Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты либо «Редактор локальных групповых политик» . Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности» .

1. Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления» .



2. Далее откройте раздел «Система и безопасности» .



3. Щелкните «Администрирование» .



4. Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности» .

   

   Также оснастку можно запустить и через окно «Выполнить» . Для этого наберите Win+R и введите следующую команду:

   Затем щелкните «OK» .



5. Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики» . Тогда нужно щелкнуть по элементу с этим наименованием.



6. В данном каталоге располагается три папки.

   В директории определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

   В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

   В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

   

7. Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.



8. Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.



9. После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…» .

   

   Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить» .



10. После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK» , а иначе изменения не вступят в силу.

Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики» , но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей» .

Способ 2: Использование инструмента «Редактор локальной групповой политики»

Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики» . Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

1. В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления» . Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку» . Наберите Win+R и введите в поле такое выражение:

   Затем щелкните «OK» .

   

Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Мы надеемся, что вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32).

В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы - преобразовать диск в формат NTFS.

После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа «включить-выключить». Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing). Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.

Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис -> Свойства папки (Tools -> Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его.

Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность. Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List – ACL).

При установке и удалении разрешений руководствуйтесь следующими основными принципами:

1. Работайте по схеме «сверху-вниз».
2. Храните общие файлы данных вместе.
3. Работайте с группами везде, где это только возможно.
4. Не пользуйтесь особыми разрешениями.
5. Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

Установка разрешения из командной строки

Утилита командной строки cacls.exe доступна в Windows XP Professional позволяет просматривать и изменять разрешения файлов и папок. Cacls – сокращение от Control ACLs – управление списками управления доступом.

Ключи командной строки утилиты cacls:

• /T - Смена разрешений доступа к указанным файлам в текущей папке и всех подпапках
• /E - Изменение списка управления доступом (а не полная его замена)
• /C - Продолжить при возникновении ошибки «отказано в доступе»
• /G - пользователь:разрешение Выделение пользователю указанного разрешения. Без ключа
• /E - полностью заменяет текущие разрешения
• /R - пользователь Отменяет права доступа для текущего пользователя (используется только с ключом /E)
• /P - пользователь:разрешение Замена указанных разрешений пользователя
• /D - пользователь Запрещает пользователю доступ к объекту

С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):

• F (полный доступ) – эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.
• C (изменить) – тождественно установке флажка Разрешить Изменить (Modify)
• R (чтение) – эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)
• W (запись) – равнозначно установке флажка Разрешить запись (Write)

Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System - EFS) шифрует файлы на диске. Однако, следует иметь ввиду, что если вы утратите ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществанми EFS, необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления. Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe.

Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). Ниже приведен список наиболее часто используемых ключей команды cipher:

• /E - Шифрование указанных папок
• /D - Расшифровка указанных папок
• /S:папка - Операция применяется к папке и всем вложенным подпапкам (но не файлам)
• /A - Операция применяется к указанным файлам и файлам в указанных папках
• /K - Создание нового ключа шифрования для пользователя, запустившего программу. Если этот ключ задан, все остальные игнорируются
• /R - Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл.CFX, а копия сертификата в файле.CER
• /U - Обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках
• /U /N - Вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий

Устранение проблем с разрешениями (Агент восстановления данных)

Агентом восстановления данных (Data Recovery Agent) назназначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.
Чтобы создать сертификат нужно сделать следующее:

1. Нужно войти в систему под именем Администратор
2. Ввести в командной строке cipher /R: имя файла
3. Введите пароль для вновь создаваемых файлов

Файлы сертификата имеют расширение.PFX и.CER и указанное вами имя.

ВНИМАНИЕ! Эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.

Для назначения агента восстановления:

1. Войти в систему под учетной записью, которая должна стать агентом восстановления данных
2. В консоли Сертификаты перейдите в раздел Сертификаты – Текущий пользователь -> Личные (Current User -> Personal)
3. Действие -> Все задачи -> Импорт (Actions -> All Tasks -> Import) для запуска мастера импорта сертификатов
4. Проведите импорт сертификата восстановления

При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.

1. Зашифруйте все папки, в которых вы храните документы
2. Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов
3. Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала
4. Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера
5. Экспортируйте личные сертификаты шифрования всех учетных записей
6. Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.
7. При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться
8. Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows

Конструктор шаблонов безопасности

Шаблоны безопасности являются обыкновенными ASCII – файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File – Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates – Add.
Управление оснасткой

Шаблоны безопасности расположены в папке \%systemroot%\security\templates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.

Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:

• Account Policies – управление паролями, блокировками и политиками Kerberos
• Local Policies – управление параметрами аудита, пользовательскими правами и настройками безопасности
• Event Log – управление параметрами системного журнала
• Restricted Groups – определение элементов различных локальных групп
• System Services – включение и отключение служб и присвоение права модификации системных служб
• Registry – назначение разрешений на изменение и просмотр разделов реестра
• File System – управление разрешениями NTFS для папок и файлов

Защита подключения к Интернет

Для обеспечения безопасности при подключении к Интернет необходимо:

• Активизировать брандмауэр подключения к Интернет (Internet Connection Firewall) или установить брандмауэр третьих фирм
• Отключить Службу доступа к файлам и принтерам сетей Microsoft

Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик.

• Активация Брандмауэра подключения к Интернет.
• Откройте Панель управления – Сетевые подключения
• Щелкните правой кнопкой мыши на соединении, которое вы хотите защитить и выберите из меню пункт Свойства
• Перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет

Заключение

Windows 7 - это последняя клиентская ОС для компьютеров от компании Microsoft, которая построена с учетом сильных и слабых сторон своих предшественников, Windows XP и Windows Vista. Каждый аспект базовой операционной системы, а также выполняемых ею служб, и то, как она управляет приложения, загруженными в нее, были пересмотрены, и по возможности были приняты меры по улучшению ее безопасности. Все сервисы были усовершенствованы и новые опции безопасности делают эту ОС более надежной. Помимо некоторых основных усовершенствований и новых служб, ОС Windows 7 предоставляет больше функций безопасности, улучшенные возможности аудита и мониторинга, а также возможности шифрования подключений и данных. В Windows 7 имеют место некоторые усовершенствования внутренней защиты для обеспечения безопасности такими внутренними компонентами системы, как Kernel Patch Protection (защита патча ядра), Service Hardening (упрочение сервисов), Data Execution Prevention (предотвращение несанкционированного выполнения данных), Address Space Layout Randomization (внесение случайности в верстку адресного пространства) и Mandatory Integrity Levels (обязательные уровни целостности).

Windows 7 создана для надежного использования. С одной стороны она была разработана в рамках Microsoft"s Security Development Lifecycle (SDL) и спроектирована для поддержки требований Common Criteria, что позволило ей получить сертификацию Evaluation Assurance Level (EAL) 4, которая отвечает требованиям федерального стандарта обработки информации (Federal Information Processing Standard - FIPS) #140-2. При использовании Windows 7 как отдельной системы ее можно защищать личными средствами безопасности. Windows 7 содержит множество различных инструментов безопасности, но именно в сочетании с Windows Server 2008 (R2) и Active Directory эта ОС становится бронежилетом. Используя дополнительные методы безопасности таких инструментов, как Group Policy, вы можете контролировать каждый аспект безопасности ваших компьютеров. Если Windows 7 используется в домашнем офисе или личных целях, ее также можно защищать во избежание многих нынешних методов взлома, и систему можно быстро восстанавливать после сбоя, поэтому, хотя совместное использование этой ОС с Windows 2008 является более надежным, оно вовсе необязательно для применения высокого уровня безопасности в Windows 7. Также следует учитывать тот факт, что, хотя Windows 7 безопасна по своей природе, это вовсе не означает, что вам нужно полностью полагаться на стандартную конфигурацию и что нет необходимости вносить изменения для улучшения безопасности. Также не стоит забывать о том, что со временем вы будете подвергнуты риску заражения каким-то вредоносным кодом или интернет атаке, когда компьютер используется в любой публичной сети. Если компьютер используется для любого типа публичного доступа в интернет, ваша система и сеть, к которой она подключена, становятся доступными для возможных атак.

Ключевую роль в обеспечении безопасности данных, хранимых на PC , играют настройки безопасности операционной системы. Настройки призваны оптимально сконфигурировать параметры системы таким образом, чтобы минимизировать риск потери данных вследствие реализации каких-либо вредоносных, ошибочных и др. воздействий, а так же сократить список уязвимостей вашей системы.

Когда операционная система "чувствует" угрозу, то она способна незамедлительно вам об этом сообщить с помощью различных диалоговых окон на экране. Когда эти сообщения появляются на экране, то иногда у вас есть возможность изменить поведение данной системы безопасности, что может привести к нежелательным последствиям (в случае, если вы пропустите критические сообщения). В операционной системе "Windows 7" есть базовые настройки безопасности, которые, в случае необходимости, можно легко сбросить.

1.Группы политик, отвечающих за безопасность

Рассмотрим подробнее расширение Параметры безопасности (Security Settings), с помощью которого конфигурируются параметры системы безопасности операционной системы. Политики, определяемые этим расширением, действуют на компьютеры и частично на пользователей.

Политики учетных записей (Account Policies). Настройка политик безопасности учетных записей в масштабах домена или локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и политика Kerberos, распространяющаяся на весь домен.

Локальные политики (Local Policies). Настройка политики аудита, назначение прав пользователей и определение различных параметров безопасности.

Журнал событий (Event Log). Настройка политик безопасности, определяющих работу журналов событий приложений, системы и безопасности.

Группы с ограниченным доступом (Restricted Groups). Управление членством пользователей в заданных группах. Сюда обычно включают встроенные группы, такие как Администраторы (Administrators), Операторы архива (Backup Operators) и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и иные группы, безопасность которых требует особого внимания и членство в коюрых должно регулироваться на уровне политики.

Системные службы (System Services). Настройка безопасности и параметров загрузки для работающих на компьютере служб.

Реестр (Registry). Настройка прав доступа к различным разделам реестра. (Значения параметров реестра можно задавать в доменных GPO объектах с помощью предпочтений (preferences).)

Файловая система (File System). Настройка прав доступа к определенным файлам.

Политики проводной сети (IEEE 802.3) (Wired Network (IEEE 802.3) Policies). Настройка параметров клиентов, подключающихся к проводным сетям, принадлежащим разным доменам.

Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security). Настройка правил и других параметров встроенного брандмауэра Windows (Windows Firewall).

Политики диспетчера списка сетей (Network List Manager Policies). Настройка типов размещения для сетей, доступных компьютеру.

Политики беспроводной сети (IEEE 802.111) (Wireless Network (IEEH 802.11) Policies). Централизованная настройка параметров (включая методы проверки подлинности) клиентов беспроводной сети в доменах Active Directory.

Политики открытого ключа (Public Key Policies). Настройка политик безопасности в отношении шифрования информации с помощью EFS и BitLocker, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т.д.

Политики ограниченного использования программ (Software Restriction Policies). Политики, указывающие на то, какие приложения могут, а ка кие программы не могут выполняться на локальном компьютере.

Защита доступа к сети ( Network Access Protection). Настройка поли тик, определяющих требования к клиенту, подключающемуся к сети, и предоставляющих полный или ограниченный доступ к сети в зависимо сти от того, насколько клиент соответствует этим требованиям. В процее се проверки могут анализироваться различные аспекты безопасности: на личие обновлений программных средств и антивирусной защиты, параметры конфигурации и брандмауэра, список открытых и закрытых портов TCP/IP и т.д.

Политики управления приложениями (Application Control Policies). Управление средством AppLocker, представляющим собой новую функцию в системах Windows 7 и Windows Server 2008 R2, предназначенную для контроля за установкой и использованием приложений в корпоративной среде.

Политики IP-безопасности (IP Security Policies). Настройка политик безопасности IP для компьютеров, находящихся в определенной области действия.

Конфигурация расширенной политики аудита (Advanced Audit Policy Configuration). Политики, позволяющие централизованно настраивать аудит в системах Windows 7 и Windows Server 2008 R2.

2.Обзор опций безопасности

Краткий обзор опций безопасности, которые можно настроить в списке центра действий:

Центр действий (Action Center): центр действий пришел на замену центру безопасности. В центре действий вы можете указывать действия, которые ОС будет выполнять. С вашего разрешения действия могут выполняться. Здесь вам будет сказано, если ваша антивирусная программа не обновлена. Вы можете заходить в центр действий для выполнения действий, связанных с безопасностью.

Опции интернета (Internet Options): веб просмотр любого типа открывает двери для потенциальных рисков, связанных с интернетом. Если вы используете прокси-сервер, пользуетесь веб фильтрацией (и мониторингом) и постоянно обновляете свою ОС самыми последними обновлениями, вы можете оказаться в ситуации, где безопасность может быть скомпрометирована. В приложении опций интернета в панели управления (Internet Options Control Panel) вы можете указывать зоны безопасности, разрешать доступ только к определенным URL адресам, разворачивать расширенные параметры безопасности в закладке Дополнительно (Advanced) и многое другое. Сам браузер оснащен фильтром фишинга, который предотвращает атаки фишинга (Phishing), а также имеет другие настраиваемые опции, такие как InPrivate Browsing, которая не позволяет хранить вашу личную информацию, что особенно полезно при использовании компьютера в публичных интернет-кафе.

Брандмауэр Windows: как и любой другой программный или аппаратный межсетевой экран, брандмауэр Windows Firewall может предотвращать базовые атаки по умолчанию, и его можно настраивать многогранно для высокого уровня контроля над тем, что может входить и исходить с системы вашего компьютера, когда он подключен к публичной или частной сети. Перейдя в панель управления и выбрав брандмауэр Windows, вы получите доступ к большинству параметров конфигурации брандмауэра. Вы можете нажать на кнопку дополнительных параметров (Advanced) в диалоге для доступа к дополнительным параметрам и опциям конфигурации. В Windows 7 вы можете разворачивать несколько политик брандмауэра одновременно и использовать обозначение домена (Domain designation) для более простой настройки и управления брандмауэром Windows.

Персонализация (Personalization): опции персонализации представляют собой то место, где можно изменять внешний вид Windows, но здесь же вы можете настраивать пароли своей экранной заставки. Если Windows 7 используется на предприятии, пользователей необходимо научить тому, как запирать свои рабочие станции всякий раз, когда они покидают свое рабочее место, или создать параметры политики, которые бы делали это автоматически после определенного периода бездействия системы; экранная заставка, если настроить ее на запрос повторного входа после такого периода, может быть очень полезной. Дома это может стать вашей лучшей линией защиты, если вы покидаете компьютер и забываете его запереть.

Обновления Windows Update: все версии программного обеспечения требуют определенный уровень исправлений. Можно подготавливать, тестировать и пытаться разработать идеальный продукт, но невозможно учесть все. Также обновления и новые выпуски программ требуются для обновления вашей системы в течение ее использования. Поскольку в системе имеются усовершенствования, требования, необходимые для других технологий разработки, новые уязвимости безопасности и обновления драйверов для более хорошей производительности и функциональности, всегда будет необходимость в использовании Windows Update. Windows (и Microsoft) Upd ate или производственные версии управления исправлениями (например, WSUS) используются для централизованного управления и установки обновлений. Эти инструменты используются для контроля, отслеживания и мониторинга ваших текущих и будущих потребностей в обновлениях. Настройте автоматическое обновление, или возьмите за правило делать это вручную, поскольку это просто необходимо делать. Если вы не будете обновлять свою систему, как рекомендуется (а иногда требуется), вы подвергаете себя риску атаки.

Программы и функции (Programs and Features): помимо обновлений Windows Updates вам также нужно часто проверять, что установлено у вас в системе, особенно если вы работаете в интернете и/или загружаете программные продукты с интернет серверов. Например, установка простого обновления Java, если вы не внимательно прочитали информацию по нему во время установки, может также установить панель инструментов в вашей системе, которая интегрируется в ваш веб браузер. Сейчас это контролируется более жестко, но в любом случае, вам следует время от времени проверять, что установлено у вас в системе.

Windows Defender: шпионские программы - это приложения, которые изначально использовались для незаконной торговой деятельности, и которые выполняют такие вещи, как повышение нагрузки, перенаправление вашего обозревателя и отправка информации о ваших действиях. Хотя антивирусные программы блокируют некоторые из таких приложений, Windows Defender (или другое ПО для удаления шпионских программ) нужно использовать для отчистки оставшихся шпионских программ. Куки (Cookies), хотя и безвредные по своей природе, могут иногда подвергаться манипуляциям для незаконных целей. Убедитесь, что Windows Defender часто обновляется новыми файлами дефиниций и исправлениями, чтобы быть уверенным в том, что он способен обнаружить самые свежие шпионские программы. SpyNet - это сообщество, к которому обращаются специалисты Microsoft для наблюдения, изучения и устранения ущерба от шпионских программ.

Пользовательские учетные записи (User Accounts): управление учетными записями пользователей является основой защиты доступа к вашему компьютеру, равно как и ко всему, что работает под его управлением. Например, если вы создадите новую учетную запись пользователя и включите ее в группу администраторов, у вас будет полный доступ к системе компьютера. Если вы настроите учетную запись в качестве обычного пользователя, то ее разрешения будут очень ограниченными и позволят выполнять лишь ряд базовых функций пользователя. Вы также можете настроить пароли, которые при создании в соответствие с требованиями политики паролей, заставляют пользователей создавать сложные для взлома пароли, что предотвращает большинство базовых атак. Если установлен Windows Server 2008 и Active Directory, вы можете получать доступ к домену, который (если вы являетесь его участником) позволит вам более гибко настраивать разрешения файловой системы NTFS для папок и файлов, а также прочих ресурсов с общим доступом, таких как принтеры.

Опции питания (Power Options): приложение Power Options Control Panel является тем местом, где вы настраиваете стандартное поведение операционной системы, когда она отключена, закрыта или находится в спящем режиме. Для большей степени безопасности рекомендуется устанавливать параметр на запрос пароля при выходе машины из спящего режима. Всякий раз, когда появляется возможность включения контроля доступа пользователей, следует ее использовать.

Итак, если вам нужно применить меры безопасности в Windows 7, меню Пуск может сослужить хорошую службу в качестве отправной точки для укрепления системы и открывает дверь ко многим доступным инструментам. Есть много опций, которые можно использовать для укрепления вашей системы Windows 7, особенно панель управления. Использование меню Пуск также является простым способом обеспечить основную линию защиты вашей системы после изначальной установки. Рекомендуется создавать основную линию безопасности после первичной установки и конфигурации вашей системы, что потребует от вас настройки всех параметров безопасности, приложений и загрузки исправлений и обновлений с последующим созданием резервной копии всей системы с помощью утилиты System Restore. Так у вас будет снимок системы в свежем состоянии на тот случай, если вам нужно будет вернуть систему в такое состояние. Можно создать точку восстановления, которая может использоваться, если система была взломана, и это позволит вам вернуть базовое состояние системы с примененными параметрами безопасности.

3.Дополнительные Параметры безопасности в Windows 7

SeAuditPrivilege. Данный параметр разрешает службе или учетной записи указывать параметры аудита доступа к объектам для отдельных ресурсов (файлов, объектов Active Directory, разделов реестра). То есть создавать записи в стандартном журнале безопасности системы (eventvwr. msc) при помощи API-функции ReportEvent.

Еще данное право разрешает очищать журнал безопасности оснастки eventvwr. msc.

По умолчанию данное право предоставлено группе "Администраторы". Вы же можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и включить политику "Управлять аудитом и журналом безопасности".

SeCreatePermanentPrivilege. Данный параметр позволяет службе или учетной записи создавать постоянные объекты, которые будут не удаляемыми при отсутствии ссылок на них. Например, создавать объекты каталога с помощью диспетчера объектов.

По умолчанию данное право никому не предоставлено, но вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Создание постоянных общих объектов раздела".

SeCreateTokenPrivilege. Данный параметр разрешает службе или учетной записи создавать первичные маркеры. То бишь: учетная запись может создать маркер, содержащий любые SID и привилегии, и запустить с его помощью процесс.

По умолчанию данное право никому не предоставлено, но вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Создание маркерного объекта".

SeEnableDelegationPrivilege. Данный параметр используется в Active Directory для делегирования учетных записей и определяет, может ли данная учетная запись устанавливать параметр "Делегирование разрешено" для пользовательского или компьютерного объекта.

Этот параметр можно устанавливать только для тех учетных записей пользователей или компьютеров, для которых снят флажок "Учетная запись не может быть делегирована". По умолчанию в Windows 7 данное право никому не предоставлено. А на контроллере домена данное право по-умолчанию предоставлено группе "Администраторы".

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Разрешить доверия к учетным записям компьютеров и пользователей при делегировании".

SeLockMemoryPrivilege. Данное право разрешает службе или учетной записи выполнять блокировку физических страниц памяти.

Блокировка физических страниц памяти запрещает сброс блокированных страниц в файл подкачки на диск. То есть они всегда будут находиться в оперативной памяти.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и используйте политику "Блокировка страниц в памяти".

SeMachineAccountPrivilege. Данное право необходимо, чтобы диспетчер учетных данных безопасности SAM разрешил добавление компьютера к домену. Если пользователь обладает данным правом, он может добавить до десяти компьютеров в домен.

По умолчанию данное право предоставлено пользователям, прошедшим проверку подлинности на контроллере домена.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и используйте политику "Добавление рабочих станций к домен".

SeSyncAgentPrivilege. Данное право позволяет пользователям выполнять синхронизацию Active Directory. Оно позволяет читать объекты и свойства каталога Active Directory, даже если их атрибуты защиты это запрещают.

В Windows 7 данное право по умолчанию никому не предоставлено.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики и используйте политику "Синхронизировать данные службы каталогов".

4.Установка параметров безопасности для реестра

В некоторых случаях доступ к редактированию реестра может получить не только администратор или непосредственный владелец компьютера, но и простые пользователи. Подобные ситуации потенциально опасны тем, что лица, не обладающие достаточным опытом, при изменении каких-либо настроек случайно выведут реестр из строя, что отрицательно скажется на работоспособности системы. Именно по этой причине в Microsoft Windows XP имеется возможность ограничить доступ к отдельным разделам и подразделам реестра для отдельных пользователей и групп пользователей. Для этого:

1. Выделите в Панели разделов ключ или подраздел, для которого вы хотите настроить параметры безопасности;

параметр безопасность операционная система

2. Выполните последовательность команд Правка->Разрешения (Edit->Permissions). На экране появится окно настройки параметров безопасности для выбранного раздела реестра (рис. 20.4);

3. В списке Группы или пользователи (Group or user names) выберите обозначение пользователя или группы пользователей, для которых устанавливаются разрешения. Чтобы удалить из списка пользователя или группу пользователей, нажмите на кнопку Удалить (Remove).

4. Для того чтобы добавить в список локального или сетевого пользователя, либо группу пользователей, щелкните мышью на кнопке Добавить (Add). На экране появится окно Выбор: Пользователи или Группы (Select users or groups). Чтобы изменить тип добавляемого объекта, нажмите на кнопку Типы объектов (Object types) и выберите из предлагаемого списка требуемый вариант: Встроенные участники безопасности (Built-in security principals), Группы (Groups) и Пользователи (Users). В том же окне вы можете установить компьютер, для которого настраиваются параметры безопасности, щелкнув мышью на кнопке Размещение (Locations). По умолчанию предлагается локальный компьютер. Сами имена добавляемых в список объектов можно ввести через точку с запятой в поле Введите имена выбираемых объектов (Enter the object names to select). Допускается использование следующих форматов имен:

выводимое имя, например, имя и фамилия пользователя;

имя объекта, например, сетевое имя компьютера;

имя пользователя, в том виде, в котором оно зарегистрировано на целевом компьютере;

имя_объекта@имя_домена - напр., сетевое имя компьютера в зарегистрированном домене локальной сети;

имя_домена\имя_объекта - напр., имя зарегистрированного пользователя в одном из доменов локальной сети.

5. В нижней части окна настройки параметров безопасности установите флажки для тех типов действий, которые разрешены или запрещены выбранным пользователям или группам пользователей на данном компьютере. Предлагаются варианты Полный доступ (Full control), Чтение (Read) и Особые разрешения (Special permissions) (см. ниже). Следует понимать, что эти разрешения и запреты настраиваются не для всего реестра в целом, а только для ветви, ключа или подраздела, который вы первоначально указали в Панели разделов программы Редактор реестра.

Под особыми разрешениями в терминологии системы безопасности реестра Windows XP понимаются такие настройки доступа к элементам реестра, которые управляются правилами владения объекта, наследования и аудита. Владелец объекта в Windows XP - это пользователь операционной системы, который создал данный объект, либо наделен полномочиями администратора для управления этим объектом, включая возможности его полной настройки и удаления. Применительно к реестру Windows XP владелец объекта может управлять всеми разрешениями для данного объекта вне зависимости от разрешений, установленных для объекта по умолчанию. Владельцем всех элементов реестра в Windows XP автоматически считается администратор компьютера.

Правило наследования разрешений подразумевает, что разрешения и запреты, установленные для родительского элемента реестра Windows, наследуются его дочерними элементами. Например, разрешения, настроенные для ветви реестра HKLM автоматически наследуются всеми ключами и подразделами данной ветви. При указании особых разрешений администратор компьютера может изменить этот принцип, задав для некоторых дочерних ключей и подразделов реестра иные разрешения, нежели для всей ветви в целом.

Аудит событий безопасности позволяет фиксировать и записывать в специальный журнал безопасности Microsoft Windows XP Professional все системные события, относящиеся к вопросам общей безопасности системы. В частности, к таким действиям относятся обращения пользователей компьютера к реестру Windows, защищенным файлам и папкам, попытки пользователей выполнить запрещенные администратором компьютера или политикой безопасности действия. При этом в журнале фиксируются объект аудита, действия, подвергаемые аудиту, точные типы действий для аудита, имя пользователя, выполнявшего подвергаемые аудиту действия или пытавшегося выполнить какие-либо запрещенные процедуры. Впоследствии журнал безопасности может быть проанализирован администратором компьютера с целью выявления недостатков системы безопасности и брешей в защите Windows от несанкционированных действий пользователей.

Разрешения, действующие для реестра Windows XP, жестко привязываются к пользователям и группам пользователей, с одной стороны, и к фактическим объектам, для которых они назначены, с другой. Наиболее эффективными с точки зрения безопасности считаются разрешения, заданные для пользователя, группы пользователей или компьютера в целом на основе членства в группах, либо явно указанные администратором. К разрешениям, которые могут быть настроены для пользователя, группы пользователей или компьютера, относятся следующие:

чтение установленных для объекта разрешений;

смена владельца объекта;

создание или удаление связи между объектами;

запись избирательной таблицы в реестре;

просмотр подразделов текущего раздела реестра;

просмотр и изменение значений параметров;

создание и удаление подразделов в текущем разделе;

полный доступ к разделу реестра.

Настройка особых разрешений для какого-либо раздела или подраздела реестра осуществляется в окне Дополнительные параметры безопасности, которое открывается по щелчку мышью на кнопке Дополнительно в окне настройки параметров безопасности для выбранного раздела реестра. Ниже будут подробно описаны основные возможности при настройке особых разрешений для какого-либо раздела реестра.

Параметры безопасности реестра windows 7.

Редактор реестра (regedit ) - инструмент, предназначенный для опытных пользователей . Этот инструмент предназначен для просмотра и изменения параметров в системном реестре, в котором содержатся сведения о работе. Изменения параметров безопасности реестра так же способны повысить уровень безопасности данных.

Отключить редактирование меню Пуск

Откройте раздел

NoChangeStartMenu и значение параметра должно быть равно 1

Запрет запуска Панели управления

В разделе

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer создайте параметр типа DWORD с именем NoControlPanel 1

Отключить запуск Диспетчера задач В разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies создайте дополнительный подраздел с именем System (если его нет) и в этом разделе создайте параметр типа DWORD с именем DisableTaskMgr и значение 1 . Теперь при вызове Диспетчера задач этот пункт в меню Панели задач будет не активен

Отключить автозагрузку USB-устройст, приводов, съемных дисков, сетевых дисков Открываем раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies и создаем новый раздел с именем Explorer В этом разделе создаем параметр типа DWORD с именемNoDriveTypeAutoRun Значение параметра выбираем на своё усмотрение 0x1 0x4 - отключить автозапуск съёмных устройств 0x8 - отключить автозапуск НЕсъёмных устройств 0x10 - отключить автозапуск сетевых дисков 0x20 - отключить автозапуск CD-приводов 0x40 - отключить автозапуск RAM-дисков 0x80 - отключить автозапуск на приводах неизвестных типов 0xFF - отключить автозапуск вообще всех дисков

Отключить просмотр общих ресурсов анонимным пользователям

Вразделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa изменитезначениепараметраrestrictanonymous на1

Отключаем "расшаренные" административные ресурсы C$, D$, ADMIN$

Открываем редактор реестра и в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters создаем параметр типа DWORD и именем AutoShareWks . Значение параметра - 0 . Теперь если открыть Управление компьютером - Общие папки - Общие ресурсы, то кроме IPC$ ничего не должно быть.

Отключение запуска Командной строки

Откройте раздел HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows и создайте дополнительный подраздел System с параметром типа DWORD DisableCMD , значение параметра могут иметь следующие:

0 - разрешить использовать Командную строку

2 - разрешить запуск командных файлов

Отключить изменение обоев рабочего стола

В разделе HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies создайте подраздел ActiveDesktop и в нем параметр типа DWORD с именем NoChangingWallPaper со значением 1

Отключение Рабочего стола

Откройте раздел

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer и создайте в нем параметр типа DWORD с именем NoDesktop и значением 1 . Вернуть Рабочий стол можно изменить параметр на 0 или удалить его.

Запрет запуска Редактора реестра (regedit)

Откройтераздел HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies исоздайтевнемподразделSystem . В этом подразделе создайте параметр типа DWORD с имнем DisableRegistryTools с именем 1 .

Примечание . Если не сделать экспорт этого раздела где параметр DisableRegistryTools имеет значение 0 , или не создать заранее reg-файл, для возврата запуска Редактора реестра, то запуск будет невозможен. Для создания reg-файла откройте блокнот и скопируйте в него эти строки

Windows Registry Editor Version 5.00 "DisableRegistryTools"=dword: 00000000

Сохраните этот файл под любым, удобным для вас именем, и поменяйте расширение txt на reg. Теперь для возврата запуска Редактора реестра запустите этот файл.

Отключение автоматического обновления Internet Explorer

Откройте раздел HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main и установите значение параметра NoUpdateCheck равное 1

Запретить автоматическое обновление Media Player

Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\PlayerUpgrade и создайте строковый параметр AskMeAgain со значение no . И проверьте параметр EnableAutoUpgrade , его значение установите no

Запрет запуска определенных программ

Задать список программ, которые не будут запущены пользователем можно в разделе HKEY_CURRENT_USER\ Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun. Если подраздела DisallowRun нет - создайте его. Создайте строковый параметр (REZ_SZ) с именем1 (порядковый номер программ, вторая программа будет с именем 2, и т. д) Значени е параметров - это имя программы с расширение exe, например AkelPad. exe

Отключение сообщения о недостатке свободного места Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, создайте в нем параметр типа DWORD с именем NoLowDiskSpaseChecks и установите значение параметра 1 Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gather и измените значение параметра LowDiskMinimumMBytes на 0 Откройде раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gathering Manager и измените значение параметра BackOffLowDiskThresholdMB на 0 Примечание : Чтобы менять значения в разделе могут понадобится права администратора. Для этого надо сделать следующее: Пуск - Все программы - Стандартные. Правой клавишей на Командная строка - Запуск от имени администратора. Ведите команду regedit . Теперь на разделе Gathering Manager кликните правой кнопкой и выберите Разрешения . В открывшемся окне выберите Дополнительно . Перейдите во вкладку Владелец и выберите свою учетную запись (У вас должны быть права администратора). Применить и ОК.

После этих изменений, если на диске будет меньше 10% свободно места, не будет работать система восстановления и дефрагментация диска.

Запрет на установку простого пароля

Дополнительная функция для усложнения пароля. По мимо установки минимальной длины, это параметр задает еще и буквенно-цифровой пароль. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, создайте подраздел Network и в этом подразделе создайте параметр типа DWORD с именем AlphanumPwds и значение параметра установите 1

Запретить отсылать данные в Microsoft SpyNe t

Если вы используете "Защитник Windows", встроенный в Windows 7 по умолчанию, то Microsoft собирает информацию не только об ошибках в программах, но и о вашей ОС. Чтобы отключить оправку данных: Пуск - Панель управления - Защитник Windows. В открывшемся окне нажмите на иконку "Программы" в верхнем меню, затем перейдите по ссылке "Microsoft SpyNet". В диалоговом окне выберите опцию "Не присоединяться к сообществу Microsoft SpyNet" и сохраните изменения

5.Заключение

В данном реферате были рассмотрены опции и параметры безопасности ОС Windows 7, а так же базовые (и расширенные) способы их изменения с целью повышения защищенности данных, хранимых на PC .

Win 7 обладает достаточной высокой встроенной защищенностью от внешних угроз, а так же гибким набором настроек, повышающих безопасность ОС в целом. Списки настроек и параметров приведены в самом реферате, а так же различные способы редактирования данных настроек с целью повышения безопасности ОС.

6.

7.Ссылки на ресурсы

http://www.winline.ru/os/windows_7/

http://www.magicpc. spb.ru/

http://www.anti-malware.ru/

http://windxp.com.ru/

Http://www.os-7.ru

http://www.winpedia.ru

Размещенона Allbest.ru

Windows 7 – это последняя клиентская ОС для компьютеров от компании Microsoft, которая построена с учетом сильных и слабых сторон своих предшественников, Windows XP и Windows Vista. Каждый аспект базовой операционной системы, а также выполняемых ею служб, и то, как она управляет приложения, загруженными в нее, были пересмотрены, и по возможности были приняты меры по улучшению ее безопасности. Все сервисы были усовершенствованы и новые опции безопасности делают эту ОС более надежной. Помимо некоторых основных усовершенствований и новых служб, ОС Windows 7 предоставляет больше функций безопасности, улучшенные возможности аудита и мониторинга, а также возможности шифрования подключений и данных. В Windows 7 имеют место некоторые усовершенствования внутренней защиты для обеспечения безопасности такими внутренними компонентами системы, как Kernel Patch Protection (защита патча ядра), Service Hardening (упрочение сервисов), Data Execution Prevention (предотвращение несанкционированного выполнения данных), Address Space Layout Randomization (внесение случайности в верстку адресного пространства) и Mandatory Integrity Levels (обязательные уровни целостности).

Windows 7 создана для надежного использования. С одной стороны она была разработана в рамках Microsoft"s Security Development Lifecycle (SDL) и спроектирована для поддержки требований Common Criteria, что позволило ей получить сертификацию Evaluation Assurance Level (EAL) 4, которая отвечает требованиям федерального стандарта обработки информации (Federal Information Processing Standard – FIPS) #140-2. При использовании Windows 7 как отдельной системы ее можно защищать личными средствами безопасности. Windows 7 содержит множество различных инструментов безопасности, но именно в сочетании с Windows Server 2008 (R2) и Active Directory эта ОС становится бронежилетом. Используя дополнительные методы безопасности таких инструментов, как Group Policy, вы можете контролировать каждый аспект безопасности ваших компьютеров. Если Windows 7 используется в домашнем офисе или личных целях, ее также можно защищать во избежание многих нынешних методов взлома, и систему можно быстро восстанавливать после сбоя, поэтому, хотя совместное использование этой ОС с Windows 2008 является более надежным, оно вовсе необязательно для применения высокого уровня безопасности в Windows 7. Также следует учитывать тот факт, что, хотя Windows 7 безопасна по своей природе, это вовсе не означает, что вам нужно полностью полагаться на стандартную конфигурацию и что нет необходимости вносить изменения для улучшения безопасности. Также не стоит забывать о том, что со временем вы будете подвергнуты риску заражения каким-то вредоносным кодом или интернет атаке, когда компьютер используется в любой публичной сети. Если компьютер используется для любого типа публичного доступа в интернет, ваша система и сеть, к которой она подключена, становятся доступными для возможных атак.

В этой статье мы рассмотрим основы, которые необходимо знать о правильной настройке безопасности Windows 7, достижении нужного уровня безопасности, а также поговорим о расширенных параметрах безопасности и рассмотрим некоторые менее известные функции безопасности, которые Windows 7 предлагает для профилактики и защиты от возможных атак. Мы также рассмотрим многие способы, которыми вы можете защитить свои данные и восстановиться в случае, если вы все же подверглись какой-либо атаке или критическому сбою системы. В этой статье представлен концепт безопасности, как укреплять Windows 7, как устанавливать и обеспечивать безопасность работающих приложений, как управлять безопасностью в системе Windows 7 и как предотвращать проблемы, вызванные вредоносным кодом. В этой статье также будет рассмотрен процесс защиты данных, системные функции резервного копирования и восстановления, процесс восстановления операционной системы в предыдущее состояние и способы восстановления данных и состояния системы в случае возникновения критического сбоя работы системы. Мы также рассмотрим стратегии, позволяющие сделать это быстро. Также будут затронуты темы безопасной работы в сети и интернете, настройки биометрического контроля для расширенного управления доступом и то, как в Windows 7 при совместной работе с Windows Server 2008 (и Active Directory) можно использовать некоторые интегрированные опции контроля, управления и мониторинга. Цель этой статьи – ознакомить вас с функциями безопасности Windows 7, улучшениями и приложениями, а также предоставить более подробную картину того, как планировать и применять эти функции безопасности должным образом. Все затронутые нами здесь темы будут разбиты и организованы в отдельные блоки.

Примечание: при работе в корпоративной или другой производственной среде не вносите изменения в компьютеры своей компании. Убедитесь, что работаете в рамках изданного компанией плана или политики безопасности, с учетом всех методик, принципов и руководств компании. Если вы не знакомы с темой безопасности и продуктами компании Microsoft, читайте документацию продукции, прежде чем вносить изменения в свою систему.

Базовые моменты безопасности

Прежде чем мы погрузимся в глубь специфики Windows 7, важно сначала представить базовые понятия безопасности и то, как планировать их применение. Нам также нужно будет знать, почему мониторинг является критически важным для поддержания безопасности и как правильно вести слежение за службами безопасности на предмет возникновения проблем. Также важно знать, как осуществлять мониторинг безопасности и обнаруживать вашу возможную подверженность потенциальным атакам. Безопасность – это не то, что делается на скорую руку. К ней нужно тщательно готовиться и применять ее к каждому техническому аспекту установки, и она должна всегда присутствовать. Ее также необходимо тщательно продумывать до установки, а после установки выполнять постоянный мониторинг и аудит. Управление безопасностью требует анализа для точной настройки текущей архитектуры безопасности, а также обнаружения потенциальных атак. В большинстве случаев, ваша безопасность будет проверяться взломщиком или вредоносным кодом для поиска доступа, вы можете потенциально защитить себя превентивными мерами, если видите попытки взлома или заражения. С помощью ведения логов и их последующего аудита вы сможете найти информацию о попытках входа в ваш роутер, о попытках входа от имени администратора и т.д.

Журналы и оповещения весьма полезны, поскольку, если что-то пойдет не так, вы быстро и правильно сможете на это отреагировать посредством анализа исходных IP адресов или попыток входа, зафиксированных приложением аудита. Реагирование на атаку при наличии детального плана называется "реакцией на происшествие". Подготовленность - это ключ к реакции на происшествие, поэтому наличие плана предварительных и последующих действий является критически важным для безопасности. План восстановления после сбоев (Disaster Recovery Plan) [иногда используемый совместно с планом непрерывности бизнеса (Business Continuity Plan – BCP)] будет содержать стратегию восстановления после происшествий. Некоторые команды ИТ-специалистов также выделяют сотрудников для образования команды реагирования на инциденты "(Incident Response Team)", которая при необходимости отвечает за разработку плана по устранению и решению критических проблем, возникших в результате сбоя системы, потери данных, сетевых или системных атак и т.д.

Итак, домашние пользователи должны использовать такую же стратегию, только на упрощенном уровне. Вам тоже нужно защищать свои системы, реагировать на сбои, поэтому хороший план, созданный заранее, может вам оказать очень полезную услугу в будущем. Хорошим примером простого плана будет, например, следующее: если ваша система заражена вредоносным кодом (например, Троян), вам потребуется переустанавливать свою ОС, если все другие меры и попытки исправления не увенчались успехом. Если дело обстоит именно так, то вам нужны члены команды с распределенными обязанностями, подробные шаги (или список) и процедуры еще до инцидента, чтобы вы могли должным образом на него отреагировать, а также нужно провести проверку, чтобы быть уверенным в том, что все выполнено правильно после восстановления. Наличие доступа или копии установочных файлов или любых других программ и приложений, прежде чем они потребуются, может сэкономить вам время, а продуманный план может указать вам, где искать все необходимые инструменты, когда время может играть решающую роль.

Примечание : чтобы помочь себе с планированием и лучше ознакомиться с безопасностью, можете найти списки и планы в разделе дополнительных ссылок этой статьи.

Также следует как можно чаще пересматривать свои планы, особенно после критических проблем или сбоев, и при необходимости добавлять в них определенные действия. Когда ваш план готов, следует учитывать его создание на основах с большим количеством функций и служб безопасности.

Совет : безопасность следует продумывать и применять в каждой используемой системе или службе, чтобы снижать степень риска, связанного с атаками, которые исходят от любой из них во время работы. И если безопасность применена таким способом, что вы сможете заблаговременно предотвратить атаку (или восстановиться после нее), у вас будет меньше работы по реагированию на такие атаки и их учет. Безопасность, даже на самом базовом уровне, должна применяться так, чтобы защищать ваши данные впоследствии, чтобы даже в случае, если вам придется устанавливать Windows с нуля, вы могли применить свои данные позже для последующего их использования. Безопасность нельзя игнорировать.

Вам также следует учитывать применение безопасности концептуально и технически, используя концепцию безопасности под названием Глубокая защита (Defense in Depth). Безопасность необходимо продумывать и применять ко всем системам, сервисам, приложениям и сетевому оборудованию, обеспечивая работу вашей системы и подключение к интернету. Опубликованные политики и продуманные планы обеспечивают продуктивность пользователей системы, и знакомят их с общими политиками использования. Непрерывное обслуживание позволит обеспечивать прирост ваших вложений. Чтобы предотвратить появление «дыр» в архитектуре безопасности, необходимо использовать планирование и применять модель безопасности, использующую концепцию "Defense in Depth". На рисунке 1 показано применение такой концепции на упрощенном уровне, вы можете (и, конечно, должны) добавлять дополнительные уровни в зависимости от того, как построена ваша домашняя или корпоративная сеть.

Рисунок 1: Концептуализации и реализация защиты Defense in Depth

Защиту Defense in Depth, как видно из рисунка, можно подстраивать в соответствие с вашими нуждами. В этом примере, политика безопасности необходима для обеспечения безопасного взаимодействия пользователей системы и сети. Также, укрепление ваших систем, телефонов, настольных ПК, сервисов, приложений, серверов, роутеров, коммутаторов и PBX должно быть принято во внимание, чтобы быть уверенным в том, что все точки доступа охвачены. Также неплохо иметь такое средство защиты публичной сети, как межсетевой экран, но всегда нужно расширять эти границы и добавлять такие элементы, как фильтры и сканеры, чтобы обеспечить более многогранную поддержку. Вам также нужно будет иметь возможность осуществлять мониторинг и вести журналы всей информации для ее последующего использования.

Windows 7 также была создана для интеграции и использования в средах, которые должны отвечать требованиям высокого уровня безопасности, таким как правительственные и военные среды. При учете базовых принципов безопасности Windows важно помнить, что любая система производственного уровня должна быть сертифицирована уровнем безопасности C2 из Orange Book. Microsoft Windows также должна отвечать требованиям сертификации Common Criteria Certification. Для дополнительной информации по этим темам смотрите статьи, ссылки на которые приведены в разделе дополнительных ссылок в конце этой статьи. Windows 7 очень гибкая система, и ее многие опции позволяют настроить ее для использования всех ее функций (минимальная безопасность), или использования только базовых возможностей, и тех операций, которые вы настроили для использования (максимальный уровень безопасности). В Windows 2008 и Windows 7 функция безопасности повышена в десять раз, если эти две ОС совместно настроены должным образом.

Примечание : важно помнить, что отрицание проблемы (или потенциальной проблемы) – не вариант. Оставленные на потом, или вообще игнорируемые проблемы лишь усложняют ситуацию. Лень лишь выиграет вам немного времени. Безопасность в неизвестности такой не является. Несоответствие требованиям лишь добавляет проблем позже, когда необходимо соответствие. Тщательное развертывание безопасности на домашнем ПК или на предприятии (одинаково важны) предотвратит проникновение и атаки, и обеспечит несколько уровней защиты для большей надежности работы ваших систем. Необходимо знать основы безопасности и то, как действовать до и после возникновения атак, если вам нужна защита.

Итак, теперь, когда вы ознакомлены с основными понятиями безопасности, давайте применим то, что мы узнали, при настройке параметров безопасности Windows 7. Учитывая, что у нас есть знания того, почему нужно применять безопасность, когда ее применять, а также нам известны причины управления ею, мониторинга и обновления, нам лишь нужно применить эти концепции безопасности при настройке системы Windows 7. Это осуществляется довольно просто, если знаешь, что нужно сделать. Если вы новичок в Windows или испытываете трудности с привыканием к 7 (возможно вы не использовали Vista), то очень важно отвести часть времени для ознакомления с этими инструментами с помощью таких интернет ресурсов, как TechNet или Microsoft Support. Например, многие шаблоны и перечни можно найти в интернете на сайте Microsoft.com, что даст вам возможность пройти шаг за шагом через применение и использование безопасности в своей системе Windows. Вы также можете найти полезные инструменты в разделе дополнительных ссылок в конце этой статьи.

Шаблоны не являются панацеей и иногда могут вызывать обратный эффект, если их использовать неправильно (или они настроены неправильно), поэтому всегда будьте внимательны, даже если загружаете эти шаблоны непосредственно с Microsoft.com. Очень важно всегда читать документацию, которая идет с шаблоном, чтобы иметь возможность правильно его применить. Также будет правильным сказать, что без определенных знаний основ самой ОС, или знаний базовых принципов работы ОС вы не сможете обеспечить высокий уровень безопасности на длительное время. Четкое понимание ядра ОС и ее служб необходимо, если вы хотите иметь возможность обеспечивать высокую степень защиты даже после настройки базового уровня безопасности. Причиной того, почему это важно для всех, кто применяет безопасность в ОС, является знание того, что ваша система активно сканируется и проверяется на предмет уязвимостей. Ведение журналов регистрации событий крайне полезно, поскольку вы можете настроить аудит (а качестве примера) и получать подробную информацию о том, что происходит с вашей системой и внутри ее. Большинство (если не все) журналов по своей природе являются не очень понятными и могут создавать проблемы, используя самые обобщенные термины или машинный язык. Вам нужно выходить в интернет и разгадывать тайну этих журналов, что с определенным опытом становится делать все проще и проще. Вы прочтете множество вещей, о которых ранее не знали, а также найдете множество инструментов, которые захотите добавить в свой пакет инструментов, после того как протестируете их.

Вам также нужен определенный уровень гибкости при применении безопасности, уровень, который позволит вам соответствовать целям и требованиям предприятия (таким как доступ в интернет) без проблем, в то же время, поддерживая высокий уровень безопасности. Отличным примером может стать инструмент управления пользовательскими учетными записями (User Account Control - UAC), который, при правильной настройке, может обеспечивать высокий уровень безопасности или может быть совсем отключен. Вам нужно будет перезагрузить компьютер, если вы отключите UAC.

Инструмент UAC используется для того, чтобы не позволять программам или приложениям вносить изменения в операционную систему компьютера. Он работает посредством ограничения доступа в ядре ОС, и затем предоставляет подробную информацию пользователям о той программе, которая пыталась себя установить или внести изменения в ОС. Это полезно тем, что дает возможность проверить, что делает программа, и предпринять меры, если вы не хотите, чтобы эта программа внесла изменения. UAC впервые была представлена в Windows Vista, но поскольку ее нельзя было отключить, ее считали «раздражающей» как минимум. Она раздражала пользователей, которые не могли ее обойти. Разработчики Windows также имели множество трудностей с написанием кода из-за ограничений UAC и нуждались в обходных путях. Теперь, когда Windows 7 вышла, UAC можно отключать, полностью убирая уровень безопасности и обеспечивая больше гибкости и вариантов выбора.

Внимание! Чтобы обезопасить систему, не рекомендуется полностью отключать UAC, или если по каким-то причинам вам понадобилось это сделать, не забудьте включить ее снова.

Установка и укрепление Windows 7

Windows 7 безопасна по своей природе. Во время установки ОС всегда рекомендуется выполнять свежую установку ОС на недавно приобретенное (или обновленное) совместимое аппаратное оборудование и затем укреплять ее. Укрепление системы представляет собой процесс повышения уровня безопасности на только что установленной базовой операционной системе путем настройки необходимых параметров безопасности, удаления ненужного ПО и настройки дополнительных параметров политики.

Примечание : Нужно проделать небольшую работу по планированию, когда речь идет о выборе аппаратного оборудования для Windows 7, поскольку если вы хотите использовать виртуализацию, Windows Trusted Platform Module (TPM) Management и другие функции, такие как BitLocker, вам нужно приобрести соответствующее аппаратное оборудование, чтобы эти функции работали.

После корректной установки ОС и ее базовой настройки происходит процесс ее укрепления. Следует ли всегда выполнять новую установку или можно укрепить уже работающую ОС Windows? Технически вы можете укрепить уже используемую систему, но прежде чем это сделать, вам сначала нужно ознакомиться с ней, проанализировать ее, осмотреть, и, конечно, провести аудит уровня безопасности, настроенного и используемого в этой системе. Нет смысла укреплять систему, которая уже взломана. Вы также не всегда знаете, как применение безопасности повлияет на производственную систему, независимо от того, используется она дома или в корпоративной среде. Иногда создаются дубликаты систем, чтобы можно было все тестировать, но на это требуется время и ресурсы, однако это того стоит, поскольку помогает найти и избежать проблем, которые могут возникнуть при построении и развертывании среды. Вы можете причинить больше вреда, чем пользы, если не знаете, как изменения настройки безопасности или шаблоны повлияют на сервисы в производственной системе. Например, вы можете применить модель безопасности к системе и посредством слишком строгих правил фильтрации на брандмауэре лишить определенное приложение возможности нормально функционировать " например, приложение использует определенный порт, который закрыт брандмауэром, что заблокирует доступ приложения. Это может вызвать негативные последствия, если приложение использовать на предприятии и было необходимо для продуктивности, а для исправления проблемы может потребоваться некоторое время и силы. Вот почему проще установить новую Windows 7, а затем укрепить ее, поскольку это не займет много времени и позволит вам убедиться в том, что безопасность остается максимально высокой. Вы также можете ускорить процесс, особенно если используете виртуальную машину (VM) или VHD файл, который дает вам возможность использования нескольких экземпляров ваших компьютеров, работающих на виртуальной среде, а также позволяет быстро восстановиться, если не используется избыточность. Поскольку виртуализация упрощает процесс установки при создании образов клонов для процесса резервного копирования, вы можете восстанавливать свои компьютеры очень легко и быстро. Мо затронем процесс виртуализации позже в этой статье. Если обход отказа включен и настроен, пользователь компьютера может даже и не заметить сбой виртуальной машины.

Вы можете укрепить систему, а затем получить доступ к защищенным данным через хранилище с общим доступом, базы данных и репозитории на высокой скорости с использованием опций обхода отказа и избыточности, которые не только позволят содержать информацию в сохранности, но и отдельно от данных, к которым вы получаете доступ. Если вы все правильно распланируете, вы сможете создавать снимки полностью подготовленных, настроенных, защищенных и обновленных версий Windows и в случае катастрофы, восстанавливать образы системы обратно на свое аппаратное оборудование за 1/3 времени, которое требуется для этого без использования клонирования образов и виртуализации. Затем после восстановления базовой ОС, вы можете подключиться к хранилищу с общим доступом для получения необходимых данных.

Итак, каковы же действительные шаги по укреплению ОС после ее установки? И есть ли определенный порядок этих шагов? Если бы существовал четко определенный набор шагов по установке и укреплению, они бы шли в следующем базовом порядке: установка, удаление всего не используемого, обновление системы, применение базовой безопасности и затем резервное копирование для быстрого восстановления в случае необходимости, как показано в следующем списке:

• Шаг 1 - Установка базовой ОС с выбором необходимых опций для повышения безопасности во время установки и отключением ненужных сервисов, опций и программ.
• Шаг 2 - Установка всех рабочих комплектов администратора, инструментов безопасности и необходимых программ.
• Шаг 3 - Удаление ненужных сервисов, программ и приложений. Отключение или удаление неиспользуемых учетных записей пользователей и групп.
• Шаг 4 - Установка Service Pack, исправлений и обновлений. Обновление всех установленных программ.
• Шаг 5 - Запуск аудита безопасности (сканер, шаблоны, MBSA, и т.д.) для получения информации о текущем уровне безопасности
• Шаг 6 - Запуск восстановления системы (System Restore) и создание точки восстановления. Приложения резервного копирования и восстановления для восстановления после крушений системы.
• Шаг 7 - Резервное копирование системы с возможностью ее быстрого восстановления после краха.

Этот список весьма прост. Вы можете добавлять дополнительные шаги и расширять его. Этот список не оконченный, но является хорошим началом в получении представления о том, с чего начинать при применении безопасности в Windows 7 после базовой установки. Если выполнена новая установка Windows 7, то следующим шагом будет удаление нежелательного ПО, служб, протоколов и программ, которые вам не нужны. Это можно сделать с помощью панели управления.

Затем вы можете перейти в панель управления и указать, кому будет разрешено использовать компьютер, с помощью приложения User Accounts. Здесь нужно удалить все учетные записи, которые вам не нужны, или просто отключить их. Конечно нужно быть осторожным со стандартными пользователями и группами, поскольку некоторые из них связаны со службами, работающими в ОС, они также могут влиять на то, как осуществляется доступ к данным в вашей системе и т.д. Вы также можете с легкостью отключать учетные записи, если не уверены, что их можно удалять. Еще одним приемом, используемым большинством специалистов ИТ-безопасности является ситуация, когда вы оставляете учетную запись локального администратора на месте и выполняете ее аудит на предмет попыток воспользоваться этой учетной записью, или учетной записью администратора домена, которую нужно защищать еще надежнее и проводить ее полный аудит. В качестве общепринятой методики специалисты не используют встроенные учетные записи при управлении масштабными сетями систем Microsoft и создают новые учетные записи администраторов, активность которых при необходимости можно легко отследить. Проводя аудит этих учетных записей и используя новые учетные записи с правами администраторов, вы повышаете уровень безопасности вдвое. Во-первых, вы имеете возможность узнать, если кто-то пытается зайти в вашу систему от имени стандартных учетных записей, хотя этого не должно происходить. При аудите вы можете отслеживать такие попытки в случае их возникновения. Такое применение безопасности к учетным записям известно под термином приманки (honeypot) и полезно при поиске возможных попыток несанкционированного доступа к системе. Во-вторых, вы удаляете половину уравнения, когда кто-то пытается взломать учетную запись через базовые учетные данные, такие как имя пользователя и пароль. Если вы устраните простые для взлома учетные данные, то вам лишь останется настроить сложный и надежный пароль, которые будет трудно взломать. Если вы настроите встроенные учетные записи в качестве приманки, вы сможете создать очень сложный для взлома пароль и ограничить эту учетную запись настолько, что в случае ее взлома злоумышленник ничего не сможет сделать в вашей системе. Вам также нужно сменить все пароли встроенных учетных записей на более сложные. Используйте лучшие методики подбора безопасных паролей для защиты этих учетных записей и их полного аудита. Вам также следует настроить политику, которая заставит конечных пользователей, желающих изменить пароль, пройти через процесс, где им будет разрешено использовать только тот пароль, который достаточно сложен и надежен. Это лишь один совет по укреплению, который обеспечивает такие преимущества, как возможность поиска взломщиков через логи и аудит.

Подсказка : В Windows Server 2008 можно устанавливать функциональность «ядра» ("core"), что является процессом укрепления, применяемым к системе во время ее установки. После установки сервер будет работать только с минимальным набором функций по вашему выбору, что снижает риск подверженности средствам атак. Windows 7 можно укрепить, но она не имеет такой опции установки как 2008, которая просто ограничивает систему во время установки. Чтобы укрепить Windows 7, нужно применять политики, шаблоны и вручную настраивать параметры безопасности должным образом.

Учитывая все вышесказанное, как использовать функцию ограничения и защиты Windows 7? Самым простым способом начать процесс ограничения системы является использование меню Пуск для поиска всего, что связано с безопасностью, хранящееся в системе и индексируемое. Для этого просто нажимаете кнопку Пуск, чтобы открыть меню. Затем вводите ключевое слово "безопасность (security)" в поле «Поиск программ и файлов». На рисунке 3 показаны опции меню Пуск, выданные в результате поиска по ключевому слову "Security".

Рисунок 3: Поиск и просмотр опций безопасности, найденных с помощью меню Пуск

Здесь показано, что Программы, приложения (или действия) Панели управления, Документы и Файлы выбраны и организованны для удобного просмотра и доступа. Говоря кратко, Локальная политика безопасности (Local Security Policy) (если ее выбрать) является редактором политики, позволяющим вам просматривать и настраивать политики безопасности вашей системы. Редактор Local Security Policy показан на рисунке 4. Здесь вы можете внести необходимые изменения в любую политику на основе настроек ОС.

Совет " для полного контроля над политиками нужно использовать Windows 7 с такими продуктами Windows Server, как Windows Server 2008 R2. В этом случае вы сможете воспользоваться Active Directory (AD) и Group Policy.

Если вы хотите локально настроить аудит определенного события (например, вход и выход из системы), то вы можете указать это действие в консоли Local Security Policy (рисунок 4). В панели управления вы можете перейти в приложение инструментов администрирования (Administrative Tools), чтобы найти редактор Local Security Policy, или просто выполнить поиск в меню Пуск. Когда Windows 7 используется с Active Directory, можно использовать групповую политику (Group Policy), которая представляет собой надежную службу, позволяющую вам настраивать, управлять и разворачивать параметры и настройки, а также программные приложения, но вам нужно будет подключить Windows 7 к действующему домену и управлять ей соответственно, чтобы воспользоваться всеми этими возможностями.

Если вам нужно настроить безопасности на основе политик, это самый простой способ. Можно найти множество инструментов, которые необходимы для настройки, в Панели управления и/или в пользовательской консоли MMC, которую вы настроите и установите. Центр безопасности Microsoft Security Center (Windows Vista, XP) использовался для централизации большинства функций безопасности в прошлом. Он был заменен центром действий (Action Center), и теперь действия безопасности очень просто найти, просмотреть и выполнить, имея определенные разрешения. Например, как показано в меню Пуск (рисунок 3), действие «Проверять состояние безопасности» ("Check security status"), если оно выбрано, предоставляет список настроек безопасности, которые Windows 7 рекомендует выполнить, например, обновление системы, или таких программ, как антивирус (AV). Если вы выбрали действие, система отправит вас в центр действий для исправления имеющихся проблем.

Рисунок 5: Настройка действий безопасности и опций приложений панели управления

Совет : На рисунке 5 показаны действия безопасности, находящиеся в панели управления, которые можно выполнить. Если вы перейдете в меню Пуск, введете «Безопасность» (security) и нажмете на строку панели управления, вам будет предоставлен список действий и настроек безопасности, которые можно сразу же настроить в доступном и понятном списке.

В центре действий (или при просмотре списков действий) вы можете просто перейти вниз по списку и настроить каждый элемент соответствующим образом. Это краткий обзор опций безопасности, которые можно настроить в списке центра действий:

• Центр действий (Action Center) " центр действий пришел на замену центру безопасности. В центре действий вы можете указывать действия, которые ОС будет выполнять. С вашего разрешения действия могут выполняться. Здесь вам будет сказано, если ваша антивирусная программа не обновлена. Вы можете заходить в центр действий для выполнения действий, связанных с безопасностью.
• Опции интернета (Internet Options) " веб просмотр любого типа открывает двери для потенциальных рисков, связанных с интернетом. Если вы используете прокси-сервер, пользуетесь веб фильтрацией (и мониторингом) и постоянно обновляете свою ОС самыми последними обновлениями, вы можете оказаться в ситуации, где безопасность может быть скомпрометирована. В приложении опций интернета в панели управления (Internet Options Control Panel) вы можете указывать зоны безопасности, разрешать доступ только к определенным URL адресам, разворачивать расширенные параметры безопасности в закладке Дополнительно (Advanced) и многое другое. Сам браузер оснащен фильтром фишинга, который предотвращает атаки фишинга (Phishing), а также имеет другие настраиваемые опции, такие как InPrivate Browsing, которая не позволяет хранить вашу личную информацию, что особенно полезно при использовании компьютера в публичных интернет-кафе.
• Брандмауэр Windows " как и любой другой программный или аппаратный межсетевой экран, брандмауэр Windows Firewall может предотвращать базовые атаки по умолчанию, и его можно настраивать многогранно для высокого уровня контроля над тем, что может входить и исходить с системы вашего компьютера, когда он подключен к публичной или частной сети. Перейдя в панель управления и выбрав брандмауэр Windows, вы получите доступ к большинству параметров конфигурации брандмауэра. Вы можете нажать на кнопку дополнительных параметров (Advanced) в диалоге для доступа к дополнительным параметрам и опциям конфигурации. В Windows 7 вы можете разворачивать несколько политик брандмауэра одновременно и использовать обозначение домена (Domain designation) для более простой настройки и управления брандмауэром Windows.
• Персонализация (Personalization) " опции персонализации представляют собой то место, где можно изменять внешний вид Windows, но здесь же вы можете настраивать пароли своей экранной заставки. Если Windows 7 используется на предприятии, пользователей необходимо научить тому, как запирать свои рабочие станции всякий раз, когда они покидают свое рабочее место, или создать параметры политики, которые бы делали это автоматически после определенного периода бездействия системы; экранная заставка, если настроить ее на запрос повторного входа после такого периода, может быть очень полезной. Дома это может стать вашей лучшей линией защиты, если вы покидаете компьютер и забываете его запереть.
• Обновления Windows Update " все версии программного обеспечения требуют определенный уровень исправлений. Можно подготавливать, тестировать и пытаться разработать идеальный продукт, но невозможно учесть все. Также обновления и новые выпуски программ требуются для обновления вашей системы в течение ее использования. Поскольку в системе имеются усовершенствования, требования, необходимые для других технологий разработки, новые уязвимости безопасности и обновления драйверов для более хорошей производительности и функциональности, всегда будет необходимость в использовании Windows Update. Windows (и Microsoft) Upd ate или производственные версии управления исправлениями (например, WSUS) используются для централизованного управления и установки обновлений. Эти инструменты используются для контроля, отслеживания и мониторинга ваших текущих и будущих потребностей в обновлениях. Настройте автоматическое обновление, или возьмите за правило делать это вручную, поскольку это просто необходимо делать. Если вы не будете обновлять свою систему, как рекомендуется (а иногда требуется), вы подвергаете себя риску атаки.
• Программы и функции (Programs and Features) " помимо обновлений Windows Updates вам также нужно часто проверять, что установлено у вас в системе, особенно если вы работаете в интернете и/или загружаете программные продукты с интернет серверов. Например, установка простого обновления Java, если вы не внимательно прочитали информацию по нему во время установки, может также установить панель инструментов в вашей системе, которая интегрируется в ваш веб браузер. Сейчас это контролируется более жестко, но в любом случае, вам следует время от времени проверять, что установлено у вас в системе.
• Windows Defender " шпионские программы – это приложения, которые изначально использовались для незаконной торговой деятельности, и которые выполняют такие вещи, как повышение нагрузки, перенаправление вашего обозревателя и отправка информации о ваших действиях. Хотя антивирусные программы блокируют некоторые из таких приложений, Windows Defender (или другое ПО для удаления шпионских программ) нужно использовать для отчистки оставшихся шпионских программ. Куки (Cookies), хотя и безвредные по своей природе, могут иногда подвергаться манипуляциям для незаконных целей. Убедитесь, что Windows Defender часто обновляется новыми файлами дефиниций и исправлениями, чтобы быть уверенным в том, что он способен обнаружить самые свежие шпионские программы. SpyNet – это сообщество, к которому обращаются специалисты Microsoft для наблюдения, изучения и устранения ущерба от шпионских программ.
• Пользовательские учетные записи (User Accounts) " управление учетными записями пользователей является основой защиты доступа к вашему компьютеру, равно как и ко всему, что работает под его управлением. Например, если вы создадите новую учетную запись пользователя и включите ее в группу администраторов, у вас будет полный доступ к системе компьютера. Если вы настроите учетную запись в качестве обычного пользователя, то ее разрешения будут очень ограниченными и позволят выполнять лишь ряд базовых функций пользователя. Вы также можете настроить пароли, которые при создании в соответствие с требованиями политики паролей, заставляют пользователей создавать сложные для взлома пароли, что предотвращает большинство базовых атак. Если установлен Windows Server 2008 и Active Directory, вы можете получать доступ к домену, который (если вы являетесь его участником) позволит вам более гибко настраивать разрешения файловой системы NTFS для папок и файлов, а также прочих ресурсов с общим доступом, таких как принтеры.
• Опции питания (Power Options) " приложение Power Options Control Panel является тем местом, где вы настраиваете стандартное поведение операционной системы, когда она отключена, закрыта или находится в спящем режиме. Для большей степени безопасности рекомендуется устанавливать параметр на запрос пароля при выходе машины из спящего режима. Всякий раз, когда появляется возможность включения контроля доступа пользователей, следует ее использовать.

Итак, если вам нужно применить меры безопасности в Windows 7, меню Пуск может сослужить хорошую службу в качестве отправной точки для укрепления системы и открывает дверь ко многим доступным инструментам. Есть много опций, которые можно использовать для укрепления вашей системы Windows 7, особенно панель управления. Использование меню Пуск также является простым способом обеспечить основную линию защиты вашей системы после изначальной установки. Рекомендуется создавать основную линию безопасности после первичной установки и конфигурации вашей системы, что потребует от вас настройки всех параметров безопасности, приложений и загрузки исправлений и обновлений с последующим созданием резервной копии всей системы с помощью утилиты System Restore. Так у вас будет снимок системы в свежем состоянии на тот случай, если вам нужно будет вернуть систему в такое состояние. Можно создать точку восстановления, которая может использоваться, если система была взломана, и это позволит вам вернуть базовое состояние системы с примененными параметрами безопасности. Мы рассмотрим опции System Restore в разделе Disaster Recovery этой статьи.

Пытаясь ответить на этот вопрос, гуру безопасности интернет-издательства PCMag Нил Дж. Рубенкинг (Neil J. Rubenking) рассмотрел защитные возможности Windows 7 и написал статью, в которой оценил все в новинке - начиная от интерфейса и печально известного UAC (User Account Control) до межсетевого экрана (файрвола), сетевых возможностей и шифрования BitLocker.

Он даже поговорил с некоторыми понимающими в области безопасности людьми, пытаясь выяснить их впечатления от платформы Windows Filtering - основного набора ключевых возможностей, который могут использовать или не использовать другие производители.

В общем и целом, Рубенкинг обнаружил, что системная безопасность Windows 7 во многом напоминает безопасность другой операционной системы. В частности многое похоже на Vista, но в некоторых областях безопасность улучшена.

Да, Microsoft внесла множество изменений в различные области Windows 7, но это не те изменения, от которых большая часть пользователей сразу же получит выгоду. Сам Рубенкинг написал, что Vista по своей сути более безопасна, чем Windows XP.

Связано это с тем, что Microsoft внесла в платформу Vista значительные изменения, коснувшиеся пользовательских привычек и даже потребовавшие некоторых причудливых переписываний драйверов и т.п.

В то же время улучшения безопасности между Vista и Windows 7 не столь серьезны. В безопасности, как и в других областях, Windows 7 - это Vista, но только лучше.

Итак, давайте рассмотрим записи Рубенкинга и оценим для себя, насколько мы в безопасности или наоборот в опасности под Windows 7.

Безопасность Windows 7 - Начало

Компания Microsoft утверждает, что Windows 7 обладает улучшенной безопасностью, надежностью и производительностью .

Внедрение в операционную систему таких концепций как защита ядра от исправления, предотвращение выполнения данных, рандомизация адресного пространства, обязательные уровни целостности звучит хорошо, если не учитывать, что ранняя пропаганда Vista тоже рекламировала безопасность операционной системы, однако большинство из этих обещаний провалились при материализации.

Так будет ли Windows 7 лучше Vista, оправдает ли последняя операционная система возложенные на нее надежды?

В действительности, цели Windows 7 звучат немного лучше маловероятных концепций Vista. Ясно, что безопасность в Windows 7 лучше, чем в Vista. Правда, не намного.

Автоматические обновления

Установка Beta и RC проходила довольно быстро, т.к. я выполнял чистую установку операционной системы на тестовую машину. В то же время апгрейд моей рабочей системы на финальную версию Windows 7 оказался гораздо более длинным и тяжелым процессом.

Однако я бы предпочел видеть, чтобы Windows 7 прямо при установке настраивалась на полное включение автоматических обновлений. А пользователям затем необходимо было рассказать, как эти обновления отключить.

Этот простой казалось бы шаг позволил бы защитить миллионы машин в мире от повседневных эксплоитов и т.п. Что ж, может быть в Windows 8 …

Центр безопасности - Action Center

Windows 7 не ругалась на мой Norton Internet Security 2010, так как Norton не был препятствием и для апгрейда. В то же время без установки Norton новый центр безопасности Action Center предупреждал бы меня об отсутствии антивирусной защиты.

Старый центр безопасности Vista Security Center просто отслеживал наличие межсетевого экрана (брандмауэра или файрволла) и антивирусной защиты, плюс автоматических обновлений. Однако новый Action Center, заменивший Security Center, также сообщает о проблемах с защитой от шпионского программного обеспечения, о безопасности в Интернет, об UAC, об обслуживании системы и т.п.

Иконка центра безопасности в зоне уведомлений заменяет пять отдельных иконок в Vista. Кроме того, по данным блога разработки Windows 7, она должна показывать уведомление пользователю лишь в том случае, если от него требуются какие-либо ответные действия.

Вы больше не должны видеть каких-либо всплывающих уведомлений, которые всего лишь о чем-либо сообщают. Все всплывающие окна теперь важны и имеют практическое значение.

Итак, о чем же, во-первых, меня предупредил центр безопасности ? "Windows установит обновления по расписанию". Вот оно что! Центр сподобился предупредить меня о том, что установка обновлений может вызвать перезагрузку компьютера. Просто предупреждайте меня перед любой перезагрузкой!

Защита от вирусов

Если у вас не установлен антивирус или какая-нибудь защита от шпионских программ, то центр безопасности будет к вам приставать до тех пор, пока вы не сдадитесь и не установите что-нибудь, что он знает.

А знает он, надо сказать, почти все современные продукты безопасности. Если же вы установите что-нибудь, что центр не знает, то его раздражающие сообщения вы сможете отключить.

В начале бета-тестирования ссылка на информацию о программах безопасности приводила на страницу находящуюся в разработке. В то же время к моменту выхода Windows 7 RC на этой странице уже были ссылки на семь основных разработчиков программ безопасности с совместимыми продуктами.

В настоящее время в списке этой страницы значится около 20 разработчиков совместимых продуктов безопасности. Бесплатно можно попробовать Microsoft Security Essentials 1.0, AVG Anti-Virus Free Edition 9.0 или Avast! 4.8 Home Edition.

В первый день использования Windows 7 Beta меня замучили всплывающие окна UAC, над приручением которого Microsoft тогда еще работала. Однако в финальной версии Windows 7 все значительно улучшилось как в плане числа всплывающих окон, так и в плане настройки UAC ....

Платформа фильтрации Windows -
Windows Filtering Platform

Файрволлы должны работать с Windows 7 на очень низком уровне, что абсолютно ненавидят программисты Microsoft. Некоторые технологии Microsoft, вроде PatchGuard, присутствующие в 64-х битных изданиях Windows 7 (64-х битные Windows 7 обладают рядом преимуществ в безопасности над 32-х битными Windows 7), блокируют злоумышленников и также защищают ядро от доступа к нему.

И все-таки Microsoft не предоставляет такого уровня безопасности, как у программ третьих лиц. Так что же делать?

Решением этой проблемы является платформа фильтрации Windows - Windows Filtering Platform (WFP). Последняя, по словам Microsoft, позволяет основывать файрволлы третьих фирм на ключевых возможностях Windows Firewall - позволяет добавлять в них настраиваемые возможности и выборочно включать и отключать части Windows Firewall.

В результате пользователь может выбирать себе файрволл , который будет сосуществовать с Windows Firewall.

Но насколько это действительно полезно для разработчиков программ безопасности? Станут ли они этим пользоваться? Я опросил несколько человек и получил массу ответов.

BitDefender LLC

Менеджер по разработке продуктов Иулиан Костаче (Iulian Costache) заявил, что его компания в настоящее время использует эту платформу в Windows 7. Однако они столкнулись со значительными утечками памяти.

Ошибка находится на стороне Microsoft, что крупнейший программный гигант уже подтвердил. Тем не менее, Иулиан не знает, когда она будет решена. Пока же они временно заменили новый драйвер WFP на старый TDI.

Check Point Software Technologies Ltd

Менеджер по связям с общественностью в Check Point Software Technologies Ltd Мирка Янус (Mirka Janus) заявил, что его компания начала использовать WFP еще с Vista. Также они используют платформу и под Windows 7.

Это хороший, поддерживаемый интерфейс, но любая вредоносная программа или несовместимый драйвер могут быть опасными для продукта безопасности, опирающегося на него. ZoneAlarm всегда опирался на два слоя - слои сетевых соединений и пакетного уровня.

Начиная с Vista, Microsoft предложила WFP как поддерживаемый способ фильтрации сетевых соединений. Начиная с Windows 7 SP1, Microsoft должна научить WFP включеню пакетной фильтрации.

"Использование поддерживаемых API - означает улучшенную стабильность и уменьшенное число BSOD. Многие драйверы могут регистрироваться и каждому разработчику драйверов не надо беспокоиться о совместимости с другими.

Если какой-либо драйвер, скажем, блокирован, ни один другой зарегистрированный не может обойти эту блокировку. С другой стороны, несовместимый драйвер может стать проблемой, обойдя все другие зарегистрированные. Мы не опираемся на один лишь WFP для сетевой безопасности".

F-Secure Corporation

Старший исследователь в F-Secure Corporation Микко Хиппонен (Mikko Hypponen) заявил, что по какой-то причине WFP никогда не становился популярным среди разработчиков программ безопасности. В то же время его компания довольно долго использовала WFP, и была от этого счастлива.

McAfee, Inc.

В свою очередь ведущий архитектор McAfee Ахмед Салам (Ahmed Sallam) заявил, что WFP является более мощным и гибким интерфейсом сетевой фильтрации, чем предыдущий интерфейс, основанный на NDIS. McAfee активно использует WFP в своих продуктах безопасности.

В то же время, несмотря на то, что WFP обладает позитивными возможностями, преимуществами платформы могут воспользоваться и киберпреступники. Платформа может позволить вредоносной программе войти в сетевой стек уровня ядра Windows.

Поэтому 64-х битные драйвера Windows уровня ядра должны иметь цифровые подписи, чтобы защитить ядро от загрузки в него вредоносных программ. Однако цифровые подписи не обязательны на 32-х битных версиях.

Да, теоретически цифровые подписи являются разумным защитным механизмом, но в реальности авторы вредоносных программ все-таки могут приобрести себе и их.

Panda Security

Представитель Panda Security Педро Бустаманте (Pedro Bustamante) сказал, что его компания следит за платформой WFP, но в настоящее время ее не использует. Основными недостатками WFP компания считает, во-первых, отсутствие возможности создать технологию, которая бы комбинировала различные техники для максимизации защиты.

Технология бесполезна, если компания не может взглянуть во входящие и исходящие пакеты в машину. Также она должна выступать датчиком для других технологий защиты. Ни одну из этих возможностей не предоставляет WFP. Во-вторых, WFP поддерживается лишь Vista и более новыми операционными системами.

Обратной совместимости у платформы нет. И, в-третьих, WFP является довольно новой платформой, а компания предпочитает опираться на более старые и проверенные технологии.

Symantec Corp.

Директор по менеджменту потребительских продуктов в Symantec Ден Надир (Dan Nadir) заявил, что WFP пока не используется в их продуктах по причине относительной новизны. Тем не менее, со временем компания планирует мигрировать на нее, т.к. старые интерфейсы, на которые они опираются сейчас, не смогут предоставить всю полноту требуемой ими функциональности.

WFP они считают хорошей платформой, т.к. она была специально разработана для обеспечения функциональной совместимости между множеством программ третьих фирм. В принципе, в будущем проблем совместимости у платформы должны быть еще меньше. WFP также хороша потому, что интегрирована с Microsoft Network Diagnostic Framework.

Это чрезвычайно полезно, т.к. значительно облегчает поиск специфических программ, являющихся препятствием для сетевого трафика. И, наконец, WFP должна привести к улучшению производительности и стабильности операционной системы, т.к. платформа избегает эмуляции и проблем с конфликтами или стабильностью драйверов.

Впрочем, с другой стороны, по мнению Надира, WFP может создавать определенные проблемы, существующие в любой структуре - разработчики, опирающиеся на WFP не могут закрыть уязвимости внутри самой WFP, как не могут и расширить специфические возможности, предлагаемые WFP.

Также если многие программы будут опираться на WFP, то создатели вредоносных программ теоретически могут попытаться атаковать саму WFP.

Trend Micro Inc.

Директор по исследованиям в Trend Micro Inc. Дале Льао (Dale Liao) сказал, что огромнейшим преимуществом платформы является совместимость с операционной системой. Также стандартный файрволл сейчас стал полезным.

Поэтому теперь они могут сфокусироваться на действительно значимых его возможностях для пользователя. Плохо же в WFP то, что при обнаружении в платформе ошибки, компании приходится ждать ее исправления от Microsoft.

WFP: Вывод

В результате, большая часть опрошенных мною разработчиков программ безопасности уже использует WFP. Правда, некоторые параллельно с другими технологиями. Им нравится функциональная совместимость, нравится документированность и официальность платформы и также предполагаемая стабильность ее работы.

С другой, отрицательной стороны, если все разработчики станут опираться на WFP, то платформа потенциально может стать для всех уязвимой точкой. И для ее исправления им придется опираться на Microsoft. Кроме того, платформа пока не предлагает фильтрации уровня пакетов.

Большим недостатком WFP также является то, что ее нет в Windows XP. Поэтому разработчикам, которые хотят поддерживать XP, придется вести два параллельных проекта. Впрочем, по мере того, как XP будет уходить с рынка, я думаю, WFP станет более популярной среди разработчиков.

Межсетевой экран и Сеть

Межсетевой экран (брандмауэр или файрволл) Windows не вызывает уважения. Слегка изменившись при переходе с XP на Vista, он не плохо справляется со своей простой задачей, однако ему не хватает амбиций, чтобы стать лучшим персональным файрволлом.

Впрочем, несмотря на то, что файрволл Windows 7 получил несколько новых возможностей, все-таки он не получил того, что я ожидал в нем увидеть.

Зависание с Домашней группой

Во время установки Windows 7 предлагает создать "домашнюю группу". По мере обнаружения в сети других компьютеров с Windows 7, им также предлагается присоединиться к группе.

И все что им для этого надо - это пароль к ней. Однако, имея один компьютер под Windows 7, я не видел процесса входа в группу других компьютеров, хотя уведомление об этом не помешает. Впрочем, если любой компьютер с Windows 7 может присоединиться к домашней группе, то компьютеры под Windows 7 Home Basic и Windows 7 Starter не могут создать ее.

Компьютеры в одной и той же домашней группе могут совместно использовать (или, как говорят "расшаривать") принтеры и специфические библиотеки файлов. По умолчанию, расшариваются библиотеки рисунков, музыки, видео и документов, однако пользователь может ограничить их по своему усмотрению.

Помощь в операционной системе дает ясные пояснения тому, как исключить файл или папку из расшаривания, или как сделать их доступными только для чтения или как ограничить к ним доступ.

В своей домашней сети пользователь может расшаривать свой контент и для других компьютеров и устройств, и даже для компьютеров не под Windows 7 и даже для не компьютеров вовсе. В частности, Microsoft показывала примеры, как можно расшарить контент для Xbox 360. Впрочем, компания не предлагает подключить к сети Wii. Увы, но Wii компания не квалифицировала, как устройство потокового медиа.

Итак, насколько же домашняя сеть в Windows 7 более безопасна? Обычно пользователи, потерпевшие неудачу с расшариванием файлов и папок, начинают отключать все вокруг, включая файлволл, антивирус и т.п., что, по их мнению, может мешать этому процессу. В то же время, если сделать расшаривание простым, то отключения всего вокруг можно и избежать.

Если Vista разделяет сети на публичные (Public) и приватные (Private), то Windows 7 разделяет приватную сеть на домашнюю (Home) и рабочую (Work). Домашняя группа (HomeGroup) доступна только при выборе домашней сети.

Однако и в рабочей сети ваш компьютер все-таки может видеть и подключаться к другим устройствам в ней. В свою очередь в публичной сети (вроде беспроводной в интернет-кафе), Windows 7 блокирует доступ к вам и от вас к другим устройствам, для вашей безопасности. Это небольшая, но приятная возможность.

Двухрежимный файрволл

В Vista и XP управление файрволлом сводится к его простому включению и выключению. В то же время Windows 7 предлагает пользователю различные конфигурации настроек для приватных (домашних и рабочих) и публичных сетей. При этом пользователю не надо входить в настройки файрволла, чтобы поработать, скажем, в локальном кафе.

Ему достаточно выбрать публичную сеть, и файрволл сам применит весь набор ограничивающих параметров. Вероятнее всего, пользователи настроят публичную сеть на блокировку всех входящих соединений. В Vista этого нельзя было сделать без обрезания также всего входящего трафика в собственной сети пользователя.

Некоторые пользователи не понимают, зачем нужен файрволл. Если работает UAC, не является ли файрволл излишеством? В действительности, эти программы обладают совершенно разными целями.

UAC следит за программами и их работой внутри локальной системы. Файрволл же пристально вглядывается во входящие и исходящие данные. Если представить две эти программы, как двух героев, стоящих спина к спине и отражающих атаки зомби, то, можно сказать, почти не ошибешься.

В первый момент меня заинтриговала новая возможность "Уведомляй меня, когда Windows Firewall блокирует новую программу". Не является ли это признаком того, что Windows Firewall получил управление над программами и стал действительным двухсторонним файрволлом?. Меня съедало желание отключить эту возможность. И в результате Windows Firewall не получил большего уважения, чем имел.

Прошло уже десять лет с тех пор, как компания ZoneLabs популяризировала двухсторонний персональный файрволл. Ее программа ZoneAlarm скрывала все порты компьютера (что умеет и Windows Firewall) и также позволяла управлять доступом программ в Интернет (этого Windows Firewall не умеет до сих пор).

Я не требую интеллектуального мониторинга поведения программ, как, например, в Norton Internet Security 2010 и в других пакетах. Но я надеюсь, что к выходу Windows 8, Microsoft все-таки внедрит в свой файрволл набор возможностей десятилетней ZoneAlarm.

Microsoft прекрасно знает, что многие пользователи устанавливают сторонние файрволлы и пакеты безопасности и просто отключают Windows Firewall. В прошлом многие программы безопасности третьих фирм автоматически отключали Windows Firewall во избежание конфликтов.

В Windows 7, Microsoft сделала это сама. При установке известного ей файрволла операционная система отключает свой встроенный файрволл и сообщает, что "настройки файрволла управляются такой-то программой от такого-то производителя".

Будете ли вы его использовать или нет, Windows Firewall присутствует в каждой Windows 7, обладая при этом основательной интеграцией с операционной системой.

Так не будет ли лучше, если приложения безопасности третьих фирм смогут использовать файерволл Windows в своих целях? Эта идея лежит за интерфейсом программирования, названным платформой фильтрации Windows - Windows Filtering Platform. Но будут ли пользоваться ей разработчики? Вопрос риторический:-)

Безопасность Виндовс 7 - UAC

Люди, купившие себе компьютеры с предустановленной Vista, как правило радостнее тех, кто проапгрейдился с XP (особенно если апгрейд шел не по плану мастера обновления). То же самое можно сказать и о Windows 7.

Даже выполнив все советы мастера обновления Windows 7 при апгрейде с Vista, мне все-таки пришлось плясать с бубном, чтобы восстановить свое подключение к сети PCMag.

Однако, даже большие фанаты Vista, которые никогда не испытывали каких-либо проблем с апгрейдом, должны признать, что UAC может быть очень раздражительным. К счастью, разрабатывая Windows 7, Microsoft внесла в UAC значительные улучшения...... смотреть более подробно о "зловещем UAC "

Шифрование дисков BitLocker

Система шифрования дисков BitLocker впервые появилась в Windows Vista. Благодаря BitLocker похитители, использующие другую операционную систему или запускающие вредоносные программные средства, не смогут взломать защиту файлов и системы Windows или просмотреть в автономном режиме файлы, хранящиеся на защищенном диске.

Ограничение выполнения приложений AppLocker

В Windows 7 появилась функциональность AppLocker- политика управления приложениями, предоставляющая ИТ-отделам возможность контролировать программы, которые могут быть запущены на настольных ПК в организации.

Выводы о безопасности в Win 7

Итак, безопасна ли Windows 7? В целом безопасность операционной системы не плоха, но все-таки нельзя сказать, что она сногсшибательно улучшена по сравнению с Vista. Не многое изменилось и с моего бета-тестирования Windows 7 примерно с год назад.

Инженеры Microsoft ввели новые уровни защиты UAC, уменьшив число уведомлений от защитной программы, и окончили работу над BitLocker To Go. В то же время в ходе бета-тестирования, я думал Windows Firewall станет полноценной программой. Однако этому не суждено было сбыться.

Когда Windows Vista пришла на смену Windows XP, безопасность была одной из ключевых точек, на которую опиралась Microsoft в рекламе новинки. Vista получила массу новых возможностей безопасности, ориентированных на исправление мнения о Windows, как о небезопасной ОС.

В то же время такого значительно отрыва Windows 7 от Vista нет. UAC все еще остается UAC, хотя он теперь и значительно более приятен и воспитан. А новые возможности файрволла операционной системы являются лишь эволюционными, но не революционными.

Все секреты и тонкости Windows 7

Скачать бесплатно обои - фоновые рисунки для рабочего стола

Скачать Гаджеты Windows 7 - Мини-приложения и панель гаджетов