|
Руководство по безопасности Windows ® 7 Набор средств по управлению соответствием требованиям безопасности
|
bet | 57/91 | Sana | 18.02.2022 | Hajmi | 1,32 Mb. | | #15622 | Turi | Руководство |
Ситуация
|
BitLocker
|
EFS
|
RMS
|
Управление устройствами
|
Защита данных на переносных компьютерах
|
|
|
|
|
Защита данных на сервере в филиале
|
|
|
|
|
Защита файлов и папок отдельного локального пользователя
|
|
|
|
|
Защита данных настольного компьютера
|
|
|
|
|
Защита съемного диска
|
|
|
|
|
Защита файлов и папок общего компьютера
|
|
|
|
|
Защита удаленных файлов и папок
|
|
|
|
|
Защита администратора в недоверенной сети
|
|
|
|
|
Принудительное исполнение политик использования удаленных документов
|
|
|
|
|
Защита передаваемого содержимого
|
|
|
|
|
Защита содержимого при совместной работе
|
|
|
|
|
Защита данных от кражи
|
|
|
|
|
Примечание В каждом соответствующем разделе этой главы некоторые параметры групповой политики выделены с целью показать конфигурацию новой установки Windows 7 по умолчанию. Необходимые изменения или рекомендации отмечены знаком ‡. Подробнее о значениях этих параметров см. книгу «Windows 7 Security Baseline Settings».
Оптимизация криптографических случайных чисел
Если имеется установленный и включенный доверенный платформенный модуль (TPM), ОС Windows 7 будет использовать его для задания начального значения своему генератору случайных чисел (ГСЧ). Такие генераторы используются многими приложениями для создания криптографических ключей. Ключи, сгенерированные описанным способом, оказываются более случайными, нежели те, что получены чисто программным путем. Поэтому рекомендуется включить поддержку оборудования TPM в BIOS компьютеров.
По умолчанию Windows 7 обращается к модулю TPM за данными, используемыми в определении начального числа, сначала при загрузке, а затем каждые 40 минут. Это поведение контролируется тремя параметрами. Их значения по умолчанию оптимальны для большинства ситуаций, поэтому настраивать их обычно нет необходимости.
Параметр TpmBootEntropy находится в данных конфигурации загрузки (BCD). Если задать ему значение false, данные об энтропии не будут собираться при загрузке с доверенного платформенного модуля. Значение по умолчанию — true для нормальной загрузки и false для загрузки в безопасном режиме и безопасном режиме с поддержкой сети. Этот параметр доступен как для BIOS-, так и для EFI-систем. Подробнее о контроле параметров, расположенных в данных конфигурации загрузки, см. «Данные конфигурации загрузки в Windows Vista» и «Команды BCDEdit для загрузочной среды».
Интервал обновления определяет, как часто (в минутах) производится повторный сбор энтропии с доверенного платформенного модуля. Если он равен нулю, повторного сбора энтропии не происходит. Это значение не влияет на первичный сбор энтропии при загрузке. Выбор значения этого параметра следует производить с осторожностью, так как слишком малое значение может на некоторых моделях TPM привести к сокращению средней наработки до отказа. Значение хранится в кусте реестра HKey_Local_Machine, в разделе \Software\Policies\Microsoft\Cryptography\RNG\, и представляет собой параметр DWORD с именем TpmRefreshEntropyIntervalInMinutes. Значение по умолчанию 40, допускаются значения от 0 до 40.
Третий параметр — число миллибит энтропии на байт вывода ГСЧ доверенного платформенного модуля. Значение хранится в кусте реестра HKey_Local_Machine, в разделе \System\CurrentControlSet\Control\Cryptography\RNG\, и представляет собой параметр DWORD с именем TpmEntropyDensityInMillibitsPerByte. Значение по умолчанию 8000, допускаются значения от 1 до 8000.
|
| |