmas adatok illetéktelen személyek birtokába juthatnak, ami komoly károkat okozhat a szervezetnek. Kockázatminimalizálás A fenti kockázatokhoz kapcsolódó veszély csökkentéséhez a szervezetek különböző korlátozásokat írhatnak elő az eszközök használatára vonatkozóan, letilthatják egyes portok, az USB-meghajtók és az IEEE 1394-kompatibilis eszközök használatát, valamint a rendszerindítási folyamat védelmével úgy konfigurálhatják a számítógépeket, hogy a rendszert csak a megfelelő hitelesítéssel lehessen elindítani. Ezenkívül az operációs rendszer fájljait és az adatfájlokat is megfelelő védelemmel láthatják el. A BitLocker To Go hatékony adatvédelmi réteget biztosít, ami azt jelenti, hogy ha a védett adathordozó egy támadó birtokába jut, az nem feltétlenül jelenti azt, hogy a támadó az adathordozón tárolt adatokhoz is hozzá tud férni. Csoportházirendek használatával a szervezetek előírhatják a BitLocker To Go funkció használatát a cserélhető adathordozókhoz, így az adatok az ilyen adathordozóra történő másolás elkezdésének pillanatától kezdve védettek lesznek az illetéktelen hozzáférés ellen. A kockázatminimalizálás fontos szempontjai A BitLocker To Go funkciónak a cserélhető adathordozókon való alkalmazásával csökkenthetők a fenti „Kockázatbecslés” című szakaszban említett kockázatok, a BitLocker To Go alkalmazása előtt azonban figyelembe kell venni az ehhez az adatvédelmi funkcióhoz kapcsolódó következő követelményeket és bevált gyakorlati eljárásokat:  



A BitLocker To Go funkcióhoz nincs szükség platformmegbízhatósági modul használatára. A BitLocker To Go funkcióval titkosított cserélhető adathordozók konfigurálhatók úgy is, hogy a rajtuk tárolt adatok eléréséhez a felhasználóknak jelszót kelljen megadniuk vagy megfelelő tanúsítvánnyal rendelkező intelligens kártyát kelljen használniuk. Intelligens kártyák alkalmazása esetén a cserélhető adathordozókon tárolt adatok olvasásához használt számítógépeket fel kell szerelni megfelelő kártyaolvasóval is. A BitLocker To Go funkció nem befolyásolja jelentősen a számítógép teljesítményét, az alkalmazása általában észrevétlen lehet, és nem zavarja a felhasználók munkáját. Ha azonban a rendszer teljesítménye kritikus fontosságú, akkor a tesztelési fázisban ellenőrizni kell, hogy a BitLocker működése nincs-e komolyabb hatással a felhasználók teljesítményére.





Megjegyzendő, hogy ezeket az adathordozókat csak a Windows XP és a Windows Vista rendszerű számítógépek ismerik fel megfelelően. A Windows korábbi verzióival dolgozó felhasználók egy második partíciót fognak látni az eszközön, amely a Windows 8 rendszerben általában rejtett. Ez az ún. észlelési meghajtó, amely a BitLocker To Go Reader alkalmazást tartalmazza. Ezzel az alkalmazással oldható fel a titkosított meghajtó a megfelelő jelszó megadásával, illetve a helyreállítási művelet végrehajtásával. A Hozzáférés engedélyezése a korábbi Windows-verziók BitLocker által védett cserélhető adatmeghajtóihoz csoportházirend beállításaival meghatározható, hogy a BitLocker To Go létrehozza-e az észlelési meghajtót, és elhelyezze-e ezen a meghajtón a BitLocker To Go Reader alkalmazást, a cserélhető adathordozó BitLocker-védelmének bekapcsolásakor. Ezzel a témával a Microsoft Technet webhelyén elérhető Best Practices for BitLocker in Windows 752 című dokumentum foglalkozik bővebben. A tartományban lévő minden tartományvezérlőnek a Windows Server 2003 SP2 (vagy újabb) rendszerben kell működnie. Figyelem: A Windows Server 2003 a címtárszolgáltatás (Active Directory) sémabővítményét igényli a BitLocker funkció helyes kezeléséhez és a helyreállítási adatairól készült biztonsági másolatnak az Active Directory tartományi szolgáltatásokban (AD DS) való tárolásához.

A kockázatminimalizálás folyamata Az alábbi kockázatminimalizáló folyamat célja a BitLocker funkció megfelelő konfigurációjának kialakítása és a funkcióhoz kapcsolódó bevált gyakorlati eljárások alkalmazása a szervezet kliensszámítógépeihez csatlakoztatott cserélhető adathordozókon tárolt fontos adatok védelmének biztosításához. A kockázat minimalizálásához ajánlott műveletek a következők: 1. Ellenőrizni és tesztelni kell a BitLocker To Go technológiát. Figyelem: A BitLocker funkcióval kapcsolatos további tudnivalók a BitLocker Drive Encryption Deployment Guide for Windows 753 és a Windows BitLocker Drive Encryption Design and Deployment Guides54 című dokumentumban olvashatók a Microsoft TechNet webhelyén. 2. Fel kell mérni a BitLocker To Go használatának szükségességét a szervezetben. 3. Ellenőrizni kell és meg kell határozni a cserélhető adathordozókra vonatkozó BitLocker To Go-védelem alkalmazásának követelményeit az eszközök, a szoftver és a firmware szempontjából. 4. Azonosítani kell azokat a számítógépeket, amelyek igénylik a BitLocker To Go funkció általi védelmet a csatlakoztatott cserélhető adathordozókon. 5. El kell végezni a cserélhető adathordozók megfelelő tesztelését, beleértve a különböző USB flash meghajtókat. 6. Csoportházirend-objektumok használatával konfigurálni kell a cserélhető adathordozókhoz alkalmazandó BitLocker funkciót egy tesztelési célú rendszerben.

52

http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx http://go.microsoft.com/fwlink/?LinkId=140286 54 http://go.microsoft.com/fwlink/?LinkId=134201 53

7. A felhasználókkal meg kell ismertetni, hogyan használható a BitLocker To Go funkció az adott környezetben használt cserélhető adathordozók védelmére. 8. A tesztek végrehajtása után alkalmazni kell a BitLocker funkciót az éles környezetben használt cserélhető adathordozókon. A BitLocker-védelem a Vezérlőpulton elérhető BitLocker meghajtótitkosítás funkció segítségével kapcsolható be a cserélhető adathordozókon.

4.6. Csoportházirend-beállítások használata a BitLocker To Go funkcióval kapcsolatos kockázatok minimalizálásához Az alábbi táblázat a BitLocker To Go funkció VolumeEncryption.admx sablonban elérhető csoportházirend-beállításait ismerteti. A beállítások a következő bejegyzésnél érhetők el a Csoportházirendobjektum-szerkesztőben: Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\BitLocker meghajtótitkosítás\Cserélhető adatmeghajtók (Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives) A globális beállítások szintjén a következő csoportházirend-beállítások érhetők el: § – A Windows 8 új csoportházirend-beállításait jelöli. Házirend

Fontossági szint

§ Meghajtótitkosítási típus érvényesítése a cserélhető adatmeghajtókon

Fontos

A BitLocker cserélhető meghajtókon való használatának szabályozása Intelligens kártyák konfigurálása a cserélhető adatmeghajtókon való használatra

Fontos

Írási hozzáférés megtagadása a BitLocker által nem védett cserélhető meghajtókhoz

Fontos

Kritikus

Leírás



Ezzel a házirend-beállítással konfigurálhatja a BitLocker meghajtótitkosítás által használt titkosítási típust. Ezt a házirend-beállítást akkor alkalmazza a rendszer, ha a BitLocker be van kapcsolva. Ha a meghajtó már titkosítva van, vagy folyamatban van a titkosítása, akkor a titkosítási típus módosítása nem érvényesíthető. A teljes titkosítás választása esetén a BitLocker funkció bekapcsolásakor a teljes meghajtó titkosítva lesz. A foglalt terület titkosításának választása esetén a BitLocker funkció bekapcsolásakor csak az adatok által elfoglalt terület lesz titkosítva. Ez a házirend-beállítás a BitLocker cserélhető adatmeghajtókon való használatát szabályozza.

Nem konfigurált

Nem konfigurált

Nem konfigurált

Nem konfigurált

Ezzel a házirend-beállítással meghatározhatja, hogy a felhasználók hitelesíthetők-e intelligens kártyával arra, hogy hozzáférjenek a számítógépen lévő, BitLocker által védett cserélhető adatmeghajtókhoz.

Nem konfigurált

Bekapcsolva

Ez a házirend-beállítás konfigurálja, hogy szükség van-e BitLocker-védelemre ahhoz, hogy egy számítógép adatokat tudjon írni egy cserélhető adatmeghajtóra.

Nem konfigurált

Intelligens kártyák használatának megkövetelése a cserélhető adatmeghajtókon Bekapcsolva Írási hozzáférés megtagadása a más szervezetben konfigurált

eszközökhöz Hozzáférés engedélyezése a korábbi Windowsverziók BitLocker által védett cserélhető adatmeghajtóihoz A jelszavak használatának konfigurálása cserélhető adatmeghajtók esetében

Fontos

A BitLocker által védett cserélhető meghajtók helyreállítási módjának megválasztása

Kritikus

Fontos

Ez a házirend-beállítás azt állítja be, hogy a FAT fájlrendszerrel formázott cserélhető adatmeghajtók zárolása feloldható-e, és a meghajtók tartalma megtekinthető-e a Windows Server 2008, Windows Vista, Windows XP Service Pack 3 vagy Windows XP Service Pack 2 operációs rendszereken. Ez a házirend-beállítás határozza meg, hogy szükség van-e jelszóra a BitLocker által védett cserélhető adatmeghajtók zárolásának feloldásához. Ha engedélyezi a jelszóhasználatot, akkor beállíthatja a jelszó használatának szükségességét, bonyolultsági követelményeket fektethet le, és konfigurálhatja a jelszó minimális hosszát. Ezzel a házirend-beállítással szabályozhatja, hogy a rendszer hogyan állítsa helyre a BitLocker által védett cserélhető meghajtókat, ha hiányoznak a szükséges hitelesítő adatok.

Nem konfigurált

Kikapcsolva

Nem konfigurált

Kikapcsolva

Nem konfigurált

Bekapcsolva Adat-helyreállítási megbízott engedélyezése 48 számjegyű helyreállítási jelszó tiltása 256 bites helyreállítási kulcs tiltása Helyreállítási lehetőségek kihagyása a BitLocker telepítővarázslóból Helyreállítási jelszavak és kulcscsomagok biztonsági mentése

4.6.1. táblázat: A cserélhető adatmeghajtók beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található.

4.7.

Titkosított fájlrendszer (EFS)

A titkosított fájlrendszer (EFS) lehetővé teszi a fájlok és mappák titkosítását az illetéktelen hozzáférés megakadályozása érdekében. Ez a funkció az NTFS fájlrendszer egyik eleme, amely teljes mértékben transzparens a felhasználók és az alkalmazások számára. Amikor a szokásos teendők végrehajtása során egy felhasználó vagy egy alkalmazás hozzáférést kezdeményez egy titkosított fájlhoz, az operációs rendszer automatikusan hozzáférhet a fájl tartalmát visszafejtő kulcshoz, vagyis a titkosítási és a visszafejtési művelet a háttérben zajlik, a rendszer a felhasználó nevében hajtja végre ezeket a műveleteket. Azok a felhasználók, akik hozzáférhetnek a megfelelő titkosítási kulcsokhoz, a titkosított fájlokkal ugyanúgy dolgozhatnak, mint a többi fájllal, a többi felhasználó azonban nem férhet hozzá a titkosított fájlokhoz. A Windows 8 architektúrájában olyan módosításokat vezettek be, amelyek támogatják az elliptikus görbéjű titkosítást (Eliptic Curve Cryptography – ECC). Ez a funkció megfelel az NSA (National Security Agency) által definiált SUITE B kriptográfiai algoritmusgyűjtemény követelményeinek (ezek az algoritmusok az amerikai kormányhivatalok számára készültek a titkos információk védelmének

biztosításához). A Suite B gyűjtemény az AES, az SHA és az ECC kriptográfiai algoritmus használatát írja elő a legmagasabb szintű adatvédelem biztosításához, és nem engedélyezi az RSA kriptográfiai algoritmusok használatát, azonban a Windows 8 titkosított fájlrendszere (EFS) kínál egy új „vegyes üzemmódot”, amely az ECC és az RSA algoritmusokat egyaránt támogatja. Ez az üzemmód biztosítja a Windows korábbi verzióiban alkalmazott algoritmusokkal titkosított fájlok kompatibilitását. Ez a funkció rendkívül hasznos az olyan szervezetekben, amelyek RSA kriptográfiai algoritmusokat használnak, és már tervezik az ECC algoritmusok használatának bevezetését, hogy az informatikai környezetüket felkészítsék a Suite B gyűjteménnyel való kompatibilitás megvalósítására. Figyelem: A legmagasabb szintű adatvédelem biztosításához célszerű együttesen használni a BitLocker mechanizmust és az EFS fájlrendszert. Kockázatbecslés Az adatok illetéktelen elérése károsan befolyásolhatja a szervezet folyamatait, különösen olyan környezetben, ahol sok felhasználónak van hozzáférése ugyanahhoz a rendszerhez, vagy jellemző a hordozható számítógépek használata, ami az adatokhoz való jogosulatlan hozzáférés komoly veszélyével jár. Az EFS fájlrendszer elsődleges célja az adatlopás és a hordozható számítógépek elvesztése vagy ellopása következtében előforduló jogosulatlan adathozzáférés kockázatának minimalizálása, valamint a bizalmas adatokhoz hozzáféréssel rendelkező belső munkatársak általi adatveszélyeztetés minimalizálása. Az általános hozzáférési jogokkal használható és a közös használatú számítógépek is kiemelt kockázati tényezőnek tekintendők. Ilyen helyzet olyankor lép fel, amikor a támadó fizikai hozzáférést tud szerezni a nem védett számítógéphez. Ennek veszélyei a következők: 



  





A támadó újraindíthatja a számítógépet, és helyi rendszergazdai jogosultsági szintet adhat meg magának, hogy hozzáférjen a felhasználó adataihoz. A támadó letölthet különböző programokat, amelyekkel megszerezheti a felhasználó jelszavát. A felhasználó jelszavának megszerzésével bejelentkezhet a rendszerbe a felhasználó fiókját használva, és így hozzáférhet a felhasználó adataihoz. A támadó bejelentkezhet a Windows 8-as számítógépre, és cserélhető adathordozóra másolhatja, elküldheti e-mailben, átmásolhatja a hálózaton keresztül, vagy átmásolhatja távoli kiszolgálóról FTP protokoll használatával a hozzáférhetővé vált adatokat. A támadó újra tudja indítani a számítógépet egy másik operációs rendszerből, és közvetlenül a helyi merevlemezről tudja átmásolni az adatokat. A támadó másik hálózathoz tudja csatlakoztatni a számítógépet, el tudja indítani az ellopott számítógépet, illetve távolról is be tud jelentkezni. Ha a felhasználó hálózati fájljai a rendszer automatikusan letöltötte kapcsolat nélküli használatra, a helyi rendszergazdai vagy helyi rendszer szintű jogosultságot szerző támadó hozzáférhet a gyorsítótárban tárolt fájlok tartalmához. A támadó újra tudja indítani a számítógépet egy másik operációs rendszerből, és adatokat olvashat ki a lapozófájlból azzal a céllal, hogy a futó folyamatokkal kapcsolatos, szöveges formában vagy dokumentumként tárolt információt keressen. A kíváncsi felhasználók megnyithatják más felhasználók bizalmas fájljait az általános hozzáférési jogokkal, megosztottan használt számítógépeken.

Kockázatminimalizálás A fenti kockázatokhoz kapcsolódó veszély csökkentéséhez ajánlatos titkosítani a merevlemezeken tárolt adatokat. A Windows 8 rendszerben használt EFS technológia újdonságai a kockázat csökkentését és a biztonság növelését célozzák: 

 



 

A fájlok és mappák titkosításával (EFS) megakadályozható, hogy a támadó más operációs rendszeren keresztül olvasni tudja a fájlokat, mert a titkosított fájlrendszer visszafejtési kulcs használatát igényli a fájlok tartalmának visszafejtéséhez. Ezek a kulcsok intelligens kártyán is elhelyezhetők további biztonságnövelő intézkedésként. A csoportházirendek beállításával elő kell írni az EFS erős titkosítási mechanizmusainak használatát. Meg kell akadályozni, hogy a jelszó megszerzésével próbálkozó támadó hozzáférést szerezzen a felhasználói adatokhoz. Ehhez használható az EFS fájlrendszer titkosítási kulcsát tartalmazó intelligens kártya vagy a BitLocker funkció, vagy akár mindkét megoldás egyszerre, mert ez még nehezebbé teszi a jelszókivonathoz és a felhasználók gyorsítótárban tárolt hitelesítő adataihoz való hozzáférést. Csoportházirendek használatával be kell állítani a felhasználók Dokumentumok mappájának titkosítását, ezzel megakadályozható, hogy a támadók hozzáférjenek a felhasználók bizalmas adataihoz. Ezenkívül beállítható a többi felhasználói mappa vagy a felhasználói adatokat tartalmazó teljes partíció titkosítása is bejelentkezési parancsfájlok használatával. Az EFS fájlrendszer használatával biztosítható minden merevlemez és hálózati megosztás titkosítása. Az EFS fájlrendszer használatával biztosítható a lapozófájl és a hálózati fájlok kapcsolat nélküli használata a gyorsítótár helyi példányainak védelme.

A kockázatminimalizálás fontos szempontjai A titkosított fájlrendszer alkalmazásával csökkenthetők a fenti „Kockázatbecslés” című szakaszban említett kockázatok, az EFS funkció alkalmazása előtt azonban figyelembe kell venni az ehhez az adatvédelmi funkcióhoz kapcsolódó következő követelményeket: 







Kipróbált eljárásokat kell használni az adatok helyreállítására szolgáló kulcsok kezeléséhez, valamint az adatok helyreállításához. Helyes és megfelelően definiált eljárások hiányában a szervezet kritikus fontosságú adatai elérhetetlenné és visszafejthetetlenné válhatnak a visszafejtési kulcs elvesztése esetén. Az EFS funkció nem befolyásolja jelentősen a számítógép teljesítményét, az alkalmazása általában észrevétlen lehet, és nem zavarja a felhasználók munkáját. Ha azonban a rendszer teljesítménye kritikus fontosságú, akkor a tesztelési fázisban ellenőrizni kell, hogy az EFS fájlrendszer működése nincs-e komolyabb hatással a felhasználók teljesítményére. Ha a szervezetnek biztosítania kell a Suite B gyűjteménnyel való kompatibilitást, az ECC algoritmus használatával kell előkészíteni a számítógépes rendszert a titkosítási szabvány követelményeinek teljesítéséhez. Az EFS fájlrendszer használata esetén az adott köteten nem lehet használni a fájltömörítést (a fájltömörítés az NTFS fájlrendszer beépített funkciója).





A felhasználókat és az informatikai osztály munkatársait tájékoztatni kell arról, hogyan kerülhetők el az alábbiakhoz hasonló problémák: o Titkosított helyeken található fájlok másolása és áthelyezése titkosítás nélküli helyre, valamint olyan műveletek végrehajtása, amelyek titkosítatlan állapotban hagyhatják a fájlokat. o Az alkalmazások saját fájlpéldányainak tárolására használt rejtett mappák kihagyása a titkosításból. Az EFS konfigurációját igen alapos tesztelésnek kell alávetni annak ellenőrzéséhez, hogy az EFS-titkosítás beállították-e minden olyan helyre, ahol bizalmas adatokat tartalmazó fájlok találhatók, beleértve a Dokumentumok mappát, az asztalt és az ideiglenes fájlokat tároló mappákat.

A kockázatminimalizálás folyamata Az alábbi kockázatminimalizáló folyamat célja az EFS funkció megfelelő konfigurációjának kialakítása és a funkcióhoz kapcsolódó bevált gyakorlati eljárások alkalmazása a szervezet kliensszámítógépein tárolt fontos adatok védelméhez. A kockázat minimalizálásához ajánlott műveletek a következők: 1. Ellenőrizni és tesztelni kell az EFS titkosítási technológiát. Figyelem: Az EFS funkcióval kapcsolatos további tudnivalók a Best practices for the Encrypting File System55 című dokumentumban olvashatók a Microsoft webhelyén. 2. Fel kell mérni az EFS fájlrendszer használatának szükségességét a szervezetben. 3. Ellenőrizni és tesztelni kell az EFS konfigurációját csoportházirendek alkalmazásával. 4. Azonosítani kell azokat a számítógépeket, amelyek igénylik az EFS fájlrendszer általi védelmet. 5. Meg kell határozni a szervezet által igényelt adatvédelmi szintet, például meg kell állapítani, hogy az EFS fájlrendszer használatát ki kell-e egészíteni az intelligens kártyák alkalmazásával. 6. Csoportházirendek használatával az adott környezetnek megfelelően kell konfigurálni az EFStitkosítást.

4.8.

Az EFS fájlrendszer adatvédelmi beállításai

Az EFS titkosított fájlrendszer konfigurációja a csoportházirendek beállításaival határozható meg. A konfigurációs beállítások helye a következő: Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Nyilvános kulcs házirendjei\Titkosított fájlrendszer (Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System) Adat-helyreállítási megbízott (Data Recovery Agent – DRA) hozzáadásához vagy létrehozásához a jobb egérgombbal kattintson a Titkosított fájlrendszer elemre, majd válassza az Adat-helyreállítási megbízott hozzáadása parancsot. 55

http://support.microsoft.com/default.aspx?scid=kb;en-us;223316

Az EFS beállításainak megjelenítéséhez jobb egérgombbal kattintson a Titkosított fájlrendszer elemre, és válassza a Tulajdonságok parancsot a Tulajdonságok: Titkosított fájlrendszer párbeszédpanel megjelenítéséhez.

4.8.1. ábra: A Tulajdonságok: Titkosított fájlrendszer párbeszédpanel Általános lapja A 4.8.1. ábrán látható Elliptikus görbéjű titkosítás beállítás Engedélyezés értékének kiválasztásával állíthatja be a titkosított fájlrendszer „vegyes” üzemmódját, amely lehetővé teszi az RSA és az ECC algoritmus használatát a számítógépen. Ha a környezetnek meg kell felelnie a Suite B gyűjtemény követelményeinek, az Elliptikus görbéjű titkosítás beállításnál válassza a Kötelező értéket, majd az Elliptikus görbéjű titkosítással rendelkező, önaláírt tanúsítványok kulcsmérete beállításnál válassza ki a kívánt értéket (lásd a 4.8.2. ábrát).

4.8.2. ábra: A Tulajdonságok: Titkosított fájlrendszer párbeszédpanel Tanúsítványok lapja Megjegyzendő, hogy a csoportházirend fenti beállítása csak akkor érvényesül, ha a megfelelő fájlvagy mappa titkosítást a beállítás megadása kapcsolják be. Ha a fájl vagy a mappa titkosítása már bekapcsolt a fenti beállítás megadásakor, a felhasználó a titkosításhoz választott algoritmust használhatja. Az Elliptikus görbéjű titkosítás beállítás Kötelező értéke nem teszi kötelezővé az AES algoritmus használatát a létrehozott titkosítási kulcsokhoz, a kötelező használat csak az ECC algoritmusra vonatkozik.

4.8.3. ábra: A Tulajdonságok: Titkosított fájlrendszer párbeszédpanel Gyorsítótár lapja Az alábbi táblázat az EFS titkosított fájlrendszer csoportházirendjeinek 4 beállítássablonját tartalmazza.

Sablon és beállítás GroupPolicy.admx Az EFS-helyreállító házirend feldolgozásának beállítása EncryptFilesonMove.admx Ne titkosítsa automatikusan a titkosított mappákba helyezett fájlokat OfflineFiles.admx Az offline fájlok gyorsítótárának titkosítása

Elérési út és leírás


Számítógép konfigurációja\Felügyeleti sablonok\Rendszer\Csoportházirend Ezek a beállítások határozzák meg, hogy mikor kell érvénybe léptetni a titkosításra vonatkozó házirendeket.

Nem konfigurált

Számítógép konfigurációja\Felügyeleti sablonok\Rendszer

Nem konfigurált

Ezzel a beállítással akadályozható meg, hogy a fájlkezelő titkosítsa a titkosított mappába helyezett fájlokat. Számítógép konfigurációja\Felügyeleti sablonok\Hálózat\Kapcsolat nélküli fájlok Ez a beállítás határozza meg, hogy a rendszer titkosítja-e a kapcsolat nélküli fájlokat. Figyelem: A Windows XP SP3 rendszerben a fájlok titkosítása

Nem konfigurált

rendszerkulccsal, míg a Windows Vista SP1 és újabb rendszerekben felhasználói kulccsal történik. Search.admx

Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\Keresés

A titkosított fájlok indexelésének engedélyezése

Nem konfigurált

Ez a beállítás lehetővé teszi a titkosított elemek indexelését.

4.8.1. táblázat: Az EFS titkosított fájlrendszer beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található.

4.9.

Tartalomvédelmi szolgáltatások (RMS)

A tartalomvédelmi szolgáltatások (Rights Management Services – RMS) biztosítják az e-mailekben, dokumentumokban, webhelyeken lévő tartalom védelmét, valamint érvényesítik az ilyen tartalmakra vonatkozó felhasználási irányelveket. A tartalomvédelmi szolgáltatások az információ titkosításával és a tartalom felhasználására vonatkozó jogok meghatározásával gondoskodnak a dokumentumok védelméről. Az RMS megoldás használata esetén, a szervezet hálózatán vagy az interneten keresztül küldött e-mailek és fájlok tartalmát kizárólag a hitelesített és megfelelő jogosultságokkal rendelkező felhasználók érhetik el. A jogosulatlan személyek a megfelelő jogosultságokat követelő és titkosított tartalmakhoz akkor sem férhetnek hozzá, ha az azt tároló fájlokat el tudják érni. A tartalomvédelmi szolgáltatások három fő összetevőből állnak: 

 

A tartalomvédelmi szolgáltatások kiszolgálója: A Windows 8 a Windows tartalomvédelmi szolgáltatások Windows Server 2003 rendszerhez vagy az újabb verziókhoz készült változatát igényli. A tartalomvédelmi szolgáltatások kliensszoftvere: Ez a szoftver a Windows 8 beépített része, nem igényel külön telepítést. A tartalomvédelmi szolgáltatások platformja vagy alkalmazása: Ez olyan platform vagy alkalmazás, amely titkosítási mechanizmust és megfelelő tartalom-hozzáférési vezérlést biztosít a tartalomvédelmi szolgáltatások számára.

Figyelem: Annak ellenére, hogy a tartalomvédelmi szolgáltatások kliensszoftvere a Windows 8 beépített része, a szoftver használatához RMS ügyféllicencet kell vásárolni. Kockázatbecslés A tartalomvédelmi szolgáltatások segítségével a szervezetben csökkenthető a kockázata, hogy jogosulatlan személyek betekintést nyernek bizalmas adatokba. A bizalmas adatok téves vagy szándékos, rosszindulatú műveletek eredményeképpen nyilvánosságra kerülhetnek, vagy jogosulatlan személyek birtokába juthatnak. Alább olvasható néhány példa a kockázatot jelentő helyzetekre: 

A jogosulatlan felhasználók hozzáférnek információhoz úgy, hogy megfigyelik a hálózati adatforgalmat, fizikai hozzáférést szereznek az USB flash meghajtókhoz vagy a

 

 

merevlemezekhez, illetve hozzáférést szereznek a kiszolgálók és az adattárolók nem megfelelően védett megosztásaihoz. A jogosult felhasználók bizalmas adatokat küldenek a szervezeten belüli vagy kívüli címzetteknek. A jogosult felhasználók nem engedélyezett helyre vagy alkalmazásba másolják vagy helyezik át a bizalmas adatokat, illetve az engedélyezett adattárolási helyen lévő adatokról másolatot készítenek nem engedélyezett helyre, például USB flash meghajtóra vagy merevlemezre (külső adattárolóra). A jogosult felhasználók véletlenül megosztják a bizalmas információkat a jogosulatlan felhasználókkal P2P-hálózaton vagy internetes csevegőalkalmazásokon keresztül. A jogosult felhasználók kinyomtatják a bizalmas információkat, de nem gondoskodnak a kinyomtatott dokumentumok biztonságos tárolásáról, így annak a veszélynek teszik ki a szervezetet, hogy jogosulatlan személyek hozzájutnak a nyomtatott példányokhoz, és lemásolják, majd faxon vagy e-mailben elküldik a másolatokat.

Kockázatminimalizálás A munkatársak által a hálózaton keresztül megosztott adatok megfelelő védelméhez az adatok felhasználásától függetlenül biztosítani kell azok védelmét a tartalomvédelmi szolgáltatások segítségével. Az RMS mechanizmus hathatós védelemmel látja el a kiszolgálók, az eszközök és a megosztott hálózati erőforrások között küldött tartalmakat. Ez a mechanizmus megakadályozza az illetéktelenül megszerzett információ tartalmához való hozzáférést az alkalmazott védelemmel és titkosítással. A kockázatminimalizálás fontos szempontjai A tartalomvédelmi szolgáltatások alkalmazásával csökkenthetők a fenti „Kockázatbecslés” című szakaszban említett kockázatok, az alkalmazásuk előtt azonban figyelembe kell venni az ehhez az adatvédelmi funkcióhoz kapcsolódó következő követelményeket és bevált gyakorlati eljárásokat: 









A tartalomvédelmi szolgáltatás használatához Windows Server 2003 vagy újabb rendszeren kell telepíteni ezen szolgáltatás kiszolgálóját, valamint a felhasználói kliensgépeken telepíteni kell az RMS technológiát támogató alkalmazásokat. A Microsoft® Office SharePoint® Server vagy újabb verzió szükséges a SharePoint RMSintegrációs összetevőjének használata esetén (az RMS mechanizmussal védhetők a SharePoint-webhelyeken tárolt dokumentumok és információk a jogosulatlan hozzáférés ellen). Intelligens kártyák használata esetén meg kell győződni arról, hogy a védett tartalmat használó összes kliensszámítógép teljes mértékben kompatibilis az alkalmazott intelligens kártyákkal. A webes alkalmazások, például a Microsoft Outlook® Web Access (OWA) és az RMS összetevő együttes használata esetén az Internet Explorer böngészőhöz telepíteni kell a tartalomvédelmi szolgáltatások használatát lehetővé tevő bővítményt. Az informatikai osztály munkatársainak el kell sajátítaniuk az RMS technológia alkalmazását, valamint az ezzel a technológiával kapcsolatos problémák megoldásához és a segítségnyújtáshoz szükséges ismereteket.

A kockázatminimalizálás folyamata Az alábbi kockázatminimalizáló folyamat célja a tartalomvédelmi szolgáltatások megfelelő konfigurációjának kialakítása és a bevált gyakorlati eljárások alkalmazása a szervezet kliensszámítógépein tárolt fontos adatok védelméhez. 

  

  

Ellenőrizni és tesztelni kell az RMS technológiát. Figyelem: Az RMS funkcióval kapcsolatos további tudnivalók az Active Directory Rights Management Services56 című dokumentumban olvashatók a Microsoft webhelyén. Fel kell mérni a tartalomvédelmi szolgáltatások használatának szükségességét. Meg kell határozni a tartalomvédelmi szolgáltatások által támogatott alkalmazásokat és szolgáltatásokat. Meg kell határozni és fel kell mérni a tartalomvédelmi szolgáltatások telepítését igénylő helyzeteket. Ilyenek lehetnek például a következők: o Egy RMS-kiszolgáló (vagy egy fürt) o Egy tanúsítvány, egy licenc o Egy tanúsítvány, több licenc o Több tanúsítvány, egy licenc o Több tanúsítvány, több licenc Meg kell határozni és fel kell mérni a tartalomvédelmi szolgáltatásokkal védendő információk körét. Meg kell határozni és fel kell mérni azokat a felhasználócsoportokat, amelyeknek hozzáférésre van szükségük a védendő információhoz. Úgy kell konfigurálni a tartalomvédelmi szolgáltatásokat, hogy a beállítások csak a jogosult személyeknek tegyék lehetővé a meghatározott információhoz való hozzáférést.

4.10. Csoportházirend-beállítások használata a tartalomvédelmi szolgáltatások telepítéséhez A Windows 8 telepítése nem tartalmazza a tartalomvédelmi szolgáltatások (RMS) konfigurálásához használható csoportházirend-beállításokat. Az RMS olyan megoldás, amely elsősorban a kiszolgáló konfigurációján alapul, ezért a tartalomvédelmi szolgáltatások (RMS) konfigurálását az RMSkiszolgálón kell elvégezni. Ezenkívül a tartalomvédelmi szolgáltatásokkal (RMS) együttműködő alkalmazások egyéni beállításokat tartalmazhatnak, amelyek meghatározzák a védett tartalom kezelésének módját.

4.11.

Eszközök telepítése és kezelése a Windows 8 rendszerben

A Plug and Play (PnP) technológia lehetővé teszi, hogy a felhasználók különféle eszközöket használjanak munkaállomásaikon, beleértve a hordozható eszközöket is. Másfelől azonban az olyan eszközök, mint az USB-meghajtók és a hordozható merevlemezek, komoly problémát jelentenek a rendszergazdáknak és az informatikusoknak a megfelelő biztonsági szint fenntartásának szempontjából. Ez a probléma nem csak a munkaállomásokon használt, nem kompatibilis és nem engedélyezett eszközök kezelésében nyilvánul meg, hanem olyan helyzetet is előidézhet, amely 56

Magyar nyelven: http://technet.microsoft.com/hu-hu/library/cc771234(v=ws.10).aspx, angol nyelven: http://go.microsoft.com/fwlink/?LinkId=153465

jelentős mértékben veszélyeztetheti a feldolgozott adatok biztonságát. A Windows 8 rendszerben a csoportházirendek több módosítást is tartalmaznak, amelyek segítségével a rendszergazdák kezelhetik és felügyelhetik a nem támogatott és nem engedélyezett eszközök telepítésére tett kísérleteket. Hangsúlyozni kell, hogy a rendszerben telepített összes eszköz az adott rendszer összes felhasználója számára elérhető lesz, nem csak a telepítést végrehajtó felhasználó számára. A Windows 8, a Windows 7 és a Windows Vista rendszerben lehetőség van a telepített eszközök olvasási és írási hozzáférésének felhasználói szintű vezérlésére. Megadható például teljes írási és olvasási hozzáférés egy meghatározott felhasználónak egy telepített eszközhöz, például egy USBmeghajtóhoz, a számítógép többi felhasználójának pedig csak olvasási hozzáférés az adott eszközhöz. Az eszközök kezelésével és telepítésével, valamint az eszközök kezeléséhez és karbantartásához használható csoportházirend-beállításokkal kapcsolatos bővebb tájékoztatás a Step-By-Step Guide to Controlling Device Installation Using Group Policy57 című dokumentumban olvasható. Kockázatbecslés A számítógépekhez nem engedélyezett módon csatlakoztatott eszközök igen komoly veszélyforrásnak számítanak, mert lehetővé tehetik a támadóknak kártevő programok elindítását, a számítógépen lévő adatok törlését, valamint különböző szoftverek vagy adatok telepítését a számítógépre. A szervezeti adatok kiszivárgását legtöbbször az ilyen eszközök okozzák. Alább olvasható néhány példa a kockázatot jelentő helyzetekre: 

 



57

A jogosult felhasználók nem engedélyezett adattárolóra vagy merevlemezre (külső adathordozóra) másolják vagy helyezik át az engedélyezett adathordozókon tárolt bizalmas adatokat, és előfordulhat, hogy a felhasználóknak nincs is tudomásuk arról, hogy nem engedélyezett célhelyet választottak a műveletek végrehajtásához. Ilyen eset lehet például a titkosított adathordozón vagy helyen lévő adatok másolása egy nem engedélyezett, nem titkosított, általános hozzáférési jogú cserélhető adathordozóra. A támadó bejelentkezik az engedélyezett felhasználók számítógépére, és cserélhető adathordozóra másolja az adatokat. A támadó rosszindulatú szoftvert tartalmazó cserélhető adathordozó vagy hálózati megosztás használatával automatikusan elinduló parancsfájlokat helyez el, amelyek az automatikus indítási funkció kihasználásával rosszindulatú szoftvereket telepítenek a nem felügyelt kliensszámítógépeken. A támadó nem engedélyezett szoftvert vagy eszközt telepít, amely rögzíti a billentyűzet használatával bevitt adatokat (keylogger), így fiókadatokat, jelszavakat és más bizalmas adatokat tud megszerezni, majd ezeket az adatokat felhasználva hajtja végre a tényleges támadást.


Kockázatminimalizálás A fenti kockázatokhoz kapcsolódó veszély csökkentéséhez a számítógépes rendszerek védelmét úgy kell megoldani, hogy kiemelt szempont legyen a számítógéphez csatlakoztatott nem engedélyezett eszközök telepítésének és használatának vezérlése és felügyelete. A PnP-eszközök, például az USBmeghajtók és a hordozható merevlemezek felügyeletéhez csoportházirend-beállítások használhatók. A kockázatminimalizálás fontos szempontjai A Windows 8 eszköztelepítésre vonatkozó csoportházirend-beállításainak használatával csökkenthetők a fenti „Kockázatbecslés” című szakaszban említett kockázatok. Az eszközök telepítésére és kezelésére vonatkozó beállítások alkalmazása előtt azonban figyelembe kell venni a kockázatminimalizálással kapcsolatos következő szempontokat: 





Az eszközök használatának korlátozása blokkolhatja a jogosult felhasználók adathozzáférését, vagy a hordozható eszközök hozzáférésének blokkolásával csökkentheti a mobilfelhasználók hatékonyságát. A hordozható eszközök használatának korlátozása megakadályozhatja például a BitLocker funkciót alkalmazó lemeztitkosításhoz szükséges USB-meghajtók használatát is. A felhasználókra alkalmazott „Cserélhető lemezek: Írási hozzáférés megtagadása” csoportházirend-beállítás használata esetén például ez a beállítás a rendszergazdai jogosultságú felhasználókra is érvényes, ennek következtében a BitLocker telepítőprogram nem tudja felírni az USB-meghajtóra az indítókulcsot. Egyes eszközök kettős azonosítással szerepelnek a rendszerben, cserélhető tárolóként és helyi tárolóként. Ilyen módon történik például a rendszerindítás közben csatlakoztatott USBmeghajtók néhány típusának azonosítása, attól függően, hogy a rendszer elindítása előtt csatlakoztatták-e vagy amikor már futott a rendszer. Ezért körültekintően tesztelni kell a csoportházirend-beállításokat, meg kell bizonyosodni arról, hogy a különböző típusú eszközök megfelelő védelemmel rendelkeznek, és meg kell határozni, hogy az eszközök használata engedélyezett-e a szervezet környezetében.

A kockázatminimalizálás folyamata Az alábbi kockázatminimalizáló folyamat célja a Windows 8 rendszerben használt eszközök kezelésére és telepítésére vonatkozó bevált gyakorlati eljárások alkalmazása a számítógépeken tárolt fontos adatok védelmének biztosításához. A kockázat minimalizálásához ajánlott műveletek a következők: 1. Ellenőrizni és tesztelni kell a Windows 8 rendszerben használt eszközök telepítési és kezelési folyamatait. Figyelem: A témához kapcsolódó további tudnivalók a Step-By-Step Guide to Controlling Device Installation Using Group Policy 58 című dokumentumban olvashatók a Microsoft webhelyén.

58


2. Fel kell mérni a Windows 8 rendszerbeli eszköztelepítési és -kezelési mechanizmus használatának szükségességét. 3. Ellenőrizni és tesztelni kell a Windows 8 rendszerben használt eszközök telepítési és kezelési mechanizmusának csoportházirend-beállításait. 4. Azonosítani kell a szervezet környezetében használt nélkülözhetetlen hordozható eszközöket, és össze kell állítani az eszközök beállításainak listáját, amelyben szerepelnie kell az eszközök hardverazonosítójának, valamint az eszközök kompatibilis azonosítójának. 5. Azonosítani kell azokat a számítógépeket és felhasználókat, amelyek és akik napi rendszerességgel használnak hordozható eszközöket. 6. Csoportházirend-beállítások használatával engedélyezni kell a nélkülözhetetlen és a megfelelő eszközök telepítését. 7. Csoportházirend-beállítások használatával engedélyezni kell az eszközök telepítését azokon a számítógépeken, amelyeken a napi munkához szükségesek az eszközök.

4.12. Csoportházirend-beállítások használata az eszközök telepítésének felügyeletéhez Az eszközök telepítésének felügyeletéhez és a beállítások kezeléséhez a Deviceinstallation.admx csoportházirend-sablonban található csoportházirend-beállítások használhatók. Az alábbi táblázat tartalmazza a sablonban elérhető beállítások ismertetését. A beállítások a következő bejegyzésnél érhetők el: Számítógép konfigurációja\Felügyeleti sablonok\Rendszer\Eszköztelepítés\Eszköztelepítési korlátozások (Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions) A házirendek beállításai

Leírás


Eszköztelepítési korlátozások házirend felülbírálásának engedélyezése a rendszergazdák számára

Ezzel a házirend-beállítással meghatározhatja, hogy a Rendszergazdák csoport tagjai bármilyen eszközhöz tartozó illesztőprogramot telepíthetnek és frissíthetnek-e, egyéb házirendbeállításoktól függetlenül.

Nem konfigurált

Adott osztályokba tartozó eszközök megfelelő illesztőprogramokkal végzett eszköztelepítésének engedélyezése

Ezzel a házirend-beállítással megadhatja az azon eszköztelepítési osztályok globális egyedi azonosítóit tartalmazó listát, amelyeket a Windows telepíthet. Ha engedélyezi ezt a házirendbeállítást, akkor a Windows telepítheti vagy frissítheti azokat az eszközillesztőket, amelyek eszköztelepítési osztályának GUID azonosítója szerepel az Ön által

Nem konfigurált

létrehozott listán, feltéve, hogy a telepítést nem gátolja más házirendbeállítás (például az „Ezekkel az eszközazonosítókkal megegyező eszközök telepítésének megakadályozása”, az „Ezekbe az eszközosztályokba tartozó eszközök telepítésének megakadályozása” vagy az „Eltávolítható eszközök telepítésének megakadályozása” házirend-beállítás). Eszköztelepítések megakadályozása az illesztőprogramok eszközosztálya alapján

Nem konfigurált Ezzel a házirend-beállítással megadhatja az azon eszköztelepítési osztályok globális egyedi azonosítóit (GUID) tartalmazó listát, amelyeket a Windows nem telepíthet. Ez a házirend-beállítás elsőbbséget élvez az eszköztelepítést engedélyező többi házirend-beállítással szemben.

Egyéni üzenet megjelenítése, amikor a telepítést házirendbeállítás akadályozza meg

Ezzel a házirend-beállítással egyéni üzenetet jeleníthet meg a felhasználók számára, amikor egy eszköz telepítését házirend-beállítás akadályozza meg

Nem konfigurált

Amennyiben engedélyezi ezt a beállítást, a Windows a Részletes szöveg mezőbe beírt szöveget jeleníti meg, amikor egy eszköz telepítését házirend-beállítás akadályozza meg. Egyéni üzenetcím megjelenítése, amikor az eszköztelepítést házirend akadályozza

Ezzel a házirend-beállítással egyéni üzenetcímet jeleníthet meg a felhasználók számára, amikor egy eszköz telepítését házirend-beállítás akadályozza meg

Nem konfigurált

Amennyiben engedélyezi ezt a házirend-beállítást, a Windows a Fő szövegrész mezőbe írt szöveget jeleníti meg az üzenet címeként, amikor egy eszköz telepítését házirend-beállítás akadályozza meg. Ezen eszközazonosítók egyikével megegyező eszköz telepítésének engedélyezése

Ezzel a házirend-beállítással egyéni üzenetcímet jeleníthet meg a felhasználók számára, amikor egy eszköz telepítését házirend-beállítás akadályozza meg

Nem konfigurált

Amennyiben engedélyezi ezt a házirend-beállítást, a Windows a Fő szövegrész mezőbe írt szöveget jeleníti meg az üzenet címeként, amikor egy eszköz telepítését házirend-beállítás akadályozza meg. Eszköztelepítések korlátozása eszközazonosítók alapján

Ezzel a házirend-beállítással megadhatja az azon eszközök Plug and Play-hardverazonosítóját vagy kompatibilis azonosítóját tartalmazó listát, amelyeket a Windows nem telepíthet. Ez a házirend-beállítás elsőbbséget élvez az eszköztelepítést engedélyező többi házirendbeállítással szemben.

Nem konfigurált

Ha engedélyezi ezt a házirendbeállítást, akkor a Windows nem telepítheti azokat az eszközöket, amelyek hardverazonosítója vagy kompatibilis azonosítója szerepel a létrehozott listán. Idő (másodpercben) a házirendmódosítások életbe lépéséhez szükséges újraindítás kényszerítéséhez

Ezzel a házirend-beállítással megadhatja az azon eszközök Plug and Play-hardverazonosítóját vagy kompatibilis azonosítóját tartalmazó listát, amelyeket a Windows nem telepíthet. Ez a házirend-beállítás elsőbbséget élvez az eszköztelepítést engedélyező többi házirendbeállítással szemben.

Nem konfigurált

Ha engedélyezi ezt a házirendbeállítást, akkor a Windows nem telepítheti azokat az eszközöket, amelyek hardverazonosítója vagy kompatibilis azonosítója szerepel a létrehozott listán. Eltávolítható eszközök telepítésének megakadályozása

Nem konfigurált Ezzel a házirend-beállítással megakadályozhatja, hogy a Windows cserélhető eszközöket telepítsen. Egy eszköz akkor cserélhető, ha annak az eszköznek az illesztőprogramja, amelyhez csatlakoztatva van, azt jelzi, hogy cserélhető. Egy USB-eszköz eltávolíthatóságát az USB-elosztó azon illesztőprogramjai jelzik, amelyekhez az eszköz csatlakoztatva van. Ez a házirend-beállítás elsőbbséget élvez az

eszköztelepítést engedélyező többi házirend-beállítással szemben. Egyéb házirend-beállítások által nem érintett eszközök telepítésének megakadályozása

Ezzel a házirend-beállítással megakadályozhatja azon eszközök telepítését, amelyeket nem ír le külön más házirend-beállítás.

Nem konfigurált

A házirend-beállítás engedélyezése esetén az „Ezen eszközazonosítók egyikével megegyező eszköz telepítésének engedélyezése” és „A következő eszközosztályokhoz tartozó eszközök telepítésének engedélyezése” házirend-beállításban le nem írt eszközöket a Windows nem telepítheti, illesztőprogramjaikat pedig nem frissítheti. 4.12.1. táblázat: Az eszköztelepítés felügyeletéhez használható csoportházirend-beállítások A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található.

4.13. Csoportházirend-beállítások használata az eszközök hozzáférésvezérléséhez Az eszköztelepítés felügyeletének kiegészítéséhez a Windows 8 lehetővé teszi annak beállítását, hogy a felhasználók milyen hozzáférési szinttel használhatják a telepített eszközöket. A RemovableStorage.admx sablon tartalmazza a cserélhető tárolókra vonatkozó beállításokat. Ez a konfiguráció a következő bejegyzésnél található: Számítógép konfigurációja\Felügyeleti sablonok\Rendszer\Hozzáférés a cserélhető tárolókhoz (Computer Configuration\Administrative Templates\System\Removable Storage Access) A házirendek beállításai Idő (másodpercben) az újraindítás kényszerítéséig

Leírás Ezzel a házirend-beállítással megakadályozhatja azon eszközök telepítését, amelyeket nem ír le külön más házirend-beállítás. A házirend-beállítás engedélyezése esetén az „Ezen eszközazonosítók egyikével megegyező eszköz telepítésének engedélyezése” és „A következő eszközosztályokhoz tartozó eszközök telepítésének


engedélyezése” házirend-beállításban le nem írt eszközöket a Windows nem telepítheti, illesztőprogramjaikat pedig nem frissítheti. CD és DVD: Indítási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az indítási hozzáférést a CD és DVD cserélhető tárolóosztályhoz.

Nem konfigurált

CD és DVD: Olvasási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az olvasási hozzáférést a CD és DVD cserélhető tárolókhoz.

Nem konfigurált

CD és DVD: Írási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az írási hozzáférést a CD és DVD cserélhető tárolókhoz.

Nem konfigurált

Egyéni osztályok: Olvasási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az olvasási hozzáférést az egyéni cserélhető tárolókhoz.

Nem konfigurált

Egyéni osztályok: Írási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az írási hozzáférést az egyéni cserélhető tárolókhoz.

Nem konfigurált

Hajlékonylemezes meghajtók: Indítási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az indítási hozzáférést a Hajlékonylemezes meghajtók cserélhető tárolóosztályhoz, beleértve az USB hajlékonylemezes meghajtókat is.

Nem konfigurált

Hajlékonylemezes meghajtók: Olvasási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az olvasási hozzáférést a Hajlékonylemezes meghajtók cserélhető tároló osztályhoz, beleértve az USB-meghajtókat is.

Nem konfigurált

Hajlékonylemezes meghajtók: Írási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az írási hozzáférést a Hajlékonylemezes meghajtók cserélhető tároló osztályhoz, beleértve az USBmeghajtókat is.

Nem konfigurált

Cserélhető lemezek: Indítási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az indítási hozzáférést a cserélhető lemezekhez.

Nem konfigurált

Cserélhető lemezek: Olvasási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az olvasási hozzáférést a cserélhető lemezekhez.

Nem konfigurált

Cserélhető lemezek: Írási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az írási hozzáférést a cserélhető lemezekhez.

Nem konfigurált

Összes cserélhető tároló osztály:

Hozzáférés beállítása az összes

Nem konfigurált

Minden hozzáférés megtagadása

cserélhető tároló osztályhoz Ez a házirend-beállítás felülírja minden egyéni cserélhető tároló házirendbeállítását. Egyéni osztályok kezeléséhez használja az egyes osztályok házirend-beállításait.

Összes cserélhető tároló: Közvetlen hozzáférés engedélyezése távoli munkamenetekben

Nem konfigurált Ez a házirend-beállítás normál felhasználók számára közvetlen hozzáférést biztosít a cserélhető tároló eszközökhöz a távoli munkamenetekben.

Szalagos meghajtók: Indítási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az indítási hozzáférést a Szalagos meghajtók cserélhető tároló osztályhoz.

Nem konfigurált

Szalagos meghajtók: Olvasási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az olvasási hozzáférést a Szalagos meghajtók cserélhető tároló osztályhoz.

Nem konfigurált

Szalagos meghajtók: Írási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az írási hozzáférést a Szalagos meghajtók cserélhető tároló osztályhoz.

Nem konfigurált

WPD-eszközök: Olvasási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az olvasási hozzáférést a cserélhető lemezekhez, például a médialejátszókhoz, a mobiltelefonokhoz, a kiegészítő képernyőkhöz és a Windows CE rendszerű eszközökhöz.

Nem konfigurált

WPD-eszközök: Írási hozzáférés megtagadása

Ez a házirend-beállítás megtagadja az olvasási hozzáférést a cserélhető lemezekhez, például a médialejátszókhoz, a mobiltelefonokhoz, a kiegészítő képernyőkhöz és a Windows CE rendszerű eszközökhöz.

Nem konfigurált

4.14. Csoportházirend-beállítások használata az automatikus indítási és az automatikus lejátszási funkció vezérléséhez és letiltásához Az Autoplay.admx sablon tartalmazza a Windows 8 rendszerben használt cserélhető tárolók és cserélhető adathordozók automatikus elindítására és automatikus lejátszására vonatkozó beállításokat. A beállítások a következő bejegyzésnél érhetők el: Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\Az Automatikus lejátszás funkcióval kapcsolatos házirendek

(Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies) A házirendek beállításai

Leírás


Automatikus lejátszás funkció kikapcsolása

Ezzel a beállítással kapcsolható ki az automatikus lejátszási funkció.

Nem konfigurált

Megakadályozza, hogy az Automatikus lejátszás emlékezzen a felhasználói döntésekre.

Ezzel a beállítással kapcsolható ki az automatikus lejátszási funkció.

Nem konfigurált

Automatikus lejátszás kikapcsolása nem kötetalapú eszközök esetén

Ezzel a beállítással kapcsolható ki az automatikus lejátszási funkció az MTPeszközök, például a fényképezőgépek és a telefonok esetében.

Nem konfigurált

Az Automatikus futtatás funkció alapértelmezés szerinti viselkedése

Ezzel a beállítással adható meg az automatikus lejátszás alapértelmezés szerinti működése.

Nem konfigurált

A fenti beállítások a következő bejegyzésnél is elérhetők: Felhasználó konfigurációja\Felügyeleti sablonok\Windows-összetevők\Az Automatikus lejátszással kapcsolatos házirendek (User Configuration\Administrative Templates\Windows Components\AutoPlay Policies) Ha az eszközök telepítésére vonatkozó beállítások ütközést idéznek elő, akkor a számítógép konfigurációjában található beállítást felváltja a felhasználó konfigurációjában található beállítás.

4.15.

Windows To Go

A Windows To Go munkaterület lehetővé teszi a Windows 8 hordozható példányának létrehozását USB-meghajtón, és annak elindítását az USB-meghajtóról tetszőleges számítógépen. A Windows To Go használatával a Windows felhasználói a szükséges alkalmazásokat és fájlokat a Windows USBmeghajtón elhelyezett hordozható példányából nyithatják meg, ami lehetővé teszi a távoli munkavégzést. Kockázatbecslés Néhány szervezet lehetővé teszi munkatársainak a távolról vagy otthonról végzett munkát. Ez a kényelmes és rugalmas módszer növeli a felhasználók elégedettségét, egyúttal a költségek csökkentésére is alkalmas. Figyelembe kell azonban venni, hogy amikor felhasználó a távoli munkavégzéshez saját otthoni számítógépéről csatlakozik a vállalati hálózathoz VPN-kapcsolaton keresztül, megnövekedhet a kártevő szoftverek általi fertőzések veszélye. Ezenkívül az otthoni számítógépen tárolt bizalmas adatok nincsenek megfelelő védelemmel ellátva.

Kockázatminimalizálás A Windows 8 rendszergazdái a Windows To Go szolgáltatással indítható lemezképet hozhatnak létre USB-meghajtón a felhasználók távoli munkavégzésének egyszerűsítéséhez. A felhasználók az USBmeghajtóról indíthatják el a rendszert otthoni számítógépükön. Az USB-meghajtóról elindított rendszer nagyjából megfelel annak a rendszernek, amelyet a felhasználók a szervezetben használnak, valamint tartalmazhatja a biztonságos távoli kapcsolat létrehozásához szükséges alkalmazásokat és eszközöket is. Ilyen felhasználási helyzetben a Windows To Go előnyei a következők:  





Az otthoni számítógép helyi merevlemezei nem érhetők el az elindított Windows To Golemezképben. A hordozható Windows To Go rendszer biztonságosan titkosítható a BitLocker funkció használatával. A felhasználó csak a megfelelő jelszó vagy egyéb biztonsági adat megadásával férhet hozzá a rendszerhez. A Windows rendszer legújabb verziója az otthoni rendszer konfigurációjához hasonlóan állítható be úgy, hogy nincs szükség kiegészítő hardvereszközökre, és mindez nem jár többletköltséggel. A Windows To Go teljes hozzáférést biztosít a helyi perifériás eszközökhöz, például a nyomtatóhoz és az érintéssel vezérelt eszközökhöz.

A Windows To Go szolgáltatással kapcsolatos további tudnivalók a Windows To Go: Feature Overview59 című dokumentumban olvashatók a Microsoft Technet webhelyén.

59

http://technet.microsoft.com/library/hh831833.aspx

4.16.


Az alábbi lista a Microsoft.com webhelyen közzétett, a Windows 8 biztonságával foglalkozó dokumentumokat és további hasznos információforrásokat tartalmaz.                 

60

Active Directory Rights Management Services60 BCDEdit Commands for Boot Environment61 Best Practices for BitLocker in Windows 762 Best practices for the Encrypting File System63 BitLocker Drive Encryption Deployment Guide for Windows 764 BitLocker meghajtótitkosítás – áttekintés65 Boot Configuration Data in Windows Vista66 First Look: New Security Features in Windows Vista67 (általános tájékoztatás a Windows Vista SP1 biztonsági funkcióiról) How Setup Selects Drivers68 Microsoft Security Compliance Manager69 Office 2003 Policy Template Files and Deployment Planning Tools70 Step-By-Step Guide to Controlling Device Installation Using Group Policy71 The Encrypting File System72 Trusted Computing Group73 Windows BitLocker Drive Encryption Design and Deployment Guides74 Active Directory Rights Management Services75 Windows Vista Security and Data Protection Improvements76: „Data Protection”

http://go.microsoft.com/fwlink/?LinkId=153465 http://go.microsoft.com/fwlink/?LinkId=113151 62 http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx 63 http://support.microsoft.com/default.aspx?scid=kb;en-us;223316 64 http://go.microsoft.com/fwlink/?LinkId=140286 65 http://technet.microsoft.com/hu-hu/library/cc732774.aspx 66 http://go.microsoft.com/fwlink/?LinkId=93005 67 https://www.microsoft.com/technet/technetmag/issues/2006/05/FirstLook/default.aspx 68 http://msdn.microsoft.com/en-us/library/ff546228.aspx 69 http://go.microsoft.com/fwlink/?LinkId=113940 70 http://office.microsoft.com/en-us/assistance/HA011513711033.aspx 71 http://go.microsoft.com/fwlink/?LinkId=130390 72 http://www.microsoft.com/technet/security/topics/cryptographyetc/efs.mspx 73 http://www.trustedcomputinggroup.org/ 74 http://go.microsoft.com/fwlink/?LinkId=134201 75 http://go.microsoft.com/fwlink/?LinkId=153465 76 http://technet.microsoft.com/en-us/library/cc507844.aspx 61

5. Az alkalmazáskompatibilitás és a Windows 8 rendszerű számítógépek biztonsági szolgáltatásainak kapcsolata A Windows Vista megjelenése óta több változás is történt az alkalmazások és a rendszermag együttműködésének védelmében. Emiatt problémák adódtak az alkalmazások kompatibilitása terén. A Windows 8 rendszerben bevezettek egy új alkalmazástípust, amely az AppContainer tárolón alapul, de a Win32 alkalmazások architektúrájának modellje változatlan maradt. Ezért a használni kívánt szoftvereket ellenőrizni kell, hogy működnek-e a Windows 8 rendszerben. A Felhasználói fiókok felügyelete funkció (User Account Control – UAC) és a Windows Erőforrásvédelem funkció (Windows Resource Protection – WRP) okozhat olyan problémát, amely miatt a korább rendszerekhez fejlesztett alkalmazások nem fognak megfelelően működni a Windows 8 rendszerben.

5.1. Az alkalmazások tesztelése kompatibilitás szempontjából

a

Windows

8

rendszerrel

való

A kompatibilitás tesztelése alapvető fontosságú művelet, amelyet végre kell hajtani a szoftverek Windows 8 környezetben történő telepítése előtt. Az alkalmazások kompatibilitásának tesztelése a következő lépésekkel hajtható végre. 1. Telepítse a Windows 8 rendszert egy tesztelési célú számítógépre, és jelentkezzen be rendszergazdai fiók használatával. 2. Indítsa el a szoftver telepítését. 3. Ha a telepítőprogram hibát jelez, indítsa el „Futtatás rendszergazdaként” üzemmódban. Ha a művelet hiba nélkül befejeződik, folytassa az 5. lépéssel. 4. Ha újabb hibák fordulnak elő, a telepítőprogram tulajdonságaiban állítsa be a Windows XP Professional SP3 kompatibilitási mód használatát, és hajtsa végre újból a 2. lépést. Ha további hibákat tapasztal, folytassa a 7. lépéssel. 5. Jelentkezzen be olyan fiókkal, amely nem rendelkezik rendszergazdai jogosultságokkal. 6. Indítsa el az alkalmazást. Ha a rendszer hibaüzeneteket jelenít meg, engedélyezze a Windows XP Professional SP3 kompatibilitási módot, és indítsa újra az alkalmazást. 7. Ha az alkalmazás megfelelően elindult, tesztelje részletesen az adott alkalmazásban végezhető műveleteket. A tesztek sikeres végrehajtása esetén az alkalmazás megfelelően fog működni a Windows 8 rendszerben. 8. Ha az alkalmazást nem sikerült telepíteni, nem sikerült elindítani, illetve ha leáll a működése, vagy futás közben hibaüzeneteket jelenít meg, az kompatibilitási problémára utal, ezért a szoftver működésének további elemzésére van szükség.

5.2. A kiterjesztett adatvédelmi mechanizmusokkal kapcsolatos ismert alkalmazáskompatibilitási problémák Az alkalmazáskompatibilitási problémák előfordulásának néhány ismert oka is van. Ezeket a problémákat előidézhetik a Windows 8 beépített adatvédelmi mechanizmusai.

Felhasználói fiókok felügyelete Ez a funkció a Windows Vista, a Windows 7 SP1 és a Windows 8 rendszerben érhető el. Szerepe az, hogy elkülöníti az általános felhasználói jogosultságokat és az általános jogosultságot igénylő feladatokat azoktól, amelyekhez rendszergazdai hozzáférés szükséges. A Felhasználói fiókok felügyelete funkció növeli a biztonságot, így az általános jogú felhasználók több műveletet hajthatnak végre anélkül, hogy ezekhez rendszergazdai fiók használatára lenne szükségük. A mechanizmus szolgáltatásai közé tartozik a virtualizálás lehetősége a regisztrációs adatbázis és a fájlrendszer szintjén. Ez lehetővé teszi azon alkalmazások kompatibilitásának biztosítását, amelyek a regisztrációs adatbázis és a fájlrendszer védett területeit használják. A Windows erőforrásainak védelme A Windows Vista rendszerben bevezetett erőforrás-védelmi mechanizmus ugyanolyan módszerrel védi a regisztrációs adatbázis bejegyzéseit és mappáit, mint a kulcsfontosságú rendszerfájlokat. Az ezzel a mechanizmussal védett fájlokhoz hozzáférni próbáló alkalmazásoknál működési hibák fordulhatnak elő a Windows 8 rendszerben, ezért ilyen esetben meg kell változtatni az alkalmazások működési módját. Védett mód Az Internet Explorer 10 hozzájárul a kártevő programok és a működési zavarokat okozó egyéb alkalmazások elleni védekezéshez a Windows rendszerű számítógépeken. Amikor az Internet Explorer védett módban működik, csak a fájlrendszer és a regisztrációs adatbázis meghatározott részeit használja. A védett mód alapértelmezés szerint bekapcsolt az Internet Explorer 8 böngészőverziótól kezdődően, amikor a böngésző nem az intraneten és/vagy a megbízható webhelyek zónájában lévő webhelyhez próbál hozzáférni.

5.3. A Windows 8 operációs rendszerben végrehajtott változtatások és javítások A Windows 8 több olyan változtatást is tartalmaz, amely a más gyártóktól származó alkalmazások inkompatibilitását okozhatja. Ezek a következők: 





Új alkalmazásprogramozási felület (Application Programming Interface – API). A Windows Vista rendszerben bevezetett alkalmazásprogramozási felület a korábbiaktól eltérő módon biztosítja a programok közötti kommunikációt. Például az új API-n alapuló víruskereső szoftver és tűzfal erősebb védelmet biztosít, de a Windows 8 rendszerben működő alkalmazásoknak figyelembe kell venniük e szoftverek jelenlétét. 64 bites Windows A 16 bites alkalmazások és a 32 bites illesztőprogramok nem támogatottak a Windows 8 rendszer 64 bites környezetében. A regisztrációs adatbázis és a rendszerfájlok automatikus átirányítása csak a 32 bites alkalmazásokhoz érhető el. Ezért a 64 bites alkalmazásokat úgy kell megírni, hogy teljes mértékben megfeleljenek a Windows Vista, a Windows 7 SP1 és a Windows 8 alkalmazásaira vonatkozó szabványoknak. Az operációs rendszer verziója Előfordul, hogy a régebbi alkalmazások ellenőrzik a Windows verzióját. Ha olyan verziót észlelnek, amely különbözik a velük kompatibilis verziótól, akkor leáll a működésük. Ebben az

esetben egyetlen megoldás van, az ilyen alkalmazások kompatibilitási módban történő elindítása.

5.4.

A Windows 8 alkalmazáskompatibilitást biztosító eszközei

A Windows 8 több olyan eszközt is tartalmaz, amelynek szerepe az alkalmazáskompatibilitás biztosítása. Programkompatibilitási segéd A Programkompatibilitási segéd lehetővé teszi a Windows korábbi verzióihoz készült alkalmazások elindítását. Ha a Windows 8 olyan alkalmazást észlel, amely a Windows 2000, a Windows XP Professional SP3 vagy más Windows-verzióval való kompatibilitást igényel, automatikusan beállítja az alkalmazás megfelelő működési módját. A Programkompatibilitási segédet a rendszer indítja el automatikusan. Programkompatibilitási varázsló Ez a funkció egy könnyen kezelhető varázsló segítségével teszi lehetővé az alkalmazások kompatibilitási problémáinak meghatározását, a problémák okának felderítését és a megfelelő megoldás megkeresését. A programkompatibilitási varázsló a Vezérlőpult Programok moduljában, A Windows korábbi verzióihoz készült programok futtatása elemre kattintva indítható el. Alkalmazáskompatibilitási eszközkészlet Az alkalmazáskompatibilitási eszközkészlet (Application Compatibility Toolkit – ACT) olyan eszközök és dokumentumok gyűjteménye, amelyek segítségével a kompatibilitást biztosítva kezelhetők az alkalmazások a Windows 8 rendszerű környezetben. Az ACT-csomag lehetővé teszi a szoftverek számbavételét, a kritikus fontosságú alkalmazások kezelését, valamint a Windows 8 megfelelő beállítását biztosító megoldások meghatározását. A csomag ingyenes, a Microsoft webhelyéről tölthető le. Windows-virtualizálás A Windows rendszerekhez elérhető különféle virtualizálási megoldások lehetővé teszik az alkalmazások virtuális gépen belüli elindítását. Az alkalmazások virtuális platformra történő átvitele a funkcióik teljes kompatibilitását biztosítja.

6. Hyper-V kliens A Windows 8 részét képező Hyper-V technológia egy vállalati szintű virtualizációs technológia, amely a Windows Server 2012 környezet egyik fontos eleme. A virtualizálási megoldással lehetőség nyílik egy elkülönítetten működő másik operációs rendszer elindítására, amelyben szintén elérhetők a számítógép hardvereszközei, például a hálózati adapterek és a merevlemezek. A Hyper-V számos helyzetben alkalmazható, például az alkalmazások és informatikai megoldások teszteléséhez, valamint a kompatibilitás biztosításához.

6.1 A biztonsági funkciók konfigurációja A Hyper-V szerepkör telepítése után a számítógépen található összes operációs rendszer virtuális gépként indítható el. Ez arra a Windows 8 példányra is vonatkozik, amelyben a virtuális gépek létrehozása és kezelése történik. Ez a példány a szülő operációs rendszer. A Hyper-V funkció fő összetevője a hipervizor, amely a hardver és az operációs rendszer közötti programréteg. A hipervizor lehetővé teszi több operációs rendszer egyidejű futtatását ugyanazon a számítógépen. A virtuális környezetek védelménél két szempontot is figyelembe kell venni:  

a szülő operációs rendszer biztonságát, a virtuális gépek biztonságát.

6.1.1

A szülő operációs rendszer védelme

A számítógépes környezet módosításakor mindig ügyelni kell az általános biztonság növelésére. Például külön hálózati adapterek telepíthetők az operációs rendszerre vonatkozó kezelési műveletek és a virtuális gépek elkülönítéséhez, valamint azért, hogy a virtuális gépek is hozzá tudjanak férni a logikai adattárolókhoz. A Hyper-V funkció tartalmazza a Hyper-V kezeléséhez szükséges eszközöket:  

a Hyper-V konzol beépülő modult és a Windows PowerShell Hyper-V modulját.

A Windows PowerShell Hyper-V moduljának használatával a jogosult rendszergazdák távolról is kezelhetik a Hyper-V funkciót használó kiszolgálókat. Hyper-V hálózatok A Hyper-V kliens lehetővé teszi különböző típusú virtuális hálózati kapcsolók konfigurálását, amelyekkel létrehozható a virtuális gépek közötti kommunikációt biztosító megoldás. A Hyper-V kliensben a következő típusú virtuális kapcsolók használhatók: 



Külső A külső virtuális kapcsoló lehetővé teszi a fizikai hálózati adapteren keresztüli kommunikációt, így mindegyik virtuális gép hozzá tud férni a fizikai hálózathoz. Belső



A belső virtuális kapcsolót csak az adott számítógépen elindított virtuális gépek használhatják. Szerepe a virtuális gépek és a fizikai számítógép közötti kommunikáció lehetővé tétele. A belső virtuális kapcsoló nem biztosít kapcsolatot a fizikai hálózattal. Magánjellegű Ezt a kapcsolót csak az adott számítógépen elindított virtuális gépek használhatják.

A dedikált adattárak védelme Az egyes virtuális gépek konfigurációs adatait tartalmazó fájlok alapértelmezés szerint a következő helyen találhatók: %ProgramData%\Microsoft\Windows\Hyper-V A virtuális gépek konfigurációs fájljainak mérete viszonylag kicsi, ezért az alapértelmezett hely az esetek többségében elfogadható. A VHD-fájlok lehetnek dinamikusak vagy állandó méretűek. A dinamikus *.vhdx-fájlok mérete az adatcsere folyamán növekszik. Az állandó méretű fájlok állandó hozzáféréssel rendelkeznek a létrehozásuk során deklarált teljes mérethez. Például egy 80 GB méretű dinamikus lemez csak az adatok által ténylegesen igényelt helyet foglalja el. Az állandó méretű lemez azonban folyamatosan a megadott méretű területet foglalja el a fizikai lemezen. A megfelelő teljesítmény biztosításához, valamint a szabad terület váratlan elfogyásának elkerüléséhez állandó méretű lemezeket célszerű használni. Az alapértelmezett .vhdx-fájlok a %users%\Public\Documents\Hyper-V\Virtual Hard Disks mappában találhatók. A fenti elérési út megváltoztatható a Hyper-V funkció kezelőjében. Másik mappa választása esetén ellenőrizni kell a kívánt mappára vonatkozó engedélyeket (lásd az alábbi táblázatot). Objektum Rendszergazdák

Engedélyek

Hatókör

Teljes hozzáférés

Adott mappa, almappák és fájlok

Létrehozó tulajdonos

Teljes hozzáférés

Csak az almappák és a fájlok

Virtuális gépek

Fájlok létrehozása, adatok írása Mappák létrehozása, adatok hozzáfűzése

Adott mappa, almappák és fájlok

Rendszer

Mappa listázása, adatok olvasása Attribútumok olvasása Kiterjesztett attribútumok olvasása Engedélyek olvasása

A kezelés egyszerűsítéséhez az összes konfigurációs fájl, virtuális lemez-fájl, VFD-fájl és ISO-fájl külön mappákban tárolható ugyanazon a köteten. Ehhez a megoldáshoz használható például egy ilyen struktúra:  

V:\Virtualizálási erőforrások\Virtuális gépek V:\Virtualizálási erőforrások\Virtuális merevlemezek

 

V:\Virtualizálási erőforrások\Virtuális hajlékonylemezek V:\Virtualizálási erőforrások\ISO-fájlok

A víruskereső szoftver Hyper-V szerepkört használó operációs rendszerben történő telepítésekor a valós idejű vizsgálatból ki kell zárni azokat a mappákat, amelyek a virtuális gépek fájljait tartalmazzák, valamint a vmms.exe és a vmwp.exe programot tartalmazó C:\Windows\System32 mappát. Ha ezeket a mappákat nem zárják ki a víruskereséséből, problémák fordulhatnak elő a virtuális gépek létrehozásakor és elindításakor. 6.1.2

A virtuális gépek biztonsága

Több virtuális gép használata esetén a biztonság megőrzéséhez néhány további konfigurációs beállítás használatára van szükség. Ezek egy része a virtuális gép szintjén adható meg, a többi pedig a Hyper-V kezelőjében. A virtuális gépek konfigurálása Az alábbiakban olvashatók a Hyper-V funkciót használó, Windows 8-as számítógépeken létrehozott virtuális gépek konfigurálására vonatkozó javaslatok. 













Meg kell határozni a virtuális gépek fájljait és a VHD-fájlokat tároló helyet. A virtuális gépek fájljait és a VHD-fájlokat tároló helyet úgy kell kiválasztani, hogy a választott hely a lehető legbiztonságosabb legyen. Nem szabad megfeledkezni arról, hogy az ezen adatokhoz való hozzáférés gyakorlatilag egyenértékű a virtuális gépek konfigurációjához és tartalmához való hozzáféréssel. Meg kell határozni a virtuális gépekhez rendelendő memória méretét, valamint a processzorhasználat küszöbértékét százalékban. A virtuális gépek által igénybe vehető memória és a processzorhasználat korlátozásával fenntartható a környezet megfelelő hozzáférhetősége és teljesítménye. Csak a szükséges háttértárolók hozzáférését célszerű engedélyezni. A virtuális gépeket úgy kell beállítani, hogy csak a szükséges háttértárolókhoz férjenek hozzá, mert ezzel megakadályozható az olyan adatok elérése, amelyeket például nemkívánatos szoftverek telepítésére lehetne felhasználni. Engedélyezni kell az időszinkronizálást. Az időszinkronizálás a környezet megfelelő és biztonságos konfigurációjának egyik alapeleme, amelyre például a hozzáférési szabályok megadásakor van szükség. Ennek biztosításához telepíteni kell az integrációs szolgáltatásokat a virtuális gépekhez. A virtuális gépeket úgy kell konfigurálni, hogy megközelítőleg azonos biztonsági szinten legyenek az adott számítógépen. A virtuális gépek ugyanolyan veszélyeknek vannak kitéve, mint a fizikai számítógépek. Ezért az adott számítógépen elindított valamennyi virtuális gép biztonsági szintjét közel azonosra kell beállítani. Törölni kell a feleslegessé vált VHD-fájlokat, ha bizalmas adatokat tartalmazhatnak. A fontos és bizalmas adatokat tároló virtuális gépek esetében be kell állítani a feleslegessé váló VHD-fájlok törlését. Ehhez az SDelete v.1.61 eszköz használható (http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx). Gondosodni kell a pillanatképek biztonságos tárolásáról.

A pillanatkép a virtuális gép állapotáról meghatározott időpontban készített másolat, amelynek segítségével visszaállítható a virtuális gép rögzített állapota.

7. Irányítás, kockázatkezelés és az informatikai szabványoknak való megfelelés (IT GRC) Az Irányítás, a kockázatkezelés és az informatikai szabványoknak való megfelelés (Governance, Risk Management and Compliance – GRC) rendszere magában foglalja a teljes infrastruktúrát alkotó személyeket, folyamatokat és technológiákat, és a következő előnyöket nyújtja a szervezeteknek: • A kockázatok csökkentése • Az üzleti folyamatok egységesítése • A hatékonyság növelése • Az erőforrások felszabadítása • A változások kezelésének elősegítése Ez a fejezet azt mutatja be, hogyan használhatók a Microsoft-termékek a rendszer alapszintbeállításaival összefüggésben a Microsoft System Center Service Manager 2012 rendszerhez készült IT Governance, Risk, and Compliance (IT GRC) Process Management Pack (PMP) segítségével olyan módon, hogy az irányítás, a kockázatkezelés és az informatikai szabványoknak való megfelelés rendszerének alkalmazása előnyös legyen az IT GRC rendszert támogató szervezetek számára. A Process Management Pack a System Center Service Manager termékhez tartozó felügyeleti csomag, amely az IT-menedzsment folyamatainak végrehajtását segíti elő olyan előírások, nemzetközi szabványok és bevált gyakorlati eljárások alapján, mint a Microsoft Operations Framework (MOF) és az Information Technology Infrastructure Library (ITIL). Az IT GRC Process Management Pack és a rendszer alapbeállításai együttesen hozzájárulnak a kliensszámítógépek és a kiszolgálók megfelelőségét biztosító folyamat automatizálásához. A GRC rendszert támogató Microsoftmegoldásokkal kapcsolatos további információk a Compliance Solution Accelerators77 ismertetőkben olvashatók a Microsoft Solution Accelerators útmutatóit tartalmazó webhelyen. Az alábbi ábra az IT GRC elhelyezkedését szemlélteti a szervezet kockázat- és megfelelőségkezelési struktúrájában. Az IT GRC Process Management Pack kizárólag az IT GRC rendszerre összpontosít, a szervezet egyéb kockázat- és megfelelőségkezelési szempontjainak figyelembevétele nélkül.

77


Teljes szervezet kockázat- és megfelelőségkezelése Vállalati GRC

Pénzügyi terület kockázat- és megfelelőségkezelése

IT terület kockázat- és megfelelőségkezelése

Pénzügyi GRC

IT GRC

Szervezet üzleti tevékenységeinek kockázatés megfelelőségkezelése Üzletviteli GRC

IT GRC ITtevékenységek

Információkezelés

Minőségnövelés és minőségellenőrzés

Beruházási portfólió és szervezeti architektúra \

IT-folyamatok

IT-menedzsment és biztonság

7.1. ábra: Az IT GRC elhelyezkedése a szervezet kockázat- és megfelelőségkezelési struktúrájában

7.1.

Bevezetés

Ez a fejezet a System Center Service Manager termékhez készült IT GRC Process Management Pack csomag alkalmazására vonatkozó további forrásokat ismerteti. A témához kapcsolódó további tudnivalók a következő útmutatókban találhatók: •

IT GRC Process Management Pack Deployment Guide. Ez az útmutató az IT GRC Process Management Pack telepítési folyamatát ismerteti.

•

IT GRC Process Management Pack Operations Guide. Ez az útmutató az IT GRC Process Management Pack használatára, valamint a saját csomagok létrehozására vonatkozó információkat tartalmaz.

•

IT GRC Process Management Pack Developers Guide. Ez az útmutató azzal foglalkozik, hogyan konfigurálható az IT GRC Process Management Pack a szervezet igényeinek megfelelően.

A felsorolt útmutatók a Microsoft Letöltőközpontjából, a IT GRC Process Management Pack SP1 for System Center Service Manager 78 weblapjáról érhetők el. A témához kapcsolódó további információkat a következő források tartalmaznak: •

IT Compliance Management Library Deployment Guide, amely az IT-szabványoknak való megfeleléssel foglalkozó valamennyi gyűjteményben megtalálható. Ez az útmutató az IT GRC Process Management, valamint a Microsoft System Center Configuration Manager konfigurációs csomagjainak telepítésével foglalkozik. Microsoft System Center Service Manager79. Microsoft System Center Configuration Manager80.

• •

7.2.

Az IT GRC PMP áttekintése

Az IT GRC Process Management Pack olyan információkat tartalmaz, amelyek elősegítik az IT GRC folyamat kezelési lehetőségeinek és módszereinek alkalmazását a szervezetben, és bemutatja a folyamat automatizálásának lehetőségeit. Az IT GRC Process Management Pack lehetőséget nyújt olyan szabványokat tartalmazó megfelelőségi gyűjtemények importálására, amelyek felhasználhatók a szervezet IT GRC folyamatával szemben támasztott követelmények ellenőrzőpontjainak meghatározására. Az IT GRC Process Management Pack csomaghoz kapcsolódó megfelelőségi gyűjtemények meghatározzák az IT GRC felettes szervei által kiadott dokumentumoknak való megfelelés biztosításához használandó ellenőrzőpontokat, alapul véve az általános IT GRC-irányelveket kidolgozó nemzetközi, kormányzati és iparági intézmények előírásait. Ezek a dokumentumok irányelveket tartalmaznak, valamint meghatározzák a különböző szektorokhoz tartozó szervezetek és intézmények üzleti folyamataira és technológiáira vonatkozó követelményeket. A System Center-termékekhez kapcsolódó további felügyeleti csomagok és információk a Microsoft System Center Marketplace81 webhelyén érhetők el. Ezek a csomagok integrált megoldásokat és automatizálási lehetőségeket kínálnak, amelyek hozzásegítik a szervezeteket a GRC-követelmények megfelelő teljesítéséhez. A System Center Service Manager, a System Center Configuration Manager és System Center Operations Manager integrációjának előnyei: 

78

Ezek a megoldások hatékony módszert kínálnak a telepített Microsoft-termékek megfelelőségi állapotának figyeléséhez és ellenőrzéséhez, valamint az ehhez kapcsolódó jelentések létrehozásához.

http://go.microsoft.com/fwlink/?LinkId=201578 http://go.microsoft.com/fwlink/?LinkId=155958 80 http://go.microsoft.com/fwlink/?LinkId=206193 81 http://go.microsoft.com/fwlink/?LinkId=82105 79



A felsorolt megoldások együttes alkalmazása elősegíti a szervezeti infrastruktúra által teljesítendő összetett üzleti célok megértését és összekapcsolását.

Alább látható az IT GRC Process Management Pack megoldást bemutató sematikus ábra.

7.2.1. ábra: Az IT GRC Process Management Pack megoldás

A vezetők és az ellenőrök az IT GRC Process Management Pack jelentései alapján elemezhetik és értékelhetik a szervezet IT GRC-folyamatainak megfelelőségét. Ennek a felhasználócsoportnak általában csak olvasási hozzáférésre van szüksége, valamint arra, hogy jelentéseket tudjon készíteni a GRC Process Management Pack által kezelt információkról. A bemutatott megoldásban az IT Compliance Manager és az informatikusok irányítják az IT GRC megfelelőséget biztosító centralizált folyamatot a Service Manager Console használatával. Ez az eszköz lehetővé teszi az IT Compliance Manager szerepkört betöltő személynek több IT GRC program, valamint a kitűzött ellenőrzési célok kezelését, amelyek a felettes szervek által kiadott dokumentumokban foglalt irányelvekre és követelményekre vonatkoznak. Az informatikusok a központi eszköz használatával felmérhetik az IT GRC megfelelőségének terén elért eredményeket az IT GRC rendszerben meghatározott ellenőrzési célok esetében. A megfelelőségi teszteket a következő módokon lehet végrehajtani: 



Automatikusan. A System Center Configuration Manager és az IT CML Configuration Pack csomagokban szereplő funkció, az elérni kívánt konfiguráció kezelése (Desired Configuration Management – DCM) teszi lehetővé a megfelelőségi eredmények elérését az automatizált ellenőrzési célok esetében. Az automatikus ellenőrzési célok jelentősen csökkentik az IT GRC megfelelőség eléréséhez szükséges munka mennyiségét. Manuálisan. Az informatikusok kézi módszerrel értékelhetik a megfelelőség eredményeit:  Technológia: Az IT GRC megfelelőség olyan beállításai, amelyek nem mérhetők fel automatikus módszerekkel.  Folyamatok: A szervezetben alkalmazott IT GRC-folyamatok, például a szervezet működésen kívül helyezendő rendszereiben található bizalmas adatok helyes és biztonságos eltávolítása.  Emberek: A munka ergonómiai szempontjai az IT GRC megfelelőség területén, például a munkatársak alapos ellenőrzése a bizalmas adatokhoz való hozzáférés engedélyezése előtt.

A System Center Service Manager és a System Center Configuration Manager terméken alapuló integráció alkalmazása a következő funkciókat és előnyöket nyújtja: 





A System Center Configuration Manager elemzi a kezelt erőforrások létrehozni kívánt konfigurációját és ezek tényleges konfigurációját az összetevő konfigurációjának szintjén elhelyezett DCM-csomagok használatával, hogy biztosítsa az ellenőrzési célok elérését. A Service Manager CMDB adatbázisában (konfigurációkezelési adatbázisában) található konfigurációs összetevő automatikusan feltölthető a System Center Configuration Manager által szolgáltatott adatokkal. Az automatizált ellenőrzési célok elvégzett megfelelőségi tesztjei frissíthetők a Service Manager CMDB adatbázisában.

A System Center Service Manager termék lehetővé teszi saját csatolók létrehozását és használatát, amelyek segítségével más rendszerekre irányuló kapcsolatok definiálhatók, így a szervezet más rendszereiből is összegyűjthetők a megfelelőséggel kapcsolatos információk. Ez a funkció kibővíti a tesztek automatizálásának és az előzőleg definiált ellenőrzési célokból származó eredmények összegyűjtésének folyamatát.

7.3.

Az IT GRC PMP használatának előnyei

Az IT GRC Process Management Pack, az IT Compliance Management Libraries, a System Center Service Manager és a System Center Configuration Manager által kínált megoldás, a megfelelőségkezelési folyamat és a kockázatkezelés a következő lehetőséget és előnyöket nyújtja: 

















Az üzleti célok közvetlen leképezése az IT GRC céljaira és tevékenységeire: Ez a mechanizmus megkönnyíti a vezetők által meghatározott üzleti célok hozzárendelését az informatikai osztály megfelelőségi programjának céljaihoz és tevékenységeihez. Ez a megoldás a következőket kínálja:  Tartalmaz egy több ezer dokumentumból álló gyűjteményt. Ezek a dokumentumok a megfelelőség témakörével foglalkoznak, tartalmuk hivatalos dokumentációkból származik, és az ellenőrzési céloknak megfelelően egységesített gyűjteményt alkotnak.  Tartalmaz egy megfelelőségi gyűjteményt, amelyben ellenőrzési célok, műveletek és beállítások találhatók a Microsoft kulcsfontosságú termékeihez, az új Windows 8 rendszerhez és a Windows Server 2012 rendszerhez frissített konfigurációs alapszintek gyűjteményének formájában. A szabványoknak való megfelelés szintjének emelése: A felhasználók az IT GRC Process Management Pack jelentéseinek segítségével könnyen azonosíthatják a nem megfelelő elemeket. Az IT GRC programok kezelésének központi irányítása: A szervezetek több IT GRC megfelelőségi programot is kezelhetnek, egyszerre teljesítve több hivatalos dokumentum követelményeit. Az IT GRC Process Management Pack olyan ellenőrzési funkciót tartalmaz, amely kiterjed a hivatalos dokumentumok összes forrására, kiküszöbölve ezzel a gyenge teljesítmény problémáját az egymást átfedő szabályozások esetében. Az iparágban bevált gyakorlati eljárások alkalmazása a folyamatok kezeléséhez: Az IT GRC PMP részét képező folyamatok a MOF és az ITIL alapján készültek, és az eseménykezeléshez és a változáskezeléshez alkalmazható legjobb eljárásokat biztosítják. A munkamennyiség csökkentése: A tesztek automatizált folyamata, amely figyelembe veszi a System Center Configuration Manager DCM funkcióját, csökkenti a manuálisan elvégzendő műveletek mennyiségét a szabványoknak való megfelelést ellenőrző tesztek végrehajtásakor. Az ellenőrzési és a jelentéskészítési költségek csökkentése: A szabványoknak való megfelelés állapotát ellenőrző tevékenységek előkészítésére és végrehajtására fordított munka mennyiségének csökkenése egyúttal a vizsgálatok előkészítéséhez kapcsolódó költségeket is csökkenti. A kockázat minimalizálása: A felhasználók könnyen azonosíthatják a nem megfelelő elemeket, így menet közben tudják kezelni a felmerülő kockázatot, ami a megfelelőség biztosításához kapcsolódó kockázat csökkenését eredményezi. Az üzletvitel szükséges változtatásainak megkönnyítése: Az üzleti tevékenységek gyakori változtatásokat igényelnek. Az ismertetett megfelelőségkezelési megoldás segítségével felderíthetők a kezelt infrastruktúrában végbemenő változások, és alkalmazhatók a szükséges megfelelőség-ellenőrzési mechanizmusok. Felkészülés a külső vizsgálatokra: Az IT Compliance Management Pack előzetesen definiált jelentései az ellenőrök által vizsgált szabványoknak való megfelelésre vonatkozó információkat tartalmaznak. E jelentések segítségével a szervezetek gyorsan és könnyen



megjeleníthetik a szabványoknak való megfelelés állapotát az ellenőrök, a tanácsadók vagy a vállalatvezetés kérésére. Korrekciós műveletek végrehajtása a nem megfelelő elemek helyesbítéséhez: Az IT GRC Manager szerepkört betöltő személyek azonosítani tudják a konfiguráció nem megfelelő beállításait, és az eseménykezelési és -követési folyamat használatával egyszerűen kiadhatják az informatikusoknak a konfiguráció szabványos állapotúra történő módosításának feladatát.

7.4.

Fogalommeghatározások

Az alábbi táblázat az IT GRC Process Management Pack használata kapcsán felmerülő fogalmakat ismerteti. Fogalom

Leírás

Az irányításra, a kockázatkezelésre és az informatikai szabványoknak való megfelelésre vonatkozó szabályozások (angol kifejezés: GRC authority document)

A GRC területére vonatkozó szabályozásokat tartalmazó dokumentumok, amelyek a hatóságok által közzétett követelményeket írják le rendelkezések, irányelvek, szabványok és szervezeti szabályok formájában. A GRC-szabályozások magukban foglalhatják a kockázatminimalizálásra vonatkozó követelményeket, amelyek megadják a konfiguráció vagy a felhasználó részletes vagy általános leírását, illetve más olyan paraméterek leírását, amelyek a szervezetre, a munkatársakra, az üzleti folyamatokra és a technológiára vonatkoznak. Bár a különböző szabályozások ugyanazokat a szempontokat veszik sorra a megfelelőséggel kapcsolatos kockázatok terén, ezek a dokumentumok más-más perspektívából világítják meg a gyakran eltérő kockázatminimalizálási stratégiákat és követelményeket. A GRCszabályozások által megfogalmazott követelmények ellenőrzési célokat szolgálnak, és azon ellenőrzési tevékenységekre vonatkoznak, amelyek azt biztosítják, hogy a kapcsolódó kockázatok minimalizálása megfelelő és megalapozott módon történjen. Az IT GRC Process Management Pack a megfelelő szabályozásokból származó ellenőrzési célokat tartalmaz, amelyek teljesítik az előírt követelményeket. A szabályozások pénzügyi, adatvédelmi és egészségvédelmi területekre is kiterjednek, hivatkoznak például a Sarbanes–Oxley (SOX) törvényre, az Európai Unió adatvédelmi irányelvére (European Union Data Protection Directive – EUDPD), valamint az egészségügyi biztosítás hordozhatóságáról és felelősségre vonhatóságáról szóló határozatra (Health Insurance Portability and Accountability Act – HIPAA). Az IT GRC Process Management Pack részét képező szabályozások teljes listája a Library szakaszban található (Service Manager konzol, Library | Authority Documents). A kockázatok, az ellenőrzési célok, a tevékenységek és a megfelelőségi eredmények készletét definiálja. A program a felhasználói szerepkört, valamint a szerepkörhöz tartozó megfelelő engedélyek definiálásával a megadott hatókörre érvényes jogosultságokat is meghatározza. A megadott hatókörök lehetővé teszik a programmenedzser szerepét betöltő személynek a kockázatkezelést és az ellenőrzést az adott program keretein belül. A programok segítségével meghatározható az egy vagy több szabályozásnak való megfelelés, valamint az IT GRC kezelési

Program

Ellenőrzési célok (angol kifejezés: Control objectives)

Hivatkozás a hatóságok által kiadott szabályozási dokumentumokra (angol kifejezés: Authority document citation) Ellenőrzési tevékenységek (angol kifejezés: Control activities)

Kockázat (angol kifejezés: Risk)

Küszöbérték (angol kifejezés: Threshold) Jóváhagyási munkafolyamat (angol kifejezés: Approval workflow) Automatizálás (angol kifejezés: Automation) Ellenőrzési tesztek eredményei (angol kifejezés: Managed entity result)

programhoz kapcsolódó kockázat. A GRC-szabályozásokban található követelmények és irányelvek részletes leírása. Ellenőrzési célokat követelményként előírhat egy vagy több szabályozáskészlet egy vagy több ellenőrzési tevékenység végrehajtásához. Az ellenőrzési célok leírásában található utalás, amely a kötelező érvényű utasítások és szabályozások egy vagy több meghatározott követelményére vonatkozik.

A termék konfigurálásának és használatának részletesen leírt, megvitatható lépései, amelyeknek meg kell felelniük az ellenőrzési célokban meghatározott követelményeknek. Az ellenőrzési tevékenységek egy vagy több ellenőrzési célt foglalhatnak magukban. Olyan helyzet vagy veszély előfordulásának lehetősége, amely hatással lehet az adott szervezet kitűzött üzleti vagy informatikai céljainak elérésére. A kockázat a „hatás” vagy a „valószínűség” kifejezés használatával mérhető. A kockázat fogalma az ellenőrzési célokhoz, az ellenőrzési tevékenységekhez és más kockázatokhoz kapcsolódik. A program keretében kezelt egységekre vonatkozó, százalékban kifejezett minimális érték, amelyet el kell érni az ellenőrzési tevékenységnél, hogy az egységek megfelelőnek minősüljenek. Folyamat, amely jóváhagyja az IT GRC PMP által kezelt egységek összes módosítását. A módosításokat általában ugyanaz a jóváhagyási folyamat hajtja végre, mint a System Center Service Manager által igényelt módosítások esetében. Az IT GRC megfelelőség eredményeit automatikusan összegyűjtő ITösszetevők használata egy vagy több ellenőrzési cél által igényelt feladatok vagy lépések végrehajtásához. A kezelt egységre, például egy meghatározott számítógépre vonatkozóan végrehajtott megfelelőségi tesztek eredményei.

7.4.1. táblázat: Az IT GRC fogalmai

7.5.

A megfelelőségi folyamat életciklusa az IT GRC PMP csomagban

Az IT GRC Process Management Pack, a System Center Service Manager és a System Center Configuration Manager zárt és teljes életciklust biztosít az IT-megfelelőség folyamatának kezeléséhez. A megfelelőség életciklusa a folyamatokat és az ismereteket integrálja azzal a mechanizmussal, amely leképezi a kötelező utasításokat és szabályozásokat a meghatározott termékek konfigurációjára és tevékenységeire, majd ellenőrzési jelentések létrehozásával nyomon követi azok változásait. Az alábbi ábra bemutatja az IT-megfelelőség életciklusa által érintett személyek fő feladatait és kötelességeit a folyamat egyes lépéseiben.

Az IT GRC előírásainak azonosítása, figyelembe véve a hatályos jogszabályokat, a szabályozásokat, a szabványokat, a szerződéseket és az irányelveket

1

2

8

Az IT GRC-megfelelőség állapotát leíró jelentések áttekintése Vezetők

7

A szervezet által az IT GRCmegfelelőség biztosításához végrehajtott tevékenységek ellenőrzése

Az IT GRC-előírások alkalmazási lehetőségeinek meghatározása

Az IT GRC program ellenőrzési céljainak és tevékenységeinek megtervezése a szabályozások és az utasítások követelményeinek megfelelően

3

A szervezet technológiáira és folyamataira alapuló tevékenységek konfigurálása és használata a szabályozásoknak és az utasításoknak való megfelelés eléréséhez

4

Ellenőrök

IT-megfelelőségért felelős tisztviselő

6

A szervezet IT GRCmegfelelőségi állapotát leíró jelentések létrehozása

5

Az IT GRC-megfelelőség állapotának felmérése a szervezetben Informatikusok

A szabványoknak való megfelelés kezelése

Felügyelt számítógépek

7.5.1. ábra: Az IT-megfelelőség életciklusa által érintett személyek fő feladatai és kötelességei

Megjegyzendő, hogy az IT-megfelelőség 7.5.1. ábrán bemutatott életciklusa a felső vezetési szinten definiált, és pontosan, de szándékosan egyszerűsített formában jelzi az egyes szerepkörök közötti folyamatokat. A munkatársaknak kommunikálniuk kell egymással az IT GRC által meghatározott követelmények következő tulajdonságaival kapcsolatban: Alkalmazható: Ez a tulajdonság azon kötelező utasítások és szabályozások által támasztott követelmények felismerésének folyamatára vonatkozik, amelyek jelentősek és lényegesek a szervezet számára. Például a Payment Card Industry Data Security Standard (PCI DSS) szabvány azoknak a szervezetnek fontos, amelyek bankkártyát használó személyekkel folytatnak üzleti tevékenységet, és a bankkártyákon tárolt adatokat az informatikai infrastruktúrájuk keretein belül dolgozzák fel. Elegendő: Ez a tulajdonság a kötelező szabályozások által támasztott követelmények felismerésének folyamatára, valamint annak meghatározására vonatkozik, hogy az adott szabályozások elegendőeke, és biztosítani tudják-e a megfelelőséget. Például a jelszavak minimális hosszúságának 8 karakterre történő beállítása az összes felhasználóra vonatkozóan eleget tesz minden kötelező és alkalmazott szabályozásnak. Indokolt: Ez a tulajdonság a kötelező szabályozások által támasztott követelmények felismerésének folyamatára, valamint annak meghatározására vonatkozik, hogy az adott szabályozások jogosak-e, ésszerűek-e és alkalmasak-e a gyakorlati használatra. Például a 16 karakteres minimális jelszóhosszúság megkövetelése technikailag megvalósítható lehet, ám nem feltétlenül praktikus abból a szempontból, hogy megnehezíti a jelszavak megjegyzését. Az IT GRC használatával, valamint az IT-szolgáltatások és a különböző IT-szerepkörök életciklusával kapcsolatos további tudnivalók a Governance, Risk, and Compliance Service Management Function82 című dokumentumban olvashatók (az információ a MOF 4.0 verzióra vonatkozik).

7.6.


Az alábbi lista a Microsoft.com webhelyen közzétett, a Windows 8 biztonságával foglalkozó dokumentumokat és további hasznos információforrásokat tartalmaz.      

82

Compliance Solution Accelerators83 Governance, Risk, and Compliance Service Management Function 84 (a MOF 4.0 verzió alapján) IT GRC Process Management Pack SP1 for System Center Service Manager85 Microsoft System Center Marketplace86 System Center Configuration Manager87 System Center Service Manager88

http://go.microsoft.com/fwlink/?LinkId=115630 http://go.microsoft.com/fwlink/?LinkId=199861 84 http://go.microsoft.com/fwlink/?LinkId=115630 85 http://go.microsoft.com/fwlink/?LinkId=201578 86 http://go.microsoft.com/fwlink/?LinkId=82105 87 http://go.microsoft.com/fwlink/?LinkId=206193 88 http://go.microsoft.com/fwlink/?LinkId=155958 83



System Center Service Manager Engineering Blog89

8. Gyakorlati útmutató a Security Compliance Manager (SCM) használatához A Microsoft Security Compliance Manager (SCM)90 a Microsoft Solution Accelerators gyűjteményben elérhető ingyenes eszköz, amely lehetővé teszi a számítógépek gyors konfigurálását és a beállítások kezelését a csoportházirendek és a System Center Configuration Manager használatával. Az SCM telepítésre kész csoportházirendeket, valamint teljeskörűen tesztelt és támogatott elvárt konfigurációs csomagokat (Desired Configuration Management Pack) tartalmaz. Ezek az összetevők a jelen útmutatóban található ajánlásokon és az éles környezetekben alkalmazható bevált gyakorlati eljárásokon alapulnak, emellett lehetővé teszik az egyéni igényekhez igazított konfigurálást is. Az SCM eszköz használatának előnyei Együttműködés a System Center 2012 Process Pack for IT GRC rendszerrel: A Process Pack for IT GRC csomagok beépítetten tartalmazzák a termékek konfigurációs beállításait, ami lehetővé teszi az ajánlásoknak való megfelelést biztosító tevékenységek figyelését és az azokra vonatkozó jelentések készítését. Elsődleges támogatási forrás: A beállítások importálási funkciója lehetővé teszi a csoportházirendek teljes körű felhasználását egy maximális védelmet nyújtó mintaszámítógép létrehozásához. Különálló számítógépek konfigurációja: A tartományhoz nem csatlakozó számítógépeken is telepíthetők a megfelelően módosított konfigurációs beállítások az új GPO Pack funkció használatával. Legújabb biztonsági irányelvek: Elősegítik a biztonsággal kapcsolatos szempontok alapos megismerését, valamint a biztonsági útmutatóban található irányelvekben ajánlott bevált gyakorlati eljárások alkalmazását. Segítséget nyújtanak a Windows rendszerek elleni támadások felületének csökkentéséhez, ami hozzájárul az információ- és kommunikációtechnológia területén jelentkező kockázatok minimalizálásához is. A konfigurációs alapszintek központi kezelése a Microsoft teljes termékkínálatában: Az SCM program központi konzolja egységes és átfogó környezetet kínál a konfigurációs alapszintek tervezéséhez, igény szerinti módosításához és exportálásához. Ez az eszköz teljes hozzáférést biztosít a kliensrendszerek, a Windows-kiszolgálók és az alkalmazások ajánlott alapkonfigurációjához. Az SCM követi az új konfigurációs alapszintek kiadását, így naprakészen frissíthetők a konfigurációs alapszintekre vonatkozó irányelvek és ajánlások.

89

http://blogs.technet.com/servicemanager/ http://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-managerscm-en-us.aspx 90

A konfigurációs alapszint-beállítások módosítása az egyéni igényeknek és irányelveknek megfelelően: Egyszerűbbé és könnyebben kezelhetővé vált a konfigurációs alapszintek módosításának, összehasonlításának, összekapcsolásának és áttekintésének folyamata. A konfigurációs alapszint-beállítások testreszabási lehetőségével az SCM eszközben gyorsan elkészíthető egy meghatározott beállításkészlet másolata, majd a beállítások az adott szervezetben érvényes irányelveknek és szabványoknak megfelelően módosíthatók. A beállítások exportálása többféle formátumban: A konfigurációs alapszintek a következő formátumokban exportálhatók: XLS, csoportházirend-objektumok (GPO), DCM-csomagok (Desired Configuration Management), és SCAP (Security Content Automation Protocol). Az exportálás további lehetőséget nyújt a beállítások telepítésének automatizálására, valamint az ajánlásoknak való megfelelésük figyelésére. Konfigurációs alapszintkészletek a következő termékekhez elérhetők:             

Windows Server 2012 Windows 8 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 Windows Server 2003 SP2 Hyper-V Windows 7 SP1 Windows Vista SP2 Windows XP SP3 BitLocker meghajtótitkosítás Internet Explorer 10, Internet Explorer 9, Internet Explorer 8 Microsoft Office 2010 SP1, Microsoft Office 2007 SP2 Exchange Server 2010 SP2 és Exchange Server 2007 SP3.

Az SCM programhoz kapcsolódó fogalmak: Alapszint: Az SCM program konfigurációs alapszintkészleteket használ, amelyek a konfigurációelemeknek (Configuration Items – CI) nevezett programok beállításgyűjteményét tartalmazzák. CCE-azonosító (Common Configuration Enumeration): Olyan egyedi azonosítószám, amely közvetlenül a rendszerkonfiguráció meghatározott problémaleírásához kapcsolódik. Ez a leírás részletes adatokat tartalmaz a konfiguráció megváltoztatásának módjára vonatkozóan, valamint közli a beállításkulcsok, a fájlok és a csoportházirend-beállítások ajánlott vagy kötelező beállítási értékeit. DCM-konfigurációcsomag: A Microsoft System Center Configuration Manager rendszer Desired Configuration Management (DCM) funkciójában használt konfigurációelemek, amelyek a számítógép vizsgálatára és figyelésére használhatók az irányelveknek való megfelelés érdekében. Excel-munkafüzet: Az Excel dokumentumtípusa. Excel-munkafüzetben lehet áttekinteni és összehasonlítani a különböző konfigurációs alapbeállítás-készleteket.

GPO biztonsági másolatának mappája: A csoportházirend mappa, amelyben a GPO-objektumok találhatók. Ezek gyors és rugalmas módon közvetlenül a címtárszolgáltatásba (Active Directory) importálhatók a számítógépcsoportok és a felhasználócsoportok konfigurációs beállításainak megadásához. SCAP-adatfájl: Az SCAP protokoll (Security Content Automation Protocol) formátumának megfelelő fájl, amely teljesíti a National Institute of Standards and Technology (NIST) által előírt szabványok követelményeit. Beállítás: A technikai vezérlés legalacsonyabb szintje, amely meghatározza az operációs rendszer vagy az alkalmazások állapotát. Például a Jelszó minimális hossza beállítás egy egész számot tartalmazó, a bejelentkezési funkcióhoz használandó beállítás. A beállításokhoz kétféle információ tartozik: a beállításdefiníció és a beállításérték. Beállításdefiníció: Az adott beállítást létrehozó tulajdonos által definiált, az adott operációs rendszer vagy alkalmazások beállításaihoz kapcsolódó tulajdonságok készlete. Ilyen például a regisztrációs adatbázis bejegyzésében szereplő beállítás, az elérési út vagy a definíció által meghatározott adat. A beállításdefiníció értéke nem változik a közzététele után. Beállítás-házirend: Adott beállításhoz kapcsolódó tulajdonságok készlete, amelyet az a felhasználó definiált, akire az adott beállítás-házirend érvényre jut. Például a jelszó minimális hosszúságának 8 vagy több karakternek kell lennie. Az SCM telepítésének minimális rendszerkövetelményei:           

Windows Vista Service Pack 2 (SP2), Windows Server 2008 R2, Windows Server 2012, Windows 7, Windows 8 Microsoft .NET-keretrendszer 3.5 SQL Server® 2008 Express Edition, az SCM telepített példányát tartalmazó számítógépen elindítva* Rendszergazdai jogosultságok a LocalGPO eszköz parancssori elindításához Minimum 500 MB RAM 40 MB szabad terület a merevlemezen Windows® Installer 4.5 Microsoft Visual® C++ 2010 (az SCM telepítőprogramja tartalmazza) Microsoft Word vagy Microsoft Word Viewer a dokumentumok megtekintéséhez Microsoft Excel® 2007 vagy újabb verzió (nem kötelező; a beállítások Excel-munkalapként történő exportálásához) Internetkapcsolat a Microsoft webhelyén található legújabb konfigurációs alapszintek letöltéséhez

* Figyelem: A megfelelő működés minimális követelménye a Microsoft SQL Server Express. Ha nincs telepítve SQL-kiszolgáló, a Microsoft Security Compliance Manager telepítőprogramja automatikusan letölti és telepíti.

Az SCM (Security Compliance Manager) program telepítése: Az SCM program a Microsoft Security Compliance Manager91 webhelyéről tölthető le. A letöltés után futtatni kell a Security_Compliance_Manager_Setup.exe fájlt. A telepítőprogram ellenőrzi az SCM előzetes követelményeit, és ha hiányzik egy összetevő, felkínálja a hiányzó összetevő telepítését, illetve értesítést jelenít meg a hiányáról. Ezután letölti a Microsoft SQL Server Express programot, majd telepíti azt a helyi számítógépen. A telepítés befejezése után megjeleníti az SCM sikeres telepítéséről tájékoztató üzenetet. Figyelem: A jelen dokumentum létrehozásának időpontjában a program legújabb verziója a 3.0.60-s verzió. A telepítés előtt ellenőrizni kell, hogy nem érhető-e el újabb verzió. Ha megjelentek újabb verziók, az SCM legújabb verzióját célszerű telepíteni.

8.1 Bevezetés Az SCM első elindításakor az eszköz az „első használat” üzemmódra vált, és megpróbál csatlakozni a Microsoft Letöltőközponthoz, hogy letöltse a legújabb konfigurációs alapszinteket. Ebben az üzemmódban az SCM egy helyi mappába telepíti a Microsoft által létrehozott konfigurációs alapszinteket azon a számítógépen, amelyen elindították.

8.1.1. ábra: A konfigurációs alapszintek importálási folyamatának előrehaladását jelző sáv Figyelem: Meg kell bizonyosodni, hogy az importálás sikeresen befejeződött.

8.2 Az SCM program használata Az SCM konzolja több fontos elemet is tartalmaz: 



91

Az alapszintek gyűjteménye: Ez a konzol bal oldali ablaktáblájában található. Itt látható a helyben elérhető alapszintek készlete a következő csoportokat tartalmazó fastruktúrában: o Custom Baselines – Az egyénileg meghatározott saját alapszintek készlete o Microsoft Baselines – A Microsoft Letöltőközpont webhelyéről letöltött előre elkészített alapszintek készlete o Other Baselines – Az egyéb alapszintek készlete Az egyes alapszintekre vonatkozó információk: Ezek az információk a konzol középső ablaktáblájában találhatók. Ebben az ablaktáblában környezetfüggő az adatmegjelenítés. A program elindításakor például az üdvözlő képernyő látható, a bal oldali ablaktáblában

http://www.microsoft.com/en-us/download/details.aspx?id=16776



található alapbeállítás-készletek valamelyikének kijelölésekor pedig a kijelölt készletre vonatkozó adatok jelennek meg itt. Műveleti ablaktábla: Ez a konzol jobb oldalán található, itt jelenik meg a végrehajtható parancsok és műveletek listája.

8.2.1. ábra: Az indító képernyő az SCM program konzolján

Az SCM konzolja nagy mennyiségű konfigurációs adatot jelenít meg a kívánt alapbeállítás kijelölése után, ezért érdemes teljes méretűre állítani a programablakot a nagy felbontású képernyőkön. Az ablaktáblák szélessége is beállítható a kívánt méretre. Az SCM konzol egyszerű nézetre is beállítható a jobb és a bal oldali ablaktábla elrejtésével. Az ablaktáblák a következő billentyűparancsokkal rejthetők el, illetve jeleníthetők meg: Ctrl+L – Megjeleníti vagy elrejti az alapszintek gyűjteményét tartalmazó bal oldali ablaktáblát. Ctrl+R – Megjeleníti vagy elrejti a jobb oldali műveleti ablaktáblát. Az alábbi lista néhány további hasznos billentyűparancsot tartalmaz: Ctrl+O – Megnyitja az elérhető beállításokat tartalmazó Options párbeszédpanelt, amelyen beállítható, hogy a program az elindításakor automatikusan ellenőrizze, elérhetők-e új alapszintkészletek. Ctrl+U – Megnyitja a Download Updates párbeszédpanelt, amelyen manuálisan ellenőrizhető, hogy elérhetők-e új alapszintkészletek. Ctrl+I – Megnyitja az Import Baselines Wizard párbeszédpanelt, amelyen manuálisan elindítható a saját alapszintek importálása. Delete – Törli a kijelölt alapbeállítást. Ctrl+Delete – Törli a kijelölt alapbeállítást.

Shift+Delete – Törli a kijelölt alapszintcsoportot, amely egy adott termékhez, például a „Windows 7 SP1” -hez tartozik.

8.3 Az SCM program használatának megkezdése

8.3.1. ábra: Az SCM program főképernyője

Az SCM főképernyője, a középső ablaktábla két részből áll: 



Welcome to SCM: 1. What’s new in this release – Ez az információs szakasz, amely az SCM aktuális verziójának újdonságait tartalmazza. 2. How to perform common tasks – Ebben a szakaszban az SCM eszközzel végrehajtható feladatok ismertetése található. 3. Working with SCM – Itt szerepelnek az SCM program és a segédeszközök használatával kapcsolatos súgótémakörök. Getting started with SCM: 1. Get knowledge – Itt találhatók és kezelhetők az elérhető alapbeállítás-készletek. 2. Customize knowledge – Ebben a szakaszban szabhatók testre az alapszintek az egyéni igényeknek megfelelően, és itt hasonlíthatók össze a saját beállítások és az alapszintkészletekben szereplő ajánlott beállítások.

3. Export knowledge – Ebben a szakaszban található az exportálási funkció, amellyel a létrehozott konfigurációs alapszintek csoportházirend-másolatként (Group Policy Backup), SCAP- vagy DCM-csomagként menthetők, illetve SCM .cab-fájlok is létrehozhatók.

8.4 A „Welcome to SCM” rész főbb elemei 8.4.1

A beállítások kezelése (Setting management)

Az alapszintek számos konfigurálható lehetőséget tartalmaznak. Az SCM a beállítások kategóriákba sorolt megjelenítésével megkönnyíti azok áttekintését és kezelését. Az alapszintek és az azokhoz tartozó beállítási lehetőségek és kiegészítő információk áttekintéséhez hajtsa végre a következő műveletsort: 1. A Baseline Information ablaktáblában jelölje ki a kívánt alapszintkészletet (terméket). Ekkor a középső ablaktáblában megjelennek a kijelölt készlethez tartozó beállítások részletes adatai. Az ablaktábla tetején látható az adott készletben található beállítások száma. Figyelem: A beállításokra vonatkozó biztonsági és megfelelőségi tudnivalók áttekintéséhez a Baseline Information ablaktáblában, a kijelölt termék alatt lépjen az Attachments \ Guides szakaszra, és nyissa meg a megfelelő dokumentumot. 2. A kijelölt alapszintkészlet ablaktáblájának Advanced View szakaszában a kívánt beállításnévre kattintva válassza ki a megfelelő beállításokat. Ezt követően megjelennek a Microsoft által ajánlott alapértelmezett biztonsági beállítások.

8.4.1.1. ábra: A kiválasztott „Minimum password length” beállítás és annak ajánlott értékei

3. Az adott beállításhoz tartozó további információk megjelenítéséhez kattintson a Setting Details elemre. Megjelennek a beállításhoz kapcsolódó részletes adatok:

    

UI Path: A beállítás pontos elérési útja; Additional Details: A beállításkulcsra és a CCE-azonosítóra vonatkozó adatok; Vulnerability: Itt olvasható annak leírása, hogy a támadók hogyan tudnak támadást végrehajtani, ha az adott beállítás kevésbé biztonságos módon van konfigurálva; Potential Impact: Itt szerepel a rendszer sebezhető pontjait kijavító beállítások esetleges negatív hatásainak leírása; Countermeasure: A biztonságot növelő intézkedések végrehajtásának leírása.

8.4.1.2. ábra: A kiválasztott „Minimum password length” beállításra vonatkozó további információk

4. Az adott készlet összes beállítását tartalmazó legfelső szintre való visszatéréshez kattintson a Collapse elemre. Tipp: A kívánt beállítás keresésének gyorsításához elegendő a beállításnév egy részét beírni a Baseline Information ablaktábla Advanced View nézetének jobb felső sarkában lévő Settings search mezőbe.

A részletes Advanced View nézet használata Az alapértelmezett nézetben a beállítások a nevük szerint csoportosítva jelennek meg. A csoportosításhoz kattintson a táblázat kívánt oszlopfejlécére. A részletes Advanced View nézetben a beállítások szűrésére is lehetőség van.

8.4.1.3. ábra: A részletes Advanced View nézet

Az Advanced View nézetben a következő szűrési lehetőségek közül választhat: 

Setting search: Ezzel a funkcióval a keresőmezőbe beírt beállításnév alapján szűrheti a beállításokat tartalmazó táblázatot. Figyelem: A Setting Search szűrő és a Path filter szűrő nem használható egyszerre.

  

Group View: Ezzel a funkcióval csoportokba rendezve (alapértelmezett nézet) jelenítheti meg a beállításokat. A Simple View nézetben az összes beállítás csoportosítás nélkül látható. Path: Ebben az oszlopban található a beállítás helyének elérési útja a Windows rendszerben, illetve az SCM eszközben választott alapbeállításhoz tartozó Microsoft-alkalmazás neve. Choose Columns: Erre a gombra kattintva módosíthatja a nézetet a megjelenítendő, illetve elrejtendő oszlopok megadásával.

A részletes nézet alapértelmezett oszlopainak visszaállításához kattintson a piros ikszre

.

Az alapszintek mellékletfájljainak kezelése Az SCM eszközben különböző mellékletek csatolhatók az alapszintekhez, amelyek kiegészítő információkat tartalmazhatnak, például az alapszintekkel kapcsolatos további adatokat és tudnivalókat. Az SCM eszközben lehetőség van a dokumentumok megnyitására, szerkesztésére, másolására és nyomtatására. A támogatott mellékletformátumok a következők: .cab, .doc, .docx, .mp, .rtf, .txt, .url, .xls, .xlsx, .xlsm, .zip.

8.4.1.4. ábra: Az alapszintekhez tartozó mellékletek kezelésére használható szakasz

Az SCM segítségével egyéni kiegészítő információk is megadhatók a beállításokhoz, például a használatuk vagy a mellőzésük indoklása. Csak a saját beállításgyűjteményben található fájlok adhatók meg mellékletfájlként, illetve távolíthatók el (Baselines Library szakasz, Custom Baselines bejegyzés).

8.4.1.5. ábra: A saját alapszintek gyűjteményéhez rendelt mellékletek

8.4.2

A LocalGPO parancssori eszköz

Az SCM telepítése után elérhető parancssori LocalGPO eszköz segítségével kezelhetők és adhatók meg a tartományhoz nem csatlakozó számítógépek beállításai. A LocalGPO eszközzel másolat készíthető a tartományi környezetekhez használt csoportházirend-beállításokról, majd ezek a beállítások hozzárendelhetők a tartományhoz nem csatlakozó számítógépekhez. Figyelem: Az SCM tartalmazza a LocalGPO eszközt, azonban külön művelettel kell telepíteni azt.

A parancssori LocalGPO eszköz telepítéséhez futtassa a C:\Program Files (x86)\Microsoft Security Compliance Manager\LGPO mappában található LocalGPO.msi fájlt. A LocalGPO telepítése után ellenőrizze, hogy az eszköz megjelent-e a programok listáján.

8.4.2.1. ábra: A megfelelően telepített LocalGPO eszköz

8.4.2.2. ábra: A LocalGPO eszköz elindítása után megjelenő képernyő

A LocalGPO eszközzel a következő műveletek hajthatók végre: 

A biztonsági alapszintek hozzáadása a számítógép helyi csoportházirendjeihez A LocalGPO segítségével importálhatók a csoportházirend-beállítások másolatfájljai. A másolatokat tartalmazó fájlok az SCM eszközzel hozhatók létre. A csoportházirendbeállítások másolatának a számítógép helyi csoportházirendjébe való exportálásához hajtsa végre a következő műveletsort: o Jelentkezzen be a számítógépre rendszergazdaként. o Indítsa el a LocalGPO eszközt a Futtatás rendszergazdaként funkció használatával. o A parancssorba írja be a következő parancsot: cscript LocalGPO.wsf /Path:<elérési út>, ahol <elérési út> a csoportházirend másolatfájljának elérési útja. A helyi csoportházirend beállításai a következő paranccsal állíthatók vissza: cscript LocalGPO.wsf /Restore



A számítógép helyi csoportházirendjeinek exportálása a csoportházirend-beállítások másolatfájljába A LocalGPO eszközzel exportálhatja a számítógép helyi csoportházirend-beállításait, ha más számítógépen is alkalmazni szeretné, vagy a címtárszolgáltatásba szeretné importálni azokat. A számítógép helyi csoportházirendjeinek exportálásához hajtsa végre a következő műveletsort: o Jelentkezzen be a számítógépre rendszergazdaként. o Indítsa el a LocalGPO eszközt a Futtatás rendszergazdaként funkció használatával. o A parancssorba írja be a következő parancsot: cscript LocalGPO.wsf /Path:"c:\GPOBackups" /Export



GPOPack-csomag létrehozása meghatározott biztonsági alapszintek megadásához a LocalGPO telepítése nélkül GPOPack-csomag létrehozásához hajtsa végre a következő műveletsort: o Jelentkezzen be a számítógépre rendszergazdaként. o Indítsa el a LocalGPO eszközt a Futtatás rendszergazdaként funkció használatával. o A parancssorba írja be a következő parancsot: cscript LocalGPO.wsf /Path:"c:\GPOBackups" /Export /GPOPack Figyelem: Ha név megadásával használja a /GPOPack kapcsolót, például a /GPOPack:GPONév formában, akkor nem lehet végrehajtani az importálást a csoportházirend-szerkesztő (GPMC) használatával. Ebben az esetben nem kell nevet beírni a parancs végrehajtásához, mert nincs szükség GUID azonosító megadására.

A GPOPack-csomag létrehozásakor az alább látható 3 fájl jön létre:

A GPOPack-csomag használatával kapcsolatos további tudnivalók az „SCM: LocalGPO Rocks!”92 című blogban olvashatók. Tipp: Az új LocalGPO funkció és a Microsoft Deployment Toolkit (MDT) használatával integrált parancsfájlokkal felgyorsítható és automatizálható a Windows 8 és a Windows Server 2012 rendszer telepítési folyamata. Erről a témáról a Microsoft Deployment Toolkit (MDT)93 webhelyén talál bővebb információt.



Több helyi csoportházirend (MLGPO) megadásával is szerkeszthetők a számítógép helyi házirendbeállítás-készletei. Ez a funkció megkönnyíti a tartományhoz nem csatlakozó számítógépek kezelését. Az /MLGPO kapcsolóval adhatók hozzá a felhasználói beállítások GPOBackup-fájl vagy GPOPack-csomag alkalmazásával a Windows rendszerű számítógép meghatározott MLGPO-objektumához. A funkció használatához a helyi Rendszergazdák vagy Felhasználók csoportját kell megadni, illetve a Nem rendszergazdák csoportját, vagy más tetszőleges helyi felhasználónevet kell megadni. A számítógép helyi házirendjeinek szerkesztéséhez hajtsa végre a következő műveletsort: o Jelentkezzen be a számítógépre rendszergazdaként. o Indítsa el a LocalGPO eszközt a Futtatás rendszergazdaként funkció használatával. o Írja be a következő parancsot a parancssorba: cscript LocalGPO.wsf /Path:"c:\GPO Backups\GPO Backup 1" /MLGPO: cscript GPOPack.wsf /MLGPO:



A felhasználói felület a Csoportházirendobjektum-szerkesztőben frissíthető. A Microsoft Solutions csoport által létrehozott, MSS előtaggal (Microsoft Solutions for Security) rendelkező beállítások alapértelmezés szerint nem jelennek meg a GPMC és a Security Configuration Editor (SCE) eszközben. Az MSS-beállítások megjelenítéséhez ki kell bővíteni az említett eszközök funkcióit. Az alább művelet végrehajtásával frissíthető az SCE azokon a számítógépeken, amelyeken az SCM használatával létrehozott csoportházirendeket kell kezelni. Mielőtt frissíti az SCE eszközt az MSS-beállítások megfelelő megjelenítéséhez, győződjön meg arról, hogy a számítógép csatlakozik a tartományhoz, és telepítve van rajta az SCM. o o o

92 93

Jelentkezzen be a számítógépre rendszergazdaként. Indítsa el a LocalGPO eszközt a Futtatás rendszergazdaként funkció használatával. Írja be a következő parancsot a parancssorba: cscript LocalGPO.wsf /ConfigSCE

http://blogs.technet.com/b/secguide/archive/2011/07/05/scm-v2-beta-localgpo-rocks.aspx Microsoft Deployment Toolkit (MDT) – http://go.microsoft.com/fwlink/?LinkId=105753

Az alapértelmezett beállítások visszaállításához hajtsa végre a következő műveletsort: o o o

Jelentkezzen be a számítógépre rendszergazdaként. Indítsa el a LocalGPO eszközt a Futtatás rendszergazdaként funkció használatával. Írja be a következő parancsot a parancssorba: cscript LocalGPO.wsf /ResetSCE

8.5 A „Getting started with SCM” rész főbb elemei 8.5.1



A konfigurációs alapszintek kezelése (Get knowledge)

Download Microsoft baselines automatically: Lehetővé teszi a Microsoft alapbeállításainak automatikus letöltését.

Az SCM üdvözlő képernyőjén található Download Microsoft baselines automatically lehetőség kiválasztása után a rendszer letölti az új konfigurációs alapszinteket, illetve a már meglévő beállítások frissítéseit. Ha az új alapszinteket és azok frissítéseit automatikusan szeretné letölteni az SCM elindításakor, állítsa be ezt a funkciót a File -> Options parancs választásával vagy a Ctrl+O billentyűparancs használatával.



Download Microsoft baselines manually: A Microsoft alapbeállításainak kézi letöltéséhez használható.

Az SCM üdvözlő képernyőjén található Download Microsoft baselines manually lehetőség kiválasztása után a program megjeleníti az alapszinteket tartalmazó weblapot, ahonnan letölthetők az egyes termékek legújabb alapszintjei. Ezt a műveletet a File -> Check for Updates parancs választásával vagy a Ctrl+U billentyűparancs használatával is végrehajthatja. 

Import a baseline: Lehetővé teszi a Microsoft alapszintjeinek importálását.

Az SCM eszköz használatával az alapszintek letölthetők automatikusan Letöltőközpontból, illetve manuálisan is importálhatók közvetlenül a fájlokból.

a

Microsoft

Ha az importálást az Import Baselines Wizard használatával szeretné elvégezni, hajtsa végre a következő műveletsort: o A varázsló elindításához kattintson a jobb oldali műveleti ablaktábla Import szakaszában látható SCM (.cab) elemre, vagy nyomja meg a Ctrl+I billentyűket.

o

A varázslóban válassza a Select package files lehetőséget, majd az Add gombra kattintva jelenítse meg az importálandó fájl kiválasztására szolgáló párbeszédpanelt.

A Create modifiable copies of each baseline to be imported beállítás megadása esetén az SCM létrehozza a módosítandó alapszintek másolatát, majd importálja az alapszinteket. 

Import a Group Policy Backup: Ezzel a funkcióval importálható a csoportházirend-beállítások másolata.

A másolat importálásához hajtsa végre a következő műveletsort: o

A jobb oldali műveleti ablaktáblában kattintson a GPO Backup (folder) elemre, majd a Mappák tallózása párbeszédpanelen jelölje ki a csoportházirend-beállítások másolatot tartalmazó mappát, és kattintson az OK gombra.

o

A GPO Name párbeszédpanelen adja meg csoportházirend-beállítások másolatának nevét.

o

Az importálás befejeződése után megjelenő Import GPO completed successfully üzenet párbeszédpaneljén kattintson az OK gombra. A másolatfájl a Baselines Library alapbeállítás-gyűjtemény Custom Baselines bejegyzésénél lesz elérhető.

o

8.5.2

A konfigurációs alapszintek testreszabása (Customize knowledge)

Az SCM programban a Microsoft által létrehozott alapszintek használhatók a módosítás lehetősége nélkül, de előfordulhatnak olyan esetek, amikor az ajánlott beállításokat módosítani kell a szervezet saját követelményeinek megfelelően. Bár az SCM programban nincs lehetőség az SCM részét képező Microsoft-alapszintek módosítására, de készíthet másolatot egy adott alapszintről, amelyet már

szerkeszthet a saját irányelvek követelményei alapján. A Customize knowledge szakaszban módosíthatja az alapszinteket az egyéni igényeknek megfelelően. 

Find settings: Ezzel a funkcióval gyorsan megkeresheti a szükséges beállításokat. Erről bővebben a 8.5.1. fejezetben olvashat.



Evaluate Microsoft recommendations: Lehetővé teszi az egyes beállítások alapértelmezett, ajánlott és egyéni értékeinek elemzését. Az SCM tartalmazza az egyes termékek ajánlott konfigurációs alapszintjeit, amelyek a részletes adatok ablaktáblájában jelennek meg. Mindegyik beállítás tartalmazza az alapértelmezett konfiguráció adatait, a Microsoft által ajánlott konfiguráció adatait, az egyéni beállítási értékeket, valamint az adott beállítások érvényességi szintjének megjelölését.



Customize baselines: Ezzel a funkcióval az egyéni igényeknek megfelelően módosíthatók a konfigurációs alapszintek. A konfigurációs alapszintek részletes adatai csoportosítva jelennek meg a Csoportházirendobjektum-szerkesztőben használt csoportosításhoz hasonlóan, de itt lehetőség van beállítások hozzáadására, áthelyezésére, törlésére a csoportokban, és saját csoportok is létrehozhatók. Ezek a műveletek igénybe vehetők a Baselines Library gyűjtemény Custom Baselines szakaszában létrehozott összes konfigurációs alapszinthez.

Beállítások hozzáadása Ha beállítást szeretne hozzáadni (Add a setting lehetőség) a saját alapszintekhez, hajtsa végre a következő műveletsort: o

A Baselines Library gyűjtemény Custom Baselines szakaszában jelölje ki a saját alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Setting részében található Add elemre.

o o

o

A megjelenő párbeszédpanelen az a sablon látható, amelyhez új beállítást szeretne hozzáadni. A példában ez a Choose Source szakaszban látható Windows 8 termék. Ezután adja meg a célhelyet az Add Settings párbeszédpanel Choose Target szakaszában. A Setting Group listán jelölje ki azt a csoportot, amelyhez hozzá szeretné adni a beállítást. Szükség esetén a nyilakra kattintva jelenítse meg a csoportok tartalmát, hogy megkereshesse a hozzáadni kívánt beállítást. Jelölje ki a hozzáadni kívánt beállítást, és kattintson az Add gombra.

Egy vagy több beállítás áthelyezése Ha a saját alapszintek egy vagy több beállítását át szeretné helyezni (Move a setting lehetőség), hajtsa végre a következő műveletsort: o

A Baselines Library gyűjtemény Custom Baselines szakaszában jelölje ki a saját alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Setting részében található Move elemre. Megjelenik a Move Settings between Setting Groups párbeszédpanel.

o

A jobb oldali listán jelölje ki azt a csoportot, amelybe át szeretné helyezni a beállításokat, és kattintson az OK gombra. Az SCM végrehajtja az áthelyezést, és megjeleníti a beállításokat az új csoportban, ahogy az alábbi ábra is mutatja.

Egy vagy több beállítás törlése Ha a saját alapszintek egy vagy több beállítását törölni szeretné (Delete a setting lehetőség), hajtsa végre a következő műveletsort: o o

A Baselines Library gyűjtemény Custom Baselines szakaszában jelölje ki a saját alapszintsablont, majd jelölje ki a törölni kívánt beállításokat. Ezután kattintson a jobb oldali műveleti ablaktábla Setting részében található Delete elemre.

Beállításcsoport hozzáadása Ha beállításcsoportot szeretne hozzáadni (Add a setting group lehetőség) a saját alapszintekhez, hajtsa végre a következő műveletsort: o

A Baselines Library gyűjtemény Custom Baselines szakaszában jelölje ki a saját alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Setting Group részében található Add elemre.

Beállításcsoport törlése Ha beállításcsoportot szeretne törölni (Delete a setting group lehetőség) a saját alapszintekből, hajtsa végre a következő műveletsort:

o

o



A Baselines Library gyűjtemény Custom Baselines szakaszában jelölje ki a saját alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Setting Group részében található Delete elemre az alábbi ábrán látható párbeszédpanel megjelenítéséhez. A csoportok listáján jelölje ki a törölni kívánt csoportot, és kattintson a Delete gombra.

Compare with Microsoft recommendations: Ezzel a művelettel összehasonlíthatók az alapszintek és a Microsoft által ajánlott beállítások.

Az összehasonlítási funkcióval kapott eredmények Microsoft Excel-munkalapra is menthetők. Két konfigurációs alapszint különbségeinek meghatározása az alapszintek összehasonlításával Az alapszintek összehasonlításához hajtsa végre a következő műveletsort: o

Jelölje ki a megfelelő alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Baseline részében található Compare / Merge elemre.

o o

A Compare Baselines Summary jelentés megjeleníti a két kijelölt alapszint összehasonlításának eredményét. A jelentés a következő adatokat tartalmazza:  Az összehasonlított egyedi beállítások száma  Az összehasonlított közös beállítások száma  Csak az egyik alapszintben előforduló beállítások száma

A konfigurációs alapszintek törlése Egy vagy több alapszint törléséhez hajtsa végre a következő műveletsort: o

Jelölje ki a megfelelő alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Baseline részében található Delete elemre, és erősítse meg törlési szándékát.

A konfigurációs alapszintek törlése Egy vagy több alapszint törléséhez hajtsa végre a következő műveletsort: o

o

Jelölje ki a megfelelő alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Baseline részében található Delete elemre, és erősítse meg törlési szándékát.

A további lehetőségek közé tartozik az alapszintek összekapcsolása, illetve az eredmények exportálása Microsoft Excel-munkalapként (ez a művelet a Microsoft Excel telepített példányát igényli).

A konfigurációs alapszintek másolása A konfigurációs alapszintek másolásához hajtsa végre a következő műveletsort: o

Jelölje ki a megfelelő alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Baseline részében található Duplicate elemre, és adja meg az új alapszint nevét.

A konfigurációs alapszintek zárolása A másolt alapszintsablon zárolásához hajtsa végre a következő műveletsort: o

8.5.3



Jelölje ki a megfelelő alapszintsablont, majd a jobb oldali műveleti ablaktáblában válassza a Lock elemet, és erősítse meg a műveletet.

A konfigurációs alapszintek exportálása (Export knowledge)

Export a GPO backup: A konfigurációs alapszintek GPO-másolatként exportálhatók, amelynek segítségével a beállítások gyorsan megadhatók a címtárszolgáltatás környezetében.

A konfigurációs alapszintek GPO-másolatként történő exportálásához hajtsa végre a következő műveletsort: o



Jelölje ki a megfelelő alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Export részében található GPO Backup (folder) elemre, jelölje ki a kívánt mappát, vagy hozzon létre egy új mappát a merevlemezen, és kattintson az OK gombra.

DCM-konfigurációcsomagok exportálása

A Desired Configuration Management (DCM) a Microsoft System Center Configuration Manager részét képező szolgáltatás. A konfigurációcsomagok DCM formátumban tartalmazzák az adatokat, és lehetővé teszik a kezelt számítógépek kompatibilitásának ellenőrzését. A konfigurációs alapszintek konfigurációcsomagként történő exportálásához hajtsa végre a következő műveletsort: o



Jelölje ki a megfelelő alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Export részében található SCCM DCM 2007 (.cab) elemre, jelölje ki a kívánt mappát, vagy hozzon létre egy új mappát a merevlemezen, adja meg a .cab-fájl nevét, és kattintson a Save gombra. A létrehozott fájl neve a _DCM utótaggal egészül ki.

SCAP-adatfájlok exportálása

A Security Content Automation Protocol (SCAP) a National Institute of Standards and Technology (NIST) által bevezetett szabvány. Az SCAP protokoll XML-adatokat tartalmaz, és a programok sebezhető pontjait, valamint a konfigurációelemeket írja le. Az SCAP protokollal és az adatformátumával kapcsolatos további információ a http://scap.nist.gov/94 webhelyen olvasható. A konfigurációs alapszintek SCAP-formátumban történő exportálásához hajtsa végre a következő műveletsort: o



Jelölje ki a megfelelő alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Export részében található SCAP v1.0 (.cab) elemre, jelölje ki a kívánt mappát, vagy hozzon létre egy új mappát a merevlemezen, adja meg a .cab-fájl nevét, és kattintson a Save gombra. A létrehozott fájl neve az _SCAP utótaggal egészül ki.

Az SCM .cab-fájljainak exportálása

Az SCM eszközben lehetőség van a konfigurációs alapszintek exportálására az eszköz által használt formátumban. Az SCM által használt formátumban exportált fájlok segítségével a konfigurációs alapszintek megoszthatók más rendszergazdákkal.

94

http://scap.nist.gov/

A konfigurációs alapszintek SCM-formátumban történő exportálásához hajtsa végre a következő műveletsort: o



Jelölje ki a megfelelő alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Export részében található SCM (.cab) elemre, jelölje ki a kívánt mappát, vagy hozzon létre egy új mappát a merevlemezen, adja meg a .cab-fájl nevét, és kattintson a Save gombra.

Microsoft Excel-munkafüzetek exportálása

A konfigurációs alapszintek exportálhatók a Microsoft Excel által használt formátumban (ez a művelet a Microsoft Excel telepített példányát igényli). A konfigurációs alapszintek Microsoft Excel-formátumban történő exportálásához hajtsa végre a következő műveletsort: o

Jelölje ki a megfelelő konfigurációs alapszintsablont, majd kattintson a jobb oldali műveleti ablaktábla Export részében található Excel (.xslm) elemre, jelölje ki a kívánt mappát, vagy hozzon létre egy új mappát a merevlemezen, adja meg az Excel-fájl nevét, és kattintson a Save gombra.

OPERÁCIÓS RENDSZER VÉDELMÉHEZ ÉS AZ SCM ESZKÖZ HASZNÁLATÁHOZ 1.0-S VERZIÓ. A dokumentum a Security Cooperation Program (SCP)

Recommend Documents