Александр Шаповал Microsoft Обновление: Сброс: Сохраняет персональные настройки и данные Не сохраняет персональные настройки и данные Сохраняет приложения Windows 8 Не сохраняет приложения Windows 8 Не производит форматирование перед переустановкой системы Производит форматирование перед переустановкой Обычная загрузка BIOS Загрузчик (Malware) Запуск ОС Традиционный процесс может использовать зараженный загрузчик Загрузка UEFI UEFI Подписанный загрузчик Запуск ОС UEFI поддерживает только доверенный подписанный загрузчик Доверенная загрузка предотвращает запуск вредоносного ПО Контролируемая загрузка протоколирует выполняемые действия и передает данные для последующего анализа Классификация • Файлы наследуют теги классификации от родительской папки • Владельцы файлов вручную добавляют теги к файлам • Теги к файлам добавляются автоматически • Теги к файлам добавляются приложениями Управление доступом Аудит Службы управления правами (RMS) • Централизованные политики доступа основаны на классификации • Централизованные политики аудита можно применять к нескольким файловым серверам • Автоматическая защита с помощью RMS для документов Microsoft Office • Условия доступа для утверждений пользователей, утверждений устройств и тегов файлов основаны на выражениях • Аудит для утверждений пользователей, утверждений устройств и тегов файлов основан на выражениях • Защита обеспечивается практически в реальном времени, когда файлу присваивается тег • Помощь в случае отказа в доступе • Аудит можно выполнять поэтапно, чтобы моделировать изменения политик в реальной среде • Защита RMS распространяется на файлы, не созданные в Microsoft Office По расположению Создание или редактирование файла Встроенный классификатор содержимого Вручную По контексту Приложением Сохранение классификации Определение классификации Сторонний подключаемый модуль классификации Пользователь redmond\jsmith / S-1-5-21-12345-12345-12345 Группы MktgFTE / S-1-5-21-23456-23456-23456-23456-23456 RemoteAccess / S-1-5-21-34567-34567-34567-34567 High-PII / S-1-5-21-45678-45678-45678-45678 Утверждения «Подразделение» Dept_4329617375 Строка «Маркетинг» «Страна» Country_54927768 Строка «US» Извлекаются из значений свойств и выпускаются как часть маркера, полученного при входе в систему Используются в ходе авторизации (если включено) Доменные службы Active Directory Утверждения пользователей User.Department = Finance User.Clearance = High Утверждения устройств Device.Department = Finance Device.Managed = True Файловый сервер Свойства ресурсов Resource.Department = Finance Resource.Impact = High Политика доступа Чтобы получить доступ к финансовой информации, которая обладает большой значимостью для бизнеса, пользователь должен работать в финансовом отделе, где проводится тщательная проверка на безопасность, и должен использовать управляемое устройство, зарегистрированное в финансовом отделе. Политика «Значительное влияние на бизнес» Политика «Персональная информация» Политика «Финансы» Доменные службы Active Directory Корпоративные файловые серверы Организационные политики Характеристики политики • Значительное влияние на бизнес • Персональная информация • Включает централизованные правила доступа (central access rules) • Применяется к файловым серверам с помощью объектов групповых политик Политики финансового отдела • Значительное влияние на бизнес • Персональная информация • Финансы • Дополняет (но не заменяет) встроенные списки управления доступом к файлам и папкам на базе файловой системы NTFS Пользовательские папки Папки финансового отдела Доменные службы Active Directory Создание определений утверждений Создание определений свойств файлов Создание централизованной политики доступа Групповая политика Отправка централизованных политик доступа на файловые серверы Файловый сервер Применение политики доступа к общей папке Идентификация информации Пользовательский компьютер Пользователь пытается получить доступ к информации Доменные службы Active Directory Определения утверждений Пользователь Определения свойств файлов Политика аудита Разрешить или запретить Файловый сервер Авторизация в рамках всей организации Управление определенными данными Авторизация на уровне отдела Специфичный доступ Доменные службы Active Directory Создание типов утверждений Создание свойств ресурсов Доменные службы Active Directory Групповая политика Создание глобальной политики аудита Определения утверждений Выбор и применение свойств ресурсов к общим папкам Определения свойств файлов Файловый сервер Пользовательский компьютер Пользователь пытается получить доступ к информации Политика аудита Пользователь Разрешить или запретить Файловый сервер Аудит каждого, кто не прошел тщательную проверку на безопасность и пытается получить доступ к документу, имеющему высокое значение для бизнеса Аудит всех поставщиков, когда они пытаются получить доступ к документам, не связанным с их текущими проектами Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project. 1 Доменные службы Active Directory Пользователь 2 4 3 Шифрование файла на основе классификации 1 На контроллере домена создаются определения утверждений, определения свойств файлов и политики доступа 2 Пользователь создает файл со словом «конфиденциально» в тексте и сохраняет его. Модуль классификации классифицирует файл как «очень важный» в соответствии с настроенными правилами 3 На файловом сервере правило автоматически применяет защиту RMS ко всем файлам, которые классифицируются как «очень важные» 4 Шаблон и шифрование RMS применяются к файлу на файловом сервере, и файл шифруется Модуль Сервер RMS классификации Файловый сервер http://www.microsoftvirtualacademy.com/training-courses/windows-8-overviewfor-it-pro-rus http://technet.microsoft.com/en-us/windows/dn168167.aspx http://technet.microsoft.com/ru-ru/library/hh831717.aspx http://technet.microsoft.com/ru-ru/evalcenter/hh699156.aspx http://www.microsoft.com/ru-ru/download/details.aspx?id=30652 http://www.microsoft.com/en-us/download/details.aspx?id=25175 http://www.microsoftvirtualacademy.ru http://technet.microsoft.com/ru-ru/ ashapo@microsoft.com http://blogs.technet.com/b/ashapo/