|
Руководство по безопасности Windows ® 7 Набор средств по управлению соответствием требованиям безопасности
| | bet | 69/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
Для снижения описанных рисков разглашения данных можно использовать шифрование информации на жестком диске. Усовершенствования технологии EFS в ОС Windows 7 позволят при этом достичь следующих результатов.
-
Злоумышленник не сможет прочитать зашифрованные файлы, используя другую операционную систему, если у него не будет ключа расшифровки. Для повышения защиты такой ключ можно хранить на смарт-карте.
-
Групповая политика позволяет повысить стойкость шифрования, используемую EFS.
-
Злоумышленник не сможет добраться до пользовательских данных с помощью атаки подбора пароля, если ключ EFS, принадлежащий пользователю, хранится на смарт-карте, или если вместе с EFS используется шифрование BitLocker, охраняющее хэш пароля и кэшированные учетные данные.
-
Злоумышленник не сможет получить доступ к конфиденциальным данным пользователя, если с помощью групповой политики включить обязательное шифрование папки «Документы». Используя же сценарий входа, можно включить шифрование и для других расположений, в том числе для всего раздела с данными пользователя.
-
Использование EFS позволяет шифровать данные на нескольких дисках и общих сетевых папках.
-
Использование EFS позволяет защищать содержимое системного файла подкачки и кэша автономных файлов.
Анализ мер по снижению риска
Используя файловую систему EFS в ОС Windows 7, можно снизить риски, описанные в предыдущем разделе, «Оценка рисков». Однако, перед развертыванием EFS стоит учесть следующие соображения.
-
Необходимо разработать и проверить работоспособность способов управления ключами и восстановления данных. В отсутствие надежных, проверенных процедур можно потерять доступ к особо важной информации при утере ключей.
-
В нормальных условиях EFS не оказывает сколько-нибудь заметного влияния на производительность. Если уровень производительности системы чрезвычайно важен, стоит провести тщательное тестирование степени влияния EFS на работу пользователей.
-
Если предприятию необходимо соответствовать стандарту Suite B, потребуется начать использование алгоритма ECC.
-
Если включить на томе шифрование EFS, использовать сжатие файлов на том же томе не получится.
-
При необходимости следует развернуть и протестировать дополнительные сценарии, устанавливающие шифрование охраняемых расположений.
-
Пользователей и ИТ-персонал необходимо обучить во избежание следующих проблем:
-
копирование файлов из зашифрованного расположения в незашифрованное, что оставляет их на диске открытым текстом;
-
не включенное по незнанию шифрование скрытых папок, где приложения хранят резервные копии файлов, с которыми идет работа.
-
Необходимо тщательно протестировать выбранную конфигурацию EFS, проверяя, что шифрование используется для всех важных расположений, включая «Документы», «Рабочий стол» и папки для временных файлов.
|
| |
