|
Контроль службы управления правами через групповую политику
|
| bet | 75/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
Параметры групповой политики, отвечающие за службу управления правами, не входят в состав Windows 7. Для такого решения обычно требуется сервер, поэтому настройка поведения службы осуществляется именно на нем.
Помимо этого, приложения, поддерживающие управление правами, могут обладать собственными параметрами, влияющими на способ обработки защищенного содержимого.
Тот факт, что пользователи могут подключать к своему компьютеру новое оборудование стандарта Plug and Play, например USB-накопители или иные съемные устройства хранения, представляет собой существенный риск безопасности, с которым приходится бороться администраторам. Он состоит не только в том, что в случае установки неподдерживаемого оборудования становится сложнее обеспечивать надлежащую работу компьютера, но и в том, что так можно скопировать конфиденциальные данные.
В групповую политику было внесено немало изменений, позволяющих полнее контролировать попытки установки неподдерживаемых или неразрешенных устройств. Однако, важно понимать, что устройство устанавливается не для одного пользователя. После установки оно обычно доступно всем пользователям компьютера. ОС Windows 7 и Windows Vista обеспечивают контроль доступа к установленным устройствам (чтение и запись) на уровне пользователей. Например, одной учетной записи можно разрешить полный доступ на чтение и запись к установленному устройству, например USB-накопителю, а другой учетной записи того же компьютера — доступ только для чтения.
Подробнее об управлении и установке устройств, а также об использовании для этой цели групповой политики см. «Пошаговое руководство по контролю установки устройств с помощью групповой политики».
Несанкционированное добавление или удаление устройств представляет собой большой риск, поскольку так можно запустить вредоносную программу, удалить нужные данные или внести нежелательные. Вот некоторые примеры таких ситуаций.
Прошедший проверку пользователь случайно или намеренно копирует конфиденциальные файлы с разрешенного устройства на неразрешенное съемное устройство. Как частный случай, копирование происходит из зашифрованного расположения в незашифрованное на съемном устройстве.
Злоумышленник входит в систему на компьютерах прошедших проверку пользователей и копирует данные на съемный диск.
Злоумышленник помещает на съемный диск или в общую сетевую папку вредоносный сценарий автозапуска, устанавливающий вредоносное ПО на оставленный без присмотра компьютер.
Злоумышленник устанавливает запрещенное устройство слежения за нажатием клавиш, которое перехватывает учетные данные пользователя для проведения атаки.
|
| |
