Безопасность ОС Windows

1. Безопасность в ОС Windows — архитектура, угрозы, модели безопасности
2. Защита АРМ штатными механизмами Windows — политики, аутентификация, брандмауэр
3. Шифрование в Windows — EFS, BitLocker, управление ключами
4. Антивирусная защита АРМ — Windows Defender, политики защиты

Ключевые компоненты безопасности Windows:

• LSA (Local Security Authority) — локальная подсистема безопасности
• SRM (Security Reference Monitor) — дескрипторы безопасности, ACL
• Security Account Manager (SAM) — хранение учётных записей
• Криптографическая подсистема (CNG) — шифрование, хэширование

Дискреционный контроль доступа (DACL):

• Каждый объект (файл, процесс, реестр) имеет дескриптор безопасности
• DACL содержит ACE (Access Control Entries) — разрешения и запреты
• ACE включают SID (идентификатор безопасности) и маску доступа

Журналирование (SACL):

• SACL определяет, какие действия фиксируются в журнале событий
• Аудит успешных и неуспешных попыток доступа

Windows использует Mandatory Integrity Control (MIC) — уровни целостности для изоляции процессов:

Уровни UAC:

• Всегда уведомлять — запрос для любого действия с повышенными правами
• Уведомлять, если приложения пытаются внести изменения (по умолчанию)
• Уведомлять, если приложения пытаются внести изменения (не затемнять экран)
• Никогда не уведомлять — UAC отключён (не рекомендуется)

• ФЗ № 152 от 27.07.2006 «О персональных данных» — защита ПДн (действующий)
• ФЗ № 187 от 26.07.2017 «О безопасности КИИ РФ» — защита ЗО КИИ (действующий)
• Приказ ФСТЭК № 21 от 18.02.2013 — меры защиты ПДн (действующий)
• Приказ ФСТЭК № 239 от 25.12.2017 — требования к защите ЗО КИИ (действующий)
• Приказ ФСТЭК № 31 от 14.03.2014 — требования к защите ГИС (действующий)
• Приказ ФСТЭК № 17 от 11.02.2013 — защита информации (действующий)

Сертифицированные средства:

• Windows 10/11 с модулем защиты (СЗИ от НСД) — сертификаты ФСТЭК
• «Соболь» (СЗИ от НСД для Windows) — сертификат ФСТЭК
• «Secret Net Studio» — комплексная защита АРМ под Windows

Принцип работы:

• При включении UEFI проверяет цифровую подпись загрузчика
• Загрузка разрешена только при совпадении подписи с доверенными ключами
• Неподписанные или изменённые компоненты блокируются

Функции TPM:

• Хранение ключей — шифрование, подпись, аутентификация
• Измерение платформы — проверка целостности BIOS/UEFI и загрузчика
• Связка с BitLocker — автоматическая разблокировка зашифрованного диска
• Windows Hello — биометрическая аутентификация

Ключевые выводы:

• Архитектура безопасности Windows включает LSA, SRM, SAM и CNG
• DACL/SACL обеспечивают дискреционный контроль доступа к объектам
• Уровни целостности (MIC) изолируют процессы разной степени доверия
• UAC ограничивает несанкционированные действия с повышенными правами
• Secure Boot и TPM 2.0 — фундамент аппаратной безопасности

Основные группы механизмов:

• Управление учётными записями и аутентификация
• Групповые политики (GPO) — централизованное управление
• Брандмауэр Windows Defender — сетевая фильтрация
• Аудит и журналирование — отслеживание событий безопасности
• Защита от эксплойтов — DEP, ASLR, CFG

Рекомендуемые меры:

• Отключить встроенную учётную запись «Администратор» (Administrator)
• Отключить или переименовать учётную запись «Гость» (Guest)
• Использовать стандартные учётные записи для повседневной работы
• Применять принцип наименьших привилегий (Least Privilege)

Windows Hello — современная система аутентификации:

• Распознавание лица — инфракрасная камера (Windows Hello Face)
• Отпечаток пальца — биометрический датчик (Windows Hello Fingerprint)
• PIN-код — привязан к устройству, не передаётся по сети

Ключевые политики безопасности:

Три профиля брандмауэра:

• Доменный — при подключении к домену Active Directory
• Частный — доверенные сети (домашняя, офисная)
• Публичный — общедоступные сети (кафе, аэропорты)

Рекомендуемые категории аудита (GPO → Computer Configuration → Security Settings → Advanced Audit Policy):

• Вход в систему — успешные и неуспешные попытки
• Управление учётными записями — создание, изменение, удаление
• Доступ к объектам — файлы, реестр, принтеры
• Изменение политик — изменение GPO и локальных политик
• Использование привилегий — повышение прав
• Подробное отслеживание — процессы, RPC

Рекомендации:

• Включить автоматическую установку обновлений (не откладывать более чем на 7 дней)
• В корпоративной среде использовать WSUS или Microsoft Endpoint Configuration Manager
• Регулярно проверять наличие обновлений драйверов
• Вести учёт установленных обновлений (журнал обновлений)

Настройки GPO:

• Computer Configuration → Policies → Administrative Templates → System → Removable Storage Access
• «All Removable Storage classes: Deny all access» — полный запрет
• «Removable Disks: Deny write access» — запрет записи (чтение разрешено)
• «CD and DVD: Deny all access» — запрет оптических дисков

Рекомендуемые меры:

• Отключить ненужные службы (Telnet, Remote Registry, SNMP и др.)
• Ограничить доступ к веткам реестра: HKEY_LOCAL_MACHINE\SOFTWARE
• Запретить удалённое управление реестром
• Отключить автозапуск неиспользуемых служб

Важные параметры реестра для безопасности:

Чек-лист базовой защиты АРМ:

1. ✅ UAC включён (уровень не ниже 2)
2. ✅ Парольная политика: длина ≥ 12, сложность, срок 90 дней
3. ✅ Блокировка учётных записей: 5 попыток, 30 мин
4. ✅ Брандмауэр включён для всех профилей
5. ✅ Аудит включён для ключевых событий
6. ✅ DEP и ASLR активны
7. ✅ Обновления устанавливаются автоматически
8. ✅ Съёмные носители ограничены
9. ✅ AppLocker / WDAC настроен
10. ✅ Ненужные службы отключены

Штатные механизмы шифрования Windows:

• EFS (Encrypting File System) — шифрование на уровне файловой системы NTFS
• BitLocker — полное шифрование тома (диска)
• BitLocker To Go — шифрование съёмных носителей
• Windows Information Protection (WIP) — защита корпоративных данных

Основные характеристики:

• Шифрует отдельные файлы и папки, а не весь том
• Использует симметричное шифрование (AES) для данных
• Ключ шифрования данных (FEK) защищён открытым ключом пользователя (RSA)
• Прозрачная работа: файлы автоматически шифруются/расшифровываются

Структура шифрования EFS:

1. Генерируется FEK (File Encryption Key) — симметричный ключ AES для шифрования файла
2. FEK шифруется открытым ключом пользователя (RSA) и сохраняется в заголовке файла
3. Для расшифровки используется закрытый ключ пользователя из хранилища сертификатов
4. Дополнительно FEK шифруется открытым ключом EFS Recovery Agent (агент восстановления)

Настройка EFS:

• Правый клик на папку → Свойства → Дополнительно → «Шифровать содержимое для защиты данных»
• Зашифрованные файлы отображаются зелёным цветом в проводнике
• Резервное копирование сертификата: certmgr.msc → Личное → Сертификаты

Управление через GPO:

• Computer Configuration → Policies → Windows Settings → Security Settings → Public Key Policies
• Настройка агента восстановления
• Политика шифрования EFS

Требования для использования BitLocker:

Поддерживаемые алгоритмы:

Методы аутентификации при загрузке:

Варианты хранения ключа восстановления:

• Учётная запись Microsoft (для домашних пользователей)
• Active Directory (для корпоративных сред)
• USB-накопитель (файл .BEK)
• Распечатка (бумажный носитель)

Особенности:

• Шифрование всего съёмного носителя
• Аутентификация по паролю или смарт-карте
• Чтение на любом компьютере с Windows (распаковщик BitLocker To Go)
• Политики GPO для управления использованием зашифрованных носителей

Требования для автоматического шифрования:

• Windows 10/11 Pro или Enterprise
• Наличие TPM 2.0 и поддержка Modern Standby
• Вход через учётную запись Microsoft (ключ сохраняется в облаке)
• Secure Boot включён

Рекомендации по управлению ключами:

• Хранение ключей — в аппаратных модулях безопасности (HSM) или защищённых хранилищах
• Ротация ключей — регулярная смена ключей шифрования (не реже 1 раза в год)
• Резервное копирование — ключи восстановления хранить отдельно от зашифрованных данных
• Уничтожение — при выводе АРМ из эксплуатации — безопасное уничтожение ключей

Ключевые выводы по шифрованию:

• EFS — шифрование на уровне файлов, удобен для выборочной защиты
• BitLocker — полное шифрование тома, защищает от утери/хищения носителя
• BitLocker To Go — шифрование съёмных носителей
• Алгоритм: AES 256 XTS — рекомендуемый для конфиденциальных данных
• Метод аутентификации: TPM + PIN — оптимальный баланс
• Ключи восстановления — хранить отдельно от зашифрованных данных

Штатное решение Microsoft:

• Microsoft Defender Antivirus — встроенный антивирус Windows 10/11
• Входит в состав Microsoft Defender for Endpoint
• Включает защиту в реальном времени, облачную защиту, защиту от эксплойтов

Основные компоненты защиты:

Ключевые политики GPO:

• Computer Configuration → Policies → Administrative Templates → Windows Components → Microsoft Defender Antivirus
• Включить защиту в реальном времени
• Включить облачную защиту
• Уровень обнаружения: Высокий
• Автоматическая отправка образцов: Включена
• Расписание полного сканирования: еженедельно
• Действие при обнаружении: Удалить или поместить в карантин

Примеры сертифицированных средств:

Меры защиты:

• Controlled Folder Access — защита важных папок от несанкционированных изменений
• Регулярное резервное копирование — правило 3-2-1 (3 копии, 2 носителя, 1 вне офиса)
• Ограничение прав пользователей — принцип наименьших привилегий
• Обновление ОС и ПО — устранение уязвимостей
• Обучение пользователей — распознавание фишинговых писем

Инструменты централизованного управления:

Чек-лист антивирусной защиты АРМ:

1. ✅ Антивирус установлен и активен (Defender или сертифицированное средство)
2. ✅ Защита в реальном времени включена
3. ✅ Облачная защита активна
4. ✅ Tamper Protection включён
5. ✅ Расписание полного сканирования настроено
6. ✅ Controlled Folder Access настроен
7. ✅ SmartScreen включён
8. ✅ Брандмауэр активен
9. ✅ Централизованное управление настроено
10. ✅ Резервное копирование настроено (правило 3-2-1)