OPERÁCIÓS RENDSZER VÉDELMÉHEZ ÉS AZ SCM ESZKÖZ HASZNÁLATÁHOZ 1.0-S VERZIÓ. A dokumentum a Security Cooperation Program (SCP)

Átírás

1 ÚTMUTATÓ A WINDOWS 8 OPERÁCIÓS RENDSZER VÉDELMÉHEZ ÉS AZ SCM ESZKÖZ HASZNÁLATÁHOZ 1.0-S VERZIÓ A dokumentum a Security Cooperation Program (SCP) elnevezésű együttműködési program keretében készült.

2 Tartalom 1. Bevezetés Vezetői összefoglaló A biztonság és a megfelelőség kezelése a technológiai szabványok alkalmazásával Az ajánlott konfigurációs alapszintek használata Kinek szól ez az útmutató? Kiegészítő tudnivalók és hivatkozások Az ajánlott biztonsági házirendek alkalmazása a Windows 8 alapbeállításainak környezetében Bevezetés A szervezeti egységek (Organizational Units, OU) struktúrájának tervezése a biztonsági házirendek figyelembe vételével A szervezeti egységeket tartalmazó struktúra csoportházirend-objektumainak (GPO) tervezése a biztonsági házirendek figyelembevételével WMI-szűrés használata a csoportházirendek pontos célcsoportjának meghatározásához A Local Policy Tool eszköz áttekintése Az Attack Surface Analyzer (ASA) eszköz áttekintése A felügyelt szolgáltatásfiókok (MSA-fiókok) mechanizmusának áttekintése A tartományi házirendek beállításai A Fiókházirend készlet beállításainak konfigurálása A részletes jelszóházirendek, valamint a Fiókzárolási házirend beállításainak konfigurálása A számítógép-házirendek beállításai A Naplózási házirend részletes beállításainak konfigurálása A felhasználói jogok kiosztása házirend beállításainak konfigurálása A biztonsági beállítások konfigurálása Az MSS beállításainak konfigurálása Az SMB-csomagok digitális aláírási házirendjéhez kapcsolódó potenciális veszélyek Az NTLM-hitelesítés használatának korlátozása Az Eseménynapló beállításainak konfigurálása A Fokozott biztonságú Windows tűzfal beállításainak konfigurálása A Windows Update szolgáltatás A beépített Windows-hitelesítésre irányuló, a hitelesítő adatok továbbítását használó támadások A rosszindulatú szoftverek elleni védekezés módszerei A Windows 8 rendszerben alkalmazott biztonsági funkciók... 48

3 3.2. A Műveletközpont konzol Biztonságos indítás (Secure Boot) A Felhasználói fiókok felügyelete szolgáltatás Biometrikus védelem A Windows Defender szolgáltatás Kártevő-eltávolító eszköz A Windows 8 tűzfala Az alkalmazások hozzáférésének korlátozása AppLocker Szoftverkorlátozási házirendek Biztonságos hitelesítés intelligens kártyák használatával A Windows kiinduló állapotba hozása és a számítógép visszaállítása alapállapotba Kiegészítő tudnivalók és hivatkozások A bizalmas adatok védelme Meghajtók titkosítása és védelme a BitLocker funkció használatával A BitLocker üzemmódjai és a TPM modul kezelése A rendszermeghajtókon és a rögzített merevlemezeken található adatok védelme Csoportházirend-beállítások használata a BitLocker funkcióval kapcsolatos kockázatok minimalizálásához A cserélhető adathordozókon található adatok védelme a BitLocker To Go funkció használatával Csoportházirend-beállítások használata a BitLocker To Go funkcióval kapcsolatos kockázatok minimalizálásához Titkosított fájlrendszer (EFS) Az EFS fájlrendszer adatvédelmi beállításai Tartalomvédelmi szolgáltatások (RMS) Csoportházirend-beállítások használata a tartalomvédelmi szolgáltatások telepítéséhez Eszközök telepítése és kezelése a Windows 8 rendszerben Csoportházirend-beállítások használata az eszközök telepítésének felügyeletéhez Csoportházirend-beállítások használata az eszközök hozzáférés-vezérléséhez Csoportházirend-beállítások használata az automatikus indítási és az automatikus lejátszási funkció vezérléséhez és letiltásához Windows To Go Kiegészítő tudnivalók és hivatkozások Az alkalmazáskompatibilitás és a Windows 8 rendszerű számítógépek biztonsági szolgáltatásainak kapcsolata

4 5.1. Az alkalmazások tesztelése a Windows 8 rendszerrel való kompatibilitás szempontjából A kiterjesztett adatvédelmi mechanizmusokkal kapcsolatos ismert alkalmazáskompatibilitási problémák A Windows 8 operációs rendszerben végrehajtott változtatások és javítások A Windows 8 alkalmazáskompatibilitást biztosító eszközei Hyper-V kliens A biztonsági funkciók konfigurációja A szülő operációs rendszer védelme A virtuális gépek biztonsága Irányítás, kockázatkezelés és az informatikai szabványoknak való megfelelés (IT GRC) Bevezetés Az IT GRC PMP áttekintése Az IT GRC PMP használatának előnyei Fogalommeghatározások A megfelelőségi folyamat életciklusa az IT GRC PMP csomagban Kiegészítő tudnivalók és hivatkozások Gyakorlati útmutató a Security Compliance Manager (SCM) használatához Bevezetés Az SCM program használata Az SCM program használatának megkezdése A Welcome to SCM rész főbb elemei A beállítások kezelése (Setting management) A LocalGPO parancssori eszköz A Getting started with SCM rész főbb elemei A konfigurációs alapszintek kezelése (Get knowledge) A konfigurációs alapszintek testreszabása (Customize knowledge) A konfigurációs alapszintek exportálása (Export knowledge)

5 1. Bevezetés A Windows 8 védelmével foglalkozó útmutató javaslatokat tartalmaz, amelyek alapján biztonságosabbá tehetők az Active Directory tartományi szolgáltatásokhoz (AD DS) tartozó tartományban lévő, munkacsoportban vagy önálló munkaállomásként működő Windows 8-as asztali számítógépek és hordozható számítógépek. Az útmutató részletesen ismerteti azokat az eszközöket, műveleteket, javaslatokat és folyamatokat, amelyek jelentős mértékben megkönnyítik a Windows 8 telepítését. Ezenkívül bemutatja a megfelelőség kezelésének folyamatát, illetve tartalmazza az informatikai megfelelőséget biztosító eszközökre vonatkozó információkat és a kapcsolódó hivatkozásokat, valamint a Microsoft javaslatait. A legfontosabb ajánlott eszköz a Security Compliance Manager 1 (SCM), amely az Útmutató a Windows 8 rendszer védelméhez című kiadványban foglaltakhoz kapcsolódóan lehetővé teszi a csoportházirendek minden ajánlott beállításának exportálását, így megkönnyíti a biztonsági irányelvek gyakorlati alkalmazását a felhasználó saját környezetében. A szerzők arra törekedtek, hogy a jelen dokumentum tényszerű, mérvadó, hiteles, használatra kész és hasznos segítséget nyújtson az olvasóknak. Tényszerű: Az adott témára vonatkozó ismereteken és tapasztalatokon alapul. Mérvadó: Az adott témában elérhető legjobb gyakorlati megoldásokat tartalmazza. Hiteles: Ellenőrzött és technikai szempontból tesztelt megoldásokat mutat be. Használatra kész: Részletesen leírja a sikeres telepítéshez szükséges műveleteket. Hasznos: A biztonsággal kapcsolatos valós problémákkal foglalkozik. A dokumentum a Windows 8, a Windows 7 SP1, a Windows Vista SP2, a Windows Server 2003 SP2, a Windows Server 2008 SP2, a Windows Server 2008 R2 SP1, illetve a Windows Server 2012 különböző környezetekben történő telepítéséhez alkalmazható legjobb gyakorlati megoldásokat tartalmazza. A Windows 8 rendszer saját környezetben való telepítését megelőző felmérési és tervezési folyamathoz segítséget nyújt a Microsoft által kínált Microsoft Assessment and Planning Toolkit 2, amellyel megállapítható, hogy az infrastruktúra alkalmas-e a Windows 8 futtatására a közepes méretű szervezetek igényeinek megfelelő módon, továbbá számba vehetők az eszközök, meghatározhatók a támogatási igények, és megkereshetők az eszközök frissítését igénylő számítógépek. Ez az útmutató a Windows 8 rendszerbiztonsági szintjét növelő funkciókat mutatja be. A dokumentumban foglalt információk ellenőrzése és tesztelése tartományban működő számítógépek és tartományhoz nem csatlakozó, önálló számítógépek használatával egyaránt megtörtént. Figyelem: Ebben az útmutatóban a Windows XP kifejezés a Windows XP Professional SP3 rendszert, a Windows Vista pedig a Windows Vista SP2 rendszert jelenti

6 1.1. Vezetői összefoglaló A szervezet környezetének méretétől függetlenül igen komoly kérdésnek kell tekinteni az informatikai rendszerek védelmét, bár több szervezet sok esetben nem értékeli kellően a korszerű információtechnológiai megoldásokat, vagy nem tulajdonít nagy fontosságot azoknak. A szervezet kiszolgálói ellen irányuló sikeres támadás azonban egyértelműen rá tud világítani arra, hogy ez a megközelítés hátráltathatja a szervezet működését, és zavart okozhat a kulcsfontosságú üzleti folyamatokban. Vegyünk néhány példát: Ha a szervezet hálózatához csatlakozó számítógépeket kártevő szoftverek támadása éri, a szervezet fontos adatokat veszíthet el, emellett többletkiadásai keletkeznek, mert vissza kell állítani a támadás előtti állapotot. A vállalat webhelye ellen irányuló támadás elérhetetlenné teheti a webhelyet, pénzügyi veszteséget jelenthet a vállalatnak, illetve az ügyfelek bizalmának megrendülését és a vállalat hírnevének csorbulását is okozhatja. Az előírásoknak és a szabványoknak való megfelelőség kulcsfontosságú a szervezet működéséhez, a hatóságok ajánlják vagy megkövetelik az irányelveket és az ajánlásokat. A szervezet érettségét értékelő auditorok rendszerint kérik a szervezettől a végrehajtott intézkedések igazolását, és ellenőrzik a szabályokba foglalt követelményeknek és irányelveknek megfelelő műveleteket. A kötelező irányelveknek és szabályoknak való megfelelés elmulasztása pénzügyi veszteséget okozhat a szervezetnek, ronthatja a hírnevét, illetve ilyen esetben a szervezet a hatályos jogszabályokban előírt bírságokkal vagy más büntetésekkel is sújtható. A megfelelőséget elemezni kell a biztonság, az esetleges kockázatok és veszélyek szempontjából, mert ez alapján lehet meghatározni a biztonság és a működőképesség közötti egyensúlyt a szervezetben lévő valamennyi informatikai rendszerre vonatkozóan. A jelen útmutató ismerteti a biztonság témakörével kapcsolatos legfontosabb intézkedéseket, bemutatja a Windows 8 rendszervédelmi funkcióit, kiemelve a potenciális veszélyforrásokat és negatív hatásokat (ha vannak ilyenek), amelyek felmerülhetnek a szervezet biztonsági szintjének növelésére irányuló intézkedések bevezetése során. A rendszervédelemmel foglalkozó útmutató közérthető módon írja le az ehhez szükséges fontos tudnivalókat, valamint a használandó eszközöket, beleértve a következőket: A konfigurációs alapszintek bevezetése és alkalmazása a szervezeti környezet biztonsági szintjének növeléséhez A Windows 8 biztonsági funkcióinak ismertetése és használata a leggyakoribb helyzetekben Az egyes biztonsági beállítások ismertetése, valamint a szerepük meghatározása A tesztek elvégzéséhez és a biztonsági beállítások megadásához a Security Compliance Manager (SCM) eszköz használható. Ez jelentős mértékben megkönnyíti a biztonsági alapszintek meghatározásának folyamatát, ezenkívül lehetővé teszi a folyamat automatizálását is. Az SCM használatának részletes ismertetését a Gyakorlati útmutató a Security Compliance Manager (SCM) használatához című fejezet tartalmazza. Ez az útmutató elsősorban a nagyobb szervezeteknek szól, azonban a benne található információk többsége minden szervezet számára hasznos, a szervezet méretétől függetlenül. A legjobb eredmény eléréséhez érdemes megismerkedni az útmutató teljes tartalmával. Emellett az a módszer is hatékony lehet, ha az olvasó csak az anyag meghatározott részeivel foglalkozik alaposabban.

7 1.2. A biztonság és a megfelelőség kezelése a technológiai szabványok alkalmazásával A szervezetek informatikai osztályainak olyan biztonságos infrastruktúrát kell létrehozniuk működőképes és felügyelt módon, amely megfelel a betartandó előírásoknak, szabványoknak, valamint alkalmazhatók benne a legjobb gyakorlati eljárások. Az informatikai osztálynak folyamatosan ellenőriznie kell a megfelelőséget, hogy biztosítsa a szervezetre vonatkozó betartandó előírások, az alkalmazott tanúsítási szabványok követelményeinek teljesülését, valamint az iparág aktuális biztonsági irányelveinek megfelelő bevált gyakorlati eljárások alkalmazását. A megfelelőség biztosítása a megjelenő új technológiákhoz való folyamatos alkalmazkodást igényel, az informatikai osztályoknak állandó felügyelet, ellenőrzés és jelentéskészítés révén követniük kell a sok esetben bonyolult új megoldásokat. A szabványoknak megfelelő infrastruktúra előállításához az informatikai osztályoknak a rendszerek hatékony frissítésével, megerősítésével és az informatikai megfelelőség biztosításának automatizálásával kell kialakítaniuk a szervezeti rendszerek védelmét. Ez az útmutató megfelelő kiindulási pontként használható a felügyelt rendszerek védelmi szintjének növeléséhez és biztosításához. A Microsoft létrehozott egy útmutatókból és eszközökből álló gyűjteményt, amelyet bármely szervezet felhasználhat, a méretétől függetlenül. Ezek az útmutatók segítséget nyújtanak az informatikai csoportoknak a különböző Microsoft-termékeket használó rendszerek konfigurációs alapszintjeinek megadásához, ellenőrzéséhez és az azokkal kapcsolatos támogatási műveletekhez. Mit jelent a konfigurációs alapszint fogalma? A konfigurációs alapszintek az egyes Microsoft-termékekhez ajánlott konfigurációs elemek gyűjteményét jelentik, amelyek megadják a különböző beállítások értékeit, hogy meghatározott ellenőrző műveletek végrehajtásával minimalizálni lehessen bizonyos veszélyeket. Az ellenőrző tevékenységek elsősorban a szervezet megfelelés-ellenőrzési vezetőinek (Compliance Manager) feladatkörébe, valamint a biztonságért felelős személyek feladatkörébe tartoznak, akiknek a szervezetben felmerülő kockázatokkal kapcsolatban intézkedniük kell, és ezekhez az intézkedésekhez szabályokat kell kidolgozniuk, például arra vonatkozóan, hogy az adott kockázat miként kezelendő és hogyan minimalizálható meghatározott technológiai megoldások alkalmazásával. A Microsoft évek óta közzétesz konfigurációs alapszintkészleteket, különös figyelmet fordítva a számítógépek biztonsági konfigurációs beállításaira, hogy ezzel is növelje a Microsofttermékek biztonságát. Ezek a készletek előre megadott beállításokat tartalmaznak, és a rendszergazdák közvetlenül felhasználhatják a saját környezetükben. A Service Manager 2012 szoftverhez kiadott IT GRC Process Management Pack megjelenése után a Microsoft olyan konfigurációs alapszinteket is közzétett, amelyek a bizonyos szabványoknak való megfelelést biztosítják. A jelen útmutatóban tárgyalt irányelvek esetében a konfigurációs alapszintek a következő elemeket tartalmazzák: 1. a Microsoft-termékek biztonsági szintjének növelésére irányuló, ajánlott intézkedések listáját; 2. a kockázatcsökkentő intézkedések megvalósításához szükséges technikai információt;

8 3. az egyes kockázatcsökkentő intézkedésekhez kapcsolódó állapot meghatározásához szükséges technikai információt, amely lehetővé teszi a megfelelőség automatikus vizsgálatát és az elvégzett műveletre vonatkozó jelentés létrehozását; 4. a beállításokat, rendezve és konfigurációelemekbe (Configuration Item CI) csoportosítva. A konfigurációelemek alapvető fontosságúak az IT Governance, Risk, and Compliance (IT GRC) Process Management Pack (PMP) és az ellenőrző tevékenységek összekapcsolásához. Hogyan használhatók a konfigurációs alapszintek? Első lépésként meg kell vizsgálni, hogy milyen operációs rendszerek és alkalmazások működnek a szervezet számítógépes hálózatában, mert ez alapján határozható meg, milyen konfigurációs alapszinteket kell alkalmazni. A művelet a következő lépésekkel hajtható végre: A hálózatban található erőforrások számba vétele, amihez az ingyenes Microsoft Assessment and Planning Toolkit 3 használható. Ez az eszközkészlet a feladatok automatizálásával megkönnyíti a művelet végrehajtását. A megfelelő konfigurációs alapszintek kiválasztása kiindulási pontként a Microsoft és más érintett gyártók használatra kész megoldásai közül. A konfigurációs alapszintek elemzése és finomítása, hogy a beállítások megfeleljenek a szervezet üzleti igényeinek és a hatóságok előírásainak. Ehhez az SCM eszközben, a biztonsággal foglalkozó útmutatókban, valamint az Information Technology Governance, Risk, and Compliance (IT GRC) Process Management Pack for System Center Service Manager 4 csomagban rendelkezésre bocsátott információk használhatók. Ellenőrzési célok és ellenőrző tevékenységek alkalmazása a konfigurációs alapszintekkel együtt a kezelt rendszerek megfelelő konfigurálásához és informatikai megfelelőségének fenntartásához. A Microsoft-termékek, például a Windows, a Microsoft Office, valamint az Internet Explorer beállításai csoportházirendekkel (Group Policy) kezelhetők. Az SCM eszközzel ezek a konfigurációs alapszintek az egyéni igényekhez igazíthatók. A beállítások megadása után Excel-munkalap formájában exportálni kell az adatokat, majd egyeztetni kell azokat az összes érintett féllel a szervezetben. A jóváhagyott beállításokat csoportházirend-másolatként kell exportálni, majd tesztkörnyezetben kell kipróbálni az Active Directory címtárszolgáltatás csoportházirendjeinek használatával. Az olyan számítógépek esetében, amelyeket nem tartományban használnak, az SCM eszközben található Local Policy Tool eszközt kell alkalmazni (az eszköz ismertetését a 2.5. fejezet tartalmazza) Az ajánlott konfigurációs alapszintek használata Az SCM a Microsoft-termékekhez ajánlott konfigurációs alapszinteket tartalmaz, melyek módosíthatók a szervezeti igényeknek megfelelően. Miután megtörtént a konfigurációs alapszintek hozzáigazítása a szervezet követelményeihez, az SCM eszközben előállíthatók a módosított konfigurációs alapszintek. Ezután végrehajtható a csoportházirendek beállításainak ellenőrzése minden számítógépen. A szabványosítás és a szabványoknak való megfelelés eléréséhez elvárt

9 konfigurációs csomagok (Desired Configuration Management, DCM) hozhatók létre, majd a beállítások importálhatók a System Center Configuration Manager megoldásba. A System Center Configuration Manager DCM funkciójának használatával automatizálható a szabványos beállítások alkalmazása. Az SCM ezenkívül lehetővé teszi a konfigurációs alapszintek exportálását SCAPformátumban (Security Content Automation Protocol). A Microsoft és más gyártók számos biztonságés konfigurációkezelő eszköze támogatja az SCAP-formátumot. Az SCAP-formátummal kapcsolatos további tájékoztatás a National Institute of Standards and Technology (NIST) 5 webhelyén található. A megfelelőségre irányuló tevékenységek a Microsoft System Center Service Manager és az IT GRC Process Management Pack együttes használatával ellenőrizhetők. A System Center Service Manager segítségével automatikus jelentések hozhatók létre a vezetők, az informatikai auditorok és a projektben részt vevő más személyek számára. Az IT GRC folyamatot az Irányítás, kockázatkezelés és az informatikai szabványoknak való megfelelés (IT GRC) című 7. fejezet ismerteti részletesen. Az SCM lehetővé teszi azon Microsoft-termékek például a Microsoft Exchange Server konfigurációs alapszintjeinek kezelését, amelyek nem konfigurálhatók csoportházirendekkel. Az SCM tartalmaz egy PowerShell-parancsfájlokból álló gyűjteményt az ilyen típusú termékekhez. E parancsfájlokkal automatikusan hajtható végre a konfigurációs alapszintek megadása egy vagy több kiszolgálón. A folyamat megkönnyíti az ismétlődő feladatok végrehajtását, nem korlátozva a felhasználók tevékenységét. Ugyanez a parancsfájlgyűjtemény a számítógépek megfelelőségi vizsgálatára is használható, és az SCM eszközben lehetőség van a konfigurációs DCM-csomagok exportálására is. További információkat az Exchange Server PowerShell Script Kit User Guide című dokumentum tartalmaz, amely az SCM eszközben, az Attachments \ Guides mappában található. Az ábra a biztonság és a szabványoknak való megfelelés kezelésének folyamatát és a szervezet igényeinek megfelelő technológiai megoldásokat szemlélteti. Az SCM eszköz bővebb ismertetése a Microsoft Security Compliance Manager 6 weblapon érhető el. Érdemes áttekinteni az SCM Wiki 7 tartalmát is a TechNet webhelyen

10 ábra: A biztonság és a szabványoknak való megfelelés folyamata és a szervezet igényeinek megfelelő technológiai megoldások 1.4. Kinek szól ez az útmutató? Ez az útmutató elsősorban a biztonsággal foglalkozó szakembereknek, a hálózatépítőknek, a rendszergazdáknak, az informatikai szakembereknek és a tanácsadóknak szól, akik informatikai infrastruktúra kiépítését és a Windows 8 tartományi környezetben, illetve tartományon kívül működő kliensszámítógépekre történő telepítését tervezik Kiegészítő tudnivalók és hivatkozások Az alábbi lista a Microsoft Windows 8 biztonságával kapcsolatos kiegészítő forrásokat tartalmazza: Federal Desktop Core Configuration (FDCC) 8 Microsoft Assessment and Planning Toolkit 9 Microsoft Security Compliance Manager 10 SCM Wiki 11 Security and Compliance Management Forum

11 2. Az ajánlott biztonsági házirendek alkalmazása a Windows 8 alapbeállításainak környezetében 2.1. Bevezetés A Microsoft minden új operációs rendszerben új biztonsági megoldásokat is bevezet. Ezek a megoldások a Windows 8 rendszerben már igen sokrétűek, ennek köszönhetően ez a rendszer minden eddiginél hatékonyabb védelemmel rendelkezik. A biztonsági beállítások megadása az SCM korábbi verzióival ellentétben ebben a rendszerben csoportházirend-objektumok (Group Policy Object, GPO) használatával történik. A GPO mechanizmus egy központi infrastruktúrát biztosít, amely hierarchikus struktúra alkalmazásával teszi lehetővé a számítógépek és/vagy a felhasználók beállításainak kezelését, beleértve a biztonsági beállításokat is. A biztonsági beállításokra vonatkozó korábbi kategóriákat, a speciális biztonságú, korlátozott funkcionalitású (Specialized Security Limited Functionality SSLF), valamint a vállalati ügyfél (Enterprise Client EC) kategóriát a súlyossági szint fogalma váltotta fel: Kritikus Ezek a beállítások igen komoly hatással vannak a számítógép, valamint az azon tárolt adatok biztonságára. Az összes kritikus beállítást célszerű alkalmazni a szervezetben. Fontos Ezek a beállítások nagy hatással vannak a számítógép, valamint az azon tárolt adatok biztonságára. Ezeket a beállításokat az olyan szervezetekben célszerű alkalmazni, amelyek bizalmas adatokat tárolnak, és fontos szempontnak tartják informatikai rendszereik védelmét. Választható Ezek a beállítások nincsenek nagy hatással a biztonságra, emiatt a szervezetek többsége nem is veszi figyelembe ezeket a biztonsági házirendek tervezésekor. Ez azonban nem azt jelenti, hogy tetszőlegesen alkalmazhatók. Például a Windows rendszerre, az Internet Explorer böngészőre vagy az Office programjaira vonatkozó számos beállítás elrejti a felhasználói felület egyes elemeit, és ezzel megkönnyíti a munkát, de ezeknek a beállításoknak nincs közvetlen hatásuk a biztonságra. Nem meghatározott Ez az alapértelmezett fontossági szint a Security Compliance Manager eszközben. Ehhez a szinthez tartoznak azok a beállítások, amelyek korábban nem voltak elérhetők. A gyakorlatban ezen beállítások jelentősége megegyezik a Választható szinthez tartozó beállításokéval, vagyis kicsi vagy semmilyen hatásuk sincs a biztonságra. A szabályokhoz választott exportálási formátumtól függően az alábbi táblázatban található elnevezések tartoznak a fontossági szintekhez: 12

12 Security Compliance Manager (SCM) Desired Configuration Management (DCM) Security Content Automation Protocol (SCAP) Kritikus Kritikus Magas Fontos Figyelmeztetés Közepes Választható Tájékoztatás Alacsony Nem meghatározott Egyéb Ismeretlen táblázat: A fontossági szintek elnevezése a választott exportálási formátumtól függően 2.2. A szervezeti egységek (Organizational Units, OU) struktúrájának tervezése a biztonsági házirendek figyelembe vételével Az Active Directory címtárszolgáltatás lehetővé teszi a vállalati infrastruktúra központi kezelését. A hierarchikus felépítésnek köszönhetően létrehozható egy olyan modell, amely figyelembe veszi a szervezet biztonságának előírt és kötelező szempontjait. A szervezeti egység (Organizational Unit OU) olyan tároló az Active Directory-n (AD DS) belül, amely felhasználókat, csoportokat, számítógépeket, valamint más szervezeti egységeket tartalmazhat. A szervezeti egységek lehetnek fölérendelt és alárendelt egységek. A szervezeti egységek egyik fontos tulajdonsága, hogy csoportházirend-készleteket lehet kapcsolni hozzájuk. Így a deklarált beállítások átadhatók az ezekben az objektumokban található felhasználóknak és számítógépeknek. Ezenkívül lehetőség van a szervezeti egységek vezérlésének és felügyeletének (lásd a ábrát) delegálására, ami megkönnyíti a kezelési műveleteket ábra: A Vezérlés delegálása varázsló az Active Directory Felhasználók és számítógépek (ADUC) moduljában

13 A szervezeti egységek segítségével felügyeleti szempontból elkülöníthetők a felhasználók és a számítógépek. Ez a megoldás ideális olyan esetekben, amikor a beállításokat kizárólag meghatározott számítógépekre, illetve kizárólag meghatározott felhasználókra kell alkalmazni. A szervezeti egységek struktúrájának tervezésekor elsődleges célnak kell tekinteni a csoportházirendek egységes alkalmazhatóságát, és figyelembe kell venni a biztonságra vonatkozó összes szabványt és előírást. A ábrán olyan struktúra látható, amely figyelembe veszi a szervezeti egységek szintjeit az Active Directory címtárszolgáltatások szokásos megoldásaiban. Tartomány gyökere Tagkiszolgálók Részleg Tartományvezérlők Windows Server 2012 Windows 8 1. kiszolgálói szerepkör Windows 8- felhasználók Windows 8-as számítógépek 2. kiszolgálói szerepkör 3. kiszolgálói szerepkör 4. kiszolgálói szerepkör Tartomány gyökere ábra: Számítógépek és felhasználók a szervezeti egységek struktúrájában (példa) Az egész tartományra vonatkozó beállításokat a tartományhoz kapcsolt csoportházirendben lehet megadni. A számítógépek és a felhasználók kezelése nem ezen a szinten történik.

14 Szervezeti egységek A tartományvezérlő szerepkört betöltő kiszolgálók számos bizalmas adatot tárolnak, többek között olyan adatokat, amelyek az adott kiszolgálók biztonsági konfigurációját vezérlik. A Tartományvezérlők szervezeti egység szintjén használt csoportházirend lehetővé teszi a tartományvezérlők konfigurálását és védelmét. Tagkiszolgálók A Tagkiszolgálók szervezeti egységhez használt csoportházirend segítségével azonos beállítások adhatók meg minden kiszolgálóra vonatkozóan, a kiszolgálók szerepkörétől függetlenül. Kiszolgálói szerepkörök Célszerű dedikált szervezeti egységeket létrehozni a szervezet minden kiszolgálói szerepköréhez. Ezzel biztosítható a modell egységessége, ami lehetővé teszi a kiszolgálói szerepkörökön alapuló csoportházirendek használatát. A több szerepkörrel rendelkező kiszolgálókhoz a konfigurációjuknak megfelelő további szervezeti egységek hozhatók létre. Ezután ezekhez a szervezeti egységekhez a meghatározott kiszolgálói szerepköröknek megfelelő csoportházirend-készletek kapcsolhatók. A vegyes konfigurációk esetében ügyelni kell a csoportházirendek feldolgozási sorrendjének megadására, ami meghatározza az eredményül kapott beállításokat. Részleg A biztonsági követelmények különfélék lehetnek, és gyakran a szervezet struktúrájától is függenek. Az egyes részlegekhez tartozó szervezeti egységek létrehozásával az üzleti funkcióknak megfelelően alkalmazhatók a számítógépekre és a felhasználókra vonatkozó biztonsági beállítások. Windows 8-felhasználók A felhasználói fiókokat tároló speciális szervezeti egységek létrehozásával alkalmazhatók a felhasználói fiókokra vonatkozó biztonsági házirendek. Windows 8-as számítógépek A számítógépfiókokat tároló dedikált szervezeti egységek létrehozásával alkalmazhatók az asztali számítógépek és a hordozható számítógépek biztonsági beállításai A szervezeti egységeket tartalmazó struktúra csoportházirendobjektumainak (GPO) tervezése a biztonsági házirendek figyelembevételével A csoportházirend-objektum (GPO) a csoportházirendek beállításait tartalmazó készlet, amely a Csoportházirend kezelése MMC beépülő modulban definiálható (lásd a ábrát).

15 ábra: A Csoportházirendek központi kezelését végző felügyeleti konzol Az itt található beállítások tárolása a tartomány szintjén történik. Ezek a beállítások az adott helyen, tartományokban és szervezeti egységekben lévő felhasználókra és/vagy számítógépekre vonatkozhatnak. Az azonos hatású beállítások kézi konfigurálása inkonzisztenciát okozhat. A csoportházirendek alkalmazásával egyszerűsíthető a beállítások kezelése, ezenkívül egyszerre érvényesíthetők az esetleges módosítások több számítógépre és felhasználóra vonatkozóan. A tartományi csoportházirendek felülbírálják a helyi házirendek beállításait, ami lehetővé teszi a központi konfigurációkezelést. A csoportházirendek feldolgozási sorrendjét a ábra szemlélteti. 5. Az alárendelt szervezeti egységek házirendjei 4. A fölérendelt szervezeti egységek házirendjei 3. A tartomány házirendjei 2. A helyre vonatkozó házirendek 1. Helyi házirendek ábra: A csoportházirendek feldolgozási sorrendje A feldolgozási sorrendben elsők a helyi házirendek, ezután következnek a telephelyre, a tartományra, valamint a szervezeti egységekre vonatkozó házirendek. A szervezeti egységek szintjén lévő készletek

16 feldolgozása a hierarchiának megfelelő sorrendben, a legmagasabb szinten található egységtől kezdődik, és a legalacsonyabb szinten található egységig folytatódik. Ez azt jelenti, hogy a szervezeti egységek hierarchiájának legalacsonyabb szintjén lévő számítógépekhez megadott beállítások alkalmazza utoljára a rendszer, így ezek lesznek a legmagasabb prioritású beállítások A felhasználók esetében a házirendek feldolgozása ugyanilyen módon történik. A csoportházirendek tervezésekor figyelembe kell venni néhány további szempontot. A rendszergazdának meg kell határoznia, hogy milyen sorrendben rendelhető hozzá több csoportházirend a szervezeti egységekhez. Az alapértelmezés szerinti sorrend az, amelyben a hozzárendelések történtek a konfigurálási szakaszban. A Hivatkozások sorrendje lista elején található házirendek prioritása magasabb. Ha ugyanaz a beállítás két csoportházirendkészletben is meg van adva, akkor a magasabb prioritású készletben lévő beállítás lesz érvényes ábra: A csoportházirendek feldolgozási sorrendjét meghatározó Hivatkozott csoportházirendobjektumok beépülő modul A csoportházirendek konfigurálásakor megadható a Kényszerített beállítás. Ez a beállítás azt eredményezi, hogy a definiált házirendeket más készletek nem bírálhatják felül, a készletek szintjétől függetlenül. A csoportházirendek beállításainak használata szorosan összefügg a felhasználó és a számítógép objektumok Active Directory címtárszolgáltatásban lévő pozíciójával. Néhány esetben azonban a felhasználóra vonatkozó beállításokat a számítógép objektum pozíciója alapján kell alkalmazni. Ilyen szituációban lehet hasznos a Felhasználói csoportházirend visszacsatolásos feldolgozási mód lehetőség. Ez ugyanis lehetővé teszi egy számítógép konfigurációs beállításait tartalmazó készletből származó felhasználó konfigurációs beállításainak használatát. A hely, a tartomány, valamint a szervezeti egység szintjén megadható az Öröklődés blokkolása beállítás. Bekapcsolásakor a fölérendelt csoportházirend-készletekből származó beállítások nem jut érvényre az alárendelt objektumokon. A Kényszerített és az Öröklődés blokkolása beállítást is tartalmazó konfigurációban a Kényszerített beállítás számít fontosabbnak. A szervezeti egységek fent ajánlott struktúrája (lásd a ábrát) esetében a csoportházirendek alkalmazását meghatározó tervnek tartalmaznia kell olyan csoportházirend-készleteket, amelyek megszabják a következő házirendeket: a tartományra vonatkozó házirendeket,

17 a tartományvezérlőkre vonatkozó házirendeket, a tagkiszolgálókra vonatkozó házirendeket, a szervezet egyes kiszolgálói szerepköreire vonatkozó házirendeket, a Windows 8 szervezeti egységhez tartozó felhasználókra vonatkozó házirendeket, a Számítógépek szervezeti egységhez tartozó számítógépekre vonatkozó házirendeket. A fenti feltételeknek megfelelő struktúrát a ábra szemlélteti. A tartományra vonatkozó házirendek Tartomány gyökere A tartományvezérlőkre vonatkozó házirendek alapkészlete Tagkiszolgálók Részleg Windows Server 2012-kiszolgálókra vonatkozó házirendek alapkészlete Tartományvezérlők Windows Server 2012 Windows 8 Windows 8- felhasználók Windows 8-as számítógépek A Windows 8 felhasználói házirendjei Az Office 2013 felhasználói házirendjei A Windows 8 felhasználói házirendjei Az Office 2013 felhasználói házirendjei Az Internet Explorer 10 felhasználói házirendjei Az Internet Explorer 10 felhasználói házirendjei Az AD DS-kiszolgálókra vonatkozó házirendek A DNS-kiszolgálókra vonatkozó házirendek A fájlkiszolgálókra vonatkozó házirendek Az AD CS-kiszolgálókra vonatkozó házirendek Az RDS-kiszolgálókra vonatkozó házirendek A DHCP-kiszolgálókra vonatkozó házirendek A webkiszolgálókra vonatkozó házirendek A nyomtatókiszolgálókra vonatkozó házirendek Az NPAS-kiszolgálókra vonatkozó házirendek A Hyper-V-kiszolgálókra vonatkozó házirendek ábra: A Windows 8 és a Windows Server 2012 rendszerű infrastruktúra szervezeti egységeinek struktúrája és az egységekhez hozzárendelt csoportházirendek (példa) 2.4. WMI-szűrés használata a csoportházirendek pontos célcsoportjának meghatározásához A Windows rendszer WMI (Windows Management Instrumentation) szolgáltatásával végrehajtott szűrés a Windows XP és a Windows Server 2003 megjelenése óta érhető el. A WMI mechanizmus segítségével dinamikusan ellenőrizhető az azon számítógépekre vonatkozó attribútumok értéke,

18 amelyekhez hozzárendeltük az adott csoportházirend-készletet. Az attribútumok tartalmazzák az eszközök és/vagy a programok konfigurációs adatait. Ilyen attribútumok például a következők: a processzor típusa, a Windows verziója, a számítógép gyártója, a szabad lemezterület mérete, a logikai processzorok száma, a regisztrációs adatbázisból kiolvasott adatok, az illesztőprogramokkal kapcsolatos információk, a fájlrendszer elemei, a hálózati konfiguráció, az alkalmazások adatai. Ha a csoportházirend-készlethez tartozik egy WMI-szűrő, annak feldolgozása a munkaállomáson történik. Ekkor a csoportházirend beállításai csak a WMI-szűrő által meghatározott feltételek teljesülése esetén érvényesülnek. A WMI-lekérdezések létrehozásához a WQL nyelv (WMI Query Language) használható, amely az SQL nyelvhez (Structured Query Language) hasonló nyelv. A lekérdezések szükség esetén AND és OR operátorokkal kapcsolhatók össze. A WMI-lekérdezések a WMI-névtérben hajthatók végre. Az alapértelmezett névtér a root\cimv2. A WMI-szűrő a csoportházirendektől független objektum. A WMI-szűrő használatához hozzá kell rendelni azt a csoportházirend-készlethez (lásd a ábrát) ábra: A WMI-szűrő hozzárendelése a csoportházirend-készlethez Minden csoportházirend-készlethez csak egy WMI-szűrő tartozhat. Ugyanaz a WMI-szűrő azonban több csoportházirendhez is hozzárendelhető. A WMI-szűrőnek és a kapcsolódó csoportházirendkészletnek ugyanabban a tartományban kell lennie. A táblázat a WMI-szűrők néhány példáját mutatja be.

19 Feltétel Felügyeleti cél WMI-szűrő Konfiguráció A Microsoft Network Monitor (Netmon.exe) bekapcsolásának letiltása azokon a munkaállomásokon, amelyeken be van kapcsolva a csoportos küldés Időzóna Javítások Számítógép típusa Akkumulátor típusa Telepített szoftverek Operációs rendszer Erőforrások A házirendek alkalmazása a Magyarországon található összes kiszolgálón A házirendek használata olyan számítógépeken, amelyeken megtalálható az adott frissítés A házirendek használata csak a hordozható számítógépeken A házirendek használata csak a lítiumion akkumulátorral rendelkező számítógépeken Szoftver hozzárendelése csak azokhoz a számítógépekhez, amelyeken megtalálható egy vagy több megadott szoftvercsomag A házirendek használata kizárólag Windows 8 rendszerű számítógépeken A házirendek használata kizárólag azokon a számítógépeken, amelyek helyi merevlemezein legalább 4 GB szabad terület van SELECT * FROM Win32_NetworkProtocol WHERE SupportsMulticasting = true Root\cimv2 ; SELECT * FROM win32_timezone WHERE bias =-60 Root\cimv2 ; SELECT * FROM Win32_QuickFixEngineering WHERE HotFixID = 'q147222' Root\CimV2; SELECT * FROM Win32_ComputerSystem WHERE PCSystemType = 2 Root\CimV2; SELECT * FROM Win32_Battery WHERE Chemistry = '6' Root\cimv2; SELECT * FROM Win32_Product WHERE name = "MSIPackage1" OR name = "MSIPackage2" Root\CimV2; SELECT * FROM Win32_OperatingSystem WHERE Version >= 6.2 Root\CimV2; SELECT * FROM Win32_LogicalDisk WHERE FreeSpace > AND MediaType = táblázat: A WMI-szűrők használatát bemutató példák A WMI-szűrők létrehozásához és kezeléséhez a következő eszközök nyújtanak segítséget: WMI Administrative Tools WMI Code Creator Windows PowerShell Scriptomatic A Local Policy Tool eszköz áttekintése A Security Compliance Manager tartalmaz egy LocalGPO nevű parancssori eszközt. Ezzel az eszközzel számos karbantartási művelet végrehajtható a csoportházirendek beállításkészletein, például: a biztonsági beállítások alkalmazása a csoportházirendek helyi beállításainak környezetében; a csoportházirendek helyi beállításainak exportálása;

20 beállításokat tartalmazó csomagok létrehozása, amelyek olyan munkaállomásokon is alkalmazhatók, amelyeken nincs telepítve a LocalGPO eszköz; a csoportházirendek helyi készleteinek központosítása a Multiple Local GPO (MLGPO) eszköz segítségével; a grafikus felület frissítése a csoportházirend-készletek azon beállításainak megjelenítéséhez, amelyek az MSS-csoporthoz tartoznak (Microsoft Solutions for Security). Az SCM telepítőprogramja nem telepíti automatikusan a LocalGPO eszközt. A telepítés a c:\program Files (x86)\microsoft Security Compliance Manager\LGPO mappában található LocalGPO.msi fájl futtatásával indítható el. A kívánt telepítési beállítások a telepítővarázsló segítségével választhatók ki. A LocalGPO telepítése után a Start menüben megjelenik a LocalGPO mappa: ábra: A LocalGPO mappa a Start menüben 2.6. Az Attack Surface Analyzer (ASA) eszköz áttekintése A Microsoft által kiadott Attack Surface Analyzer (ASA) eszköz segítségével meghatározhatók a számítógép operációs rendszerében a szoftverek telepítése közben végrehajtott változtatások. Az ASA használata előtt minden esetben pillanatkép készül a számítógép állapotáról. A szoftverek telepítése után megjelenik a következő területeken végrehajtott módosításokat tartalmazó jelentés: szolgáltatások, illesztőprogramok, futó folyamatok, COM-vezérlők, DCOM-kiszolgálók, a DCOM alapértelmezett jogosultságai, a fájlnévkiterjesztések társításai, Microsoft ActiveX-vezérlők, az Internet Explorer csatlakoztatható protokollkezelői, az Internet Explorer beavatkozás nélküli jogosultságiszint-emelési bejegyzései, az Internet Explorer jóváhagyott vezérlői, portok, a nevek forrásai, tűzfalszabályok, a távoli eljáráshívások végpontjai, az elérési utak bejegyzései, csoportok és csoporttagságok, hálózati eszközök.

21 Az ASA által összeállított jelentések segítségével könnyen megállapítható, hogy a szoftverek telepítése milyen hatással van a Windows funkcióira, és a szoftverek telepítése is egyszerűen ellenőrizhető A felügyelt szolgáltatásfiókok (MSA-fiókok) mechanizmusának áttekintése A Windows 7 SP1 és a Windows Server 2008 R2 egyik új funkciója a felügyelt szolgáltatásfiók (Managed Service Accounts MSA), amellyel csökkenthető a szolgáltatások kezeléséhez használt fiókok veszélyeztetettsége. A rendszergazda a helyi munkaállomásokon beállíthatja az alkalmazásokat a Helyi szolgáltatás, a Hálózati szolgáltatás vagy a Helyi rendszer fiók környezetében történő futtatásra. A tartomány esetében azonban a hatókör nem teszi lehetővé ezek használatát. Ha az alkalmazások futtatása az általános jogú felhasználói fiókokkal történik, meg kell határozni a jelszavak kezelésére vonatkozó irányelveket. A felügyelt szolgáltatásfiókok teljes automatizálást tesznek lehetővé ezen a területen. Ezenkívül egyszerű szolgáltatásnév (Service Principal Name SPN), valamint az SPN kezelésének delegálása is beállítható hozzájuk. A felügyelt szolgáltatásfiókok kizárólag a PowerShellel kezelhetők. A Windows Server 2008 és Windows Server 2003 rendszerben működő tartományvezérlők támogatják a felügyelt szolgáltatásfiókokat. A Windows 8 és a Windows Server 2012 rendszerben vezették be az MSA-csoportokat. Ezekkel a csoportokkal a felügyelt szolgáltatásfiókok olyan környezetben is használhatók, ahol több számítógépen ugyanazzal a fiókkal kell futtatni a szolgáltatásokat A tartományi házirendek beállításai Az Active Directory tartományi szolgáltatások címtárszolgáltatásainak objektumaihoz alapértelmezés szerint korlátozott számú biztonsági beállítás használható. Ezek a beállítások a Számítógép konfigurációja ágban adhatók meg a következő bejegyzéseknél: Jelszóházirend Fiókzárolási házirend Az ezekhez a bejegyzésekhez tartozó beállítások részletes ismertetése az alábbiakban olvasható. A Security Compliance Manager (SCM) a kiszolgálói szerepkörtől függő beállításokra vonatkozó javaslatokat is tartalmaz A Fiókházirend készlet beállításainak konfigurálása Az informatikai rendszerek biztonságának egyik kulcsfontosságú feltétele a körültekintően átgondolt és kidolgozott jelszókezelési irányelv. Az egyes elemekre vonatkozó szabályokat, például a jelszavak bonyolultságára, a jelszómódosítás gyakoriságára és a jelszavak tárolására vonatkozó előírásokat a teljes rendszervédelmet alkotó általános biztonsági irányelveknek kell meghatározniuk. A jelszavakra vonatkozó házirendek a következő bejegyzésnél szerepelnek: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\fiókházirend\jelszóházirend (Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy)

22 Házirend Fontossági szint Alapértelmezett beállítás A Microsoft által ajánlott beállítás Előző jelszavak megőrzése Kritikus 24 tárolt jelszó 24 tárolt jelszó Jelszó maximális élettartama Kritikus 42 nap 60 nap Jelszó minimális élettartama Kritikus 0 nap 1 nap Legrövidebb jelszó Kritikus 0 karakter 14 karakter A jelszónak meg kell felelnie a bonyolultsági feltételeknek A jelszavak tárolása visszafejthető titkosítással Kritikus Engedélyezve Engedélyezve Kritikus Letiltva Letiltva A jelszavakban a következő négy csoportba tartozó karakterek használhatók: Nagybetűk Kisbetűk Számok Különleges karakterek A jelszó akkor tekinthető bonyolultnak (erre vonatkozik A jelszónak meg kell felelnie a bonyolultsági feltételeknek szabály), ha a fentiek közül legalább három csoport karakterei szerepelnek benne. A felhasználók által meghatározott időpontban végrehajtandó jelszócsere érvénybe léptetéséhez meg kell adni a jelszó minimális és maximális élettartamára vonatkozó szabályt. A Jelszó minimális élettartama és a Jelszó maximális élettartama szabályhoz a következő beállításokat kell megadni: Jelszó minimális élettartama A minimális 0 érték azt jelenti, hogy a jelszót bármikor meg lehet változtatni. A maximális 998 érték azt jelenti, hogy a jelszót 998 nap elteltével lehet megváltoztatni. Jelszó maximális élettartama A minimális 0 érték azt jelenti, hogy a jelszó érvényessége soha nem szűnik meg. A maximális 999 érték azt jelenti, hogy a jelszó érvényessége 999 nap elteltével megszűnik. A Jelszó minimális élettartama szabályra és a Jelszó maximális élettartama szabályra a következő feltétel érvényes: Jelszó maximális élettartama >= Jelszó minimális élettartama + 1 A felhasználók alapértelmezés szerint a jelszó minimális, illetve maximális élettartamát megadó paraméter által meghatározott időtartományban változtathatják meg a jelszavukat. Ha le kell tiltani a fenti beállításokkal megadott jelszó-módosítási lehetőséget (a Jelszó módosítása gombot, amely a Ctrl+Alt+Delete billentyű megnyomásakor jelenik meg), ezt a csoportházirendre vonatkozó A Jelszó módosítása gomb eltávolítása beállításnál lehet megtenni, amely a következő bejegyzésben található: Felhasználó konfigurációja\felügyeleti sablonok\rendszer\ctrl+alt+del beállításai 2.9. A részletes jelszóházirendek, valamint a Fiókzárolási házirend beállításainak konfigurálása A felhasználói jelszavakra vonatkozó beállítások között fontos szerepet töltenek be a részletes jelszóházirendek, valamint a Fiókzárolási házirend beállításai.

23 A részletes jelszóházirend olyan megoldás, amely lehetővé teszi egy meghatározott felhasználóhoz vagy felhasználócsoporthoz rendelt jelszóházirend-beállítási modell alkalmazását. Ez a funkció a Windows Server 2008 rendszertől kezdődően érhető el a tartományi szintű tartományi környezetekben. A felhasználói jelszavak megfejtésére irányuló kísérletek ellen a Fiókzárolási házirend nyújt védelmet. A rendszer ezt úgy valósítja meg, hogy számolja a sikertelen bejelentkezési kísérleteket, és végrehajtja a felhasználói fiók adott állapotához rendelt műveletet. A fiókzárolási házirend a következő bejegyzésnél érhető el: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\fiókházirend\fiókzárolási házirend (Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy) Házirend Fontossági szint Alapértelmezett beállítás A Microsoft által ajánlott beállítás Fiókzárolás időtartama Kritikus Nincs 15 perc Fiókzárolás küszöbe Kritikus 0 érvénytelen bejelentkezési kísérlet Fiókzárolási számláló nullázása 5 érvénytelen bejelentkezési kísérlet Kritikus Nincs 15 perc elteltével A számítógép-házirendek beállításai A Számítógép objektumok biztonsági beállításai az alábbi bejegyzéseknél érhetők el: Naplózási házirend Felhasználói jogok kiosztása Biztonsági beállítások Eseménynapló Fokozott biztonságú Windows tűzfal Felügyeleti sablonok A Naplózási házirend részletes beállításainak konfigurálása A Naplózási házirend segítségével összegyűjthetők a felhasználók és a rendszer tevékenységére vonatkozó, meghatározott kategóriákba sorolt részletes adatok. A Windows 8 rendszer 9 főkategóriájának és az azokhoz tartozó alkategóriák beállításai a Globális objektum-hozzáférés naplózása bejegyzésnél érhetők el. A főkategóriák naplózási beállításai a következő bejegyzésnél találhatók: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\helyi házirend\naplózási házirend (Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy)

24 Fiókbejelentkezés naplózása Objektum-hozzáférés naplózása Címtárszolgáltatás-hozzáférés naplózása Folyamatok nyomon követésének naplózása Rendszerjogok használatának naplózása Fiókkezelés naplózása Bejelentkezés naplózása Rendszeresemények naplózása Az alkategóriák naplózási beállításai a következő bejegyzésnél találhatók: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\speciális naplórend konfigurálása (Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration) Házirend Hitelesítő adatok érvényesítésének naplózása Kerberos hitelesítési szolgáltatás naplózása Kerberos-jeggyel kapcsolatos műveletek naplózása Egyéb fiókbejelentkezési események naplózása Alkalmazáscsoportok kezelésének naplózása Számítógépfiókok kezelésének naplózása Terjesztési csoportok kezelésének naplózása Egyéb fiókkezelési események naplózása Biztonsági csoportok kezelésének naplózása Felhasználói fiókok kezelésének naplózása DPAPI-tevékenység naplózása Folyamat-létrehozás naplózása Folyamatleállítás naplózása Távoli eljáráshívási események naplózása Fontossági szint Alapértelmezett beállítás A Microsoft által ajánlott beállítás Kritikus Nem konfigurált Sikeres és Sikertelen Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Sikeres és Sikertelen Kritikus Sikeres Sikeres és Sikertelen Kritikus Sikeres Sikeres és Sikertelen Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Sikeres Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált

25 Címtárszolgáltatás Kritikus Nem konfigurált Nem konfigurált részletes replikációjának naplózása Címtárszolgáltatáshozzáférés Kritikus Nem konfigurált Nem konfigurált naplózása Címtárszolgáltatás Kritikus Nem konfigurált Nem konfigurált változásainak naplózása Címtárszolgáltatás Kritikus Nem konfigurált Nem konfigurált replikációjának naplózása Fiókzárolás naplózása Kritikus Sikeres Nem konfigurált IPsec kiterjesztett mód Kritikus Nem konfigurált Nem konfigurált naplózása IPsec alapmód naplózása Kritikus Nem konfigurált Nem konfigurált IPsec gyorsmód naplózása Kritikus Nem konfigurált Nem konfigurált Kijelentkezés naplózása Kritikus Sikeres Sikeres Bejelentkezés naplózása Kritikus Sikeres Sikeres és Sikertelen Hálózati házirendkiszolgáló Kritikus Sikeres és Sikertelen Nem konfigurált naplózása Egyéb bejelentkezési és Kritikus Nem konfigurált Nem konfigurált kijelentkezési események naplózása Speciális bejelentkezés Kritikus Sikeres Sikeres naplózása Létrehozott alkalmazás Kritikus Nem konfigurált Nem konfigurált naplózása Központi hozzáférési Kritikus Nem konfigurált Nem konfigurált házirend tesztelésének naplózása Tanúsítványszolgáltatások Kritikus Nem konfigurált Nem konfigurált naplózása Részletes fájlmegosztás Kritikus Nem konfigurált Nem konfigurált naplózása Fájlmegosztás naplózása Kritikus Nem konfigurált Nem konfigurált Fájlrendszer naplózása Kritikus Nem konfigurált Nem konfigurált Szűrőplatform-kapcsolat Kritikus Nem konfigurált Nem konfigurált naplózása Szűrőplatform elvetett Kritikus Nem konfigurált Nem konfigurált csomagjainak naplózása Leíró kezelésének Kritikus Nem konfigurált Nem konfigurált naplózása Kernelobjektum naplózása Kritikus Nem konfigurált Nem konfigurált Egyéb objektumhozzáférési Kritikus Nem konfigurált Nem konfigurált események naplózása Regisztrációs adatbázis Kritikus Nem konfigurált Nem konfigurált naplózása Cserélhető tároló Kritikus Nem konfigurált Nem konfigurált naplózása SAM naplózása Kritikus Nem konfigurált Nem konfigurált Naplórend változásának naplózása Kritikus Sikeres Sikeres és Sikertelen

26 Hitelesítési házirend változásának naplózása Engedélyezési házirend változásának naplózása Szűrőplatform-házirend változásának naplózása MPSSVC szabályszintű házirendváltozás naplózása Egyéb házirend-változási események naplózása Nem bizalmas használati jogok naplózása Egyéb használatijogesemények naplózása Bizalmas használati jogok naplózása IPsec-illesztőprogram naplózása Egyéb rendszeresemények naplózása Biztonsági állapot változásának naplózása Védelmi rendszer bővítményének naplózása Rendszer sértetlenségének naplózása Kritikus Sikeres Sikeres Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Nem konfigurált Kritikus Nem konfigurált Sikeres és Sikertelen Kritikus Nem konfigurált Sikeres és Sikertelen Kritikus Sikeres és Sikertelen Nem konfigurált Kritikus Sikeres Sikeres és Sikertelen Kritikus Nem konfigurált Sikeres és Sikertelen Kritikus Sikeres és Sikertelen Sikeres és Sikertelen Fájlrendszer Kritikus Nem konfigurált Nem konfigurált Regisztrációs adatbázis Kritikus Nem konfigurált Nem konfigurált A felhasználói jogok kiosztása házirend beállításainak konfigurálása A Felhasználói jogok kiosztása házirend olyan beállításkészletet tartalmaz, amellyel pontosan meghatározott tevékenységek delegálhatók a felhasználóknak az operációs rendszerben. A Felhasználói jogok kiosztása házirend beállításai a következő bejegyzésnél találhatók: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\helyi házirend\felhasználói jogok kiosztása (Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment)

27 Házirend Memórialapok zárolása Hibakeresés programokban Munkaállomás hozzáadása a tartományhoz Folyamat memóriakvótájának módosítása Az operációs rendszer részeként való működés Biztonsági naplózás létrehozása Bejelentkezés szolgáltatásként Bejelentkezés kötegfájlfolyamatként Eszközillesztők betöltése és eltávolítása a memóriából Objektumcímke módosítása Belső vezérlőprogram környezeti értékeinek módosítása Bejárás ellenőrzésének mellőzése Távoli asztali szolgáltatások használatával történő bejelentkezés tiltása A számítógép hálózati elérésének megtagadása Fontossági szint Alapértelmezett beállítás A Microsoft által ajánlott beállítás Fontos - - Kritikus Rendszergazdák Rendszergazdák Fontos - - Fontos Rendszergazdák, Helyi szolgáltatás, Hálózati szolgáltatás Rendszergazdák, Helyi szolgáltatás, Hálózati szolgáltatás Kritikus - - Kritikus Helyi szolgáltatás, Hálózati szolgáltatás Helyi szolgáltatás, Hálózati szolgáltatás Kritikus NT-szolgáltatások\Az összes - szolgáltatás Fontos Rendszergazdák, - Biztonságimásolatfelelősök, Teljesítménynapló felhasználói Fontos Rendszergazdák Rendszergazdák Fontos - - Fontos Rendszergazdák Rendszergazdák Kritikus Rendszergazdák, Biztonságimásolatfelelősök, Helyi szolgáltatás, Hálózati szolgáltatás, Felhasználók, Mindenki Választható - Vendégek Kritikus Vendégek Vendégek Rendszergazdák, Hálózati szolgáltatás, Helyi szolgáltatás, Felhasználók Helyi bejelentkezés Kritikus Vendégek Vendégek

28 megtagadása Szolgáltatáskénti bejelentkezés megtagadása Kötegelt munka bejelentkezésének megtagadása Delegálás engedélyezése számítógépeknek és felhasználói fiókoknak Kritikus - - Kritikus - Vendégek Kritikus - - Ügyfél megszemélyesítése hitelesítés után Egyetlen folyamat kiértékelése Rendszerteljesítmény kiértékelése Fájlok és más objektumok saját tulajdonba vétele Fájlok és mappák visszaállítása Címtár-szolgáltatási adatok szinkronizálása Számítógép dokkolásának megszüntetése Szimbolikus hivatkozás létrehozása Tokenobjektum létrehozása Globális objektumok létrehozása Fontos Rendszergazdák, Szolgáltatás, Helyi szolgáltatás, Hálózati szolgáltatás Rendszergazdák, Szolgáltatás, Helyi szolgáltatás, Hálózati szolgáltatás Fontos Rendszergazdák Rendszergazdák Fontos Rendszergazdák, NTszolgáltatás\WdiServiceHosszolgáltatás\WdiServiceHost Rendszergazdák, NT- Fontos Rendszergazdák Rendszergazdák Fontos Rendszergazdák, Rendszergazdák Biztonságimásolat-felelősök Fontos - - Választható Rendszergazdák, Felhasználók Fontos Rendszergazdák Rendszergazdák Fontos - - Fontos Rendszergazdák, Szolgáltatás, Helyi szolgáltatás, Hálózati szolgáltatás Rendszergazdák, Szolgáltatás, Helyi szolgáltatás, Hálózati szolgáltatás Lapozófájl létrehozása Kritikus Rendszergazdák Rendszergazdák - Állandó megosztott objektum létrehozása Hozzáférés a hitelesítő adatok kezelőjéhez megbízható hívóként Fontos - - Fontos - -

29 A számítógép elérése a hálózatról Kritikus Rendszergazdák, Biztonságimásolatfelelősök, Felhasználók, Mindenki Rendszergazdák, Felhasználók Fájlok és mappák biztonsági mentése Kötet-karbantartási műveletek végrehajtása Kényszerített leállítás távoli rendszerről Fontos Rendszergazdák, Biztonságimásolat-felelősök Rendszergazdák Kritikus Rendszergazdák Rendszergazdák Kritikus Rendszergazdák Rendszergazdák Folyamatszintű token lecserélése Fontos Helyi szolgáltatás, Hálózati szolgáltatás Helyi szolgáltatás, Hálózati szolgáltatás Leállítás Fontos Rendszergazdák, Biztonságimásolatfelelősök, Rendszergazdák, Felhasználók Felhasználók A naplózás és a biztonsági napló kezelése Kritikus Rendszergazdák Rendszergazdák Helyi bejelentkezés engedélyezése Kritikus Rendszergazdák, Vendégek, Biztonságimásolatfelelősök, Felhasználók Rendszergazdák, Felhasználók Távoli asztali szolgáltatásokkal történő bejelentkezés engedélyezése A rendszeridő megváltoztatása Fontos Rendszergazdák, Asztal távoli felhasználói Fontos Rendszergazdák, Helyi szolgáltatás Rendszergazdák, Helyi szolgáltatás Időzóna módosítása Fontos Rendszergazdák, Helyi szolgáltatás, Felhasználók Rendszergazdák, Helyi szolgáltatás, Felhasználók Ütemezési prioritás Fontos Rendszergazdák Rendszergazdák növelése Folyamat munkakészletének növelése Fontos Felhasználók Rendszergazdák, Helyi szolgáltatás A biztonsági beállítások konfigurálása A Biztonsági beállítások bejegyzésnél található, csoportokba sorolt beállítások lehetővé teszik a rendszerbiztonság részletes konfigurálását. Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\helyi házirend\biztonsági beállítások (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options) -

30

31 Házirend Tartományi tag: Számítógépfiók jelszavának maximális élettartama Tartományi tag: Az adatok digitális aláírása (ha lehet) Tartományi tag: Az adatok digitális titkosítása (ha lehet) Tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig) Tartományi tag: Számítógépfiók jelszómódosításainak tiltása Tartományi tag: Erős (Windows 2000 vagy frissebb rendszerű) munkamenetkulcs megkövetelése DCOM: Számítógéphozzáférési korlátozások Security Descriptor Definition Language (SDDL) szintaxissal DCOM: Számítógépindítási korlátozások Security Descriptor Definition Language (SDDL) szintaxissal Hálózati hozzáférés: Névtelenül elérhető nevesített csövek Fontossági szint Alapértelmezett beállítás A Microsoft által ajánlott beállítás Kritikus 30 nap 30 nap Kritikus Bekapcsolva Bekapcsolva Kritikus Bekapcsolva Bekapcsolva Kritikus Bekapcsolva Bekapcsolva Kritikus Kikapcsolva Kikapcsolva Kritikus Kikapcsolva Bekapcsolva Választható Nem definiált Nem definiált Választható Nem definiált Nem definiált Fontos - Nem definiált

32 Hálózati hozzáférés: A SAM-fiókok azonosítás nélküli kiértékelése nem engedélyezett Hálózati hozzáférés: A SAM-fiókok és - megosztások azonosítás nélküli kiértékelése nem engedélyezett Hálózati hozzáférés: Nem lehet jelszót vagy hitelesítő adatokat tárolni hálózati hitelesítéshez Hálózati hozzáférés: Nevesített csövek és megosztások azonosítatlan elérésének korlátozása Hálózati hozzáférés: Távolról elérhető regisztrációs adatbázis elérési utak Kritikus Bekapcsolva Bekapcsolva Kritikus Kikapcsolva Bekapcsolva Kritikus Kikapcsolva Nem definiált Fontos Bekapcsolva Bekapcsolva Fontos System\CurrentControl Set\Control\ProductOp tions System\CurrentControl Set\Control\Server Applications Software\Microsoft\Wi ndows NT\CurrentVersion System\CurrentControl Set\Control\ProductOp tions System\CurrentControl Set\Control\Server Applications Software\Microsoft\Wi ndows NT\CurrentVersion

33 Hálózati hozzáférés: Távolról elérhető regisztrációs adatbázis elérési utak és alelérési utak Hálózati hozzáférés: Megosztási és biztonsági modell helyi felhasználói fiókok számára Fontos Kritikus System\CurrentControl Set\Control\Print\Print ers System\CurrentControl Set\Services\Eventlog Software\Microsoft\OL AP Server Software\Microsoft\Wi ndows NT\CurrentVersion\Pri nt Software\Microsoft\Wi ndows NT\CurrentVersion\Wi ndows System\CurrentControl Set\Control\ContentInd ex System\CurrentControl Set\Control\Terminal Server System\CurrentControl Set\Control\Terminal Server\UserConfig System\CurrentControl Set\Control\Terminal Server\DefaultUserCon figuration Software\Microsoft\Wi ndows NT\CurrentVersion\Per flib System\CurrentControl Set\Services\SysmonLo g Klasszikus a helyi felhasználók saját magukként történő hitelesítése System\CurrentControl Set\Control\Print\Print ers System\CurrentControl Set\Services\Eventlog Software\Microsoft\OL AP Server Software\Microsoft\Wi ndows NT\CurrentVersion\Pri nt Software\Microsoft\Wi ndows NT\CurrentVersion\Wi ndows System\CurrentControl Set\Control\ContentInd ex System\CurrentControl Set\Control\Terminal Server System\CurrentControl Set\Control\Terminal Server\UserConfig System\CurrentControl Set\Control\Terminal Server\DefaultUserCon figuration Software\Microsoft\Wi ndows NT\CurrentVersion\Per flib System\CurrentControl Set\Services\SysmonLo g Klasszikus a helyi felhasználók saját magukként történő hitelesítése Hálózati hozzáférés: azonosítatlanul elérhető megosztások Hálózati hozzáférés: Azonosítatlanul helyazonosító- /névfordítás engedélyezése Fontos Nem definiált Nem definiált Kritikus Kikapcsolva Kikapcsolva

34 Hálózati hozzáférés: A azonosítatlan felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkozzanak Naplózás: Globális rendszerobjektumokhoz való hozzáférések naplózása Naplózás: A biztonsági mentés és a helyreállítás jogának naplózása Naplózás: A naplórend alkategória-beállításai (Windows Vista vagy újabb) felülbírálják a naplórend kategóriabeállításait Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (ha a kiszolgáló egyetért) Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig) Microsoft hálózati ügyfél: Titkosítatlan jelszavak küldése egyéb SMBkiszolgálóknak Helyreállítási konzol: Automatikus rendszergazdai bejelentkezés Kritikus Kikapcsolva Kikapcsolva Kritikus Kikapcsolva Nem definiált Kritikus Kikapcsolva Nem definiált Kritikus Nem definiált Bekapcsolva Kritikus Kikapcsolva Kikapcsolva Kritikus Bekapcsolva Bekapcsolva Kritikus Kikapcsolva Bekapcsolva Kritikus Kikapcsolva Kikapcsolva Kritikus Kikapcsolva Kikapcsolva

35 Helyreállítási konzol: Hajlékonylemez másolása és hozzáférés minden meghajtóhoz és mappához Fiókok: Microsoft-fiókok blokkolása Fiókok: Az üres jelszó használatának konzolbejelentkezésekre korlátozása a helyi fiókoknál Fiókok: A rendszergazdai fiók állapota Fiókok: A vendég fiók állapota Fiókok: A rendszergazdai fiók átnevezése Fiókok: A vendégfiók átnevezése Felhasználói fiókok felügyelete: Csak a biztonságos helyre telepített alkalmazások UIAccess jogának megemelése Felhasználói fiókok felügyelete: Csak aláírt és érvényesített végrehajtható fájlok jogosultságszintjének emelése Felhasználói fiókok felügyelete: Jogosultságszint-emelési kérés során átváltás biztonsági asztalra Fontos Kikapcsolva Kikapcsolva Kritikus Nem definiált A felhasználók nem vehetnek fel Microsoftfiókokat és nem jelentkezhetnek be velük Kritikus Bekapcsolva Bekapcsolva Kritikus Kikapcsolva Kikapcsolva Kritikus Kikapcsolva Kikapcsolva Kritikus Rendszergazda Nem definiált Fontos Vendég Nem definiált Kritikus Bekapcsolva Bekapcsolva Kritikus Kikapcsolva Kikapcsolva Kritikus Bekapcsolva Bekapcsolva

36 Felhasználói fiók felügyelete: Rendszergazdai engedélyezéses mód a beépített rendszergazdai fiókhoz Felhasználói fiókok felügyelete: Minden rendszergazda rendszergazdai engedélyezéses módban fut Felhasználói fiókok felügyelete: A fájl- és regisztrációs adatbázisírási hibák felhasználónként különböző helyekre történő virtualizálása Felhasználói fiókok felügyelete: Alkalmazástelepítések észlelése, és figyelmeztetés a jogosultságszint emelésére Kritikus Kikapcsolva Bekapcsolva Kritikus Bekapcsolva Bekapcsolva Kritikus Bekapcsolva Bekapcsolva Kritikus Bekapcsolva Bekapcsolva Felhasználói fiókok felügyelete: A jogosultságszintemelési kérés működése rendszergazdák esetében, rendszergazdai engedélyezéses módban Felhasználói fiókok felügyelete: A jogosultságszintemelési kérés működése általános jogú felhasználók esetében Kritikus Kritikus Beleegyezés kérése nem Windows-alapú bináris fájlokhoz Hitelesítő adatok kérése Hozzájárulás kérése a biztonságos asztalon Az emelési kérelmek automatikus megtagadása

37 Felhasználói fiókok felügyelete: Az alkalmazások kérhetik a UIAccess jog emelését a biztonsági asztal használata nélkül Rendszerkriptográfia: FIPS szabványnak megfelelő algoritmus használata titkosításhoz, kivonatoláshoz és aláíráshoz Rendszerkriptográfia: Kulcs erős védelmének kényszerítése a számítógépen tárolt felhasználói kulcsok esetén Interaktív bejelentkezés: Tartományvezérlő nélküli bejelentkezés helyileg tárolt információval Interaktív bejelentkezés: Számítógép üresjárati korlátja Interaktív bejelentkezés: A felhasználó figyelmeztetése a jelszó lejárta előtt Interaktív bejelentkezés: Nincs szükség CTRL+ALT+DEL billentyűkombinációra Interaktív bejelentkezés: Ne jelenjen meg a legutóbb bejelentkezett felhasználó neve Interaktív bejelentkezés: Számítógépfiókok zárolási küszöbértéke Interaktív bejelentkezés: Bejelentkezési üzenet a felhasználóknak Interaktív bejelentkezés: Bejelentkezési üzenet címe Interaktív bejelentkezés: Intelligens kártya szükséges Kritikus Kikapcsolva Kikapcsolva Fontos Kikapcsolva Bekapcsolva Fontos Kikapcsolva Nem definiált Kritikus 10 bejelentkezés 4 bejelentkezés Kritikus Nem definiált 900 másodperc Kritikus 14 nap 14 nap Kritikus Nem definiált Kikapcsolva Kritikus Kikapcsolva Bekapcsolva Kritikus Nem definiált 10 érvénytelen bejelentkezési kísérlet Kritikus Nem definiált Nem definiált Kritikus Nem definiált Nem definiált Fontos Kikapcsolva Nem definiált

38 Interaktív bejelentkezés: A munkaállomás zárolásának feloldásához tartományvezérlői hitelesítésre van szükség Interaktív bejelentkezés: Felhasználói információ megjelenítése a munkamenet zárolásakor Interaktív bejelentkezés: Viselkedés intelligens kártya eltávolításakor Rendszerobjektumok: A nem Windows alrendszerek esetén a kis- és nagybetűk megkülönböztetésének tiltása Rendszerobjektumok: A belső rendszerobjektumok (pl. szimbolikus hivatkozások) alapértelmezett engedélyeinek szigorítása Microsoft hálózati kiszolgáló: A munkamenet felfüggesztéséhez szükséges üresjárati idő Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (ha az ügyfél egyetért) Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) Microsoft hálózati kiszolgáló: A kiszolgáló SPN-tárolónevének ellenőrzési szintje Microsoft hálózati kiszolgáló: Ügyfelek leválasztása a munkaidő végén Eszközök: A CD-ROM használatához kötelező bejelentkezni a helyi számítógépre Kritikus Kikapcsolva Kikapcsolva Fontos Nem definiált Nem definiált Fontos Nincs művelet Munkaállomás zárolása Fontos Bekapcsolva Bekapcsolva Kritikus Bekapcsolva Bekapcsolva Kritikus 15 perc 15 perc Kritikus Kikapcsolva Bekapcsolva Kritikus Kikapcsolva Bekapcsolva Kritikus Nem definiált Elfogadás, ha az ügyfél biztosítja Kritikus Bekapcsolva Bekapcsolva Választható Nem definiált Nem definiált

39 Eszközök: A hajlékonylemez használatához kötelező bejelentkezni a helyi számítógépre Eszközök: A felhasználók nem telepíthetnek nyomtatókat Eszközök: Dokkolás megszüntethető bejelentkezés nélkül is Eszközök: Cserélhető adathordozó formázása és kiadása a következő csoportok tagjainak engedélyezett Rendszerbeállítások: Választható alrendszerek Rendszerbeállítások: Tanúsítványszabályok használata a futtatható fájlokra vonatkozó szoftverkorlátozási házirendekben Hálózati biztonság: Minimális biztonság az NTLM SSP alapú (a biztonságos RPC is) ügyfelekkel Hálózati biztonság: Minimális munkamenetbiztonság az NTLM SSP alapú (a biztonságos RPC is) ügyfelekkel Hálózati biztonság: A következő jelszómódosításkor ne tárolja a LAN-Manager üzenetkivonatát Hálózati biztonság: LAN- Manager hitelesítési szintje Hálózati biztonság: LDAPügyfél aláírási követelményei Hálózati biztonság: A Kerberos-ügyfél által használható titkosítási típusok konfigurálása Választható Nem definiált Nem definiált Fontos Kikapcsolva Nem definiált Választható Bekapcsolva Nem definiált Fontos Nem definiált Rendszergazdák és Interaktív felhasználók Választható Posix Nem definiált Fontos Kikapcsolva Nem definiált Kritikus 128 bites titkosítás NTLMv2 munkamenet megkövetelése, 128 bites titkosítás Kritikus 128 bites titkosítás NTLMv2 munkamenet megkövetelése, 128 bites titkosítás Kritikus Bekapcsolva Bekapcsolva Kritikus Csak NTLMv2-válaszok küldése Csak NTLMv2-válaszok küldése. LM és NTLM visszautasítása. Kritikus Aláírás egyeztetése Aláírás egyeztetése Fontos Nem definiált RC4/AES128/AES256/ Jövőbeli hitelesítési típusok

40 Hálózati biztonság: Az NTLM korlátozása: Kiszolgálókivételek hozzáadása ebből a tartományból Hálózati biztonság: Az NTLM korlátozása: Távolikiszolgáló-kivételek hozzáadása az NTLM hitelesítéshez Hálózati biztonság: Az NTLM korlátozása: A bejövő NTLM-forgalom naplózása Hálózati biztonság: Az NTLM korlátozása: Az NTLM hitelesítés naplózása ebben a tartományban Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom Hálózati biztonság: Az NTLM korlátozása: NTLM hitelesítés ebben a tartományban Hálózati biztonság: Az NTLM korlátozása: Távoli kiszolgálókra kimenő NTLM-forgalom Hálózati biztonság: Kötelező kijelentkezés munkaidő lejártakor Hálózati biztonság: A NULL munkamenetre való visszatérés engedélyezése LocalSystem fiók használata esetén Hálózati biztonság: A Helyi rendszer használhatja a számítógép identitását az NTLM hitelesítéshez Hálózati biztonság: A számítógép PKU2U hitelesítési kérelmeinek engedélyezése az online azonosító adatok használatához Kritikus Nem definiált Nem definiált Kritikus Nem definiált Nem definiált Kritikus Nem definiált Nem definiált Kritikus Nem definiált Nem definiált Kritikus Nem definiált Nem definiált Kritikus Nem definiált Nem definiált Kritikus Nem definiált Nem definiált Fontos Kikapcsolva Nem definiált Fontos Nem definiált Kikapcsolva Fontos Nem definiált Bekapcsolva Fontos Nem definiált Kikapcsolva

41 Leállítás: Virtuális memória lapozófájljának törlése Leállítás: A rendszer leállítható bejelentkezés nélkül Kritikus Kikapcsolva Kikapcsolva Fontos Bekapcsolva Bekapcsolva Az MSS beállításainak konfigurálása A számos biztonsági beállítás között olyanok is találhatók, amelyek nem tartoznak csoportházirendhez. Ezeket a beállításokat közvetlenül a regisztrációs adatbázisban lehet megadni. Az ilyen típusú beállításokhoz az MSS előtag tartozik (Microsoft Solutions for Security). Az MSS-beállítások kezelésének egyik fontos szempontja az, hogy ezek a beállítások nem törlődnek a biztonsági sablonok törlésekor. Emiatt ezeket a beállításokat manuálisan kell konfigurálni a regisztrációs adatbázisban (regedit32.exe) Az SMB-csomagok digitális aláírási házirendjéhez kapcsolódó potenciális veszélyek Az SMB protokoll (Server Message Block) más néven CIFS (Common Internet File System) biztosítja a számítógép erőforrásainak például a fájlok, a nyomtatók vagy a soros portok megosztását. Amikor az SMB 1-es verzióját használó kliens csatlakozik nem Vendég fiókkal, illetve nem névtelen bejelentkezés használatával, és be van kapcsolva az SMB aláírásának funkciója, akkor a kliens bekapcsolja a kommunikáció digitális aláírását a kiszolgálón, így a következő kapcsolódó munkamenetek örökölni fogják a digitálisan aláírt SMB-kommunikációt, és ilyen kommunikációt fognak használni. A Windows 8 rendszerben a biztonsági házirendek megerősítéséhez a kiszolgáló által hitelesített kapcsolatok nem lehetnek Vendég vagy Névtelen szintűek. A fenti szabály nem vonatkozik az olyan helyzetre, amelyben a tartományvezérlők Windows Server 2003 rendszerrel, a kliens munkaállomások pedig Windows Vista SP2 vagy Windows Server 2008 rendszerrel működnek. Figyelembe véve a fentieket, az SMB-csomagok aláírási házirendjének egységes betartásához a következő bejegyzésnél található beállításokat kell alkalmazni: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\helyi házirend\biztonsági beállítások (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options) A Windows Server 2003 rendszerrel működő tartományvezérlő esetében: Házirend Fontossági szint Alapértelmezett beállítás A Microsoft által ajánlott beállítás

42 Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (ha az ügyfél egyetért) Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) Kritikus Bekapcsolva Bekapcsolva Kritikus Bekapcsolva Bekapcsolva A tartományban lévő, Windows Vista SP1 vagy Windows Server 2008 rendszerrel működő számítógépek esetében: Házirend Fontossági szint Alapértelmezett beállítás Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (ha az ügyfél egyetért) Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) A Microsoft által ajánlott beállítás Kritikus Kikapcsolva Bekapcsolva Kritikus Kikapcsolva Bekapcsolva Az említett problémák a Windows Server 2008 SP2 és a Windows Vista SP2 rendszerekben már meg megoldott Az NTLM-hitelesítés használatának korlátozása Az NT LAN Manager (NTLM) hitelesítési módszer általánosan használt módszer a számítógépes hálózatokban még akkor is, ha rendelkezésre állnak a Windows rendszerbeli hitelesítés biztonságosabb protokolljai. A Windows 8 rendszerben új biztonsági házirendek jelentek meg, amelyekkel megvizsgálható és korlátozható az NTLM használata az informatikai környezetben. Ezen funkciók közé tartozik az adatgyűjtés, az NTLM-forgalom elemzése, valamint egy folyamat, amely korlátozza az NTLM-forgalmat, előnyben részesítve az olyan erősebb hitelesítési protokollokat, mint a Kerberos. Az NTLM protokoll használatának korlátozásához ismerni kell azt, hogyan használják az alkalmazások ezt a protokollt, valamint azokat a stratégiákat és lépéseket, amelyekkel az infrastruktúra beállítható a más protokollokkal való együttműködésre. Az NTLM-forgalom használatának vizsgálatát és korlátozását lehetővé tevő házirend a következő bejegyzésnél található: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\helyi házirend\biztonsági beállítások (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options)

43 A házirendben foglalt beállítások két csoportba sorolhatók.

44 Vizsgálat: o o Hálózati biztonság: Az NTLM korlátozása: A bejövő NTLM-forgalom naplózása Hálózati biztonság: Az NTLM korlátozása: Az NTLM hitelesítés naplózása ebben a tartományban Korlátozás: o o o Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom Hálózati biztonság: Az NTLM korlátozása: NTLM hitelesítés ebben a tartományban Hálózati biztonság: Az NTLM korlátozása: Távoli kiszolgálókra kimenő NTLM-forgalom Az Eseménynapló beállításainak konfigurálása A Windows rendszer védelmével kapcsolatos egyik legfontosabb feladat az események naplózása, amelyet az Eseménynapló szolgáltatással lehet végrehajtani. A konfiguráció fontos elemei a naplók méretére, a hozzáférési jogokra és az események felülírására vonatkozó attribútumok. Az említett attribútumok a következő bejegyzésnél található házirendben adhatók meg: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\eseménynapló (Computer Configuration\Windows Settings\Security Settings\Event Log) Alkalmazásnapló maximális mérete Rendszernapló maximális mérete Biztonsági napló maximális mérete Alkalmazásnapló megőrzési módja Rendszernapló megőrzési módja A biztonsági napló megőrzési módja A helyi vendégek csoportja nem férhet hozzá az alkalmazásnaplóhoz A helyi vendégek csoportja nem férhet hozzá a rendszernaplóhoz A helyi vendégek csoportja nem férhet hozzá a biztonsági naplóhoz Alkalmazásnapló megőrzése adott napig Rendszernapló megőrzése adott napig Biztonsági napló megőrzése adott napig A Fokozott biztonságú Windows tűzfal beállításainak konfigurálása A Fokozott biztonságú Windows tűzfal részletes beállításai a csoportházirendek szintjén, a következő bejegyzésnél érhetők el: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\fokozott biztonságú Windows tűzfal (Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security)

45 ábra: A Fokozott biztonságú Windows tűzfal csoportházirendjeinek beállításai Az elérhető beállításokkal a tűzfal következő funkciói módosíthatók: A Fokozott biztonságú Windows tűzfal tulajdonságai között található általános beállítások A bejövő és a kimenő forgalomra vonatkozó tűzfalszabályok megjelenítése és létrehozása A számítógépek közötti kommunikáció hitelesítésére vonatkozó szabályok megjelenítése és létrehozása A beállítások megadása előtt ki kell választani a megadandó beállításokhoz tartozó hálózati profilt. A Fokozott biztonságú Windows tűzfal az alábbi hálózati profilokat tartalmazza. Tartományi profil A rendszer akkor használja ezt a profilt, amikor a számítógép csatlakozik a hálózathoz, és megtörtént a hitelesítése abban a tartományvezérlőben, amelyhez a számítógép tartozik. A profil alapértelmezett konfigurációja lehetővé teszi a Távoli asztal és a Távsegítség szolgáltatás használatát. Otthoni hálózati profil A rendszer akkor használja ezt a profilt, amikor a helyi rendszergazdai jogokkal rendelkező felhasználó hozzárendeli ezt a profilt az aktuális hálózati kapcsolathoz. Ezt a profilt biztonságos hálózatokban ajánlott használni. Nyilvános profil Ez az alapértelmezett profil, amelyet a rendszer akkor használ, amikor a számítógép nincs tartományhoz csatlakoztatva. Ez a profil tartalmazza a legnagyobb mértékű korlátozásokat, többek között letiltott a bejövő kommunikáció.

46 2.19. A Windows Update szolgáltatás A Windows Update szolgáltatás segítségével rendszeresen ellenőrizhető, hogy a számítógépen megtalálhatók-e a szükséges frissítések. Alapértelmezés szerint a Windows Update webhely teszi közzé az összes javítást. Másik megoldásként létrehozható olyan infrastruktúra, amely lehetővé teszi a javítások helyi terjesztését a Windows Update webhellyel való központi szinkronizálással. Ez egy WSUS-kiszolgáló (Windows Server Update Services) 13 segítségével valósítható meg. A WSUSkiszolgáló használata lehetővé teszi: A Windows Update webhelyről származó, helyben terjesztendő javítások szinkronizálását Helyi Windows Update-kiszolgáló használatát A javítások rendszergazdai felügyeletét A számítógépek (munkaállomások és/vagy kiszolgálók) automatikus frissítését A WSUS-kiszolgáló klienseinek konfigurálásához a következő bejegyzésnél található csoportházirend beállítások használhatók: Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\windows Update (Computer Configuration\Administrative Templates\Windows Components\Windows Update) Ne jelenjen meg a Frissítések telepítése és leállítás beállítás A Windows leállítása párbeszédpanelen Ne a Frissítések telepítése és leállítás beállítás legyen az alapértelmezett érték A Windows leállítása párbeszédpanelen Nem konfigurált A Windows Update Energiagazdálkodás engedélyezése a rendszer automatikus ébresztéséhez és az ütemezett frissítések telepítéséhez Az Automatikus frissítések konfigurálása Adja meg az intraneten található Microsoft frissítési szolgáltatás helyét Automatikus frissítések észlelési gyakorisága A nem rendszergazda felhasználók is kapnak frissítési értesítést Szoftverértesítések bekapcsolása Automatikus frissítések azonnali telepítésének engedélyezése Ajánlott frissítések bekapcsolása az Automatikus frissítéseken keresztül Automatikus újraindítás letiltása ütemezett automatikus frissítések telepítésekor, ha felhasználók vannak bejelentkezve Ismételt újraindítási figyelmeztetés az ütemezett telepítésekhez Újraindítás késleltetése ütemezett telepítéseknél Automatikus frissítések ütemezett frissítéseinek átütemezése Ügyféloldali célcsoport-meghatározás engedélyezése Az intraneten futó Microsoft frissítési szolgáltatás helyéről származó aláírt frissítések engedélyezése A kliensek és a WSUS-kiszolgáló megfelelő működéséhez legalább négy beállítást meg kell adni: 13

47 Adja meg az intraneten található Microsoft frissítési szolgáltatás helyét Az Automatikus frissítések konfigurálása Automatikus újraindítás letiltása ütemezett automatikus frissítések telepítésekor, ha felhasználók vannak bejelentkezve Automatikus frissítések ütemezett frissítéseinek átütemezése A beépített Windows-hitelesítésre irányuló, a hitelesítő adatok továbbítását használó támadások A Microsoft biztonsági tanácsokat tartalmazó dokumentumai (Microsoft Security Advisory MSA) olyan támadások ismertetését is tartalmazzák, amelyek a beépített Windows-hitelesítést (Integrated Windows Authentication IWA) alkalmazó felhasználók hitelesítő adatainak rögzítését célozzák. Ezek a támadások lehetnek betolakodó illetéktelen személyek által intézett támadások vagy olyan megtévesztések, amelyek egy adott hivatkozás használatára veszik rá a felhasználót. Két példa az ilyen jellegű támadásokra: Hitelesítő adatok továbbítása A támadás úgy történik, hogy a támadó a rögzített hitelesítő adatok használatával olyan más szolgáltatásokba jelentkezik be, amelyekhez a megtámadott személynek nincs hozzáférése. Hitelesítő adatok duplikálása Ebben az esetben a támadó a rögzített hitelesítő adatokat arra használja, hogy ismételten bejelentkezzen a megtámadott személy számítógépére. Az ilyen típusú támadások visszaszorítását segíti az EPA funkció (Extended Protection for Authentication), amelyet a Windows 8 és a Windows Server 2012 tartalmaz. A Windows korábbi verzióihoz az EPA funkció frissítésként érhető el. Az EPA funkciónak a Windows korábbi verzióihoz megfelelő konfigurációját a KB tudásbáziscikk ( ismerteti bővebben. A beépített Windows-hitelesítés egyik ismert elve, hogy a hitelesítési válaszok között lehetnek univerzális válaszok is, amelyeket az univerzális jellegük miatt nem nehéz újból felhasználni vagy továbbítani. Ezért minimális megoldásként olyan konstrukciót tanácsos használni a válaszokhoz a kommunikáció során, amelyek a kommunikációs csatornára vonatkozó adatokat is tartalmaznak. A szolgáltatásokra vonatkozó, meghatározott információt is tartalmazó hitelesítési válaszok erősebb védelmet nyújtanak a szolgáltatásoknak. Ilyen információ lehet például az egyszerű szolgáltatásnév (Service Principal Name SPN).

48 3. A rosszindulatú szoftverek elleni védekezés módszerei A rosszindulatú szoftverek (malware, malicious software) közé tartozik minden olyan számítógépes program vagy parancsfájl, amely károkat okozó, ártalmas tevékenységet hajt végre a felhasználó számítógépén. A rosszindulatú szoftverek különféle típusúak lehetnek, például vírusok, férgek, trójai falovak, betörést álcázó programok, illetve kémprogramok (spyware), amelyek adatokat gyűjtenek a felhasználó tevékenységéről a felhasználó beleegyezése nélkül. A Windows 8 a Windows Vista és a Windows 7 rendszer technológiai alapjaira épül. Ezek a technológiák több olyan új megoldást is tartalmaznak, amelyek a rosszindulatú szoftverek elleni védekezéshez használhatók. A Windows 8 rendszerben elérhető új böngészőben, az Internet Explorer 10-ben több fontos és továbbfejlesztett biztonsági funkció is szerepel, amelyekkel megakadályozható a nemkívánatos szoftverek telepítése. Ezek a funkciók a böngésző biztonságának növelésén túl a személyes adatok jogosulatlan átvitelének megakadályozásával az adatvédelemről is gondoskodnak. A Windows 8 lehetőséget nyújt az Internet Explorer 10 teljes eltávolítására, ha ez szükséges. A Microsoft Security Compliance Manager (SCM) eszköz tartalmazza az Internet Explorer 10 böngészőhöz ajánlott alapszint-beállításokat, amelyek megkönnyítik a böngésző biztonsági beállításainak megfelelő konfigurálását. A Windows 8 rendszerben bevezetett új biztonsági funkciók ajánlott beállításait Az ajánlott biztonsági házirendek alkalmazása a Windows 8 alapbeállításainak környezetében című fejezetben ismertetett csoportházirendek alkalmazásával lehet megadni. Megjegyzendő, hogy az új biztonsági funkciók számos beállításához az adott informatikai környezetre jellemző információk szükségesek, a funkciókat és a beállításokat a környezettől függően kell kiválasztani. Emiatt a kiegészítő beállítások többségének ajánlott értékei nem szerepelnek ebben az útmutatóban. Az ismertetett funkciók és azok alapértelmezett beállításai magasabb szintre emelik a Windows 8 rendszerrel működő számítógépek védelmét. A csoportházirendekhez új beállítások is tartoznak, amelyek az ismert biztonsági technológiák funkcióinak átvételével és alkalmazásával még kiterjedtebb védelmet biztosítanak a rosszindulatú szoftverek ellen A Windows 8 rendszerben alkalmazott biztonsági funkciók A Windows 8 a következő új és továbbfejlesztett technológiákat tartalmazza, amelyek védelmet nyújtanak a rosszindulatú szoftverek ellen: A Műveletközpont konzol (Action Center) Biztonságos indítás (Secure Boot) Felhasználói fiókok felügyelete (User Account Control UAC) Biometrikus védelem (Biometric Security) Windows Defender Kártevő-eltávolító eszköz (Malicious Software Removal Tool) Windows tűzfal AppLocker

49 Ezenkívül célszerű, ha a felhasználók rendszergazdai jogosultság nélküli, általános jogú fiókkal jelentkeznek be. Vállalati környezetben fontos felügyelhető víruskereső program telepítése, amely valós idejű védelmet nyújt az akár naponta megjelenő újfajta vírusok ellen. Ilyen megoldás például a System Center 2012 Endpoint Protection 14 platform. Ha az adott szervezet a mélységi védelem stratégiáját alkalmazza, célszerű igénybe vennie olyan kiegészítő szolgáltatásokat, amelyek megvizsgálják az erőforrások veszélyeztetettségét. Ezeket a szolgáltatásokat és programokat a Microsoft webhelyéről lehet letölteni a Windows 8 részeként vagy kiegészítéseként. A munkacsoportban működő számítógépek a Windows 8-ban külön telepítés nélkül is teljes értékű vírusvédelmet kapnak a Windows Defenderrel. Hangsúlyozni kell, hogy az összes biztonsági megoldás alkalmazása sem elegendő a felhasználók számítógépeinek védelméhez, ha nem megfelelő azon fiókok védelme és felügyelete, amelyek rendszergazdai jogosultsággal és hozzáféréssel rendelkeznek a számítógép biztonsági beállításaihoz A Műveletközpont konzol A Műveletközpont az a központi hely, ahol a felhasználó megtekintheti az értesítéseket és a figyelmeztetéseket, és végrehajthatja a Windows megfelelő működéséhez szükséges műveleteket. A Műveletközpontban tekinthető meg a biztonsági és karbantartási beállításokkal kapcsolatos azon fontos üzenetek listája, amelyek a felhasználó figyelmét igénylik. A megjelenítendő, illetve elrejtendő üzenetek A Műveletközpont beállításainak módosítása konzolon adhatók meg (lásd a ábrát) ábra: A Műveletközpont beállításainak módosítása ablak 14

50 A Műveletközpont konzol a Windows 8 felhasználóinak értesítése mellett lehetővé teszi annak megadását is, hogy a rendszer milyen információkat küldhet el a Microsoftnak a problémák felderítéséhez és megoldásához. A problémajelentési beállítások a ábrán láthatók ábra: A Problémajelentési beállítások ablak A Microsoftnak elküldött problémajelentésekkel kapcsolatos adatok a következő lépések végrehajtásával tekinthetők át: 1. Nyissa meg a Műveletközpont főablakát. 2. Kattintson a Karbantartás elemre. 3. A Megoldások keresése a problémajelentésekhez szakaszban kattintson a Megbízhatósági előzmények megtekintése elemre. 4. A megbízhatósági előzmények listáján kattintson duplán arra az eseményre, amelynek részletes adatait meg szeretné tekinteni. 5. Az Adatok szakaszban találhatók az eszközök vagy a szoftverek konfigurációjában végrehajtott változtatások részletes adatai. A problémajelentésekkel és adatvédelmi irányelvekkel kapcsolatos részletes tudnivalókat a következő webhelyen tekintheti át: A Microsoft hibajelentési szolgáltatás adatvédelmi nyilatkozata

51 Csoportházirend-beállítások használata a Műveletközponttal kapcsolatos kockázatok minimalizálásához Ezek a beállítások a következő két bejegyzésnél érhetők el: Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\windows hibajelentés (Computer Configuration\Windows Components\Windows Error Reporting) Az alábbi táblázat az ismertetett technológia Windows 8-as részletes biztonsági beállításait tartalmazza. A házirendek beállításai Leírás A Windows 8 alapértelmezett beállítása Windows hibajelentés letiltása A beállítás megadása esetén a Nem konfigurált Windows hibajelentés szolgáltatás nem küld semmilyen adatot a Microsoftnak az előfordult problémákról. Ezenkívül a Vezérlőpult Műveletközpont moduljában nem fognak megjelenni a problémák megoldásával kapcsolatos információk táblázat: A Műveletközpont beállításai a Windows rendszerben Felhasználó konfigurációja\felügyeleti sablonok\start menü és Tálca (User Configuration\Start Menu and Taskbar\) Az alábbi táblázat az ismertetett technológia Windows 8-as részletes biztonsági beállításait tartalmazza. A házirendek beállításai A Műveletközpont ikon eltávolítása Leírás Megakadályozza a Műveletközpont ikonjának megjelenítését az értesítési területen. A beállítás megadása esetén a Műveletközpont ikonja nem jelenik meg az értesítési területen. A Windows 8 alapértelmezett beállítása Nem konfigurált Ha a beállítás nincs megadva vagy nincs konfigurálva, akkor a Műveletközpont ikonja megjelenik az értesítési területen táblázat: A Műveletközpont beállításai a Windows rendszerben 3.3. Biztonságos indítás (Secure Boot) A Windows 8 támogatja a biztonságos indítás protokollját, amely a Unified Extensible Firmware Interface (UEFI) specifikáció része. A tervek szerint az UEFI váltja fel a régebbi BIOS rendszereket.

52 A Windows 8 továbbra is támogatja a BIOS-t, de az UEFI kibővíti a belső vezérlőprogram (firmware) lehetőségeit, beleértve például a nagyobb merevlemezek kezelését (a 2 TB-nál nagyobb, GPT-t, azaz GUID partíciós táblát használó lemezek kezelését), a továbbfejlesztett biztonsági mechanizmusokat, a grafikai funkciókat és a kiterjesztett felügyeleti funkciókat. Kockázatbecslés A régebbi BIOS rendszert használó korszerű számítógépeken az operációs rendszert indító környezetet olyan támadások érhetik, amelyek úgy módosítják a rendszerindító modult, hogy a rosszindulatú kód le tudjon futni a tényleges rendszerindítás előtt, utat engedve ezzel a tervezett támadás végrehajtásának. Ebben az esetben a támadási vektor olyan működést jelent, amelyben a rosszindulatú kód végrehajtása az operációs rendszer és az alkalmazott rendszerbiztonsági funkciók elindítása előtt történik, ami megakadályozza, hogy a védelmi funkciókat ellátó programok észleljék, eltávolítsák vagy blokkolják a támadó programokat. Az ilyen rosszindulatú programok a betörést álcázó rootkit programok vagy a fő rendszertöltő programot támadó bootkit programok közé tartoznak, és komoly kockázatot jelentenek, hisz a rosszindulatú szoftverek elleni védelmet alkalmazó felhasználók biztonságban érzik magukat, holott az alkalmazott biztonsági funkciók az ilyen jellegű támadásokat nem tudják kiszűrni, és ebben az esetben a rendszerből eltávolítandó fájlokat sem tudják felderíteni. Kockázatminimalizálás Az UEFI szabvány újdonsága a biztonságos indítás protokollja, amelyet a Windows 8 is támogat. A biztonságos indítást használó UEFI rendszer az indítási művelet közben ellenőrzi a belső vezérlőprogram digitálisan aláírt kódját, a számítógéphez csatlakoztatott perifériákat, valamint a rendszertöltő modult, és megállapítja, hogy az adott kód rendelkezik-e digitális aláírással és végrehajtható-e. A biztonságos indítás alapértelmezés szerint bekapcsolt a Windows 8 rendszerrel működő olyan számítógépeken, amelyeken elérhető és megfelelően konfigurálva van az UEFI rendszer. A kockázatminimalizálás fontos szempontjai A biztonságos indításhoz olyan belső vezérlőprogram szükséges, amely minimális követelményként megfelel az UEFI specifikáció es verziójának, valamint az UEFI rendszerben is engedélyezni kell a biztonságos indítást a megfelelő beállítások megadásával A Felhasználói fiókok felügyelete szolgáltatás A Windows Vista rendszerben jelent meg újdonságként a felhasználói fiókok felügyelete (User Account Control UAC). Ez a szolgáltatás megkönnyíti az olyan felhasználói fiók használatát, amely nem rendelkezik rendszergazdai jogosultsággal. Amikor rendszergazdai jogosultságot igénylő módosításokat hajtanak végre a számítógépen, a Felhasználói fiókok felügyelete szolgáltatás erre vonatkozó értesítést jelenít meg. Az UAC mechanizmus több technológiát is tartalmaz: Védett rendszergazdai fiók (Protected Administrator PA) Jogosultságszint-emelés (UAC elevation prompts) A regisztrációs adatbázis virtualizálása (registry virtualization)

53 A fájlrendszer virtualizálása (file system virtualization) A Windows integritási szintjei (Windows Integrity levels) Annak ellenére, hogy a védett rendszergazdai fiókok valamivel biztonságosabbak, mint a PA mechanizmussal nem védett rendszergazdai fiókok, a napi teendőkhöz továbbra is az általános jogú felhasználói fiókok használata ajánlott, mert ez a legbiztonságosabb megoldás. Ha a felhasználók a számítógépen végzett napi feladatok végrehajtásához általános jogú felhasználói fiókot használnak, azzal minimálisra csökkenthető az olyan rosszindulatú programok általi támadások veszélye, amelyek a magas jogosultsági szintek kihasználásával nemkívánatos alkalmazásokat telepítenek, vagy jogosulatlan módosításokat hajtanak végre a Windows rendszerben. A Windows 8 rendszerben be lehet állítani a felhasználó értesítésének kívánt módját és gyakoriságát. Az alábbi táblázat tartalmazza a négy alapvető értesítési szintet, amelyeket a Műveletközpont Felhasználói fiókok felügyelete moduljában lehet megfelelően beállítani. Beállítás Leírás Hatás a biztonságra Mindig kérek értesítést Csak ha valamely program módosítást próbál végrehajtani a számítógépen A felhasználó értesítést kap, mielőtt a programok rendszergazdai jogosultságot igénylő változtatásokat hajtanának végre a számítógépen vagy a Windows rendszerben. Az értesítés megjelenítésekor elsötétül az asztal, a felhasználónak pedig el kell fogadnia vagy el kell utasítania a műveletet a Felhasználói fiókok felügyelete funkció párbeszédpaneljén, mielőtt folytathatná a munkát a számítógépen. Az elsötétített asztalt biztonságos asztalnak nevezik, mert ezen az asztalon nem tud működni a többi program. A felhasználó értesítést kap, mielőtt a programok rendszergazdai jogosultságot igénylő változtatásokat hajtanának végre a számítógépen. Ha saját maga hajtja végre a módosításokat, a felhasználó nem kap értesítést, mielőtt rendszergazdai jogosultságot igénylő változtatásokat hajtana végre a Windows beállításaiban. A felhasználó értesítést kap, ha a Windows rendszeren kívüli program kísérel meg változtatásokat végrehajtani a Windows beállításaiban. Ez a legbiztonságosabb beállítás. Az értesítés megjelenítése után a felhasználónak figyelmesen el kell olvasnia mindegyik párbeszédpanel tartalmát, mielőtt engedélyezi a módosítások végrehajtását a számítógépen. A felhasználó értesítést kap, mielőtt a programok rendszergazdai jogosultságot igénylő változtatásokat hajtanának végre a számítógépen. Ha saját maga hajtja végre a módosításokat, a felhasználó nem kap értesítést, mielőtt rendszergazdai jogosultságot igénylő változtatásokat hajtana végre a Windows beállításaiban. A felhasználó értesítést kap, ha a Windows rendszeren kívüli program kísérel meg változtatásokat végrehajtani a Windows beállításaiban. A Windows 8 alapértelmezett beállítása Csak ha A felhasználó értesítést kap, mielőtt a Ez a beállítás megegyezik a Csak ha

54 valamely program módosítást próbál végrehajtani a számítógépen (ne sötétüljön el az asztal) programok rendszergazdai jogosultságot igénylő változtatásokat hajtanának végre a számítógépen. Ha saját maga hajtja végre a módosításokat, a felhasználó nem kap értesítést, mielőtt rendszergazdai jogosultságot igénylő változtatásokat hajtana végre a Windows beállításaiban. A felhasználó értesítést kap, ha a Windows rendszeren kívüli program kísérel meg változtatásokat végrehajtani a Windows beállításaiban. valamely program módosítást próbál végrehajtani a számítógépen beállítással, de az értesítések nem a biztonságos asztalon jelennek meg. Minthogy ennél a beállításnál a Felhasználói fiókok felügyelete funkcióhoz tartozó párbeszédpanel nem a biztonságos asztalon jelenik meg, más programok befolyásolhatják a párbeszédpanel megjelenítését. Ez kisebb mértékű biztonsági kockázatot jelent, ha a számítógépen már működik valamilyen kártevő program. Soha nem kérek értesítést A felhasználó nem kap értesítést a számítógépen végrehajtott változtatások előtt. Ha a felhasználó rendszergazdaként van bejelentkezve, a programok a tudtán kívül is végrehajthatnak változtatásokat a számítógépen. Ha a felhasználó normál felhasználóként jelentkezik be, az összes olyan változtatás el lesz utasítva, amely rendszergazdai jogosultságot igényel. E beállítás választása esetén újra kell indítani a számítógépet a Felhasználói fiókok felügyelete funkció kikapcsolásához. A Felhasználói fiókok felügyelete funkció kikapcsolása után a rendszergazdaként bejelentkező felhasználók mindig rendszergazdai jogosultságokkal fognak rendelkezni. A felhasználó nem kap értesítést a számítógépen végrehajtott változtatások előtt. Ha a felhasználó rendszergazdaként van bejelentkezve, a programok a tudtán kívül is végrehajthatnak változtatásokat a számítógépen. Ha a felhasználó normál felhasználóként van bejelentkezve, az összes olyan változtatás el lesz utasítva, amely rendszergazdai jogosultságot igényel. E beállítás választása esetén újra kell indítani a számítógépet a Felhasználói fiókok felügyelete funkció kikapcsolásához. A Felhasználói fiókok felügyelete funkció kikapcsolása után a rendszergazdaként bejelentkező felhasználók mindig rendszergazdai jogosultságokkal fognak rendelkezni. Nem ajánlott beállítás táblázat: A Felhasználói fiókok felügyelete funkció beállításainak leírása A Felhasználói fiókok felügyelete funkció bevezetése után a zavaróan gyakori értesítések miatt a felhasználók többsége kikapcsolta ezt a funkciót, ami csökkentette a rendszer biztonságát. A Windows 7 SP1 és a Windows 8 rendszerben már csökkent a hitelesítő adatok szintjének növelésére irányuló kérdések száma, hogy a felhasználó több műveletet tudjon végrehajtani normál felhasználóként is. Emellett a védett rendszergazdai fiókok használata közben a Windows 8 egyes programjai automatikusan, külön értesítés megjelenítése nélkül megemelhetik a jogosultsági szintet. A Felhasználói fiókok felügyelete funkció ajánlott minimális beállítási szintje a Csak ha valamely program módosítást próbál végrehajtani a számítógépen beállítás, de célszerű fontolóra venni a

55 Mindig kérek értesítést beállítás használatát olyan környezetekben, ahol a kliensszámítógépek felhasználói gyakran kapcsolódnak nyilvános hálózatokhoz, illetve olyan helyzetekben, amelyek magas biztonsági szintet igényelnek. A kevésbé biztonságos szintek alkalmazása növeli annak kockázatát, hogy a kártevő programok illetéktelen módosításokat hajtanak végre a számítógépen. A Felhasználói fiókok felügyelete funkció rendszergazdai engedélyezéses módja meghatározott mértékű védelmet nyújt a Windows 8, a Windows 7 SP1 és a Windows Vista Service Pack 1 (SP1) rendszerű számítógépeknek a rosszindulatú szoftverek egyes típusai ellen. A Windows 8 rendszerben futtatott programok és műveletek többsége megfelelően fog működni a normál felhasználó esetében is, és amikor a felhasználónak rendszergazdai tevékenységet kell végrehajtania, például szoftvert kell telepítenie, vagy módosítania kell a rendszerbeállításokat, a rendszer figyelmeztetni fogja a felhasználót, és kérni fogja a jóváhagyását az adott műveletek végrehajtásához. Ez a mód azonban nem nyújtja ugyanazt a biztonsági szintet, mint az általános jogú felhasználói fiók használata, és nincs garancia arra, hogy a számítógépen esetleg már megtalálható rosszindulatú programok nem fogják tudni megemelni a jogosultsági szintet saját maguknak, hogy végrehajthassák kártevő tevékenységüket az adott számítógépen. Kockázatbecslés A rendszergazdai jogosultsággal rendelkező felhasználóknak a rendszerben végzett szokásos tevékenységük közben azzal a veszéllyel kell számolniuk, hogy a tudomásuk nélkül is történhetnek rendszergazdai tevékenységek véletlenül vagy károkozó szándékkal. Néhány példa: A felhasználó letöltött és telepített egy rosszindulatú programot, amely egy szándékosan módosított vagy vírussal, illetve rosszindulatú szoftverrel megfertőzött webhelyről származik. A felhasználót megtévesztéssel rávették arra, hogy megnyisson egy mellékletet, amely kártevő szoftvert tartalmaz, és ez a kártevő szoftver automatikusan, észrevehetetlenül települt a felhasználó számítógépére. A felhasználó cserélhető adathordozót csatlakoztatott a számítógéphez, és az automatikus lejátszási funkció elindította és telepítette a rosszindulatú programot. A felhasználó nem támogatott vagy nem ellenőrzött alkalmazást telepített, amely hatással van a számítógép teljesítményére és megbízhatóságára. Kockázatminimalizálás A napi szinten végzett tevékenységekhez és műveletekhez rendszergazdai jogosultsággal nem rendelkező, általános jogú felhasználói fiókot célszerű használni. Amikor a felhasználó az UAC funkciót használja a rendszergazdai fiók jogosultsági szintjére lépéshez és az ahhoz tartozó hitelesítő adatok alkalmazásához, a gyors felhasználóváltás segítségével célszerű új rendszergazdai munkamenetet indítania. A kockázatminimalizálás fontos szempontjai Az UAC mechanizmus hozzájárul a Kockázatbecslés című részben leírt veszélyek minimálisra csökkentéséhez, az UAC technológia alkalmazása előtt azonban figyelembe kell venni a következőket:

56 Ha a szervezet belső programozói csoportja saját alkalmazásokat készít a szervezet számára, ajánlatos áttekinteni a következő cikket: Windows Vista Application Development Requirements for User Account Control Compatibility 16. Ez a dokumentum leírja, hogyan kell az UAC mechanizmusnak megfelelő alkalmazásokat tervezni és létrehozni. Az UAC technológiával nem kompatibilis alkalmazások problémát okozhatnak az UAC mechanizmus alapértelmezés szerint bekapcsolt szintjén. Emiatt fontos, hogy az éles környezetben történő használat előtt ellenőrizzék, hogy az alkalmazások megfelelnek-e az UAC technológia követelményeinek. Az alkalmazások kompatibilitási tesztjeivel a 6. fejezet foglalkozik részletesen. Az UAC bekapcsolása jelentős mértékben megnöveli a jogosultságszint emelésére vonatkozó kérések számát, illetve a rendszergazdai fiók használatának szükségességét a rendszergazdák által végzett szokásos tevékenységek esetében. Ha ez számottevően visszaveti a rendszergazdák munkájának teljesítményét, a Felhasználói fiókok felügyelete: A jogosultságszint-emelési kérés működése rendszergazdák esetében, rendszergazdai engedélyezéses módban csoportházirendben megadható a Jogosultságszint-emelés kérés nélkül beállítás. Ez a módosítás azonban csökkenti a számítógép konfigurációjának biztonságát, és növeli a kártevő szoftverek beférkőzésének kockázatát. A rendszergazdai jogosultsággal rendelkező és a védett rendszergazdai (PA) fiókot használó felhasználók kikapcsolhatják a rendszergazdai engedélyezéses funkciót, valamint kikapcsolhatják az UAC funkciót, hogy a rendszer ne jelenítse meg a jogosultságszint emelésének szükségességére vonatkozó értesítéseket az alkalmazások telepítése, illetve a rendszerrel kapcsolatos módosítások végrehajtása közben. Emiatt nincs garancia arra, hogy az UAC mechanizmusra vonatkozó csoportházirendek beállításai a kívánt eredménnyel fognak járni, ha a felhasználók rendszergazdai jogosultsággal rendelkeznek a szervezet számítógépein. A rendszergazdáknak célszerű két fiókot használniuk. Az egyik fiókot a szokásos tevékenységek és műveletek végrehajtásához érdemes fenntartani. Ennek a fióknak rendszergazdai jogosultságok nélküli, általános jogosultságú fióknak kell lennie. Amikor rendszergazdai jogosultságra van szükség, a rendszergazdáknak másik fiókkal kell bejelentkezniük a rendszergazdai tevékenységek végrehajtásához. A teendőik elvégzése után ki kell jelentkezniük, és vissza kell térniük az általános jogú felhasználói fiók használatához. A csoportházirendek jelen útmutatóban ismertetett beállításai nem engedélyezik a jogosultsági szint emelését az általános jogú felhasználóknak. Megjegyzendő, hogy ez normál működésnek számít az Active Directory-tartományt használó számítógépek esetében. Ez az ajánlott beállítás, amely előírja, hogy rendszergazdai tevékenységeket csak azok a felhasználók hajthatnak végre, akik megfelelő rendszergazdai jogosultságú fiókkal rendelkeznek. Ha a Windows egy alkalmazást tévesen rendszergazdai jogosultságot igénylő alkalmazásként vagy felhasználói alkalmazásként azonosít, akkor előfordulhat, hogy az alkalmazás nem a megfelelő biztonságú környezetben indul. A kockázatminimalizálás folyamata 16

57 A kockázatminimalizálás folyamatát az UAC mechanizmus által nyújtott lehetőségek elemzésével és tesztelésével kell kezdeni. Ezzel a témával a Microsoft webhelyén elérhető következő cikkek foglalkoznak részletesen: Understanding and Configuring User Account Control in Windows Vista 17 és Getting Started with User Account Control on Windows Vista 18. A kockázat minimalizálásához ajánlott műveletek a következők: 1. Meg kell határozni a rendszergazdai tevékenységeket végrehajtó felhasználók számát. 2. Meg kell határozni a rendszergazdai tevékenységek végrehajtásának gyakoriságát. 3. Meg kell határozni, hogy a rendszergazdák melyik módszerrel hajtják végre a rendszergazdai tevékenységeket: az egyszerűbb módszerrel, vagyis az UAC értesítéseivel és az adott tevékenység végrehajtásának engedélyezésével, vagy pedig azzal a módszerrel, amely meghatározott hitelesítő adatok megadását igényli a rendszergazdai tevékenységek végrehajtásához. 4. Meg kell határozni, hogy az általános jogú felhasználók rendelkezhetnek-e a jogosultságszint emelésének lehetőségével a rendszergazdai tevékenységek végrehajtásához. A jelen útmutatóban alkalmazott csoportházirend-beállítások kifejezetten tiltják a jogosultszintemelést az általános jogú felhasználóknak. 5. Meg kell állapítani, milyen módon történik az alkalmazások telepítése a számítógépeken. 6. Konfigurálni kell a Felhasználói fiókok felügyelete funkció csoportházirend-beállításait az egyéni igényeknek és követelményeknek megfelelően. Csoportházirend-beállítások használata az UAC funkcióval kapcsolatos kockázatok minimalizálásához A beállítások a következő bejegyzésnél érhetők el: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\helyi házirend\biztonsági beállítások\ (Computer Configuration\Windows Settings\Security Settings\Local Policy\Security Options\) Az alábbi táblázat a Windows 8 rendszer részletes biztonsági beállításait tartalmazza. A házirendek beállításai Felhasználói fiók felügyelete: Rendszergazdai engedélyezéses mód a beépített rendszergazdai fiókhoz Felhasználói fiókok felügyelete: Az alkalmazások kérhetik a UIAccess jog emelését a biztonsági asztal használata nélkül Leírás Ez a beállítás a rendszergazdai engedélyezéses mód viselkedését határozza meg a beépített rendszergazdai fiókhoz. Ez a beállítás meghatározza, hogy a felhasználói felülethez hozzáféréssel rendelkező (User Interface Accessibility UIAccess vagy UIA) programok automatikusan letilthatják- A Windows 8 alapértelmezett beállítása Kikapcsolva Kikapcsolva

58 Felhasználói fiókok felügyelete: A jogosultságszint-emelési kérés működése rendszergazdák esetében, rendszergazdai engedélyezéses módban Felhasználói fiókok felügyelete: A jogosultságszint-emelési kérés működése általános jogú felhasználók esetében Felhasználói fiókok felügyelete: Alkalmazástelepítések észlelése, és figyelmeztetés a jogosultságszint emelésére Felhasználói fiókok felügyelete: Csak aláírt és érvényesített végrehajtható fájlok jogosultságszintjének emelése Felhasználói fiókok felügyelete: Csak a biztonságos helyre telepített alkalmazások UIAccess jogának megemelése e a biztonsági asztalt az általános jogú felhasználók által használt jogosultságszint-emelési kéréseknél. Ez a beállítás a jogosultságszintemelési kérések viselkedését határozza meg rendszergazdák esetében. Ez a beállítás a jogosultságszintemelési kérések viselkedését határozza meg általános jogú felhasználók esetében. Ez a beállítás az alkalmazástelepítésészlelések viselkedését határozza meg a számítógépen. Ez a beállítás minden olyan interaktív alkalmazás esetében alkalmaztatja a PKI aláírás-ellenőrzést, amely jogosultságszint-emelést követel meg. A vállalati rendszergazdák úgy szabályozhatják az engedélyezett alkalmazások körét, hogy tanúsítványokat adnak a helyi számítógépek Megbízható kiadók tanúsítványtárolójához. Ezzel a beállítással adható meg, hogy a rendszer megkövetelje-e az UIAccess integritási szinttel való végrehajtást igénylő alkalmazásoknak a fájlrendszer egy biztonságos helyén való tárolását. A biztonságos helyek a következő mappákra korlátozottak: - \Program Files\ és annak almappái, - \Windows\system32, - \Program Files (x86)\, beleértve a 64 bites Windows-verziók alkönyvtárait is. Beleegyezés kérése nem Windows-alapú bináris fájlokhoz Hitelesítő adatok kérése Bekapcsolva Kikapcsolva Bekapcsolva Felhasználói fiókok felügyelete: Minden rendszergazda rendszergazdai engedélyezéses módban fut Megjegyzés: Ezen beállítás állapotától függetlenül a Windows PKI aláírásellenőrzést követel meg az olyan alkalmazásokon, amelyek végrehajtásához UIAccess integritási szint szükséges. Ez a beállítás az UACházirendbeállítások viselkedését határozza meg a számítógépen. Bekapcsolva Felhasználói fiókok felügyelete: Ez a beállítás az UAC- Bekapcsolva

59 Jogosultságszint-emelési kérés során átváltás biztonsági asztalra Felhasználói fiókok felügyelete: A fájl- és regisztrációs adatbázisírási hibák felhasználónként különböző helyekre történő virtualizálása házirendbeállítások viselkedését határozza meg a számítógépen. Ez a házirend-beállítás azt adja meg, hogy az alkalmazások írási hibái át legyenek-e irányítva a regisztrációs adatbázis és a fájlrendszer megadott helyeire. Ez a beállítás nem engedélyezi azokat az alkalmazásokat, amelyek rendszergazdaként futnak, és futásidejű alkalmazásadatokat írnak a %ProgramFiles%, a %Windir%, a %Windir%\system32 vagy a HKLM\Software\ helyre. Bekapcsolva A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található Biometrikus védelem A Windows 8 részét képező Windows biometrikus keretrendszer univerzális módon, magasabb szintű alkalmazásokkal kezeli az ujjlenyomat-olvasókat és az egyéb biometrikus eszközöket. A Windows beépített összetevői az operációs rendszer szintjén támogatják és teszik lehetővé a biometrikus megoldásokat használó alkalmazások segítségével az ujjlenyomatok felismerését. A Windows 7 előtti verziókban az ujjlenyomat-felismerés megfelelő kezeléséhez és a rendszerbe ilyen módon való bejelentkezéshez más gyártók illesztőprogramjait és alkalmazásait kellett használni. A Windows 7 és a Windows 8 natív módon kezeli a biometrikus megoldásokat, csak az ujjlenyomat-olvasó illesztőprogramjának telepítését igényli. A Windows 8 új bővítményeket és kiterjesztett támogatást tartalmaz a biometrikus eszközökhöz. Az ujjlenyomat-felismerési technológiák teljes mértékben támogatják és kezelik a gyors felhasználóváltási funkciót, és továbbfejlesztett mechanizmusokat tartalmaznak a jelszavak és az ujjlenyomatok szinkronizálásához. Kockázatbecslés A felhasználók ellenőrzéséhez jelszót használó alapvető módszerek több biztonsági rést és sebezhető pontot tartalmazhatnak, amelyek veszélyeztethetik a felügyelt informatikai környezet biztonságát. Ha a jelszavak jelentik a felhasználók hitelesítésének egyetlen eszközét, akkor egészen hétköznapi veszélyekkel kell számolni, például azzal, hogy a felhasználók felírják a jelszavukat egy cédulára, vagy elfelejtik jelszavukat, emellett a jelszóhasználat könnyű célpontja lehet a rendszer ellen irányuló olyan támadásoknak, amelyek célja a jelszavak feltörése és megszerzése. A felhasználói fiókok biztonságának megerősítéséhez többféle összetevőt alkalmazó hitelesítési módszert kell használni, például olyan eszközök bevezetésével, mint az intelligens kártyák. Az ilyen megoldásoknál a felhasználónak meg kell adnia egy általa ismert adatot (PIN-kód), valamint használnia kell egy fizikai eszközt is (intelligens kártya). Ez a módszer megemeli a hitelesítés biztonsági szintjét, de továbbra is fennáll az adatok elvesztésének, illetve kisebb mértékben az adatok módosításának veszélye.

60 Kockázatminimalizálás A biometrikus eszközök Windows 8 rendszerbeli támogatása lehetővé teszi, hogy a szervezetek újabb réteget iktassanak be a felhasználók személyazonosságának ellenőrzési folyamatába, olyan azonosító elem bemutatásának előírásával, amely az ellenőrzött személy elválaszthatatlan része. Ez a megoldás csökkenti a jelszavak, illetve az intelligens kártyák használatával járó kockázatot. A Windows 8 beépített ujjlenyomatolvasó-kezelési mechanizmusa együttműködik a biometrikus hitelesítés különböző típusaival. Az ujjlenyomat-olvasók egyre szélesebb körű elérhetőségének és az áruk csökkenésének köszönhetően a biometrikus hitelesítés hatékony megoldást jelenthet számos szervezetben. Az ujjlenyomat alapján történő azonosítás előnyei a következők: Az ujjlenyomat nem változik tulajdonosának élete során. Nincs két azonos ujjlenyomat (még az ikrek ujjlenyomatai is különbözőek). Az ujjlenyomat-olvasók egyre olcsóbbak, ami kedvez az elterjedésüknek. Az ujjlenyomatok leolvasása egyszerű és gyors folyamat. A leolvasott minták megbízhatósága magas szintű, kicsi a téves azonosítások aránya összehasonlítva más típusú biometrikus megoldásokkal, például az arcfelismeréssel vagy a hangelemzéssel. Az ujjlenyomat alapján történő azonosításnak vannak azonban hátrányai is: A bőrfelület fizikai károsodása akadályozhatja az azonosítást, ami meggátolhatja a sérült ujjlenyomatú felhasználók megfelelő hitelesítését. Tudományosan alátámasztott tény, hogy az ujjlenyomat-felismerő rendszerek megtéveszthetők mesterségesen előállított ujjlenyomatok használatával. Az Impact of Artificial "Gummy" Fingers on Fingerprint Systems 19 webhely foglalkozik részletesen az ezzel kapcsolatos kérdésekkel. A felhasználó életkora, illetve a fizikai munka is befolyásolhatja az ujjlenyomat-olvasás megbízhatóságát. A kockázatminimalizálás fontos szempontjai A Windows 8 részét képező biometrikus hitelesítési mechanizmus, például az ujjlenyomat-felismerés alkalmazása előtt a következő szempontokat kell mérlegelni: A biometrikus rendszerek a felhasználók biometrikus adatainak megfelelő feldolgozását igénylik, és ezeket az adatokat a számítógépeken kell tárolni a hitelesítés végrehajtásához. Ez a helyzet az adatvédelmet veszélyeztető kockázatokat idézhet elő, ezért a személyes adatok megfelelő feldolgozási módját igényli. A korszerű hordozható számítógépek többsége tartalmaz beépített ujjlenyomat-olvasót, ami megkönnyítheti a biometrikus eszközök használatának bevezetését, azonban az egyes beépített ujjlenyomat-olvasók beolvasási pontossága eltérő lehet, és ezek az eszközök nem mindig tudják azt a minőséget nyújtani, mint a kifejezetten erre a célra fejlesztett 19

61 biometrikus megoldások. A bevezetés előtt ajánlott elvégezni az ujjlenyomat-olvasók tesztelését és minőség-ellenőrzését a következő biometriai jellemzők alapján: téves visszautasítási arány, téves elfogadási arány, keresztező hibaarány, adatfelvételi hibák aránya, teljesítmény. Az ujjlenyomat-felismerés nem alkalmazható olyan munkakörnyezetben, ahol a végzett tevékenységek jellege miatt a felhasználók nem tudják tisztán tartani a kezüket. Ilyen esetben érdemes fontolóra venni más egyéni fizikai sajátosságokat vizsgáló megoldásokat, például az íriszfelismerést, az arcfelismerést vagy a tenyér formája szerinti azonosítást. Ezenkívül célszerű kiegészítő adatokat is használni a felhasználók hitelesítéséhez, például hozzáférési kódot, PIN-kódot vagy intelligens kártyát, mert az ujjlenyomat-olvasók is megtéveszthetők, például gélből készített mesterséges ujjlenyomat leolvasásával. Az ujjlenyomat-olvasók megtévesztésével kapcsolatos részletes tájékoztatás az Impact of Artificial "Gummy" Fingers on Fingerprint Systems 20 webhelyen olvasható. A kockázatminimalizálás folyamata Lényeges szempont, hogy minden szervezet saját munkafolyamatokkal rendelkezik, amelyek egyediek az adott szervezet környezetében. Bevezetése előtt részletesen elemezni kell a választott megoldást, és meg kell bizonyosodni arról, hogy az meg fog felelni a hitelesítési folyamat biztonságának növelésére vonatkozóan meghatározott követelményeknek. A biometriai védelem sikeres bevezetéséhez és a kockázatok csökkentéséhez a következő műveleteket kell végrehajtani: 1. Több teszt elvégzésével ellenőrizni kell a különböző biometrikus eszközöket alkalmazó megoldásokat, és ki kell választani azt a megoldást, amely a legmegfelelőbb a szervezet követelményei és igényei szempontjából. 2. Meg kell ismerkedni az adott szervezet adatvédelmi irányelveivel, különös tekintettel a személyes adatok feldolgozására vonatkozó szabályokra. 3. Meg kell határozni a biometrikus eszközökre vonatkozó műszaki követelményeket, valamint be kell ütemezni a választott megoldás tesztelési időszakát, amelynek során ellenőrizhető, hogy az eszközök megfelelnek-e az előírt követelményeknek. 4. Meg kell határozni a választott biometrikus megoldás bevezetéséhez szükséges további technikai követelményeket, ilyen lehet például a nyilvános kulcsot alkalmazó infrastruktúra kiépítése vagy a biometrikus eszközöket kezelő szoftverek telepítése. 5. Fel kell mérni, hogy hány felhasználónak okozhat problémát a biometrikus eszköz használata a fizikai sajátosságaik miatt, és ki kell dolgozni egy alternatív megoldást ezeknek a felhasználóknak. Mérlegelni kell egy alternatív hitelesítési módszer alkalmazását is, amely alapulhat jelszavak, illetve PIN-kód megadását igénylő intelligens kártyák használatán. 6. Meg kell ismertetni a felhasználókkal a biometrikus hitelesítés használatának helyes módját, valamint tájékoztatni kell őket arról is, hogy milyen másodlagos hitelesítési folyamatot kell használni, ha a biometrikus hitelesítés nem lehetséges. 20

62 7. Nagy létszámú felhasználócsoport bevonásával tesztelni kell a választott megoldást, amelynek során meg kell határozni az esetleges problémákat, és az éles környezetben való tényleges bevezetés előtt meg kell oldani minden problémát. 8. A felhasználók egyéni fizikai tulajdonságait fel kell venni a biometrikus eszköz adatbázisába a leolvasási folyamatot és a rögzített adatok ellenőrzését magában foglaló biometrikus megoldás szállítójától kapott útmutatásnak megfelelően. 9. Gondoskodni kell arról, hogy a felhasználók elsajátítsák a biometrikus rendszer használatát, és megfelelő támogatást kell biztosítani számukra, ha nehézségekbe ütköznek a rendszer használata közben. 10. Megfelelő helyettesítő megoldást kell kidolgozni az olyan személyek hitelesítéséhez, akik elutasítják a biometrikus rendszer használatát azzal az indokkal, hogy nem járulnak hozzá személyes adataik feldolgozásához. Csoportházirend-beállítások használata a biometrikus megoldásokkal kapcsolatos kockázatok minimalizálásához A beállítások a következő bejegyzésnél érhetők el: Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\biometria (Computer Configuration\Administrative Templates\Windows Components\Biometrics) Az alábbi táblázat az ismertetett technológia Windows 8 rendszerbeli részletes biztonsági beállításait tartalmazza. A házirendek beállításai Biometria használatának engedélyezése A felhasználók biometrikus bejelentkezésének engedélyezése A tartományi felhasználók biometrikus bejelentkezésének engedélyezése Leírás Ha engedélyezi (vagy nem konfigurálja) ezt a házirend-beállítást, akkor a Windows biometrikus szolgáltatás elérhető lesz, és a felhasználók futtathatnak olyan alkalmazásokat a Windows rendszerben, amelyek biometriát használnak. Ez a beállítás határozza meg, hogy a felhasználók bejelentkezhetnek-e, vagy magasabb szintű engedélyt kérhetnek-e a felhasználói fiókok felügyeletétől biometrikus úton. Alapértelmezés szerint a helyi felhasználók be tudnak jelentkezni a helyi számítógépre. Ez a beállítás határozza meg, hogy a tartomány felhasználói bejelentkezhetnek-e, vagy magasabb szintű engedélyt kérhetnek-e a felhasználói fiókok felügyeletétől biometrikus úton. A Windows 8 alapértelmezett beállítása Nem konfigurált Nem konfigurált Nem konfigurált

63 Gyors felhasználóváltási események időkorlátja Alapértelmezés szerint a tartomány felhasználói nem jelentkezhetnek be biometrikus úton. Ha engedélyezi ezt a házirend-beállítást, a tartomány felhasználói bejelentkezhetnek a Windows-alapú számítógépre biometrikus úton. A használt biometrikus eljárás típusától függően a házirendbeállítás engedélyezése csökkentheti a biztonságot azon felhasználók számára, akik biometrikusan jelentkeznek be. Ez a beállítás adja meg, hogy hány másodpercig maradjanak aktívak a függőben lévő gyors felhasználóváltási események az átváltás megkezdése előtt. Alapértelmezés szerint a gyors felhasználóváltási események 10 másodpercig maradnak aktívak, mielőtt inaktívvá válnának. Nem konfigurált táblázat: A biometrikus megoldások csoportházirendjeinek beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található A Windows Defender szolgáltatás A Windows Defender a Windows 8 rendszerhez tartozó, annak elindításakor automatikusan betöltődő antimalware szoftver. (A Windows XP rendszerben ezt a szoftvert külön kellett letölteni és telepíteni.) Antimalware szoftver használatával megerősíthető a számítógép védelme a kémprogramok és az egyéb nemkívánatos alkalmazások ellen, például a vírusok, a férgek, a robotok (angol kifejezéssel: bot), illetve a betörést álcázó programok ellen. A kémprogramok a felhasználó tudta nélkül települhetnek a számítógépre, amikor a számítógép kapcsolódik az internethez. Előfordulhatnak olyankor is, amikor a felhasználó cserélhető adathordozóról telepít programokat. A Windows Defender szolgáltatás kétféle módszert kínál, amellyel a számítógép védhető a kémprogramok bejutása ellen: a valós idejű védelmet, valamint az ütemezett vizsgálatot. Az automatikus karbantartás részeként mindkét módszer célja a rendszer védelme. A Windows 8 rendszerben a biztonsági célú vizsgálatot áthelyezték az Automatikus karbantartás szolgáltatásba, amely emellett tartalmazza a programfrissítések elérhetőségének ellenőrzését, valamint a rendszerdiagnosztika funkcióját is. Az ütemezett automatikus karbantartás beállításainak megadásához hajtsa végre a következő műveletsort: 1. Nyissa meg a Műveletközpont főablakát. 2. A Műveletközpont ablakában kattintson a Karbantartás elemre, és válassza a Karbantartási beállítások módosítása lehetőséget. 3. Az Automatikus karbantartás ablakban adja meg az automatikus karbantartás kívánt beállításait, és kattintson az OK gombra.

64 4. Zárja be a Műveletközpont ablakát. A ábrán láthatók a Windows 8-as számítógépek Windows Defender szolgáltatásának ajánlott beállításai ábra: A Windows Defender ablaka és az automatikus vizsgálathoz ajánlott beállítások Amikor egy alkalmazás a Windows 8 rendszer védett területén próbál meg módosításokat végrehajtani, a Windows Defender üzenetet jelenít meg, és a kártevő szoftverek telepítésének megakadályozása érdekében megkérdezi, hogy a felhasználó engedélyezi-e a módosítást, mert annak hatása lehet a rendszer működésére. A Microsoft Active Protection (MAPS) szolgáltatás A Microsoft Active Protection Service egy online közösség, amely segítséget tud nyújtani a különböző veszélyekkel szembeni óvintézkedések kiválasztásához. Tevékenységei közé tartozik az újonnan megjelenő fertőzések elterjedésének megakadályozása is. A tagoknak lehetőségük van az észlelt szoftverekre vonatkozó alapszintű vagy részletes adatok beküldésére is. A Microsoft az összegyűjtött adatokat arra használja, hogy új definíciókat hozzon létre a számítógépet védő Windows Defender alkalmazáshoz. A vírusok, kémprogramok és egyéb kártevő programok eltávolításával kapcsolatosan beküldött információk között szerepelhetnek a számítógépen fertőzöttként azonosított elemek helyére vonatkozó adatok. Az adatok gyűjtése és beküldése automatikusan történik.

65 Az adatvédelemre vonatkozó irányelvek részletes leírása a Windows 8 és Windows Server 2012 adatvédelmi nyilatkozat 21 című dokumentumban olvasható. Kockázatbecslés A rosszindulatú szoftverek számos veszélyt jelentenek a szervezetek számára, amelyeket a szervezeteknek minimálisra kell csökkenteniük ahhoz, hogy biztonságosan tudják tárolni adataikat a számítógépeiken, és megakadályozhassák azok jogosulatlan megszerzését. A kémprogramokhoz kapcsolódó legjelentősebb kockázatok a következők: A szervezet bizalmas adatai jogosulatlan személyek birtokába juthatnak. A felhasználók személyes adatai jogosulatlan személyek birtokába juthatnak. Külső támadók átvehetik az irányítást a számítógépek rendszere felett. Szolgáltatásleállások történhetnek, hisz a kémprogramok károsan befolyásolhatják a számítógépes rendszerek teljesítményét és stabilitását. A kémprogramok miatt növekedhetnek a fenntartási költségek és a védelemre fordított kiadások. A szervezet visszaéléseknek lehet kitéve, ha fertőzött rendszereiből bizalmas adatok szivárognak ki. Kockázatminimalizálás A Windows Defender szolgáltatás szerepe a rosszindulatú szoftverekkel kapcsolatos kockázatok minimálisra csökkentése. A Windows Defender definícióit rendszeresen és automatikusan kell letölteni a Windows Update vagy a Windows Server Update Services (WSUS) szolgáltatás segítségével. A kockázatminimalizálás fontos szempontjai A Windows Defender alapértelmezés szerint automatikusan elindul a Windows 8-as számítógépek bekapcsolása után, és úgy működik, hogy ne zavarja a normál felhasználók napi munkáját. A Windows Defender hatékony alkalmazásához a következő műveletek végrehajtása ajánlott: Együttműködési teszteket kell végezni a más gyártóktól származó olyan víruskereső és kémprogram-elhárító szoftverek telepítése előtt, amelyek valós idejű védelmet biztosítanak. Ha nagy mennyiségű számítógépet kell kezelni, létre kell hozni egy olyan rendszert, amely az aláírások és a definíciók frissítésére használható. A felhasználókat meg kell ismertetni a rosszindulatú szoftverek által végrehajtható támadásokkal, valamint a pszichológiai manipuláció módszereivel végrehajtott támadásokkal. Az adott szervezet igényeinek megfelelően kell beállítani az automatikus vizsgálat ütemezését. A naponta végrehajtott vizsgálat alapértelmezett időpontja 3:00, ekkor a számítógép automatikusan feléled alvó üzemmódból, és a rendszer elvégzi az ütemezett automatikus karbantartási feladatokat. Ha a rendszer nem tudja végrehajtani a vizsgálatot az ütemezett időpontban, értesíti erről a felhasználót, és a jóváhagyását kéri a vizsgálat /windows-8-privacy-statement?ocid=W8_UI

66 elindításához. Ha a vizsgálat nem történik meg a következő 2 napon belül, akkor a rendszer a számítógép bekapcsolása után 10 perccel automatikusan elindítja a vizsgálatot. A Windows 8 rendszerben a vizsgálat alacsony prioritású folyamatként fut, így csak minimálisan foglalja le a számítógép erőforrásait. A Windows Defender nem a nagyvállalatok számára készült Enterprise kategóriájú alkalmazás. Ez a megoldás nem biztosít teljes körű központi jelentéskészítést, figyelést és konfigurációkövetést. Ha a szervezetnek központi felügyeletre és jelentéskészítésre is szüksége van, fejlettebb megoldásokat célszerű alkalmaznia, például a Microsoft System Center 2012 Endpoint Protection szoftvert. Meg kell határozni a Microsoft Active Protection Service online közösségnek történő adatküldésre, vagyis a felderített rosszindulatú programokkal kapcsolatos adatok küldésére vonatkozó adatvédelmi irányelveket. A kockázatminimalizálás folyamata A Windows Defender a Windows 8 alapértelmezett összetevője, aktiválásához nem kell semmilyen kiegészítő műveletet végrehajtani. Néhány ajánlott művelet elvégzését azonban érdemes megfontolni, mert ezek fontosak lehetnek a szervezet állandó védelmének biztosításához. Ezek a következők: 1. A Windows 8 rendszerben működő Windows Defender funkcióinak ellenőrzése és tesztelése 2. A Windows Defender konfigurációjának ellenőrzése és tesztelése csoportházirendek alkalmazásával 3. Kiegészítő vírusvédelem szükségességének felmérése és tesztelése, valamint annak megállapítása, hogy az adott eszköz által nyújtott védelem a vírusok mellett kiterjed-e a kémprogramokra is. 4. Az aláírások és a definíciók rendszeres frissítésének beütemezése az összes számítógépen, figyelembe véve azt is, hogy a hordozható számítógépek más konfigurációt igényelhetnek, mint az asztali számítógépek. 5. A felhasználók tájékoztatása arról, hogyan ismerhetők fel a gyanús tevékenységek a számítógépen, és milyen jelenségeket okozhatnak a rosszindulatú szoftverek a számítógépen. 6. A technikai támogatást nyújtó részleg munkatársainak megfelelő képzése arra vonatkozóan, hogy milyen eszközök használhatók a Windows Defender szolgáltatással kapcsolatos segítségnyújtáshoz. Csoportházirend-beállítások használata a Windows Defender szolgáltatással kapcsolatos kockázatok minimalizálásához A beállítások a következő bejegyzésnél érhetők el a Csoportházirendobjektum-szerkesztőben: Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\windows Defender (Computer Configuration\Administrative Templates\Windows Components\Windows Defender) Az alábbi táblázat az ismertetett technológia Windows 8 rendszerbeli részletes biztonsági beállításait tartalmazza. A házirendek beállításai Leírás A Windows 8

67 Új aláírások keresése ütemezett ellenőrzések előtt Windows Defender kikapcsolása Valós idejű figyelés kikapcsolása A rendszeresen végrehajtott műveletek kikapcsolása Új aláírások keresése az ütemezett ellenőrzések futtatása előtt Ha engedélyezi ezt a házirendbeállítást, az ütemezett ellenőrzés a számítógép ellenőrzése előtt új aláírásokat keres. Ha letiltja, vagy nem konfigurálja ezt a házirend-beállítást, az ütemezett ellenőrzés új aláírások letöltése nélkül kezdődik. Ez a beállítás kikapcsolja a Windows Defender szolgáltatást. Ha engedélyezi ezt a beállítást, a Windows Defender nem fog futni, és nem ellenőrzi, hogy a számítógépen találhatók-e kémprogramok és más, vélhetően kéretlen szoftverek. Kikapcsolja a valós idejű védelemnek az ismert kártevők észleléséről szóló értesítéseit. Ezzel a beállítással azt konfigurálhatja, hogy a Windows Defender automatikusan cselekedjen-e az összes észlelt veszély esetén. Egy adott fenyegetéssel szemben végrehajtott intézkedést a házirend által meghatározott művelet, a felhasználó által meghatározott művelet és az aláírás által meghatározott művelet kombinációja határoz meg. Ha engedélyezi ezt a házirendbeállítást, a Windows Defender nem fog automatikusan cselekedni az észlelt fenyegetésekkel szemben, de minden fenyegetés esetén felajánlja a felhasználónak, hogy válasszon az elérhető műveletek közül. Ha letiltja, vagy nem konfigurálja a házirend-beállítást, a Windows Defender automatikusan fellép minden észlelt fenyegetéssel szemben, körülbelül 10 perc késleltetéssel (ez az érték nem módosítható). alapértelmezett beállítása Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált

68 A Microsoft Active Protection Service tagságtípusának megadása Ezzel a beállítással konfigurálható a Microsoft Active Protection Service közösségbeli tagságtípus. Nem konfigurált táblázat: A Windows Defender csoportházirendjeinek beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található Kártevő-eltávolító eszköz A Kártevő-eltávolító eszköz (Malicious Software Removal Tool MSRT) egy kisméretű végrehajtható program, amely megkönnyíti a leggyakoribb rosszindulatú szoftverek eltávolítását a Windows rendszerű számítógépekről. A Microsoft minden hónapban elérhetővé teszi az MSRT program új verzióját, amely a Microsoft Update, a Windows Update vagy a WSUS szolgáltatással tölthető le, illetve a Microsoft Letöltőközpontból szerezhető be. A Kártevő-eltávolító eszköz csendes üzemmódban fut, és a vizsgálat befejezése után jelentést jelenít meg, ha rosszindulatú programot talált. Ezt az eszközt nem kell telepíteni az operációs rendszerben, és nem tartoznak hozzá csoportházirend-beállítások. A vizsgálat eredményét tartalmazó jelentés fájljának alapértelmezés szerinti helye a következő: %SystemRoot%\Debug\mrt.log. Az MSRT program nem a nagyvállalatok számára készült Enterprise kategóriájú alkalmazás. Ez a megoldás nem biztosít teljes körű központi jelentéskészítést, figyelést és konfigurációkövetést. Ha a szervezetnek központi felügyeletre és jelentéskészítésre is szüksége van, fejlettebb megoldásokat célszerű alkalmaznia, például a System Center 2012 Endpoint Protection 22 szoftvert. Kockázatbecslés Ajánlott megoldásként a szervezetben található minden számítógépre telepíteni kell víruskereső szoftvert a Windows 8 rendszerben elérhető biztonsági szolgáltatások kiegészítéseképpen. A megfelelő vírusvédelem telepítése ellenére sem szabad megfeledkezni arról, hogy további veszélyek is fenyegethetik a szervezet biztonságát: Előfordulhat olyan eset, hogy a víruskereső program nem ismer fel egy bizonyos típusú rosszindulatú programot. A rosszindulatú szoftver kikapcsolhatja vagy blokkolhatja a vírusvédelmet a megtámadott számítógépen. A fenti helyzetekben az MSRT program kiegészítő védelmi rétegként működve segíti a legelterjedtebb kártevő programok felderítését és eltávolítását. Az MSRT program által felismert és eltávolított kártevő programok folyamatosan frissített listája a következő webhelyen érhető el: Malware Families Cleaned by the Malicious Software Removal Tool 23. Kockázatminimalizálás

69 A kockázat minimalizálásához be kell kapcsolni az automatikus frissítési funkciót a kliensszámítógépeken. Az Automatikus frissítések funkció bekapcsolt állapotában a rendszer automatikusan letölti az MSRT havonkénti frissítéseit, így mindig az eszköz legújabb verziója fog futni a számítógépen. Az MSRT a Microsoft által azonosított és komoly veszélyforrásként besorolt, a Windows felhasználóinak biztonságát csökkentő, széles körben terjedő rosszindulatú szoftverekkel kapcsolatos kockázat minimalizálására kifejlesztett megoldás.

70 A kockázatminimalizálás fontos szempontjai Az alábbi lista tartalmazza az MSRT eszköz megfelelő alkalmazását elősegítő legfontosabb tudnivalókat: Az MSRT program kb. 9 MB méretű. Ha sok felhasználó tölti le egyszerre, az negatív hatással lehet az internetkapcsolat minőségére. Az MSRT eszközt elsődlegesen a nem vállalati felhasználók számára fejlesztették ki, akik nem rendelkeznek naprakész vírusvédelmi megoldással. A mélységi védelem stratégiájának részeként azonban a már meglévő vírusvédelmi megoldás kiegészítéséhez is alkalmazható. Az MSRT eszköz a következő módszerekkel telepíthető a szervezeti környezetben: o Windows Server Update Services o SMS-/SCCM-telepítőcsomag o Számítógép indítási parancsfájlja, amelyet csoportházirend indít el o Felhasználó indítási parancsfájlja, amelyet csoportházirend indít el A nagyobb méretű környezetekre vonatkozó további tájékoztatás a Microsoft Tudásbázis A Microsoft Windows kártevőket eltávolító eszközének telepítése vállalati környezetben 24 című, os számú cikkében olvasható. Az MSRT program nem biztosít valós idejű védelmet, ezért mindenképpen ajánlott egy olyan víruskereső program telepítése is, amely valós idejű védelmet nyújt az akár naponta megjelenő újfajta vírusok ellen. Ilyen megoldás például a Microsoft System Center 2012 Endpoint Protection platform, amely univerzális védelmet nyújt a kártevő szoftverek ellen a hordozható számítógépeken, az asztali számítógépeken és a kiszolgálókon is. Az MSRT program az elindításakor létrehoz egy ideiglenes könyvtárat véletlenszerűen megadott névvel azon a meghajtón, amelyen a legtöbb szabad lemezterület van (ez általában az operációs rendszert tartalmazó meghajtó). Ez a könyvtár néhány fájlt tartalmaz, többek között az Mrtstub.exe fájlt. Az esetek többségében a könyvtár automatikusan törlődik a vizsgálat befejezése után, illetve a számítógép újraindítása után. Előfordulhat azonban, hogy a könyvtár mégsem törlődik automatikusan. Ilyen esetben a könyvtár kézzel törölhető, ez nem fog semmilyen problémát okozni a számítógépen. A kockázatminimalizálás folyamata Az MSRT eszköz hatékony használatához és a kockázat minimalizálásához a következő műveletek végrehajtása ajánlott: Az MSRT eszköz funkcióinak ellenőrzése és tesztelése; további információ: Malicious Software Removal Tool 25 Annak felmérése, hogy szükség van-e az MSRT eszköz használatára a saját környezetben. Az MSRT eszköz szervezetbeli telepítéséhez alkalmazható legmegfelelőbb módszer meghatározása A szervezet azon rendszereinek azonosítása, amelyekben az MSRT eszköz telepítése magasabb szintre emeli a biztonságot

71 Az eszköz telepítése a megfelelő telepítési módszer használatával A Windows 8 tűzfala A személyes tűzfal a különböző típusú kártevő szoftverek elleni védekezés kritikus fontosságú eleme. Ahogy a Windows korábbi verzióiban is (a Windows XP SP2 kiadásától kezdve), a Windows 8 rendszerben is alapértelmezés szerint bekapcsolt a személyes tűzfal, amely így az operációs rendszer elindulásának pillanatától kezdve védelmet nyújt a felhasználónak. A Windows 8 tűzfala ugyanazt a védelmi mechanizmust használja, mint a Windows Vista tűzfala, beleértve a bejövő és a kimenő adatforgalom szűrését, amivel korlátozható az operációs rendszer erőforrásaihoz való hálózaton keresztüli hozzáférés. A Windows fokozott biztonságú tűzfala ugyanazt a konzolt alkalmazza felhasználói felületként, mint a Windows Vista rendszerbeli tűzfal. Ez a konzol a tűzfal kezelésének központi helye. Ezen a konzolon kezelhetők a hálózati adaptereken keresztül haladó bejövő és kimenő hálózati adatforgalom szűrésének beállításai, valamint az IPsec protokoll biztonsági beállításai, például a kulcscserére, a hitelesítésre, az adatintegritásra és az adatok titkosítására vonatkozó beállítások. A Windows 8 fokozott biztonságú tűzfala három profilt tartalmaz: Tartományi profil A rendszer akkor használja ezt a profilt, amikor a számítógép csatlakozik a hálózathoz, és megtörtént a hitelesítése abban a tartományvezérlőben, amelyhez a számítógép tartozik. Nyilvános profil Ez az alapértelmezett profil, amelyet a rendszer akkor használ, amikor a számítógép nincs tartományhoz csatlakoztatva. A nyilvános profilnak kell tartalmaznia a legszigorúbb korlátozásokat, hisz a számítógép nem biztonságos, nyilvános hálózathoz csatlakozik. Otthoni profil A rendszer akkor használja ezt a profilt, amikor a helyi rendszergazdai hitelesítő adatokkal rendelkező felhasználó hozzárendeli ezt a profilt az aktuális hálózati kapcsolathoz, amely korábban nyilvános hálózatként lett definiálva. Ezt a profilt biztonságos hálózatokban ajánlott használni. A Windows Vista rendszerben egyszerre csak egy profil lehet aktív a számítógépen. A Windows 8 rendszerben a hálózati adapterek szintjén több profil is aktív lehet. Ha a számítógépben több hálózati adapter található, amelyek különböző hálózatokhoz vannak csatlakoztatva, akkor a rendszer mindegyik hálózati adapterhez az adott hálózatnak leginkább megfelelő beállításokat tartalmazó profilt rendeli hozzá. Ha például a felhasználó egy internetkávézó ingyenes vezeték nélküli hálózati kapcsolatán keresztül csatlakozik a szervezet hálózatához VPN-kapcsolat használatával, a nyilvános profil továbbra is védelmet nyújt annak a hálózati adatforgalomnak, amely nem a VPN-kapcsolaton keresztül halad. Ugyanez érvényes a hálózathoz nem csatlakoztatott, illetve az ismeretlen hálózathoz csatlakoztatott hálózati adapterre, amelyhez a rendszer a nyilvános profilt fogja használni, míg a többi hálózati adapterhez azt a profilt rendeli hozzá, amely leginkább megfelel az adott hálózati kapcsolatoknak.

72 Kockázatbecslés A hálózati kapcsolat mára az üzleti tevékenységek kiemelt fontosságú elemének számít, mert egyrészt lehetővé teszi a kapcsolattartást az egész világgal, másrészt ugyanez a kapcsolat a támadások fő célpontjává is válhat. Ezt a veszélyt minimálisra kell csökkenteni a biztonság fenntartásához, valamint a fontos adatokhoz való jogosulatlan hozzáférés és a számítógépek megfertőzésének megakadályozásához. A szervezeteknek a következő veszélyekkel kell számolniuk a hálózati kapcsolatokat felhasználó támadások esetében: A támadó megfertőzheti a számítógépeket, átveheti a számítógépek feletti irányítást, illetve rendszergazdai jogosultságokat szerezhet illetéktelenül. A támadó egy hálózati keresőeszköz használatával távolról felderítheti a nyitott portokat (amelyek az internetes szolgáltatások működéséhez szükségesek), és ezeken keresztül bejutva hajthatja végre a támadást. A szervezet bizalmas adatai jogosulatlan személyek birtokába juthatnak, amikor egy trójai faló típusú alkalmazás közvetlen kapcsolatot hoz létre a hálózaton belül található egyik munkaállomás és a támadó számítógép között. A hordozható számítógépeket külső hálózati támadások érhetik, amikor a felhasználók a vállalati tűzfal hatókörén kívül eső, nem megbízható hálózatban dolgoznak. A belső hálózatban működő számítógépeket a hálózathoz csatlakozó fertőzött számítógépekről származó támadások érhetik. A szervezet visszaéléseknek lehet kitéve, ha a támadó megfertőzi a belső hálózathoz csatlakozó számítógépeket. Kockázatminimalizálás A Windows 8 beépített tűzfala biztosítja a számítógép védelmét. A hálózati tűzfal blokkolja a nemkívánatos bejövő kapcsolatokat, amíg a rendszergazda vagy a megfelelő csoportházirend végre nem hajtja a szükséges módosításokat. A hálózati tűzfal a számítógép kimenő adatforgalmának szűrését is előre beállítottan tartalmazza. Ez a szabály alapértelmezés szerint engedélyezi a teljes kimenő forgalmat. A tűzfalszabályok a csoportházirend-beállításokkal konfigurálhatók úgy, hogy a kliensszámítógép biztonsági beállításai változatlanok maradjanak. A kockázatminimalizálás fontos szempontjai Az alábbi lista tartalmazza a hálózati tűzfal megfelelő alkalmazását elősegítő legfontosabb tudnivalókat: Tesztelni kell a szervezet számítógépein használt alkalmazások együttműködését. Meg kell határozni, hogy az egyes alkalmazások milyen portokat használnak, hogy a tűzfal engedélyezhesse a szükséges portok megnyitását. A Windows 7 tűzfalához hasonlóan a Windows 8 hálózati tűzfala is három profilt használ: a tartományi profilt, a nyilvános profilt és a saját profilt. A tűzfal ezekkel a profilokkal állítja be a szervezet belső hálózatán kívüli, nem megbízható hálózatokban működő kliensszámítógépek megfelelő védelmi szintjét.

73 Meg kell határozni a tűzfal által létrehozott naplófájlok adatgyűjtési szintjét, hogy a naplófájlok készítése a szervezet meglévő jelentéskészítési és figyelési megoldásainak megfelelő módon történjen. A tűzfal alapértelmezés szerint blokkolja a Windows 8-as számítógépek távvezérlését és távfelügyeletét. A tűzfal tartalmaz olyan beépített szabályokat is, amelyek lehetővé teszik a távoli feladatok végrehajtását. Ha távvezérlésre van szükség, be lehet kapcsolni ezeket a szabályokat a tűzfal megfelelő profiljaiban. A tartományi profilban be lehet kapcsolni például a Távoli asztal szabályt, hogy a technikai támogatással foglalkozó munkatársak távoli kapcsolat létrehozásával tudjanak segítséget nyújtani a felhasználóknak. A nyilvános és a saját profil esetében célszerű kikapcsolva hagyni ezeket a szabályokat, mert ezzel minimálisra csökkenthető a belső hálózatban lévő számítógépek hálózaton keresztüli megtámadásának kockázata. A kockázatminimalizálás folyamata A Windows 8 olyan csoportházirend-beállításokat és eszközöket tartalmaz, amelyek segítségével a rendszergazdák egyszerűen megadhatják a tűzfal megfelelő konfigurációs beállításait. A Windows 8 rendszerben elérhető speciális biztonsági beállítások a Windows 7 SP1 és a Windows Vista rendszerű számítógépeken is alkalmazhatók, de a Windows XP rendszerű kliensszámítógépeken, illetve a virtuális Windows XP mód használata esetén nincs lehetőség erre. A tűzfal alapértelmezett konfigurációjának módosításakor a Fokozott biztonságú Windows tűzfal csoportházirend-beállításait ajánlott használni a Windows 8, a Windows 7 SP1 és a Windows Vista rendszerű számítógépek felügyeletéhez. A Fokozott biztonságú Windows tűzfal szolgáltatásra vonatkozó házirendek a következő bejegyzésnél találhatók: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\fokozott biztonságú Windows tűzfal (Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security) Mindhárom profilban a Fokozott biztonságú Windows tűzfalat célszerű bekapcsolni. A Fokozott biztonságú Windows tűzfal támogatja a kapcsolatbiztonsági szabályok használatát is. A kapcsolatbiztonsági funkció a két számítógép közötti kommunikáció elkezdése előtt hitelesíti a két számítógépet, és megfelelő védelemmel látja el a két számítógép között átvitt adatokat. A Fokozott biztonságú Windows tűzfal szolgáltatás az IPsec protokoll biztonsági funkcióit használja a kapcsolatok biztonságossá tételéhez, beleértve például a kulcscserére, a hitelesítésre, az adatintegritásra és az adatok titkosítására vonatkozó beállításokat. Az IPSec 26 protokollal kapcsolatos további tudnivalók a Microsoft Technet webhelyen olvashatók. 26

74 A Windows 8 Fokozott biztonságú tűzfalához ajánlott beállításokat tartalmazó alapbeállítás-készlet a Security Compliance Manager 27 (SCM) eszközben érhető el. (Az SCM használatának ismertetését a jelen dokumentum 8. fejezete tartalmazza.) 3.9. Az alkalmazások hozzáférésének korlátozása AppLocker A Windows 8 AppLocker funkciója a szoftverkorlátozási házirendek frissített és továbbfejlesztett verziója. Az AppLocker olyan új funkciókat és kiegészítéseket tartalmaz, amelyek csökkentik a felügyeleti teendőket, és megkönnyítik a rendszergazdák számára a fájlok (például a végrehajtható fájlok, a parancsfájlok, a Windows Installer-fájlok és a DLL-fájlok) hozzáférésének szabályozását. Az AppLocker funkció konfigurálásához használhatók az Active Directory-tartomány csoportházirendjei vagy a rendszer Helyi biztonsági házirend konzolján elérhető helyi házirendek. Kockázatbecslés A nem engedélyezett alkalmazások telepítési kísérletei a rendszer jogosulatlan módosításának kockázatával járnak. A telepítési folyamat változtatásokat hajt végre a számítógép operációs rendszerében, és az is előfordulhat, hogy elindít különböző szolgáltatásokat, vagy megnyit bizonyos portokat a Windows tűzfalon. Ha a fenti események nem következnek be, akkor is ellenőrizni kell, hogy a rendszerben telepített alkalmazás nem lehet-e támadások esetleges célpontja, illetve nem használható-e különböző támadások végrehajtásához. A nem engedélyezett alkalmazások lehetnek kártevő szándékúak, és ha a felhasználó véletlenül vagy szándékosan telepít egy ilyen alkalmazást, az alkalmazás felhasználható arra, hogy a támadók hozzáférjenek a belső rendszerekhez, miután a számítógép csatlakozott a szervezet hálózatához. A Windows 8 rendszerben az Applocker funkcióval a Windows 8 új alkalmazásai is felügyelhetők. A Windows 8 izolált alkalmazásokat használ, amelyekhez hozzá vannak kapcsolva a telepítőfájlok, és az alkalmazások közzététele olyan néven történik, amelyben szerepel a készítő neve, az alkalmazás neve és a verziószám is. Ez azt jelenti, hogy az AppLocker funkcióban csak a készítőre vonatkozó szabály hozható létre a Windows 8 rendszerben használandó alkalmazások telepítésének és elindításának felügyeletéhez. Kockázatminimalizálás Az AppLocker lehetővé teszi, hogy a rendszergazdák alkalmazásvezérlési házirendeket használjanak, amelyekkel jelentősen csökkenthető a szervezet számítógépeire telepített nem engedélyezett alkalmazások felhasználásával végrehajtható támadások kockázata. Az AppLocker funkcióban a következő műveletek végrehajtásával minimalizálható a szoftverek telepítéséhez kapcsolódó kockázat: 1. Szabályok definiálása a digitális aláírásban szereplő fájlattribútumok alapján, például a készítő, a termék neve, a fájl neve és a fájl verziója alapján létrehozhatók például olyan szabályok a készítőt tartalmazó attribútum alapján, amelyek a frissítések után is megőrzik az érvényességüket, vagy megadhatók csak egy meghatározott fájlverzióra érvényes szabályok. 2. Szabályok hozzárendelése a biztonsági beállítások, illetve a felhasználók csoportjához 27

75 3. Kivételek megadása a szabályokhoz létrehozható például olyan szabály, amely engedélyezi a Windows összes rendszerfolyamatának elindítását, kivéve a Registry Editor (Regedit.exe) elindítását. 4. A Csak naplózás üzemmód használata a házirendek hatásának felméréséhez az érvényesítésük előtt 5. Szabályok importálása és exportálása az importálás és az exportálása a teljes házirendre hatással van. Például egy házirend exportálásakor az összes szabályt exportáljuk az összes szabálygyűjteményből, beleértve a szabálygyűjtemények érvényesítésének beállításait. A házirendek importálása a meglévő házirendek felülírását okozza. 6. Szoftverkorlátozási házirendek létrehozása és kezelése a PowerShell program szoftverkorlátozási kisalkalmazásainak használatával. A kockázatminimalizálás fontos szempontjai Az alábbi lista tartalmazza az AppLocker funkció megfelelő alkalmazását elősegítő legfontosabb tudnivalókat: Az alkalmazásvezérlési házirendeket körültekintően tesztelni kell az éles környezetben való használatuk előtt. A funkció használatának tervezésekor és érvényesítésekor vétett hibák számottevően megnehezíthetik a felhasználó munkáját és visszavethetik a teljesítményét. Az AppLocker funkció Csak naplózás üzemmódjának használatával végzett felmérés alapján a korlátozás érvényesítése előtt megállapítható, hogy a felhasználók milyen alkalmazásokat használnak. Ügyelni kell a korlátozások fokozatos bevezetésére. A műveletet azoknál a felhasználóknál kell kezdeni, akiknél a telepített szoftverek komoly biztonsági kockázatot jelentenek, illetve azokon a számítógépeken, amelyek bizalmas és fontos adatokat tárolnak. A kockázatminimalizálás folyamata Az AppLocker konfigurációja a csoportházirendek Alkalmazásvezérlési házirendek bejegyzésénél található. A Windows 8 is támogatja a szoftverkorlátozási házirendeket. Figyelem: Az AppLocker funkció nem érhető el a Windows 8 egyéni felhasználóknak szánt verzióiban. Kockázatminimalizálás csoportházirendek és az AppLocker funkció használatával Az AppLocker funkció konfigurációs beállításai a következő bejegyzésnél érhetők el: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\alkalmazásvezérlési házirendek (Computer Configuration\Windows Settings\Security Settings\Application Control Policies) Ez az útmutató nem tartalmaz ajánlásokat arra vonatkozóan, hogy milyen alkalmazásokat érdemes letiltani a munkaállomásokon, mert az erre vonatkozó igények egyediek minden szervezetben. Az AppLocker házirendjeinek tervezésével és alkalmazásával kapcsolatos további tudnivalók az

76 AppLocker Technical Documentation for Windows 7 and Windows Server 2008 R2 28 című dokumentumban olvashatók Szoftverkorlátozási házirendek A Windows 8 is tartalmazza és támogatja a Windows Vista, a Windows XP, a Windows Server 2003 és a Windows Server 2008 rendszerben alkalmazott szoftverkorlátozási házirendeket. A rendszergazdák továbbra is használhatják ezeket a házirendeket a helyi számítógépeken működő alkalmazások korlátozásához és vezérléséhez. A Microsoft azonban a Windows 8 AppLocker funkciójában bevezetett új alkalmazásvezérlési házirendek beállításainak és kiegészítéseinek használatát javasolja a szoftverkorlátozási házirendek használata helyett Biztonságos hitelesítés intelligens kártyák használatával A Windows rendszerekben az intelligens kártyák biztosítják a lehető legjobb módszert a felhasználók hitelesítésére, illetve a felhasználók bejelentkezésére a számítógépekre, a webhelyekre és az alkalmazásokba. Az intelligens kártyák a Windows korábbi kiadásaiban is támogatottak, de a Windows 8 rendszerben bevezetett változtatások eredményeképpen az intelligens kártyák meghatározott hozzáférési típusok esetében még kényelmesebbé váltak a hitelesítésre. Az intelligens kártya a többfaktoros hitelesítés alkalmazásával jelentős mértékben növeli a biztonságot. A többfaktoros hitelesítés olyan mechanizmus, amelyben a számítógépre vagy egy webhelyre való bejelentkezéshez használt hitelesítés tartalmaz egy fizikai összetevőt, az intelligens kártyát (ez a felhasználó birtokában lévő fizikai összetevő), valamint egy adatot, ami általában egy PIN-kód (ez csak a felhasználó által ismert adat). Így a támadók csak az egyik elemhez hozzájutva, például a PIN-kódot megszerezve nem tudják hitelesíteni magukat a rendszerben a fizikai kártya nélkül. A Windows 8 rendszerben virtuális intelligens kártyák is használhatók, amelyekkel helyettesíthetők a webhelyeken és az alkalmazásokban való hitelesítéshez használt fizikai kártyák. A virtuális intelligens kártyák hasonló biztonsági mechanizmusokat használnak, de a tanúsítványok tárolásához használt tároló a platformmegbízhatósági modul (Trusted Platform Module TPM), amely a számítógépen található chip vagy firmware. Ilyen esetben a számítógép tekintendő az intelligens kártyának, vagyis a hitelesítéshez (bejelentkezéshez) szükséges fizikai elemnek. A virtuális intelligens kártyák a fizikai intelligens kártyákkal egyenértékű biztonsági szintet kínálnak, és a költségek csökkentéséhez is hozzájárulnak, mert használatuk esetén nem kell megvásárolni az intelligens kártyákat és a megfelelő kártyaolvasókat. Kockázatbecslés A távoli hálózati hozzáférés és az adatokhoz való hozzáférés komoly veszélyforrás lehet olyan esetben, amikor az adott felhasználó fiókja egy támadó birtokába kerül, függetlenül attól, hogy a támadás távolról vagy helyben történt. A támadó úgy szerezhet hozzáférést a számítógéphez vagy a szolgáltatásokhoz, hogy kitalálja a felhasználónevet (például következtetéssel vagy pszichológiai manipulációval), és kitalálja, vagy valamilyen támadással megszerzi a felhasználó jelszavát. 28

77 Kockázatminimalizálás Az intelligens kártyákat vagy virtuális intelligens kártyákat használó hitelesítési mechanizmus alkalmazásával többfaktoros erős hitelesítés valósítható meg. A támadók nehezebben tudják megszerezni a felhasználók hitelesítő adatait, mert a fizikai elemhez, azaz a kártyához nem tudnak hozzáférni. Az intelligens kártyák alkalmazásához a nyilvános kulcsok infrastruktúrája (Public Key Infrastructure PKI) szükséges. A PKI-konfiguráció megvalósítása összetett feladat, amelyet körültekintően meg kell tervezni a megvalósítás előtt. A PKI technológia a Windows Server 2012 Active Directory tanúsítványszolgáltatásainak (Active Directory Certificate Services AD CS) kiszolgálói szerepkörére alapozva használható. A témával kapcsolatos további tudnivalókat lásd: Active Directory Certificate Services Overview 29. A kockázatminimalizálás fontos szempontjai Az intelligens kártyák, illetve a virtuális intelligens kártyák használatának bevezetése előtt mérlegelni kell néhány fontos szempontot: A fizikai intelligens kártyák használata jelentős költségeket róhat a szervezetre, mert megfelelő készülékeket kell vásárolni. Ez a megoldás minden számítógéphez külön kártyaolvasót igényel (a piacon elérhetők olyan számítógépek is, amelyek beépítetten tartalmaznak ilyen kártyaolvasót), valamint fizikai intelligens kártyákat is biztosítani kell minden felhasználónak. Ezenkívül megfelelő mennyiségű tartalék kártyát is be kell szerezni, hogy az új felhasználókat is el lehessen látni ilyen kártyával, illetve pótolni lehessen az elveszett vagy megrongálódott kártyákat. Ha a felhasználó elveszíti vagy otthon felejti a kártyáját, nem fog tudni bejelentkezni a szervezet rendszerébe, ami negatív hatással lesz a teljesítményére. A virtuális intelligens kártyák megoldást jelenthetnek erre a problémára. Az intelligens kártyák nem nyújtanak védelmet a veszélyek hiányos ismeretéből fakadó emberi tévedések ellen. Az intelligens kártyák nem küszöbölik ki az olyan problémákat sem, amelyek abból adódnak, hogy a felhasználók papírra jegyzik fel a PIN-kódjukat. A kártyák esetében számolni az ellopásuk veszélyével. Kiemelt figyelmet kell fordítani a megfelelő eljárások követésére, amelyeket meg kell ismertetni a felhasználókkal is. Ide tartozik például a PIN-kódok védelme, valamint az is, hogy a kártyákat nem szabad felügyelet nélkül hagyni. A virtuális intelligens kártyák használatához a platformmegbízhatósági modul szükséges a számítógépen. A számítógép szállítójától függően a platformmegbízhatósági modul konfigurálásához szükséges eszközök a TPM-eszközre vonatkozó kézi beállítási műveleteket igényelhetnek. Ilyen művelet lehet például a platformmegbízhatósági modul engedélyezése a BIOS beállításaiban, a modul inicializálása, valamint a rendszergazdai jelszó beállítása az eszköz inicializálásakor, ami megakadályozhatja a telepítés, illetve a frissítés automatikus vagy parancsfájlok általi végrehajtását. 29

78 A témával kapcsolatos további információ a következő dokumentációban olvasható: The Secure Access Using Smart Cards Planning Guide 30 és Understanding and Evaluating Virtual Smart Cards

79 3.12. A Windows kiinduló állapotba hozása és a számítógép visszaállítása alapállapotba A Windows 8 két új módszert kínál a számítógép korábbi állapotának visszaállítására. A Windows kiinduló állapotba hozása: Ez a művelet Windows helyreállítási környezet (Windows RE) üzemmódban indítja el a számítógépet, törli és formázza a Windows és a felhasználó adatait tartalmazó partíciókat, újratelepíti a Windows rendszert, végül újraindítja a számítógépet. Számítógép visszaállítása alapállapotba: Ez a művelet Windows helyreállítási környezet (Windows RE) üzemmódban indítja el a számítógépet, megkeresi és összegyűjti a felhasználó adatait és fájljait, valamint a Windows 8 konfigurációját és az alkalmazások beállításait (biztonsági másolatot készít ezekről), majd újratelepíti a Windows rendszert, visszaállítja a felhasználó adatait és fájljait, valamint a Windows 8 konfigurációját és az alkalmazások beállításait, végül újraindítja a számítógépet. A rendszer-visszaállítási funkció megőrzi a számítógép beállításait, beleértve a vezeték nélküli hálózatok és a mobilkapcsolatok konfigurációját, a BitLocker és a BitLocker To Go titkosítási mechanizmus beállításait, a meghajtóbetűjeleket és a személyre szabás beállításait (például a háttérképet). A rendszergazdák létrehozhatnak egyéni rendszer-visszaállítási lemezképet, amely tartalmazhatja a szoftvereket, az eszközöket és az illesztőprogramokat is, így ezek könnyen helyreállíthatók, ha végre kell hajtani a rendszer felújítását vagy visszaállítását. Ha a számítógépet rosszindulatú szoftver fertőzi meg, a Windows kiinduló állapotba hozásának segítségével fertőzésmentes, tiszta rendszert lehet előállítani. A számítógép alapállapotának visszaállításával a rosszindulatú szoftverek általi támadások észlelése esetén egyszerűen vissza lehet térni a rendszer korábbi állapotához. Támadás vagy a számítógép megfertőződése esetén a számítógép alapállapotának visszaállításával visszanyerhetők a számítógépen tárolt adatok, illetve előállítható a számítógép korábbi állapota. A Windows felújításának funkciója is igénybe vehető a számítógép operációs rendszerének visszaállítására a fertőzésmentes állapotra a támadások vagy kártevő szoftver észlelése után. A felújítási művelettel nem nyerhetők vissza a felhasználói adatok, de a művelet elvégzése után a felhasználó biztos lehet abban, hogy a számítógépen nem maradt rosszindulatú szoftver.

80 3.13. Kiegészítő tudnivalók és hivatkozások Az alábbi lista a Microsoft.com webhelyen közzétett, a Windows 8 biztonságával foglalkozó dokumentumokat és további hasznos információforrásokat tartalmaz. Active Directory Certificate Services Overview 32 A Microsoft Windows kártevőket eltávolító eszközének telepítése vállalati környezetben 33 ( os számú tudásbáziscikk) Impact of Artificial "Gummy" Fingers on Fingerprint Systems 34 Install the latest Windows Defender definition updates 35 Protecting you from malware 36 IPsec 37 System Center 2012 Endpoint Protection 38 Getting Started with User Account Control on Windows Vista 39 Tartsa biztonságban számítógépét! 40 Malware Families Cleaned by the Malicious Software Removal Tool 41 Microsoft Security Compliance Manager 42 A Microsoft hibajelentési szolgáltatás adatvédelmi nyilatkozata 43 A Microsoft Windows kártevő-eltávolító eszköz elősegíti az adott, gyakori kártevő szoftverek eltávolítását a Windows támogatott verzióit futtató számítógépekről ( as számú tudásbáziscikk) A Windows Defender adatvédelmi nyilatkozata Windows tűzfal Windows Server Group Policy Windows Server Update Services (WSUS) Windows Vista Application Development Requirements for User Account Control Compatibility című cikk Understanding and Configuring User Account Control in Windows Vista User Account Control Using Software Restriction Policies to Protect Against Unauthorized Software

81 4. A bizalmas adatok védelme A Microsoft új és kibővített funkciókat és szolgáltatásokat nyújt a szervezeteknek a kliensszámítógépeken tárolt adatok védelméhez, beleértve az adatok ellopása és jogosulatlan elérése elleni eszközöket. Ez a fejezet azokat az ajánlott beállításokat ismerteti, amelyekkel növelhető a Windows 8 rendszerű kliensszámítógépeken tárolt adatok biztonsága. Az egyes adatvédelmi funkciók konfigurációja az adott informatikai környezet követelményeitől és biztonsági szintjétől függ. Az itt leírt fontos információk alapján meghatározhatók, megtervezhetők és a szervezet igényeinek megfelelően alakíthatók ki az adatvédelmi megoldások, amelyekhez a következő funkciók és szolgáltatások vehetők igénybe: Meghajtótitkosítás a BitLocker funkcióval o A Windows rendszert tartalmazó köteten (operációs rendszer meghajtója) található fájlok, valamint a rögzített merevlemezeken található fájlok védelme o A cserélhető lemezeken (külső merevlemezek, USB flash meghajtók) található adatok védelme a BitLocker To Go funkció használatával Titkosított fájlrendszer (EFS) Windows tartalomvédelmi szolgáltatások (RMS) A Windows rendszer eszköztelepítési és eszközkezelési mechanizmusa A szervezet fontos adatainak védelméhez a BitLocker funkció, a titkosított fájlrendszer, a tartalomvédelmi szolgáltatás, valamint az eszköztelepítési és -kezelési mechanizmus használható. A felsorolt technológiák meghatározott szerepet töltenek be a különböző alkalmazási helyzetekben. Az itt bemutatott beépített adatvédelmi mechanizmusoknak szerepelniük kell a szervezet biztonsági stratégiájában, alkalmazásuk feltétlenül ajánlott. Az alábbi táblázat néhány példán keresztül szemlélteti az egyes funkciók leggyakoribb alkalmazási lehetőségeit. Alkalmazás célja BitLocker EFS RMS Eszközkezelés Hordozható számítógépeken lévő adatok védelme Munkahelyi részleg kiszolgálóján lévő adatok védelme Felhasználók helyi fájljainak és mappáinak védelme Asztali számítógépek védelme Cserélhető adathordozókon lévő adatok védelme Több felhasználó által közösen használt számítógépeken lévő fájlok és mappák védelme Távoli fájlok és mappák védelme

82 Nem megbízható hálózatban dolgozó rendszergazdák védelme Távoli dokumentumok adatvédelmi házirendjeinek végrehajtása Hálózaton keresztül küldött tartalmak védelme Tartalomvédelem a csoportok közös munkája esetén Adatlopás elleni védelem 4.1. táblázat: A Windows 8 adatvédelmi mechanizmusainak összefoglalása A megfelelő konfigurációs alapszint-beállításokat a Security Compliance Manager (SCM) tartalmazza Excel-munkalapokon felsorolva. A közölt információk felhívják a figyelmet a Microsoft-termékek különböző támadási felületeire is. Az egyes termékek beállításait tartalmazó munkafüzetek az SCM eszközben, az Attachments\Guides szakaszban érhetők el a megfelelő termék kiválasztása után. Figyelem: A jelen fejezetben ismertetett funkciók, valamint a csoportházirendek beállításai a Windows 8 új telepítéseihez megfelelő alapértelmezett konfigurációval szerepelnek. A csoportházirendek ajánlott beállításait a szimbólum jelzi. A konfigurációs alapszintekkel kapcsolatos további információk, valamint a beállítások megfelelő értékei a Security Compliance Manager 44 (SCM) eszközben elérhető Windows 8 Security Baseline settings című dokumentum táblázataiban találhatók Meghajtók titkosítása és védelme a BitLocker funkció használatával A Windows 8 rendszerű meghajtókon tárolt adatok védelmére szolgáló BitLocker funkcióval végrehajtott meghajtótitkosítás a teljes kötetekre vonatkozik, nem csak meghatározott fájlokra. Ez a mechanizmus akkor is védi az adatokat, amikor az adott meghajtót kiveszik a számítógépből, és egy másik számítógépbe helyezik be. A Windows 8 rendszerben alkalmazott BitLocker technológia biztosítja a felhasználók számítógépeinek meghajtóin tárolt adatok védelmét, beleértve a merevlemezeket, a cserélhető meghajtókat, az USB-meghajtókat, valamint az IEEE 1394 csatlakozású meghajtókat. A BitLocker az operációs rendszer meghajtóvédelmének elindításától kezdve egészen addig védi a rendszerindítási folyamatot, amíg a felhasználó meg nem adja a BitLocker mechanizmus által igényelt, megfelelő jogosultsággal rendelkező hitelesítő adatokat. A BitLocker funkció lehetővé teszi USB flash meghajtó használatát a visszafejtési kulcsok tárolásához, de a legmagasabb biztonsági szint a TPM 1.2 modul (Trusted Platform Module) alkalmazásával érhető el, amely hardveres védelmet biztosít a titkosítási kulcsoknak, és meggátolja a meghajtókon tárolt adatok biztonságát és integritását veszélyeztető szoftveres támadásokat. A BitLocker funkció igénybe tudja venni a platformmegbízhatósági modult a rendszerindítás korai szakaszában részt vevő összetevők sértetlenségének ellenőrzéséhez, valamint a rendszerindítás konfigurációs adatainak ellenőrzéséhez. Ennek köszönhetően a BitLocker csak akkor teszi lehetővé a hozzáférést a titkosított meghajtóhoz, ha ezek az elemek sértetlenek, és a titkosított meghajtó az eredeti számítógépben található. 44

83 A BitLocker a következő új biztonságnövelő lehetőségeket kínálja a Windows 8 rendszerben: Csak a foglalt lemezterület titkosítása: A Windows 8 rendszerben a felhasználó választhat a foglalt lemezterület, illetve a teljes kötet titkosítása közül. A titkosítási folyamat gyorsabb, ha csak a foglalt területet kell titkosítani. A rendszer telepítése a BitLocker használatával: A Windows 8 lehetővé teszi a BitLocker bekapcsolását a rendszer telepítése előtt is. Ha csak a foglalt lemezterület titkosítása van bekapcsolva, akkor a BitLocker működése gyorsabb lesz, és lehetővé teszi a rendszer telepítésének megszakítás nélküli végrehajtását az új számítógépeken. Nem szabad azonban elfeledkezni arról, hogy az új rendszer telepítésének befejezése után a biztonságos kulcs hozzá lesz adva a védett kötethez. Hálózati feloldás a BitLocker funkcióval: Ha a Windows 8 rendszerben bekapcsolt BitLocker funkció a platformmegbízhatósági modult és a PIN-kódokat használja az adatvédelemhez, akkor a funkció a megbízható hálózatokban lehetővé teszi, hogy a felhasználók PIN-kód megadása nélkül indítsák el a rendszert. A BitLocker által kínált hálózati feloldás lehetővé teszi, hogy a rendszergazdák a felügyelet nélküli frissítés vagy a karbantartási feladatok végrehajtásához elindítsák a platformmegbízhatósági modullal és PIN-kóddal védett titkosított rendszereket. Ehhez az szükséges, hogy a kliensszámítógépen telepítve legyen a Dynamic Host Configuration Protocol (DHCP) illesztőprogramja az UEFI (Unified Extensible Firmware Interface) szoftverben. A Windows rendszerű, hardveresen titkosított meghajtók támogatása: A Windows 8 rendszerben a Bitlocker támogatja a teljes lemeztitkosítás (Full Disk Encryption FDE) mechanizmusát, amely a hardveres merevlemez-titkosítást (Encrypted Hard Drive) biztosító speciális merevlemezeket használ. A hardveres titkosítású lemezeken a blokkok szintjén hajtható végre a titkosítás. A titkosítás és a visszafejtés műveletét a lemezvezérlő hajtja végre, ami csökkenti a számítógép processzorának terhelését. PIN-kód és jelszó módosítása általános jogú felhasználóként: A Windows 8 rendszerben a rendszergazdai jogosultsággal nem rendelkező felhasználók nem módosíthatják a BitLocker funkció konfigurációs beállításait. Lehetőségük van azonban arra, hogy megváltoztassák az operációs rendszert tartalmazó kötethez és a rögzített merevlemezekhez tartozó PIN-kódot vagy jelszót. Így az általános jogú felhasználók könnyen megjegyezhető, saját PIN-kódot vagy jelszót választhatnak. Megjegyzendő azonban, hogy ez a lehetőség a jelszavak megszerzésére irányuló támadások veszélyének teszi ki a szervezetet. Ez a beállítás csoportházirendekkel felügyelhető A BitLocker üzemmódjai és a TPM modul kezelése A BitLocker funkció több üzemmódban is használható, amelyek az egyéni igényeknek megfelelően konfigurálhatók. A választandó és használandó üzemmód attól függ, hogy a platformmegbízhatósági modul elérhető-e a védett számítógépeken, valamint attól, hogy milyen szintű védelmet kell megvalósítani. Az üzemmód meghatározza a platformmegbízhatósági modul, a PIN-kód, valamint az indítókulcs alkalmazását. Az indítókulcs egy olyan fájl, amely kriptográfiai módszer alkalmazásával lett létrehozva, és különálló USB flash meghajtón tárolódik.

84 A BitLocker funkció üzemmódjai: Csak a TPM modul használata. A csak a platformmegbízhatósági modult használó ellenőrzés esetén nincs szükség felhasználói műveletre a meghajtó visszafejtéséhez és elérhetővé tételéhez, illetve nem kell jelszót, PIN-kódot vagy indítókulcsot megadni a rendszer elindításához. Ha a platformmegbízhatósági modult használó ellenőrzés sikeres, akkor a bejelentkezés a felhasználó szempontjából ugyanúgy történik, mint a szokásos bejelentkezés. A TPM modul hiánya vagy módosítása esetén, illetve ha a platformmegbízhatósági modul kritikus szintű módosítást észlel az operációs rendszer indításához szükséges fájlokban, vagy ha a meghajtót másik számítógépben próbálják használni, akkor a BitLocker átvált a helyreállítási üzemmódra, és az adatok eléréséhez a helyreállítási jelszó megadására lesz szükség. Ez az üzemmód a platformmegbízhatósági modul segítségével gondoskodik a Windows 8 rendszerindítási környezetének védelméről. Ez az üzemmód a BitLocker funkció alkalmazásának leggyengébb védelmet nyújtó szintje, hisz nem igényel hitelesítést a Windows rendszer elindításához. A TPM modul használata indítókulccsal. A platformmegbízhatósági modul által nyújtott védelem mellett a titkosítási kulcs egy részét USB flash meghajtón kell tárolni. A titkosított köteten található adatokhoz nem lehet hozzáférni az indítókulcs nélkül. Ebben az üzemmódban az indítókulcsot tartalmazó USB-meghajtót kell csatlakoztatni a számítógéphez a Windows elindítása közben. Ha rendszer nem tudja beolvasni a megfelelő indítókulcsot, a számítógép átvált helyreállítási üzemmódra. Ez az üzemmód szintén a platformmegbízhatósági modul segítségével gondoskodik a Windows 8 rendszerindítási környezetének védelméről. A TPM modul használata PIN-kóddal. A platformmegbízhatósági modult használó védelem mellett a BitLocker funkció PIN-kód megadását is igényli a felhasználótól. A PIN-kód megadása nélkül nem lehet hozzáférni a titkosított köteten található adatokhoz. Ezenkívül csoportházirend segítségével beállítható jelszó használata is az egyszerű PIN-kód helyett. Ha a felhasználó nem adja meg a megfelelő PIN-kódot a rendszer elindításakor, a számítógép átvált helyreállítási üzemmódra. Ez az üzemmód a platformmegbízhatósági modul segítségével gondoskodik a Windows 8 rendszerindítási környezetének védelméről. A TPM modul használata indítókulccsal és PIN-kóddal. Ezt az üzemmódot csak a parancssorból, a Manage-bde.exe parancs használatával, valamint csoportházirendek használatával lehet beállítani. A hardveres platformmegbízhatósági modul által nyújtott védelem mellett a titkosítási kulcs egy részét USB flash meghajtón kell tárolni, és a felhasználónak a platformmegbízhatósági modulban való hitelesítéshez PIN-kódot kell megadnia. Ez a többtényezős hitelesítés garantálja, hogy az USB-meghajtó elvesztése vagy ellopása esetén az USB-meghajtót illetéktelenül használni próbáló támadó nem tud hozzáférni a védett meghajtóhoz, mert PIN-kód is szükséges a hozzáféréshez. Ez az üzemmód a platformmegbízhatósági modul segítségével gondoskodik a Windows 8 rendszerindítási környezetének védelméről. Az üzemmódot olyan környezetben célszerű használni, amely magas biztonsági szintet igényel, ez az üzemmód biztosítja a legerősebb adatvédelmet. A BitLocker funkció TPM modul nélküli üzemmódja. Ez az üzemmód teljes meghajtótitkosítást kínál, de nem biztosítja a Windows 8 rendszerindítási környezetének védelmét. Ez a lehetőség a hardveres platformmegbízhatósági modullal nem rendelkező

85 számítógépek esetében választható. Az üzemmód beállításai a következő csoportházirend konfigurálásával adhatók meg: Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\bitlocker meghajtótitkosítás\operációsrendszer-meghajtók\további hitelesítés megkövetelése indításkor (Computer Configuration\Administrative Templates\WindowsComponents\BitLocker Drive Encryption\Operating System Drives\Require Additional Authentication At Startup) A platformmegbízhatósági modul nélküli üzemmód használata esetén szükség van egy USB flash meghajtóra, amely a Windows rendszer elindításához használandó indítókulcsot tárolja. A BitLocker funkció használata során az esetek többségében a platformmegbízhatósági modul memóriája (biztonságos adattároló) tárolja a titkosítási kulcsokat. A platformmegbízhatósági modul bekapcsolásakor és konfigurálásakor a Windows 8 egy adatot (védőértéket) ad át a véletlenszámgenerátornak. A véletlenszám-generátor állítja elő a Windows alkalmazásaihoz használt kriptográfiai kulcsokat. A platformmegbízhatósági modul használata jobban növeli a kriptográfiai kulcsok véletlenszerűségét, mint a csak szoftveres módszerek használata, ezért ajánlott bekapcsolni és beállítani a hardveres platformmegbízhatósági modult a számítógép BIOS-beállításaiban. A Windows 8 rendszerben a véletlenszám-generátor alapértelmezés szerint a rendszer elindításakor, majd 40 percenként olvassa ki az indítóértéket a platformmegbízhatósági modulból. A rendszer három konfigurációt tartalmaz a mechanizmus beállításainak megadásához. Az alapértelmezett paraméterek tökéletesen megfelelnek a legtöbb alkalmazási helyzetben. A TPMBOOTENTROPY beállítás a rendszerindítási konfiguráció adataival határozható meg. Ha a beállítás hamis értékű, akkor a mechanizmus kikapcsolja a platformmegbízhatósági modul entrópiaforrásként való használatát a TPM modullal felszerelt számítógépeken. A paraméter alapértelmezés szerint igaz értékű rendszerindításkor, illetve hamis értékű a csökkentett módú és a hálózathasználatot is engedélyező csökkentett módú rendszerindításkor. A rendszerindítási konfiguráció beállításaival kapcsolatos további tudnivalók a következő dokumentumokban olvashatók: Boot Configuration Data in Windows Vista 45 és BCDEdit Commands for Boot Environment 46. A frissítési gyakoriság paramétere határozza meg, hogy az adatok entrópiáját milyen gyakran (hány percenként) kell kiolvasni a platformmegbízhatósági modulból. Ha a beállítás értéke nulla, az entrópia nem lesz figyelembe véve, így ez az érték nem befolyásolja a rendszerindítás közben beolvasott adatok mennyiségét (entrópiáját). A paraméter értékének módosításakor ügyelni kell arra, hogy még a legkisebb mértékű módosítás is hatással lehet a Mean Time To Failure beállításra a platformmegbízhatósági modul különböző megvalósításaiban. A paraméter értékét a regisztrációs adatbázis HKey_Local_Machine bejegyzése tárolja a TpmRefreshEntropyIntervalInMinutes nevű DWORD-értékben, amely a \Software\Policies\Microsoft\Cryptography\RNG\ útvonalon érhető el. Az alapértelmezett beállítás 40, az érték a 0 40 tartományból válaszható ki. Ezenkívül meg lehet adni

86 az adatmennyiséget (entrópiát) millibitben a platformmegbízhatósági modul véletlenszámgenerátora által előállított minden bájthoz. Ezt a paramétert a regisztrációs adatbázis HKey_Local_Machine bejegyzése tárolja a TpmEntropyDensityInMillibitsPerByte nevű DWORDértékben, amely a \System\CurrentControlSet\Control\Cryptography\RNG\ útvonalon érhető el. Az alapértelmezett beállítás 8000, az érték az tartományból válaszható ki. A TPM technológia részletes ismertetése és specifikációja a Trusted Computing Group 47 webhelyén érhető el. Megjegyzendő, hogy ha a platformmegbízhatósági modul nem érhető el, a BitLocker funkció továbbra is gondoskodik az adatok védelméről, azonban nem tudja biztosítani a rendszer integritásának védelmét, valamint a rendszerindítási környezet védelmét. Ilyen esetben a következő megoldások alkalmazhatók: A rendszermeghajtókon és a rögzített merevlemezeken található adatok védelme A cserélhető adathordozókon található adatok védelme a BitLocker To Go funkció használatával A fenti megoldások részletes ismertetése a fejezet további részeiben található. Figyelem: A BitLocker funkció a Windows Server 2008 rendszerben is használható az adatok védelmére, de ez az útmutató nem foglalkozik ezzel a témával. Figyelem: Bár a BitLocker funkció lehetővé teszi a Windows Virtual PC program számára az adatok mentését virtuális meghajtó (VHD) formájában a BitLocker által védett fájlrendszerben, a BitLocker által védett virtuális meghajtó (VHD) nem használható a Windows rendszer VHD-fájlból történő elindítására (natív VHD rendszerindítás), és a BitLocker nem indítható el a VHD-fájlokban található köteteken A rendszermeghajtókon és a rögzített merevlemezeken található adatok védelme Ebben az esetben a BitLocker funkció használata lehetővé teszi az operációs rendszer fájljait és egyéb adatokat tartalmazó összes rögzített adatmeghajtó (belső merevlemez) védelmét. Ezzel a konfigurációval megoldható, hogy a BitLocker funkció védelme kiterjedjen a rendszerben lévő összes adatra. Kockázatbecslés Fő biztonsági kockázatnak számít az elvesztett vagy ellopott hordozható számítógépeken tárolt adatok elvesztése. A BitLocker funkció elsődleges szerepe ezen kockázat csökkentése. Ilyen helyzet lép fel, amikor a támadó fizikai hozzáférést szerez a nem védett számítógéphez. Ennek veszélyei a következők: A támadó be tud jelentkezni a Windows 8 rendszerű számítógépre, és lemásolhatja a számítógépen lévő adatokat. A támadó el tudja indítani a számítógépet egy másik operációs rendszerből, és végre tudja hajtani a következő műveleteket: 47

87 o o o o Megtekintheti a fájllistákat. Fájlokat másolhat. Adatokat olvashat ki a hibernálási fájlból vagy a lapozófájlból azzal a céllal, hogy a rendszerindítással kapcsolatos, szöveges formában vagy dokumentumként tárolt információt keressen. Adatokat olvashat ki a hibernálási fájlból azzal a céllal, hogy megkeresse és megszerezze a szöveges formában tárolt titkos kulcsokat. Ha a fájlok a titkosított fájlrendszer (EFS) használatával is védik, akkor számolni kell azzal a veszéllyel, hogy egy óvatlan felhasználó fájlokat helyez át vagy másol át egy titkosított mappából egy olyan mappába, amelynél nincs bekapcsolva az EFS funkció (ilyenek lehetnek például az ideiglenes mappák vagy a rejtett mappák), aminek következtében ezek a fájlok titkosítás nélkül maradnak, és a támadók hozzáférhetnek ezekhez a fájlokhoz. Előfordulhat, hogy az informatikai részlegek tájékozatlan munkatársai tévedésből kihagyják a titkosításból a rejtett mappákat, amelyek az alkalmazások által a rendszer működése során használt fájlok másolatát tárolják. Ezenkívül figyelembe kell venni annak veszélyét is, hogy jogosulatlan személyek a rendszerfájlok vagy a rendszerindító fájlok módosításával lehetetlenné teszik az operációs rendszer normál működését. Kockázatminimalizálás A fenti kockázatokhoz kapcsolódó veszélyek csökkentéséhez a számítógépeken alkalmazni kell a BitLocker funkciót, amely felderíti az operációs rendszer indítófájljainak kritikus súlyossági szintű módosításait, valamint biztosítja a Windows 8 rendszerindítási környezetének védelmét azáltal, hogy egy további hitelesítési folyamat végrehajtását követeli meg a rendszer elindítása és a titkosított meghajtóhoz való hozzáférés előtt. Ezzel megoldható az operációs rendszer teljes védelme, valamint az adatokhoz való jogosulatlan hozzáférés elleni védelem. A kockázatminimalizálás fontos szempontjai A BitLocker funkciónak a Windows operációs rendszert tartalmazó meghajtón (rendszermeghajtón), valamint az adatokat tartalmazó rögzített meghajtókon (belső merevlemezeken) való alkalmazásával csökkenthetők a fenti Kockázatbecslés című szakaszban említett kockázatok, a BitLocker alkalmazása előtt azonban figyelembe kell venni az ehhez az adatvédelmi funkcióhoz kapcsolódó következő követelményeket és bevált eljárásokat: Az optimális konfiguráció megvalósításához a számítógép elsődleges meghajtójának rendelkeznie kell a TPM modul 1.2-es vagy újabb verziójával, és kezelnie kell a Trusted Computing Group irányelveinek megfelelő BIOS rendszert. Az ajánlott konfiguráció PIN-kód használatát igényli, amelyet a felhasználónak meg kell adnia a rendszer feloldásához. Ezenkívül érdemes USB flash meghajtón tárolt indítókulcsot is használni. A védett számítógép merevlemezének legalább 2 partíciót kell tartalmaznia: az operációs rendszer partícióját és egy aktív rendszerpartíciót. A rendszerpartíció az a hely, ahova az operációs rendszer fájljai vannak telepítve titkosított formában, a nem titkosított aktív rendszerpartíciónak pedig legalább 350 MB méretűnek kell lennie, és ez a partíció tárolja a rendszerindításhoz szükséges fájlokat. A Windows telepítőprogramja a Windows 8 telepítésekor alapértelmezés szerint automatikusan létrehozza a rendszerpartíciót, amelyhez nem tartozik meghajtóbetűjel, és rejtett is, így a felhasználók nem láthatják azt. Ha a

88 rendszer nem tartalmaz külön aktív rendszerpartíciót, a BitLocker funkció bekapcsolásakor és inicializálásakor a partíciók automatikusan módosulnak. Olyan helyzetben, amikor a BitLocker USB-meghajtót vagy PIN-kódot igényel, meg kell határozni és be kell vezetni egy vészhelyzeti eljárást, amely az indítókulcsok elvesztése, illetve a PIN-kódok elfelejtése esetén lehetővé teszi a felhasználóknak ezen adatok visszanyerését. A BitLocker funkció nem befolyásolja jelentősen a számítógép teljesítményét, az alkalmazása általában észrevétlen lehet, és nem zavarja a felhasználók munkáját. Ha azonban a rendszer teljesítménye kritikus fontosságú, akkor a tesztelési fázisban ellenőrizni kell, hogy a BitLocker működése nincs-e komolyabb hatással a felhasználók teljesítményére. A számítógépek gyártójától függően a platformmegbízhatósági modul felügyeletéhez szükséges eszközök a számítógép vagy a BIOS kézi konfigurálását igényelhetik. Ezt figyelembe kell venni a BitLocker funkció automatikus vagy parancsfájlok általi alkalmazásának tervezésekor, valamint az új telepítések és a korábbi verziójú Windows rendszerek frissítése esetén is. Ahhoz, hogy az USB-meghajtón tárolt indítókulcsot használni lehessen a rendszerindításhoz, a számítógép BIOS-beállításainak engedélyezniük kell az USB-meghajtók adatainak olvasását a rendszerindításnak az operációs rendszer inicializálása előtti szakaszában. A BitLocker befolyásolhatja az automatizált és távoli telepítésű szoftverek terjesztési folyamatát, valamint az éjszakára vagy a munkaidőn kívülre tervezett alkalmazástelepítéseket vagy -frissítéseket, ha azok a számítógép újraindítását igénylik a felhasználó távollétében. Néhány példa: o A számítógép konfigurációja olyan védelmet határoz meg, amely platformmegbízhatósági modult és PIN-kódot, illetve platformmegbízhatósági modult és USB-meghajtón tárolt indítókulcsot használ, egy telepítési művelet végrehajtása pedig éjszakára, 2:00 órára van beütemezve. Amikor az alkalmazástelepítési művelet a számítógép újraindítását igényli, a számítógépet nem lehet majd megfelelően újraindítani, mert ehhez a PIN-kód megadására vagy az USBmeghajtón tárolt indítókulcs használatára van szükség. o Ha a szervezet a karbantartási műveletek végrehajtásához a hálózati ébresztés funkcióját vagy a számítógép BIOS általi automatikus elindítását alkalmazza, akkor ezeket a számítógépeket sem lehet automatikusan elindítani, mert ehhez a platformmegbízhatósági modulra, valamint kiegészítő hitelesítésre, vagyis a PIN-kód megadására vagy az USB-meghajtón tárolt indítókulcs használatára van szükség. A belső vezérlőprogram (firmware) frissítései hátrányosan befolyásolhatják a bekapcsolt BitLocker funkcióval használt számítógépek működését. A BIOS frissítését a BitLocker úgy értelmezheti, mint a környezet módosítását, ami azt eredményezheti, hogy a számítógép átvált helyreállítási üzemmódra. Ha a BitLocker funkció már be van kapcsolva, és frissíteni kell a BIOS rendszert, a frissítés végrehajtása előtt ideiglenesen fel kell függeszteni a BitLocker működését, majd a frissítés befejeztével vissza kell kapcsolni. Bár kicsi a valószínűsége annak, hogy az alkalmazások frissítése valamilyen hatással lehet a bekapcsolt BitLocker funkcióval működő számítógépekre, mégis érdemes figyelni a frissítések által végrehajtott rendszermódosításokra, különösen a rendszertöltés-vezérlő módosításaira, amelyek hibát okozhatnak a rendszer indítása közben, ami azt idézheti elő, hogy a számítógép átvált helyreállítási üzemmódra. A Windows 8 indítását esetlegesen befolyásoló

89 alkalmazások telepítése vagy frissítése előtt célszerű tesztelni ezeket a műveleteket a számítógépen a BitLocker funkció bekapcsolt állapotában. Minden tartományvezérlőnek a Windows Server 2003 SP2 (vagy újabb) rendszerrel kell működnie. Figyelem: A Windows Server 2003 a címtárszolgáltatás (Active Directory) sémabővítményét igényli a BitLocker funkció helyes kezeléséhez és a helyreállítási adatairól készült biztonsági másolatnak az Active Directory (AD DS) tartományi szolgáltatásokban való tárolásához. A kockázatminimalizálás folyamata Az alábbi kockázatminimalizáló folyamat célja a BitLocker funkció megfelelő konfigurációjának kialakítása és a funkcióhoz kapcsolódó bevált gyakorlati alkalmazása a szervezet kliens-számítógépein tárolt fontos adatok védelmének biztosításához. A kockázat minimalizálásához ajánlott műveletek a következők: 1. Ellenőrizni és tesztelni kell a BitLocker technológiát. Figyelem: A BitLocker funkcióval kapcsolatos további tudnivalók a BitLocker Drive Encryption Deployment Guide for Windows 7 48 és a Windows BitLocker Drive Encryption Design and Deployment Guides 49 című dokumentumban olvashatók a Microsoft TechNet webhelyén. 2. Fel kell mérni a BitLocker használatának szükségességét a szervezetben. 3. Ellenőrizni kell és meg kell határozni a BitLocker-védelem alkalmazásának követelményeit az eszközök, a szoftver és a firmware szempontjából. 4. Azonosítani kell azokat a számítógépeket, amelyek igénylik a BitLocker funkció általi védelmet. 5. Meg kell állapítani, hogy milyen szintű védelemre van szükség a szervezetben, figyelembe véve a PIN-kódok és az indítókulcsokat tartalmazó USB-meghajtók használatának lehetőségét, mérlegelve ezeknél azt, hogy a rendszerindítást meghiúsítja, ha ezek az eszközök nem alkalmazhatók megfelelően. 6. Telepíteni kell a szükséges illesztőprogramokat egy tesztelési célú rendszerben. 7. Csoportházirend-objektumok használatával konfigurálni kell a BitLocker funkciót egy tesztelési célú rendszerben. 8. A tesztek végrehajtása után alkalmazni kell a BitLocker funkciót az éles környezetben. 9. Csoportházirendeket kell meghatározni a BitLocker funkció konfigurációjának bekapcsolásához és felügyeletéhez Csoportházirend-beállítások használata a BitLocker funkcióval kapcsolatos kockázatok minimalizálásához Az alábbiakban két csoportházirend-beállítási sablon található, amelyek a BitLocker funkció konfigurációjának felügyeletéhez használhatók. Ezekkel a sablonokkal a platformmegbízhatósági modul beállításai is felügyelhetők, függetlenül a BitLocker funkció más beállításaitól. Az alábbi

90 táblázat a BitLocker funkció VolumeEncryption.admx sablonban elérhető csoportházirendbeállításait ismerteti. A beállítások a következő bejegyzésnél érhetők el a Csoportházirendobjektumszerkesztőben: Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\bitlocker meghajtótitkosítás (Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption) A Windows 8 ennél a bejegyzésnél háromféle csoportházirend-beállítási szintet tartalmaz: Operációsrendszer-meghajtók Rögzített adatmeghajtók Cserélhető adatmeghajtók A globális beállítások szintjén a következő csoportházirend-beállítások érhetők el: A Windows 8 új csoportházirend-beállításait jelöli. Házirend A BitLocker helyreállítási adatinak tárolása az Active Directory tartományi szolgáltatásokban (Windows Server 2008 és Windows Vista) A helyreállítási jelszó alapértelmezett mappájának kiválasztása A BitLocker által védett meghajtók felhasználói helyreállításának kiválasztása (Windows Server 2008 és Windows Vista) A meghajtótitkosítási módszer és a titkosítási erősség kiválasztása Fontossági szint Választható Fontos Leírás A Windows 8 alapértelmezett beállítása Ezzel a házirend-beállítással kezelheti a BitLocker meghajtótitkosítás helyreállítási adatainak az Active Directory tartományi szolgáltatásokban tárolt biztonsági másolatát. Ez a házirend csak a Windows Server 2008 vagy a Windows Vista operációs rendszert futtató számítógépekre vonatkozik. Ezzel a házirend-beállítással megadhatja azt az alapértelmezett elérési utat, amely akkor jelenik meg, amikor a BitLocker meghajtótitkosítás telepítővarázslója arra kéri a felhasználót, hogy adja meg, melyik mappába mentse a rendszer a helyreállítási jelszót. Ezzel a házirend-beállítással konfigurálhatja, hogy a BitLocker meghajtótitkosítás telepítővarázslója megjelenítheti-e és beállíthatja-e a BitLocker helyreállítási beállításait. Ezzel a házirend-beállítással konfigurálhatja a BitLocker meghajtótitkosítás által használt algoritmust és a titkosítás erősségét. A BitLocker az Nem konfigurált A Microsoft által ajánlott beállítás Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Bekapcsolva AES 256

91 A szervezet egyéni azonosítóinak biztosítása Memóriatartalom rendszerindítás általi felülírásának megakadályozása Az intelligenskártyatanúsítvány használati szabályának való megfelelés ellenőrzése Választható Választható Választható alapértelmezett 128 bites AES titkosítási módszert használja. Ezzel a házirend-beállítással egyedi szervezeti azonosítókat rendelhet az új, BitLocker által védett meghajtókhoz. Ez a házirend-beállítás a számítógép újraindításakor észlelhető teljesítményt szabályozza. Ezt a házirendbeállítást a rendszer a BitLocker bekapcsolásakor alkalmazza. Ezzel a házirend-beállítással hozzárendelheti egy intelligenskártya-tanúsítvány objektumazonosítóját egy BitLocker által védett meghajtóhoz. Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált táblázat: A BitLocker funkcióval megvalósított meghajtótitkosítás globális beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található. Az alábbi táblázat a platformmegbízhatósági modul TPM.admx sablonban elérhető csoportházirendbeállításait ismerteti. A beállítások a következő bejegyzésnél érhetők el a Csoportházirendobjektumszerkesztőben: Számítógép konfigurációja\felügyeleti sablonok\rendszer\tpm-szolgáltatások (Computer Configuration\Administrative Templates\System\Trusted Platform Module Services) A házirendek beállításai A TPM biztonsági másolat mentése az Active Directory tartományszolgáltatásokban beállítás bekapcsolása A blokkolt TPM-parancsok listájának konfigurálása A blokkolt TPM-parancsok alapértelmezett listájának figyelmen kívül hagyása Leírás Ezzel a házirend-beállítással kezelheti a platformmegbízhatósági modul (TPM) tulajdonosi információinak az Active Directory tartományi szolgáltatásában lévő biztonsági másolatát. Ezzel a házirend-beállítással kezelheti a platformmegbízhatósági modul (TPM) Windows által blokkolt parancsainak Csoportházirend listáját. Ezzel a házirend-beállítással kényszerítheti vagy mellőzheti a platformmegbízhatósági modul (TPM) blokkolt parancsainak alapértelmezett listáját. A Windows 8 alapértelmezett beállítása Nem konfigurált Nem konfigurált Nem konfigurált A blokkolt TPM-parancsok helyi Ezzel a házirend-beállítással Nem konfigurált

92 listájának figyelmen kívül hagyása kényszerítheti vagy mellőzheti a platformmegbízhatósági modul (TPM) blokkolt parancsainak helyi listáját táblázat: A TPM modul beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található. Választható beállítások: Rögzített adatmeghajtók A rögzített adatmeghajtók (belső merevlemezek) a felhasználók és az alkalmazások adatait tartalmazzák (vagyis ezek nem a Windows rendszert tartalmazó meghajtók). A rögzített adatmeghajtók beállításai a Csoportházirendobjektum-szerkesztő következő bejegyzésénél érthetők el: Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\bitlocker meghajtótitkosítás\rögzített adatmeghajtók (Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives) Az alábbi táblázat a BitLocker funkció VolumeEncryption.admx sablonban elérhető csoportházirendbeállításait ismerteti. A Rögzített adatmeghajtók szinten a következő csoportházirend-beállítások érhetők el:

93 A Windows 8 új csoportházirend-beállításait jelöli. Házirend Fontossági szint Leírás A Windows 8 alapértelmezett beállítása A Microsoft által ajánlott beállítás Meghajtótitkosítási típus érvényesítése a rögzített merevlemezeken Intelligens kártyák konfigurálása a rögzített adatmeghajtókon való használatra Írási hozzáférés megtagadása a BitLocker által nem védett rögzített meghajtókhoz Hozzáférés engedélyezése a korábbi Windowsverziók BitLocker által védett rögzített adatmeghajtóihoz A jelszavak használatának konfigurálása a rögzített adatmeghajtók esetében Fontos Kritikus Fontos Kritikus Fontos Ezzel a házirend-beállítással konfigurálhatja a BitLocker meghajtótitkosítás által használt titkosítási típust. Ezt a házirendbeállítást akkor alkalmazza a rendszer, ha a BitLocker be van kapcsolva. A teljes titkosítás választása esetén a BitLocker funkció bekapcsolásakor a teljes meghajtó titkosítva lesz. A foglalt terület titkosításának választása esetén a BitLocker funkció bekapcsolásakor csak az adatok által elfoglalt terület lesz titkosítva. Ezzel a házirend-beállítással meghatározhatja, hogy hitelesíthetők-e intelligens kártyákkal a felhasználók arra, hogy hozzáférjenek a számítógépen lévő, BitLocker által védett rögzített adatmeghajtókhoz. Ez a házirend-beállítás határozza meg, hogy szükséges-e BitLocker meghajtótitkosítás ahhoz, hogy a rögzített adatmeghajtók írhatók legyenek a számítógépen. Ezt a házirend-beállítást akkor alkalmazza a rendszer, ha a BitLocker be van kapcsolva. Ez a házirend-beállítás azt állítja be, hogy a FAT fájlrendszerrel formázott rögzített adatmeghajtók zárolása feloldható-e, és a meghajtók tartalma megtekinthető-e Windows Server 2008, Windows Vista, Windows XP Service Pack 3 vagy Windows XP Service Pack 2 operációs rendszert futtató számítógépeken. Ez a házirend-beállítás határozza meg, hogy szükség van-e jelszóra a BitLocker által védett rögzített adatmeghajtók zárolásának feloldásához. Ha engedélyezi a jelszóhasználatot, beállíthatja a jelszó használatának szükségességét, bonyolultsági követelményeket fektethet le, és Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Bekapcsolva Intelligens kártyák használatának megkövetelése a rögzített merevlemezeken Nem konfigurált Kikapcsolva Kikapcsolva

94 konfigurálhatja a jelszó minimális hosszát. A BitLocker által védett rögzített meghajtók helyreállítási módjának megválasztása Kritikus Ezzel a házirend-beállítással szabályozhatja, hogy a rendszer hogyan állítja helyre a BitLocker által védett rögzített meghajtókat, ha hiányoznak a szükséges hitelesítő adatok. Nem konfigurált Bekapcsolva Adat-helyreállítási megbízott engedélyezése 48 számjegyű helyreállítási jelszó engedélyezése 256 bites helyreállítási kulcs engedélyezése táblázat: A rögzített adatmeghajtók beállításai A BitLocker helyreállítási adatainak mentése az Active Directory tartományi szolgáltatásokban rögzített adatmeghajtók esetében A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található. Választható beállítások: Operációsrendszer-meghajtók A Windows rendszert tartalmazó kötetek (operációsrendszer-meghajtók) beállításai a Csoportházirendobjektum-szerkesztő következő bejegyzésénél érthetők el: Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\bitlocker meghajtótitkosítás\operációsrendszer-meghajtók (Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives) Az alábbi táblázat a BitLocker funkció VolumeEncryption.admx sablonban elérhető csoportházirendbeállításait ismerteti. Az Operációsrendszer-meghajtók szinten a következő csoportházirendbeállítások érhetők el: A Windows 8 új csoportházirend-beállításait jelöli.

95 Házirend Fontossági szint Leírás A Windows 8 alapértelmezett beállítása A Microsoft által ajánlott beállítás Meghajtótitkosítási típus érvényesítése az operációsrendszermeghajtókon További hitelesítés megkövetelése indításkor Kritikus Ezzel a házirend-beállítással konfigurálhatja a BitLocker meghajtótitkosítás által használt titkosítási típust. Ezt a házirend-beállítást akkor alkalmazza a rendszer, ha a BitLocker be van kapcsolva. Ha a meghajtó már titkosítva van, vagy folyamatban van a titkosítása, akkor a titkosítási típus módosítása nem érvényesíthető. A teljes titkosítás választása esetén a BitLocker funkció bekapcsolásakor a teljes meghajtó titkosítva lesz. A foglalt terület titkosításának választása esetén a BitLocker funkció bekapcsolásakor csak az adatok által elfoglalt terület lesz titkosítva. Ezzel a házirend-beállítással konfigurálhatja, hogy a BitLocker igényel-e további hitelesítést a számítógép minden egyes indulásakor, illetve azt is konfigurálhatja, hogy a BitLocker eszközt platformmegbízhatósági modullal (TPM) vagy anélkül használja. Nem konfigurált Nem konfigurált Nem konfigurált Bekapcsolva TPM modul indításának beállítása: TPM tiltása PIN-kód beállítása a TPM modul indításához: Indító PIN-kód megkövetelése TPM alkalmazásakor Indítókulcs tiltása TPM alkalmazásakor Indítókulcs és PINkód tiltása TPM alkalmazásakor További hitelesítés megkövetelése indításkor (Windows Server 2008 és Windows Vista) Bővített PIN-kódok engedélyezése az indításhoz Az indításkor szükséges PIN-kód minimális hosszának beállítása A BitLocker által védett operációsrendszermeghajtók Fontos Kritikus Kritikus Ezzel a házirend-beállítással meghatározhatja, hogy a BitLocker meghajtótitkosítás telepítővarázslója beállíthat-e egy kiegészítő hitelesítési lépést, amelyet a számítógép minden indításakor el kell végezni. Ezzel a házirend-beállítással azt konfigurálhatja, hogy használhatók-e bővített PIN-kódok a BitLocker eszközben. Ezzel a házirend-beállítással beállíthatja a platformmegbízhatósági modul (TPM) indító PIN-kódjának minimális hosszát. Ezt a házirend-beállítást akkor alkalmazza a rendszer, ha a BitLocker be van kapcsolva. Az indító PIN-kód legalább 4, legfeljebb 20 számjegyből állhat. Ezzel a házirend-beállítással szabályozhatja, hogy a rendszer hogyan állítja helyre a BitLocker által védett operációsrendszer-meghajtókat, ha Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Bekapcsolva Bekapcsolva Karakterek minimális száma: 7 Bekapcsolva Bekapcsolva 48 számjegyű

96 helyreállítási módjának megválasztása A TPM platformérvényesítési profil konfigurálása (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2) Fontos hiányzik a szükséges indítókulcs. Ezzel a házirend-beállítással konfigurálhatja, hogy a számítógép platformmegbízhatósági moduljának (TPM) biztonsági hardvere hogyan biztosítsa a BitLocker titkosítási kulcsát. Ez a házirend-beállítás nem érvényes, ha a számítógép nem rendelkezik TPM modullal, vagy ha a BitLocker már be van kapcsolva TPM-védelemmel. Nem konfigurált táblázat: Az operációsrendszer-meghajtók beállításai helyreállítási jelszó engedélyezése 256 bites helyreállítási kulcs tiltása Helyreállítási lehetőségek kihagyása a BitLocker telepítővarázslóból A BitLocker helyreállítási adatainak mentése az Active Directory tartományi szolgáltatásokban rögzített operációsrendszermeghajtók esetében A BitLocker helyreállítási adatok Active Directory tartományi szolgáltatásokban való tárolásának konfigurálása Helyreállítási jelszavak és kulcscsomagok tárolása A BitLocker meghajtótitkosítás tiltása, amíg az operációsrendszermeghajtók helyreállítási adatai nincsenek tárolva az Active Directory tartományi szolgáltatásokban Nem konfigurált A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található.

97 A biztonsági irányelveknek támogatniuk kell a BitLocker funkcióhoz használt, a jelszavakra és a kulcsok kezelésére vonatkozó eljárásokat. Az irányelveknek megfelelő adatvédelmet kell biztosítaniuk, egyúttal nem akadályozhatják a BitLocker funkció normál működését. Az alábbi lista néhány szempontot sorol fel, amelyet figyelembe kell venni: Célszerű beállítani, hogy a BitLocker meghajtótitkosítás helyreállítási adatairól biztonsági másolat készüljön az Active Directory tartományi szolgáltatásokban. Célszerű beállítani, hogy a platformmegbízhatósági modul tulajdonosi információiról biztonsági másolat készüljön az Active Directory tartományi szolgáltatásokban. Helyreállítási kulcsok és helyreállítási jelszavak állíthatók be vészhelyzet esetére a titkosított adatokhoz való hozzáféréshez. Platformmegbízhatósági modul és PIN-kód, illetve indítókulcsot tartalmazó USB-meghajtó használata esetén rendszeres időközönként módosítani kell a jelszavakat és a PIN-kódokat. A bekapcsolt és megfelelően konfigurált platformmegbízhatósági modult használó számítógépeken rendszergazdai jelszót kell beállítani a BIOS eléréséhez, hogy illetéktelen személyek ne tudják módosítani a BIOS beállításait. Olyan szabályokat kell bevezetni, amelyek tiltják az indítókulcsot tartalmazó USB-meghajtók és a számítógépek egy helyen történő tárolását (például a felhasználók nem tárolhatják az USB-meghajtójukat a számítógép hordtáskájában vagy a számítógép közelében). A BitLocker helyreállításai kulcsait érdemes egy biztonságos központi helyen tárolni, hogy vészhelyzet esetén elérhetők legyenek az adatok visszaállításához. A titkosított adatok helyreállításához szükséges információkat tároló eszközökről célszerű másolatokat készíteni, és a szervezet központi helyén kívüli biztonságos helyen tárolni azokat. A BitLocker funkcióhoz kiegészítésként igénybe vehető az MBAM (BitLocker Administration and Monitoring) eszköz is. Ez az eszköz megkönnyíti a kulcsok használatát és helyreállítását, a hozzáférésvezérlés központosítását, a rögzített és a hordozható meghajtók titkosítási állapotának figyelését és az ezzel kapcsolatos jelentéskészítést, auditálást, valamint csökkenti a támogatási költségeket. Az MBAM eszköz a Microsoft Desktop Optimization Pack a Software Assurance programhoz 50 termék része. Az MBAM eszközzel kapcsolatos további tudnivalók az MBAM 51 dokumentációját tartalmazó webhelyen olvashatók A cserélhető adathordozókon található adatok védelme a BitLocker To Go funkció használatával A BitLocker To Go funkció csak a Windows 8 Professional és Enterprise kiadásában érhető el. A Windows 8 rendszerű számítógépeken az USB-eszközök beállíthatók úgy, hogy támogassák a BitLocker To Go funkciót. A Windows 8 más kiadásaiban lehetőség van a titkosított USB-meghajtón tárolt adatok olvasására, valamint az adatok írására is, ha ez nem az adott USB-meghajtón történik, azonban nem lehet újabb USB-meghajtókon beállítani a BitLocker To Go funkciót. A BitLocker To Go funkcióval titkosíthatók a cserélhető adathordozók, és ezek az adathordozók a megfelelő jelszó ismeretében más számítógépeken is használhatók. Ilyen esetben a BitLocker To Go funkció

98 használható a cserélhető adathordozókon, például az IEEE 1394 szabványnak megfelelő külső meghajtókon, a memóriakártyákon és az USB flash meghajtókon tárolt adatok védelmére. A BitLocker To Go funkció lehetővé teszi, hogy az ilyen adathordozókon tárolt adatokhoz még azok elvesztése vagy ellopása esetén se lehessen hozzáférni. Kockázatbecslés A cserélhető adathordozók komoly veszélyt jelentenek a szervezet fontos és bizalmas adatainak biztonságára. Ezek az eszközök széles körben elterjedtek alacsony áruk és egyszerű használatuk miatt, így lehetővé vált igen rövid idő alatt igen nagy mennyiségű adat másolása és hordozása. Ezenkívül a hordozható számítógépek és az USB flash meghajtók esetében azt is figyelembe kell venni, hogy a felhasználók elveszíthetik ezeket az eszközöket, és számolni kell az ellopásuk veszélyével is. Az ilyen események következtében a bizalmas adatok illetéktelen személyek birtokába juthatnak, ami komoly károkat okozhat a szervezetnek. Kockázatminimalizálás A fenti kockázatokhoz kapcsolódó veszély csökkentéséhez a szervezetek különböző korlátozásokat írhatnak elő az eszközök használatára vonatkozóan, letilthatják egyes portok, az USB-meghajtók és az IEEE 1394-kompatibilis eszközök használatát, valamint a rendszerindítási folyamat védelmével úgy konfigurálhatják a számítógépeket, hogy a rendszert csak a megfelelő hitelesítéssel lehessen elindítani. Ezenkívül az operációs rendszer fájljait és az adatfájlokat is megfelelő védelemmel láthatják el. A BitLocker To Go hatékony adatvédelmi réteget biztosít, ami azt jelenti, hogy ha a védett adathordozó egy támadó birtokába jut, az nem feltétlenül jelenti azt, hogy a támadó az adathordozón tárolt adatokhoz is hozzá tud férni. Csoportházirendek használatával a szervezetek előírhatják a BitLocker To Go funkció használatát a cserélhető adathordozókhoz, így az adatok az ilyen adathordozóra történő másolás elkezdésének pillanatától kezdve védettek lesznek az illetéktelen hozzáférés ellen. A kockázatminimalizálás fontos szempontjai A BitLocker To Go funkciónak a cserélhető adathordozókon való alkalmazásával csökkenthetők a fenti Kockázatbecslés című szakaszban említett kockázatok, a BitLocker To Go alkalmazása előtt azonban figyelembe kell venni az ehhez az adatvédelmi funkcióhoz kapcsolódó következő követelményeket és bevált gyakorlati eljárásokat: A BitLocker To Go funkcióhoz nincs szükség platformmegbízhatósági modul használatára. A BitLocker To Go funkcióval titkosított cserélhető adathordozók konfigurálhatók úgy is, hogy a rajtuk tárolt adatok eléréséhez a felhasználóknak jelszót kelljen megadniuk vagy megfelelő tanúsítvánnyal rendelkező intelligens kártyát kelljen használniuk. Intelligens kártyák alkalmazása esetén a cserélhető adathordozókon tárolt adatok olvasásához használt számítógépeket fel kell szerelni megfelelő kártyaolvasóval is. A BitLocker To Go funkció nem befolyásolja jelentősen a számítógép teljesítményét, az alkalmazása általában észrevétlen lehet, és nem zavarja a felhasználók munkáját. Ha azonban a rendszer teljesítménye kritikus fontosságú, akkor a tesztelési fázisban ellenőrizni kell, hogy a BitLocker működése nincs-e komolyabb hatással a felhasználók teljesítményére.

99 Megjegyzendő, hogy ezeket az adathordozókat csak a Windows XP és a Windows Vista rendszerű számítógépek ismerik fel megfelelően. A Windows korábbi verzióival dolgozó felhasználók egy második partíciót fognak látni az eszközön, amely a Windows 8 rendszerben általában rejtett. Ez az ún. észlelési meghajtó, amely a BitLocker To Go Reader alkalmazást tartalmazza. Ezzel az alkalmazással oldható fel a titkosított meghajtó a megfelelő jelszó megadásával, illetve a helyreállítási művelet végrehajtásával. A Hozzáférés engedélyezése a korábbi Windows-verziók BitLocker által védett cserélhető adatmeghajtóihoz csoportházirend beállításaival meghatározható, hogy a BitLocker To Go létrehozza-e az észlelési meghajtót, és elhelyezze-e ezen a meghajtón a BitLocker To Go Reader alkalmazást, a cserélhető adathordozó BitLocker-védelmének bekapcsolásakor. Ezzel a témával a Microsoft Technet webhelyén elérhető Best Practices for BitLocker in Windows 7 52 című dokumentum foglalkozik bővebben. A tartományban lévő minden tartományvezérlőnek a Windows Server 2003 SP2 (vagy újabb) rendszerben kell működnie. Figyelem: A Windows Server 2003 a címtárszolgáltatás (Active Directory) sémabővítményét igényli a BitLocker funkció helyes kezeléséhez és a helyreállítási adatairól készült biztonsági másolatnak az Active Directory tartományi szolgáltatásokban (AD DS) való tárolásához. A kockázatminimalizálás folyamata Az alábbi kockázatminimalizáló folyamat célja a BitLocker funkció megfelelő konfigurációjának kialakítása és a funkcióhoz kapcsolódó bevált gyakorlati eljárások alkalmazása a szervezet kliensszámítógépeihez csatlakoztatott cserélhető adathordozókon tárolt fontos adatok védelmének biztosításához. A kockázat minimalizálásához ajánlott műveletek a következők: 1. Ellenőrizni és tesztelni kell a BitLocker To Go technológiát. Figyelem: A BitLocker funkcióval kapcsolatos további tudnivalók a BitLocker Drive Encryption Deployment Guide for Windows 7 53 és a Windows BitLocker Drive Encryption Design and Deployment Guides 54 című dokumentumban olvashatók a Microsoft TechNet webhelyén. 2. Fel kell mérni a BitLocker To Go használatának szükségességét a szervezetben. 3. Ellenőrizni kell és meg kell határozni a cserélhető adathordozókra vonatkozó BitLocker To Go-védelem alkalmazásának követelményeit az eszközök, a szoftver és a firmware szempontjából. 4. Azonosítani kell azokat a számítógépeket, amelyek igénylik a BitLocker To Go funkció általi védelmet a csatlakoztatott cserélhető adathordozókon. 5. El kell végezni a cserélhető adathordozók megfelelő tesztelését, beleértve a különböző USB flash meghajtókat. 6. Csoportházirend-objektumok használatával konfigurálni kell a cserélhető adathordozókhoz alkalmazandó BitLocker funkciót egy tesztelési célú rendszerben

100 7. A felhasználókkal meg kell ismertetni, hogyan használható a BitLocker To Go funkció az adott környezetben használt cserélhető adathordozók védelmére. 8. A tesztek végrehajtása után alkalmazni kell a BitLocker funkciót az éles környezetben használt cserélhető adathordozókon. A BitLocker-védelem a Vezérlőpulton elérhető BitLocker meghajtótitkosítás funkció segítségével kapcsolható be a cserélhető adathordozókon Csoportházirend-beállítások használata a BitLocker To Go funkcióval kapcsolatos kockázatok minimalizálásához Az alábbi táblázat a BitLocker To Go funkció VolumeEncryption.admx sablonban elérhető csoportházirend-beállításait ismerteti. A beállítások a következő bejegyzésnél érhetők el a Csoportházirendobjektum-szerkesztőben: Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\bitlocker meghajtótitkosítás\cserélhető adatmeghajtók (Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives) A globális beállítások szintjén a következő csoportházirend-beállítások érhetők el: A Windows 8 új csoportházirend-beállításait jelöli. Házirend Fontossági szint Leírás Meghajtótitkosítási típus érvényesítése a cserélhető adatmeghajtókon A BitLocker cserélhető meghajtókon való használatának szabályozása Intelligens kártyák konfigurálása a cserélhető adatmeghajtókon való használatra Írási hozzáférés megtagadása a BitLocker által nem védett cserélhető meghajtókhoz Fontos Fontos Kritikus Fontos Ezzel a házirend-beállítással konfigurálhatja a BitLocker meghajtótitkosítás által használt titkosítási típust. Ezt a házirend-beállítást akkor alkalmazza a rendszer, ha a BitLocker be van kapcsolva. Ha a meghajtó már titkosítva van, vagy folyamatban van a titkosítása, akkor a titkosítási típus módosítása nem érvényesíthető. A teljes titkosítás választása esetén a BitLocker funkció bekapcsolásakor a teljes meghajtó titkosítva lesz. A foglalt terület titkosításának választása esetén a BitLocker funkció bekapcsolásakor csak az adatok által elfoglalt terület lesz titkosítva. Ez a házirend-beállítás a BitLocker cserélhető adatmeghajtókon való használatát szabályozza. Ezzel a házirend-beállítással meghatározhatja, hogy a felhasználók hitelesíthetők-e intelligens kártyával arra, hogy hozzáférjenek a számítógépen lévő, BitLocker által védett cserélhető adatmeghajtókhoz. Ez a házirend-beállítás konfigurálja, hogy szükség van-e BitLocker-védelemre ahhoz, hogy egy számítógép adatokat tudjon írni egy cserélhető adatmeghajtóra. A Windows 8 alapértelmezett beállítása Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált A Microsoft által ajánlott beállítás Nem konfigurált Nem konfigurált Bekapcsolva Intelligens kártyák használatának megkövetelése a cserélhető adatmeghajtókon Bekapcsolva Írási hozzáférés megtagadása a más szervezetben konfigurált

101 eszközökhöz Hozzáférés engedélyezése a korábbi Windowsverziók BitLocker által védett cserélhető adatmeghajtóihoz A jelszavak használatának konfigurálása cserélhető adatmeghajtók esetében A BitLocker által védett cserélhető meghajtók helyreállítási módjának megválasztása Fontos Fontos Kritikus Ez a házirend-beállítás azt állítja be, hogy a FAT fájlrendszerrel formázott cserélhető adatmeghajtók zárolása feloldható-e, és a meghajtók tartalma megtekinthető-e a Windows Server 2008, Windows Vista, Windows XP Service Pack 3 vagy Windows XP Service Pack 2 operációs rendszereken. Ez a házirend-beállítás határozza meg, hogy szükség van-e jelszóra a BitLocker által védett cserélhető adatmeghajtók zárolásának feloldásához. Ha engedélyezi a jelszóhasználatot, akkor beállíthatja a jelszó használatának szükségességét, bonyolultsági követelményeket fektethet le, és konfigurálhatja a jelszó minimális hosszát. Ezzel a házirend-beállítással szabályozhatja, hogy a rendszer hogyan állítsa helyre a BitLocker által védett cserélhető meghajtókat, ha hiányoznak a szükséges hitelesítő adatok. Nem konfigurált Nem konfigurált Nem konfigurált Kikapcsolva Kikapcsolva Bekapcsolva Adat-helyreállítási megbízott engedélyezése 48 számjegyű helyreállítási jelszó tiltása 256 bites helyreállítási kulcs tiltása Helyreállítási lehetőségek kihagyása a BitLocker telepítővarázslóból Helyreállítási jelszavak és kulcscsomagok biztonsági mentése táblázat: A cserélhető adatmeghajtók beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található Titkosított fájlrendszer (EFS) A titkosított fájlrendszer (EFS) lehetővé teszi a fájlok és mappák titkosítását az illetéktelen hozzáférés megakadályozása érdekében. Ez a funkció az NTFS fájlrendszer egyik eleme, amely teljes mértékben transzparens a felhasználók és az alkalmazások számára. Amikor a szokásos teendők végrehajtása során egy felhasználó vagy egy alkalmazás hozzáférést kezdeményez egy titkosított fájlhoz, az operációs rendszer automatikusan hozzáférhet a fájl tartalmát visszafejtő kulcshoz, vagyis a titkosítási és a visszafejtési művelet a háttérben zajlik, a rendszer a felhasználó nevében hajtja végre ezeket a műveleteket. Azok a felhasználók, akik hozzáférhetnek a megfelelő titkosítási kulcsokhoz, a titkosított fájlokkal ugyanúgy dolgozhatnak, mint a többi fájllal, a többi felhasználó azonban nem férhet hozzá a titkosított fájlokhoz. A Windows 8 architektúrájában olyan módosításokat vezettek be, amelyek támogatják az elliptikus görbéjű titkosítást (Eliptic Curve Cryptography ECC). Ez a funkció megfelel az NSA (National Security Agency) által definiált SUITE B kriptográfiai algoritmusgyűjtemény követelményeinek (ezek az algoritmusok az amerikai kormányhivatalok számára készültek a titkos információk védelmének

102 biztosításához). A Suite B gyűjtemény az AES, az SHA és az ECC kriptográfiai algoritmus használatát írja elő a legmagasabb szintű adatvédelem biztosításához, és nem engedélyezi az RSA kriptográfiai algoritmusok használatát, azonban a Windows 8 titkosított fájlrendszere (EFS) kínál egy új vegyes üzemmódot, amely az ECC és az RSA algoritmusokat egyaránt támogatja. Ez az üzemmód biztosítja a Windows korábbi verzióiban alkalmazott algoritmusokkal titkosított fájlok kompatibilitását. Ez a funkció rendkívül hasznos az olyan szervezetekben, amelyek RSA kriptográfiai algoritmusokat használnak, és már tervezik az ECC algoritmusok használatának bevezetését, hogy az informatikai környezetüket felkészítsék a Suite B gyűjteménnyel való kompatibilitás megvalósítására. Figyelem: A legmagasabb szintű adatvédelem biztosításához célszerű együttesen használni a BitLocker mechanizmust és az EFS fájlrendszert. Kockázatbecslés Az adatok illetéktelen elérése károsan befolyásolhatja a szervezet folyamatait, különösen olyan környezetben, ahol sok felhasználónak van hozzáférése ugyanahhoz a rendszerhez, vagy jellemző a hordozható számítógépek használata, ami az adatokhoz való jogosulatlan hozzáférés komoly veszélyével jár. Az EFS fájlrendszer elsődleges célja az adatlopás és a hordozható számítógépek elvesztése vagy ellopása következtében előforduló jogosulatlan adathozzáférés kockázatának minimalizálása, valamint a bizalmas adatokhoz hozzáféréssel rendelkező belső munkatársak általi adatveszélyeztetés minimalizálása. Az általános hozzáférési jogokkal használható és a közös használatú számítógépek is kiemelt kockázati tényezőnek tekintendők. Ilyen helyzet olyankor lép fel, amikor a támadó fizikai hozzáférést tud szerezni a nem védett számítógéphez. Ennek veszélyei a következők: A támadó újraindíthatja a számítógépet, és helyi rendszergazdai jogosultsági szintet adhat meg magának, hogy hozzáférjen a felhasználó adataihoz. A támadó letölthet különböző programokat, amelyekkel megszerezheti a felhasználó jelszavát. A felhasználó jelszavának megszerzésével bejelentkezhet a rendszerbe a felhasználó fiókját használva, és így hozzáférhet a felhasználó adataihoz. A támadó bejelentkezhet a Windows 8-as számítógépre, és cserélhető adathordozóra másolhatja, elküldheti ben, átmásolhatja a hálózaton keresztül, vagy átmásolhatja távoli kiszolgálóról FTP protokoll használatával a hozzáférhetővé vált adatokat. A támadó újra tudja indítani a számítógépet egy másik operációs rendszerből, és közvetlenül a helyi merevlemezről tudja átmásolni az adatokat. A támadó másik hálózathoz tudja csatlakoztatni a számítógépet, el tudja indítani az ellopott számítógépet, illetve távolról is be tud jelentkezni. Ha a felhasználó hálózati fájljai a rendszer automatikusan letöltötte kapcsolat nélküli használatra, a helyi rendszergazdai vagy helyi rendszer szintű jogosultságot szerző támadó hozzáférhet a gyorsítótárban tárolt fájlok tartalmához. A támadó újra tudja indítani a számítógépet egy másik operációs rendszerből, és adatokat olvashat ki a lapozófájlból azzal a céllal, hogy a futó folyamatokkal kapcsolatos, szöveges formában vagy dokumentumként tárolt információt keressen. A kíváncsi felhasználók megnyithatják más felhasználók bizalmas fájljait az általános hozzáférési jogokkal, megosztottan használt számítógépeken.

103 Kockázatminimalizálás A fenti kockázatokhoz kapcsolódó veszély csökkentéséhez ajánlatos titkosítani a merevlemezeken tárolt adatokat. A Windows 8 rendszerben használt EFS technológia újdonságai a kockázat csökkentését és a biztonság növelését célozzák: A fájlok és mappák titkosításával (EFS) megakadályozható, hogy a támadó más operációs rendszeren keresztül olvasni tudja a fájlokat, mert a titkosított fájlrendszer visszafejtési kulcs használatát igényli a fájlok tartalmának visszafejtéséhez. Ezek a kulcsok intelligens kártyán is elhelyezhetők további biztonságnövelő intézkedésként. A csoportházirendek beállításával elő kell írni az EFS erős titkosítási mechanizmusainak használatát. Meg kell akadályozni, hogy a jelszó megszerzésével próbálkozó támadó hozzáférést szerezzen a felhasználói adatokhoz. Ehhez használható az EFS fájlrendszer titkosítási kulcsát tartalmazó intelligens kártya vagy a BitLocker funkció, vagy akár mindkét megoldás egyszerre, mert ez még nehezebbé teszi a jelszókivonathoz és a felhasználók gyorsítótárban tárolt hitelesítő adataihoz való hozzáférést. Csoportházirendek használatával be kell állítani a felhasználók Dokumentumok mappájának titkosítását, ezzel megakadályozható, hogy a támadók hozzáférjenek a felhasználók bizalmas adataihoz. Ezenkívül beállítható a többi felhasználói mappa vagy a felhasználói adatokat tartalmazó teljes partíció titkosítása is bejelentkezési parancsfájlok használatával. Az EFS fájlrendszer használatával biztosítható minden merevlemez és hálózati megosztás titkosítása. Az EFS fájlrendszer használatával biztosítható a lapozófájl és a hálózati fájlok kapcsolat nélküli használata a gyorsítótár helyi példányainak védelme. A kockázatminimalizálás fontos szempontjai A titkosított fájlrendszer alkalmazásával csökkenthetők a fenti Kockázatbecslés című szakaszban említett kockázatok, az EFS funkció alkalmazása előtt azonban figyelembe kell venni az ehhez az adatvédelmi funkcióhoz kapcsolódó következő követelményeket: Kipróbált eljárásokat kell használni az adatok helyreállítására szolgáló kulcsok kezeléséhez, valamint az adatok helyreállításához. Helyes és megfelelően definiált eljárások hiányában a szervezet kritikus fontosságú adatai elérhetetlenné és visszafejthetetlenné válhatnak a visszafejtési kulcs elvesztése esetén. Az EFS funkció nem befolyásolja jelentősen a számítógép teljesítményét, az alkalmazása általában észrevétlen lehet, és nem zavarja a felhasználók munkáját. Ha azonban a rendszer teljesítménye kritikus fontosságú, akkor a tesztelési fázisban ellenőrizni kell, hogy az EFS fájlrendszer működése nincs-e komolyabb hatással a felhasználók teljesítményére. Ha a szervezetnek biztosítania kell a Suite B gyűjteménnyel való kompatibilitást, az ECC algoritmus használatával kell előkészíteni a számítógépes rendszert a titkosítási szabvány követelményeinek teljesítéséhez. Az EFS fájlrendszer használata esetén az adott köteten nem lehet használni a fájltömörítést (a fájltömörítés az NTFS fájlrendszer beépített funkciója).

104 A felhasználókat és az informatikai osztály munkatársait tájékoztatni kell arról, hogyan kerülhetők el az alábbiakhoz hasonló problémák: o Titkosított helyeken található fájlok másolása és áthelyezése titkosítás nélküli helyre, valamint olyan műveletek végrehajtása, amelyek titkosítatlan állapotban hagyhatják a fájlokat. o Az alkalmazások saját fájlpéldányainak tárolására használt rejtett mappák kihagyása a titkosításból. Az EFS konfigurációját igen alapos tesztelésnek kell alávetni annak ellenőrzéséhez, hogy az EFS-titkosítás beállították-e minden olyan helyre, ahol bizalmas adatokat tartalmazó fájlok találhatók, beleértve a Dokumentumok mappát, az asztalt és az ideiglenes fájlokat tároló mappákat. A kockázatminimalizálás folyamata Az alábbi kockázatminimalizáló folyamat célja az EFS funkció megfelelő konfigurációjának kialakítása és a funkcióhoz kapcsolódó bevált gyakorlati eljárások alkalmazása a szervezet kliensszámítógépein tárolt fontos adatok védelméhez. A kockázat minimalizálásához ajánlott műveletek a következők: 1. Ellenőrizni és tesztelni kell az EFS titkosítási technológiát. Figyelem: Az EFS funkcióval kapcsolatos további tudnivalók a Best practices for the Encrypting File System 55 című dokumentumban olvashatók a Microsoft webhelyén. 2. Fel kell mérni az EFS fájlrendszer használatának szükségességét a szervezetben. 3. Ellenőrizni és tesztelni kell az EFS konfigurációját csoportházirendek alkalmazásával. 4. Azonosítani kell azokat a számítógépeket, amelyek igénylik az EFS fájlrendszer általi védelmet. 5. Meg kell határozni a szervezet által igényelt adatvédelmi szintet, például meg kell állapítani, hogy az EFS fájlrendszer használatát ki kell-e egészíteni az intelligens kártyák alkalmazásával. 6. Csoportházirendek használatával az adott környezetnek megfelelően kell konfigurálni az EFStitkosítást Az EFS fájlrendszer adatvédelmi beállításai Az EFS titkosított fájlrendszer konfigurációja a csoportházirendek beállításaival határozható meg. A konfigurációs beállítások helye a következő: Számítógép konfigurációja\a Windows beállításai\biztonsági beállítások\nyilvános kulcs házirendjei\titkosított fájlrendszer (Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System) Adat-helyreállítási megbízott (Data Recovery Agent DRA) hozzáadásához vagy létrehozásához a jobb egérgombbal kattintson a Titkosított fájlrendszer elemre, majd válassza az Adat-helyreállítási megbízott hozzáadása parancsot. 55

105 Az EFS beállításainak megjelenítéséhez jobb egérgombbal kattintson a Titkosított fájlrendszer elemre, és válassza a Tulajdonságok parancsot a Tulajdonságok: Titkosított fájlrendszer párbeszédpanel megjelenítéséhez ábra: A Tulajdonságok: Titkosított fájlrendszer párbeszédpanel Általános lapja A ábrán látható Elliptikus görbéjű titkosítás beállítás Engedélyezés értékének kiválasztásával állíthatja be a titkosított fájlrendszer vegyes üzemmódját, amely lehetővé teszi az RSA és az ECC algoritmus használatát a számítógépen. Ha a környezetnek meg kell felelnie a Suite B gyűjtemény követelményeinek, az Elliptikus görbéjű titkosítás beállításnál válassza a Kötelező értéket, majd az Elliptikus görbéjű titkosítással rendelkező, önaláírt tanúsítványok kulcsmérete beállításnál válassza ki a kívánt értéket (lásd a ábrát).

106 ábra: A Tulajdonságok: Titkosított fájlrendszer párbeszédpanel Tanúsítványok lapja Megjegyzendő, hogy a csoportházirend fenti beállítása csak akkor érvényesül, ha a megfelelő fájlvagy mappa titkosítást a beállítás megadása kapcsolják be. Ha a fájl vagy a mappa titkosítása már bekapcsolt a fenti beállítás megadásakor, a felhasználó a titkosításhoz választott algoritmust használhatja. Az Elliptikus görbéjű titkosítás beállítás Kötelező értéke nem teszi kötelezővé az AES algoritmus használatát a létrehozott titkosítási kulcsokhoz, a kötelező használat csak az ECC algoritmusra vonatkozik.

107 ábra: A Tulajdonságok: Titkosított fájlrendszer párbeszédpanel Gyorsítótár lapja Az alábbi táblázat az EFS titkosított fájlrendszer csoportházirendjeinek 4 beállítássablonját tartalmazza. Sablon és beállítás GroupPolicy.admx Az EFS-helyreállító házirend feldolgozásának beállítása EncryptFilesonMove.admx Ne titkosítsa automatikusan a titkosított mappákba helyezett fájlokat OfflineFiles.admx Az offline fájlok gyorsítótárának titkosítása Elérési út és leírás Számítógép konfigurációja\felügyeleti sablonok\rendszer\csoportházirend Ezek a beállítások határozzák meg, hogy mikor kell érvénybe léptetni a titkosításra vonatkozó házirendeket. Számítógép konfigurációja\felügyeleti sablonok\rendszer Ezzel a beállítással akadályozható meg, hogy a fájlkezelő titkosítsa a titkosított mappába helyezett fájlokat. Számítógép konfigurációja\felügyeleti sablonok\hálózat\kapcsolat nélküli fájlok Ez a beállítás határozza meg, hogy a rendszer titkosítja-e a kapcsolat nélküli fájlokat. Figyelem: A Windows XP SP3 rendszerben a fájlok titkosítása A Windows 8 alapértelmezett beállítása Nem konfigurált Nem konfigurált Nem konfigurált

108 Search.admx A titkosított fájlok indexelésének engedélyezése rendszerkulccsal, míg a Windows Vista SP1 és újabb rendszerekben felhasználói kulccsal történik. Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\keresés Ez a beállítás lehetővé teszi a titkosított elemek indexelését. Nem konfigurált táblázat: Az EFS titkosított fájlrendszer beállításai A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található Tartalomvédelmi szolgáltatások (RMS) A tartalomvédelmi szolgáltatások (Rights Management Services RMS) biztosítják az ekben, dokumentumokban, webhelyeken lévő tartalom védelmét, valamint érvényesítik az ilyen tartalmakra vonatkozó felhasználási irányelveket. A tartalomvédelmi szolgáltatások az információ titkosításával és a tartalom felhasználására vonatkozó jogok meghatározásával gondoskodnak a dokumentumok védelméről. Az RMS megoldás használata esetén, a szervezet hálózatán vagy az interneten keresztül küldött ek és fájlok tartalmát kizárólag a hitelesített és megfelelő jogosultságokkal rendelkező felhasználók érhetik el. A jogosulatlan személyek a megfelelő jogosultságokat követelő és titkosított tartalmakhoz akkor sem férhetnek hozzá, ha az azt tároló fájlokat el tudják érni. A tartalomvédelmi szolgáltatások három fő összetevőből állnak: A tartalomvédelmi szolgáltatások kiszolgálója: A Windows 8 a Windows tartalomvédelmi szolgáltatások Windows Server 2003 rendszerhez vagy az újabb verziókhoz készült változatát igényli. A tartalomvédelmi szolgáltatások kliensszoftvere: Ez a szoftver a Windows 8 beépített része, nem igényel külön telepítést. A tartalomvédelmi szolgáltatások platformja vagy alkalmazása: Ez olyan platform vagy alkalmazás, amely titkosítási mechanizmust és megfelelő tartalom-hozzáférési vezérlést biztosít a tartalomvédelmi szolgáltatások számára. Figyelem: Annak ellenére, hogy a tartalomvédelmi szolgáltatások kliensszoftvere a Windows 8 beépített része, a szoftver használatához RMS ügyféllicencet kell vásárolni. Kockázatbecslés A tartalomvédelmi szolgáltatások segítségével a szervezetben csökkenthető a kockázata, hogy jogosulatlan személyek betekintést nyernek bizalmas adatokba. A bizalmas adatok téves vagy szándékos, rosszindulatú műveletek eredményeképpen nyilvánosságra kerülhetnek, vagy jogosulatlan személyek birtokába juthatnak. Alább olvasható néhány példa a kockázatot jelentő helyzetekre: A jogosulatlan felhasználók hozzáférnek információhoz úgy, hogy megfigyelik a hálózati adatforgalmat, fizikai hozzáférést szereznek az USB flash meghajtókhoz vagy a

109 merevlemezekhez, illetve hozzáférést szereznek a kiszolgálók és az adattárolók nem megfelelően védett megosztásaihoz. A jogosult felhasználók bizalmas adatokat küldenek a szervezeten belüli vagy kívüli címzetteknek. A jogosult felhasználók nem engedélyezett helyre vagy alkalmazásba másolják vagy helyezik át a bizalmas adatokat, illetve az engedélyezett adattárolási helyen lévő adatokról másolatot készítenek nem engedélyezett helyre, például USB flash meghajtóra vagy merevlemezre (külső adattárolóra). A jogosult felhasználók véletlenül megosztják a bizalmas információkat a jogosulatlan felhasználókkal P2P-hálózaton vagy internetes csevegőalkalmazásokon keresztül. A jogosult felhasználók kinyomtatják a bizalmas információkat, de nem gondoskodnak a kinyomtatott dokumentumok biztonságos tárolásáról, így annak a veszélynek teszik ki a szervezetet, hogy jogosulatlan személyek hozzájutnak a nyomtatott példányokhoz, és lemásolják, majd faxon vagy ben elküldik a másolatokat. Kockázatminimalizálás A munkatársak által a hálózaton keresztül megosztott adatok megfelelő védelméhez az adatok felhasználásától függetlenül biztosítani kell azok védelmét a tartalomvédelmi szolgáltatások segítségével. Az RMS mechanizmus hathatós védelemmel látja el a kiszolgálók, az eszközök és a megosztott hálózati erőforrások között küldött tartalmakat. Ez a mechanizmus megakadályozza az illetéktelenül megszerzett információ tartalmához való hozzáférést az alkalmazott védelemmel és titkosítással. A kockázatminimalizálás fontos szempontjai A tartalomvédelmi szolgáltatások alkalmazásával csökkenthetők a fenti Kockázatbecslés című szakaszban említett kockázatok, az alkalmazásuk előtt azonban figyelembe kell venni az ehhez az adatvédelmi funkcióhoz kapcsolódó következő követelményeket és bevált gyakorlati eljárásokat: A tartalomvédelmi szolgáltatás használatához Windows Server 2003 vagy újabb rendszeren kell telepíteni ezen szolgáltatás kiszolgálóját, valamint a felhasználói kliensgépeken telepíteni kell az RMS technológiát támogató alkalmazásokat. A Microsoft Office SharePoint Server vagy újabb verzió szükséges a SharePoint RMSintegrációs összetevőjének használata esetén (az RMS mechanizmussal védhetők a SharePoint-webhelyeken tárolt dokumentumok és információk a jogosulatlan hozzáférés ellen). Intelligens kártyák használata esetén meg kell győződni arról, hogy a védett tartalmat használó összes kliensszámítógép teljes mértékben kompatibilis az alkalmazott intelligens kártyákkal. A webes alkalmazások, például a Microsoft Outlook Web Access (OWA) és az RMS összetevő együttes használata esetén az Internet Explorer böngészőhöz telepíteni kell a tartalomvédelmi szolgáltatások használatát lehetővé tevő bővítményt. Az informatikai osztály munkatársainak el kell sajátítaniuk az RMS technológia alkalmazását, valamint az ezzel a technológiával kapcsolatos problémák megoldásához és a segítségnyújtáshoz szükséges ismereteket.

110 A kockázatminimalizálás folyamata Az alábbi kockázatminimalizáló folyamat célja a tartalomvédelmi szolgáltatások megfelelő konfigurációjának kialakítása és a bevált gyakorlati eljárások alkalmazása a szervezet kliensszámítógépein tárolt fontos adatok védelméhez. Ellenőrizni és tesztelni kell az RMS technológiát. Figyelem: Az RMS funkcióval kapcsolatos további tudnivalók az Active Directory Rights Management Services 56 című dokumentumban olvashatók a Microsoft webhelyén. Fel kell mérni a tartalomvédelmi szolgáltatások használatának szükségességét. Meg kell határozni a tartalomvédelmi szolgáltatások által támogatott alkalmazásokat és szolgáltatásokat. Meg kell határozni és fel kell mérni a tartalomvédelmi szolgáltatások telepítését igénylő helyzeteket. Ilyenek lehetnek például a következők: o Egy RMS-kiszolgáló (vagy egy fürt) o Egy tanúsítvány, egy licenc o Egy tanúsítvány, több licenc o Több tanúsítvány, egy licenc o Több tanúsítvány, több licenc Meg kell határozni és fel kell mérni a tartalomvédelmi szolgáltatásokkal védendő információk körét. Meg kell határozni és fel kell mérni azokat a felhasználócsoportokat, amelyeknek hozzáférésre van szükségük a védendő információhoz. Úgy kell konfigurálni a tartalomvédelmi szolgáltatásokat, hogy a beállítások csak a jogosult személyeknek tegyék lehetővé a meghatározott információhoz való hozzáférést Csoportházirend-beállítások használata a tartalomvédelmi szolgáltatások telepítéséhez A Windows 8 telepítése nem tartalmazza a tartalomvédelmi szolgáltatások (RMS) konfigurálásához használható csoportházirend-beállításokat. Az RMS olyan megoldás, amely elsősorban a kiszolgáló konfigurációján alapul, ezért a tartalomvédelmi szolgáltatások (RMS) konfigurálását az RMSkiszolgálón kell elvégezni. Ezenkívül a tartalomvédelmi szolgáltatásokkal (RMS) együttműködő alkalmazások egyéni beállításokat tartalmazhatnak, amelyek meghatározzák a védett tartalom kezelésének módját Eszközök telepítése és kezelése a Windows 8 rendszerben A Plug and Play (PnP) technológia lehetővé teszi, hogy a felhasználók különféle eszközöket használjanak munkaállomásaikon, beleértve a hordozható eszközöket is. Másfelől azonban az olyan eszközök, mint az USB-meghajtók és a hordozható merevlemezek, komoly problémát jelentenek a rendszergazdáknak és az informatikusoknak a megfelelő biztonsági szint fenntartásának szempontjából. Ez a probléma nem csak a munkaállomásokon használt, nem kompatibilis és nem engedélyezett eszközök kezelésében nyilvánul meg, hanem olyan helyzetet is előidézhet, amely 56 Magyar nyelven: angol nyelven:

111 jelentős mértékben veszélyeztetheti a feldolgozott adatok biztonságát. A Windows 8 rendszerben a csoportházirendek több módosítást is tartalmaznak, amelyek segítségével a rendszergazdák kezelhetik és felügyelhetik a nem támogatott és nem engedélyezett eszközök telepítésére tett kísérleteket. Hangsúlyozni kell, hogy a rendszerben telepített összes eszköz az adott rendszer összes felhasználója számára elérhető lesz, nem csak a telepítést végrehajtó felhasználó számára. A Windows 8, a Windows 7 és a Windows Vista rendszerben lehetőség van a telepített eszközök olvasási és írási hozzáférésének felhasználói szintű vezérlésére. Megadható például teljes írási és olvasási hozzáférés egy meghatározott felhasználónak egy telepített eszközhöz, például egy USBmeghajtóhoz, a számítógép többi felhasználójának pedig csak olvasási hozzáférés az adott eszközhöz. Az eszközök kezelésével és telepítésével, valamint az eszközök kezeléséhez és karbantartásához használható csoportházirend-beállításokkal kapcsolatos bővebb tájékoztatás a Step-By-Step Guide to Controlling Device Installation Using Group Policy 57 című dokumentumban olvasható. Kockázatbecslés A számítógépekhez nem engedélyezett módon csatlakoztatott eszközök igen komoly veszélyforrásnak számítanak, mert lehetővé tehetik a támadóknak kártevő programok elindítását, a számítógépen lévő adatok törlését, valamint különböző szoftverek vagy adatok telepítését a számítógépre. A szervezeti adatok kiszivárgását legtöbbször az ilyen eszközök okozzák. Alább olvasható néhány példa a kockázatot jelentő helyzetekre: A jogosult felhasználók nem engedélyezett adattárolóra vagy merevlemezre (külső adathordozóra) másolják vagy helyezik át az engedélyezett adathordozókon tárolt bizalmas adatokat, és előfordulhat, hogy a felhasználóknak nincs is tudomásuk arról, hogy nem engedélyezett célhelyet választottak a műveletek végrehajtásához. Ilyen eset lehet például a titkosított adathordozón vagy helyen lévő adatok másolása egy nem engedélyezett, nem titkosított, általános hozzáférési jogú cserélhető adathordozóra. A támadó bejelentkezik az engedélyezett felhasználók számítógépére, és cserélhető adathordozóra másolja az adatokat. A támadó rosszindulatú szoftvert tartalmazó cserélhető adathordozó vagy hálózati megosztás használatával automatikusan elinduló parancsfájlokat helyez el, amelyek az automatikus indítási funkció kihasználásával rosszindulatú szoftvereket telepítenek a nem felügyelt kliensszámítógépeken. A támadó nem engedélyezett szoftvert vagy eszközt telepít, amely rögzíti a billentyűzet használatával bevitt adatokat (keylogger), így fiókadatokat, jelszavakat és más bizalmas adatokat tud megszerezni, majd ezeket az adatokat felhasználva hajtja végre a tényleges támadást. 57

112 Kockázatminimalizálás A fenti kockázatokhoz kapcsolódó veszély csökkentéséhez a számítógépes rendszerek védelmét úgy kell megoldani, hogy kiemelt szempont legyen a számítógéphez csatlakoztatott nem engedélyezett eszközök telepítésének és használatának vezérlése és felügyelete. A PnP-eszközök, például az USBmeghajtók és a hordozható merevlemezek felügyeletéhez csoportházirend-beállítások használhatók. A kockázatminimalizálás fontos szempontjai A Windows 8 eszköztelepítésre vonatkozó csoportházirend-beállításainak használatával csökkenthetők a fenti Kockázatbecslés című szakaszban említett kockázatok. Az eszközök telepítésére és kezelésére vonatkozó beállítások alkalmazása előtt azonban figyelembe kell venni a kockázatminimalizálással kapcsolatos következő szempontokat: Az eszközök használatának korlátozása blokkolhatja a jogosult felhasználók adathozzáférését, vagy a hordozható eszközök hozzáférésének blokkolásával csökkentheti a mobilfelhasználók hatékonyságát. A hordozható eszközök használatának korlátozása megakadályozhatja például a BitLocker funkciót alkalmazó lemeztitkosításhoz szükséges USB-meghajtók használatát is. A felhasználókra alkalmazott Cserélhető lemezek: Írási hozzáférés megtagadása csoportházirend-beállítás használata esetén például ez a beállítás a rendszergazdai jogosultságú felhasználókra is érvényes, ennek következtében a BitLocker telepítőprogram nem tudja felírni az USB-meghajtóra az indítókulcsot. Egyes eszközök kettős azonosítással szerepelnek a rendszerben, cserélhető tárolóként és helyi tárolóként. Ilyen módon történik például a rendszerindítás közben csatlakoztatott USBmeghajtók néhány típusának azonosítása, attól függően, hogy a rendszer elindítása előtt csatlakoztatták-e vagy amikor már futott a rendszer. Ezért körültekintően tesztelni kell a csoportházirend-beállításokat, meg kell bizonyosodni arról, hogy a különböző típusú eszközök megfelelő védelemmel rendelkeznek, és meg kell határozni, hogy az eszközök használata engedélyezett-e a szervezet környezetében. A kockázatminimalizálás folyamata Az alábbi kockázatminimalizáló folyamat célja a Windows 8 rendszerben használt eszközök kezelésére és telepítésére vonatkozó bevált gyakorlati eljárások alkalmazása a számítógépeken tárolt fontos adatok védelmének biztosításához. A kockázat minimalizálásához ajánlott műveletek a következők: 1. Ellenőrizni és tesztelni kell a Windows 8 rendszerben használt eszközök telepítési és kezelési folyamatait. Figyelem: A témához kapcsolódó további tudnivalók a Step-By-Step Guide to Controlling Device Installation Using Group Policy 58 című dokumentumban olvashatók a Microsoft webhelyén. 58

113 2. Fel kell mérni a Windows 8 rendszerbeli eszköztelepítési és -kezelési mechanizmus használatának szükségességét. 3. Ellenőrizni és tesztelni kell a Windows 8 rendszerben használt eszközök telepítési és kezelési mechanizmusának csoportházirend-beállításait. 4. Azonosítani kell a szervezet környezetében használt nélkülözhetetlen hordozható eszközöket, és össze kell állítani az eszközök beállításainak listáját, amelyben szerepelnie kell az eszközök hardverazonosítójának, valamint az eszközök kompatibilis azonosítójának. 5. Azonosítani kell azokat a számítógépeket és felhasználókat, amelyek és akik napi rendszerességgel használnak hordozható eszközöket. 6. Csoportházirend-beállítások használatával engedélyezni kell a nélkülözhetetlen és a megfelelő eszközök telepítését. 7. Csoportházirend-beállítások használatával engedélyezni kell az eszközök telepítését azokon a számítógépeken, amelyeken a napi munkához szükségesek az eszközök Csoportházirend-beállítások használata az eszközök telepítésének felügyeletéhez Az eszközök telepítésének felügyeletéhez és a beállítások kezeléséhez a Deviceinstallation.admx csoportházirend-sablonban található csoportházirend-beállítások használhatók. Az alábbi táblázat tartalmazza a sablonban elérhető beállítások ismertetését. A beállítások a következő bejegyzésnél érhetők el: Számítógép konfigurációja\felügyeleti sablonok\rendszer\eszköztelepítés\eszköztelepítési korlátozások (Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions) A házirendek beállításai Eszköztelepítési korlátozások házirend felülbírálásának engedélyezése a rendszergazdák számára Adott osztályokba tartozó eszközök megfelelő illesztőprogramokkal végzett eszköztelepítésének engedélyezése Leírás Ezzel a házirend-beállítással meghatározhatja, hogy a Rendszergazdák csoport tagjai bármilyen eszközhöz tartozó illesztőprogramot telepíthetnek és frissíthetnek-e, egyéb házirendbeállításoktól függetlenül. Ezzel a házirend-beállítással megadhatja az azon eszköztelepítési osztályok globális egyedi azonosítóit tartalmazó listát, amelyeket a Windows telepíthet. Ha engedélyezi ezt a házirendbeállítást, akkor a Windows telepítheti vagy frissítheti azokat az eszközillesztőket, amelyek eszköztelepítési osztályának GUID azonosítója szerepel az Ön által A Windows 8 alapértelmezett beállítása Nem konfigurált Nem konfigurált

114 Eszköztelepítések megakadályozása az illesztőprogramok eszközosztálya alapján Egyéni üzenet megjelenítése, amikor a telepítést házirendbeállítás akadályozza meg létrehozott listán, feltéve, hogy a telepítést nem gátolja más házirendbeállítás (például az Ezekkel az eszközazonosítókkal megegyező eszközök telepítésének megakadályozása, az Ezekbe az eszközosztályokba tartozó eszközök telepítésének megakadályozása vagy az Eltávolítható eszközök telepítésének megakadályozása házirend-beállítás). Ezzel a házirend-beállítással megadhatja az azon eszköztelepítési osztályok globális egyedi azonosítóit (GUID) tartalmazó listát, amelyeket a Windows nem telepíthet. Ez a házirend-beállítás elsőbbséget élvez az eszköztelepítést engedélyező többi házirend-beállítással szemben. Ezzel a házirend-beállítással egyéni üzenetet jeleníthet meg a felhasználók számára, amikor egy eszköz telepítését házirend-beállítás akadályozza meg Nem konfigurált Nem konfigurált Egyéni üzenetcím megjelenítése, amikor az eszköztelepítést házirend akadályozza Amennyiben engedélyezi ezt a beállítást, a Windows a Részletes szöveg mezőbe beírt szöveget jeleníti meg, amikor egy eszköz telepítését házirend-beállítás akadályozza meg. Ezzel a házirend-beállítással egyéni üzenetcímet jeleníthet meg a felhasználók számára, amikor egy eszköz telepítését házirend-beállítás akadályozza meg Nem konfigurált Ezen eszközazonosítók egyikével megegyező eszköz telepítésének engedélyezése Amennyiben engedélyezi ezt a házirend-beállítást, a Windows a Fő szövegrész mezőbe írt szöveget jeleníti meg az üzenet címeként, amikor egy eszköz telepítését házirend-beállítás akadályozza meg. Ezzel a házirend-beállítással egyéni üzenetcímet jeleníthet meg a felhasználók számára, amikor egy eszköz telepítését házirend-beállítás akadályozza meg Nem konfigurált

115 Eszköztelepítések korlátozása eszközazonosítók alapján Amennyiben engedélyezi ezt a házirend-beállítást, a Windows a Fő szövegrész mezőbe írt szöveget jeleníti meg az üzenet címeként, amikor egy eszköz telepítését házirend-beállítás akadályozza meg. Ezzel a házirend-beállítással megadhatja az azon eszközök Plug and Play-hardverazonosítóját vagy kompatibilis azonosítóját tartalmazó listát, amelyeket a Windows nem telepíthet. Ez a házirend-beállítás elsőbbséget élvez az eszköztelepítést engedélyező többi házirendbeállítással szemben. Nem konfigurált Idő (másodpercben) a házirendmódosítások életbe lépéséhez szükséges újraindítás kényszerítéséhez Ha engedélyezi ezt a házirendbeállítást, akkor a Windows nem telepítheti azokat az eszközöket, amelyek hardverazonosítója vagy kompatibilis azonosítója szerepel a létrehozott listán. Ezzel a házirend-beállítással megadhatja az azon eszközök Plug and Play-hardverazonosítóját vagy kompatibilis azonosítóját tartalmazó listát, amelyeket a Windows nem telepíthet. Ez a házirend-beállítás elsőbbséget élvez az eszköztelepítést engedélyező többi házirendbeállítással szemben. Nem konfigurált Eltávolítható eszközök telepítésének megakadályozása Ha engedélyezi ezt a házirendbeállítást, akkor a Windows nem telepítheti azokat az eszközöket, amelyek hardverazonosítója vagy kompatibilis azonosítója szerepel a létrehozott listán. Ezzel a házirend-beállítással megakadályozhatja, hogy a Windows cserélhető eszközöket telepítsen. Egy eszköz akkor cserélhető, ha annak az eszköznek az illesztőprogramja, amelyhez csatlakoztatva van, azt jelzi, hogy cserélhető. Egy USB-eszköz eltávolíthatóságát az USB-elosztó azon illesztőprogramjai jelzik, amelyekhez az eszköz csatlakoztatva van. Ez a házirend-beállítás elsőbbséget élvez az Nem konfigurált

116 Egyéb házirend-beállítások által nem érintett eszközök telepítésének megakadályozása eszköztelepítést engedélyező többi házirend-beállítással szemben. Ezzel a házirend-beállítással megakadályozhatja azon eszközök telepítését, amelyeket nem ír le külön más házirend-beállítás. Nem konfigurált A házirend-beállítás engedélyezése esetén az Ezen eszközazonosítók egyikével megegyező eszköz telepítésének engedélyezése és A következő eszközosztályokhoz tartozó eszközök telepítésének engedélyezése házirend-beállításban le nem írt eszközöket a Windows nem telepítheti, illesztőprogramjaikat pedig nem frissítheti táblázat: Az eszköztelepítés felügyeletéhez használható csoportházirend-beállítások A fenti táblázat a beállítások rövid leírását tartalmazza. Az egyes beállítások részletes leírása a Csoportházirendobjektum-szerkesztő Súgó lapján található Csoportházirend-beállítások használata az eszközök hozzáférésvezérléséhez Az eszköztelepítés felügyeletének kiegészítéséhez a Windows 8 lehetővé teszi annak beállítását, hogy a felhasználók milyen hozzáférési szinttel használhatják a telepített eszközöket. A RemovableStorage.admx sablon tartalmazza a cserélhető tárolókra vonatkozó beállításokat. Ez a konfiguráció a következő bejegyzésnél található: Számítógép konfigurációja\felügyeleti sablonok\rendszer\hozzáférés a cserélhető tárolókhoz (Computer Configuration\Administrative Templates\System\Removable Storage Access) A házirendek beállításai Idő (másodpercben) az újraindítás kényszerítéséig Leírás Ezzel a házirend-beállítással megakadályozhatja azon eszközök telepítését, amelyeket nem ír le külön más házirend-beállítás. A Windows 8 alapértelmezett beállítása Nem konfigurált A házirend-beállítás engedélyezése esetén az Ezen eszközazonosítók egyikével megegyező eszköz telepítésének engedélyezése és A következő eszközosztályokhoz tartozó eszközök telepítésének

117 CD és DVD: Indítási hozzáférés megtagadása CD és DVD: Olvasási hozzáférés megtagadása CD és DVD: Írási hozzáférés megtagadása Egyéni osztályok: Olvasási hozzáférés megtagadása Egyéni osztályok: Írási hozzáférés megtagadása Hajlékonylemezes meghajtók: Indítási hozzáférés megtagadása Hajlékonylemezes meghajtók: Olvasási hozzáférés megtagadása Hajlékonylemezes meghajtók: Írási hozzáférés megtagadása Cserélhető lemezek: Indítási hozzáférés megtagadása Cserélhető lemezek: Olvasási hozzáférés megtagadása Cserélhető lemezek: Írási hozzáférés megtagadása engedélyezése házirend-beállításban le nem írt eszközöket a Windows nem telepítheti, illesztőprogramjaikat pedig nem frissítheti. Ez a házirend-beállítás megtagadja az indítási hozzáférést a CD és DVD cserélhető tárolóosztályhoz. Ez a házirend-beállítás megtagadja az olvasási hozzáférést a CD és DVD cserélhető tárolókhoz. Ez a házirend-beállítás megtagadja az írási hozzáférést a CD és DVD cserélhető tárolókhoz. Ez a házirend-beállítás megtagadja az olvasási hozzáférést az egyéni cserélhető tárolókhoz. Ez a házirend-beállítás megtagadja az írási hozzáférést az egyéni cserélhető tárolókhoz. Ez a házirend-beállítás megtagadja az indítási hozzáférést a Hajlékonylemezes meghajtók cserélhető tárolóosztályhoz, beleértve az USB hajlékonylemezes meghajtókat is. Ez a házirend-beállítás megtagadja az olvasási hozzáférést a Hajlékonylemezes meghajtók cserélhető tároló osztályhoz, beleértve az USB-meghajtókat is. Ez a házirend-beállítás megtagadja az írási hozzáférést a Hajlékonylemezes meghajtók cserélhető tároló osztályhoz, beleértve az USBmeghajtókat is. Ez a házirend-beállítás megtagadja az indítási hozzáférést a cserélhető lemezekhez. Ez a házirend-beállítás megtagadja az olvasási hozzáférést a cserélhető lemezekhez. Ez a házirend-beállítás megtagadja az írási hozzáférést a cserélhető lemezekhez. Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Összes cserélhető tároló osztály: Hozzáférés beállítása az összes Nem konfigurált

118 Minden hozzáférés megtagadása cserélhető tároló osztályhoz Összes cserélhető tároló: Közvetlen hozzáférés engedélyezése távoli munkamenetekben Szalagos meghajtók: Indítási hozzáférés megtagadása Szalagos meghajtók: Olvasási hozzáférés megtagadása Szalagos meghajtók: Írási hozzáférés megtagadása WPD-eszközök: Olvasási hozzáférés megtagadása WPD-eszközök: Írási hozzáférés megtagadása Ez a házirend-beállítás felülírja minden egyéni cserélhető tároló házirendbeállítását. Egyéni osztályok kezeléséhez használja az egyes osztályok házirend-beállításait. Ez a házirend-beállítás normál felhasználók számára közvetlen hozzáférést biztosít a cserélhető tároló eszközökhöz a távoli munkamenetekben. Ez a házirend-beállítás megtagadja az indítási hozzáférést a Szalagos meghajtók cserélhető tároló osztályhoz. Ez a házirend-beállítás megtagadja az olvasási hozzáférést a Szalagos meghajtók cserélhető tároló osztályhoz. Ez a házirend-beállítás megtagadja az írási hozzáférést a Szalagos meghajtók cserélhető tároló osztályhoz. Ez a házirend-beállítás megtagadja az olvasási hozzáférést a cserélhető lemezekhez, például a médialejátszókhoz, a mobiltelefonokhoz, a kiegészítő képernyőkhöz és a Windows CE rendszerű eszközökhöz. Ez a házirend-beállítás megtagadja az olvasási hozzáférést a cserélhető lemezekhez, például a médialejátszókhoz, a mobiltelefonokhoz, a kiegészítő képernyőkhöz és a Windows CE rendszerű eszközökhöz. Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált Csoportházirend-beállítások használata az automatikus indítási és az automatikus lejátszási funkció vezérléséhez és letiltásához Az Autoplay.admx sablon tartalmazza a Windows 8 rendszerben használt cserélhető tárolók és cserélhető adathordozók automatikus elindítására és automatikus lejátszására vonatkozó beállításokat. A beállítások a következő bejegyzésnél érhetők el: Számítógép konfigurációja\felügyeleti sablonok\windows-összetevők\az Automatikus lejátszás funkcióval kapcsolatos házirendek

119 (Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies) A házirendek beállításai Automatikus lejátszás funkció kikapcsolása Megakadályozza, hogy az Automatikus lejátszás emlékezzen a felhasználói döntésekre. Automatikus lejátszás kikapcsolása nem kötetalapú eszközök esetén Az Automatikus futtatás funkció alapértelmezés szerinti viselkedése Leírás Ezzel a beállítással kapcsolható ki az automatikus lejátszási funkció. Ezzel a beállítással kapcsolható ki az automatikus lejátszási funkció. Ezzel a beállítással kapcsolható ki az automatikus lejátszási funkció az MTPeszközök, például a fényképezőgépek és a telefonok esetében. Ezzel a beállítással adható meg az automatikus lejátszás alapértelmezés szerinti működése. A Windows 8 alapértelmezett beállítása Nem konfigurált Nem konfigurált Nem konfigurált Nem konfigurált A fenti beállítások a következő bejegyzésnél is elérhetők: Felhasználó konfigurációja\felügyeleti sablonok\windows-összetevők\az Automatikus lejátszással kapcsolatos házirendek (User Configuration\Administrative Templates\Windows Components\AutoPlay Policies) Ha az eszközök telepítésére vonatkozó beállítások ütközést idéznek elő, akkor a számítógép konfigurációjában található beállítást felváltja a felhasználó konfigurációjában található beállítás Windows To Go A Windows To Go munkaterület lehetővé teszi a Windows 8 hordozható példányának létrehozását USB-meghajtón, és annak elindítását az USB-meghajtóról tetszőleges számítógépen. A Windows To Go használatával a Windows felhasználói a szükséges alkalmazásokat és fájlokat a Windows USBmeghajtón elhelyezett hordozható példányából nyithatják meg, ami lehetővé teszi a távoli munkavégzést. Kockázatbecslés Néhány szervezet lehetővé teszi munkatársainak a távolról vagy otthonról végzett munkát. Ez a kényelmes és rugalmas módszer növeli a felhasználók elégedettségét, egyúttal a költségek csökkentésére is alkalmas. Figyelembe kell azonban venni, hogy amikor felhasználó a távoli munkavégzéshez saját otthoni számítógépéről csatlakozik a vállalati hálózathoz VPN-kapcsolaton keresztül, megnövekedhet a kártevő szoftverek általi fertőzések veszélye. Ezenkívül az otthoni számítógépen tárolt bizalmas adatok nincsenek megfelelő védelemmel ellátva.

120 Kockázatminimalizálás A Windows 8 rendszergazdái a Windows To Go szolgáltatással indítható lemezképet hozhatnak létre USB-meghajtón a felhasználók távoli munkavégzésének egyszerűsítéséhez. A felhasználók az USBmeghajtóról indíthatják el a rendszert otthoni számítógépükön. Az USB-meghajtóról elindított rendszer nagyjából megfelel annak a rendszernek, amelyet a felhasználók a szervezetben használnak, valamint tartalmazhatja a biztonságos távoli kapcsolat létrehozásához szükséges alkalmazásokat és eszközöket is. Ilyen felhasználási helyzetben a Windows To Go előnyei a következők: Az otthoni számítógép helyi merevlemezei nem érhetők el az elindított Windows To Golemezképben. A hordozható Windows To Go rendszer biztonságosan titkosítható a BitLocker funkció használatával. A felhasználó csak a megfelelő jelszó vagy egyéb biztonsági adat megadásával férhet hozzá a rendszerhez. A Windows rendszer legújabb verziója az otthoni rendszer konfigurációjához hasonlóan állítható be úgy, hogy nincs szükség kiegészítő hardvereszközökre, és mindez nem jár többletköltséggel. A Windows To Go teljes hozzáférést biztosít a helyi perifériás eszközökhöz, például a nyomtatóhoz és az érintéssel vezérelt eszközökhöz. A Windows To Go szolgáltatással kapcsolatos további tudnivalók a Windows To Go: Feature Overview 59 című dokumentumban olvashatók a Microsoft Technet webhelyén. 59

121 4.16. Kiegészítő tudnivalók és hivatkozások Az alábbi lista a Microsoft.com webhelyen közzétett, a Windows 8 biztonságával foglalkozó dokumentumokat és további hasznos információforrásokat tartalmaz. Active Directory Rights Management Services 60 BCDEdit Commands for Boot Environment 61 Best Practices for BitLocker in Windows 7 62 Best practices for the Encrypting File System 63 BitLocker Drive Encryption Deployment Guide for Windows 7 64 BitLocker meghajtótitkosítás áttekintés 65 Boot Configuration Data in Windows Vista 66 First Look: New Security Features in Windows Vista 67 (általános tájékoztatás a Windows Vista SP1 biztonsági funkcióiról) How Setup Selects Drivers 68 Microsoft Security Compliance Manager 69 Office 2003 Policy Template Files and Deployment Planning Tools 70 Step-By-Step Guide to Controlling Device Installation Using Group Policy 71 The Encrypting File System 72 Trusted Computing Group 73 Windows BitLocker Drive Encryption Design and Deployment Guides 74 Active Directory Rights Management Services 75 Windows Vista Security and Data Protection Improvements 76 : Data Protection

122 5. Az alkalmazáskompatibilitás és a Windows 8 rendszerű számítógépek biztonsági szolgáltatásainak kapcsolata A Windows Vista megjelenése óta több változás is történt az alkalmazások és a rendszermag együttműködésének védelmében. Emiatt problémák adódtak az alkalmazások kompatibilitása terén. A Windows 8 rendszerben bevezettek egy új alkalmazástípust, amely az AppContainer tárolón alapul, de a Win32 alkalmazások architektúrájának modellje változatlan maradt. Ezért a használni kívánt szoftvereket ellenőrizni kell, hogy működnek-e a Windows 8 rendszerben. A Felhasználói fiókok felügyelete funkció (User Account Control UAC) és a Windows Erőforrásvédelem funkció (Windows Resource Protection WRP) okozhat olyan problémát, amely miatt a korább rendszerekhez fejlesztett alkalmazások nem fognak megfelelően működni a Windows 8 rendszerben Az alkalmazások tesztelése a Windows 8 rendszerrel való kompatibilitás szempontjából A kompatibilitás tesztelése alapvető fontosságú művelet, amelyet végre kell hajtani a szoftverek Windows 8 környezetben történő telepítése előtt. Az alkalmazások kompatibilitásának tesztelése a következő lépésekkel hajtható végre. 1. Telepítse a Windows 8 rendszert egy tesztelési célú számítógépre, és jelentkezzen be rendszergazdai fiók használatával. 2. Indítsa el a szoftver telepítését. 3. Ha a telepítőprogram hibát jelez, indítsa el Futtatás rendszergazdaként üzemmódban. Ha a művelet hiba nélkül befejeződik, folytassa az 5. lépéssel. 4. Ha újabb hibák fordulnak elő, a telepítőprogram tulajdonságaiban állítsa be a Windows XP Professional SP3 kompatibilitási mód használatát, és hajtsa végre újból a 2. lépést. Ha további hibákat tapasztal, folytassa a 7. lépéssel. 5. Jelentkezzen be olyan fiókkal, amely nem rendelkezik rendszergazdai jogosultságokkal. 6. Indítsa el az alkalmazást. Ha a rendszer hibaüzeneteket jelenít meg, engedélyezze a Windows XP Professional SP3 kompatibilitási módot, és indítsa újra az alkalmazást. 7. Ha az alkalmazás megfelelően elindult, tesztelje részletesen az adott alkalmazásban végezhető műveleteket. A tesztek sikeres végrehajtása esetén az alkalmazás megfelelően fog működni a Windows 8 rendszerben. 8. Ha az alkalmazást nem sikerült telepíteni, nem sikerült elindítani, illetve ha leáll a működése, vagy futás közben hibaüzeneteket jelenít meg, az kompatibilitási problémára utal, ezért a szoftver működésének további elemzésére van szükség A kiterjesztett adatvédelmi mechanizmusokkal kapcsolatos ismert alkalmazáskompatibilitási problémák Az alkalmazáskompatibilitási problémák előfordulásának néhány ismert oka is van. Ezeket a problémákat előidézhetik a Windows 8 beépített adatvédelmi mechanizmusai.

123 Felhasználói fiókok felügyelete Ez a funkció a Windows Vista, a Windows 7 SP1 és a Windows 8 rendszerben érhető el. Szerepe az, hogy elkülöníti az általános felhasználói jogosultságokat és az általános jogosultságot igénylő feladatokat azoktól, amelyekhez rendszergazdai hozzáférés szükséges. A Felhasználói fiókok felügyelete funkció növeli a biztonságot, így az általános jogú felhasználók több műveletet hajthatnak végre anélkül, hogy ezekhez rendszergazdai fiók használatára lenne szükségük. A mechanizmus szolgáltatásai közé tartozik a virtualizálás lehetősége a regisztrációs adatbázis és a fájlrendszer szintjén. Ez lehetővé teszi azon alkalmazások kompatibilitásának biztosítását, amelyek a regisztrációs adatbázis és a fájlrendszer védett területeit használják. A Windows erőforrásainak védelme A Windows Vista rendszerben bevezetett erőforrás-védelmi mechanizmus ugyanolyan módszerrel védi a regisztrációs adatbázis bejegyzéseit és mappáit, mint a kulcsfontosságú rendszerfájlokat. Az ezzel a mechanizmussal védett fájlokhoz hozzáférni próbáló alkalmazásoknál működési hibák fordulhatnak elő a Windows 8 rendszerben, ezért ilyen esetben meg kell változtatni az alkalmazások működési módját. Védett mód Az Internet Explorer 10 hozzájárul a kártevő programok és a működési zavarokat okozó egyéb alkalmazások elleni védekezéshez a Windows rendszerű számítógépeken. Amikor az Internet Explorer védett módban működik, csak a fájlrendszer és a regisztrációs adatbázis meghatározott részeit használja. A védett mód alapértelmezés szerint bekapcsolt az Internet Explorer 8 böngészőverziótól kezdődően, amikor a böngésző nem az intraneten és/vagy a megbízható webhelyek zónájában lévő webhelyhez próbál hozzáférni A Windows 8 operációs rendszerben végrehajtott változtatások és javítások A Windows 8 több olyan változtatást is tartalmaz, amely a más gyártóktól származó alkalmazások inkompatibilitását okozhatja. Ezek a következők: Új alkalmazásprogramozási felület (Application Programming Interface API). A Windows Vista rendszerben bevezetett alkalmazásprogramozási felület a korábbiaktól eltérő módon biztosítja a programok közötti kommunikációt. Például az új API-n alapuló víruskereső szoftver és tűzfal erősebb védelmet biztosít, de a Windows 8 rendszerben működő alkalmazásoknak figyelembe kell venniük e szoftverek jelenlétét. 64 bites Windows A 16 bites alkalmazások és a 32 bites illesztőprogramok nem támogatottak a Windows 8 rendszer 64 bites környezetében. A regisztrációs adatbázis és a rendszerfájlok automatikus átirányítása csak a 32 bites alkalmazásokhoz érhető el. Ezért a 64 bites alkalmazásokat úgy kell megírni, hogy teljes mértékben megfeleljenek a Windows Vista, a Windows 7 SP1 és a Windows 8 alkalmazásaira vonatkozó szabványoknak. Az operációs rendszer verziója Előfordul, hogy a régebbi alkalmazások ellenőrzik a Windows verzióját. Ha olyan verziót észlelnek, amely különbözik a velük kompatibilis verziótól, akkor leáll a működésük. Ebben az

124 esetben egyetlen megoldás van, az ilyen alkalmazások kompatibilitási módban történő elindítása A Windows 8 alkalmazáskompatibilitást biztosító eszközei A Windows 8 több olyan eszközt is tartalmaz, amelynek szerepe az alkalmazáskompatibilitás biztosítása. Programkompatibilitási segéd A Programkompatibilitási segéd lehetővé teszi a Windows korábbi verzióihoz készült alkalmazások elindítását. Ha a Windows 8 olyan alkalmazást észlel, amely a Windows 2000, a Windows XP Professional SP3 vagy más Windows-verzióval való kompatibilitást igényel, automatikusan beállítja az alkalmazás megfelelő működési módját. A Programkompatibilitási segédet a rendszer indítja el automatikusan. Programkompatibilitási varázsló Ez a funkció egy könnyen kezelhető varázsló segítségével teszi lehetővé az alkalmazások kompatibilitási problémáinak meghatározását, a problémák okának felderítését és a megfelelő megoldás megkeresését. A programkompatibilitási varázsló a Vezérlőpult Programok moduljában, A Windows korábbi verzióihoz készült programok futtatása elemre kattintva indítható el. Alkalmazáskompatibilitási eszközkészlet Az alkalmazáskompatibilitási eszközkészlet (Application Compatibility Toolkit ACT) olyan eszközök és dokumentumok gyűjteménye, amelyek segítségével a kompatibilitást biztosítva kezelhetők az alkalmazások a Windows 8 rendszerű környezetben. Az ACT-csomag lehetővé teszi a szoftverek számbavételét, a kritikus fontosságú alkalmazások kezelését, valamint a Windows 8 megfelelő beállítását biztosító megoldások meghatározását. A csomag ingyenes, a Microsoft webhelyéről tölthető le. Windows-virtualizálás A Windows rendszerekhez elérhető különféle virtualizálási megoldások lehetővé teszik az alkalmazások virtuális gépen belüli elindítását. Az alkalmazások virtuális platformra történő átvitele a funkcióik teljes kompatibilitását biztosítja.

125 6. Hyper-V kliens A Windows 8 részét képező Hyper-V technológia egy vállalati szintű virtualizációs technológia, amely a Windows Server 2012 környezet egyik fontos eleme. A virtualizálási megoldással lehetőség nyílik egy elkülönítetten működő másik operációs rendszer elindítására, amelyben szintén elérhetők a számítógép hardvereszközei, például a hálózati adapterek és a merevlemezek. A Hyper-V számos helyzetben alkalmazható, például az alkalmazások és informatikai megoldások teszteléséhez, valamint a kompatibilitás biztosításához. 6.1 A biztonsági funkciók konfigurációja A Hyper-V szerepkör telepítése után a számítógépen található összes operációs rendszer virtuális gépként indítható el. Ez arra a Windows 8 példányra is vonatkozik, amelyben a virtuális gépek létrehozása és kezelése történik. Ez a példány a szülő operációs rendszer. A Hyper-V funkció fő összetevője a hipervizor, amely a hardver és az operációs rendszer közötti programréteg. A hipervizor lehetővé teszi több operációs rendszer egyidejű futtatását ugyanazon a számítógépen. A virtuális környezetek védelménél két szempontot is figyelembe kell venni: a szülő operációs rendszer biztonságát, a virtuális gépek biztonságát A szülő operációs rendszer védelme A számítógépes környezet módosításakor mindig ügyelni kell az általános biztonság növelésére. Például külön hálózati adapterek telepíthetők az operációs rendszerre vonatkozó kezelési műveletek és a virtuális gépek elkülönítéséhez, valamint azért, hogy a virtuális gépek is hozzá tudjanak férni a logikai adattárolókhoz. A Hyper-V funkció tartalmazza a Hyper-V kezeléséhez szükséges eszközöket: a Hyper-V konzol beépülő modult és a Windows PowerShell Hyper-V modulját. A Windows PowerShell Hyper-V moduljának használatával a jogosult rendszergazdák távolról is kezelhetik a Hyper-V funkciót használó kiszolgálókat. Hyper-V hálózatok A Hyper-V kliens lehetővé teszi különböző típusú virtuális hálózati kapcsolók konfigurálását, amelyekkel létrehozható a virtuális gépek közötti kommunikációt biztosító megoldás. A Hyper-V kliensben a következő típusú virtuális kapcsolók használhatók: Külső A külső virtuális kapcsoló lehetővé teszi a fizikai hálózati adapteren keresztüli kommunikációt, így mindegyik virtuális gép hozzá tud férni a fizikai hálózathoz. Belső

126 A belső virtuális kapcsolót csak az adott számítógépen elindított virtuális gépek használhatják. Szerepe a virtuális gépek és a fizikai számítógép közötti kommunikáció lehetővé tétele. A belső virtuális kapcsoló nem biztosít kapcsolatot a fizikai hálózattal. Magánjellegű Ezt a kapcsolót csak az adott számítógépen elindított virtuális gépek használhatják. A dedikált adattárak védelme Az egyes virtuális gépek konfigurációs adatait tartalmazó fájlok alapértelmezés szerint a következő helyen találhatók: %ProgramData%\Microsoft\Windows\Hyper-V A virtuális gépek konfigurációs fájljainak mérete viszonylag kicsi, ezért az alapértelmezett hely az esetek többségében elfogadható. A VHD-fájlok lehetnek dinamikusak vagy állandó méretűek. A dinamikus *.vhdx-fájlok mérete az adatcsere folyamán növekszik. Az állandó méretű fájlok állandó hozzáféréssel rendelkeznek a létrehozásuk során deklarált teljes mérethez. Például egy 80 GB méretű dinamikus lemez csak az adatok által ténylegesen igényelt helyet foglalja el. Az állandó méretű lemez azonban folyamatosan a megadott méretű területet foglalja el a fizikai lemezen. A megfelelő teljesítmény biztosításához, valamint a szabad terület váratlan elfogyásának elkerüléséhez állandó méretű lemezeket célszerű használni. Az alapértelmezett.vhdx-fájlok a %users%\public\documents\hyper-v\virtual Hard Disks mappában találhatók. A fenti elérési út megváltoztatható a Hyper-V funkció kezelőjében. Másik mappa választása esetén ellenőrizni kell a kívánt mappára vonatkozó engedélyeket (lásd az alábbi táblázatot). Objektum Engedélyek Hatókör Rendszergazdák Rendszer Teljes hozzáférés Adott mappa, almappák és fájlok Létrehozó tulajdonos Teljes hozzáférés Csak az almappák és a fájlok Virtuális gépek Fájlok létrehozása, adatok írása Mappák létrehozása, adatok hozzáfűzése Mappa listázása, adatok olvasása Attribútumok olvasása Kiterjesztett attribútumok olvasása Engedélyek olvasása Adott mappa, almappák és fájlok A kezelés egyszerűsítéséhez az összes konfigurációs fájl, virtuális lemez-fájl, VFD-fájl és ISO-fájl külön mappákban tárolható ugyanazon a köteten. Ehhez a megoldáshoz használható például egy ilyen struktúra: V:\Virtualizálási erőforrások\virtuális gépek V:\Virtualizálási erőforrások\virtuális merevlemezek

127 V:\Virtualizálási erőforrások\virtuális hajlékonylemezek V:\Virtualizálási erőforrások\iso-fájlok A víruskereső szoftver Hyper-V szerepkört használó operációs rendszerben történő telepítésekor a valós idejű vizsgálatból ki kell zárni azokat a mappákat, amelyek a virtuális gépek fájljait tartalmazzák, valamint a vmms.exe és a vmwp.exe programot tartalmazó C:\Windows\System32 mappát. Ha ezeket a mappákat nem zárják ki a víruskereséséből, problémák fordulhatnak elő a virtuális gépek létrehozásakor és elindításakor A virtuális gépek biztonsága Több virtuális gép használata esetén a biztonság megőrzéséhez néhány további konfigurációs beállítás használatára van szükség. Ezek egy része a virtuális gép szintjén adható meg, a többi pedig a Hyper-V kezelőjében. A virtuális gépek konfigurálása Az alábbiakban olvashatók a Hyper-V funkciót használó, Windows 8-as számítógépeken létrehozott virtuális gépek konfigurálására vonatkozó javaslatok. Meg kell határozni a virtuális gépek fájljait és a VHD-fájlokat tároló helyet. A virtuális gépek fájljait és a VHD-fájlokat tároló helyet úgy kell kiválasztani, hogy a választott hely a lehető legbiztonságosabb legyen. Nem szabad megfeledkezni arról, hogy az ezen adatokhoz való hozzáférés gyakorlatilag egyenértékű a virtuális gépek konfigurációjához és tartalmához való hozzáféréssel. Meg kell határozni a virtuális gépekhez rendelendő memória méretét, valamint a processzorhasználat küszöbértékét százalékban. A virtuális gépek által igénybe vehető memória és a processzorhasználat korlátozásával fenntartható a környezet megfelelő hozzáférhetősége és teljesítménye. Csak a szükséges háttértárolók hozzáférését célszerű engedélyezni. A virtuális gépeket úgy kell beállítani, hogy csak a szükséges háttértárolókhoz férjenek hozzá, mert ezzel megakadályozható az olyan adatok elérése, amelyeket például nemkívánatos szoftverek telepítésére lehetne felhasználni. Engedélyezni kell az időszinkronizálást. Az időszinkronizálás a környezet megfelelő és biztonságos konfigurációjának egyik alapeleme, amelyre például a hozzáférési szabályok megadásakor van szükség. Ennek biztosításához telepíteni kell az integrációs szolgáltatásokat a virtuális gépekhez. A virtuális gépeket úgy kell konfigurálni, hogy megközelítőleg azonos biztonsági szinten legyenek az adott számítógépen. A virtuális gépek ugyanolyan veszélyeknek vannak kitéve, mint a fizikai számítógépek. Ezért az adott számítógépen elindított valamennyi virtuális gép biztonsági szintjét közel azonosra kell beállítani. Törölni kell a feleslegessé vált VHD-fájlokat, ha bizalmas adatokat tartalmazhatnak. A fontos és bizalmas adatokat tároló virtuális gépek esetében be kell állítani a feleslegessé váló VHD-fájlok törlését. Ehhez az SDelete v.1.61 eszköz használható ( Gondosodni kell a pillanatképek biztonságos tárolásáról.

128 A pillanatkép a virtuális gép állapotáról meghatározott időpontban készített másolat, amelynek segítségével visszaállítható a virtuális gép rögzített állapota. 7. Irányítás, kockázatkezelés és az informatikai szabványoknak való megfelelés (IT GRC) Az Irányítás, a kockázatkezelés és az informatikai szabványoknak való megfelelés (Governance, Risk Management and Compliance GRC) rendszere magában foglalja a teljes infrastruktúrát alkotó személyeket, folyamatokat és technológiákat, és a következő előnyöket nyújtja a szervezeteknek: A kockázatok csökkentése Az üzleti folyamatok egységesítése A hatékonyság növelése Az erőforrások felszabadítása A változások kezelésének elősegítése Ez a fejezet azt mutatja be, hogyan használhatók a Microsoft-termékek a rendszer alapszintbeállításaival összefüggésben a Microsoft System Center Service Manager 2012 rendszerhez készült IT Governance, Risk, and Compliance (IT GRC) Process Management Pack (PMP) segítségével olyan módon, hogy az irányítás, a kockázatkezelés és az informatikai szabványoknak való megfelelés rendszerének alkalmazása előnyös legyen az IT GRC rendszert támogató szervezetek számára. A Process Management Pack a System Center Service Manager termékhez tartozó felügyeleti csomag, amely az IT-menedzsment folyamatainak végrehajtását segíti elő olyan előírások, nemzetközi szabványok és bevált gyakorlati eljárások alapján, mint a Microsoft Operations Framework (MOF) és az Information Technology Infrastructure Library (ITIL). Az IT GRC Process Management Pack és a rendszer alapbeállításai együttesen hozzájárulnak a kliensszámítógépek és a kiszolgálók megfelelőségét biztosító folyamat automatizálásához. A GRC rendszert támogató Microsoftmegoldásokkal kapcsolatos további információk a Compliance Solution Accelerators 77 ismertetőkben olvashatók a Microsoft Solution Accelerators útmutatóit tartalmazó webhelyen. Az alábbi ábra az IT GRC elhelyezkedését szemlélteti a szervezet kockázat- és megfelelőségkezelési struktúrájában. Az IT GRC Process Management Pack kizárólag az IT GRC rendszerre összpontosít, a szervezet egyéb kockázat- és megfelelőségkezelési szempontjainak figyelembevétele nélkül. 77

129 Teljes szervezet kockázat- és megfelelőségkezelése Vállalati GRC Pénzügyi terület kockázat- és megfelelőségkezelése Pénzügyi GRC IT terület kockázat- és megfelelőségkezelése IT GRC Szervezet üzleti tevékenységeinek kockázatés megfelelőségkezelése Üzletviteli GRC IT GRC ITtevékenységek Információkezelés Minőségnövelés és minőségellenőrzés Beruházási portfólió és szervezeti architektúra \ IT-folyamatok IT-menedzsment és biztonság 7.1. ábra: Az IT GRC elhelyezkedése a szervezet kockázat- és megfelelőségkezelési struktúrájában 7.1. Bevezetés Ez a fejezet a System Center Service Manager termékhez készült IT GRC Process Management Pack csomag alkalmazására vonatkozó további forrásokat ismerteti. A témához kapcsolódó további tudnivalók a következő útmutatókban találhatók: IT GRC Process Management Pack Deployment Guide. Ez az útmutató az IT GRC Process Management Pack telepítési folyamatát ismerteti.

130 IT GRC Process Management Pack Operations Guide. Ez az útmutató az IT GRC Process Management Pack használatára, valamint a saját csomagok létrehozására vonatkozó információkat tartalmaz. IT GRC Process Management Pack Developers Guide. Ez az útmutató azzal foglalkozik, hogyan konfigurálható az IT GRC Process Management Pack a szervezet igényeinek megfelelően. A felsorolt útmutatók a Microsoft Letöltőközpontjából, a IT GRC Process Management Pack SP1 for System Center Service Manager 78 weblapjáról érhetők el. A témához kapcsolódó további információkat a következő források tartalmaznak: IT Compliance Management Library Deployment Guide, amely az IT-szabványoknak való megfeleléssel foglalkozó valamennyi gyűjteményben megtalálható. Ez az útmutató az IT GRC Process Management, valamint a Microsoft System Center Configuration Manager konfigurációs csomagjainak telepítésével foglalkozik. Microsoft System Center Service Manager 79. Microsoft System Center Configuration Manager Az IT GRC PMP áttekintése Az IT GRC Process Management Pack olyan információkat tartalmaz, amelyek elősegítik az IT GRC folyamat kezelési lehetőségeinek és módszereinek alkalmazását a szervezetben, és bemutatja a folyamat automatizálásának lehetőségeit. Az IT GRC Process Management Pack lehetőséget nyújt olyan szabványokat tartalmazó megfelelőségi gyűjtemények importálására, amelyek felhasználhatók a szervezet IT GRC folyamatával szemben támasztott követelmények ellenőrzőpontjainak meghatározására. Az IT GRC Process Management Pack csomaghoz kapcsolódó megfelelőségi gyűjtemények meghatározzák az IT GRC felettes szervei által kiadott dokumentumoknak való megfelelés biztosításához használandó ellenőrzőpontokat, alapul véve az általános IT GRC-irányelveket kidolgozó nemzetközi, kormányzati és iparági intézmények előírásait. Ezek a dokumentumok irányelveket tartalmaznak, valamint meghatározzák a különböző szektorokhoz tartozó szervezetek és intézmények üzleti folyamataira és technológiáira vonatkozó követelményeket. A System Center-termékekhez kapcsolódó további felügyeleti csomagok és információk a Microsoft System Center Marketplace 81 webhelyén érhetők el. Ezek a csomagok integrált megoldásokat és automatizálási lehetőségeket kínálnak, amelyek hozzásegítik a szervezeteket a GRC-követelmények megfelelő teljesítéséhez. A System Center Service Manager, a System Center Configuration Manager és System Center Operations Manager integrációjának előnyei: Ezek a megoldások hatékony módszert kínálnak a telepített Microsoft-termékek megfelelőségi állapotának figyeléséhez és ellenőrzéséhez, valamint az ehhez kapcsolódó jelentések létrehozásához

131 A felsorolt megoldások együttes alkalmazása elősegíti a szervezeti infrastruktúra által teljesítendő összetett üzleti célok megértését és összekapcsolását. Alább látható az IT GRC Process Management Pack megoldást bemutató sematikus ábra.

132 ábra: Az IT GRC Process Management Pack megoldás