|
||||||||||||
|
||||||||||||
|
|||||||||
МЕНЮ
|
БОЛЬШАЯ ЛЕНИНГРАДСКАЯ БИБЛИОТЕКА - РЕФЕРАТЫ - Безопасность в системе Windows Vista. Основные службы и механизмы безопасностиБезопасность в системе Windows Vista. Основные службы и механизмы безопасности76 МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ Безопасность в системе Windows Vista. Основные службы и механизмы безопасности 2008 Оглавление
* Схема подразделений для политик безопасности * Схема объектов групповой политики для политик безопасности * Внедрение политик безопасностиСхема подразделений для политик безопасностиПодразделение - это контейнер в домене с Active Directory. Подразделение может включать пользователей, группы, компьютеры и другие подразделения. Если подразделение содержит другие подразделения, оно является родительским.Подразделение, которое находится внутри родительского подразделения, называется дочерним.К подразделению можно привязать объект групповой политики, после чего параметры объекта групповой политики будут применены к пользователям и компьютерам, которые находятся в этом подразделении и его дочерних подразделениях. Для упрощения администрирования можно делегировать административные полномочия каждому подразделению.Подразделения позволяют легко группировать пользователей и компьютеры, обеспечивая эффективный способ сегментации административных границ. Корпорация Майкрософт рекомендует назначать пользователей и компьютеры различным подразделениям, так как некоторые параметры относятся только к пользователям, а другие - только к компьютерам.Можно делегировать управление группой или отдельным подразделением с помощью мастера делегирования в оснастке «Active Directory - пользователи и компьютеры» консоли управления (MMC). Ссылки на документацию по делегированию полномочий см. в разделе «Дополнительные сведения» в конце данной главы.Одна из основных задач схемы подразделений любой среды - создание основы для полного внедрения групповой политики, которая применяется ко всем клиентским компьютерам в Active Directory. Это обеспечивает соответствие клиентских компьютеров стандартам безопасности организации. Схема подразделений также должна учитывать параметры безопасности для отдельных типов пользователей в организации. Например, разработчикам может быть необходим такой способ доступа к компьютерам, который не требуется обычным пользователям. Кроме того, требования к безопасности для пользователей переносных и настольных компьютеров могут различаться. На следующем рисунке показана простая структура подразделений, достаточная для рассмотрения групповой политики в этой главе. Структура подразделений может не соответствовать требованиям среды вашей организации.Рисунок 1.1. Пример структуры подразделений для компьютеров под управлением Windows VistaПодразделение отделаТак как требования к безопасности внутри организации могут различаться, иногда имеет смысл создать в среде подразделения отделов. Такие подразделения можно использовать для применения параметров безопасности к компьютерам и пользователям в соответствующих отделах с помощью объекта групповой политики.Подразделение пользователей Windows VistaЭто подразделение содержит учетные записи пользователей для среды EC. Параметры, применяемые к такому подразделению, подробно описаны в приложении A «Параметры групповой политики, связанные с безопасностью».Подразделение компьютеров с Windows VistaЭто подразделение содержит дочерние подразделения для каждого типа клиентских компьютеров под управлением Windows Vista в среде EC. Данное руководство содержит прежде всего рекомендации по безопасности для настольных и переносных компьютеров. По этой причине его разработчики создали следующие подразделения компьютеров:* Подразделение настольных компьютеров. К этому подразделению относятся настольные компьютеры с постоянным подключением к сети. Параметры, которые применяются к этому подразделению, подробно описаны в приложении A «Параметры групповой политики, связанные с безопасностью».* Подразделение переносных компьютеров. Это подразделение включает переносные компьютеры для мобильных пользователей, которые не всегда подключены к сети. Параметры, которые применяются к этому подразделению, также описаны в приложении A.Схема объектов групповой политики для политик безопасностиОбъект групповой политики - это коллекция параметров групповой политики, которые по сути являются файлам, созданными оснасткой групповой политики. Параметры хранятся на уровне домена и влияют на пользователей и компьютеры в сайтах, доменах и подразделениях.Объекты групповой политики позволяют обеспечить применение конкретных параметров политики, прав пользователей и поведения компьютеров ко всем клиентским компьютерам или пользователям в подразделении. Использование групповой политики вместо настройки вручную упрощает управление изменениями (включая обновление) для большого количества компьютеров и пользователей. Настройка вручную не только неэффективна, так как требует посещения каждого клиентского компьютера, но и потенциально бесполезна: если параметры политики в объектах групповой политики домена отличаются от параметров, применяемых локально, параметры политики объекта групповой политики домена переопределяет примененные локально параметры.Рисунок 1.2. Очередность применения объектов групповой политикиНа предыдущем рисунке показана очередность, в которой объекты групповой политики применяются к компьютеру, являющемуся членом дочернего подразделения, от наиболее низкого уровня (1) к самому высокому (5). Сначала применяется групповая политика из локальной политики безопасности каждого клиентского компьютера под управлением Windows Vista. После применения локальной политики безопасности применяются объекты групповой политики на уровне сайта, а затем на уровне домена.Для клиентских компьютеров под управлением Windows Vista, которые находятся в подразделении с несколькими уровнями, объекты групповой политики применяются в порядке от родительского подразделения до дочернего подразделения самого низкого уровня. В последнюю очереди применяется объект групповой политики из подразделения, содержащего клиентский компьютер. Это порядок обработки объектов групповой политики - локальная политика безопасности, сайт, домен, родительское подразделение и дочернее подразделение - очень важен, так как объекты групповой политики, которые применяются позже, переопределяют примененные ранее объекты. Объекты групповой политики пользователей применяются таким же образом.При разработке групповой политики необходимо учитывать следующее.* Администратор должен задать порядок связи нескольких объектов групповой политики с подразделением, или групповая политика по умолчанию будет применяться в порядке своей связи с подразделением. Если в нескольких политиках настроен один и тот же параметр, приоритет будет иметь политика с более высоким положением в списке политик контейнера.* Для объекта групповой политики можно включить параметр Принудительный. Если выбран этот параметр, другие объекты групповой политики не смогут переопределять параметры, настроенные в этом объекте групповой политики.Примечание. В Windows 2000 параметру Принудительный соответствует параметр Не перекрывать.* Для Active Directory, сайта, домена или подразделения можно установить параметр Блокировать наследование политики. Этот параметр блокирует параметры объектов групповой политики, которые расположены выше в иерархии Active Directory, если для них не задан параметр Принудительный. Другими словами, параметр Принудительный имеет приоритет над параметром Блокировать наследование политики.* Параметры групповой политики применяются к пользователям и компьютерам и зависят от места пользователя или компьютера в Active Directory. В некоторых случаях необходимо применять политику к объектам пользователей на основе расположения объектов компьютеров, а не пользователей. Функция замыкания на себя групповой политики позволяет администраторам применять параметры групповой политики для пользователя в зависимости от того, в систему какого компьютера он вошел. Дополнительные сведения об этом параметре см. в статье Замыкание на себя групповых политик.Рекомендуемые объекты групповой политикиДля внедрения описанной выше схемы подразделений требуется по крайней мере четыре объекта групповой политики:* политика для домена;* политика для подразделения пользователей Windows Vista;* политика для подразделения настольных компьютеров;* политика для подразделения переносных компьютеров.Рисунок 1.3. Пример структуры подразделений и связей объектов групповой политики для компьютеров под управлением Windows VistaВ примере на рисунке 1.3 переносные компьютеры принадлежат к подразделению «Переносные компьютеры». Сначала применяется локальная политика безопасности на переносных компьютерах. Так как в этом примере существует только один сайт, на уровне сайта не применяются объекты групповой политики, поэтому следующим применяется объект групповой политики домена. После этого применяется объект групповой политики «Переносные компьютеры».Примечание. Политика «Настольные компьютеры» не применяется к переносным компьютерам, так как она не связана ни с одним подразделением в иерархии, которое содержит подразделение «Переносные компьютеры».В качестве примера очередности рассмотрим сценарий, в котором параметр политики Разрешать вход в систему через службу терминалов должен применяться к следующим подразделениям и группам пользователей: * подразделение «Компьютеры с Windows Vista» - группа Администраторы; * подразделение «Переносные компьютеры» - группы Пользователи удаленного рабочего стола и Администраторы.В этом примере пользователь, учетная запись которого принадлежит к группе Пользователи удаленного рабочего стола, может входить в систему переносного компьютера через службу терминалов, так как подразделение «Переносные компьютеры» является дочерним подразделением подразделения «Компьютеры с Windows Vista», а политика дочернего подразделения имеет приоритет.Если включить параметр политики Не перекрывать в объекте групповой политики подразделения «Компьютеры с Windows Vista», только пользователи, учетные записи которых принадлежат к группе Администраторы, смогут входить в систему переносного компьютера через службу терминалов. Это происходит потому, что параметр Не перекрывать предотвращает переопределение примененной ранее политики политикой дочернего подразделения.Внедрение политик безопасностиДля внедрения схемы безопасности двух сред, описанных в данном руководстве, необходимо использовать консоль управления групповыми политиками и ее сценарии. Консоль управления групповыми политиками интегрирована в операционную систему, поэтому не требуется загружать и устанавливать ее каждый раз, когда требуется управлять объектами групповой политики на другом компьютере. В отличие от рекомендаций по безопасности для предыдущих версий операционной системы Windows рекомендации в данном руководстве для Windows Vista значительно автоматизируют тестирование и внедрение схемы безопасности в среде EC. Эти рекомендации были разработаны и протестированы, чтобы обеспечивать наиболее эффективный процесс и снизить накладные расходы, связанные с внедрением.Внимание! Все процедуры, указанные в этом руководстве, необходимо выполнять на клиентском компьютере под управлением Windows Vista, который подключен к домену с Active Directory. Кроме того, пользователь, выполняющий эти процедуры, должен иметь привилегии администратора домена. При использовании операционных систем Microsoft Windows® XP или Windows Server® 2003 параметры безопасности, относящиеся к Windows Vista, не будут отображаться в консоли управления групповыми политиками.Чтобы внедрить схему безопасности, необходимо выполнить три основные задачи:1. создать среду EC;2. использовать консоль управления групповыми политиками для связи политики VSG EC Domain Policy с доменом;3. использовать консоль управления групповыми политиками для проверки результата.В этом разделе главы описаны данные задачи и процедуры, а также функции сценария GPOAccelerator.wsf, который автоматически создает рекомендуемые объекты групповой политики.Сценарий GPOAccelerator.wsfНаиболее важное средство, которое устанавливается руководством по безопасности Windows Vista, - это сценарий GPOAccelerator.wsf. Основная возможность этого сценария - автоматическое создание всех объектов групповой политики, которые требуются для применения рекомендаций. При этом не требуется тратить время на редактирование параметров политики вручную или на применение шаблонов. Для клиентских компьютеров в среде EC сценарий создает следующие четыре объекта групповой политики:* VSG EC Domain Policy для домена;* VSG EC Users Policy для пользователей;* VSG EC Desktop Policy для настольных компьютеров;* VSG EC Laptop Policy для переносных компьютеров.Внимание! Чтобы успешно внедрить схему безопасности для среды EC, тщательно протестируйте ее перед развертыванием в рабочей среде.* Проверка схемы в лабораторной среде. Используйте сценарий GPOAccelerator.wsf в тестовой среде для создания структуры подразделений, создания объектов групповой политики и их автоматической связи с подразделениями. После завершения тестирования можно использовать сценарий в рабочей среде.* Развертывание схемы в рабочей среде. При внедрении решения в рабочей среде необходимо сначала создать подходящую структуру подразделений или изменить существующий набор подразделений. После этого можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики и затем связать их с соответствующими подразделениями в среде.Проверка схемы в лабораторной средеОбъекты групповой политики для данного руководства были тщательно протестированы. Тем не менее важно выполнить собственное тестирование в существующей среде. Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания рекомендуемых объектов групповой политики и структуры подразделений, а затем автоматически связать объекты групповой политики с подразделениями. Задача 1: создание среды ECСценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает установщик Microsoft Windows (MSI-файл).Примечание. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.Чтобы создать объекты групповой политики и связать их с соответствующими подразделениями в среде:1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики.2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise /LAB и нажмите клавишу ВВОД.6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).Примечание. Это действие может занять несколько минут.7. В окне с сообщением The Enterprise Lab Environment is created (Создана лабораторная среда Enterprise) нажмите кнопку OK.8. В окне с сообщением Make sure to link the Enterprise Domain GPO to your domain (Свяжите объект групповой политики домена Enterprise с доменом) нажмите кнопку OK и выполните следующую задачу для связи политики VSG EC Domain Policy.Примечание. Групповая политика уровня домена включает параметры, которые применяются ко всем компьютерам и пользователям в этом домене. Важно уметь определять необходимость связи объекта групповой политики домена, так как он применяется ко всем пользователям и компьютерам. По этой причине сценарий GPOAccelerator.wsf не выполняет автоматическую связь объекта групповой политики домена с доменом.Задача 2: использование консоли управления групповыми политиками для связи политики VSG EC Domain Policy с доменомТеперь можно выполнить связь объекта групповой политики домена с доменом. Ниже приведены инструкции по использованию консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для связи политики VSG EC Domain Policy с доменом.Чтобы связать политику VSG EC Domain Policy:1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить. (Или нажмите клавишу с эмблемой Windows + R.)2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK.5. В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку Move link to top (Переместить ссылку наверх).Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista.Задача 3: использование консоли управления групповыми политиками для проверки результатаКонсоль управления групповыми политиками можно использовать для проверки результатов выполнения сценария. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики и структуры подразделений, которые создает сценарий GPOAccelerator.wsf.Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf:1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен.4. Щелкните и разверните узел Vista Security Guide EC Client OU (Подразделение клиентов Vista Security Guide EC) и откройте каждое из пяти подразделений, указанных ниже.5. Убедитесь в том, что структура подразделений и связи объекта групповой политики соответствуют изображенным на следующем рисунке.Рисунок 1.4. Структура подразделений и связи объектов групповой политикиВсе объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство «Active Directory - пользователи и компьютеры», чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте групповой политики, см. в приложении A «Параметры групповой политики, связанные с безопасностью».Развертывание схемы в рабочей средеЧтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики для среды EC. После этого можно связать объекты групповой политики с соответствующими подразделениями в существующей структуре. В крупных доменах с большим количеством подразделений необходимо продумать использование существующей структуры подразделений для развертывания объектов групповой политики.По возможности необходимо разделять подразделения компьютеров и пользователей. Кроме того, требуются отдельные подразделения для настольных и переносных компьютеров. Если такая структура невозможна в существующей среде, вероятно, потребуется изменить объекты групповой политики. Чтобы определить необходимые изменения, используйте сведения о параметрах в приложении A «Параметры групповой политики, связанные с безопасностью».Примечание. Как указано в предыдущем разделе, можно использовать сценарий GPOAccelerator.wsf с параметром /LAB в тестовой среде для создания образца структуры подразделений. Тем не менее при гибкой структуре подразделений можно также использовать этот параметр в рабочей среде, чтобы создать базовую структуру подразделений и автоматически связать объекты групповой политики. После этого можно изменить структуру подразделений вручную в соответствии с требованиями среды.Задача 1: создание объектов групповой политикиОбъекты групповой политики EC, описанные в этом руководстве, создаются с помощью сценария GPOAccelerator.wsf. Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает MSI-файл установщика Microsoft Windows.Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.Чтобы создать объекты групповой политики в производственной среде:1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики.2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise и нажмите клавишу ВВОД.6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).Примечание. Это действие может занять несколько минут.7. В окне с сообщением The SSLF GPOs are created (Объекты групповой политики Enterprise созданы) нажмите кнопку OK.8. В окне с сообщением Make sure to link the Enterprise GPOs to the appropriate OUs (Свяжите объекты групповой политики Enterprise с соответствующими подразделениями) нажмите кнопку OK.Задача 2: использование консоли управления групповыми политиками для проверки результата.Можно использовать консоль управления групповыми политиками, чтобы убедиться в том, что сценарий успешно создал все объекты групповой политики. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики, которые создает сценарий GPOAccelerator.wsf.Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf:1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен.4. Разверните узел Group Policy Objects (Объекты групповой политики) и убедитесь в том, что четыре созданных объекта групповой политики VSG EC соответствуют объектам на следующем рисунке.Рисунок 1.5. Объекты групповой политики EC, созданные сценарием GPOAccelerator.wsf, в консоли управления групповыми политикамиПосле этого можно использовать консоль управления групповыми политиками для связи каждого объекта групповой политики с соответствующим подразделением. Последняя задача в процессе описывает, как это сделать.Задача 3: использование консоли управления групповыми политиками для связи объектов групповой политики с подразделениямиСледующая процедура описывает, как использовать консоль управления групповыми политиками на клиентском компьютере под управлением Windows Vista для выполнения этой задачи.Чтобы связать объекты групповой политики в производственной среде:1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK.5. В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку Move link to top (Переместить ссылку наверх).Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista Security Guide.6. Щелкните правой кнопкой мыши узел Windows Vista Users OU (Подразделение пользователей Windows Vista) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).7. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Users Policy (Политика пользователей VSG EC) и нажмите кнопку OK.8. Щелкните правой кнопкой мыши узел Desktop OU (Подразделение настольных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).9. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Desktop Policy (Политика настольных компьютеров VSG EC) и нажмите кнопку OK.10. Щелкните правой кнопкой мыши узел Laptop OU (Подразделение переносных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).11. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Laptop Policy (Политика переносных компьютеров VSG EC) и нажмите кнопку OK.12. Повторите эти действия для всех других созданных подразделений пользователей или компьютеров, чтобы связать их с соответствующими объектами групповой политики.Примечание. Можно также перетащить объект групповой политики из узла Group Policy Objects (Объекты групповой политики) в подразделение. Тем не менее операция перетаскивания поддерживается только для объектов в том же домене.Чтобы подтвердить связи объектов групповой политики с помощью консоли управления групповыми политиками:* Разверните узел Group Policy Objects (Объекты групповой политики) и выберите объект групповой политики. В области сведений откройте вкладку Scope (Область) и просмотрите сведения в столбцах Link Enabled (Связь включена) и Path (Путь).- Или -* Выберите подразделение и затем в области сведений откройте вкладку Linked Group Policy Objects (Связанные объекты групповой политики) и просмотрите сведения в столбцах Link Enabled (Связь включена) и GPO (Объект групповой политики).Примечание. Консоль управления групповыми политиками можно использовать для отмены связи объектов групповой политики или их удаления. После этого можно удалить ненужные подразделения с помощью консоли управления групповыми политиками или консоли «Active Directory - пользователи и компьютеры». Чтобы полностью отменить все изменения, внесенные сценарием GPOAccelerator.wsf, необходимо вручную удалить файлы EC-VSGAuditPolicy.cmd, EC-ApplyAuditPolicy.cmd и EC-AuditPolicy.txt из общей папки NETLOGON одного из контроллеров домена. Дополнительные сведения о том, как полностью отменить внедрение политики аудита, см. в разделе «Политика аудита» приложения A «Параметры групповой политики, связанные с безопасностью».Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство «Active Directory - пользователи и компьютеры», чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте групповой политики, см. в приложении A «Параметры групповой политики, связанные с безопасностью».Миграция объектов групповой политики в другой домен (необязательно)При изменении объектов групповой политики в этом решении или создании собственных объектов групповой политики и необходимости использовать их в нескольких доменах необходимо выполнить миграцию объектов групповой политики. Для миграции объекта групповой политики из одного домена в другой требуется планирование, но основная процедура достаточно проста. Во время планирования необходимо обратить внимание на две важных особенности данных объектов групповой политики.* Сложность данных. Данные, составляющие объект групповой политики, имеют сложную структуры и хранятся в нескольких местах. При использовании консоли управления групповыми политиками для миграции объекта групповой политики обеспечивается надлежащая миграция всех * Данные, относящиеся к домену. Некоторые данные в объекте групповой политики могут относиться к конкретному домену и стать недопустимыми при прямом копировании в другой домен. Чтобы решить эту проблему, таблицы миграции консоли управления групповыми политиками позволяют изменять относящиеся к домену данные в объекте групповой политики на новые значения во время миграции. Это требуется делать только в том случае, если объект групповой политики содержит идентификатор (ИД) безопасности или пути UNC, которые относятся только к конкретному домену.Дополнительные сведения о миграции объектов групповой политики см. в справке консоли управления групповыми политиками. В техническом документе Миграция объектов групповой политики между доменами с помощью консоли управления групповыми политиками (на английском языке) также содержатся дополнительные сведения о миграции объектов групповой политики между доменами.Средство GPOAcceleratorС данным руководством распространяются сценарий и шаблоны безопасности. В этом разделе приводятся общие сведения о данных ресурсах. Важнейшим средством, которое выполняет основной сценарий для этого руководства по безопасности, является GPOAccelerator.wsf, расположенное в папке Windows Vista Security Guide\GPOAccelerator Tool\Security Group Policy Objects. Кроме того, в этом разделе рассказывается, как изменить консоль управления групповыми политиками для просмотра параметров объекта групповой политики, а также описываются структура подкаталогов и типы файлов, которые распространяются с руководством. Другим ресурсом для сравнения значений параметров является файл Windows Vista Security Guide Settings.xls, который также прилагается к этому руководству.Консоль управления групповыми политиками и расширения SCEРешение, представленное в этом руководстве, использует параметры объекта групповой политики, которые не отображаются в стандартном пользовательском интерфейсе консоли управления групповыми политиками в Windows Vista или редакторе конфигураций безопасности (SCE). Эти параметры с префиксом MSS: были разработаны группой Microsoft Solutions for Security для предыдущего руководства о безопасности.Внимание! Расширения SCE и сценарий GPOAccelerator.wsf предназначены только для запуска на компьютерах под управлением Windows Vista. Эти средства не будут правильно работать при запуске на компьютере под управлением системы Windows XP или Windows Server 2003.По этой причине необходимо расширить эти средства, чтобы просматривать параметры безопасности и при необходимости редактировать их. Для этого сценарий GPOAccelerator.wsf автоматически обновляет компьютер при создании объектов групповой политики. Чтобы администрировать объекты групповой политики руководства по безопасности Windows Vista с другого компьютера под управлением Windows Vista, используйте следующую процедуру для обновления SCE на этом компьютере.Чтобы изменить SCE для вывода параметров MSS1. Убедитесь в том, что выполнены указанные ниже условия.* Компьютер присоединен к домену с Active Directory, в котором созданы объекты групповой политики.* Установлен каталог Windows Vista Security Guide\GPOAccelerator Tool.Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в этой процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.2. Войдите на компьютер с учетной записью администратора.3. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.4. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.5. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.6. В командной строке введите cscript GPOAccelerator.wsf /ConfigSCE и нажмите клавишу ВВОД.7. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).8. В окне с сообщением TheSecurity Configuration Editor is updated (Редактор конфигураций безопасности обновлен) нажмите кнопку OK.Внимание! Это сценарий только изменяет SCE так, чтобы отображались параметры MSS, он не создает объекты групповой политики или подразделения.Следующая процедура удаляет дополнительные параметры безопасности MSS, а затем устанавливает для параметров средства SCE значения по умолчанию для Windows Vista.Чтобы присвоить параметрам средства SCE значения по умолчанию для Windows Vista:1. Войдите на компьютер с учетной записью администратора.2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.5. В командной строке введите cscript GPOAccelerator.wsf /ResetSCE и нажмите клавишу ВВОД.6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).Примечание. При выполнении этой процедуры параметрам редактора конфигураций безопасности назначаются значения по умолчанию для Windows Vista. Все параметры, добавленные в редактор конфигураций безопасности, будут удалены. Это повлияет только на отображение этих параметров в редакторе конфигураций безопасности. Настроенные параметры групповых политик не удаляются.7. В окне с сообщением TheSecurity Configuration Editor is updated (Редактор конфигураций безопасности обновлен) нажмите кнопку OK.Предыдущие параметры безопасностиЕсли необходимо создать собственную политику безопасности, а не использовать или изменить политики, предоставляемые с данным руководством, можно импортировать нужные параметры безопасности с помощью шаблонов безопасности. Шаблоны безопасности - это текстовые файлы, содержащие значения параметров безопасности. Они являются подкомпонентами объектов групповой политики. Параметры политики, содержащиеся в шаблонах безопасности, можно изменять в оснастке «Редактор объектов групповой политики» консоли управления (MMC). В отличие от предыдущих версий операционной системы Windows, ОС Windows Vista не включает предварительно заданные шаблоны безопасности, хотя при необходимости можно использовать существующие шаблоны.Шаблоны безопасности входят в MSI-файл установщика Windows, который распространяется с этим руководством. В папке GPOAccelerator Tool\Security Templates находятся следующие шаблоны для среды EC:* VSG EC Desktop.inf* VSG EC Domain.inf* VSG EC Laptop.infВнимание! Для развертывания решения, описанного в этом руководстве, не требуются шаблоны безопасности. Шаблоны являются альтернативой решению на основе консоли управления групповыми политиками и включают только параметры безопасности компьютера из раздела Конфигурация компьютера\Конфигурация Windows\Параметры безопасности. Например, с помощью шаблона безопасности нельзя управлять параметрами Internet Explorer или брандмауэра Windows в объектах групповой политики, а также параметрами пользователя.Работа с шаблонами безопасностиЧтобы использовать шаблоны безопасности, необходимо сначала расширить SCE таким образом, чтобы настраиваемые параметры безопасности MSS отображались в пользовательском интерфейсе. Дополнительные сведения см. в предыдущем разделе данной главы «Консоль управления групповыми политиками и расширения SCE». Если шаблоны можно просматривать, для их импорта в созданные объекты групповой политики при необходимости можно использовать следующую процедуру.Чтобы импортировать шаблон безопасности в объект групповой политики:1. Откройте редактор объектов групповой политики для объекта групповой политики, который требуется изменить. Для этого в консоли управления групповыми политиками щелкните правой кнопкой мыши объект групповой политики и выберите пункт Изменить.2. В редакторе объектов групповой политики перейдете к папке Конфигурация Windows.3. Разверните папку Конфигурация Windows и выберите пункт Параметры безопасности.4. Щелкните правой кнопкой мыши папку Параметры безопасности и выберите пункт Импортировать политику.5. Откройте папку Security Templates в папке Windows Vista Security Guide.6. Выберите шаблон безопасности, который необходимо импортировать, и нажмите кнопку Открыть.После выполнения последнего действия этой процедуры параметры из файла копируются в объект групповой политики.Можно также использовать шаблоны безопасности, которые распространяются с руководством, чтобы изменить локальную политику безопасности на автономных клиентских компьютерах под управлением Windows Vista. Сценарий GPOAccelerator.wsf упрощает применение шаблонов.Чтобы применить шаблоны безопасности для создания локальной групповой политики на автономных клиентских компьютерах под управлением Windows Vista:1. Войдите в систему компьютера под управлением Windows Vista с учетной записью администратора.2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите кнопку ВВОД.5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise /Desktop или cscript GPOAccelerator.wsf /Enterprise /Laptop и нажмите клавишу ВВОД.Эта процедура изменяет параметры локальной политики безопасности, используя значения в шаблонах безопасности для среды EC.Чтобы восстановить значения параметров по умолчанию для локальной групповой политики в Windows Vista:1. Войдите в систему клиентского компьютера под управлением Windows Vista с учетной записью администратора.2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите кнопку ВВОД.5. В командной строке введите cscript GPOAccelerator.wsf /Restore и нажмите клавишу ВВОД.Папка, содержащая INF-файлы шаблонов безопасности, которые можно использовать для внедрения некоторых параметров безопасности, рекомендуемых в этом руководстве.Примечание. Корпорация Майкрософт рекомендует использовать сценарий, распространяемый с этим руководством, для создания рекомендуемых объектов групповой политики. Тем не менее предоставляемые шаблоны безопасности могут помочь защитить автономные компьютеры.Security Templates\EC-VSG Desktop.infШаблон безопасности Enterprise DesktopSecurity Templates\EC-VSG Domain.infШаблон безопасности Enterprise DomainSecurity Templates\EC-VSG Laptop.infШаблон безопасности Enterprise LaptopSecurity Templates\SSLF-VSG Desktop.infШаблон безопасности SSLF DesktopSecurity Templates\SSLF-VSG Domain.infШаблон безопасности SSLF DomainSecurity Templates\SSLF-VSG Laptop.infШаблон безопасности SSLF LaptopSecurity Templates\Vista Default Security.cmdКомандный файл, используемый при восстановлении значений параметров по умолчанию Windows Vista для локальной политики безопасности.Security Templates\Vista Default Security.infШаблон безопасности, используемый при восстановлении значений параметров по умолчанию Windows Vista для локальной политики безопасности.Security Templates\Vista Default Security.sdbФайл базы данных безопасности, используемый при восстановлении значений параметров по умолчанию Windows Vista для локальной политики безопасности.Security Templates\Vista Local Security.sdbФайл базы данных безопасности, используемый при применении шаблонов безопасности VSG к компьютеру.Технологии защиты системы Windows VistaСистема Windows Vista включает в себя несколько новых и усовершенствованных технологий, которые обеспечивают повышенный уровень защиты от вредоносных программ. Вот список этих технологий:* Контроль учетных записей (UAC).* Защитник Windows.* Брандмауэр Windows* Центр обеспечения безопасности Windows* Средство удаления вредоносных программ* Политики ограниченного использования программПомимо использования этих технологий защиты необходимо помнить, что для обеспечения безопасности настоятельно рекомендуется входить в систему с учетной записью обычного пользователя. Даже при использовании всех этих технологий, если не защитить пользователей с правами администратора, компьютеры подвергаются риску.Контроль учетных записейСистема Windows Vista включает в себя функцию контроля учетных записей (UAC), которая предоставляет способ разделить привилегии и задачи обычного пользователя и администратора. Функция контроля учетных записей повышает уровень безопасности, улучшая работу пользователя при использовании учетной записи обычного пользователя. Теперь пользователи могут выполнять больше задач и пользоваться повышенной совместимостью приложений без необходимости входить в систему с привилегиями администратора. Это помогает снизить влияние вредоносных программ, а также предотвратить установку несанкционированного программного обеспечения и внесение в систему несанкционированных изменений.Примечание. В предыдущих версиях операционной системы Windows существовала группа «Опытные пользователи», членам которой было разрешено выполнять системные задачи, такие как установка приложений, не имея разрешений администратора. В функции контроля учетных записей группа «Опытные пользователи» не предусмотрена, а разрешения, предоставленные этой группе в системе Windows Vista, удалены. Тем не менее, группу «Опытные пользователи» все еще можно использовать в целях обратной совместимости с другими версиями операционной системы. Для работы с группой «Опытные пользователи» в системе Windows Vista необходимо применить новый шаблон безопасности для изменения разрешений по умолчанию на системные папки и реестр, чтобы предоставить группе «Опытные пользователи» разрешения, эквивалентные разрешениям для этой группы в Windows XP.В системе Windows Vista обычные пользователи могут теперь выполнять множество задач, которые ранее требовали прав администратора, но не влияли на безопасность отрицательным образом. Примеры задач, которые теперь могут выполнять обычные пользователи: изменение параметров часового пояса, подключение к защищенной беспроводной сети и установка одобренных устройств и элементов управления Microsoft ActiveX®.Более того, режим одобрения администратором в технологии контроля учетных записей также позволяет защитить компьютеры с операционной системой Windows Vista от некоторых типов вредоносных программ. По умолчанию администраторы могут запускать большинство программ и задач с привилегиями обычного пользователя. Когда пользователям требуется выполнить административные задачи, такие как установка нового программного обеспечения или изменение определенных системных параметров, система запрашивает их согласие на выполнение подобных задач. Тем не менее, этот режим не обеспечивает такой же уровень защиты, как использование учетной записи обычного пользователя и не гарантирует, что вредоносная программа, уже находящаяся на клиентском компьютере, не сможет замаскироваться под программное обеспечение, требующее повышенных привилегий. Этот режим также не гарантирует, что программное обеспечение с повышенными привилегиями само по себе не начнет выполнять вредоносные действия после повышения привилегий.Чтобы воспользоваться преимуществами этой технологии, необходимо настроить новые параметры групповой политики в системе Windows Vista для управления поведением функции контроля учетных записей. Параметры групповой политики, описанные в предыдущей главе, настраиваются для обеспечения предписанного поведения функции контроля учетных записей. Тем не менее, корпорация Майкрософт рекомендует пересмотреть предписанные значения для этих параметров, описанные в приложении А «Параметры групповой политики, связанные с безопасностью», чтобы убедиться в том, что они оптимально настроены для удовлетворения потребностей среды.Оценка рискаПользователи с привилегиями администратора входят в систему с включенными административными возможностями. Это может привести к случайному или злонамеренному выполнению административных задач без ведома пользователя.Пример.* Пользователь неосознанно загружает и устанавливает вредоносную программу с вредоносного или зараженного веб-узла.* Пользователя обманным путем заставляют открыть вложение сообщения электронной почты, содержащее вредоносную программу, которая запускается и, возможно, устанавливает себя на компьютер.* В компьютер вставляется съемный диск, а функция автоматического воспроизведения автоматически пытается запустить вредоносную программу.* Пользователь устанавливает неподдерживаемые приложения, которые могут оказать влияние на производительность или надежность компьютеров.Снижение рисковРекомендуемый подход к снижению рисков заключается в том, чтобы все пользователи входили в систему, используя для повседневных задач учетную запись обычного пользователя. Пользователям следует повышать уровень привилегий до уровня учетной записи администратора только для задач, которые требуют такого уровня доступа. Также убедитесь в том, что функция контроля учетных записей включена и выводит запрос при попытке выполнить пользователем задачу, которая требует привилегий администратора.Сведения о снижении рисковФункция контроля учетных записей позволяет снизить риски, описанные в предыдущем разделе «Оценка риска». Тем не менее, необходимо учитывать следующее:* Если в компании есть собственные разработчики приложений, корпорация Майкрософт рекомендует им загрузить и прочитать статью Требования к разработке приложений для системы Windows для обеспечения совместимости с функцией контроля учетных записей (на английском языке). В этом документе описывается процесс проектирования и разработки приложений для системы Windows Vista, совместимых с функцией контроля учетных записей.* Функция контроля учетных записей может создавать проблемы при работе несовместимых с ней приложений. По этой причине перед развертыванием приложений необходимо протестировать их с функцией контроля учетных записей. Дополнительные сведения о тестировании совместимости приложений см. на веб-узле Развертывание настольных приложений в сети Microsoft TechNet®.* Функция контроля учетных записей запрашивает учетные данные администратора и согласие пользователя на повышение привилегий. Это увеличивает количество действий, которые необходимо выполнить для завершения многих стандартных задач администрирования. Следует оценить влияние увеличения количества действий на работу административного персонала. Дополнительные запросы функции контроля учетных записей оказывают значительное влияние на работу этих пользователей, поэтому параметру политики контроля учетных записей Behavior of the elevation prompt for administrators in Admin Approval Mode (Поведение запроса повышения привилегий для администраторов в режиме одобрения администратором) можно присвоить значение Elevate without prompting (Повышать привилегии без запроса). Тем не менее, изменение этой политики может повысить риск для среды, и центр обеспечения безопасности Windows сообщит об этом.* Пользователь с привилегиями администратора может отключить режим одобрения администратором, отключить вывод функцией контроля учетных записей запроса на ввод учетных данных для установки приложений и изменить поведение запроса на повышение привилегий. По этой причине важно контролировать количество пользователей, имеющих доступ к привилегиям администратора на компьютерах в организации.* Корпорация Майкрософт рекомендует назначить две учетных записи для административного персонала. Для повседневных задач эти сотрудники должны использовать учетную запись обычного пользователя. При необходимости выполнить специфические задачи администрирования этим сотрудникам следует войти в систему с учетной записью уровня администратора, выполнить задачи и выйти из системы, чтобы вернуться к учетной записи обычного пользователя.* Параметры групповой политики в этом руководстве запрещают обычному пользователю повышать привилегии. Такой подход является рекомендуемым, поскольку гарантирует, что задачи администрирования могут выполняться только с учетными записями, которые специально были настроены на уровень администратора.* Если приложение неправильно определено как приложение администратора или пользователя (например, с помощью маркера «администратор» или «обычный»), система Windows Vista может запустить приложение в неверном контексте безопасности.Процедура снижения рисковНачните процесс снижения рисков с изучения всех возможностей функции контроля учетных записей. Дополнительные сведения см. в Пошаговом руководстве по функции контроля учетных записей в системе Windows Vista и в руководстве Приступая к работе с функцией контроля учетных записей в системе Windows Vista.Использование процедуры снижения рисков:1. Определите количество пользователей, способных выполнять задачи администрирования.2. Определите, как часто необходимо выполнять задачи администрирования.3. Определите, следует ли администраторам выполнять задачи администрирования путем простого согласия в ответ на запрос функции контроля учетных записей или для выполнения задач администрирования им необходимо будет вводить определенные учетные данные.4. Определите, следует ли обычным пользователям иметь возможность повышения привилегий для выполнения задач администрирования. Параметры политики, описанные в данном руководстве, блокируют возможность повышения своих привилегий обычными пользователями.5. Определите, каким образом будет проходить процесс установки приложений.6. Настройте параметры групповой политики контроля учетных записей в соответствии со своими требованиями.Использование групповой политики, чтобы снизить риски для функции контроля учетных записей:Параметры контроля учетных записей можно настроить в следующем местоположении редактора объектов групповой политики:Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасностиЗащитник Windows.Защитник Windows - это программа, входящая в систему Windows Vista, также доступная для загрузки в системе Windows XP. Она позволяет защитить компьютеры от всплывающих окон, низкой производительности и угроз безопасности, вызванных программами-шпионами и иным нежелательным программным обеспечением. Защитник Windows осуществляет наблюдение в режиме реального времени за важными контрольными точками операционной системы Windows Vista, которые являются целью подобного нежелательного программного обеспечения, например, за папкой «Автозагрузка» и записями автозагрузки в реестре.Защитник Windows позволяет обнаружить и удалить нежелательные приложения, такие как программы для показа рекламы, клавиатурные шпионы и программы-шпионы. Если программа пытается изменить защищенную область в системе Windows Vista, Защитник Windows предложит пользователю либо принять, либо отклонить изменение, чтобы защититься от установки программы-шпиона. Подобное наблюдение повышает надежность компьютеров с операционной системой Windows Vista и обеспечивает дополнительную защиту конфиденциальности пользователя. Защитник Windows включен по умолчанию в системе Windows Vista, и хотя данная технология обеспечивает улучшенную защиту от программ-шпионов, ее также можно использовать совместно с продуктами сторонних производителей для защиты компьютера. Для обеспечения лучшей защиты от вредоносного программного обеспечения корпорация Майкрософт настоятельно рекомендует клиентам также развернуть совместно с Защитником Windows полноценное антивирусное решение.Чтобы управлять поведением Защитника Windows, можно настроить в системе Windows Vista новые параметры групповой политики. Среди параметров групповой политики, описанных в предыдущей главе, нет параметров, изменяющих поведение Защитника Windows по умолчанию, поскольку значения этих параметров зависят от требований конкретной среды.Сообщество Microsoft SpyNetMicrosoft SpyNet - это интернет-сообщество, помогающее пользователю компьютера выбрать способ реакции на потенциальные угрозы со стороны программ-шпионов. Сообщество также позволяет остановить распространение заражения новыми программами-шпионами.При обнаружении Защитником Windows программ, еще не классифицированных по степени риска, или изменений, внесенных такими программами, можно посмотреть, как другие члены сообщества реагируют на эту угрозу. В свою очередь, предпринимаемые вами действия помогают другим членам сообщества выбрать способ реагирования. Ваши действия также помогают корпорации Майкрософт выбрать, какое программное обеспечение необходимо исследовать на наличие потенциальных угроз. Можно выбрать отправку базовых или дополнительных сведений об обнаруженном программном обеспечении. Дополнительные сведения позволяют улучшить работу Защитника Windows. Например, технология может включать поиск обнаруженных элементов на компьютере при удалении вредоносного программного обеспечения. В этих случаях, Защитник Windows будет автоматически собирать и отправлять сведения сообществу.Оценка рискаПрограммы-шпионы представляют ряд серьезных угроз организации, которые необходимо устранить, чтобы гарантировать безопасность данных и компьютеров. Наиболее общие риски, которые программы-шпионы представляют для организации, включают в себя следующее.* Конфиденциальные бизнес-данные, которые могут попасть в руки неавторизованных пользователей.* Личные данные сотрудников, которые могут попасть в руки неавторизованных пользователей.* Использование уязвимости компьютера злоумышленником.* Потеря производительности из-за влияния программ-шпионов на стабильность работы компьютера.* Увеличение стоимости технической поддержки вследствие заражения программами-шпионами.* Потенциальный риск шантажа компании в случае раскрытия конфиденциальных данных в результате заражения.Снижение рисковЗащитник Windows разработан для снижения рисков, связанных с программами-шпионами. Постоянные обновления данной технологии выполняются автоматически через Центр обновления Windows или службы Microsoft Windows Server Update Services (WSUS).В дополнение к защите от программ-шпионов, обеспечиваемой Защитником Windows, корпорация Майкрософт настоятельно рекомендует установить антивирусный пакет, позволяющий улучшить защиту, обнаруживая помимо программ-шпионов также вирусы, программы типа «Троянский конь» и вирусы-черви. Например, такие продукты как Microsoft Forefront Client Security, обеспечивают универсальную защиту от вредоносных программ для настольных компьютеров, переносных компьютеров и серверных операционных систем организации.Условия для снижения рисковЗащитник Windows включен по умолчанию в системе Windows Vista. Эта технология разработана с учетом потребления минимума системных ресурсов для работы на компьютерах, аппаратные возможности которых ниже среднего уровня. Тем не менее, в процессе развертывания системы Windows Vista организациям следует принять во внимание следующие рекомендации.* Протестируйте взаимодействие со всеми антивирусными и антишпионскими сканерами сторонних производителей, которые предполагается использовать в организации.* Создайте систему управления развертыванием обновлений с определением подписей в случае, если в организации имеется большое количество компьютеров.* Дайте пользователям представление о наиболее распространенных способах, используемых программами-шпионами, для того чтобы обманным путем заставить запустить вредоносную программу.* Запланируйте время сканирования, соответствующее потребностям организации. Значение по умолчанию - ежедневно, в 2:00. Если невозможно выполнить сканирование компьютера в это время, пользователь получит уведомление и запрос на запуск сканирования. Если сканирование не выполнялось за последние два дня, оно начнется приблизительно через 10 минут после следующего запуска компьютера. Это сканирование выполняется с низким приоритетом и практически не оказывает влияния на клиентскую систему. Благодаря улучшению производительности операций ввода-вывода в системе Windows Vista, это сканирование с низким приоритетом значительно меньше влияет на систему, чем в системе Windows XP.* Защитник Windows не является антишпионским приложением для крупных организаций. В нем отсутствуют механизмы централизованного создания отчетов, наблюдения и управления бизнес-класса. Если требуются дополнительные возможности создания отчетов или контроля, необходимо изучить другие продукты, такие как Microsoft Forefront Client Security.* Определите политику своей организации в отношении отправки отчетов о возможных программах-шпионах в интернет-сообщество Microsoft SpyNet.Процедура снижения рисковПоскольку Защитник Windows является компонентом системы по умолчанию, для его включения не требуется никаких дополнительных действий. Тем не менее, корпорация Майкрософт рекомендует выполнить ряд дополнительных действий, гарантирующих безопасность организации.Использование процедуры снижения рисков1. Изучите возможности системы Windows Vista и Защитника Windows, связанные с защитой от программ-шпионов.2. Изучите параметры групповой политики для Защитника Windows.3. Проанализируйте необходимость дополнительной защиты организации от вирусов.4. Составьте план оптимального процесса обновления для компьютеров в организации. Возможно, что для переносных компьютеров потребуется иная конфигурация обновлений, чем для настольных компьютеров.5. Научите пользователей самостоятельно определять подозрительные действия компьютера.6. Обучите сотрудников службы поддержки использовать средства Защитника Windows для оказания помощи при обращениях в службу.Брандмауэр WindowsПерсональный брандмауэр является важнейшей линией защиты от многих видов вредоносных программ. Как и брандмауэр в ОС Windows XP с пакетом обновления 2 (SP2) брандмауэр в системе Windows Vista включен по умолчанию для защиты компьютера пользователя сразу после запуска операционной системы.Брандмауэр Windows в системе Windows Vista включает фильтрацию входящего и исходящего трафика для защиты пользователей путем ограничения ресурсов операционной системы, ведущих себя непредусмотренным образом. Брандмауэр также интегрируется с функцией осведомленности о состоянии сети системы Windows Vista, что позволяет применять специализированные правила в зависимости от местонахождения клиентского компьютера. Например, если переносной компьютер расположен в сети организации, правила брандмауэра могут быть определены администратором доменной сетевой среды в соответствии с требованиями к безопасности этой сети. Тем не менее, если пользователь пытается подключить тот же самый переносной компьютер к Интернету через публичную сеть, например, бесплатную точку подключения к беспроводной сети, автоматически будет использован другой набор правил брандмауэра, гарантирующий, что компьютер будет защищен от атаки.Кроме того, впервые для операционной системы Windows система Windows Vista интегрирует управление брандмауэром с IPsec (Internet Protocol security). В системе Windows Vista IPsec и управление брандмауэром интегрированы в одну консоль - консоль брандмауэра Windows в режиме повышенной безопасности. Эта консоль позволяет централизованно управлять фильтрацией входящего и исходящего трафика и параметрами изоляции сервера и домена IPsec с помощью пользовательского интерфейса для упрощения настройки и уменьшения количества конфликтов политик.Оценка рискаПодключение к сети является жизненно важным требованием в современном бизнесе. Тем не менее, такое подключение также является основной целью злоумышленников. Угрозы, связанные с подключением, необходимо устранить, чтобы гарантировать безопасность данных и компьютеров. Наиболее известные угрозы для организации, связанные с сетевыми атаками, включают в себя следующее.* Компьютер, используемый злоумышленником, который может впоследствии получить к этому компьютеру доступ с правами администратора.* Приложения для сканирования сети, которые злоумышленник может использовать для обнаружения открытых сетевых портов, позволяющих провести атаку.* Конфиденциальные бизнес-данные, которые могут стать доступными неавторизованным пользователям, если программа типа «Троянский конь» сможет открыть несанкционированное сетевое подключение между клиентским компьютером и компьютером злоумышленника.* Переносные компьютеры, которые могут подвергнуться сетевым атакам при нахождении за пределами сетевого брандмауэра организации.* Компьютеры во внутренней сети, которые могут подвергнуться сетевой атаке с уязвимого компьютера, подключенного напрямую к внутренней сети.* Потенциальный риск шантажа организации в случае успешного использования злоумышленником внутренних компьютеров.Снижение рисковБрандмауэр в системе Windows Vista обеспечивает защиту клиентского компьютера с момента установки операционной системы. Брандмауэр блокирует большую часть нежелательного входящего трафика, если администратором или параметрами групповой политики не были внесены изменения.Брандмауэр Windows также включает фильтрацию исходящего сетевого трафика, и изначально это правило установлено на значение «Разрешить» для всего исходящего сетевого трафика. Параметры групповой политики можно использовать для настройки этих правил в брандмауэре Windows Vista, чтобы гарантировать, что параметры безопасности клиента останутся постоянными.Условия для снижения рисковИмеется ряд вопросов, которые следует учесть, если планируется использовать брандмауэр в системе Windows Vista.* Протестируйте взаимодействие с приложениями, которые необходимо использовать на компьютерах в организации. Для каждого приложения необходимо составить список требований к сетевым портам, чтобы гарантировать, что в брандмауэре Windows будут открыты только необходимые порты.* Брандмауэр Windows XP поддерживает доменный и стандартный профили. Профиль домена активен, если клиент подключен к сети, которая содержит контроллеры домена для домена, в котором находится учетная запись компьютера. Это позволяет создавать правила в соответствии с требованиями внутренней сети организации. Брандмауэр Windows Vista включает частный и общий профили, обеспечивающие более точное управление защитой клиентского компьютера при работе пользователя за пределами сетевой защиты организации.* Оцените возможности ведения журнала брандмауэра Windows для определения возможности его интеграции в существующие решения предприятия по созданию отчетов и наблюдению.* По умолчанию брандмауэр Windows блокирует удаленный контроль или удаленное управление компьютерами с операционной системой Windows Vista. Корпорация Майкрософт создала ряд правил для брандмауэра Windows, предназначенных специально для выполнения подобных удаленных задач. Для того чтобы компьютеры организации поддерживали выполнение подобных задач, необходимо включить соответствующие правила для каждого профиля, в котором требуется выполнение этих задач. Например, можно включить правило удаленного рабочего стола для профиля домена, чтобы позволить своей справочной службе поддерживать пользователей в сети организации, но отключить его для частного и общего профилей, чтобы сократить возможности для атаки на компьютеры, когда они находятся за пределами сети организации.Снижение рисков с помощью брандмауэра Windows в режиме повышенной безопасностиСистема Windows Vista включает новые параметры групповой политики и пользовательский интерфейс управления, которые помогают настраивать новые функции в брандмауэре Windows Vista. Расширенные параметры безопасности для системы Windows Vista не применяются к клиентскому компьютеру с операционной системой Windows XP.Корпорация Майкрософт рекомендует тщательно изучить эти новые возможности, чтобы определить, смогут ли они обеспечить лучшую безопасность среды. Если планируется изменить действия брандмауэра Windows Vista, выполняемые по умолчанию, корпорация Майкрософт рекомендует использовать для управления клиентскими компьютерами с операционной системой Windows Vista параметры групповой политики брандмауэра Windows в режиме повышенной безопасности.Новые параметры групповой политики и оснастку управления, доступные для брандмауэра Windows, можно изучить и настроить в следующем местоположении редактора объектов групповой политики:Конфигурация компьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасностиБрандмауэр Windows в режиме повышенной безопасности поддерживает следующие профили среды.* Профиль домена. Этот профиль применяется, если компьютер подключен к сети и проходит проверку подлинности на контроллере домена, которому принадлежит компьютер.* Общий профиль. Данный профиль является типом сетевого местоположения по умолчанию в случае, если компьютер не подключен к домену. Параметры общего профиля должны максимально ограничивать доступ, поскольку компьютер подключен к общедоступной сети, безопасность которой нельзя контролировать так же жестко, как в ИТ-среде.* Частный профиль. Этот профиль применяется только в случае, если пользователь с привилегиями локального администратора назначает его сети, которая до этого была общей. Корпорация Майкрософт рекомендует делать это только при работе в надежной сети.Важно понимать, что одновременно активен только один профиль. Если на компьютере установлено несколько сетевых плат, и они подключены к разным сетям, выбор применяемого профиля осуществляется следующим образом:1. Если все сетевые платы подключены к сети с доменами, примените профиль домена.2. Если все сетевые платы подключены к частной сети, примените частный профиль.3. Если одна из плат подключена к общей сети, примените общий профиль.Корпорация Майкрософт рекомендует включить брандмауэр Windows в режиме повышенной безопасности для всех трех профилей. Помимо расширенных правил брандмауэра Windows, он также поддерживает правила безопасности подключения. Безопасность подключения включает проверку подлинности двух компьютеров перед началом их взаимодействия и обеспечение безопасности данных, пересылаемых между двумя компьютерами. Брандмауэр Windows в режиме повышенной безопасности включает технологию IPsec для поддержки обмена ключами, проверки подлинности, целостности данных, а также шифрования данных (дополнительно).В приложении А «Параметры групповой политики, связанные с безопасностью» описываются все исходные параметры брандмауэра Windows в режиме повышенной безопасности и поясняется, какие параметры требуют специфичные для среды сведения.Центр обеспечения безопасности WindowsЦентр обеспечения безопасности Windows (WSC) работает в фоновом режиме на клиентских компьютерах с операционными системами Windows Vista и Windows XP с пакетом обновления 2 (SP2). В системе Windows Vista эта функция постоянно проверяет и отображает состояние четырех важных категорий безопасности.* Брандмауэр* Функция автоматического обновления* Защита от вредоносных программ* Другие параметры безопасностиЦентр обеспечения безопасности Windows также служит отправной точкой для доступа к другим областям компьютера, относящимся к безопасности, и обеспечивает единое место для поиска связанных с безопасностью ресурсов и поддержки. Например, центр обеспечения безопасности Windows содержит ссылку, позволяющую пользователям, не имеющим антивирусного программного обеспечения, просмотреть предложения поставщиков антивирусных решений, совместимых с центром обеспечения безопасности Windows.Корпорация Майкрософт улучшила центр обеспечения безопасности Windows в системе Windows Vista, включив в него категорию «Другие параметры безопасности». Эта категория отображает состояние параметров безопасности обозревателя Internet Explorer и функции управления учетными записями пользователей. Другая новая категория в системе Windows Vista - это «Защита от вредоносных программ», которая включает наблюдение за антивирусным и антишпионским программным обеспечением. Помимо защиты, обеспечиваемой системой Windows Vista по умолчанию, центр обеспечения безопасности Windows позволяет осуществлять наблюдение за решениями различных производителей по обеспечению безопасности для брандмауэра Windows, а также антивирусным и антишпионским программным обеспечением, запущенном на клиентском компьютере, и отображать, какие из решений включены и обновлены.Для клиентских компьютеров с операционной системой Windows Vista центр обеспечения безопасности Windows предоставляет прямые ссылки на ПО поставщиков, которое можно использовать для устранения возникающих проблем с компьютером. Например, если антивирусное или антишпионское решение стороннего производителя отключено или устарело, в центре обеспечения безопасности Windows имеется кнопка, нажав на которую, можно запустить на компьютере решение производителя для устранения проблемы. Кроме того, центр обеспечения безопасности Windows содержит ссылки на веб-узел производителя, которые можно использовать для запуска или обновления подписки или получения обновлений. Осведомленность об отключении или устаревании программ для обеспечения безопасности и возможность легко загрузить обновления может означать разницу между максимально возможной защитой и уязвимостью для вредоносных программ.Центр обеспечения безопасности Windows запускается по умолчанию на компьютерах с операционной системой Windows Vista. Параметры групповой политики, описанные в предыдущей главе, не содержат параметров, изменяющих поведение центра обеспечения безопасности Windows по умолчанию. Тем не менее, администраторы могут использовать групповую политику для включения или отключения клиентского пользовательского интерфейса центра обеспечения безопасности Windows на компьютерах, подключенных к домену. Доступные параметры групповой политики центра обеспечения безопасности Windows можно просмотреть и настроить в следующем местоположении редактора объектов групповой политики:Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обеспечения безопасностиПроцедура снижения рисковДля эффективной работы средства удаления вредоносных программ используйте следующую процедуру.Использование процедуры снижения рисков:1. Изучите возможности средства удаления вредоносных программ.2. Оцените необходимость использования средства в вашей среде.3. Определите наиболее подходящий способ развертывания средства в вашей организации.4. Выделите компьютеры в организации, которые получат преимущества от защиты, предлагаемой данным средством.5. Проведите развертывание средства выбранным способом.Политики ограниченного использования программПолитики ограниченного использования программ дают возможность администраторам определять приложения и контролировать возможность их запуска на локальных компьютерах. Эта функция способствует защите компьютеров под управлением систем Windows Vista и Windows XP Professional от известных конфликтов, а также помогает обезопасить их от вредоносного программного обеспечения, например, от вирусов и программ типа «Троянский конь». Политики ограниченного использования программ полностью интегрируются со службой каталогов Active Directory и групповой политикой. Эту функцию также можно использовать и на автономных компьютерах. С помощью политик ограниченного использования программ можно выполнять следующие действия:* контролировать, какое программное обеспечение может быть запущено на клиентских компьютерах в конкретной среде;* ограничивать доступ к определенным файлам на многопользовательских компьютерах;* решать, кто именно может пополнять список заслуживающих доверия издателей на клиентских компьютерах;* определять, действуют ли политики для всех пользователей клиентских компьютеров или только для некоторых из них;* предотвратить запуск EXE-файлов на локальных компьютерах на основании политик, установленных на уровне компьютера, подразделения организации (OU), узла и домена.Важно. Необходимо тщательно проверить все параметры политик, упомянутые в данном руководстве, перед развертыванием их в производственной среде. Особое внимание этому нужно уделить при настройке параметров политик ограниченного использования программ. Ошибки, допущенные при планировании или внедрении этой функции, могут привести к значительному ухудшению качества работы пользователей.Политики ограниченного использования программ не подверглись существенным изменениям в системе Windows Vista. Поэтому они не описываются отдельно в данном руководстве. Дополнительные сведения о разработке и внедрении данных политик см. на странице Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения на веб-узле TechNet.Технологии защиты обозревателя Internet Explorer 7Вредоносные веб-узлы способны нарушить работу компьютеров. Технологии обозревателя Internet Explorer 7 позволяют предотвратить установку нежелательного программного обеспечения, а также защитить компьютер от несанкционированной передачи личных данных, что позволяет значительно повысить безопасность работы в обозревателе и обеспечить конфиденциальность. Новые технологии безопасности обозревателя Internet Explorer 7 включают в себя следующие функции.* Защищенный режим обозревателя Internet Explorer.* Функция ActiveX Opt-in.* Защита от атак с применением междоменных сценариев.* Строка состояния системы безопасности.* Антифишинг.* Дополнительные функции безопасности.Обозреватель Internet Explorer 7 может работать в системах Windows Vista и Windows XP. При этом в системе Windows Vista у обозревателя Internet Explorer больше возможностей. Например, некоторые функции обозревателя Internet Explorer 7, такие как функция защищенного режима или функция родительского контроля, недоступны на компьютере под управлением системы Windows XP. Кроме того, пользовательский интерфейс Aero в обозревателе Internet Explorer 7 нельзя использовать на компьютерах с ОС Windows XP.Защищенный режим обозревателя Internet ExplorerЗащищенный режим обозревателя Internet Explorer в ОС Windows Vista обеспечивает дополнительную защиту и более безопасную работу в Интернете. Кроме того, он позволяет предотвратить захват обозревателя злоумышленниками и возможность использования повышенных прав для запуска кода.Благодаря функции защищенного режима уменьшается количество уязвимостей в предыдущих версиях программного обеспечения за счет невозможности автоматической установки вредоносного кода. В защищенном режиме обозревателя в системе Windows Vista используются механизмы с более высоким уровнем целостности, которые ограничивают доступ к процессам, файлам и разделам реестра. Прикладной программный интерфейс защищенного режима позволяет разработчикам программного обеспечения выпускать такие расширения и надстройки, которые могут взаимодействовать с файловой системой и реестром при работе обозревателя в защищенном режиме.В защищенном режиме обозреватель Internet Explorer 7 работает с ограниченными разрешениями, чтобы не допустить внесение изменений в файлы или параметры пользователя или системы без явного согласия пользователя. В новой архитектуре обозревателя также представлен процесс «брокер», позволяющий существующим приложениям выходить из защищенного режима более безопасным способом. Благодаря этому загружаемые данные можно сохранять только в каталогах обозревателя с ограниченными правами, например в папке временных файлов Интернета.Защищенный режим по умолчанию доступен в обозревателе Internet Explorer 7 для всех зон безопасности, кроме зоны надежных узлов. Однако можно отключить этот режим, что понизит уровень общей безопасности. По этой причине параметры групповой политики, описанные в предыдущей главе, включают защищенный режим обозревателя во всех зонах Интернета, за исключением зоны надежных узлов, и предотвращают его отключение пользователями.Посмотреть и изменить параметры групповой политики для защищенного режима обозревателя Internet Explorer 7 можно в следующем разделе в редакторе объектов групповой политики.Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем\Страница безопасности\< Зона>Функция ActiveX Opt-inОбозреватель Internet Explorer 7 в системе Windows Vista предлагает новый мощный механизм обеспечения безопасности для платформы ActiveX, улучшающий защиту пользовательских данных и компьютерных систем. Функция ActiveX Opt-in автоматически отключает все элементы управления, которые пользователь не разрешил явным образом. Это снижает опасность неправильного использования предварительно установленных элементов управления.В системе Windows Vista панель информации запрашивает согласие пользователя перед использованием элементов управления ActiveX, которые были предварительно установлены на компьютере, но еще не включались. Этот механизм оповещения позволяет пользователю разрешать или запрещать применение каждого элемента, что еще более уменьшает область, доступную для атак. Злоумышленники не могут использовать веб-узлы для автоматического запуска атак с помощью элементов ActiveX, не предназначенных для использования в Интернете.Защита от атак с применением междоменных сценариевНовые барьеры для междоменных сценариев ограничивают возможности вредоносных веб-узлов использовать уязвимости других узлов. Так, до появления защиты от атак с применением междоменных сценариев во время посещения вредоносного веб-узла могло открыться новое окно обозревателя с надежной веб-страницей (например, с веб-узла банка), на которой пользователя просили ввести данные о счете. Эти данные могли быть извлечены с помощью сценария и впоследствии поступить в распоряжение злоумышленника. С обозревателем Internet Explorer 7 этого не произойдет благодаря защите от атак с применением междоменных сценариев.Строка состояния системы безопасностиНовая строка состояния системы безопасности в обозревателе Internet Explorer 7 позволяет быстро отличать подлинные веб-узлы от подозрительных и вредоносных. Чтобы предоставить эти сведения, строка состояния системы безопасности использует расширенные возможности доступа к сведениям о цифровом сертификате, позволяющим определить безопасные веб-узлы (HTTPS).Строка состояния системы безопасности предоставляет более понятные и ясные визуальные сведения, позволяющие определить безопасность и подлинность веб-узлов. Эта технология также поддерживает сведения о сертификатах высокой надежности, чтобы точно определять безопасные веб-узлы (HTTPS), на которых применяются более строгие меры для подтверждения подлинности.АнтифишингФишинг - это метод, используемый многими злоумышленниками для обмана пользователей с целью раскрытия их личных или финансовых данных посредством сообщения электронной почты или веб-узла. Злоумышленники маскируются под законное лицо или организацию, чтобы получить конфиденциальные сведения, такие как пароль счета или номера кредитных карт. С функцией антифишинга в обозревателе Internet Explorer 7 работа в Интернете становится более безопасной, т. к. пользователь получает сведения о подозрительных и известных поддельных веб-узлах. Содержимое веб-узлов анализируется с целью выявления известных методов фишинга; при этом для определения уровня безопасности веб-узлов используется глобальная сеть источников данных.Создатели мошеннических сообщений электронной почты, рекламных объявлений в Интернете и веб-узлов пользуются такими недостатками современных веб-узлов, как недостаточное взаимодействие и ограниченный обмен данными. Новая функция антифишинга в обозревателе Internet Explorer 7, получающая обновления несколько раз в час с помощью интернет-службы, объединяет новейшие сведения о поддельных веб-узлах и предоставляет их пользователям обозревателя, чтобы заблаговременно предупредить их об опасности и защитить от нее.Функция антифишинга объединяет клиентский поиск характерных особенностей вредоносных веб-узлов и Интернет-службу, запрашивающую подтверждение пользователя. Таким образом, пользователь защищается от фишинг-атак тремя способами.* Во-первых, адреса веб-узлов, которые пользователь намеревается посетить, сверяются с хранящимся на компьютере списком известных надежных узлов.* Во-вторых, веб-узлы проверяются на наличие характерных черт поддельных веб-узлов.* В-третьих, адрес веб-узла, который собирается посетить пользователь, отправляется в Интернет-службу корпорации Майкрософт, которая мгновенно сверяет его с часто обновляемым списком поддельных узлов. Список этих узлов составляется с помощью надежных источников, сообщающих корпорации Майкрософт о том, что эти веб-узлы являются мошенническими.Даже если веб-узел неизвестен службе антифишинга, обозреватель Internet Explorer 7 может проверить деятельность веб-узла и сообщить пользователю о подозрительных действиях (например, о сборе сведений о пользователе при отсутствии сертификата безопасного соединения (SSL). В этом случае с помощью функции антифишинга сбор сведений будет предотвращен прежде, чем веб-узел появится в официальном списке мошеннических веб-узлов.При работе в обозревателе Internet Explorer 7 функция антифишинга по умолчанию настроена таким образом, чтобы пользователь мог включить или отключить ее. В параметрах групповой политики, описанных в предыдущей главе, нельзя изменить это поведение по умолчанию. Тем не менее, администраторы могут контролировать действие функции антифишинга с помощью групповой политики.Просмотреть и настроить параметры групповой политики, касающиеся функции антифишинга, можно в следующем разделе в редакторе объектов групповой политики.Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet ExplorerАппаратная защита Windows VistaТехнология NX (No Execute)Вредоносное ПО может завладеть пользовательской машиной с использованием переполнения буфера или путем исполнения кода в областях памяти, предназначенной для хранения данных. SDL и другие аналогичные инструменты способны предотвратить возможность переполнения буфера еще на стадии проектирования или программирования, однако существует еще один путь борьбы с переполнением - использование технологий NX (No Execute) на аппаратном уровне. NX позволяет программному обеспечению помечать сегменты памяти, в которых будут хранится только данные, и процессор не позволит приложениям и службам исполнять произвольный код в этих сегментах.Множество современных процессоров поддерживают ту или иную форму NX, и Microsoft, в свою очередь, начиная с Windows XP SP2, включила поддержку процессоров с NX-технологией посредством инструмента Data Execution Prevention. Windows Vista обеспечивает дополнительную поддержку NX, позволяя производителям ПО встраивать защиту NX в свои программные продукты. Независимые продавцы ПО могут помечать свои продукты как NX-совместимые, что позволит повысить безопасность при загрузке программы. Данный подход позволяет значительно увеличить количество программных продуктов, поддерживающих защиту NX. Особенно это актуально для 32-битных платформ, поскольку в них стандартная политика совместимости для NX сконфигурирована только для защиты компонентов ОС. На 64-битных версиях Windows защита NX - стандарт.Случайное расположение адресного пространства(Address Space Layout Randomization (ASLR)) - это еще один вид защиты в ОС Windows Vista, который затрудняет использование системных функций вредоносным ПО. Каждый раз, когда компьютер перезагружается, ASLR в случайном порядке назначает 1 из 256 возможных вариантов адреса для расположения ключевых системных DLL и EXE файлов. Это осложняет эксплоиту задачу поиска нужных файлов, а, следовательно, противодействует выполнению его функций. ASLR лучше использовать в связке с Data Execution Prevention, потому что в некоторых случаях компонент Data Execution Prevention можно обойти путем построения эксплоита, который сам по себе не выполняется (он вызывает системные функции для атаки).Windows Vista также содержит в себе ряд улучшений по сравнению с Windows XP SP2, связанный с определением переполнения «кучи» (области памяти, выделяемой программе для динамически размещаемых структур данных). При вмешательстве в буфер «кучи» к ОС поступает сигнал, и она, в свою очередь, может немедленно завершить скомпрометированную программу, тем самым сократив ущерб от вмешательства. Эта технология используется для защиты компонентов ОС, включая встроенные системные службы, хотя может использоваться и сторонними производителями ПО через специальный одиночный API-вызов.Защита ядра для x6464-битные версии Windows Vista поддерживают технологию защиты ядра (иногда используется термин PatchGuard), которая запрещает неавторизованному ПО изменять ядро Windows.Для того чтобы разобраться в сути данной технологии, необходимо понять, что означает термин kernel patching (изменение ядра).Kernel patching - это техника, использующая внутренние системные вызовы, а также различные неподдерживаемые ОС механизмы, с целью изменения или замены кода, а, возможно, и критических структур данных ядра Windows на другой «неизвестный» код или данные, которые могут быть и вредоносными. Под понятием «неизвестный» имеется в виду код, не авторизованный Microsoft как часть ядра Windows.Производители ПО иногда патчат ядро для своих целей, изменяя адрес функции-обработчика системного вызова (указатель функции) в таблице системных вызовов (system service table, SST), которая представляет собой массив из указателей функций, находящихся в памяти. Такая процедура изменения адреса называется хуком (hook). Когда выполняется любой системный вызов (например, NtCreateProcess), диспетчер системных вызовов по номеру вызова восстанавливает адрес функции-обработчика данного системного вызова. Соответственно, если поменять адрес функции-обработчика, на адрес начала «неизвестного» кода, диспетчер системных вызовов перейдет по этому адресу, и «неизвестный» код будет исполнен. Именно по этой причине модификация ядра запрещена в 64-битных версиях Windows Vista. Конкретнее запрещена модификация следующих компонентов ядра:- Таблицы системных вызовов (system service tables, SST)- Таблица прерываний (interrupt descriptor table (IDT))- Таблица глобальных дескрипторов (global descriptor table (GDT))- Изменение любой части ядра (работает только на AMD64-системах)При попытке изменения вышеописанных частей ядра операционная система генерирует bug check и завершает свою работу. Соответственно, для своей корректной работы приложения и драйверы не должны изменять структуру данных частей ядра. Со временем, список защищаемых компонентов ядра может быть увеличен.По заявлениям Microsoft, систему защиты ядра отключить нельзя. Защита ядра автоматически отключается лишь в случае работы в системе отладчика ядра. Ядро может изменяться и официальными патчами от Microsoft.Подписывание драйверов для x64Для того чтобы пользователи могли видеть поставщиков драйверов и других программных продуктов, начиная с Windows 2000, в ОС присутствует механизм проверки цифровой подписи драйверов. Хотя раньше и была возможность запретить установку неподписанных драйверов, в конфигурации по умолчанию пользователь лишь предупреждался о том, что собирается устанавливать неподписанный драйвер. Системные администраторы, однако, могли заблокировать установку неподписанных драйверов посредством Групповой политики (Group Policy), но, поскольку, количество нужных неподписанных драйверов было достаточно велико, администраторы не пользовались этой возможностью. Вредоносное программное обеспечение обычно устанавливается скрытно от пользователя, и, поскольку никаких проверок изменения ядра до появления Windows Vista не было, вредоносное ПО успешно устанавливалось (имеется в виду, что установка производилась от имени пользователя с административными привилегиями).При установке Windows Vista на 64-битные системы их безопасность на уровне ядра значительно возрастает в случае, если все драйверы режима ядра (kernel mode) имеют цифровую подпись. Цифровая подпись обеспечивает подлинность и целостность кода. Поврежденный модуль ядра не загрузится. Любой драйвер, не имеющей соответствующей цифровой подписи не получит доступа к ядру и не загрузится.Хотя подписанный драйвер и не является гарантией безопасности, все равно он помогает определить и предотвратить множество злонамеренных атак, в тоже время позволяя Microsoft помочь разработчикам улучшить общее качество драйверов и сократить число сбоев по вине последних.Обязательное подписывание драйверов также помогает повысить надежность Windows Vista, потому что большинство сбоев ОС - уязвимости в драйверах режима ядра. Принуждая авторов этих драйверов идентифицировать себя, Microsoft облегчает себе задачу определения причин сбоя ОС и позволяет работать с производителями с целью разрешения возникших проблем. На основе вышеизложенного, можно сделать такой вывод: неподписанные драйверы на Windows Vista установить не удастся.WindowsServiceHardeningСистемные службы это фоновые процессы, которые загружаются для поддержки ключевых функций ОС. Они всегда были целью злонамеренных атак, потому что обычно загружаются с самыми высокими привилегиями в системе, то есть под учетной записью LocalSystem. Атаки, направленные на системные службы могут вызвать серьезные проблемы, поскольку позволяют исполнять произвольный код с административными полномочиями на машинах пользователей (черви Slammer, Blaster и Sasser атаковали именно системные службы).Чтобы каким-то образом ослабить данную угрозу, Windows Vista предлагает концепцию «ограниченных служб» (restricted services), которые загружаются с минимальными привилегиями, и влияние их на компьютер и сеть ограничено. Данный подход позволяет существенно сократить число служб, способных нанести серьезный вред пользовательской машине.Персональный межсетевой экран в Windows Vista тесно связан с компонентом Windows Service Hardening, который позволяет усилить защиту как входящего, так и исходящего трафика в процессе межсетевого взаимодействия. Необходимо добавить, что службы могут быть однозначно идентифицированы, что позволяет вести списки контроля доступа для каждой службы, разрешая, например, службам записывать только в определенные места файловой системы, реестра или других системных ресурсов.Встроенные службы Windows имеют собственные профили, которые определяют необходимые права для каждой службы, правила доступа к системным ресурсам и сетевые порты, которые службам разрешено использовать. Если служба попытается отправить или получить данные с сетевого порта, который ей не разрешен для использования, межсетевой экран заблокирует эту попытку. Например, службе удаленного вызова процедур (Remote Procedure Call service) запрещено перемещать системные файлы, модифицировать реестр, вмешиваться в конфигурации других служб в системе (например, ей нельзя изменять конфигурацию и сигнатуры вирусов антивирусного ПО).Уменьшения сложности первоначального конфигурирования служб для пользователей и системных администраторов - еще одна задача компонента Windows Service Hardening. Каждая служба, которая входит в состав ОС Windows Vista, имеет сконфигурированный заранее профиль, который применяется автоматически в процессе установки Windows. Данный процесс не требует каких бы то ни было усилий со стороны пользователей или администраторов.Контроль пользовательских учетных записей (User Account Control)В предыдущих версиях Windows большинство пользовательских учетных записей являлось членом локальной группы «Администратор», тем самым предоставляя пользователям все системные привилегии и возможности, требуемые для установки и конфигурирования приложений, загрузки некоторых фоновых системных процессов и драйверов устройств, изменения конфигурации системы и выполнения базовых повседневных задач.Хотя этот подход и был удобен для пользователей, он делал компьютеры в сети более уязвимыми к вредоносному ПО, которое могло использовать системные привилегии для повреждения файлов, изменения конфигурации (например, отключение межсетевого экрана), кражи или изменения конфиденциальной информации. Кроме того, применение данного подхода повышало затраты на повседневное обслуживание компьютеров, потому что пользователь мог совершить несанкционированные или случайные изменения, которые, в свою очередь, могли нарушить работу сети и затруднить управление отдельными компьютерами. Хотя существовала возможность работы учетных записей пользователей Windows в конфигурации с ограниченными правами, она сильно сокращала продуктивность работы, потому что базовые задачи, такие как изменение системного времени, присоединение к безопасной беспроводной сети или установка драйвера принтера требовали административных привилегий.Для решения этой проблемы, Windows Vista содержит компонент User Account Control (UAC). Это новый подход, который разделяет все операции в системе на 2 категории: те, которые может выполнять пользователь со своими стандартными правами и те, которые требуют административных привилегий. Применение нового подхода сокращает плацдарм для атак на операционную систему, в то же время предоставляя обычным пользователям большинство функций, которые им требуются каждый день.UAC обладает двумя преимуществами: во-первых, он переопределяет список стандартных возможностей пользователя, путем включения в него множества базовых функций, которые не несут риска нарушения безопасности, хотя раньше требовали административных привилегий. К этим новым функциям можно отнести:- Изменение временной зоны- Настройку системы управления питанием- Добавление принтера и других устройств, при условии, что драйверы для них уже установлены в системе- Установку новых шрифтов- Изменение настроек экрана- Создание и настройка VPN-соединения- Установка WEP (Wired Equivalent privacy) для соединения с защищенной беспроводной сетью- Просмотр календаря и системного времени- Загрузка и установка обновлений, при условии использования UAC-совместимого инсталлятора.UAC также помогает контролировать доступ к ценной информации, находящейся в папке «Мои документы». Теперь, если пользователь не является создателем файла, он не сможет его ни прочесть, ни изменить, ни удалить, т.е., другими словами, доступ к файлам других пользователей закрыт.Когда обычные пользователи пытаются выполнить задачу, требующую административных привилегий (например, установка нового приложения или изменение важных системных настроек), им предлагается ввести пароль администратора. IT-администраторы имеют возможность отключить процедуру ввода пароля администратора для обычных пользователей, сокращая тем самым риск несанкционированных действий со стороны последних. Во-вторых, UAC позволяет пользователям с административными привилегиями работать в более безопасной среде путем ограничения (по умолчанию) доступа к критичным ресурсам и функциям системы. Если для выполнения какой-либо задачи требуются повышенные привилегии, система предупредит вас об этом с помощью окна с предложением подтверждения выполнения данной задачи.Интерфейс пользователя ОС Windows Vista включает в себя ряд улучшений, призванных облегчить пользователям определение тех задач, которые требуют административных привилегий. Эти улучшения проявляются в виде описания запрашиваемых действий, а также в маркировании административных действий значком в виде щита (см. рис).UAC помогает существующим приложениям работать с правами стандартного пользователя без модификаций, путем предоставления им специальной платформы, которая помогает последним обойтись без использования административных привилегий в обычных ситуациях. Например, чтобы обеспечить нормальную работу приложений, требующих для своего выполнения административных привилегий, Windows Vista содержит механизм виртуализации файловой системы и реестра. Данный механизм перенаправляет запросы чтения и записи из защищенных областей в какое-либо место внутри профиля пользователя, таким образом, приложение работает корректно, не влияя на ресурсы других пользователей или систему вцелом. Это сокращает риск нарушения безопасности, потому что приложения никогда не получат доступ к ресурсам, требующим прав администратора для доступа. Однако Microsoft рекомендует использовать данное решение для приложений только как временный выход из ситуации, пока не найдется замена, не требующая административных привилегий и корректно работающая под UAC.Необходимо отметить, что Microsoft предлагает ряд инструментов, технологий и ресурсов, чтобы помочь производителям составлять новые программы, корректно работающие под UAC. Например, инструмент Standart User Analyzer позволяет определить, будет ли корректно работать то или иное приложение с правами стандартного пользователя или же нет.Благодаря включению UAC в бета-версию Windows Vista, Microsoft получила ценную информацию от пользователей, что привело в последствии к ряду улучшений в компоненте UAC второй бета-версии Windows Vista. Вот основные улучшения UAC во второй бета-версии Windows Vista:- Сокращение числа объектов Панели управления, которые требуют административных привилегий для доступа (объекты Мышь и Клавиатура, Инфракрасный порт и Bluetooth).- Планировщик заданий теперь не требует административных привилегий- Применены исправления к сотням приложений, с целью их корректной работы без ввода пароля администратораДиалоговые окна UAC также подверглись пересмотру. Теперь они более точно указывают на программу, запрашивающую права администратора, а также помогают определить программы, которые потенциально опасны для системы. Microsoft будет продолжать улучшать компонент UAC, удалять ненужные диалоговые окна вплоть до финального выпуска Windows Vista, используя данные, полученные от пользователей.Отзывы пользователей применяются для точного определения числа всплывающих сообщений (подсказок), которые появятся в пост-бета2 версии Windows Vista, известной как кандидат №1 на широкомасштабный выпуск (Release Candidate №1). В этой версии Windows Vista их будет даже меньше, чем во второй бета-версии. Например, предполагается удалить сообщение для администраторов, когда они удаляют ярлыки на общем рабочем столе, а также сообщение, которое появляется, когда пользователь получает критичные обновления с Windows Update.Защита доступа к сети (Network Access Protection, NAP)NAP - это система, которая позволяет системным администраторам быть уверенным в том, что в сети находятся только «здоровые» машины. Под понятием «здоровые» подразумеваются машины со всеми необходимыми обновлениями ПО, антивирусных баз и т.д. Если компьютер, не соответствует требованиям, предъявляемым NAP, он объявляется «нездоровым», ему не разрешается доступ к сети, до тех пор, пока все требования NAP не будут выполнены.Защита от вредоносного кода и компьютерных атакЦентр безопасности Windows (Windows Security Center, WSC)В 2004 году компания Microsoft включила в операционную систему Windows XP SP2 компонент WSC. Загружаясь как фоновый процесс, WSC в Windows XP постоянно проверял и показывал состояние трех наиболее важных аспектов безопасности: межсетевого экрана, антивирусного ПО, автоматических обновлений.Windows Vista также содержит WSC, однако, последний имеет ряд улучшений таких как отображение состояния антишпионского ПО, настроек защиты Internet Explorer и UAC. WSC может следить за состоянием защитного ПО третьих производителей, работающих на данном компьютере. В случае если защитное ПО выключено либо требует установки обновлений, WSC предупреждает пользователя об этом.Windows DefenderWindows Defender - компонент который защищает компьютер от руткитов, кейлоггеров, шпионов, adware, bots и другого вредоносного ПО. (Windows Defender не защищает от червей и вирусов).Windows Defender содержит 9 агентов безопасности, которые постоянно наблюдают за теми критическими областями ОС, которые наиболее часто пытается изменить вредоносное ПО. К таким областям ОС относятся:- Автозагрузка. Агент безопасности постоянно наблюдает за списком программ, которым позволено загружаться при старте системы. Таким образом, реализуется защита от вредоносного ПО, которое пытается загрузиться вместе с системой.- Настройки безопасности системы. Агент безопасности постоянно проверяет настройки безопасности Windows. Не секрет, что некоторое вредоносное ПО старается изменить настройки безопасности с целью облегчения вредного воздействия на ОС. Агент безопасности этой области не позволит неавторизованному ПО изменить настройки безопасности.- Аддоны Internet Explorer. Агент безопасности следит за приложениями, которые загружаются вместе с браузером. Spyware и другое вредоносное ПО может маскироваться под аддоны Internet Explorer и загружаться без вашего ведома. Агент безопасности не позволит загрузиться такому виду вредоносного ПО.- Настройки Internet Explorer. Агент безопасности следит за настройками безопасности браузера, потому что вредоносное ПО может попытаться изменить их.- Загрузки Internet Explorer (Internet Explorer Downloads). Агент безопасности следит за файлами и приложениями, предназначенными для работы с IE (например ActiveX controls). Браузер может загрузить, установить и запустить данные файлы без вашего ведома. Вредоносное ПО может быть включено в такого рода файлы и загрузиться на компьютере-жертве, но агент безопасности защитит и от этой напасти.- Службы и драйверы. Агент безопасности данной области наблюдает за состоянием служб и драйверов во время их взаимодействия с ОС и приложениями. Поскольку службы и драйверы выполняют важнейшие функции, они имеют доступ к важным областям ОС. Вредоносное ПО может использовать службы для доступа к компьютеру, а также с целью маскировки под нормальные компоненты системы.- Выполнение приложений (Application Execution). Агент безопасности следит за приложениями во время их выполнения. Spyware и другое вредоносное ПО, используя уязвимости приложений, может нанести вред. Например, spyware может загрузиться во время запуска часто используемого вами приложения. Windows Defender предупредит вас о подозрительном поведении приложений.- Регистрация приложений (Application Registration). Агент безопасности данной области постоянно наблюдает за инструментами и файлами ОС, где приложения регистрируются с целью загрузки. Spyware и другое вредоносное ПО может зарегистрировать приложение с целью загрузки без вашего ведома и периодически собирать с помощью него вашу личную информацию. Данный агент, сообщит пользователю об обнаружении нового приложения, пытающегося зарегистрироваться с целью загрузки.- Windows Add-ons. Агент безопасности следит за так называемыми аддонами, также известными как программные утилиты для Windows. Аддоны позволяют настроить такие аспекты ОС, как безопасность, производительность, мультимедиа. Однако аддоны могут устанавливать ПО, которое будет собирать информацию о вас и о вашем компьютере.Улучшения межсетевого экрана WindowsКак и в Windows XP SP2, межсетевой экран в Windows Vista включен по умолчанию и начинает защищать пользовательский компьютер с момента загрузки операционной системы. Теперь межсетевой экран способен фильтровать и входящий, и исходящий трафик. Он помогает также защититься от вредного воздействия системных ресурсов, если они ведут себя непредсказуемо (возможно в случае работы вредоносного кода). Например, если системная служба сконфигурирована таким образом, чтобы посылать сообщения в сеть через определенный порт, но пытается это сделать через другой, межсетевой экран Windows, может запретить отправку данных сообщений, тем самым обеспечивая защиту от распространения вредоносного ПО.Защита данныхBitLocker Drive Encryption (Шифрованиетома)BitLocker Drive Encryption - инструмент, позволяющий защитить конфиденциальную информацию на диске, путем его шифрования. В случае, если диск, защищенный с помощью технологии BitLocker украден или, например, списан, то информацию на нем прочесть не удастся, поскольку все содержимое диска зашифровано.Технология BitLocker использует TPM (Trusted Platform Module) - специальный чип, который необходим для безопасного хранения ключевой информации, а также для разграничения доступа к системе. Во время загрузки Windows проверяется целостность системных файлов и данных. Если файлы были изменены, ОС не загрузится. BitLocker поддерживает централизованное хранение ключей в Active Directory, в то же время позволяя системным администраторам хранить ключи шифрования и на USB-устройствах.BitLocker позволяет изменить стандартный процесс загрузки ОС. Дело в том, что загрузка ОС может блокироваться до тех пор, пока пользователь не введет PIN-код или не вставит USB-устройство с ключами дешифрования. Эти дополнительные меры безопасности обеспечивают так называемую мультифакторную аутентификацию (многоуровневую).BitLocker Drive Encryption будет доступен для клиентских машин в версиях Windows Vista Enterprise и Ultimate.Улучшенияв EFS (Encrypting File System)В Windows Vista EFS поддерживает хранение пользовательских ключей и ключей восстановления на смарт-картах. Кроме того, EFS в Windows Vista может быть использована для шифрования файла подкачки (эта опция может быть активирована системным администратором через групповую политику). Кэш на стороне клиента, в котором сохраняются копии документов с сервера также может быть зашифрован с помощью EFS. В этом случае даже локальный администратор, не обладая пользовательским секретным ключом, не сможет расшифровать файлы пользователя.В Групповую Политику был добавлен ряд опций, по поддержке EFS. К ним относятся опции включения возможности шифрования файла подкачки, сохранения ключей на смарт-картах, ограничения минимальной длины ключа и т.д.Кроме вышеперечисленного, существует возможность шифрования пользовательских файлов «на лету» при сохранении их на сервере Longhorn. Такая операция необходима, когда нет доверия к серверу.EFS будет доступна в версиях Windows Vista Business, Enterprise и Ultimate.Контроль USB-устройствНе секрет, что бесконтрольное использование USB-накопителей может привести к утечке конфиденциальной информации из организации, к заражению компьютера вредоносным ПО и другим малоприятным последствиям. Именно поэтому в ОС Windows Vista реализован механизм контроля использования USB-устройств.Посредством Групповой Политики Windows Vista позволяет системным администраторам блокировать установку неавторизованных USB-устройств в компьютер. Данная политика может применяться как к отдельному компьютеру, так и к множеству компьютеров по всей сети. У администраторов в руках находятся весьма гибкий инструмент по настройке политики запрета USB-устройств. Например, можно разрешить установку только определенного класса устройств, таких как принтеры, запретить установку любых типов USB-накопителей или запретить установку любых неавторизованных устройств. Данные политики можно перекрывать путем ввода пароля администратора для установки того или иного устройства. И, наконец, можно открывать доступ по чтению / записи к устройствам для определенных пользователей или компьютеров.ЗаключениеЧто ж, можно сказать, что Microsoft идет по правильному пути, повышая безопасность своих ОС. На словах все выглядит довольно хорошо, однако на деле мы сможем проверить безопасность новой ОС только после ее официального выхода. Будет ли система безопасности удобна, незаметна для пользователя и эффективна? Пока мы можем сказать, что она неудобна для пользователя из-за обилия ненужных сообщений от UAC, появляющихся на экране. Хоть Microsoft и работает над этой проблемой, все равно, думаю, часть недовольств останется. Будет ли ПО от Microsoft менее дырявым благодаря SDL? Вопрос остается открытым. Какие выводы можно сделать из этой статьи?1. Microsoft действительно пытается повысить безопасность новой ОС.2. Эффективность вышеперечисленных методов защиты пока не доказана. |
РЕКЛАМА
|
|||||||||||||||||
|
БОЛЬШАЯ ЛЕНИНГРАДСКАЯ БИБЛИОТЕКА | ||
© 2010 |