Безпека.

Під безпекою даних в ОС розуміють забезпечення надійності системи (захисту даних від втрати у разі збоїв) і захист даних від несанкціонованого доступу (випадкового чи навмисного). Для захисту від несанкціонованого доступу ОС має забезпечувати наявність засобів аутентифікації користувачів (такі засоби дають змогу з'ясувати, чи є користувач тим, за кого себе видає) та їхньої авторизації (дозволяють перевірити права користувача, на виконання певної операції). Безпека ОС базується на двох ідеях: 1. ОС надає прямий чи непрямий доступ до ресурсів на кшталт файлів на локальному диску, привілейованих системних викликів, особистої інформації про користувачів та служб, представлених запущеними програмами; 2. ОС може розділити запити ресурсів від авторизованих користувачів, дозволивши доступ, та неавторизованих, заборонивши його. Запити, в свою чергу, також діляться на два типи: 1. Внутрішня безпека — вже запущені програми. На деяких системах програма, оскільки вона вже запущена, не має ніяких обмежень, але все ж типово вона має ідентифікатор, котрий використовується для перевірки запитів до ресурсів. 2. Зовнішня безпека — нові запити з-за меж комп'ютера, як наприклад реєстрація з консолі чи мережеве з'єднання. В цьому випадку відбувається процес авторизації за допомогою імені користувача та паролю, що його підтверджує, чи інших способів як наприклад магнітні картки чи біометричні дані. Наступні технології та функції забезпечують захист Windows Server: • Керування доступом: завдяки процесу зіставлення облікових записів користувачів і членства в групах з правами, привілеями та дозволами, з ними пов'язаними, операційна система Windows забезпечує захист файлів, додатків та інших ресурсів від несанкціонованого використання. • Служби сертифікатів Active Directory: служби AD CS надають настроювані послуги з видачі цифрових сертифікатів, які використовуються в системах безпеки ПЗ, що застосовують технології відкритих ключів, і з управління цими сертифікатами. Цифрові сертифікати, надані AD CS, можна використовувати для шифрування і цифрового підписування електронних документів і повідомлень. Ці цифрові сертифікати можна використовувати для перевірки в мережі справжності облікових записів комп'ютерів, користувачів і пристроїв. • Служби доменів Active Directory: доменні служби Active Directory надають розподілену базу даних, в якій зберігаються відомості про мережеві ресурси і дані додатків з підтримкою каталогів, а також здійснюється управління цією інформацією. • Служби керування правами Active Directory: Служби AD RMS можна використовувати, щоб розширити стратегію безпеки в організації, забезпечивши захист документів за допомогою керування правами на доступ до даних (IRM). • AppLocker: можна використовувати як частину загальної стратегії безпеки для наступних сценаріїв: захист комп'ютерів від шкідливих програм і непідтримуваних додатків у вашому середовищі; заборона установки і використання недозволених додатків для користувачів; реалізація політики управління додатками для відповідності політиці безпеки та виконання інших вимог відповідності, встановлених в організації. • BitLocker: Шифрування BitLocker забезпечує максимальний захист при використанні довіреного платформеного модуля (TPM) • Віддалений доступ: У даному компоненті три мережеві служби як DirectAccess, маршрутизація та віддалений доступ об'єднані в одну універсальну роль сервера. • Динамічний контроль доступу • Шифрована файлова система (EFS): це базова технологія шифрування, яка дозволяє шифрувати файли, що зберігаються на томах з файловою системою NTFS. • Служби файлів і сховищ: Роль "Файлові служби та служби зберігання" включає технології, призначені для настройки одного або декількох файлових серверів (та управління ними), що займають центральне розташування в мережі, де можна зберігати файли та використовувати їх спільно з іншими користувачами. • Групова політика: це інфраструктура, яка дозволяє задавати керовані конфігурації для користувачів і комп'ютерів за допомогою параметрів і переваг групової політики. • Служби MS Online Backup: Windows Azure Online Backup Agent - це новий додатковий компонент Windows Server 2012, за допомогою якого можна планувати архівування файлів і папок з вашого сервера в Windows Azure Online Backup (хмарне/облачное середовище). • Служби політики мережі та доступу: в даний розділ входить захист доступу до мережі, безпечний кабельний і безкабельний доступ, централізоване управління політикою мережі за допомогою RADIUS-сервера і RADIUS-проксі. • Аудит безпеки • Майстер налаштування безпеки: це засіб зменшення контактної зони, яке входить до складу Windows Server. Майстер налаштування безпеки дозволяє адміністраторам створювати політики безпеки на основі мінімальних функцій, необхідних для ролей сервера. • Політика обмеженого використання програм: являє собою компонент, заснований на груповій політиці, який ідентифікує програми, що працюють на комп'ютерах в домені, і управляє функціями запуску цих програм. • Смарт-карти: являють собою портативними, захищеними від несанкціонованого втручання пристроями, які дозволяють вирішити проблеми безпеки в таких областях, як ідентифікація клієнтів, вхід в домени, підписування коду і захист електронної пошти. • Веб-сервер (IIS). • Автентифікація Windows і вхід в систему. • Брандмауер Windows в режимі підвищеної безпеки: надаючи централізовану двонаправлену фільтрацію мережевого трафіку, Брандмауер Windows в режимі підвищеної безпеки блокує неавторизований вхідний і вихідний мережевий трафік на локальному комп'ютері. • Служби Windows Server Update Services: сервер WSUS надає компоненти, які необхідні адміністраторам для керування оновленнями та їх поширення через консоль управління.