Уровень сложностиСредний
Время на прочтение12 мин
Количество просмотров12K
Привет, Хабр!
Изучая отчеты по разбору вредоносного ПО, приходишь к выводу, что в последнее время одним из популярных методов для закрепления в системе является COM Hijacking (T1546.015), применяемый атакующими для закрепления зловредов в ОС Windows через Component Object Model. Яркий тому пример — использование COM Hijacking группировкой Fancy Bear, а также вредоносными программами,такими как Jumplump и одной из недавних — RomCom.
При этом, если рассмотреть подробнее использование RomCom, можно увидеть, что он перезаписывает COM-объект с GUID {C90250F3-4D7D-4991-9B69-A5C5BC1C2AE6}с соответствующим файломActXPrxy.dll, предназначенным для управления компонентами «ActiveX» Windows, на prxyms.dll. В то же время одним из процессов, который использует данный COM-объект, является explorer.exe. Это означает, что закрепление в системе гарантированно, поскольку без данного процесса не обходится работа на устройстве с операционной системой Windows.
Таким образом, умение детектировать данный вид атаки является важным аспектом для Blue Team. Поэтому я решила подготовить серию статей, посвященных технологии Component Object Model (COM), а также разбору атаки COM Hijacking и ее детектированию.
Сегодня я начну с основ и расскажу вам о том, что представляет собой Component Object Model. Сразу отмечу, что данная тема очень обширная, и разобрать ее подробно в одном материале не получится. В этой статье мною будут рассмотренны базовые понятия COM, которые в будущем помогут нам лучше понимать принцип работ атаки COM Hijacking. После чего я проанализирую, какие стратегии может ипользовать злоумышленник для выбора подходящего COM-объекта с целью последующей атаки.
Немного определений
COM (Component Object Model) — это стандарт, позволяющий разработчикам повторно использовать в своем коде независимые компоненты ПО. При этом им не нужно знать внутреннее устройство данных компонентов, заниматься их совместимостью на разных языках программирования и повторной компиляцией.
Также в начале статьи я уже упомянула такое понятие, как COM-объект. За ним кроется определение объекта, в котором указаны данные о нем и о наборе интерфейсов для обеспечения его функциональности. COM-объект реализуется в форматах DLL или EXE.
На основе стандарта COM выполняется очень много процессов в Windows, поэтому отключить его с целью защитится от атакующих не получится. Соответственно, атаки с помощью COM-объектов становятся лакомым кусочком для злоумышленников.
Программное обеспечение для поиска необходимого COM-объекта использует реестр, поэтому далее мы рассмотрим, какие ключи задействованы в данном процессе и можно ли их применять для проведения атаки (Спойлер: ДА!).
Представление COM-объектов в реестре
Реестр содержит информацию обо всех установленных в системе COM-объектах, которая находится в следующих ветках:
-
HKEY_LOCAL_MACHINE\Software\Classes(HKLM) — информация, применимая на локальном компьютере при любом активном пользователе; -
HKEY_CURRENT_USER\Software\Classes(HKCU) — информация, применимая к текущему интерактивному пользователю; -
HKEY_CLASSES_ROOT(HKCR) — виртуальный куст, объединяющий сведения из двух выше указанных веток. Объединение происходит по определенному правилу: включаются все разделы и ключи изHKCU\Software\Classes, а изHKLM\Software\Classesвключаются разделы и ключи, отсутствующиеHKCU\Software\Classes.
Так как архитектура 64-битной операционной системы поддерживает совместимость с x86 приложениями, существуют дополнительные ветки в реестре, представленные под спойлером:
COM-объекты в x64 архитектуре ОС для x86 приложений
Для поддержания 32-разрядных приложений в 64-разрядный операционных системах Windows используются аналогичная структура ключей, но вложены они в Wow6432Node. Например:
-
HKEY_CURRENT_USER\SOFTWARE\WOW6432Node\Classes; -
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes; -
HKEY_CLASSES_ROOT\WOW6432Node.
Во всех выше перечисленных ветках есть подраздел CLSID, содержащий идентификаторы (GUID) класса. А дальше, в зависимости исходных данных атакующего, используются следующие подразделы:
-
InprocServer/InprocServer32— путь к dll-библиотеке, который будет подгружаться в процесс, вызванный COM-объектом; -
LocalServer/LocalServer32— путь к исполняемому файлу (.exe). В данном случае COM-объект запускается в новом процессе; -
TreatAs— перенаправляет на другой COM-объект, путем указанияCLSID; -
ProgID— текстовый идентификатор, который используется аналогичноCLSID.ProgIDвсегда сопоставляетсяCLSID, и на последующих шагах используется именно он; -
VersionIndependentProgID— аналогиченProgID, но имеет некоторые исключения.ProgIDможет содержать в себе версию COM-объекта и обслуживается непосредственно кодом приложения, в то время какVersionIndependentProgIDуказывает единый независимый от версии идентификатор. И в ответ уже сопоставляется сCLSIDпоследней версии объекта.
Как мы видим, существует достаточно большое разнообразие ключей реестра. Здесь может возникнуть вопрос: а как система понимает, каким именно из этих ключей воспользоваться? Дальше мы как раз и поговорим о порядке проверки и применении ключей в реестре, что позволит в будущем нам оценить все возможные варианты атаки.
Порядок проверки ключей в реестре
Согласно документации Microsoft, параметры, указанные для интерактивного пользователя в HKCU\Software\Classes, имеют приоритет над HKCR (HKLM). Если процесс запускается в интерактивном сеансе с правами администратор (т.е. уровень целостности выше среднего), и при этом UAC отключен, то применяется конфигурация, указанная в HKLM. Подробнее про UAC и методы его обхода можно почитать в статье моего коллеги. Процессы, которые не выполняются в контексте безопасности интерактивного пользователя, не используют HKCU и HKCR, а напрямую обращаются к HKEY_LOCAL_MACHINE\Software\Classes.
Итак, с приоритетом веток мы разобрались. Выбор между ProgID и CLSID тоже понятен — он зависит от обращение к COM-объекту: идет ли оно через GUID или используется текстовый идентификатор. А вот приоритет внутри CLSID между параметрами InprocServer, LocalServer и TreatAs пока не известен. Поэтому давайте проверим его на практике и для этого проведем небольшой эксперимент.
Выбор приоритета внутри CLSID
Как правило, сразу три параметра не указываются, но нам ничего не мешает сделать это. Для этого я создала два dll-файла (для ключей InprocServerи TreatAs) и exe (для ключа LocalServer) с разными MessageBox. Под спойлером представлен конфигурационный файл реестра для проведения эксперимента. В нем указаны сразу все три ключа, а также применение созданных мною соответствующих исполняемых файлов.
Конфигурация реестра
Для проведения эксперимента на устройстве применена следующая конфигурация реестра:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}]
@="ComHijacking"
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\InprocServer32]
@="C:\\hijacking_dll_treatas.dll"
"ThreadingModel"="Apartment"
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{72C34DD5-D70A-438B-8A42-98424B88AFB8}]
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{72C34DD5-D70A-438B-8A42-98424B88AFB8}\TreatAs]
@="{00000001-0000-0000-0000-0000FEEDACDC}"
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{72C34DD5-D70A-438B-8A42-98424B88AFB8}\InprocServer32]
@="C:\\hijacking_dll_inprocserver.dll"
"ThreadingModel"="Apartment"
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{72C34DD5-D70A-438B-8A42-98424B88AFB8}\LocalServer32]
@="C:\\hijacking_exe_localserver.exe"
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{72C34DD5-D70A-438B-8A42-98424B88AFB8}\ProgID]
@="Hijack.COM"
[HKEY_CURRENT_USER\SOFTWARE\Classes\Hijack.COM]
@=""
[HKEY_CURRENT_USER\SOFTWARE\Classes\Hijack.COM\CLSID]
@="{72C34DD5-D70A-438B-8A42-98424B88AFB8}"
Далее производится вызов COM-объекта по ProgID «Hijack.COM». На рисунке 1 видно, что заданных всех выше перечисленных параметров наивысший приоритет имеет TreatAs. В свою очередь, Process Monitor показывает, что было обращение только к ключу TreatAs, остальные ключи не проверялись (рисунок 2).
Ниже на рисунке 3 мы видим, что если из всех заданных ключей убрать TreatAs, а оставить LocalServer32 и InprocServer32, то в текущей ситуации приоритет будет иметь InprocServer32. При этом Process Monitor показывает, что сначала был запрос к TreatAs, но так как он не задан, запрос оказался безуспешным (рисунок 4). На следующем этапе было получено значение из InprocServer32, а потом из LocalServer32, но приоритет был отдан InprocServer32.
Логично, что убрав все ключи, кроме LocalServer32обращение будет произведено именно к нему (LocalServer32)(рисунок 5) . В то же время, Process Monitor показывает, что сохраняется последовательность обращений к реестру, но к TreatAs и InprocServer32 они безуспешны.
Подводя итог нашего эксперимента, сделаем вывод, что приоритет ключей в реестре определяется в следующем порядке: TreatAs > InprocServer32 > LocalServer32.
Интересно то, что приоритет этих ключей выше приоритета рассмотренных ранее веток. Это значит, что, например, наличие ключа InprocServer32 в HKCR приоритетнее, чем ключ LocalServer32 в HKCU. То есть более привилегированный ключ в менее привилегированной ветке будет иметь приоритет над менее привилегированным ключом в более привилегированной ветке реестра. Ниже показано это выглядит в схематичном виде:
Таким образом, определив приоритет выбора ключа, по которому будет исполняться COM-объект, мы поймем, что атакующий может этим воспользоваться и переопределить COM-объект, указав в более приоритетном ключе значение, ссылающееся на вредоносный объект.
Но то, какими правами нужно обладать для изменения этих ключей, разберем далее.
Права доступа на редактирование реестра
Как видно из рисунка 8, ветка HKCU может изменяться интерактивным пользователем без прав администратора.
HKEY_CURRENT_USER\Software\ClassesА дальше мы видим, что HKLM и HKCR требует прав локального администратора или SYSTEM для изменения (рисунки 9 и 10) . Согласно документации Microsoft, если вносить изменения в HKCR, то они буду прописываться в HKEY_LOCAL_MACHINE\Software\Classes.
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_CLASSES_ROOTВ Windows существует большое количество COM-объектов, а при установке дополнительного прикладного ПО, это количество только растет.
Тогда как же злоумышленнику определиться, какой COM-объект лучше всего атаковать? Для этого мы посмотрим, каким критериям должен соответствовать выбранный COM-объект, а затем разберем стратегии, которыми может пользоваться атакующий при выборе COM-объекта для атаки.
Выбор COM-объекта для атаки
Безусловно, можно создать новый COM-объект и дальше попытаться его вызвать, но чтобы сделать этого без «лишнего шума» лучше воспользоваться существующими ключами, которые могут быть уже настроены на вызов по какому-либо триггеру. Выбранный COM-объект должен соответствовать двум критериям: первый их них — часто запускаться, а второй — не ломать логику работы приложений.
Для выбора подходящего COM-объекта существует несколько стратегий, давайте их рассмотрим поподробнее.
Часто используемые COM-объекты
Первая стратегия будет основываться на использовании такого инструмента, как Process Monitor. Суть метода заключается в том, чтобы собрать события запросов к реестру с ключами InprocServer32, LocalServer32, TreatAs, ScriptletURL, ProgID или любой ключ в разделе \Classes\ (рисунок 11), а далее оценить какие COM-объекты наиболее часто используются (рисунок 12). При этом для удобства можно выгрузить в CSV файл, а далее в EXEL посчитать статистику.
На основании полученной оценки производится выбор наиболее подходящего COM-объекта для атаки COM-hijacking. О том, как используется выбранный объект дальше, я расскажу в последующих статьях.
Так с помощью данного метода можно обнаружить следующие COM-объекты:
|
Легитимное ПО |
GUID COM-объекта |
Легитимное значение по умолчанию |
Вредоносное ПО |
|
wmiprvse.exe |
{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA} |
|
Candiru |
|
firefox.exe |
{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d} |
|
Jumplump |
|
explorer.exe |
{42aedc87-2188-41fd-b9a3-0c966feabec1} |
|
Дроппер rtlstat.dll APT Space Pirates |
Отсутствующие в HKCU COM-объекты
Вторая стратегия также основывается на использовании Process Monitor, но в данном случае выбираются не самые популярные, а отсутствующие в HKCU COM-объекты (рисунок 13). В HKCU проверка проходит раньше, чем в HKCR. Исключение составляют процессы с высоким уровнем целостности. Это сделано для того, чтобы предотвратить повышение привилегий.
Полученный результат можно сохранить в CSV формате, а далее отфильтровать уникальные значения в EXEL. Или воспользоваться автоматизацией, «скормив» данный CSV-файл acCOMplice. Этот набор скриптов предназначен для изучения атаки COM-hijacking: с его помощью можно определить подходящий COM-объект для использования в атаке, а затем провести на выбранный объект атаку COM-hijacking. Так, например, функция Extract-HijackableKeysFromProcmonCSV выводит уникальные COM-объекты из CSV-файла (рисунок 14).
Использование обнаруженных COM-объектов вредоносным ПО представлено в таблице:
|
Легитимное ПО |
GUID COM-объекта |
Легитимное значение по умолчанию |
Вредоносное ПО |
|
explorer.exe |
{00020424-0000-0000-c000-000000000046} |
|
Saburex.A |
Фантомные COM-объекты
Третья стратегия базируется на выявлении COM-объектов, ссылающихся на несуществующие dll или exe файлы. Пример получения списка COM-объектов с отсутствующими исполняемыми файлами показан на рисунке ниже. Таким образом можно будет положить файл по требуемому пути с нужным именем и не изменять реестр. Подобные COM-объекты называются Phantom COM.
Такого же результата возможно добиться и с помощью утилиты acCOMplice, что наглядно отображено на рисунке 16. В функции Find-MissingLibraries осуществляется получение значений ключей реестра inprocserver и localserver в ветке HKCR\CLSID. Далее происходит проверка, на предмет существования на диске файла, полученного на предыдущем этапе из реестра. Дополнительно можно проверить права пользователя на данный файл. Если он не найден, то данный COM-объект является потенциальным для использования в атаке.
Если в представленной выше утилите для получения списка COM-объектов использовались запросы к реестру, то аналогичную информацию можно узнать с помощью wmi, выполнив командуgwmi Win32_COMSetting.
Использование обнаруженных COM-объектов вредоносным ПО представлено в таблице:
|
Легитимное ПО |
GUID COM-объекта |
Легитимное значение по умолчанию |
Вредоносное ПО |
|
microsoftedgeupdate.exe |
<> |
|
Trojan.Siggen17.58258 |
COM-объекты в запланированных задачах
Четвертый способ строится на анализе запланированных задач (ScheduledTask). Данный метод был автоматизирован с помощью powershell скрипта Get-ScheduledTaskComHandler. Он осуществляет проверку всех ScheduledTask, где в качестве обработчика назначен Custom handler (т.е. использование COM). Для этого скрипт получает описание запланированных задач в xml формате, которые располагаются по пути: C:\Windows\System32\Tasks. Далее выбираются только те задачи, у которых в качестве Actions используется ComHandler. По полученному CLSID из xml осуществляется поиск dll в реестре по пути HKCR:\CLSID\{GUID}\InprocServer32. Дополнительно происходит проверка, в каком контексте выполняется задача (InteractiveUsers, AllUsers, AnyUser) и выполняется ли задача при логоне пользователя или нет.
Просто запуск скрипта без каких-либо параметров выводит все задачи, использующие COM (рисунок 18).
Если использовать параметр -PersistenceLocations, то в результате мы получим список задач, которые можно использовать для закрепления в системе с помощью COM Hijacked, что видно на рисунке 19. В данном случае осуществляется дополнительная проверка того, что задача выполняется в пользовательском контексте и запускается при входе пользователя.
Данный способ покрывает сразу два этапа атаки: выбор COM-объекта и вызов вредоносного объекта при каждом входе пользователя. Атакующему остается только заменить COM-объект на вредоносный (об этом будет рассказано в последующих статьях).
Примеры COM-объектов, используемые атакующими
Также мною были проанализированы отчеты по ransomware и APT за последнее время. Опираясь на них, можно сделать вывод, что наиболее популярными COM-объектами у атакующих в данной атаке являются следующие объекты:
|
GUID COM-объекта |
Легитимное значение по умолчанию |
|
{BCDE0395-E52F-467C-8E3D-C4579291692E} |
|
|
{00021401-0000-0000-C000-000000000046} |
|
|
{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5} |
|
|
{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA} |
|
|
{7C857801-7381-11CF-884D-00AA004B2E24} |
|
|
{ddc05a5a-351a-4e06-8eaf-54ec1bc2dcea} |
|
|
{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d} |
|
|
{4590f811-1d3a-11d0-891f-00aa004b2e24} |
|
|
{4de225bf-cf59-4cfc-85f7-68b90f185355} |
|
|
{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} |
|
Такие COM-объекты по умолчанию присутствуют в Windows и часто вызываются легитимными процессами. Например, как можно заметить, часть из этих объектов относятся к WMI. Многие встроенные в Windows утилиты по типу tasklist.exe, systeminfo.exe и др., под капотом используют WMI и, следовательно, используют данные COM-объекты. Этот факт гарантирует атакующему, что после выполнения замены COM-объекта на вредоносный он будет вызываться в системе жертвы и при этом достаточно часто.
Заключение
В этой статье я рассмотрела базовые принципы устройства Component Object Model в Windows. Из всего выше сказанного особо важным является приоритет ключей InprocServer, LocalServer и TreatAs. Именно игра на приоритетах делает возможным проведение атаки COM-Hijacking. COM-объекты в ветке HKCU имеют больший приоритет, а также данная ветка дает права на запись для интерактивного пользователя, т.е. атакующему не требуется искать способы для повышения привилегий.
Кроме этого, мною были проанализированы четыре основных способа выбора COM-объекта, любым из которых можно воспользоваться. Уверена, данные способы не являются исчерпывающими. Но если цель атакующего — закрепление в системе, а атака COM-Hijacking относиться именно к закреплению, то важно учитывать, что выбранный COM-объект должен часто запускаться на устройстве жертвы и не ломать логику работы других процессов, использующих его.
Надеюсь данная статья оказалась для вас полезной! Если у вас появились вопросы, пишите в комментариях!
Update: А еще, у нас вышло продолжение материала. Тайная жизнь COM: погружение в методы Hijacking .
Автор: Кожушок Диана( @wildresearcher), аналитик-исследователь киберугроз в компании R-Vision
Безопасность при работе с WMI
В силу своей мощности технология WMI позволяет с помощью специальных утилит или сценариев производить различные потенциально опасные действия (например, остановку служб или перезагрузку компьютера). Причем на удаленной машине это выполнить (или, вернее сказать, попытаться выполнить) так же просто, как и на локальной — достаточно написать имя нужной машины в пути к объекту WMI. Поэтому вопросы безопасности при работе с WMI имеют очень большое значение.
В основном, конечно, технология WMI предназначена для администраторов операционной системы и вся система безопасности в WMI построена таким образом, чтобы по умолчанию с помощью утилит или сценариев WMI пользователь мог на определенной машине выполнить только те действия, на которые ему даны разрешения на этой машине (таким образом реализуется безопасность WMI на уровне операционной системы). То есть, если пользователю на уровне операционной системы не дано право перезагружать компьютер, он и с помощью WMI не сможет этого сделать.
Дополнительная политика безопасности в WMI реализована на уровне пространств имен и на уровне протокола DCOM (Distributed COM). Перед тем, как более подробно рассмотреть эти типы безопасности WMI, напомним основные общие понятия, связанные с безопасностью в Windows.
Безопасность в Windows NT/2000/XP основана на именах пользователей и их паролях. Когда в этих версиях Windows заводится пользователь, то его учетной записи присваивается уникальный идентификатор безопасности (Security IDentifier, SID). На основе SID для пользователя формируется маркер доступа (Access Token), в который также добавляется список групп, членом которых является пользователь, и список привилегий, которыми он обладает (например, остановка служб или выключение компьютера). Этот маркер доступа присваивается и всем процессам, которые запускает пользователь. Далее каждый объект операционной системы, доступ к которому определяет система безопасности (это может быть файл, процесс, служба и т. д.) имеет дескриптор безопасности (Security Descriptor, SD), в котором хранится таблица контроля доступа (Access Control List, ACL) для этого объекта. При обращении пользователя или процесса, запущенного пользователем, к объекту происходит сравнение маркера доступа этого пользователя с таблицей контроля доступа и в зависимости от результатов выдается или отклоняется разрешение на выполнение запрашиваемых действий над объектом.
Механизм безопасности WMI на уровне пространств имен соответствует общей модели безопасности Windows NT/2000/XP. Каждое пространство имен может иметь собственный дескриптор безопасности, в котором хранится таблица контроля доступа (ACL). Каждая запись таблицы контроля доступа (Access Control Entry, ACE) содержит информацию о том, какие права (разрешения) имеет определенный пользователь при выполнении различных операций в этом пространстве имен (список разрешений, используемых при работе с пространством имен, приведен в табл. 10.3).
Таблица
10.3.
Разрешения безопасности для пространства имен WMI
| Разрешение | Описание |
|---|---|
| Выполнение методов (Execute Methods) | Позволяет вызывать методы классов из определенного пространства имен. Будет ли при этом метод выполнен или произойдет отказ зависит от того, имеет ли пользователь разрешение на выполнение этой операции в операционной системе |
| Полная запись (Full Write) | Позволяет создавать и модифицировать подпространства имен, системные классы и экземпляры классов |
| Частичная запись (Partial Write) | Позволяет создавать и модифицировать любые статические классы и экземпляры несистемных классов |
| Запись поставщика (Provider Write) | Позволяет записывать в репозиторий CIM классы провайдеров WMI и экземпляры этих классов |
| Включить учетную запись (Enable Account) | Предоставляет право чтения пространства имен WMI. Пользователи, имеющие это разрешение, могут запускать на локальном компьютере сценарии, которые читают данные WMI |
| Включить удаленно (Remote Enable) | Разрешает пользователям получить доступ к пространству имен WMI на удаленном компьютере. По умолчанию этим разрешением обладают только администраторы, обычные пользователи не могут получать данные WMI с удаленных машин |
| Прочесть безопасность (Read Security) | Позволяет читать дескриптор безопасности для пространства имен WMI без возможности его модификации |
| Изменение правил безопасности (Edit Security) | Позволяет изменять дескриптор безопасности для пространства имен WMI |
Все записи таблицы контроля доступа сохраняются в репозитории WMI. Разрешения WMI, определенные для конкретного пространства имен, также применяются (наследуются) ко всем подпространствам имен и классам, которые определены в этом пространстве. Собственные разрешения безопасности для отдельного класса WMI определить нельзя.
В Windows NT/2000/XP по умолчанию группа администраторов обладает всеми разрешениями из табл. 10.3, а для остальных пользователей включена учетная запись (Enable Account), разрешено вызывать методы (Execute Methods) и записывать в CIM экземпляры классов провайдеров (Provider Write).
Администратор может изменить разрешения для определенных пользователей с помощью утилиты для настройки параметров WMI (оснастка wmimgmt.msc консоли управления MMC).
Для доступа к инфраструктуре WMI на удаленном компьютере используется коммуникационный протокол DCOM (Distributed COM). При этом пользователь, который запускает сценарий или подключается к WMI с помощью специальных утилит, выступает в качестве клиента, а объект WMI, к которому идет обращение, является сервером. Для того чтобы определить, какой маркер доступа будет применяться при работе с WMI на удаленном компьютере, используются стандартные уровни олицетворения протокола DCOM (DCOM Impersonation Levels), которые описаны в табл. 10.4.
Таблица
10.4.
Уровни олицетворения DCOM
| Уровень | Описание |
|---|---|
| Анонимный доступ (Anonymous) | Объект-сервер не имеет права получить информацию о пользователе или процессе, который обращается к данному объекту (иными словами, объект не может олицетворить клиента). Этот уровень олицетворения в WMI не используется |
| Идентификация (Identify) | Объект-сервер может запросить маркер доступа, связанный с клиентом, но не может произвести олицетворение. В сценариях WMI этот уровень олицетворения используется редко, т. к. в этом случае нельзя запускать сценарии WMI на удаленных машинах |
| Олицетворение (Impersonate) | Объект-сервер может пользоваться всеми правами и привилегиями, которыми обладает клиент. В сценариях WMI рекомендуется использовать именно этот уровень олицетворения, при этом сценарий WMI на удаленной машине сможет выполнять все действия, которые разрешено осуществлять пользователю, запустившему этот сценарий |
| Делегирование (Delegate) | Объект-сервер, к которому обращается клиент, может обратиться от имени клиента к другому объекту-серверу. Делегирование позволяет сценарию использовать на удаленной машине маркер доступа запустившего его пользователя, а также использовать этот маркер для доступа к объектам WMI на других рабочих станциях. Применение данного уровня олицетворения связано с потенциальным риском, поэтому делегирование в сценариях WMI следует применять только в случае особой необходимости |
Выбираемый по умолчанию уровень олицетворения зависит от версии WMI на целевом компьютере. В версиях WMI ниже 1.5 по умолчанию используется уровень Идентификация ( Identify ), в версии WMI 1.5 и выше — уровень Олицетворение (Impersonate). При необходимости можно изменить уровень олицетворения по умолчанию — для этого необходимо записать наименование нужного уровня (например, Impersonate или Delegate ) в следующий ключ реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Wbem\ Scripting\Default Impersonation Level
Протокол DCOM также предоставляет возможность запросить для соединения WMI определенный уровень аутентификации (проверки подлинности) и конфиденциальности (табл. 10.5).
Таблица
10.5.
Уровни проверки подлинности DCOM
| Уровень | Описание |
|---|---|
| Отсутствует (None) | Проверка подлинности отсутствует |
| По умолчанию (Default) | Для выбора уровня проверки подлинности используются стандартные настройки безопасности. Рекомендуется использовать именно этот уровень, т. к. здесь к клиенту будет применен уровень проверки подлинности, который задается сервером |
| Подключений (Connect) | Клиент проходит проверку подлинности только во время подключения к серверу. После того как соединение установлено, никаких дополнительных проверок не производится |
| Вызовов (Call) | Клиент проходит проверку подлинности в начале каждого вызова во время приема запросов сервером. При этом заголовки пакетов подписываются, однако сами данные (содержимое пакетов), передаваемые между клиентом и сервером, не подписываются и не шифруются |
| Пакетов (Pkt) | Проверке подлинности подвергаются все пакеты данных, которые поступают серверу от клиентов. Так же, как и при проверке подлинности на уровне вызовов, заголовки пакетов подписываются, но не шифруются. Сами пакеты не подписываются и не шифруются |
| Целостности пакетов (PktIntegrity) | Все пакеты данных проходят проверку подлинности и целостности, т. е. проверяется, что содержимое пакета не было изменено во время передачи от клиента серверу. При этом данные подписываются, но не шифруются |
| Секретности пакетов (PktPrivacy) | Все пакеты данных проходят проверку подлинности и целостности, при этом данные подписываются и шифруются, что обеспечивает конфиденциальность передаваемых данных |
Отметим, что DCOM может и не установить запрашиваемый уровень проверки подлинности. Например, при локальной работе с WMI всегда используется уровень секретности пакетов (PktPrivacy). Нужные уровни олицетворения и проверки подлинности можно указать в явном виде в момент соединения с WMI (этот процесс описан в
«Сценарии WSH для работы с объектной моделью WMI»
).
1.
Безопасность уровня
операционных систем
LOGO
2. Виды “дыр” в компьютерной сети
Типы дыр в операционной системе Windows:
Удаление информации, случайно оставшейся на свободном месте вашего
жесткого диска, не может удалить ту конфиденциальную информацию,
которая была помещена ОС Windows в части других файлов;
Удаление концов файлов не может надежно удалить ту информацию, которая
оказалась записанной внутри файлов, создаваемых такими программами, как
Word Excel.
Известная
всем
многозадачность
ОС
Windows,
которая
позволяет
одновременно выполнять несколько программ, может выдать вашим врагам
конфиденциальные документы, пароли и даже шифровальные ключи;
Каждый раз при распечатке очередного документа ОС Windows оставит на
жестком диске незашифрованную копию этого документа несмотря на то, что
вы тщательно зашифровали свою копию. Многие программы, с которыми вы
работаете, также оставляют после своей работы копии конфиденциальной
информации во временных директориях;
Файловая система ОС Windows может игнорировать команду, полученную от
криптографической программы, которая требует переписать случайными
данными то место на диске компьютера, где размещались копии
конфиденциальных файлов, после того, как файлы были зашифрованы и
должны были быть надежно удалены (переписаны случайными данными). В
результате, конфиденциальная
информация может остаться на вашем
жестком диске в открытом виде несмотря на то, что вы дали команду
уничтожить файлы с информацией через интерфейс криптографической
программы;
3. 7 наиболее распространенных угроз
Угроза 1. Физические атаки
Угроза 2. Кража паролей
Угроза 3. Назойливое сетевое соседство
Угроза 4. Вирусы, черви и другие «враждебные» программы
Угроза 5. Внешние «враги» и создатели троянских коней
Угроза 6. Вторжение в сферу частных интересов
Угроза 7. Фактор электронной почты
Company Logo
4. Задачи системы безопасности Windows NT
Управление доступом
Контроль
Безопасность хранения данных
Company Logo
5. Процесс авторизации
Процесс ввода в систему (logon processes)
Распорядитель локальной безопасности (local
security authority, LSA)
Диспетчер бюджетов безопасности (Security
Accounts Monitor, SAM)
Монитор безопасности (Security Reference
Monitor, SRM)
Company Logo
6. Процесс ввода в систему
Регистрация пользователей
Идентификация
Аутентификация
Авторизация
Авторизация
– ––
Идентификация
Аутентификация
процедура
предоставления
субъекту
определенных
доступа к
процедура
субъекта
по
его идентификатору.
процедура распознавания
проверки подлинности
субъекта,
котораяправ
позволяет
ресурсам
системы
после
прохождения
им предъявивший
процедуры
достоверно
убедиться
в том,
что субъект,
свой
аутентификации.
идентификатор, на самом деле является тем субъектом,
идентификатор которого он использует.
7. LSA
Сервер проверки подлинности локальной
системы безопасности (англ. Local Security
Authority Subsystem Service, LSASS) — часть
операционной системы Windows, отвечающая за
авторизацию локальных пользователей
отдельного компьютера. Сервис является
критическим, так как без него вход в систему
для локальных пользователей (не
зарегистрированных в домене) невозможен в
принципе.
Процесс проверяет данные для авторизации,
при успешной авторизации служба выставляет
флаг о возможности входа. Если авторизация
была запущена пользователем, то также
ставится флаг запуска пользовательской
оболочки. Если авторизация была
инициализирована службой или приложением,
данному приложению предоставляются права
данного пользователя.
Company Logo
8. SAM
SAM (англ. Security Account Manager) Диспетчер
учётных записей безопасности — RPC-сервер
Windows, оперирующий базой данных учетных
записей.
SAM выполняет следующие задачи:
Идентификация субъектов (трансляции имен в
идентификаторы (SID’ы) и обратно);
Проверка пароля, авторизация (участвует в
процессе входа пользователей в систему);
Хранит статистику (время последнего входа,
количества входов, количества некорректных
вводов пароля);
Хранит настройки политики учетных записей и
приводит их в действие (политика паролей и
политика блокировки учетной записи);
Хранит логическую структуру группировки
учетных записей (по группам, доменам,
алиасам);
Company Logo
9. SAM
Контролирует доступ к базе учетных записей;
Предоставляет программный интерфейс для
управления базой учетных записей.
База данных SAM хранится в реестре (в ключе
HKEY_LOCAL_MACHINE\SAM\SAM), доступ к
которому запрещен по умолчанию даже
администраторам.
SAM-сервер реализован в виде DLL-библиотеки
samsrv.dll, загружаемой lsass.exe. Программный
интерфейс для доступа клиентов к серверу
реализован в виде функций, содержащихся в
DLL-библиотеке samlib.dll.
Company Logo
10. Модель доступа к объектам
Объектная модель защиты
Дескрипторы безопасности (SD, Security Descriptor)
DACL англ.Discretionary Access Control List
ACL
SACL англ.System Access Control List
Active Directory (активные директории Windows NT (1999 г),
реализация службы каталогов NT Directory Service, NTDS)
Encrypting File System (EFS) – система шифрования файлов
11. Дескрипторы безопасности
Каждому контейнеру и объекту в сети
назначается набор данных, относящихся к
управлению доступом. Этот набор данных,
называемый дескриптором безопасности,
определяет, какой тип доступа разрешается
пользователям и группам. Дескриптор
безопасности создается автоматически вместе с
контейнером или объектом. Типичным
примером объекта с дескриптором безопасности
является файл.
Company Logo
12. Дескрипторы безопасности
Разрешения определяются в дескрипторе
безопасности объекта. Разрешения
сопоставляются, или назначаются, конкретным
пользователям или группам. Например, группе
«Администраторы» могут быть назначены
разрешения на чтение, запись и удаление файла
Temp.dat, а группе «Операторы» — только на его
чтение и запись.
Каждое назначение разрешений пользователю или
группе называется элементом разрешения,
который является видом записи управления
доступом (ACE). Весь комплект элементов
разрешений в дескрипторе безопасности
называется набором разрешений, или таблицей
управления доступом (ACL). Так, набор
разрешений для файла Temp.dat включает два
элемента: один для группы «Администраторы»,
другой для группы «Операторы».
Company Logo
13. DACL и SACL
Списки DACL обеспечивают программное
управление доступом к защищенным ресурсам,
в то время как списки SACL обеспечивают
программное управление политиками аудита
системы для защищенных ресурсов.
Например, с помощью DACL можно обеспечить
возможность чтения файла только
администратором; с помощью SACL можно
обеспечить запись в журнал всех успешных
попыток открытия файла.
Company Logo
14. DACL
DACL, англ. Discretionary Access Control List —
список избирательного управления доступом,
контролируемый владельцем объекта и
регламентирующий права пользователей и
групп на действия с объектом (чтение, запись,
удаление и т. д.)
Company Logo
15. SACL
SACL, англ. System Access Control List — список
управления доступом к объектам Microsoft
Windows, используемый для аудита доступа к
объекту.
SACL — это традиционный механизм логирования
событий, который определяет, как проверяется
доступ к файлам и папкам. В отличие от DACL,
SACL не может ограничивать доступ к файлам и
папкам. Но он может отследить событие,
которое будет записано в журнал событий
безопасности(security event log), когда
пользователь обратится к файлу или папке. Это
отслеживание может быть полезно при решении
проблем доступа или при определении
запрещенного проникновения.
Company Logo
16. Active Directory
Active Directory («Активный каталог», AD) — LDAPсовместимая реализация службы каталогов
корпорации Microsoft для операционных систем
семейства Windows Server. Позволяет
администраторам использовать групповые
политики для обеспечения единообразия
настройки пользовательской рабочей среды,
разворачивать программное обеспечение на
множестве компьютеров через групповые
политики или посредством System Center
Configuration Manager (ранее — Microsoft Systems
Management Server), устанавливать обновления
операционной системы, прикладного и серверного
программного обеспечения на всех компьютерах в
сети, используя Службу обновления Windows
Server. Хранит данные и настройки среды в
централизованной базе данных. Сети Active
Directory могут быть различного размера: от
нескольких десятков до нескольких миллионов
объектов.
Company Logo
17. Система шифрования файлов (EFS)
Encrypting File System (EFS) — система
шифрования данных, реализующая
шифрование на уровне файлов в операционных
системах Microsoft Windows NT (начиная с
Windows 2000 и выше), за исключением
«домашних» версий (Windows XP Home Edition,
Windows Vista Basic и Windows Vista Home
Premium). Данная система предоставляет
возможность «прозрачного шифрования»
данных, хранящихся на разделах с файловой
системой NTFS, для защиты потенциально
конфиденциальных данных от
несанкционированного доступа при физическом
доступе к компьютеру и дискам.
Company Logo
18. Система шифрования файлов (EFS)
Аутентификация пользователя и права доступа к
ресурсам, имеющие место в NT, работают, когда
операционная система загружена, но при
физическом доступе к системе возможно
загрузить другую ОС, чтобы обойти эти
ограничения. EFS использует симметричное
шифрование для защиты файлов, а также
шифрование, основанное на паре
открытый/закрытый ключ для защиты случайно
сгенерированного ключа шифрования для
каждого файла. По умолчанию закрытый ключ
пользователя защищён с помощью шифрования
пользовательским паролем, и защищённость
данных зависит от стойкости пароля
пользователя.
Company Logo
19. Система шифрования файлов (EFS)
Система шифрования
файлов (EFS)
Алгоритм шифрования/расшифрования файлов
Company Logo
20.
Управление доступом к
объектам
Использование файловой системы
NTFS
Company Logo
21. NTFS
NTFS — стандартная файловая система для
семейства операционных систем Windows NT
фирмы Microsoft.
NTFS поддерживает разграничение доступа к
данным для различных пользователей и групп
пользователей (списки контроля доступа —
англ. access control lists, ACL), а также
позволяет назначать дисковые
квоты(ограничения на максимальный объём
дискового пространства, занимаемый файлами
тех или иных пользователей)
Company Logo
22. Уровень защищённости C2
Основные требования:
Владелец ресурса (например, файла) должен иметь возможность
управлять доступом к ресурсу.
Операционная
система
должна
защищать
объекты
от
несанкционированного
использования
другими
процессами.
Например, система должна защищать память так, чтобы ее
содержимое не могло читаться после освобождения процессом, и
после удаления файла не допускать обращения к данным файла.
Перед получением доступа к системе каждый пользователь должен
идентифицировать себя, вводя уникальное имя входа в систему и
пароль. Система должна быть способна использовать эту уникальную
идентификацию для контроля действий пользователя.
Администратор системы должен иметь возможность контроля
связанных с безопасностью событий (audit security-related events).
Доступ к этим контрольным данным должен быть ограничен
администратором.
Система должна защищать себя от внешнего вмешательства типа
модификации выполняющейся системы или хранимых на диске
системных файлов.
23. Модель безопасности Windows 2000
Протоколы безопасности сети
LAN Manager
NTLM
Kerberos
NTLM
(NT LAN Manager)
Протокол LAN
Kerberos
Протокол
Manager
усложнена
аутентификация
при использовании
метода «запрос-ответ»
модель непрямой
аутентификации
— использование
метода
«запрос-ответ»
для аутентификации
сетевых служб
сохранилась
14-символьное
ограничение
на длинуаутентификационных
пароля,
однако
может использовать
централизованное
хранение
— хеширование
вводимого
пароля
и его последующее
сравнение
с
появилась
возможность
использования
в пароле
любых символов
из набора
данных и является
основой
механизмов
(Single Sign-On)
хешированным
значением
в для
базепостроения
данных
символов
Unicode
механизм
взаимной
аутентификации
— 14-символьное
ограничение
на длинуклиента
пароля и сервера перед
-установлением
впервые применен
ОС Windows
связивмежду
ними NT
— впервые применен в ранних версиях ОС Windows
— протокол основан на понятии ticket, который является зашифрованным
пакетом данных, выданным центром аутентификации
— впервые применен в ОС Windows 2000
24. Основные новшества в системе безопасности Windows 2000
Улучшение средств аутентификации в сети:
Аутентификация Kerberos
Применение сертификатов
Поддержка смарт-карт
Безопасность хранения данных:
Файловая система NTFS
Шифрующая файловая система
Квотирование дисков
Контроль изменений
Сетевая безопасность
Возможность шифрования данных,
передаваемых по сети IPsec
Фильтрация пакетов IP
Company Logo
Поддержка VPN
25. Стратегия безопасности Windows XP
Аутентификация
Авторизация
Группы безопасности
Политика групп
Шифрование
Администраторы (Administrators)
Опытные пользователи (Power Users)
Пользователи (Users)
Гости (Guests)
26. Ограничение на учетные записи с пустыми паролями в Windows XP
Для безопасности пользователей, не защитивших свою
учетную запись паролем, в Windows XP Professional такие
учетные записи разрешено применять только для входа в
систему компьютера с его консоли.
Шифрованная файловая система (Encrypting File System, EFS)
Шифрование базы данных автономных файлов
27. Управляемый доступ к сети в Windows XP
Windows XP содержит встроенную подсистему
безопасности для предотвращения вторжений. Ее работа
базируется на ограничении прав любого, кто пытается
получить доступ к компьютеру из сети до привилегий
гостевой учетной записи.
В Windows XP Professional по умолчанию все пользователи, вошедшие
по сети, работают под учетной записью Guest. Это исключает для
злоумышленника возможность войти в систему через Интернет под
локальной учетной записью Администратор (Administrator), у которой
нет пароля.
28. Упрощенное совместное использование ресурсов в Windows XP
Модель совместного использования и безопасности для
локальных учетных записей позволяет выбрать модель
безопасности на основе применения исключительно
гостевой учетной записи (Guest) либо классическую (Classic)
модель безопасности.
В гостевой модели при любых попытках войти в систему локального
компьютера через сеть применяется только гостевая учетная запись.
В классической модели пользователи при доступе через сеть входят в
систему локального компьютера под своими учетными записями.
На компьютерах в составе домена эта политика не применяется, а по
умолчанию используется гостевая учетная запись.
29. Корпоративная безопасность Windows XP
В Windows XP имеются предопределенные шаблоны
безопасности, обычно используемые без изменений или как
основа для особой настройки конфигурации безопасности.
Эти шаблоны безопасности применяются при:
создании ресурса, такого как общая папка или файл;
при этом вы вправе воспользоваться заданными по умолчанию ACL или настроить
их в соответствии со своими потребностями
распределении пользователей по стандартным группам безопасности,
таким как Users, Power Users и Administrators, и принятии заданных по
умолчанию параметров ACL
использовании предоставляемых ОС шаблонов групповой политики –
Basic (основной), Compatible (совместимый), Secure (безопасный) или Highly Secure
(высокобезопасный)
30. Службы сертификации Windows XP
Службы сертификации — это компонент базовой ОС,
позволяющий ей выполнять функции центра сертификации
(certification authority, CA), или ЦС, в том числе выпускать
цифровые сертификаты и управлять ими.
Хранилище сертификатов с открытыми ключами
Хранение закрытых ключей
Автоматический запрос сертификата пользователя
Запросы в ожидании и обновление сертификатов
31. Личная конфиденциальность в Windows XP
Возможности обеспечения личной конфиденциальности в Windows
XP Professional такие же, как и в Windows XP Home Edition. Они
различаются при работе в домене или в составе рабочей группы и в
изолированном режиме. В домене применяется назначенная
администратором политика.
32. Доступ к Интернету – Internet Connection Firewall
Межсетевой экран Internet Connection Firewall в Windows XP
Professional обеспечивает защиту настольных и переносных
компьютеров при подключении к Интернету — особенно в случае
постоянных подключений, таких как кабельные модемы и DSL.
Параметры групповой политики, относящиеся к безопасности
Существуют определенные политики управления паролем:
— определение минимальной длины пароля
— настройка интервала между обязательной сменой пароля
— управление доступом к ресурсам и данным
33. Политика ограничения используемых приложений в Windows XP
Эта политика предоставляет администраторам механизм
определения и управления ПО, работающим в домене. Она позволяет
ограничить круг приложений только разрешенным к выполнению
ПО и запрещает работу нежелательных приложений, среди которых
вирусы и «троянцы», а также другое ПО, вызывающее конфликты.
Политика ограничения применяется и на изолированных
компьютерах при конфигурировании политики локальной защиты.
Она также интегрируется с групповой политикой и Active Directory.
Можно задать разные политики ограничения используемых
приложений для различных подмножеств пользователей или
компьютеров.
34. Протокол IPSec в Windows XP
Безопасность IP-сетей — почти стандартное требование в нынешнем
деловом мире с Интернетом, интрасетями, отделениями и удаленным
доступом. Поскольку конфиденциальная информация постоянно
пересылается по сети, сетевые администраторы и другие специалисты
службы поддержки должны обеспечить защиту этого трафика от:
изменения данных при пересылке
перехвата, просмотра и копирования
несанкционированного олицетворения определенных ролей
перехвата и повторного использования для получения доступа к
конфиденциальным ресурсам
35. Поддержка смарт-карт в Windows XP
Смарт-карта — это устройство с интегральной схемой,
предназначенное для безопасного хранения открытых и закрытых
ключей, паролей и прочей личной информации. Она служит для операций
шифрования с открытым ключом, проверки подлинности, введения
цифровой подписи и обмена ключами.
Смарт-карта представляет собой следующие функции:
—
—
особо защищенное хранилище для закрытых ключей и другой частной информации;
изоляцию чрезвычайно важных для безопасности вычислений, в том числе проверки
подлинности, цифровой подписи и обмена ключами, от других компонентов системы,
которые напрямую не работают с этими данными;
свободу перемещения реквизитов пользователей и другой частной информации между
компьютерами на работе и дома, а также удаленными компьютерами
36. Как защитить себя?
Формирование всестороннего плана по
поддержке мер безопасности:
Своевременная установка патчей
Обеспечение физической защиты
Применение замысловатых паролей
Установка антивирусного программного обеспечения
Использование программ-брандмауэров
Резервное копирование данных
АрхивСофтерра
Операционная система Windows 7 содержит массу принципиальных изменений не только в пользовательском интерфейсе, но и в компонентах, отвечающих за безопасность продукта и хранящихся на компьютере данных.
Для корпорации Microsoft информационная безопасность пользователей Windows всегда стояла во главе угла и по сей день остается приоритетом номер один. По этому поводу можно иронизировать сколько угодно, однако что правда — то правда. Компания упорно и практически непрерывно (разработка-то идёт чуть ли не во всех часовых поясах!) совершенствует механизмы защиты своих операционных систем и с каждым новым поколением внедряет решения, повышающие уровень безопасности. Ярким примером работы в этом направлении может служить Windows 7 — система, построенная на прочном фундаменте безопасности Windows Vista и вобравшая в себя последние наработки в данной области. О том, чем может порадовать пользователей «семёрка» в плане безопасности, рассказывает данный материал.
Центр поддержки Windows 7
Владельцы компьютеров с Vista наверняка успели оценить удобство центра обеспечения безопасности Windows. В новой версии операционной системы специалисты компании Microsoft существенно расширили возможности этого инструмента и присвоили ему новое говорящее название — центр поддержки. В отличие от «Висты», обновленный компонент информирует пользователя не только о проблемах безопасности Windows 7, но и обо всех других событиях, степень значимости которых можно оценивать по цветовой окраске сообщений. С помощью центра поддержки не составит труда убедиться, что система функционирует без ошибок, брандмауэр включен, антивирусные приложения обновлены и компьютер настроен для автоматической установки обновлений и резервного копирования важных данных. В случае выявления неполадок центр обновления Windows 7 выполнит поиск доступных решений в Интернете и приведёт ссылки на программные средства для устранения возникших ошибок.
Контроль учётных записей пользователей
В Windows 7 эволюционировал вызывавший много споров среди продвинутых пользователей механизм контроля учётных записей, известный также как User Account Control. В «семёрке» UAC стал гораздо менее навязчивым и обзавелся дополнительными параметрами, руководствуясь которыми можно гибко настраивать функцию контроля учётных записей и значительно сокращать количество запросов на подтверждение тех или иных действий, требующих администраторских полномочий в системе. User Account Control помогает предотвратить незаметное проникновение вредоносного кода на компьютер и поэтому отключать систему защиты (а такая опция предусмотрена) не рекомендуется.
Шифрование дисков при помощи BitLocker
Механизм шифрования содержимого жёстких дисков, дебютировавший в «Висте», также мигрировал с некоторыми улучшениями в состав корпоративной (Enterprise) и максимальной (Ultimate) редакций Windows 7. Если в предыдущей версии системы приходилось для включения функции криптографической защиты данных вручную разбивать диск на два раздела, то теперь «семёрка» автоматически резервирует место на носителе на этапе установки операционки. Помимо этого в Windows 7 появился агент восстановления данных и была реализована возможность шифрования средствами BitLocker не только системного, но и всех других разделов диска с файловой системой NTFS1. Обратим внимание читателей на тот факт, что в отличие от системы EFS, позволяющей шифровать отдельные файлы, BitLocker выполняет криптографическую защиту всех файлов на выбранном носителе или разделе диска. Подобный подход существенно улучшает защиту данных от несанкционированного доступа при физическом доступе к компьютеру и дискам.
BitLocker To Go на страже мобильных носителей
Дальнейшим развитием технологии BitLocker стала появившаяся в Windows 7 функция BitLocker To Go, обеспечивающая надёжную защиту данных на съёмных носителях (флэшках и внешних жёстких дисках) даже в том случае, если устройство оказывается потерянным или украденным. При этом важной особенностью является то, что новый механизм шифрования взаимодействует не только с портативными носителями, отформатированными в NTFS, но и с FAT, FAT32 и ExFAT-разделами. С защищёнными средствами BitLocker To Go дисками можно работать в предыдущих версиях операционных систем Microsoft — Windows XP и Vista. Правда, только в режиме чтения.
Технология AppLocker для контроля используемого на компьютере ПО
Администраторам предприятий различного масштаба часто приходится анализировать используемые сотрудниками приложения и ограничивать доступ к определенным программным продуктам, запуск которых может создать угрозу безопасности корпоративной сети. Для решения данной задачи в Windows 7 включён усовершенствованный вариант инструмента Software Restriction Policies, получивший название AppLocker. Он проще в использовании, а его новые возможности и расширяемость снижают затраты на управление и позволяют вести аудит запускаемых программ, а также гибко манипулировать правилами доступа к определённым приложениям и файлам, используя различные правила и условия вплоть до цифровых подписей продуктов. AppLocker настраивается в рамках домена с помощью групповой политики или на локальном компьютере в оснастке локальных политик безопасности.
Блокирование сетевых угроз
От сетевых атак компьютеры под управлением Windows защищает брандмауэр. В «семёрке» он также обеспечивает крепкую линию обороны от многих типов вредоносных программ. Как и межсетевой экран Windows Vista SP2, брандмауэр «семёрки» автоматически включается после инсталляции и тщательно фильтрует как входящий, так и исходящий трафик, своевременно информируя пользователя о подозрительной сетевой активности в операционной системе. В «Висте» в каждый момент времени мог функционировать только один сетевой профиль. В Windows 7 это ограничение было снято, и в системе появилась возможность использовать одновременно несколько активных профилей, по одному на сетевой адаптер. Преимущества такого нововведения очевидны. Можно, к примеру, сидя в кафе, где есть беспроводная точка доступа, подключаться через VPN (Virtual Private Network) к корпоративной сети и при этом быть уверенным в том, что брандмауэр Windows 7 применит общий профиль к WiFi-адаптеру, а профиль домена активирует для VPN-туннеля.
Защищённый доступ к ресурсам корпоративной сети
Раз уж речь зашла о VPN-подключениях, то нелишне будет обратить внимание читателей на DirectAccess — новую технологию корпорации Microsoft, обеспечивающую защищенное соединение с корпоративной сетью для удаленных пользователей, работающих через публичные сети. Основное отличие DirectAccess от VPN состоит в том, что безопасное соединение устанавливается в фоновом режиме без участия пользователя. Такой подход позволяет сделать максимально простой и удобной работу мобильных сотрудников без снижения обеспечиваемого уровня безопасности. Работа с новой функцией возможна только в том случае, если на компьютерах пользователей установлена корпоративная или максимальная редакция Windows 7, а на серверах компании используется платформа Windows Server 2008 R2.
Технологии биометрической безопасности
Устройства, предназначенные для идентификации пользователей по отпечаткам пальцев, можно было использовать и в прежних версиях операционных систем компании Microsoft. Для этого приходилось довольствоваться программными решениями сторонних разработчиков. В Windows 7 имеются собственные биометрические драйверы и программные компоненты, которые могут использовать не только владельцы компьютеров, оснащённых устройствами чтения отпечатков пальцев, но и разработчики сторонних софтверных организаций. Для настройки биометрических устройств предусмотрено одноимённое меню в панели управления операционной системы.
Безопасный Интернет с Internet Explorer 8
В состав Windows 7 входит браузер Internet Explorer 8, который характеризуется развитыми средствами обеспечения безопасности. Достаточно упомянуть функцию подсвечивания домена второго уровня, которая позволяет вовремя заметить неладное и избежать уловки сетевых мошенников, заманивающих пользователей на поддельный сайт с похожим на известное доменным именем, отказ от административных привилегий при запуске ActiveX, а также технологию Data Execution Prevention. Суть последней заключается в том, что когда браузер попытается выполнить какой-либо код, находящейся в памяти, система попросту не даст ему это сделать. В браузере имеются модель предупреждения XSS-атак (Cross-Site Scripting), а также система SmartScreen, генерирующая уведомления при попытке посещения потенциально опасных сайтов и защищающая от вредоносного ПО. Средства Automatic Crash Recovery позволяют восстановить все ранее открытые вкладки после аварийного завершения работы приложения, а режим просмотра веб-страниц InPrivate позволяет не оставлять следов при работе на компьютерах общего доступа.
Защитник Windows
Для защиты от шпионского программного обеспечения в состав Windows 7 включён специальный модуль, автоматически запускаемый при каждой загрузке операционной системы и выполняющий сканирование файлов как в режиме реального времени, так и по заданному пользователем расписанию. В целях регулярного обновления сигнатур вредоносных приложений защитник Windows использует центр обновления для автоматической загрузки и установки новых определений по мере их выпуска. Кроме того, защитник Windows может быть настроен на поиск обновлённых определений в Интернете перед началом проверки хранящихся на диске компьютера данных. Любопытной особенностью антишпионского модуля является умение работать в тандеме с сетевым сообществом Microsoft SpyNet, призванным научить пользователей адекватно реагировать на угрозы, исходящие от шпионских программ. Например, если защитник Windows обнаруживает подозрительное приложение или внесенное им изменение, которые ещё не получили оценки степени опасности, можно просмотреть, как другие участники сообщества отреагировали на такое же предупреждение, и принять верное решение.
Антивирус Microsoft Security Essentials — теперь и для российских пользователей!
В дополнение к перечисленным выше технологиям безопасности, Microsoft также предлагает Microsoft Security Essentials — бесплатное антивирусное решение, которое обеспечивает надежную защиту компьютера от всех возможных угроз, в том числе от вирусов, шпионских программ, руткитов и троянов. Microsoft Security Essentials работает тихо и незаметно в фоновом режиме, не ограничивая действия пользователей и не замедляя работу любых, даже низкопроизводительных компьютеров. Предлагаемый компанией Microsoft антивирус прост в использовании, оснащён интуитивно понятным интерфейсом, содержит самые современные технологии для защиты от вирусов и соответствует всем нормам в области компьютерной безопасности.
Microsoft Security Essentials: мнение участников рынка и специалистов
Павел Черкашин, руководитель департамента по продвижению потребительского программного обеспечения и онлайн-продуктов Microsoft в России: «Мы регулярно слышим от пользователей, что они хотят обеспечить постоянную защиту своему компьютеру, но часто не готовы приобретать отдельные антивирусные программы. Microsoft Security Essentials предоставляет надёжную защиту от вредоносного ПО без лишних затрат и усилий. Этот продукт доступен широкому кругу потребителей и прост в использовании. Мы уверены, что российские пользователи по достоинству его оценят».
Сергей Ильин, управляющий партнер Anti-Malware.ru: «Несмотря на все усилия антивирусных вендоров, по различным оценкам только на 60% персональных компьютеров установлено антивирусное ПО. Около 40% компьютеров не имеют антивирусной защиты и в результате могут стать своего рода рассадником заразы. Идея нового Microsoft Security Essentials заключается как раз в том, чтобы пользователи Windows получили качественную и, что очень важно, бесплатную антивирусную защиту. Её эффективность, согласно результатам нашего последнего теста, выше, чем у многих платных продуктов. Новинка вполне способная обеспечить достаточный для большинства обычных пользователей уровень защиты».
Виктор Урусов, директор по продуктовому маркетингу и системной интеграции DEPO Computers: «Повышение безопасности компьютерной системы является важнейшей задачей, и мы приветствуем усилия Microsoft в этом направлении. Со своей стороны мы готовы обеспечить предустановку этого антивируса на компьютерах DEPO. Уверены, что потребители это оценят».
Многие зарубежные пользователи Windows 7 оценили удобный интерфейс приложения, простоту установки, настройки и быстроту работы антивирусного решения Microsoft. Начиная с сегодняшнего дня, вкусить все прелести Microsoft Security Essentials могут и отечественные пользователи. Именно сегодня, 16 декабря корпорация Microsoft открывает российским пользователям доступ к русифицированной версии антивируса и предоставляет техническую поддержку продукта на русском языке. Русифицированную версию Microsoft Security Essentials можно скачать с сайта microsoft.com/security_essentials/?mkt=ru-ru, естественно, совершенно бесплатно. Этот продукт установлен на компьютерах доброй половины нашей редакции (не считая, разумеется, маководов) и заставляет забыть о бесплатных аналогах других разработчиков. Да и платных порой тоже.
1. Справедливости ради отметим, что функция шифрования любых разделов жёсткого диска имеется и в Windows Vista с установленным Service Pack 1. [вернуться]
