МИНИСТЕРСТВООБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОСУДАРСТВЕННОЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
Безопасность в системеWindows Vista. Основные службы и механизмы безопасности
2008
Оглавление
Введение. 4
Cреда EC. 5
Схема безопасности и внедрение. 6
Схема подразделений для политикбезопасности. 6
Подразделение отдела. 8
Подразделение пользователей WindowsVista. 8
Подразделение компьютеров с WindowsVista. 9
Схема объектов групповой политики дляполитик безопасности. 9
Рекомендуемые объекты групповой политики. 11
Внедрение политик безопасности. 13
Проверка схемы в лабораторной среде. 15
Развертывание схемы в рабочей среде. 19
Средство GPOAccelerator 26
Предыдущие параметры безопасности. 29
Работа с шаблонами безопасности. 30
Технологии защиты системыWindows Vista. 37
Контроль учетных записей. 37
Оценка риска. 39
Снижение рисков. 40
Процедура снижения рисков. 42
Защитник Windows. 43
Сообщество Microsoft SpyNet 44
Оценка риска. 45
Снижение рисков. 45
Условия для снижения рисков. 46
Процедура снижения рисков. 47
Использование процедуры снижения рисков. 47
Брандмауэр Windows. 48
Оценка риска. 49
Снижение рисков. 50
Условия для снижения рисков. 50
Снижение рисков с помощью брандмауэраWindows в режиме повышенной безопасности 51
Центр обеспечения безопасности Windows. 53
Процедура снижения рисков. 55
Политики ограниченного использованияпрограмм. 55
Технологии защиты обозревателя InternetExplorer 7. 57
Защищенный режим обозревателя InternetExplorer. 57
Функция ActiveX Opt-in. 59
Защита от атак с применением междоменныхсценариев. 59
Строка состояния системы безопасности. 60
Антифишинг. 60
Аппаратная защита Windows Vista. 62
Технология NX (No Execute) 62
Случайное расположение адресногопространства. 63
Защита ядра для x64. 64
Программная защита. 65
Подписывание драйверов для x64. 65
Контроль пользовательских учетныхзаписей (User Account Control) 67
Защита доступа к сети(Network Access Protection, NAP) 72
Защита от вредоносного кодаи компьютерных атак. 72
Центр безопасности Windows(Windows Security Center, WSC) 72
Windows Defender 72
Улучшения межсетевого экрана Windows. 74
Защита данных. 75
Заключение. 77
Литература. 79
Введение
WindowsVista™ – на сегодняшний день самая безопасная операционная система, выпущеннаякорпорацией Майкрософт. Тем не менее для соответствия требованиям к сетиконкретной среды могут потребоваться изменения конфигурации. В этой главепродемонстрирована относительная простота настройки параметров безопасности дляусиления защиты клиентских компьютеров под управлением стандартной операционнойсистемы, которые присоединены к домену со службой каталогов Active Directory®.
Windows Vista™ – это первая клиентскаяоперационная система от Microsoft, в которой контроль за безопасностью осуществляется на всехэтапах разработки (технология Microsoft’s Security Development Lifecycle). Это означает, что во главу угла ставится именно безопасностьновой ОС. Согласно технологии SDL, к разработчикам ПО с самого начала приставляется консультант побезопасности, который контролирует все этапы разработки на предмет отсутствияуязвимостей. Кроме того, Microsoft собирается сертифицировать Windows Vista по стандарту ISO «Общие Критерии» с цельюполучения сертификатов EAL4 и Single Level OS Protection Profile.
В главеприводится простой набор процедур для внедрения рекомендуемых параметров дляусиления стандартной системы безопасности операционной системы. Упрощенныепроцедуры позволяет быстро и эффективно защитить клиентские компьютеры подуправлением Windows Vista в существующей среде.
Теперьзащиту операционной системы можно усилить, используя только объекты групповойполитики. Предыдущие рекомендации корпорации Майкрософт требовали импорта INF-файловшаблона безопасности и существенного изменения вручную раздела «Административныешаблоны» нескольких объектов групповой политики. Эти файлы или шаблоны большене требуется использовать. Тем не менее INF-файлы шаблона безопасностираспространяются с руководством. Их можно использовать для усилениябезопасности автономных клиентских компьютеров. Все рекомендуемые параметрыгрупповой политики описаны в приложении A «Параметры групповой политики,связанные с безопасностью».
Чтобыприменить рекомендуемые параметры, необходимо:
• создать структуру подразделений для существующей среды;
• выполнить сценарий GPOAccelerator.wsf, который распространяется сруководством;
• использовать консоль управления групповыми политиками для связиобъектов групповой политики и управления ими.
Предупреждение.
Важнотщательно протестировать схемы подразделений и объектов групповой политикиперед их развертыванием в рабочей среде. В разделе «Внедрение политикбезопасности» этой главы описаны процедуры создания и развертывания структурыподразделений и объектов групповой политики, связанных с безопасностью, вовремя внедрения в тестовой и рабочей среде.
Объектыгрупповой политики набора базовых показателей, которые распространяются сруководством, включают сочетание протестированных параметров, которые улучшаютбезопасность клиентских компьютеров под управлением Windows Vista в двухразличных средах:
• Enterprise Client (EC)
• Specialized Security – Limited Functionality (SSLF)
Cреда EC
Среда Enterprise Client (EC), описываемая в этой главе,включает домен со службой каталогов Active Directory®, в котором компьютеры с Microsoft® Windows Server® 2003 R2 или Windows Server 2003 с пакетом обновления 1(SP1) и Active Directory управляют клиентскими компьютерами с Windows Vista или Windows XP®. В такой среде управление клиентскими компьютерамиосуществляется с помощью групповой политики, которая применяется к сайтам,доменам и подразделениям. Групповая политика обеспечивает централизованнуюинфраструктуру на базе Active Directory, которая позволяет выполнять измененияна уровне доменов и управлять конфигурацией пользователей и параметрамикомпьютеров, включая параметры безопасности и данные пользователей. Схема безопасности и внедрение
Схемабезопасности, рекомендуемая в этой главе, является основой для сценариев,описанных в данном руководстве, а также для рекомендаций по устранению проблем.В следующих разделах главы описывается основная схема безопасности и приводятсяпроцедуры для ее тестирования и внедрения на компьютерах под управлениемWindows Vista:
• Схема подразделений для политик безопасности
• Схема объектов групповой политики для политик безопасности
• Внедрение политик безопасности Схема подразделений для политик безопасности
Подразделение– это контейнер в домене с Active Directory. Подразделение может включатьпользователей, группы, компьютеры и другие подразделения. Если подразделениесодержит другие подразделения, оно является родительским.
Подразделение,которое находится внутри родительского подразделения, называется дочерним.
Кподразделению можно привязать объект групповой политики, после чего параметрыобъекта групповой политики будут применены к пользователям и компьютерам,которые находятся в этом подразделении и его дочерних подразделениях. Дляупрощения администрирования можно делегировать административные полномочиякаждому подразделению.
Подразделенияпозволяют легко группировать пользователей и компьютеры, обеспечиваяэффективный способ сегментации административных границ. Корпорация Майкрософтрекомендует назначать пользователей и компьютеры различным подразделениям, таккак некоторые параметры относятся только к пользователям, а другие – только ккомпьютерам.
Можноделегировать управление группой или отдельным подразделением с помощью мастераделегирования в оснастке «Active Directory – пользователи и компьютеры» консолиуправления (MMC). Ссылки на документацию по делегированию полномочий см. вразделе «Дополнительные сведения» в конце данной главы.
Одна изосновных задач схемы подразделений любой среды – создание основы для полноговнедрения групповой политики, которая применяется ко всем клиентскимкомпьютерам в Active Directory. Это обеспечивает соответствие клиентскихкомпьютеров стандартам безопасности организации. Схема подразделений такжедолжна учитывать параметры безопасности для отдельных типов пользователей ворганизации. Например, разработчикам может быть необходим такой способ доступак компьютерам, который не требуется обычным пользователям. Кроме того,требования к безопасности для пользователей переносных и настольных компьютеровмогут различаться. На следующем рисунке показана простая структураподразделений, достаточная для рассмотрения групповой политики в этой главе.Структура подразделений может не соответствовать требованиям среды вашейорганизации.
/>
Рисунок1.1. Пример структуры подразделений для компьютеров под управлением WindowsVista/> Подразделениеотдела
Так кактребования к безопасности внутри организации могут различаться, иногда имеетсмысл создать в среде подразделения отделов. Такие подразделения можноиспользовать для применения параметров безопасности к компьютерам ипользователям в соответствующих отделах с помощью объекта групповой политики.
/>
Подразделениепользователей Windows Vista
Этоподразделение содержит учетные записи пользователей для среды EC. Параметры,применяемые к такому подразделению, подробно описаны в приложении A «Параметрыгрупповой политики, связанные с безопасностью».
/>
Подразделениекомпьютеров с Windows Vista
Этоподразделение содержит дочерние подразделения для каждого типа клиентскихкомпьютеров под управлением Windows Vista в среде EC. Данное руководствосодержит прежде всего рекомендации по безопасности для настольных и переносныхкомпьютеров. По этой причине его разработчики создали следующие подразделениякомпьютеров:
•Подразделение настольных компьютеров. К этому подразделению относятсянастольные компьютеры с постоянным подключением к сети. Параметры, которыеприменяются к этому подразделению, подробно описаны в приложении A «Параметрыгрупповой политики, связанные с безопасностью».
•Подразделение переносных компьютеров. Это подразделение включает переносныекомпьютеры для мобильных пользователей, которые не всегда подключены к сети.Параметры, которые применяются к этому подразделению, также описаны вприложении A.
/>
Схемаобъектов групповой политики для политик безопасности
Объектгрупповой политики – это коллекция параметров групповой политики, которые посути являются файлам, созданными оснасткой групповой политики. Параметрыхранятся на уровне домена и влияют на пользователей и компьютеры в сайтах,доменах и подразделениях.
Объектыгрупповой политики позволяют обеспечить применение конкретных параметровполитики, прав пользователей и поведения компьютеров ко всем клиентскимкомпьютерам или пользователям в подразделении. Использование групповой политикивместо настройки вручную упрощает управление изменениями (включая обновление)для большого количества компьютеров и пользователей. Настройка вручную нетолько неэффективна, так как требует посещения каждого клиентского компьютера,но и потенциально бесполезна: если параметры политики в объектах групповойполитики домена отличаются от параметров, применяемых локально, параметрыполитики объекта групповой политики домена переопределяет примененные локальнопараметры.
/>
Рисунок1.2. Очередность применения объектов групповой политики
Напредыдущем рисунке показана очередность, в которой объекты групповой политикиприменяются к компьютеру, являющемуся членом дочернего подразделения, отнаиболее низкого уровня (1) к самому высокому (5). Сначала применяетсягрупповая политика из локальной политики безопасности каждого клиентскогокомпьютера под управлением Windows Vista. После применения локальной политики безопасностиприменяются объекты групповой политики на уровне сайта, а затем на уровнедомена.
Дляклиентских компьютеров под управлением Windows Vista, которые находятся вподразделении с несколькими уровнями, объекты групповой политики применяются впорядке от родительского подразделения до дочернего подразделения самогонизкого уровня. В последнюю очереди применяется объект групповой политики изподразделения, содержащего клиентский компьютер. Это порядок обработки объектовгрупповой политики – локальная политика безопасности, сайт, домен, родительскоеподразделение и дочернее подразделение – очень важен, так как объекты групповойполитики, которые применяются позже, переопределяют примененные ранее объекты.Объекты групповой политики пользователей применяются таким же образом.
Приразработке групповой политики необходимо учитывать следующее.
•Администратор должен задать порядок связи нескольких объектов групповойполитики с подразделением, или групповая политика по умолчанию будетприменяться в порядке своей связи с подразделением. Если в нескольких политикахнастроен один и тот же параметр, приоритет будет иметь политика с более высокимположением в списке политик контейнера.
• Дляобъекта групповой политики можно включить параметр Принудительный. Если выбранэтот параметр, другие объекты групповой политики не смогут переопределятьпараметры, настроенные в этом объекте групповой политики.
Примечание.В Windows 2000 параметру Принудительный соответствует параметр Неперекрывать.
• ДляActive Directory, сайта, домена или подразделения можно установить параметрБлокировать наследование политики. Этот параметр блокирует параметры объектовгрупповой политики, которые расположены выше в иерархии Active Directory, еслидля них не задан параметр Принудительный. Другими словами, параметрПринудительный имеет приоритет над параметром Блокировать наследование политики.
• Параметрыгрупповой политики применяются к пользователям и компьютерам и зависят от местапользователя или компьютера в Active Directory. В некоторых случаях необходимоприменять политику к объектам пользователей на основе расположения объектовкомпьютеров, а не пользователей. Функция замыкания на себя групповой политикипозволяет администраторам применять параметры групповой политики дляпользователя в зависимости от того, в систему какого компьютера он вошел.Дополнительные сведения об этом параметре см. в статье Замыкание на себягрупповых политик. Рекомендуемые объекты групповой политики
Длявнедрения описанной выше схемы подразделений требуется по крайней мере четыреобъекта групповой политики:
• политикадля домена;
• политикадля подразделения пользователей Windows Vista;
• политикадля подразделения настольных компьютеров;
• политикадля подразделения переносных компьютеров.
/>
Рисунок1.3. Пример структуры подразделений и связей объектов групповой политики длякомпьютеров под управлением Windows Vista
В примерена рисунке 1.3 переносные компьютеры принадлежат к подразделению «Переносныекомпьютеры». Сначала применяется локальная политика безопасности на переносныхкомпьютерах. Так как в этом примере существует только один сайт, на уровнесайта не применяются объекты групповой политики, поэтому следующим применяетсяобъект групповой политики домена. После этого применяется объект групповойполитики «Переносные компьютеры».
Примечание. Политика «Настольные компьютеры» не применяется к переноснымкомпьютерам, так как она не связана ни с одним подразделением в иерархии,которое содержит подразделение «Переносные компьютеры».
В качествепримера очередности рассмотрим сценарий, в котором параметр политики Разрешатьвход в систему через службу терминалов должен применяться к следующимподразделениям и группам пользователей:
• подразделение «Компьютеры с Windows Vista» – группа Администраторы;
• подразделение «Переносные компьютеры» – группы Пользователи удаленногорабочего стола и Администраторы.
В этомпримере пользователь, учетная запись которого принадлежит к группе Пользователиудаленного рабочего стола, может входить в систему переносного компьютера черезслужбу терминалов, так как подразделение «Переносные компьютеры» являетсядочерним подразделением подразделения «Компьютеры с Windows Vista», а политикадочернего подразделения имеет приоритет.
Есливключить параметр политики Не перекрывать в объекте групповой политикиподразделения «Компьютеры с Windows Vista», только пользователи, учетные записикоторых принадлежат к группе Администраторы, смогут входить в системупереносного компьютера через службу терминалов. Это происходит потому, чтопараметр Не перекрывать предотвращает переопределение примененной ранееполитики политикой дочернего подразделения.
Внедрение политикбезопасности
Длявнедрения схемы безопасности двух сред, описанных в данном руководстве,необходимо использовать консоль управления групповыми политиками и ее сценарии.Консоль управления групповыми политиками интегрирована в операционную систему,поэтому не требуется загружать и устанавливать ее каждый раз, когда требуетсяуправлять объектами групповой политики на другом компьютере. В отличие отрекомендаций по безопасности для предыдущих версий операционной системы Windowsрекомендации в данном руководстве для Windows Vista значительно автоматизируюттестирование и внедрение схемы безопасности в среде EC. Эти рекомендации былиразработаны и протестированы, чтобы обеспечивать наиболее эффективный процесс иснизить накладные расходы, связанные с внедрением.
Внимание! Все процедуры, указанные в этом руководстве, необходимо выполнятьна клиентском компьютере под управлением Windows Vista, который подключен кдомену с Active Directory. Кроме того, пользователь, выполняющий эти процедуры,должен иметь привилегии администратора домена. При использовании операционныхсистем Microsoft Windows® XP или Windows Server® 2003 параметры безопасности,относящиеся к Windows Vista, не будут отображаться в консоли управлениягрупповыми политиками.
Чтобывнедрить схему безопасности, необходимо выполнить три основные задачи:
1. создатьсреду EC;
2. использоватьконсоль управления групповыми политиками для связи политики VSG EC DomainPolicy с доменом;
3. использоватьконсоль управления групповыми политиками для проверки результата.
В этомразделе главы описаны данные задачи и процедуры, а также функции сценарияGPOAccelerator.wsf, который автоматически создает рекомендуемые объектыгрупповой политики.
СценарийGPOAccelerator.wsf
Наиболееважное средство, которое устанавливается руководством по безопасности WindowsVista, – это сценарий GPOAccelerator.wsf. Основная возможность этого сценария –автоматическое создание всех объектов групповой политики, которые требуются дляприменения рекомендаций. При этом не требуется тратить время на редактированиепараметров политики вручную или на применение шаблонов. Для клиентскихкомпьютеров в среде EC сценарий создает следующие четыре объекта групповойполитики:
• VSG EC Domain Policy для домена;
• VSGEC Users Policy для пользователей;
• VSGEC Desktop Policy для настольных компьютеров;
• VSGEC Laptop Policy для переносных компьютеров.
Внимание! Чтобы успешно внедрить схему безопасности для среды EC, тщательнопротестируйте ее перед развертыванием в рабочей среде.
• Проверкасхемы в лабораторной среде. Используйте сценарий GPOAccelerator.wsf в тестовойсреде для создания структуры подразделений, создания объектов групповойполитики и их автоматической связи с подразделениями. После завершениятестирования можно использовать сценарий в рабочей среде.
• Развертываниесхемы в рабочей среде. При внедрении решения в рабочей среде необходимо сначаласоздать подходящую структуру подразделений или изменить существующий набор подразделений.После этого можно использовать сценарий GPOAccelerator.wsf для созданияобъектов групповой политики и затем связать их с соответствующимиподразделениями в среде.
Проверка схемы влабораторной среде
Объектыгрупповой политики для данного руководства были тщательно протестированы. Темне менее важно выполнить собственное тестирование в существующей среде. Чтобысэкономить время, можно использовать сценарий GPOAccelerator.wsf для созданиярекомендуемых объектов групповой политики и структуры подразделений, а затемавтоматически связать объекты групповой политики с подразделениями.
Задача 1: создание среды EC
СценарийGPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAcceleratorTool, которую создает установщик Microsoft Windows (MSI-файл).
Примечание. Чтобы выполнить сценарий, как описано в следующей процедуре,папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальномкомпьютере.
Чтобысоздать объекты групповой политики и связать их с соответствующимиподразделениями в среде:
1. Войдитес учетной записью администратора домена в систему компьютера под управлениемWindows Vista, который присоединен к домену с Active Directory, в котором будутсоздаваться объекты групповой политики.
2. Нажмитекнопку Пуск системы Windows Vista, выберите пункты Все программы и WindowsVista Security Guide.
3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4. Щелкнитеправой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имениадминистратора, чтобы открыть командную строку со всеми привилегиямиадминистратора домена.
Примечание. Если появится запрос на ввод учетных данных для входа в систему,введите свое имя пользователя и пароль и нажмите клавишу ВВОД.
5. Вкомандной строке введите cscript GPOAccelerator.wsf /Enterprise /LAB и нажмитеклавишу ВВОД.
6. В окне ссообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да»,чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).
Примечание. Это действие может занять несколько минут.
7. В окне ссообщением The Enterprise Lab Environment is created (Создана лабораторнаясреда Enterprise) нажмите кнопку OK.
8. В окне ссообщением Make sure to link the Enterprise Domain GPO to your domain (Свяжитеобъект групповой политики домена Enterprise с доменом) нажмите кнопку OK ивыполните следующую задачу для связи политики VSG EC Domain Policy.
Примечание. Групповая политика уровня домена включает параметры, которыеприменяются ко всем компьютерам и пользователям в этом домене. Важно уметьопределять необходимость связи объекта групповой политики домена, так как онприменяется ко всем пользователям и компьютерам. По этой причине сценарийGPOAccelerator.wsf не выполняет автоматическую связь объекта групповой политикидомена с доменом.
Задача 2: использование консоли управления групповыми политиками для связиполитики VSG EC Domain Policy с доменом
Теперьможно выполнить связь объекта групповой политики домена с доменом. Нижеприведены инструкции по использованию консоли управления групповыми политикамина клиентском компьютере под управлением Windows Vista для связи политики VSGEC Domain Policy с доменом.
Чтобысвязать политику VSG EC Domain Policy:
1. Нажмитекнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные иВыполнить. (Или нажмите клавишу с эмблемой Windows + R.)
2. В полеОткрыть введите gpmc.msc и нажмите кнопку ОК.
3. В деревеDomains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link anexisting GPO (Связать существующий объект групповой политики).
4. Вдиалоговом окне Select GPO (Выбор объекта групповой политики) выберите объектгрупповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмитекнопку OK.
5. Вобласти сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) инажмите кнопку Move link to top (Переместить ссылку наверх).
Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSGEC Domain Policy значение 1. В противном случае с доменом будут связаны другиеобъекты групповой политики, такие как Default Domain Policy GPO (Объектгрупповой политики домена по умолчанию), что приведет к переопределениюпараметров руководства по безопасности Windows Vista.
Задача 3: использование консоли управления групповыми политиками дляпроверки результата
Консольуправления групповыми политиками можно использовать для проверки результатоввыполнения сценария. Ниже описана процедура использования консоли управлениягрупповыми политиками на клиентском компьютере под управлением Windows Vistaдля проверки объектов групповой политики и структуры подразделений, которыесоздает сценарий GPOAccelerator.wsf.
Чтобыпроверить результаты выполнения сценария GPOAccelerator.wsf:
1. Нажмитекнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные иВыполнить.
2. В полеОткрыть введите gpmc.msc и нажмите кнопку ОК.
3. Щелкнитенужный лес, выберите пункт Domains (Домены) и домен.
4. Щелкнитеи разверните узел Vista Security Guide EC Client OU (Подразделение клиентовVista Security Guide EC) и откройте каждое из пяти подразделений, указанныхниже.
5.Убедитесь в том, что структура подразделений и связи объекта групповой политикисоответствуют изображенным на следующем рисунке.
/>
Рисунок1.4. Структура подразделений и связи объектов групповой политики
Все объектыгрупповой политики, созданные сценарием GPOAccelerator.wsf, полностьюзаполняются параметрами, рекомендуемыми в этом руководстве. После этого можноиспользовать средство «Active Directory – пользователи и компьютеры», чтобыпроверить схему путем перемещения пользователей и компьютеров в соответствующиеподразделения. Сведения о параметрах, содержащихся в каждом объекте групповойполитики, см. в приложении A «Параметры групповой политики, связанные сбезопасностью».
Развертывание схемы врабочей среде
Чтобысэкономить время, можно использовать сценарий GPOAccelerator.wsf для созданияобъектов групповой политики для среды EC. После этого можно связать объектыгрупповой политики с соответствующими подразделениями в существующей структуре.В крупных доменах с большим количеством подразделений необходимо продуматьиспользование существующей структуры подразделений для развертывания объектовгрупповой политики.
Повозможности необходимо разделять подразделения компьютеров и пользователей.Кроме того, требуются отдельные подразделения для настольных и переносныхкомпьютеров. Если такая структура невозможна в существующей среде, вероятно,потребуется изменить объекты групповой политики. Чтобы определить необходимыеизменения, используйте сведения о параметрах в приложении A «Параметрыгрупповой политики, связанные с безопасностью».
Примечание. Как указано в предыдущем разделе, можно использовать сценарийGPOAccelerator.wsf с параметром /LAB в тестовой среде для создания образцаструктуры подразделений. Тем не менее при гибкой структуре подразделений можнотакже использовать этот параметр в рабочей среде, чтобы создать базовую структуруподразделений и автоматически связать объекты групповой политики. После этогоможно изменить структуру подразделений вручную в соответствии с требованиямисреды.
Задача 1: создание объектов групповой политики
Объектыгрупповой политики EC, описанные в этом руководстве, создаются с помощьюсценария GPOAccelerator.wsf. Сценарий GPOAccelerator.wsf находится в папкеWindows Vista Security Guide\GPOAccelerator Tool, которую создает MSI-файлустановщика Microsoft Windows.
Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, накотором установлено это средство, на другой компьютер, где требуется выполнитьсценарий. Чтобы выполнить сценарий, как описано в следующей процедуре, папкаGPOAccelerator Tool и ее вложенные папки должны находиться на локальномкомпьютере.
Чтобысоздать объекты групповой политики в производственной среде:
1. Войдитес учетной записью администратора домена в систему компьютера под управлениемWindows Vista, который присоединен к домену с Active Directory, в котором будутсоздаваться объекты групповой политики.
2. Нажмитекнопку Пуск системы Windows Vista, выберите пункты Все программы и WindowsVista Security Guide.
3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4. Щелкнитеправой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имениадминистратора, чтобы открыть командную строку со всеми привилегиямиадминистратора домена.
Примечание. Если появится запрос на ввод учетных данных для входа в систему,введите свое имя пользователя и пароль и нажмите клавишу ВВОД.
5. Вкомандной строке введите cscript GPOAccelerator.wsf /Enterprise и нажмитеклавишу ВВОД.
6. В окне ссообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да»,чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).
Примечание. Это действие может занять несколько минут.
7. В окне ссообщением The SSLF GPOs are created (Объекты групповой политики Enterpriseсозданы) нажмите кнопку OK.
8. В окне ссообщением Make sure to link the Enterprise GPOs to the appropriate OUs(Свяжите объекты групповой политики Enterprise с соответствующимиподразделениями) нажмите кнопку OK.
Задача 2: использование консоли управления групповыми политиками дляпроверки результата.
Можноиспользовать консоль управления групповыми политиками, чтобы убедиться в том,что сценарий успешно создал все объекты групповой политики. Ниже описанапроцедура использования консоли управления групповыми политиками на клиентскомкомпьютере под управлением Windows Vista для проверки объектов групповойполитики, которые создает сценарий GPOAccelerator.wsf.
Чтобыпроверить результаты выполнения сценария GPOAccelerator.wsf:
1. Нажмитекнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные иВыполнить.
2. В полеОткрыть введите gpmc.msc и нажмите кнопку ОК.
3. Щелкнитенужный лес, выберите пункт Domains (Домены) и домен.
4.Разверните узел Group Policy Objects (Объекты групповой политики) и убедитесь втом, что четыре созданных объекта групповой политики VSG EC соответствуютобъектам на следующем рисунке.
/>
Рисунок1.5. Объекты групповой политики EC, созданные сценарием GPOAccelerator.wsf, вконсоли управления групповыми политиками
После этогоможно использовать консоль управления групповыми политиками для связи каждогообъекта групповой политики с соответствующим подразделением. Последняя задача впроцессе описывает, как это сделать.
Задача 3: использование консоли управления групповыми политиками для связиобъектов групповой политики с подразделениями
Следующаяпроцедура описывает, как использовать консоль управления групповыми политикамина клиентском компьютере под управлением Windows Vista для выполнения этойзадачи.
Чтобысвязать объекты групповой политики в производственной среде:
1. Нажмитекнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные иВыполнить.
2. В полеОткрыть введите gpmc.msc и нажмите кнопку ОК.
3. В деревеDomains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link anexisting GPO (Связать существующий объект групповой политики).
4. Вдиалоговом окне Select GPO (Выбор объекта групповой политики) выберите объектгрупповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмитекнопку OK.
5. Вобласти сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) инажмите кнопку Move link to top (Переместить ссылку наверх).
Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSGEC Domain Policy значение 1. В противном случае с доменом будут связаны другиеобъекты групповой политики, такие как Default Domain Policy GPO (Объектгрупповой политики домена по умолчанию), что приведет к переопределениюпараметров руководства по безопасности Windows Vista Security Guide.
6. Щелкнитеправой кнопкой мыши узел Windows Vista Users OU (Подразделение пользователейWindows Vista) и выберите пункт Link an existing GPO (Связать существующийобъект групповой политики).
7. Вдиалоговом окне Select GPO (Выбор объекта групповой политики) выберите объектгрупповой политики VSG EC Users Policy (Политика пользователей VSG EC) инажмите кнопку OK.
8. Щелкнитеправой кнопкой мыши узел Desktop OU (Подразделение настольных компьютеров) ивыберите пункт Link an existing GPO (Связать существующий объект групповойполитики).
9. Вдиалоговом окне Select GPO (Выбор объекта групповой политики) выберите объектгрупповой политики VSG EC Desktop Policy (Политика настольных компьютеров VSGEC) и нажмите кнопку OK.
10. Щелкнитеправой кнопкой мыши узел Laptop OU (Подразделение переносных компьютеров) ивыберите пункт Link an existing GPO (Связать существующий объект групповойполитики).
11. Вдиалоговом окне Select GPO (Выбор объекта групповой политики) выберите объектгрупповой политики VSG EC Laptop Policy (Политика переносных компьютеров VSGEC) и нажмите кнопку OK.
12. Повторитеэти действия для всех других созданных подразделений пользователей иликомпьютеров, чтобы связать их с соответствующими объектами групповой политики.
Примечание. Можно также перетащить объект групповой политики из узла GroupPolicy Objects (Объекты групповой политики) в подразделение. Тем не менееоперация перетаскивания поддерживается только для объектов в том же домене.
Чтобыподтвердить связи объектов групповой политики с помощью консоли управления групповымиполитиками:
• Развернитеузел Group Policy Objects (Объекты групповой политики) и выберите объектгрупповой политики. В области сведений откройте вкладку Scope (Область) ипросмотрите сведения в столбцах Link Enabled (Связь включена) и Path (Путь).
– Или –
• Выберитеподразделение и затем в области сведений откройте вкладку Linked Group PolicyObjects (Связанные объекты групповой политики) и просмотрите сведения встолбцах Link Enabled (Связь включена) и GPO (Объект групповой политики).
Примечание. Консоль управления групповыми политиками можно использовать дляотмены связи объектов групповой политики или их удаления. После этого можноудалить ненужные подразделения с помощью консоли управления групповымиполитиками или консоли «Active Directory – пользователи и компьютеры». Чтобыполностью отменить все изменения, внесенные сценарием GPOAccelerator.wsf,необходимо вручную удалить файлы EC-VSGAuditPolicy.cmd, EC-ApplyAuditPolicy.cmdи EC-AuditPolicy.txt из общей папки NETLOGON одного из контроллеров домена.Дополнительные сведения о том, как полностью отменить внедрение политикиаудита, см. в разделе «Политика аудита» приложения A «Параметры групповойполитики, связанные с безопасностью».
Все объектыгрупповой политики, созданные сценарием GPOAccelerator.wsf, полностьюзаполняются параметрами, рекомендуемыми в этом руководстве. После этого можноиспользовать средство «Active Directory – пользователи и компьютеры», чтобыпроверить схему путем перемещения пользователей и компьютеров в соответствующиеподразделения. Сведения о параметрах, содержащихся в каждом объекте групповойполитики, см. в приложении A «Параметры групповой политики, связанные сбезопасностью».
Миграцияобъектов групповой политики в другой домен (необязательно)
Приизменении объектов групповой политики в этом решении или создании собственныхобъектов групповой политики и необходимости использовать их в несколькихдоменах необходимо выполнить миграцию объектов групповой политики. Для миграцииобъекта групповой политики из одного домена в другой требуется планирование, ноосновная процедура достаточно проста. Во время планирования необходимо обратитьвнимание на две важных особенности данных объектов групповой политики.
• Сложностьданных. Данные, составляющие объект групповой политики, имеют сложную структурыи хранятся в нескольких местах. При использовании консоли управления групповымиполитиками для миграции объекта групповой политики обеспечивается надлежащаямиграция всех
• Данные,относящиеся к домену. Некоторые данные в объекте групповой политики могутотноситься к конкретному домену и стать недопустимыми при прямом копировании вдругой домен. Чтобы решить эту проблему, таблицы миграции консоли управлениягрупповыми политиками позволяют изменять относящиеся к домену данные в объектегрупповой политики на новые значения во время миграции. Это требуется делатьтолько в том случае, если объект групповой политики содержит идентификатор (ИД)безопасности или пути UNC, которые относятся только к конкретному домену.
Дополнительныесведения о миграции объектов групповой политики см. в справке консолиуправления групповыми политиками. В техническом документе Миграция объектовгрупповой политики между доменами с помощью консоли управления групповымиполитиками (на английском языке) также содержатся дополнительные сведения омиграции объектов групповой политики между доменами. Средство GPOAccelerator
С даннымруководством распространяются сценарий и шаблоны безопасности. В этом разделеприводятся общие сведения о данных ресурсах. Важнейшим средством, котороевыполняет основной сценарий для этого руководства по безопасности, являетсяGPOAccelerator.wsf, расположенное в папке Windows Vista SecurityGuide\GPOAccelerator Tool\Security Group Policy Objects. Кроме того, в этомразделе рассказывается, как изменить консоль управления групповыми политикамидля просмотра параметров объекта групповой политики, а также описываютсяструктура подкаталогов и типы файлов, которые распространяются с руководством.Другим ресурсом для сравнения значений параметров является файл Windows VistaSecurity Guide Settings.xls, который также прилагается к этому руководству.
Консольуправления групповыми политиками и расширения SCE
Решение,представленное в этом руководстве, использует параметры объекта групповойполитики, которые не отображаются в стандартном пользовательском интерфейсеконсоли управления групповыми политиками в Windows Vista или редактореконфигураций безопасности (SCE). Эти параметры с префиксом MSS: былиразработаны группой Microsoft Solutions for Security для предыдущегоруководства о безопасности.
Внимание! Расширения SCE и сценарий GPOAccelerator.wsf предназначены толькодля запуска на компьютерах под управлением Windows Vista. Эти средства не будутправильно работать при запуске на компьютере под управлением системы Windows XPили Windows Server 2003.
По этойпричине необходимо расширить эти средства, чтобы просматривать параметрыбезопасности и при необходимости редактировать их. Для этого сценарийGPOAccelerator.wsf автоматически обновляет компьютер при создании объектовгрупповой политики. Чтобы администрировать объекты групповой политикируководства по безопасности Windows Vista с другого компьютера под управлениемWindows Vista, используйте следующую процедуру для обновления SCE на этомкомпьютере.
Чтобыизменить SCE для вывода параметров MSS
1. Убедитесьв том, что выполнены указанные ниже условия.
• Компьютерприсоединен к домену с Active Directory, в котором созданы объекты групповойполитики.
• Установлен каталог Windows Vista Security Guide\GPOAccelerator Tool.
Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, накотором установлено это средство, на другой компьютер, где требуется выполнитьсценарий. Чтобы выполнить сценарий, как описано в этой процедуре, папкаGPOAccelerator Tool и ее вложенные папки должны находиться на локальномкомпьютере.
2. Войдитена компьютер с учетной записью администратора.
3. Нажмитекнопку Пуск системы Windows Vista, выберите пункты Все программы и WindowsVista Security Guide.
4. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
5. Щелкнитеправой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имениадминистратора, чтобы открыть командную строку со всеми привилегиямиадминистратора.
Примечание. Если появится запрос на ввод учетных данных для входа в систему,введите свое имя пользователя и пароль и нажмите клавишу ВВОД.
6. Вкомандной строке введите cscript GPOAccelerator.wsf /ConfigSCE и нажмитеклавишу ВВОД.
7. В окне ссообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да»,чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).
8. В окне ссообщением TheSecurity Configuration Editor is updated (Редактор конфигурацийбезопасности обновлен) нажмите кнопку OK.
Внимание! Это сценарий только изменяет SCE так, чтобы отображалисьпараметры MSS, он не создает объекты групповой политики или подразделения.
Следующаяпроцедура удаляет дополнительные параметры безопасности MSS, а затемустанавливает для параметров средства SCE значения по умолчанию для WindowsVista.
Чтобыприсвоить параметрам средства SCE значения по умолчанию для Windows Vista:
1. Войдитена компьютер с учетной записью администратора.
2. Нажмитекнопку Пуск системы Windows Vista, выберите пункты Все программы и WindowsVista Security Guide.
3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4. Щелкнитеправой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имениадминистратора, чтобы открыть командную строку со всеми привилегиямиадминистратора.
Примечание. Если появится запрос на ввод учетных данных для входа в систему,введите свое имя пользователя и пароль и нажмите клавишу ВВОД.
5. Вкомандной строке введите cscript GPOAccelerator.wsf /ResetSCE и нажмите клавишуВВОД.
6. В окне ссообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да»,чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).
Примечание. При выполнении этой процедуры параметрам редактора конфигурацийбезопасности назначаются значения по умолчанию для Windows Vista. Всепараметры, добавленные в редактор конфигураций безопасности, будут удалены. Этоповлияет только на отображение этих параметров в редакторе конфигурацийбезопасности. Настроенные параметры групповых политик не удаляются.
7. В окне ссообщением TheSecurity Configuration Editor is updated (Редактор конфигурацийбезопасности обновлен) нажмите кнопку OK.
Предыдущие параметрыбезопасности
Если необходимосоздать собственную политику безопасности, а не использовать или изменитьполитики, предоставляемые с данным руководством, можно импортировать нужныепараметры безопасности с помощью шаблонов безопасности. Шаблоны безопасности – этотекстовые файлы, содержащие значения параметров безопасности. Они являютсяподкомпонентами объектов групповой политики. Параметры политики, содержащиеся вшаблонах безопасности, можно изменять в оснастке «Редактор объектов групповойполитики» консоли управления (MMC). В отличие от предыдущих версий операционнойсистемы Windows, ОС Windows Vista не включает предварительно заданные шаблоныбезопасности, хотя при необходимости можно использовать существующие шаблоны.
Шаблоныбезопасности входят в MSI-файл установщика Windows, который распространяется сэтим руководством. В папке GPOAccelerator Tool\Security Templates находятсяследующие шаблоны для среды EC:
• VSG ECDesktop.inf
• VSG ECDomain.inf
• VSG ECLaptop.inf
Внимание! Для развертывания решения, описанного в этом руководстве, нетребуются шаблоны безопасности. Шаблоны являются альтернативой решению наоснове консоли управления групповыми политиками и включают только параметрыбезопасности компьютера из раздела Конфигурация компьютера\КонфигурацияWindows\Параметры безопасности. Например, с помощью шаблона безопасности нельзяуправлять параметрами Internet Explorer или брандмауэра Windows в объектахгрупповой политики, а также параметрами пользователя.
Работа с шаблонамибезопасности
Чтобы использоватьшаблоны безопасности, необходимо сначала расширить SCE таким образом, чтобынастраиваемые параметры безопасности MSS отображались в пользовательскоминтерфейсе. Дополнительные сведения см. в предыдущем разделе данной главы «Консольуправления групповыми политиками и расширения SCE». Если шаблоны можнопросматривать, для их импорта в созданные объекты групповой политики принеобходимости можно использовать следующую процедуру.
Чтобыимпортировать шаблон безопасности в объект групповой политики:
1. Откройтередактор объектов групповой политики для объекта групповой политики, которыйтребуется изменить. Для этого в консоли управления групповыми политикамищелкните правой кнопкой мыши объект групповой политики и выберите пунктИзменить.
2. Вредакторе объектов групповой политики перейдете к папке Конфигурация Windows.
3. Развернитепапку Конфигурация Windows и выберите пункт Параметры безопасности.
4. Щелкнитеправой кнопкой мыши папку Параметры безопасности и выберите пункт Импортироватьполитику.
5. Откройте папку Security Templates в папке Windows Vista Security Guide.
6. Выберитешаблон безопасности, который необходимо импортировать, и нажмите кнопкуОткрыть.
Послевыполнения последнего действия этой процедуры параметры из файла копируются вобъект групповой политики.
Можно такжеиспользовать шаблоны безопасности, которые распространяются с руководством,чтобы изменить локальную политику безопасности на автономных клиентскихкомпьютерах под управлением Windows Vista. Сценарий GPOAccelerator.wsf упрощаетприменение шаблонов.
Чтобыприменить шаблоны безопасности для создания локальной групповой политики наавтономных клиентских компьютерах под управлением Windows Vista:
1. Войдитев систему компьютера под управлением Windows Vista с учетной записью администратора.
2. Нажмитекнопку Пуск системы Windows Vista, выберите пункты Все программы и WindowsVista Security Guide.
3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4. Щелкнитеправой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имениадминистратора, чтобы открыть командную строку со всеми привилегиямиадминистратора.
Примечание. Если появится запрос на ввод учетных данных для входа в систему,введите свое имя пользователя и пароль и нажмите кнопку ВВОД.
5. В команднойстроке введите cscript GPOAccelerator.wsf /Enterprise /Desktop или cscriptGPOAccelerator.wsf /Enterprise /Laptop и нажмите клавишу ВВОД.
Этапроцедура изменяет параметры локальной политики безопасности, используязначения в шаблонах безопасности для среды EC.
Чтобывосстановить значения параметров по умолчанию для локальной групповой политикив Windows Vista:
1. Войдитев систему клиентского компьютера под управлением Windows Vista с учетнойзаписью администратора.
2. Нажмитекнопку Пуск системы Windows Vista, выберите пункты Все программы и WindowsVista Security Guide.
3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4. Щелкнитеправой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имениадминистратора, чтобы открыть командную строку со всеми привилегиямиадминистратора.
Примечание. Если появится запрос на ввод учетных данных для входа в систему,введите свое имя пользователя и пароль и нажмите кнопку ВВОД.
5. Вкомандной строке введите cscript GPOAccelerator.wsf /Restore и нажмите клавишуВВОД.
Папка,содержащая INF-файлы шаблонов безопасности, которые можно использовать длявнедрения некоторых параметров безопасности, рекомендуемых в этом руководстве.
Примечание.Корпорация Майкрософт рекомендует использовать сценарий, распространяемый сэтим руководством, для создания рекомендуемых объектов групповой политики. Темне менее предоставляемые шаблоны безопасности могут помочь защитить автономныекомпьютеры.
Security Templates\EC-VSG Desktop.inf
Шаблон безопасности Enterprise Desktop
Security Templates\EC-VSG Domain.inf
Шаблон безопасности Enterprise Domain
Security Templates\EC-VSG Laptop.inf
Шаблон безопасности Enterprise Laptop
Security Templates\SSLF-VSG Desktop.inf
Шаблон безопасности SSLF Desktop
Security Templates\SSLF-VSG Domain.inf
Шаблон безопасности SSLF Domain
Security Templates\SSLF-VSG Laptop.inf
Шаблон безопасности SSLF Laptop
Security Templates\Vista Default Security.cmd
Командныйфайл, используемый при восстановлении значений параметров по умолчанию Windows Vista для локальной политики безопасности.
Security Templates\Vista Default Security.inf
Шаблонбезопасности, используемый при восстановлении значений параметров по умолчанию Windows Vista для локальной политики безопасности.
Security Templates\Vista Default Security.sdb
Файл базыданных безопасности, используемый при восстановлении значений параметров поумолчанию Windows Vista для локальной политики безопасности.
Security Templates\Vista Local Security.sdb
Файл базыданных безопасности, используемый при применении шаблонов безопасности VSG ккомпьютеру.Технологии защитысистемы Windows Vista
СистемаWindows Vista включает в себя несколько новых и усовершенствованных технологий,которые обеспечивают повышенный уровень защиты от вредоносных программ. Вотсписок этих технологий:
• Контрольучетных записей (UAC).
• ЗащитникWindows.
•Брандмауэр Windows
• Центр обеспечениябезопасности Windows
• Средствоудаления вредоносных программ
• Политикиограниченного использования программ
Помимоиспользования этих технологий защиты необходимо помнить, что для обеспечениябезопасности настоятельно рекомендуется входить в систему с учетной записьюобычного пользователя. Даже при использовании всех этих технологий, если не защититьпользователей с правами администратора, компьютеры подвергаются риску.
Контроль учетных записей
СистемаWindows Vista включает в себя функцию контроля учетных записей (UAC), котораяпредоставляет способ разделить привилегии и задачи обычного пользователя иадминистратора. Функция контроля учетных записей повышает уровень безопасности,улучшая работу пользователя при использовании учетной записи обычногопользователя. Теперь пользователи могут выполнять больше задач и пользоватьсяповышенной совместимостью приложений без необходимости входить в систему спривилегиями администратора. Это помогает снизить влияние вредоносных программ,а также предотвратить установку несанкционированного программного обеспечения ивнесение в систему несанкционированных изменений.
Примечание. В предыдущих версиях операционной системы Windows существовалагруппа «Опытные пользователи», членам которой было разрешено выполнятьсистемные задачи, такие как установка приложений, не имея разрешений администратора.В функции контроля учетных записей группа «Опытные пользователи» непредусмотрена, а разрешения, предоставленные этой группе в системе WindowsVista, удалены. Тем не менее, группу «Опытные пользователи» все еще можноиспользовать в целях обратной совместимости с другими версиями операционнойсистемы. Для работы с группой «Опытные пользователи» в системе Windows Vistaнеобходимо применить новый шаблон безопасности для изменения разрешений поумолчанию на системные папки и реестр, чтобы предоставить группе «Опытныепользователи» разрешения, эквивалентные разрешениям для этой группы в WindowsXP.
В системеWindows Vista обычные пользователи могут теперь выполнять множество задач,которые ранее требовали прав администратора, но не влияли на безопасностьотрицательным образом. Примеры задач, которые теперь могут выполнять обычныепользователи: изменение параметров часового пояса, подключение к защищеннойбеспроводной сети и установка одобренных устройств и элементов управленияMicrosoft ActiveX®.
Более того,режим одобрения администратором в технологии контроля учетных записей такжепозволяет защитить компьютеры с операционной системой Windows Vista отнекоторых типов вредоносных программ. По умолчанию администраторы могутзапускать большинство программ и задач с привилегиями обычного пользователя.Когда пользователям требуется выполнить административные задачи, такие какустановка нового программного обеспечения или изменение определенных системныхпараметров, система запрашивает их согласие на выполнение подобных задач. Темне менее, этот режим не обеспечивает такой же уровень защиты, как использованиеучетной записи обычного пользователя и не гарантирует, что вредоноснаяпрограмма, уже находящаяся на клиентском компьютере, не сможет замаскироваться подпрограммное обеспечение, требующее повышенных привилегий. Этот режим также негарантирует, что программное обеспечение с повышенными привилегиями само посебе не начнет выполнять вредоносные действия после повышения привилегий.
Чтобывоспользоваться преимуществами этой технологии, необходимо настроить новыепараметры групповой политики в системе Windows Vista для управления поведениемфункции контроля учетных записей. Параметры групповой политики, описанные впредыдущей главе, настраиваются для обеспечения предписанного поведения функцииконтроля учетных записей. Тем не менее, корпорация Майкрософт рекомендуетпересмотреть предписанные значения для этих параметров, описанные в приложенииА «Параметры групповой политики, связанные с безопасностью», чтобы убедиться втом, что они оптимально настроены для удовлетворения потребностей среды.
Оценка риска
Пользователис привилегиями администратора входят в систему с включенными административнымивозможностями. Это может привести к случайному или злонамеренному выполнениюадминистративных задач без ведома пользователя.
Пример.
•Пользователь неосознанно загружает и устанавливает вредоносную программу свредоносного или зараженного веб-узла.
•Пользователя обманным путем заставляют открыть вложение сообщения электроннойпочты, содержащее вредоносную программу, которая запускается и, возможно, устанавливает себя на компьютер.
• Вкомпьютер вставляется съемный диск, а функция автоматического воспроизведенияавтоматически пытается запустить вредоносную программу.
•Пользователь устанавливает неподдерживаемые приложения, которые могут оказатьвлияние на производительность или надежность компьютеров. Снижение рисков
Рекомендуемыйподход к снижению рисков заключается в том, чтобы все пользователи входили всистему, используя для повседневных задач учетную запись обычного пользователя.Пользователям следует повышать уровень привилегий до уровня учетной записиадминистратора только для задач, которые требуют такого уровня доступа. Такжеубедитесь в том, что функция контроля учетных записей включена и выводит запроспри попытке выполнить пользователем задачу, которая требует привилегийадминистратора.
Сведения оснижении рисков
Функцияконтроля учетных записей позволяет снизить риски, описанные в предыдущемразделе «Оценка риска». Тем не менее, необходимо учитывать следующее:
• Если вкомпании есть собственные разработчики приложений, корпорация Майкрософтрекомендует им загрузить и прочитать статью Требования к разработке приложенийдля системы Windows для обеспечения совместимости с функцией контроля учетныхзаписей (на английском языке). В этом документе описывается процесспроектирования и разработки приложений для системы Windows Vista, совместимых сфункцией контроля учетных записей.
• Функцияконтроля учетных записей может создавать проблемы при работе несовместимых сней приложений. По этой причине перед развертыванием приложений необходимопротестировать их с функцией контроля учетных записей. Дополнительные сведенияо тестировании совместимости приложений см. на веб-узле Развертываниенастольных приложений в сети Microsoft TechNet®.
• Функцияконтроля учетных записей запрашивает учетные данные администратора и согласиепользователя на повышение привилегий. Это увеличивает количество действий,которые необходимо выполнить для завершения многих стандартных задачадминистрирования. Следует оценить влияние увеличения количества действий наработу административного персонала. Дополнительные запросы функции контроля учетныхзаписей оказывают значительное влияние на работу этих пользователей, поэтомупараметру политики контроля учетных записей Behavior of the elevation promptfor administrators in Admin Approval Mode (Поведение запроса повышенияпривилегий для администраторов в режиме одобрения администратором) можноприсвоить значение Elevate without prompting (Повышать привилегии без запроса).Тем не менее, изменение этой политики может повысить риск для среды, и центробеспечения безопасности Windows сообщит об этом.
• Пользовательс привилегиями администратора может отключить режим одобрения администратором,отключить вывод функцией контроля учетных записей запроса на ввод учетныхданных для установки приложений и изменить поведение запроса на повышениепривилегий. По этой причине важно контролировать количество пользователей,имеющих доступ к привилегиям администратора на компьютерах в организации.
•Корпорация Майкрософт рекомендует назначить две учетных записи дляадминистративного персонала. Для повседневных задач эти сотрудники должныиспользовать учетную запись обычного пользователя. При необходимости выполнитьспецифические задачи администрирования этим сотрудникам следует войти в системус учетной записью уровня администратора, выполнить задачи и выйти из системы, чтобывернуться к учетной записи обычного пользователя.
• Параметрыгрупповой политики в этом руководстве запрещают обычному пользователю повышатьпривилегии. Такой подход является рекомендуемым, поскольку гарантирует, чтозадачи администрирования могут выполняться только с учетными записями, которыеспециально были настроены на уровень администратора.
• Еслиприложение неправильно определено как приложение администратора илипользователя (например, с помощью маркера «администратор» или «обычный»),система Windows Vista может запустить приложение в неверном контекстебезопасности. Процедура снижения рисков
Начнитепроцесс снижения рисков с изучения всех возможностей функции контроля учетныхзаписей. Дополнительные сведения см. в Пошаговом руководстве по функцииконтроля учетных записей в системе Windows Vista и в руководстве Приступая кработе с функцией контроля учетных записей в системе Windows Vista.
Использованиепроцедуры снижения рисков:
1.Определите количество пользователей, способных выполнять задачиадминистрирования.
2.Определите, как часто необходимо выполнять задачи администрирования.
3.Определите, следует ли администраторам выполнять задачи администрирования путемпростого согласия в ответ на запрос функции контроля учетных записей или длявыполнения задач администрирования им необходимо будет вводить определенныеучетные данные.
4.Определите, следует ли обычным пользователям иметь возможность повышенияпривилегий для выполнения задач администрирования. Параметры политики,описанные в данном руководстве, блокируют возможность повышения своихпривилегий обычными пользователями.
5.Определите, каким образом будет проходить процесс установки приложений.
6.Настройте параметры групповой политики контроля учетных записей в соответствии со своими требованиями.
Использованиегрупповой политики, чтобы снизить риски для функции контроля учетных записей:
Параметрыконтроля учетных записей можно настроить в следующем местоположении редактораобъектов групповой политики:
Конфигурациякомпьютера\Параметры Windows\Параметры безопасности\Локальныеполитики\Параметры безопасности ЗащитникWindows.
ЗащитникWindows – это программа, входящая в систему Windows Vista, также доступная длязагрузки в системе Windows XP. Она позволяет защитить компьютеры от всплывающихокон, низкой производительности и угроз безопасности, вызванныхпрограммами-шпионами и иным нежелательным программным обеспечением. ЗащитникWindows осуществляет наблюдение в режиме реального времени за важнымиконтрольными точками операционной системы Windows Vista, которые являются цельюподобного нежелательного программного обеспечения, например, за папкой «Автозагрузка»и записями автозагрузки в реестре.
ЗащитникWindows позволяет обнаружить и удалить нежелательные приложения, такие какпрограммы для показа рекламы, клавиатурные шпионы и программы-шпионы. Еслипрограмма пытается изменить защищенную область в системе Windows Vista,Защитник Windows предложит пользователю либо принять, либо отклонить изменение,чтобы защититься от установки программы-шпиона. Подобное наблюдение повышаетнадежность компьютеров с операционной системой Windows Vista и обеспечиваетдополнительную защиту конфиденциальности пользователя. Защитник Windows включенпо умолчанию в системе Windows Vista, и хотя данная технология обеспечиваетулучшенную защиту от программ-шпионов, ее также можно использовать совместно спродуктами сторонних производителей для защиты компьютера. Для обеспечениялучшей защиты от вредоносного программного обеспечения корпорация Майкрософтнастоятельно рекомендует клиентам также развернуть совместно с ЗащитникомWindows полноценное антивирусное решение.
Чтобыуправлять поведением Защитника Windows, можно настроить в системе Windows Vistaновые параметры групповой политики. Среди параметров групповой политики,описанных в предыдущей главе, нет параметров, изменяющих поведение ЗащитникаWindows по умолчанию, поскольку значения этих параметров зависят от требованийконкретной среды.
Сообщество Microsoft SpyNet
MicrosoftSpyNet – это интернет-сообщество, помогающее пользователю компьютера выбратьспособ реакции на потенциальные угрозы со стороны программ-шпионов. Сообществотакже позволяет остановить распространение заражения новымипрограммами-шпионами.
Приобнаружении Защитником Windows программ, еще не классифицированных по степенириска, или изменений, внесенных такими программами, можно посмотреть, какдругие члены сообщества реагируют на эту угрозу. В свою очередь, предпринимаемыевами действия помогают другим членам сообщества выбрать способ реагирования.Ваши действия также помогают корпорации Майкрософт выбрать, какое программноеобеспечение необходимо исследовать на наличие потенциальных угроз. Можновыбрать отправку базовых или дополнительных сведений об обнаруженномпрограммном обеспечении. Дополнительные сведения позволяют улучшить работуЗащитника Windows. Например, технология может включать поиск обнаруженныхэлементов на компьютере при удалении вредоносного программного обеспечения. Вэтих случаях, Защитник Windows будет автоматически собирать и отправлятьсведения сообществу. Оценка риска
Программы-шпионыпредставляют ряд серьезных угроз организации, которые необходимо устранить,чтобы гарантировать безопасность данных и компьютеров. Наиболее общие риски,которые программы-шпионы представляют для организации, включают в себяследующее.
•Конфиденциальные бизнес-данные, которые могут попасть в руки неавторизованныхпользователей.
• Личныеданные сотрудников, которые могут попасть в руки неавторизованныхпользователей.
•Использование уязвимости компьютера злоумышленником.
• Потеряпроизводительности из-за влияния программ-шпионов на стабильность работыкомпьютера.
•Увеличение стоимости технической поддержки вследствие зараженияпрограммами-шпионами.
•Потенциальный риск шантажа компании в случае раскрытия конфиденциальных данных врезультате заражения. Снижение рисков
ЗащитникWindows разработан для снижения рисков, связанных с программами-шпионами.Постоянные обновления данной технологии выполняются автоматически через Центробновления Windows или службы Microsoft Windows Server Update Services (WSUS).
Вдополнение к защите от программ-шпионов, обеспечиваемой Защитником Windows,корпорация Майкрософт настоятельно рекомендует установить антивирусный пакет,позволяющий улучшить защиту, обнаруживая помимо программ-шпионов также вирусы,программы типа «Троянский конь» и вирусы-черви. Например, такие продукты какMicrosoft Forefront Client Security, обеспечивают универсальную защиту отвредоносных программ для настольных компьютеров, переносных компьютеров исерверных операционных систем организации. Условия для снижения рисков
ЗащитникWindows включен по умолчанию в системе Windows Vista. Эта технологияразработана с учетом потребления минимума системных ресурсов для работы накомпьютерах, аппаратные возможности которых ниже среднего уровня. Тем не менее,в процессе развертывания системы Windows Vista организациям следует принять вовнимание следующие рекомендации.
•Протестируйте взаимодействие со всеми антивирусными и антишпионскими сканерамисторонних производителей, которые предполагается использовать в организации.
• Создайтесистему управления развертыванием обновлений с определением подписей в случае,если в организации имеется большое количество компьютеров.
• Дайтепользователям представление о наиболее распространенных способах, используемыхпрограммами-шпионами, для того чтобы обманным путем заставить запуститьвредоносную программу.
•Запланируйте время сканирования, соответствующее потребностям организации.Значение по умолчанию – ежедневно, в 2:00. Если невозможно выполнитьсканирование компьютера в это время, пользователь получит уведомление и запросна запуск сканирования. Если сканирование не выполнялось за последние два дня,оно начнется приблизительно через 10 минут после следующего запуска компьютера.Это сканирование выполняется с низким приоритетом и практически не оказываетвлияния на клиентскую систему. Благодаря улучшению производительности операцийввода-вывода в системе Windows Vista, это сканирование с низким приоритетомзначительно меньше влияет на систему, чем в системе Windows XP.
• ЗащитникWindows не является антишпионским приложением для крупных организаций. В немотсутствуют механизмы централизованного создания отчетов, наблюдения иуправления бизнес-класса. Если требуются дополнительные возможности созданияотчетов или контроля, необходимо изучить другие продукты, такие как MicrosoftForefront Client Security.
•Определите политику своей организации в отношении отправки отчетов о возможныхпрограммах-шпионах в интернет-сообщество Microsoft SpyNet. Процедура снижения рисков
ПосколькуЗащитник Windows является компонентом системы по умолчанию, для его включенияне требуется никаких дополнительных действий. Тем не менее, корпорацияМайкрософт рекомендует выполнить ряд дополнительных действий, гарантирующихбезопасность организации. Использование процедуры снижения рисков
1. Изучитевозможности системы Windows Vista и Защитника Windows, связанные с защитой отпрограмм-шпионов.
2. Изучитепараметры групповой политики для Защитника Windows.
3. Проанализируйтенеобходимость дополнительной защиты организации от вирусов.
4. Составьтеплан оптимального процесса обновления для компьютеров в организации. Возможно,что для переносных компьютеров потребуется иная конфигурация обновлений, чемдля настольных компьютеров.
5. Научитепользователей самостоятельно определять подозрительные действия компьютера.
6. Обучитесотрудников службы поддержки использовать средства Защитника Windows дляоказания помощи при обращениях в службу. БрандмауэрWindows
Персональныйбрандмауэр является важнейшей линией защиты от многих видов вредоносныхпрограмм. Как и брандмауэр в ОС Windows XP с пакетом обновления 2 (SP2)брандмауэр в системе Windows Vista включен по умолчанию для защиты компьютерапользователя сразу после запуска операционной системы.
БрандмауэрWindows в системе Windows Vista включает фильтрацию входящего и исходящеготрафика для защиты пользователей путем ограничения ресурсов операционнойсистемы, ведущих себя непредусмотренным образом. Брандмауэр также интегрируетсяс функцией осведомленности о состоянии сети системы Windows Vista, чтопозволяет применять специализированные правила в зависимости от местонахожденияклиентского компьютера. Например, если переносной компьютер расположен в сетиорганизации, правила брандмауэра могут быть определены администратором доменнойсетевой среды в соответствии с требованиями к безопасности этой сети. Тем неменее, если пользователь пытается подключить тот же самый переносной компьютерк Интернету через публичную сеть, например, бесплатную точку подключения кбеспроводной сети, автоматически будет использован другой набор правилбрандмауэра, гарантирующий, что компьютер будет защищен от атаки.
Кроме того,впервые для операционной системы Windows система Windows Vista интегрируетуправление брандмауэром с IPsec (Internet Protocol security). В системе WindowsVista IPsec и управление брандмауэром интегрированы в одну консоль – консольбрандмауэра Windows в режиме повышенной безопасности. Эта консоль позволяетцентрализованно управлять фильтрацией входящего и исходящего трафика ипараметрами изоляции сервера и домена IPsec с помощью пользовательскогоинтерфейса для упрощения настройки и уменьшения количества конфликтов политик. Оценка риска
Подключениек сети является жизненно важным требованием в современном бизнесе. Тем неменее, такое подключение также является основной целью злоумышленников. Угрозы,связанные с подключением, необходимо устранить, чтобы гарантироватьбезопасность данных и компьютеров. Наиболее известные угрозы для организации,связанные с сетевыми атаками, включают в себя следующее.
•Компьютер, используемый злоумышленником, который может впоследствии получить кэтому компьютеру доступ с правами администратора.
•Приложения для сканирования сети, которые злоумышленник может использовать дляобнаружения открытых сетевых портов, позволяющих провести атаку.
•Конфиденциальные бизнес-данные, которые могут стать доступными неавторизованнымпользователям, если программа типа «Троянский конь» сможет открытьнесанкционированное сетевое подключение между клиентским компьютером и компьютеромзлоумышленника.
•Переносные компьютеры, которые могут подвергнуться сетевым атакам принахождении за пределами сетевого брандмауэра организации.
•Компьютеры во внутренней сети, которые могут подвергнуться сетевой атаке суязвимого компьютера, подключенного напрямую к внутренней сети.
•Потенциальный риск шантажа организации в случае успешного использованиязлоумышленником внутренних компьютеров. Снижение рисков
Брандмауэрв системе Windows Vista обеспечивает защиту клиентского компьютера с моментаустановки операционной системы. Брандмауэр блокирует большую частьнежелательного входящего трафика, если администратором или параметрамигрупповой политики не были внесены изменения.
БрандмауэрWindows также включает фильтрацию исходящего сетевого трафика, и изначально этоправило установлено на значение «Разрешить» для всего исходящего сетевоготрафика. Параметры групповой политики можно использовать для настройки этихправил в брандмауэре Windows Vista, чтобы гарантировать, что параметрыбезопасности клиента останутся постоянными. Условия для снижения рисков
Имеется рядвопросов, которые следует учесть, если планируется использовать брандмауэр всистеме Windows Vista.
•Протестируйте взаимодействие с приложениями, которые необходимо использовать накомпьютерах в организации. Для каждого приложения необходимо составить списоктребований к сетевым портам, чтобы гарантировать, что в брандмауэре Windowsбудут открыты только необходимые порты.
•Брандмауэр Windows XP поддерживает доменный и стандартный профили. Профильдомена активен, если клиент подключен к сети, которая содержит контроллерыдомена для домена, в котором находится учетная запись компьютера. Это позволяетсоздавать правила в соответствии с требованиями внутренней сети организации.Брандмауэр Windows Vista включает частный и общий профили, обеспечивающие болееточное управление защитой клиентского компьютера при работе пользователя запределами сетевой защиты организации.
• Оценитевозможности ведения журнала брандмауэра Windows для определения возможности егоинтеграции в существующие решения предприятия по созданию отчетов и наблюдению.
• Поумолчанию брандмауэр Windows блокирует удаленный контроль или удаленноеуправление компьютерами с операционной системой Windows Vista. КорпорацияМайкрософт создала ряд правил для брандмауэра Windows, предназначенныхспециально для выполнения подобных удаленных задач. Для того чтобы компьютерыорганизации поддерживали выполнение подобных задач, необходимо включитьсоответствующие правила для каждого профиля, в котором требуется выполнениеэтих задач. Например, можно включить правило удаленного рабочего стола дляпрофиля домена, чтобы позволить своей справочной службе поддерживатьпользователей в сети организации, но отключить его для частного и общегопрофилей, чтобы сократить возможности для атаки на компьютеры, когда онинаходятся за пределами сети организации. Снижение рисков с помощью брандмауэра Windows врежиме повышенной безопасности
СистемаWindows Vista включает новые параметры групповой политики и пользовательскийинтерфейс управления, которые помогают настраивать новые функции в брандмауэреWindows Vista. Расширенные параметры безопасности для системы Windows Vista неприменяются к клиентскому компьютеру с операционной системой Windows XP.
КорпорацияМайкрософт рекомендует тщательно изучить эти новые возможности, чтобы определить,смогут ли они обеспечить лучшую безопасность среды. Если планируется изменитьдействия брандмауэра Windows Vista, выполняемые по умолчанию, корпорацияМайкрософт рекомендует использовать для управления клиентскими компьютерами соперационной системой Windows Vista параметры групповой политики брандмауэраWindows в режиме повышенной безопасности.
Новыепараметры групповой политики и оснастку управления, доступные для брандмауэраWindows, можно изучить и настроить в следующем местоположении редактораобъектов групповой политики:
Конфигурациякомпьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows в режимеповышенной безопасности
БрандмауэрWindows в режиме повышенной безопасности поддерживает следующие профили среды.
• Профильдомена. Этот профиль применяется, если компьютер подключен к сети и проходитпроверку подлинности на контроллере домена, которому принадлежит компьютер.
• Общийпрофиль. Данный профиль является типом сетевого местоположения по умолчанию вслучае, если компьютер не подключен к домену. Параметры общего профиля должнымаксимально ограничивать доступ, поскольку компьютер подключен к общедоступнойсети, безопасность которой нельзя контролировать так же жестко, как в ИТ-среде.
• Частныйпрофиль. Этот профиль применяется только в случае, если пользователь спривилегиями локального администратора назначает его сети, которая до этогобыла общей. Корпорация Майкрософт рекомендует делать это только при работе внадежной сети.
Важнопонимать, что одновременно активен только один профиль. Если на компьютереустановлено несколько сетевых плат, и они подключены к разным сетям, выборприменяемого профиля осуществляется следующим образом:
1. Если всесетевые платы подключены к сети с доменами, примените профиль домена.
2. Если всесетевые платы подключены к частной сети, примените частный профиль.
3. Еслиодна из плат подключена к общей сети, примените общий профиль.
КорпорацияМайкрософт рекомендует включить брандмауэр Windows в режиме повышеннойбезопасности для всех трех профилей. Помимо расширенных правил брандмауэраWindows, он также поддерживает правила безопасности подключения. Безопасностьподключения включает проверку подлинности двух компьютеров перед началом ихвзаимодействия и обеспечение безопасности данных, пересылаемых между двумякомпьютерами. Брандмауэр Windows в режиме повышенной безопасности включаеттехнологию IPsec для поддержки обмена ключами, проверки подлинности,целостности данных, а также шифрования данных (дополнительно).
Вприложении А «Параметры групповой политики, связанные с безопасностью» описываютсявсе исходные параметры брандмауэра Windows в режиме повышенной безопасности ипоясняется, какие параметры требуют специфичные для среды сведения. Центр обеспечения безопасности Windows
Центробеспечения безопасности Windows (WSC) работает в фоновом режиме на клиентскихкомпьютерах с операционными системами Windows Vista и Windows XP с пакетомобновления 2 (SP2). В системе Windows Vista эта функция постоянно проверяет иотображает состояние четырех важных категорий безопасности.
•Брандмауэр
• Функцияавтоматического обновления
• Защита отвредоносных программ
• Другиепараметры безопасности
Центробеспечения безопасности Windows также служит отправной точкой для доступа кдругим областям компьютера, относящимся к безопасности, и обеспечивает единоеместо для поиска связанных с безопасностью ресурсов и поддержки. Например,центр обеспечения безопасности Windows содержит ссылку, позволяющуюпользователям, не имеющим антивирусного программного обеспечения, просмотретьпредложения поставщиков антивирусных решений, совместимых с центром обеспечениябезопасности Windows.
КорпорацияМайкрософт улучшила центр обеспечения безопасности Windows в системе WindowsVista, включив в него категорию «Другие параметры безопасности». Эта категорияотображает состояние параметров безопасности обозревателя Internet Explorer ифункции управления учетными записями пользователей. Другая новая категория всистеме Windows Vista – это «Защита от вредоносных программ», которая включаетнаблюдение за антивирусным и антишпионским программным обеспечением. Помимозащиты, обеспечиваемой системой Windows Vista по умолчанию, центр обеспечениябезопасности Windows позволяет осуществлять наблюдение за решениями различных производителейпо обеспечению безопасности для брандмауэра Windows, а также антивирусным иантишпионским программным обеспечением, запущенном на клиентском компьютере, иотображать, какие из решений включены и обновлены.
Дляклиентских компьютеров с операционной системой Windows Vista центр обеспечениябезопасности Windows предоставляет прямые ссылки на ПО поставщиков, котороеможно использовать для устранения возникающих проблем с компьютером. Например,если антивирусное или антишпионское решение стороннего производителя отключеноили устарело, в центре обеспечения безопасности Windows имеется кнопка, нажавна которую, можно запустить на компьютере решение производителя для устраненияпроблемы. Кроме того, центр обеспечения безопасности Windows содержит ссылки навеб-узел производителя, которые можно использовать для запуска или обновленияподписки или получения обновлений. Осведомленность об отключении илиустаревании программ для обеспечения безопасности и возможность легко загрузитьобновления может означать разницу между максимально возможной защитой иуязвимостью для вредоносных программ.
Центробеспечения безопасности Windows запускается по умолчанию на компьютерах соперационной системой Windows Vista. Параметры групповой политики, описанные впредыдущей главе, не содержат параметров, изменяющих поведение центраобеспечения безопасности Windows по умолчанию. Тем не менее, администраторымогут использовать групповую политику для включения или отключения клиентскогопользовательского интерфейса центра обеспечения безопасности Windows накомпьютерах, подключенных к домену. Доступные параметры групповой политикицентра обеспечения безопасности Windows можно просмотреть и настроить вследующем местоположении редактора объектов групповой политики:
Конфигурациякомпьютера\Административные шаблоны\Компоненты Windows\Центр обеспечениябезопасности Процедура снижения рисков
Дляэффективной работы средства удаления вредоносных программ используйте следующуюпроцедуру.
Использованиепроцедуры снижения рисков:
1. Изучитевозможности средства удаления вредоносных программ.
2. Оценитенеобходимость использования средства в вашей среде.
3.Определите наиболее подходящий способ развертывания средства в вашейорганизации.
4. Выделитекомпьютеры в организации, которые получат преимущества от защиты, предлагаемойданным средством.
5.Проведите развертывание средства выбранным способом. Политики ограниченного использования программ
Политикиограниченного использования программ дают возможность администраторамопределять приложения и контролировать возможность их запуска на локальныхкомпьютерах. Эта функция способствует защите компьютеров под управлением системWindows Vista и Windows XP Professional от известных конфликтов, а такжепомогает обезопасить их от вредоносного программного обеспечения, например, отвирусов и программ типа «Троянский конь». Политики ограниченного использованияпрограмм полностью интегрируются со службой каталогов Active Directory игрупповой политикой. Эту функцию также можно использовать и на автономныхкомпьютерах. С помощью политик ограниченного использования программ можновыполнять следующие действия:
•контролировать, какое программное обеспечение может быть запущено на клиентскихкомпьютерах в конкретной среде;
•ограничивать доступ к определенным файлам на многопользовательских компьютерах;
• решать,кто именно может пополнять список заслуживающих доверия издателей на клиентских компьютерах;
•определять, действуют ли политики для всех пользователей клиентских компьютеровили только для некоторых из них;
•предотвратить запуск EXE-файлов на локальных компьютерах на основании политик,установленных на уровне компьютера, подразделения организации (OU), узла идомена.
Важно. Необходимо тщательно проверить все параметры политик, упомянутыев данном руководстве, перед развертыванием их в производственной среде. Особоевнимание этому нужно уделить при настройке параметров политик ограниченногоиспользования программ. Ошибки, допущенные при планировании или внедрении этойфункции, могут привести к значительному ухудшению качества работыпользователей.
Политикиограниченного использования программ не подверглись существенным изменениям всистеме Windows Vista. Поэтому они не описываются отдельно в данномруководстве. Дополнительные сведения о разработке и внедрении данных политиксм. на странице Применение политик ограниченного использования программ длязащиты от несанкционированного программного обеспечения на веб-узле TechNet.
Технологии защиты обозревателя Internet Explorer 7
Вредоносныевеб-узлы способны нарушить работу компьютеров. Технологии обозревателя InternetExplorer 7 позволяют предотвратить установку нежелательного программногообеспечения, а также защитить компьютер от несанкционированной передачи личныхданных, что позволяет значительно повысить безопасность работы в обозревателе иобеспечить конфиденциальность. Новые технологии безопасности обозревателяInternet Explorer 7 включают в себя следующие функции.
• Защищенныйрежим обозревателя Internet Explorer.
• ФункцияActiveX Opt-in.
• Защитаот атак с применением междоменных сценариев.
• Строкасостояния системы безопасности.
• Антифишинг.
• Дополнительныефункции безопасности.
ОбозревательInternet Explorer 7 может работать в системах Windows Vista и Windows XP. Приэтом в системе Windows Vista у обозревателя Internet Explorer большевозможностей. Например, некоторые функции обозревателя Internet Explorer 7,такие как функция защищенного режима или функция родительского контроля,недоступны на компьютере под управлением системы Windows XP. Кроме того,пользовательский интерфейс Aero в обозревателе Internet Explorer 7 нельзяиспользовать на компьютерах с ОС Windows XP. Защищенный режим обозревателя Internet Explorer
Защищенныйрежим обозревателя Internet Explorer в ОС Windows Vista обеспечиваетдополнительную защиту и более безопасную работу в Интернете. Кроме того, онпозволяет предотвратить захват обозревателя злоумышленниками и возможностьиспользования повышенных прав для запуска кода.
Благодаряфункции защищенного режима уменьшается количество уязвимостей в предыдущихверсиях программного обеспечения за счет невозможности автоматической установкивредоносного кода. В защищенном режиме обозревателя в системе Windows Vistaиспользуются механизмы с более высоким уровнем целостности, которыеограничивают доступ к процессам, файлам и разделам реестра. Прикладнойпрограммный интерфейс защищенного режима позволяет разработчикам программногообеспечения выпускать такие расширения и надстройки, которые могутвзаимодействовать с файловой системой и реестром при работе обозревателя взащищенном режиме.
Взащищенном режиме обозреватель Internet Explorer 7 работает с ограниченнымиразрешениями, чтобы не допустить внесение изменений в файлы или параметрыпользователя или системы без явного согласия пользователя. В новой архитектуреобозревателя также представлен процесс «брокер», позволяющий существующимприложениям выходить из защищенного режима более безопасным способом. Благодаряэтому загружаемые данные можно сохранять только в каталогах обозревателя сограниченными правами, например в папке временных файлов Интернета.
Защищенныйрежим по умолчанию доступен в обозревателе Internet Explorer 7 для всех зонбезопасности, кроме зоны надежных узлов. Однако можно отключить этот режим, чтопонизит уровень общей безопасности. По этой причине параметры групповойполитики, описанные в предыдущей главе, включают защищенный режим обозревателяво всех зонах Интернета, за исключением зоны надежных узлов, и предотвращаютего отключение пользователями.
Посмотретьи изменить параметры групповой политики для защищенного режима обозревателяInternet Explorer 7 можно в следующем разделе в редакторе объектов групповойполитики.
Конфигурациякомпьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Панельуправления обозревателем\Страница безопасности\ Функция ActiveX Opt-in
ОбозревательInternet Explorer 7 в системе Windows Vista предлагает новый мощный механизмобеспечения безопасности для платформы ActiveX, улучшающий защитупользовательских данных и компьютерных систем. Функция ActiveX Opt-inавтоматически отключает все элементы управления, которые пользователь неразрешил явным образом. Это снижает опасность неправильного использованияпредварительно установленных элементов управления.
В системеWindows Vista панель информации запрашивает согласие пользователя передиспользованием элементов управления ActiveX, которые были предварительноустановлены на компьютере, но еще не включались. Этот механизм оповещенияпозволяет пользователю разрешать или запрещать применение каждого элемента, чтоеще более уменьшает область, доступную для атак. Злоумышленники не могут использоватьвеб-узлы для автоматического запуска атак с помощью элементов ActiveX, непредназначенных для использования в Интернете. Защита от атак с применением междоменных сценариев
Новыебарьеры для междоменных сценариев ограничивают возможности вредоносныхвеб-узлов использовать уязвимости других узлов. Так, до появления защиты отатак с применением междоменных сценариев во время посещения вредоносноговеб-узла могло открыться новое окно обозревателя с надежной веб-страницей (например,с веб-узла банка), на которой пользователя просили ввести данные о счете. Этиданные могли быть извлечены с помощью сценария и впоследствии поступить враспоряжение злоумышленника. С обозревателем Internet Explorer 7 этого непроизойдет благодаря защите от атак с применением междоменных сценариев. Строка состояния системы безопасности
Новаястрока состояния системы безопасности в обозревателе Internet Explorer 7позволяет быстро отличать подлинные веб-узлы от подозрительных и вредоносных.Чтобы предоставить эти сведения, строка состояния системы безопасностииспользует расширенные возможности доступа к сведениям о цифровом сертификате,позволяющим определить безопасные веб-узлы (HTTPS).
Строкасостояния системы безопасности предоставляет более понятные и ясные визуальныесведения, позволяющие определить безопасность и подлинность веб-узлов. Этатехнология также поддерживает сведения о сертификатах высокой надежности, чтобыточно определять безопасные веб-узлы (HTTPS), на которых применяются болеестрогие меры для подтверждения подлинности. Антифишинг
Фишинг – этометод, используемый многими злоумышленниками для обмана пользователей с цельюраскрытия их личных или финансовых данных посредством сообщения электроннойпочты или веб-узла. Злоумышленники маскируются под законное лицо илиорганизацию, чтобы получить конфиденциальные сведения, такие как пароль счетаили номера кредитных карт. С функцией антифишинга в обозревателе InternetExplorer 7 работа в Интернете становится более безопасной, т. к.пользователь получает сведения о подозрительных и известных поддельныхвеб-узлах. Содержимое веб-узлов анализируется с целью выявления известныхметодов фишинга; при этом для определения уровня безопасности веб-узловиспользуется глобальная сеть источников данных.
Создателимошеннических сообщений электронной почты, рекламных объявлений в Интернете ивеб-узлов пользуются такими недостатками современных веб-узлов, какнедостаточное взаимодействие и ограниченный обмен данными. Новая функцияантифишинга в обозревателе Internet Explorer 7, получающая обновления несколькораз в час с помощью интернет-службы, объединяет новейшие сведения о поддельныхвеб-узлах и предоставляет их пользователям обозревателя, чтобы заблаговременнопредупредить их об опасности и защитить от нее.
Функцияантифишинга объединяет клиентский поиск характерных особенностей вредоносныхвеб-узлов и Интернет-службу, запрашивающую подтверждение пользователя. Такимобразом, пользователь защищается от фишинг-атак тремя способами.
• Во-первых,адреса веб-узлов, которые пользователь намеревается посетить, сверяются схранящимся на компьютере списком известных надежных узлов.
• Во-вторых,веб-узлы проверяются на наличие характерных черт поддельных веб-узлов.
• В-третьих,адрес веб-узла, который собирается посетить пользователь, отправляется вИнтернет-службу корпорации Майкрософт, которая мгновенно сверяет его с частообновляемым списком поддельных узлов. Список этих узлов составляется с помощьюнадежных источников, сообщающих корпорации Майкрософт о том, что эти веб-узлыявляются мошенническими.
Даже есливеб-узел неизвестен службе антифишинга, обозреватель Internet Explorer 7 можетпроверить деятельность веб-узла и сообщить пользователю о подозрительных действиях(например, о сборе сведений о пользователе при отсутствии сертификатабезопасного соединения (SSL). В этом случае с помощью функции антифишинга сборсведений будет предотвращен прежде, чем веб-узел появится в официальном спискемошеннических веб-узлов.
При работев обозревателе Internet Explorer 7 функция антифишинга по умолчанию настроенатаким образом, чтобы пользователь мог включить или отключить ее. В параметрахгрупповой политики, описанных в предыдущей главе, нельзя изменить это поведениепо умолчанию. Тем не менее, администраторы могут контролировать действиефункции антифишинга с помощью групповой политики.
Просмотретьи настроить параметры групповой политики, касающиеся функции антифишинга, можнов следующем разделе в редакторе объектов групповой политики.
Конфигурациякомпьютера\Административные шаблоны\Компоненты Windows\Internet ExplorerАппаратная защита Windows VistaТехнология NX (No Execute)
ВредоносноеПО может завладеть пользовательской машиной с использованием переполнениябуфера или путем исполнения кода в областях памяти, предназначенной дляхранения данных. SDL и другие аналогичные инструменты способны предотвратитьвозможность переполнения буфера еще на стадии проектирования илипрограммирования, однако существует еще один путь борьбы с переполнением –использование технологий NX (No Execute) на аппаратном уровне. NX позволяет программному обеспечению помечать сегменты памяти, вкоторых будут хранится только данные, и процессор не позволит приложениям ислужбам исполнять произвольный код в этих сегментах.
Множествосовременных процессоров поддерживают ту или иную форму NX, и Microsoft, в свою очередь, начиная с Windows XP SP2, включила поддержкупроцессоров с NX-технологией посредством инструмента Data Execution Prevention. Windows Vista обеспечивает дополнительнуюподдержку NX, позволяя производителям ПО встраивать защиту NX в свои программныепродукты. Независимые продавцы ПО могут помечать свои продукты как NX-совместимые, что позволитповысить безопасность при загрузке программы. Данный подход позволяетзначительно увеличить количество программных продуктов, поддерживающих защиту NX. Особенно это актуально для32-битных платформ, поскольку в них стандартная политика совместимости для NX сконфигурирована только длязащиты компонентов ОС. На 64-битных версиях Windows защита NX – стандарт.Случайное расположениеадресного пространства
(Address Space Layout Randomization (ASLR)) – это еще один видзащиты в ОС Windows Vista, который затрудняет использование системных функций вредоноснымПО. Каждый раз, когда компьютер перезагружается, ASLR в случайном порядкеназначает 1 из 256 возможных вариантов адреса для расположения ключевыхсистемных DLL и EXE файлов. Это осложняет эксплоиту задачу поиска нужных файлов, а,следовательно, противодействует выполнению его функций. ASLR лучше использовать в связкес Data Execution Prevention, потому что в некоторых случаях компонент Data Execution Prevention можно обойти путемпостроения эксплоита, который сам по себе не выполняется (он вызывает системныефункции для атаки).
Windows Vista также содержит в себе рядулучшений по сравнению с Windows XP SP2, связанный с определением переполнения «кучи» (области памяти,выделяемой программе для динамически размещаемых структур данных). Привмешательстве в буфер «кучи» к ОС поступает сигнал, и она, в свою очередь,может немедленно завершить скомпрометированную программу, тем самым сокративущерб от вмешательства. Эта технология используется для защиты компонентов ОС,включая встроенные системные службы, хотя может использоваться и стороннимипроизводителями ПО через специальный одиночный API-вызов.Защита ядра для x64
64-битныеверсии Windows Vista поддерживают технологию защиты ядра (иногда используется термин PatchGuard), которая запрещаетнеавторизованному ПО изменять ядро Windows.
Для тогочтобы разобраться в сути данной технологии, необходимо понять, что означаеттермин kernel patching (изменение ядра).
Kernel patching – это техника, использующаявнутренние системные вызовы, а также различные неподдерживаемые ОС механизмы, сцелью изменения или замены кода, а, возможно, и критических структур данныхядра Windows на другой «неизвестный» код или данные, которые могут быть ивредоносными. Под понятием «неизвестный» имеется в виду код, не авторизованный Microsoft как часть ядра Windows.
ПроизводителиПО иногда патчат ядро для своих целей, изменяя адрес функции-обработчикасистемного вызова (указатель функции) в таблице системных вызовов (system service table, SST), которая представляетсобой массив из указателей функций, находящихся в памяти. Такая процедураизменения адреса называется хуком (hook). Когда выполняется любой системный вызов (например, NtCreateProcess), диспетчер системныхвызовов по номеру вызова восстанавливает адрес функции-обработчика данногосистемного вызова. Соответственно, если поменять адрес функции-обработчика, наадрес начала «неизвестного» кода, диспетчер системных вызовов перейдет по этомуадресу, и «неизвестный» код будет исполнен. Именно по этой причине модификацияядра запрещена в 64-битных версиях Windows Vista. Конкретнее запрещена модификация следующих компонентов ядра:
– Таблицысистемных вызовов (system service tables, SST)
– Таблица прерываний (interrupt descriptor table (IDT))
– Таблица глобальных дескрипторов (global descriptor table(GDT))
– Изменениелюбой части ядра (работает только на AMD64-системах)
При попыткеизменения вышеописанных частей ядра операционная система генерирует bug check и завершает свою работу.Соответственно, для своей корректной работы приложения и драйверы не должныизменять структуру данных частей ядра. Со временем, список защищаемыхкомпонентов ядра может быть увеличен.
Позаявлениям Microsoft, систему защиты ядра отключить нельзя. Защита ядра автоматическиотключается лишь в случае работы в системе отладчика ядра. Ядро можетизменяться и официальными патчами от Microsoft.Подписывание драйверов для x64
Для того чтобыпользователи могли видеть поставщиков драйверов и других программных продуктов,начиная с Windows 2000, в ОС присутствует механизм проверки цифровой подписидрайверов. Хотя раньше и была возможность запретить установку неподписанныхдрайверов, в конфигурации по умолчанию пользователь лишь предупреждался о том,что собирается устанавливать неподписанный драйвер. Системные администраторы,однако, могли заблокировать установку неподписанных драйверов посредствомГрупповой политики (Group Policy), но, поскольку, количество нужных неподписанных драйверов былодостаточно велико, администраторы не пользовались этой возможностью.Вредоносное программное обеспечение обычно устанавливается скрытно отпользователя, и, поскольку никаких проверок изменения ядра до появления Windows Vista не было, вредоносное ПОуспешно устанавливалось (имеется в виду, что установка производилась от именипользователя с административными привилегиями).
Приустановке Windows Vista на 64-битные системы их безопасность на уровне ядра значительновозрастает в случае, если все драйверы режима ядра (kernel mode) имеют цифровую подпись.Цифровая подпись обеспечивает подлинность и целостность кода. Поврежденныймодуль ядра не загрузится. Любой драйвер, не имеющей соответствующей цифровойподписи не получит доступа к ядру и не загрузится.
Хотяподписанный драйвер и не является гарантией безопасности, все равно он помогаетопределить и предотвратить множество злонамеренных атак, в тоже время позволяя Microsoft помочь разработчикамулучшить общее качество драйверов и сократить число сбоев по вине последних.
Обязательноеподписывание драйверов также помогает повысить надежность Windows Vista, потому что большинствосбоев ОС – уязвимости в драйверах режима ядра. Принуждая авторов этих драйверовидентифицировать себя, Microsoft облегчает себе задачу определения причин сбоя ОС и позволяетработать с производителями с целью разрешения возникших проблем. На основевышеизложенного, можно сделать такой вывод: неподписанные драйверы на Windows Vista установить не удастся.
WindowsServiceHardening
Системныеслужбы это фоновые процессы, которые загружаются для поддержки ключевых функцийОС. Они всегда были целью злонамеренных атак, потому что обычно загружаются ссамыми высокими привилегиями в системе, то есть под учетной записью LocalSystem. Атаки, направленные насистемные службы могут вызвать серьезные проблемы, поскольку позволяютисполнять произвольный код с административными полномочиями на машинахпользователей (черви Slammer, Blaster и Sasser атаковали именно системные службы).
Чтобыкаким-то образом ослабить данную угрозу, Windows Vista предлагает концепцию«ограниченных служб» (restricted services), которые загружаются с минимальными привилегиями, и влияние их накомпьютер и сеть ограничено. Данный подход позволяет существенно сократитьчисло служб, способных нанести серьезный вред пользовательской машине.
Персональныймежсетевой экран в Windows Vista тесно связан с компонентом Windows Service Hardening, который позволяет усилитьзащиту как входящего, так и исходящего трафика в процессе межсетевоговзаимодействия. Необходимо добавить, что службы могут быть однозначноидентифицированы, что позволяет вести списки контроля доступа для каждойслужбы, разрешая, например, службам записывать только в определенные местафайловой системы, реестра или других системных ресурсов.
Встроенныеслужбы Windows имеют собственные профили, которые определяют необходимые правадля каждой службы, правила доступа к системным ресурсам и сетевые порты,которые службам разрешено использовать. Если служба попытается отправить илиполучить данные с сетевого порта, который ей не разрешен для использования,межсетевой экран заблокирует эту попытку. Например, службе удаленного вызовапроцедур (Remote Procedure Call service) запрещено перемещать системные файлы, модифицировать реестр,вмешиваться в конфигурации других служб в системе (например, ей нельзя изменятьконфигурацию и сигнатуры вирусов антивирусного ПО).
Уменьшениясложности первоначального конфигурирования служб для пользователей и системныхадминистраторов – еще одна задача компонента Windows Service Hardening. Каждая служба, котораявходит в состав ОС Windows Vista, имеет сконфигурированный заранее профиль, который применяетсяавтоматически в процессе установки Windows. Данный процесс не требует каких бы то ни было усилий со стороныпользователей или администраторов.
Контроль пользовательских учетных записей (User Account Control)
Впредыдущих версиях Windows большинство пользовательских учетных записей являлось членомлокальной группы «Администратор», тем самым предоставляя пользователям всесистемные привилегии и возможности, требуемые для установки и конфигурированияприложений, загрузки некоторых фоновых системных процессов и драйверовустройств, изменения конфигурации системы и выполнения базовых повседневныхзадач.
Хотя этотподход и был удобен для пользователей, он делал компьютеры в сети болееуязвимыми к вредоносному ПО, которое могло использовать системные привилегиидля повреждения файлов, изменения конфигурации (например, отключениемежсетевого экрана), кражи или изменения конфиденциальной информации. Крометого, применение данного подхода повышало затраты на повседневное обслуживаниекомпьютеров, потому что пользователь мог совершить несанкционированные илислучайные изменения, которые, в свою очередь, могли нарушить работу сети изатруднить управление отдельными компьютерами. Хотя существовала возможностьработы учетных записей пользователей Windows в конфигурации с ограниченными правами, она сильно сокращалапродуктивность работы, потому что базовые задачи, такие как изменениесистемного времени, присоединение к безопасной беспроводной сети или установкадрайвера принтера требовали административных привилегий.
Для решенияэтой проблемы, Windows Vista содержит компонент User Account Control (UAC). Это новый подход, который разделяет все операции в системе на 2категории: те, которые может выполнять пользователь со своими стандартнымиправами и те, которые требуют административных привилегий. Применение новогоподхода сокращает плацдарм для атак на операционную систему, в то же времяпредоставляя обычным пользователям большинство функций, которые им требуютсякаждый день.
UAC обладает двумяпреимуществами: во-первых, он переопределяет список стандартных возможностейпользователя, путем включения в него множества базовых функций, которые ненесут риска нарушения безопасности, хотя раньше требовали административныхпривилегий. К этим новым функциям можно отнести:
– Изменениевременной зоны
– Настройкусистемы управления питанием
– Добавлениепринтера и других устройств, при условии, что драйверы для них уже установленыв системе
– Установкуновых шрифтов
– Изменениенастроек экрана
– Созданиеи настройка VPN-соединения
– УстановкаWEP (Wired Equivalent privacy) для соединения сзащищенной беспроводной сетью
– Просмотркалендаря и системного времени
– Загрузкаи установка обновлений, при условии использования UAC-совместимого инсталлятора.
UAC также помогаетконтролировать доступ к ценной информации, находящейся в папке «Мои документы».Теперь, если пользователь не является создателем файла, он не сможет его нипрочесть, ни изменить, ни удалить, т.е., другими словами, доступ к файламдругих пользователей закрыт.
Когдаобычные пользователи пытаются выполнить задачу, требующую административныхпривилегий (например, установка нового приложения или изменение важныхсистемных настроек), им предлагается ввести пароль администратора. IT-администраторы имеютвозможность отключить процедуру ввода пароля администратора для обычныхпользователей, сокращая тем самым риск несанкционированных действий со стороныпоследних. Во-вторых, UAC позволяет пользователям с административными привилегиями работатьв более безопасной среде путем ограничения (по умолчанию) доступа к критичнымресурсам и функциям системы. Если для выполнения какой-либо задачи требуютсяповышенные привилегии, система предупредит вас об этом с помощью окна спредложением подтверждения выполнения данной задачи.
Интерфейспользователя ОС Windows Vista включает в себя ряд улучшений, призванных облегчить пользователямопределение тех задач, которые требуют административных привилегий. Этиулучшения проявляются в виде описания запрашиваемых действий, а также вмаркировании административных действий значком в виде щита (см. рис).
/>
UAC помогает существующимприложениям работать с правами стандартного пользователя без модификаций, путемпредоставления им специальной платформы, которая помогает последним обойтисьбез использования административных привилегий в обычных ситуациях. Например,чтобы обеспечить нормальную работу приложений, требующих для своего выполненияадминистративных привилегий, Windows Vista содержит механизм виртуализации файловой системы и реестра.Данный механизм перенаправляет запросы чтения и записи из защищенных областей вкакое-либо место внутри профиля пользователя, таким образом, приложениеработает корректно, не влияя на ресурсы других пользователей или системувцелом. Это сокращает риск нарушения безопасности, потому что приложенияникогда не получат доступ к ресурсам, требующим прав администратора длядоступа. Однако Microsoft рекомендует использовать данное решение для приложений только каквременный выход из ситуации, пока не найдется замена, не требующаяадминистративных привилегий и корректно работающая под UAC.
Необходимоотметить, что Microsoft предлагает ряд инструментов, технологий и ресурсов, чтобы помочьпроизводителям составлять новые программы, корректно работающие под UAC. Например, инструмент Standart User Analyzer позволяет определить, будетли корректно работать то или иное приложение с правами стандартногопользователя или же нет.
Благодарявключению UAC в бета-версию Windows Vista, Microsoft получила ценную информацию от пользователей, что привело впоследствии к ряду улучшений в компоненте UAC второй бета-версии Windows Vista. Вот основные улучшения UAC во второй бета-версии Windows Vista:
– Сокращениечисла объектов Панели управления, которые требуют административных привилегийдля доступа (объекты Мышь и Клавиатура, Инфракрасный порт и Bluetooth).
– Планировщикзаданий теперь не требует административных привилегий
– Примененыисправления к сотням приложений, с целью их корректной работы без ввода пароляадминистратора
Диалоговыеокна UAC также подверглись пересмотру. Теперь они более точно указывают напрограмму, запрашивающую права администратора, а также помогают определитьпрограммы, которые потенциально опасны для системы. Microsoft будет продолжать улучшать компонент UAC, удалять ненужныедиалоговые окна вплоть до финального выпуска Windows Vista, используя данные,полученные от пользователей.
Отзывыпользователей применяются для точного определения числа всплывающих сообщений(подсказок), которые появятся в пост-бета2 версии Windows Vista, известной как кандидат №1на широкомасштабный выпуск (Release Candidate №1). В этой версии Windows Vista их будет даже меньше, чем вовторой бета-версии. Например, предполагается удалить сообщение дляадминистраторов, когда они удаляют ярлыки на общем рабочем столе, а такжесообщение, которое появляется, когда пользователь получает критичные обновленияс Windows Update. Защита доступа к сети (NetworkAccess Protection, NAP)
NAP – это система, котораяпозволяет системным администраторам быть уверенным в том, что в сети находятсятолько «здоровые» машины. Под понятием «здоровые» подразумеваются машины совсеми необходимыми обновлениями ПО, антивирусных баз и т.д. Если компьютер, несоответствует требованиям, предъявляемым NAP, он объявляется«нездоровым», ему не разрешается доступ к сети, до тех пор, пока все требованияNAP не будутвыполнены. Защита от вредоносного кода и компьютерных атакЦентрбезопасности Windows (Windows Security Center, WSC)
В 2004 годукомпания Microsoft включила в операционную систему Windows XP SP2 компонент WSC. Загружаясь как фоновыйпроцесс, WSC в Windows XP постоянно проверял и показывал состояние трех наиболее важныхаспектов безопасности: межсетевого экрана, антивирусного ПО, автоматическихобновлений.
Windows Vista также содержит WSC, однако, последний имеетряд улучшений таких как отображение состояния антишпионского ПО, настроек защитыInternet Explorer и UAC. WSC может следить за состоянием защитного ПО третьих производителей,работающих на данном компьютере. В случае если защитное ПО выключено либотребует установки обновлений, WSC предупреждает пользователя об этом.Windows Defender
Windows Defender – компонент которыйзащищает компьютер от руткитов, кейлоггеров, шпионов, adware, bots и другого вредоносного ПО.(Windows Defender не защищает от червей и вирусов).
Windows Defender содержит 9 агентов безопасности,которые постоянно наблюдают за теми критическими областями ОС, которые наиболеечасто пытается изменить вредоносное ПО. К таким областям ОС относятся:
– Автозагрузка.Агент безопасности постоянно наблюдает за списком программ, которым позволенозагружаться при старте системы. Таким образом, реализуется защита отвредоносного ПО, которое пытается загрузиться вместе с системой.
– Настройкибезопасности системы. Агент безопасности постоянно проверяет настройкибезопасности Windows. Не секрет, что некоторое вредоносное ПО старается изменитьнастройки безопасности с целью облегчения вредного воздействия на ОС. Агентбезопасности этой области не позволит неавторизованному ПО изменить настройкибезопасности.
– АддоныInternet Explorer. Агент безопасности следит за приложениями, которые загружаютсявместе с браузером. Spyware и другое вредоносное ПО может маскироваться под аддоны Internet Explorer и загружаться без вашеговедома. Агент безопасности не позволит загрузиться такому виду вредоносного ПО.
– НастройкиInternet Explorer. Агент безопасности следит за настройками безопасности браузера,потому что вредоносное ПО может попытаться изменить их.
– Загрузки Internet Explorer (Internet Explorer Downloads). Агент безопасности следитза файлами и приложениями, предназначенными для работы с IE (например ActiveX controls). Браузер может загрузить,установить и запустить данные файлы без вашего ведома. Вредоносное ПО можетбыть включено в такого рода файлы и загрузиться на компьютере-жертве, но агентбезопасности защитит и от этой напасти.
– Службыи драйверы. Агент безопасности данной области наблюдает за состоянием служб идрайверов во время их взаимодействия с ОС и приложениями. Поскольку службы идрайверы выполняют важнейшие функции, они имеют доступ к важным областям ОС.Вредоносное ПО может использовать службы для доступа к компьютеру, а также сцелью маскировки под нормальные компоненты системы.
– Выполнениеприложений (Application Execution). Агент безопасности следит за приложениями во время ихвыполнения. Spyware и другое вредоносное ПО, используя уязвимости приложений, можетнанести вред. Например, spyware может загрузиться во время запуска часто используемого вамиприложения. Windows Defender предупредит вас о подозрительном поведении приложений.
– Регистрацияприложений (Application Registration). Агент безопасности данной области постоянно наблюдает заинструментами и файлами ОС, где приложения регистрируются с целью загрузки. Spyware и другое вредоносное ПОможет зарегистрировать приложение с целью загрузки без вашего ведома ипериодически собирать с помощью него вашу личную информацию. Данный агент,сообщит пользователю об обнаружении нового приложения, пытающегосязарегистрироваться с целью загрузки.
– Windows Add-ons. Агент безопасности следитза так называемыми аддонами, также известными как программные утилиты для Windows. Аддоны позволяют настроитьтакие аспекты ОС, как безопасность, производительность, мультимедиа. Однакоаддоны могут устанавливать ПО, которое будет собирать информацию о вас и о вашемкомпьютере.Улучшения межсетевогоэкрана Windows
Как и в Windows XP SP2, межсетевой экран в Windows Vista включен по умолчанию иначинает защищать пользовательский компьютер с момента загрузки операционнойсистемы. Теперь межсетевой экран способен фильтровать и входящий, и исходящийтрафик. Он помогает также защититься от вредного воздействия системныхресурсов, если они ведут себя непредсказуемо (возможно в случае работывредоносного кода). Например, если системная служба сконфигурирована такимобразом, чтобы посылать сообщения в сеть через определенный порт, но пытаетсяэто сделать через другой, межсетевой экран Windows, может запретить отправкуданных сообщений, тем самым обеспечивая защиту от распространения вредоносногоПО. Защита данных
BitLockerDriveEncryption(Шифрованиетома)
BitLocker Drive Encryption – инструмент, позволяющийзащитить конфиденциальную информацию на диске, путем его шифрования. В случае,если диск, защищенный с помощью технологии BitLocker украден или, например,списан, то информацию на нем прочесть не удастся, поскольку все содержимоедиска зашифровано.
Технология BitLocker использует TPM (Trusted Platform Module) – специальный чип, которыйнеобходим для безопасного хранения ключевой информации, а также дляразграничения доступа к системе. Во время загрузки Windows проверяется целостностьсистемных файлов и данных. Если файлы были изменены, ОС не загрузится. BitLocker поддерживаетцентрализованное хранение ключей в Active Directory, в то же время позволяя системным администраторам хранить ключишифрования и на USB-устройствах.
BitLocker позволяет изменитьстандартный процесс загрузки ОС. Дело в том, что загрузка ОС можетблокироваться до тех пор, пока пользователь не введет PIN-код или не вставит USB-устройство с ключамидешифрования. Эти дополнительные меры безопасности обеспечивают так называемуюмультифакторную аутентификацию (многоуровневую).
BitLocker Drive Encryption будет доступен дляклиентских машин в версиях Windows Vista Enterprise и Ultimate.
Улучшенияв EFS (Encrypting File System)
В Windows Vista EFS поддерживает хранениепользовательских ключей и ключей восстановления на смарт-картах. Кроме того, EFS в Windows Vista может быть использована дляшифрования файла подкачки (эта опция может быть активирована системнымадминистратором через групповую политику). Кэш на стороне клиента, в которомсохраняются копии документов с сервера также может быть зашифрован с помощью EFS. В этом случае дажелокальный администратор, не обладая пользовательским секретным ключом, несможет расшифровать файлы пользователя.
В ГрупповуюПолитику был добавлен ряд опций, по поддержке EFS. К ним относятся опциивключения возможности шифрования файла подкачки, сохранения ключей насмарт-картах, ограничения минимальной длины ключа и т.д.
Кромевышеперечисленного, существует возможность шифрования пользовательских файлов«на лету» при сохранении их на сервере Longhorn. Такая операция необходима,когда нет доверия к серверу.
EFS будет доступна в версиях Windows Vista Business, Enterprise и Ultimate.
Контроль USB-устройств
Не секрет,что бесконтрольное использование USB-накопителей может привести к утечке конфиденциальной информациииз организации, к заражению компьютера вредоносным ПО и другим малоприятнымпоследствиям. Именно поэтому в ОС Windows Vista реализован механизм контроля использования USB-устройств.
ПосредствомГрупповой Политики Windows Vista позволяет системным администраторам блокировать установкунеавторизованных USB-устройств в компьютер. Данная политика может применяться как котдельному компьютеру, так и к множеству компьютеров по всей сети. Уадминистраторов в руках находятся весьма гибкий инструмент по настройкеполитики запрета USB-устройств. Например, можно разрешить установку толькоопределенного класса устройств, таких как принтеры, запретить установку любыхтипов USB-накопителей или запретить установку любых неавторизованныхустройств. Данные политики можно перекрывать путем ввода пароля администраторадля установки того или иного устройства. И, наконец, можно открывать доступ почтению / записи к устройствам для определенных пользователей иликомпьютеров.
Заключение
Что ж,можно сказать, что Microsoft идет по правильному пути, повышая безопасность своихОС. На словах все выглядит довольно хорошо, однако на деле мы сможем проверитьбезопасность новой ОС только после ее официального выхода. Будет ли системабезопасности удобна, незаметна для пользователя и эффективна? Пока мы можемсказать, что она неудобна для пользователя из-за обилия ненужных сообщений отUAC, появляющихся на экране. Хоть Microsoft и работает над этой проблемой, всеравно, думаю, часть недовольств останется. Будет ли ПО от Microsoft менеедырявым благодаря SDL? Вопрос остается открытым. Какие выводы можно сделать изэтой статьи?
1. Microsoft действительно пытается повысить безопасность новой ОС.
2. Эффективность вышеперечисленных методов защиты пока не доказана.