|
Руководство по безопасности Windows ® 7 Набор средств по управлению соответствием требованиям безопасности
|
| bet | 69/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
Для снижения описанных рисков разглашения данных можно использовать шифрование информации на жестком диске. Усовершенствования технологии EFS в ОС Windows 7 позволят при этом достичь следующих результатов.
Злоумышленник не сможет прочитать зашифрованные файлы, используя другую операционную систему, если у него не будет ключа расшифровки. Для повышения защиты такой ключ можно хранить на смарт-карте.
Групповая политика позволяет повысить стойкость шифрования, используемую EFS.
Злоумышленник не сможет добраться до пользовательских данных с помощью атаки подбора пароля, если ключ EFS, принадлежащий пользователю, хранится на смарт-карте, или если вместе с EFS используется шифрование BitLocker, охраняющее хэш пароля и кэшированные учетные данные.
Злоумышленник не сможет получить доступ к конфиденциальным данным пользователя, если с помощью групповой политики включить обязательное шифрование папки «Документы». Используя же сценарий входа, можно включить шифрование и для других расположений, в том числе для всего раздела с данными пользователя.
Использование EFS позволяет шифровать данные на нескольких дисках и общих сетевых папках.
Использование EFS позволяет защищать содержимое системного файла подкачки и кэша автономных файлов.
Анализ мер по снижению риска
Используя файловую систему EFS в ОС Windows 7, можно снизить риски, описанные в предыдущем разделе, «Оценка рисков». Однако, перед развертыванием EFS стоит учесть следующие соображения.
Необходимо разработать и проверить работоспособность способов управления ключами и восстановления данных. В отсутствие надежных, проверенных процедур можно потерять доступ к особо важной информации при утере ключей.
В нормальных условиях EFS не оказывает сколько-нибудь заметного влияния на производительность. Если уровень производительности системы чрезвычайно важен, стоит провести тщательное тестирование степени влияния EFS на работу пользователей.
Если предприятию необходимо соответствовать стандарту Suite B, потребуется начать использование алгоритма ECC.
Если включить на томе шифрование EFS, использовать сжатие файлов на том же томе не получится.
При необходимости следует развернуть и протестировать дополнительные сценарии, устанавливающие шифрование охраняемых расположений.
Пользователей и ИТ-персонал необходимо обучить во избежание следующих проблем:
копирование файлов из зашифрованного расположения в незашифрованное, что оставляет их на диске открытым текстом;
не включенное по незнанию шифрование скрытых папок, где приложения хранят резервные копии файлов, с которыми идет работа.
Необходимо тщательно протестировать выбранную конфигурацию EFS, проверяя, что шифрование используется для всех важных расположений, включая «Документы», «Рабочий стол» и папки для временных файлов.
|
| |
