Безопасность в системе Windows Vista. Основные службы и механизмы безопасности учебное пособие по информатике , Руководство, Проектов, Исследование из Информатика

Скачай Безопасность в системе Windows Vista. Основные службы и механизмы безопасности учебное пособие по информатике и еще Руководство, Проектов, Исследование в формате PDF Информатика только на Docsity! МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ Безопасность в системе Windows Vista. Основные службы и механизмы безопасности 2008 Защита доступа к сети (Network Access Protection, NAP) 72 Защита от вредоносного кода и компьютерных атак 72 Центр безопасности Windows (Windows Security Center, WSC) 72 Windows Defender 72 Улучшения межсетевого экрана Windows 74 Защита данных 75 Заключение 77 Литература 79 Введение Windows Vista™ – на сегодняшний день самая безопасная операционная система, выпущенная корпорацией Майкрософт. Тем не менее для соответствия требованиям к сети конкретной среды могут потребоваться изменения конфигурации. В этой главе продемонстрирована относительная простота настройки параметров безопасности для усиления защиты клиентских компьютеров под управлением стандартной операционной системы, которые присоединены к домену со службой каталогов Active Directory®. Windows Vista™ – это первая клиентская операционная система от Microsoft, в которой контроль за безопасностью осуществляется на всех этапах разработки (технология Microsoft’s Security Development Lifecycle). Это означает, что во главу угла ставится именно безопасность новой ОС. Согласно технологии SDL, к разработчикам ПО с самого начала приставляется консультант по безопасности, который контролирует все этапы разработки на предмет отсутствия уязвимостей. Кроме того, Microsoft собирается сертифицировать Windows Vista по стандарту ISO «Общие Критерии» с целью получения сертификатов EAL4 и Single Level OS Protection Profile. В главе приводится простой набор процедур для внедрения рекомендуемых параметров для усиления стандартной системы безопасности операционной системы. Упрощенные процедуры позволяет быстро и эффективно защитить клиентские компьютеры под управлением Windows Vista в существующей среде. Теперь защиту операционной системы можно усилить, используя только объекты групповой политики. Предыдущие рекомендации корпорации Майкрософт требовали импорта INF-файлов шаблона безопасности и существенного изменения вручную раздела «Административные шаблоны» нескольких объектов групповой политики. Эти файлы или шаблоны больше не требуется использовать. Тем не менее INF-файлы шаблона безопасности распространяются с руководством. Их можно использовать для усиления безопасности автономных клиентских компьютеров. Все рекомендуемые параметры групповой политики описаны в приложении A «Параметры групповой политики, связанные с безопасностью». Чтобы применить рекомендуемые параметры, необходимо: • создать структуру подразделений для существующей среды; • выполнить сценарий GPOAccelerator.wsf, который распространяется с руководством; • использовать консоль управления групповыми политиками для связи объектов групповой политики и управления ими. Предупреждение. Важно тщательно протестировать схемы подразделений и объектов групповой политики перед их развертыванием в рабочей среде. В разделе «Внедрение политик безопасности» этой главы описаны процедуры создания и развертывания структуры подразделений и объектов групповой политики, связанных с безопасностью, во время внедрения в тестовой и рабочей среде. Объекты групповой политики набора базовых показателей, которые распространяются с руководством, включают сочетание протестированных параметров, которые улучшают безопасность клиентских компьютеров под управлением Windows Vista в двух различных средах: • Enterprise Client (EC) • Specialized Security – Limited Functionality (SSLF) который не требуется обычным пользователям. Кроме того, требования к безопасности для пользователей переносных и настольных компьютеров могут различаться. На следующем рисунке показана простая структура подразделений, достаточная для рассмотрения групповой политики в этой главе. Структура подразделений может не соответствовать требованиям среды вашей организации. Рисунок 1.1. Пример структуры подразделений для компьютеров под управлением Windows Vista Подразделение отдела Так как требования к безопасности внутри организации могут различаться, иногда имеет смысл создать в среде подразделения отделов. Такие подразделения можно использовать для применения параметров безопасности к компьютерам и пользователям в соответствующих отделах с помощью объекта групповой политики. Подразделение пользователей Windows Vista Это подразделение содержит учетные записи пользователей для среды EC. Параметры, применяемые к такому подразделению, подробно описаны в приложении A «Параметры групповой политики, связанные с безопасностью». Подразделение компьютеров с Windows Vista Это подразделение содержит дочерние подразделения для каждого типа клиентских компьютеров под управлением Windows Vista в среде EC. Данное руководство содержит прежде всего рекомендации по безопасности для настольных и переносных компьютеров. По этой причине его разработчики создали следующие подразделения компьютеров: • Подразделение настольных компьютеров. К этому подразделению относятся настольные компьютеры с постоянным подключением к сети. Параметры, которые применяются к этому подразделению, подробно описаны в приложении A «Параметры групповой политики, связанные с безопасностью». • Подразделение переносных компьютеров. Это подразделение включает переносные компьютеры для мобильных пользователей, которые не всегда подключены к сети. Параметры, которые применяются к этому подразделению, также описаны в приложении A. Схема объектов групповой политики для политик безопасности Объект групповой политики – это коллекция параметров групповой политики, которые по сути являются файлам, созданными оснасткой групповой политики. Параметры хранятся на уровне домена и влияют на пользователей и компьютеры в сайтах, доменах и подразделениях. Объекты групповой политики позволяют обеспечить применение конкретных параметров политики, прав пользователей и поведения компьютеров ко всем клиентским компьютерам или пользователям в подразделении. Использование групповой политики вместо настройки вручную упрощает управление изменениями (включая обновление) для большого количества компьютеров и пользователей. Настройка вручную не только неэффективна, так как требует посещения каждого клиентского компьютера, но и потенциально бесполезна: если параметры политики в объектах групповой политики домена отличаются от параметров, применяемых локально, параметры политики объекта групповой политики домена переопределяет примененные локально параметры. Рисунок 1.2. Очередность применения объектов групповой политики На предыдущем рисунке показана очередность, в которой объекты групповой политики применяются к компьютеру, являющемуся членом дочернего подразделения, от наиболее низкого уровня (1) к самому высокому (5). Сначала применяется групповая политика из локальной политики безопасности каждого клиентского компьютера под управлением Windows Vista. После применения локальной политики безопасности применяются объекты групповой политики на уровне сайта, а затем на уровне домена. Для клиентских компьютеров под управлением Windows Vista, которые находятся в подразделении с несколькими уровнями, объекты групповой В примере на рисунке 1.3 переносные компьютеры принадлежат к подразделению «Переносные компьютеры». Сначала применяется локальная политика безопасности на переносных компьютерах. Так как в этом примере существует только один сайт, на уровне сайта не применяются объекты групповой политики, поэтому следующим применяется объект групповой политики домена. После этого применяется объект групповой политики «Переносные компьютеры». Примечание. Политика «Настольные компьютеры» не применяется к переносным компьютерам, так как она не связана ни с одним подразделением в иерархии, которое содержит подразделение «Переносные компьютеры». В качестве примера очередности рассмотрим сценарий, в котором параметр политики Разрешать вход в систему через службу терминалов должен применяться к следующим подразделениям и группам пользователей: • подразделение «Компьютеры с Windows Vista» – группа Администраторы; • подразделение «Переносные компьютеры» – группы Пользователи удаленного рабочего стола и Администраторы. В этом примере пользователь, учетная запись которого принадлежит к группе Пользователи удаленного рабочего стола, может входить в систему переносного компьютера через службу терминалов, так как подразделение «Переносные компьютеры» является дочерним подразделением подразделения «Компьютеры с Windows Vista», а политика дочернего подразделения имеет приоритет. Если включить параметр политики Не перекрывать в объекте групповой политики подразделения «Компьютеры с Windows Vista», только пользователи, учетные записи которых принадлежат к группе Администраторы, смогут входить в систему переносного компьютера через службу терминалов. Это происходит потому, что параметр Не перекрывать предотвращает переопределение примененной ранее политики политикой дочернего подразделения. Внедрение политик безопасности Для внедрения схемы безопасности двух сред, описанных в данном руководстве, необходимо использовать консоль управления групповыми политиками и ее сценарии. Консоль управления групповыми политиками интегрирована в операционную систему, поэтому не требуется загружать и устанавливать ее каждый раз, когда требуется управлять объектами групповой политики на другом компьютере. В отличие от рекомендаций по безопасности для предыдущих версий операционной системы Windows рекомендации в данном руководстве для Windows Vista значительно автоматизируют тестирование и внедрение схемы безопасности в среде EC. Эти рекомендации были разработаны и протестированы, чтобы обеспечивать наиболее эффективный процесс и снизить накладные расходы, связанные с внедрением. Внимание! Все процедуры, указанные в этом руководстве, необходимо выполнять на клиентском компьютере под управлением Windows Vista, который подключен к домену с Active Directory. Кроме того, пользователь, выполняющий эти процедуры, должен иметь привилегии администратора домена. При использовании операционных систем Microsoft Windows® XP или Windows Server® 2003 параметры безопасности, относящиеся к Windows Vista, не будут отображаться в консоли управления групповыми политиками. Чтобы внедрить схему безопасности, необходимо выполнить три основные задачи: 1. создать среду EC; 2. использовать консоль управления групповыми политиками для связи политики VSG EC Domain Policy с доменом; 3. использовать консоль управления групповыми политиками для проверки результата. Проверка схемы в лабораторной среде Объекты групповой политики для данного руководства были тщательно протестированы. Тем не менее важно выполнить собственное тестирование в существующей среде. Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания рекомендуемых объектов групповой политики и структуры подразделений, а затем автоматически связать объекты групповой политики с подразделениями. Задача 1: создание среды EC Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает установщик Microsoft Windows (MSI-файл). Примечание. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере. Чтобы создать объекты групповой политики и связать их с соответствующими подразделениями в среде: 1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики. 2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide. 3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects. 4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена. Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД. 5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise / LAB и нажмите клавишу ВВОД. 6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да). Примечание. Это действие может занять несколько минут. 7. В окне с сообщением The Enterprise Lab Environment is created (Создана лабораторная среда Enterprise) нажмите кнопку OK. 8. В окне с сообщением Make sure to link the Enterprise Domain GPO to your domain (Свяжите объект групповой политики домена Enterprise с доменом) нажмите кнопку OK и выполните следующую задачу для связи политики VSG EC Domain Policy. Примечание. Групповая политика уровня домена включает параметры, которые применяются ко всем компьютерам и пользователям в этом домене. Важно уметь определять необходимость связи объекта групповой политики домена, так как он применяется ко всем пользователям и компьютерам. По этой причине сценарий GPOAccelerator.wsf не выполняет автоматическую связь объекта групповой политики домена с доменом. Задача 2: использование консоли управления групповыми политиками для связи политики VSG EC Domain Policy с доменом Теперь можно выполнить связь объекта групповой политики домена с доменом. Ниже приведены инструкции по использованию консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для связи политики VSG EC Domain Policy с доменом. Чтобы связать политику VSG EC Domain Policy: 1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить. (Или нажмите клавишу с эмблемой Windows + R.) 2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК. 3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики). 4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK. 5. В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку Move link to top (Переместить ссылку наверх). Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista. Задача 3: использование консоли управления групповыми политиками для проверки результата Консоль управления групповыми политиками можно использовать для проверки результатов выполнения сценария. Ниже описана процедура использования консоли управления групповыми политиками на клиентском Развертывание схемы в рабочей среде Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики для среды EC. После этого можно связать объекты групповой политики с соответствующими подразделениями в существующей структуре. В крупных доменах с большим количеством подразделений необходимо продумать использование существующей структуры подразделений для развертывания объектов групповой политики. По возможности необходимо разделять подразделения компьютеров и пользователей. Кроме того, требуются отдельные подразделения для настольных и переносных компьютеров. Если такая структура невозможна в существующей среде, вероятно, потребуется изменить объекты групповой политики. Чтобы определить необходимые изменения, используйте сведения о параметрах в приложении A «Параметры групповой политики, связанные с безопасностью». Примечание. Как указано в предыдущем разделе, можно использовать сценарий GPOAccelerator.wsf с параметром /LAB в тестовой среде для создания образца структуры подразделений. Тем не менее при гибкой структуре подразделений можно также использовать этот параметр в рабочей среде, чтобы создать базовую структуру подразделений и автоматически связать объекты групповой политики. После этого можно изменить структуру подразделений вручную в соответствии с требованиями среды. Задача 1: создание объектов групповой политики Объекты групповой политики EC, описанные в этом руководстве, создаются с помощью сценария GPOAccelerator.wsf. Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide \GPOAccelerator Tool, которую создает MSI-файл установщика Microsoft Windows. Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере. Чтобы создать объекты групповой политики в производственной среде: 1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики. 2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide. 3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects. 4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена. Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД. 5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise и нажмите клавишу ВВОД. 6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да). Примечание. Это действие может занять несколько минут. 7. В окне с сообщением The SSLF GPOs are created (Объекты групповой политики Enterprise созданы) нажмите кнопку OK. 8. В окне с сообщением Make sure to link the Enterprise GPOs to the appropriate OUs (Свяжите объекты групповой политики Enterprise с соответствующими подразделениями) нажмите кнопку OK. Задача 2: использование консоли управления групповыми политиками для проверки результата. Можно использовать консоль управления групповыми политиками, чтобы убедиться в том, что сценарий успешно создал все объекты групповой политики. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики, которые создает сценарий GPOAccelerator.wsf. Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf: 1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить. 2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК. 3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен. 4. Разверните узел Group Policy Objects (Объекты групповой политики) и убедитесь в том, что четыре созданных объекта групповой политики VSG EC соответствуют объектам на следующем рисунке. политиками для связи каждого объекта групповой политики с соответствующим подразделением. Последняя задача в процессе описывает, как это сделать. Задача 3: использование консоли управления групповыми политиками для связи объектов групповой политики с подразделениями Следующая процедура описывает, как использовать консоль управления групповыми политиками на клиентском компьютере под управлением Windows Vista для выполнения этой задачи. Чтобы связать объекты групповой политики в производственной среде: 1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить. 2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК. 3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики). 4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK. 5. В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку Move link to top (Переместить ссылку наверх). Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista Security Guide. 6. Щелкните правой кнопкой мыши узел Windows Vista Users OU (Подразделение пользователей Windows Vista) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики). 7. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Users Policy (Политика пользователей VSG EC) и нажмите кнопку OK. 8. Щелкните правой кнопкой мыши узел Desktop OU (Подразделение настольных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики). 9. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Desktop Policy (Политика настольных компьютеров VSG EC) и нажмите кнопку OK. 10. Щелкните правой кнопкой мыши узел Laptop OU (Подразделение переносных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики). 11. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Laptop Policy (Политика переносных компьютеров VSG EC) и нажмите кнопку OK. 12. Повторите эти действия для всех других созданных подразделений пользователей или компьютеров, чтобы связать их с соответствующими объектами групповой политики. Примечание. Можно также перетащить объект групповой политики из узла Group Policy Objects (Объекты групповой политики) в подразделение. Тем не менее операция перетаскивания поддерживается только для объектов в том же домене. Чтобы подтвердить связи объектов групповой политики с помощью консоли управления групповыми политиками: • Разверните узел Group Policy Objects (Объекты групповой политики) и выберите объект групповой политики. В области сведений откройте вкладку Scope (Область) и просмотрите сведения в столбцах Link Enabled (Связь включена) и Path (Путь). – Или – • Выберите подразделение и затем в области сведений откройте вкладку Linked Group Policy Objects (Связанные объекты групповой политики) и просмотрите сведения в столбцах Link Enabled (Связь включена) и GPO (Объект групповой политики). Примечание. Консоль управления групповыми политиками можно использовать для отмены связи объектов групповой политики или их удаления. После этого можно удалить ненужные подразделения с помощью консоли управления групповыми политиками или консоли «Active Directory – пользователи и компьютеры». Чтобы полностью отменить все изменения, внесенные сценарием GPOAccelerator.wsf, необходимо вручную удалить файлы EC-VSGAuditPolicy.cmd, EC-ApplyAuditPolicy.cmd и EC- AuditPolicy.txt из общей папки NETLOGON одного из контроллеров домена. Дополнительные сведения о том, как полностью отменить внедрение политики аудита, см. в разделе «Политика аудита» приложения A «Параметры групповой политики, связанные с безопасностью». Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство «Active Directory – пользователи и компьютеры», чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте По этой причине необходимо расширить эти средства, чтобы просматривать параметры безопасности и при необходимости редактировать их. Для этого сценарий GPOAccelerator.wsf автоматически обновляет компьютер при создании объектов групповой политики. Чтобы администрировать объекты групповой политики руководства по безопасности Windows Vista с другого компьютера под управлением Windows Vista, используйте следующую процедуру для обновления SCE на этом компьютере. Чтобы изменить SCE для вывода параметров MSS 1. Убедитесь в том, что выполнены указанные ниже условия. • Компьютер присоединен к домену с Active Directory, в котором созданы объекты групповой политики. • Установлен каталог Windows Vista Security Guide\GPOAccelerator Tool. Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в этой процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере. 2. Войдите на компьютер с учетной записью администратора. 3. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide. 4. Откройте папку GPOAccelerator Tool\Security Group Policy Objects. 5. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора. Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД. 6. В командной строке введите cscript GPOAccelerator.wsf /ConfigSCE и нажмите клавишу ВВОД. 7. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да). 8. В окне с сообщением TheSecurity Configuration Editor is updated (Редактор конфигураций безопасности обновлен) нажмите кнопку OK. Внимание! Это сценарий только изменяет SCE так, чтобы отображались параметры MSS, он не создает объекты групповой политики или подразделения. Следующая процедура удаляет дополнительные параметры безопасности MSS, а затем устанавливает для параметров средства SCE значения по умолчанию для Windows Vista. Чтобы присвоить параметрам средства SCE значения по умолчанию для Windows Vista: 1. Войдите на компьютер с учетной записью администратора. 2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide. 3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects. 4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора. Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД. 5. В командной строке введите cscript GPOAccelerator.wsf /ResetSCE и нажмите клавишу ВВОД. 6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да). Примечание. При выполнении этой процедуры параметрам редактора конфигураций безопасности назначаются значения по умолчанию для Windows Vista. Все параметры, добавленные в редактор конфигураций безопасности, будут удалены. Это повлияет только на отображение этих параметров в редакторе конфигураций безопасности. Настроенные параметры групповых политик не удаляются. 7. В окне с сообщением TheSecurity Configuration Editor is updated (Редактор конфигураций безопасности обновлен) нажмите кнопку OK. Работа с шаблонами безопасности Чтобы использовать шаблоны безопасности, необходимо сначала расширить SCE таким образом, чтобы настраиваемые параметры безопасности MSS отображались в пользовательском интерфейсе. Дополнительные сведения см. в предыдущем разделе данной главы «Консоль управления групповыми политиками и расширения SCE». Если шаблоны можно просматривать, для их импорта в созданные объекты групповой политики при необходимости можно использовать следующую процедуру. Чтобы импортировать шаблон безопасности в объект групповой политики: 1. Откройте редактор объектов групповой политики для объекта групповой политики, который требуется изменить. Для этого в консоли управления групповыми политиками щелкните правой кнопкой мыши объект групповой политики и выберите пункт Изменить. 2. В редакторе объектов групповой политики перейдете к папке Конфигурация Windows. 3. Разверните папку Конфигурация Windows и выберите пункт Параметры безопасности. 4. Щелкните правой кнопкой мыши папку Параметры безопасности и выберите пункт Импортировать политику. 5. Откройте папку Security Templates в папке Windows Vista Security Guide. 6. Выберите шаблон безопасности, который необходимо импортировать, и нажмите кнопку Открыть. После выполнения последнего действия этой процедуры параметры из файла копируются в объект групповой политики. Можно также использовать шаблоны безопасности, которые распространяются с руководством, чтобы изменить локальную политику безопасности на автономных клиентских компьютерах под управлением Windows Vista. Сценарий GPOAccelerator.wsf упрощает применение шаблонов. Чтобы применить шаблоны безопасности для создания локальной групповой политики на автономных клиентских компьютерах под управлением Windows Vista: 1. Войдите в систему компьютера под управлением Windows Vista с учетной записью администратора. 2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide. 3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects. 4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора. Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите кнопку ВВОД. 5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise / Desktop или cscript GPOAccelerator.wsf /Enterprise /Laptop и нажмите клавишу ВВОД. Эта процедура изменяет параметры локальной политики безопасности, используя значения в шаблонах безопасности для среды EC. Чтобы восстановить значения параметров по умолчанию для локальной групповой политики в Windows Vista: 1. Войдите в систему клиентского компьютера под управлением Windows Vista с учетной записью администратора. 2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide. 3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects. 4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора. Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите кнопку ВВОД. 5. В командной строке введите cscript GPOAccelerator.wsf /Restore и нажмите клавишу ВВОД. Папка, содержащая INF-файлы шаблонов безопасности, которые можно использовать для внедрения некоторых параметров безопасности, рекомендуемых в этом руководстве. Примечание. Корпорация Майкрософт рекомендует использовать сценарий, распространяемый с этим руководством, для создания рекомендуемых объектов групповой политики. Тем не менее предоставляемые шаблоны безопасности могут помочь защитить автономные компьютеры. Security Templates\EC-VSG Desktop.inf Шаблон безопасности Enterprise Desktop Security Templates\EC-VSG Domain.inf Шаблон безопасности Enterprise Domain Security Templates\EC-VSG Laptop.inf Контроль учетных записей Система Windows Vista включает в себя функцию контроля учетных записей (UAC), которая предоставляет способ разделить привилегии и задачи обычного пользователя и администратора. Функция контроля учетных записей повышает уровень безопасности, улучшая работу пользователя при использовании учетной записи обычного пользователя. Теперь пользователи могут выполнять больше задач и пользоваться повышенной совместимостью приложений без необходимости входить в систему с привилегиями администратора. Это помогает снизить влияние вредоносных программ, а также предотвратить установку несанкционированного программного обеспечения и внесение в систему несанкционированных изменений. Примечание. В предыдущих версиях операционной системы Windows существовала группа «Опытные пользователи», членам которой было разрешено выполнять системные задачи, такие как установка приложений, не имея разрешений администратора. В функции контроля учетных записей группа «Опытные пользователи» не предусмотрена, а разрешения, предоставленные этой группе в системе Windows Vista, удалены. Тем не менее, группу «Опытные пользователи» все еще можно использовать в целях обратной совместимости с другими версиями операционной системы. Для работы с группой «Опытные пользователи» в системе Windows Vista необходимо применить новый шаблон безопасности для изменения разрешений по умолчанию на системные папки и реестр, чтобы предоставить группе «Опытные пользователи» разрешения, эквивалентные разрешениям для этой группы в Windows XP. В системе Windows Vista обычные пользователи могут теперь выполнять множество задач, которые ранее требовали прав администратора, но не влияли на безопасность отрицательным образом. Примеры задач, которые теперь могут выполнять обычные пользователи: изменение параметров часового пояса, подключение к защищенной беспроводной сети и установка одобренных устройств и элементов управления Microsoft ActiveX®. Более того, режим одобрения администратором в технологии контроля учетных записей также позволяет защитить компьютеры с операционной системой Windows Vista от некоторых типов вредоносных программ. По умолчанию администраторы могут запускать большинство программ и задач с привилегиями обычного пользователя. Когда пользователям требуется выполнить административные задачи, такие как установка нового программного обеспечения или изменение определенных системных параметров, система запрашивает их согласие на выполнение подобных задач. Тем не менее, этот режим не обеспечивает такой же уровень защиты, как использование учетной записи обычного пользователя и не гарантирует, что вредоносная программа, уже находящаяся на клиентском компьютере, не сможет замаскироваться под программное обеспечение, требующее повышенных привилегий. Этот режим также не гарантирует, что программное обеспечение с повышенными привилегиями само по себе не начнет выполнять вредоносные действия после повышения привилегий. Чтобы воспользоваться преимуществами этой технологии, необходимо настроить новые параметры групповой политики в системе Windows Vista для управления поведением функции контроля учетных записей. Параметры групповой политики, описанные в предыдущей главе, настраиваются для обеспечения предписанного поведения функции контроля учетных записей. Тем не менее, корпорация Майкрософт рекомендует пересмотреть предписанные значения для этих параметров, описанные в приложении А «Параметры групповой политики, связанные с безопасностью», чтобы убедиться в том, что они оптимально настроены для удовлетворения потребностей среды. администратором) можно присвоить значение Elevate without prompting (Повышать привилегии без запроса). Тем не менее, изменение этой политики может повысить риск для среды, и центр обеспечения безопасности Windows сообщит об этом. • Пользователь с привилегиями администратора может отключить режим одобрения администратором, отключить вывод функцией контроля учетных записей запроса на ввод учетных данных для установки приложений и изменить поведение запроса на повышение привилегий. По этой причине важно контролировать количество пользователей, имеющих доступ к привилегиям администратора на компьютерах в организации. • Корпорация Майкрософт рекомендует назначить две учетных записи для административного персонала. Для повседневных задач эти сотрудники должны использовать учетную запись обычного пользователя. При необходимости выполнить специфические задачи администрирования этим сотрудникам следует войти в систему с учетной записью уровня администратора, выполнить задачи и выйти из системы, чтобы вернуться к учетной записи обычного пользователя. • Параметры групповой политики в этом руководстве запрещают обычному пользователю повышать привилегии. Такой подход является рекомендуемым, поскольку гарантирует, что задачи администрирования могут выполняться только с учетными записями, которые специально были настроены на уровень администратора. • Если приложение неправильно определено как приложение администратора или пользователя (например, с помощью маркера «администратор» или «обычный»), система Windows Vista может запустить приложение в неверном контексте безопасности. Процедура снижения рисков Начните процесс снижения рисков с изучения всех возможностей функции контроля учетных записей. Дополнительные сведения см. в Пошаговом руководстве по функции контроля учетных записей в системе Windows Vista и в руководстве Приступая к работе с функцией контроля учетных записей в системе Windows Vista. Использование процедуры снижения рисков: 1. Определите количество пользователей, способных выполнять задачи администрирования. 2. Определите, как часто необходимо выполнять задачи администрирования. 3. Определите, следует ли администраторам выполнять задачи администрирования путем простого согласия в ответ на запрос функции контроля учетных записей или для выполнения задач администрирования им необходимо будет вводить определенные учетные данные. 4. Определите, следует ли обычным пользователям иметь возможность повышения привилегий для выполнения задач администрирования. Параметры политики, описанные в данном руководстве, блокируют возможность повышения своих привилегий обычными пользователями. 5. Определите, каким образом будет проходить процесс установки приложений. 6. Настройте параметры групповой политики контроля учетных записей в соответствии со своими требованиями. Использование групповой политики, чтобы снизить риски для функции контроля учетных записей: Параметры контроля учетных записей можно настроить в следующем местоположении редактора объектов групповой политики: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Защитник Windows. Защитник Windows – это программа, входящая в систему Windows Vista, также доступная для загрузки в системе Windows XP. Она позволяет защитить компьютеры от всплывающих окон, низкой производительности и угроз безопасности, вызванных программами-шпионами и иным нежелательным программным обеспечением. Защитник Windows осуществляет наблюдение в режиме реального времени за важными контрольными точками операционной системы Windows Vista, которые являются целью подобного нежелательного программного обеспечения, например, за папкой «Автозагрузка» и записями автозагрузки в реестре. Защитник Windows позволяет обнаружить и удалить нежелательные приложения, такие как программы для показа рекламы, клавиатурные шпионы и программы-шпионы. Если программа пытается изменить защищенную область в системе Windows Vista, Защитник Windows предложит пользователю либо принять, либо отклонить изменение, чтобы защититься от установки программы-шпиона. Подобное наблюдение повышает надежность компьютеров с операционной системой Windows Vista и обеспечивает дополнительную защиту конфиденциальности пользователя. Защитник Windows включен по умолчанию в системе Windows Vista, и хотя данная технология обеспечивает улучшенную защиту от программ-шпионов, ее также можно использовать совместно с продуктами сторонних производителей для защиты компьютера. Для обеспечения лучшей защиты от вредоносного программного обеспечения корпорация Майкрософт • Личные данные сотрудников, которые могут попасть в руки неавторизованных пользователей. • Использование уязвимости компьютера злоумышленником. • Потеря производительности из-за влияния программ-шпионов на стабильность работы компьютера. • Увеличение стоимости технической поддержки вследствие заражения программами-шпионами. • Потенциальный риск шантажа компании в случае раскрытия конфиденциальных данных в результате заражения. Снижение рисков Защитник Windows разработан для снижения рисков, связанных с программами-шпионами. Постоянные обновления данной технологии выполняются автоматически через Центр обновления Windows или службы Microsoft Windows Server Update Services (WSUS). В дополнение к защите от программ-шпионов, обеспечиваемой Защитником Windows, корпорация Майкрософт настоятельно рекомендует установить антивирусный пакет, позволяющий улучшить защиту, обнаруживая помимо программ-шпионов также вирусы, программы типа «Троянский конь» и вирусы-черви. Например, такие продукты как Microsoft Forefront Client Security, обеспечивают универсальную защиту от вредоносных программ для настольных компьютеров, переносных компьютеров и серверных операционных систем организации. Условия для снижения рисков Защитник Windows включен по умолчанию в системе Windows Vista. Эта технология разработана с учетом потребления минимума системных ресурсов для работы на компьютерах, аппаратные возможности которых ниже среднего уровня. Тем не менее, в процессе развертывания системы Windows Vista организациям следует принять во внимание следующие рекомендации. • Протестируйте взаимодействие со всеми антивирусными и антишпионскими сканерами сторонних производителей, которые предполагается использовать в организации. • Создайте систему управления развертыванием обновлений с определением подписей в случае, если в организации имеется большое количество компьютеров. • Дайте пользователям представление о наиболее распространенных способах, используемых программами-шпионами, для того чтобы обманным путем заставить запустить вредоносную программу. • Запланируйте время сканирования, соответствующее потребностям организации. Значение по умолчанию – ежедневно, в 2:00. Если невозможно выполнить сканирование компьютера в это время, пользователь получит уведомление и запрос на запуск сканирования. Если сканирование не выполнялось за последние два дня, оно начнется приблизительно через 10 минут после следующего запуска компьютера. Это сканирование выполняется с низким приоритетом и практически не оказывает влияния на клиентскую систему. Благодаря улучшению производительности операций ввода-вывода в системе Windows Vista, это сканирование с низким приоритетом значительно меньше влияет на систему, чем в системе Windows XP. • Защитник Windows не является антишпионским приложением для крупных организаций. В нем отсутствуют механизмы централизованного создания отчетов, наблюдения и управления бизнес-класса. Если требуются дополнительные возможности создания отчетов или контроля, необходимо изучить другие продукты, такие как Microsoft Forefront Client Security. • Определите политику своей организации в отношении отправки отчетов о возможных программах-шпионах в интернет-сообщество Microsoft SpyNet. Процедура снижения рисков Поскольку Защитник Windows является компонентом системы по умолчанию, для его включения не требуется никаких дополнительных действий. Тем не менее, корпорация Майкрософт рекомендует выполнить ряд дополнительных действий, гарантирующих безопасность организации. Использование процедуры снижения рисков 1. Изучите возможности системы Windows Vista и Защитника Windows, связанные с защитой от программ-шпионов. 2. Изучите параметры групповой политики для Защитника Windows. 3. Проанализируйте необходимость дополнительной защиты организации от вирусов. 4. Составьте план оптимального процесса обновления для компьютеров в организации. Возможно, что для переносных компьютеров потребуется иная конфигурация обновлений, чем для настольных компьютеров. • Переносные компьютеры, которые могут подвергнуться сетевым атакам при нахождении за пределами сетевого брандмауэра организации. • Компьютеры во внутренней сети, которые могут подвергнуться сетевой атаке с уязвимого компьютера, подключенного напрямую к внутренней сети. • Потенциальный риск шантажа организации в случае успешного использования злоумышленником внутренних компьютеров. Снижение рисков Брандмауэр в системе Windows Vista обеспечивает защиту клиентского компьютера с момента установки операционной системы. Брандмауэр блокирует большую часть нежелательного входящего трафика, если администратором или параметрами групповой политики не были внесены изменения. Брандмауэр Windows также включает фильтрацию исходящего сетевого трафика, и изначально это правило установлено на значение «Разрешить» для всего исходящего сетевого трафика. Параметры групповой политики можно использовать для настройки этих правил в брандмауэре Windows Vista, чтобы гарантировать, что параметры безопасности клиента останутся постоянными. Условия для снижения рисков Имеется ряд вопросов, которые следует учесть, если планируется использовать брандмауэр в системе Windows Vista. • Протестируйте взаимодействие с приложениями, которые необходимо использовать на компьютерах в организации. Для каждого приложения необходимо составить список требований к сетевым портам, чтобы гарантировать, что в брандмауэре Windows будут открыты только необходимые порты. • Брандмауэр Windows XP поддерживает доменный и стандартный профили. Профиль домена активен, если клиент подключен к сети, которая содержит контроллеры домена для домена, в котором находится учетная запись компьютера. Это позволяет создавать правила в соответствии с требованиями внутренней сети организации. Брандмауэр Windows Vista включает частный и общий профили, обеспечивающие более точное управление защитой клиентского компьютера при работе пользователя за пределами сетевой защиты организации. • Оцените возможности ведения журнала брандмауэра Windows для определения возможности его интеграции в существующие решения предприятия по созданию отчетов и наблюдению. • По умолчанию брандмауэр Windows блокирует удаленный контроль или удаленное управление компьютерами с операционной системой Windows Vista. Корпорация Майкрософт создала ряд правил для брандмауэра Windows, предназначенных специально для выполнения подобных удаленных задач. Для того чтобы компьютеры организации поддерживали выполнение подобных задач, необходимо включить соответствующие правила для каждого профиля, в котором требуется выполнение этих задач. Например, можно включить правило удаленного рабочего стола для профиля домена, чтобы позволить своей справочной службе поддерживать пользователей в сети организации, но отключить его для частного и общего профилей, чтобы сократить возможности для атаки на компьютеры, когда они находятся за пределами сети организации. Снижение рисков с помощью брандмауэра Windows в режиме повышенной безопасности Система Windows Vista включает новые параметры групповой политики и пользовательский интерфейс управления, которые помогают настраивать новые функции в брандмауэре Windows Vista. Расширенные параметры безопасности для системы Windows Vista не применяются к клиентскому компьютеру с операционной системой Windows XP. Корпорация Майкрософт рекомендует тщательно изучить эти новые возможности, чтобы определить, смогут ли они обеспечить лучшую безопасность среды. Если планируется изменить действия брандмауэра Windows Vista, выполняемые по умолчанию, корпорация Майкрософт рекомендует использовать для управления клиентскими компьютерами с операционной системой Windows Vista параметры групповой политики брандмауэра Windows в режиме повышенной безопасности. Новые параметры групповой политики и оснастку управления, доступные для брандмауэра Windows, можно изучить и настроить в следующем местоположении редактора объектов групповой политики: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности Брандмауэр Windows в режиме повышенной безопасности поддерживает следующие профили среды. • Профиль домена. Этот профиль применяется, если компьютер подключен к сети и проходит проверку подлинности на контроллере домена, которому принадлежит компьютер. • Общий профиль. Данный профиль является типом сетевого местоположения по умолчанию в случае, если компьютер не подключен к безопасности обозревателя Internet Explorer и функции управления учетными записями пользователей. Другая новая категория в системе Windows Vista – это «Защита от вредоносных программ», которая включает наблюдение за антивирусным и антишпионским программным обеспечением. Помимо защиты, обеспечиваемой системой Windows Vista по умолчанию, центр обеспечения безопасности Windows позволяет осуществлять наблюдение за решениями различных производителей по обеспечению безопасности для брандмауэра Windows, а также антивирусным и антишпионским программным обеспечением, запущенном на клиентском компьютере, и отображать, какие из решений включены и обновлены. Для клиентских компьютеров с операционной системой Windows Vista центр обеспечения безопасности Windows предоставляет прямые ссылки на ПО поставщиков, которое можно использовать для устранения возникающих проблем с компьютером. Например, если антивирусное или антишпионское решение стороннего производителя отключено или устарело, в центре обеспечения безопасности Windows имеется кнопка, нажав на которую, можно запустить на компьютере решение производителя для устранения проблемы. Кроме того, центр обеспечения безопасности Windows содержит ссылки на веб-узел производителя, которые можно использовать для запуска или обновления подписки или получения обновлений. Осведомленность об отключении или устаревании программ для обеспечения безопасности и возможность легко загрузить обновления может означать разницу между максимально возможной защитой и уязвимостью для вредоносных программ. Центр обеспечения безопасности Windows запускается по умолчанию на компьютерах с операционной системой Windows Vista. Параметры групповой политики, описанные в предыдущей главе, не содержат параметров, изменяющих поведение центра обеспечения безопасности Windows по умолчанию. Тем не менее, администраторы могут использовать групповую политику для включения или отключения клиентского пользовательского интерфейса центра обеспечения безопасности Windows на компьютерах, подключенных к домену. Доступные параметры групповой политики центра обеспечения безопасности Windows можно просмотреть и настроить в следующем местоположении редактора объектов групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обеспечения безопасности Процедура снижения рисков Для эффективной работы средства удаления вредоносных программ используйте следующую процедуру. Использование процедуры снижения рисков: 1. Изучите возможности средства удаления вредоносных программ. 2. Оцените необходимость использования средства в вашей среде. 3. Определите наиболее подходящий способ развертывания средства в вашей организации. 4. Выделите компьютеры в организации, которые получат преимущества от защиты, предлагаемой данным средством. 5. Проведите развертывание средства выбранным способом. Политики ограниченного использования программ Политики ограниченного использования программ дают возможность администраторам определять приложения и контролировать возможность их запуска на локальных компьютерах. Эта функция способствует защите компьютеров под управлением систем Windows Vista и Windows XP Professional от известных конфликтов, а также помогает обезопасить их от вредоносного программного обеспечения, например, от вирусов и программ типа «Троянский конь». Политики ограниченного использования программ полностью интегрируются со службой каталогов Active Directory и групповой политикой. Эту функцию также можно использовать и на автономных компьютерах. С помощью политик ограниченного использования программ можно выполнять следующие действия: • контролировать, какое программное обеспечение может быть запущено на клиентских компьютерах в конкретной среде; • ограничивать доступ к определенным файлам на многопользовательских компьютерах; • решать, кто именно может пополнять список заслуживающих доверия издателей на клиентских компьютерах; • определять, действуют ли политики для всех пользователей клиентских компьютеров или только для некоторых из них; • предотвратить запуск EXE-файлов на локальных компьютерах на основании политик, установленных на уровне компьютера, подразделения организации (OU), узла и домена. Важно. Необходимо тщательно проверить все параметры политик, упомянутые в данном руководстве, перед развертыванием их в производственной среде. Особое внимание этому нужно уделить при настройке параметров политик ограниченного использования программ. Ошибки, допущенные при планировании или внедрении этой функции, могут привести к значительному ухудшению качества работы пользователей. Защищенный режим обозревателя Internet Explorer в ОС Windows Vista обеспечивает дополнительную защиту и более безопасную работу в Интернете. Кроме того, он позволяет предотвратить захват обозревателя злоумышленниками и возможность использования повышенных прав для запуска кода. Благодаря функции защищенного режима уменьшается количество уязвимостей в предыдущих версиях программного обеспечения за счет невозможности автоматической установки вредоносного кода. В защищенном режиме обозревателя в системе Windows Vista используются механизмы с более высоким уровнем целостности, которые ограничивают доступ к процессам, файлам и разделам реестра. Прикладной программный интерфейс защищенного режима позволяет разработчикам программного обеспечения выпускать такие расширения и надстройки, которые могут взаимодействовать с файловой системой и реестром при работе обозревателя в защищенном режиме. В защищенном режиме обозреватель Internet Explorer 7 работает с ограниченными разрешениями, чтобы не допустить внесение изменений в файлы или параметры пользователя или системы без явного согласия пользователя. В новой архитектуре обозревателя также представлен процесс «брокер», позволяющий существующим приложениям выходить из защищенного режима более безопасным способом. Благодаря этому загружаемые данные можно сохранять только в каталогах обозревателя с ограниченными правами, например в папке временных файлов Интернета. Защищенный режим по умолчанию доступен в обозревателе Internet Explorer 7 для всех зон безопасности, кроме зоны надежных узлов. Однако можно отключить этот режим, что понизит уровень общей безопасности. По этой причине параметры групповой политики, описанные в предыдущей главе, включают защищенный режим обозревателя во всех зонах Интернета, за исключением зоны надежных узлов, и предотвращают его отключение пользователями. Посмотреть и изменить параметры групповой политики для защищенного режима обозревателя Internet Explorer 7 можно в следующем разделе в редакторе объектов групповой политики. Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем\Страница безопасности\< Зона> Функция ActiveX Opt-in Обозреватель Internet Explorer 7 в системе Windows Vista предлагает новый мощный механизм обеспечения безопасности для платформы ActiveX, улучшающий защиту пользовательских данных и компьютерных систем. Функция ActiveX Opt-in автоматически отключает все элементы управления, которые пользователь не разрешил явным образом. Это снижает опасность неправильного использования предварительно установленных элементов управления. В системе Windows Vista панель информации запрашивает согласие пользователя перед использованием элементов управления ActiveX, которые были предварительно установлены на компьютере, но еще не включались. Этот механизм оповещения позволяет пользователю разрешать или запрещать применение каждого элемента, что еще более уменьшает область, доступную для атак. Злоумышленники не могут использовать веб-узлы для автоматического запуска атак с помощью элементов ActiveX, не предназначенных для использования в Интернете. Защита от атак с применением междоменных сценариев Новые барьеры для междоменных сценариев ограничивают возможности вредоносных веб-узлов использовать уязвимости других узлов. Так, до появления защиты от атак с применением междоменных сценариев во время посещения вредоносного веб-узла могло открыться новое окно обозревателя с надежной веб-страницей (например, с веб-узла банка), на которой пользователя просили ввести данные о счете. Эти данные могли быть извлечены с помощью сценария и впоследствии поступить в распоряжение злоумышленника. С обозревателем Internet Explorer 7 этого не произойдет благодаря защите от атак с применением междоменных сценариев. Строка состояния системы безопасности Новая строка состояния системы безопасности в обозревателе Internet Explorer 7 позволяет быстро отличать подлинные веб-узлы от подозрительных и вредоносных. Чтобы предоставить эти сведения, строка состояния системы безопасности использует расширенные возможности доступа к сведениям о цифровом сертификате, позволяющим определить безопасные веб-узлы (HTTPS). Строка состояния системы безопасности предоставляет более понятные и ясные визуальные сведения, позволяющие определить безопасность и подлинность веб-узлов. Эта технология также поддерживает сведения о сертификатах высокой надежности, чтобы точно определять безопасные веб- узлы (HTTPS), на которых применяются более строгие меры для подтверждения подлинности. Аппаратная защита Windows Vista Технология NX (No Execute) Вредоносное ПО может завладеть пользовательской машиной с использованием переполнения буфера или путем исполнения кода в областях памяти, предназначенной для хранения данных. SDL и другие аналогичные инструменты способны предотвратить возможность переполнения буфера еще на стадии проектирования или программирования, однако существует еще один путь борьбы с переполнением – использование технологий NX (No Execute) на аппаратном уровне. NX позволяет программному обеспечению помечать сегменты памяти, в которых будут хранится только данные, и процессор не позволит приложениям и службам исполнять произвольный код в этих сегментах. Множество современных процессоров поддерживают ту или иную форму NX, и Microsoft, в свою очередь, начиная с Windows XP SP2, включила поддержку процессоров с NX-технологией посредством инструмента Data Execution Prevention. Windows Vista обеспечивает дополнительную поддержку NX, позволяя производителям ПО встраивать защиту NX в свои программные продукты. Независимые продавцы ПО могут помечать свои продукты как NX-совместимые, что позволит повысить безопасность при загрузке программы. Данный подход позволяет значительно увеличить количество программных продуктов, поддерживающих защиту NX. Особенно это актуально для 32-битных платформ, поскольку в них стандартная политика совместимости для NX сконфигурирована только для защиты компонентов ОС. На 64-битных версиях Windows защита NX – стандарт. Случайное расположение адресного пространства (Address Space Layout Randomization (ASLR)) – это еще один вид защиты в ОС Windows Vista, который затрудняет использование системных функций вредоносным ПО. Каждый раз, когда компьютер перезагружается, ASLR в случайном порядке назначает 1 из 256 возможных вариантов адреса для расположения ключевых системных DLL и EXE файлов. Это осложняет эксплоиту задачу поиска нужных файлов, а, следовательно, противодействует выполнению его функций. ASLR лучше использовать в связке с Data Execution Prevention, потому что в некоторых случаях компонент Data Execution Prevention можно обойти путем построения эксплоита, который сам по себе не выполняется (он вызывает системные функции для атаки). Windows Vista также содержит в себе ряд улучшений по сравнению с Windows XP SP2, связанный с определением переполнения «кучи» (области памяти, выделяемой программе для динамически размещаемых структур данных). При вмешательстве в буфер «кучи» к ОС поступает сигнал, и она, в свою очередь, может немедленно завершить скомпрометированную программу, тем самым сократив ущерб от вмешательства. Эта технология используется для защиты компонентов ОС, включая встроенные системные службы, хотя может использоваться и сторонними производителями ПО через специальный одиночный API-вызов. Защита ядра для x64 64-битные версии Windows Vista поддерживают технологию защиты ядра (иногда используется термин PatchGuard), которая запрещает неавторизованному ПО изменять ядро Windows. Для того чтобы разобраться в сути данной технологии, необходимо понять, что означает термин kernel patching (изменение ядра). Kernel patching – это техника, использующая внутренние системные вызовы, а также различные неподдерживаемые ОС механизмы, с целью изменения или замены кода, а, возможно, и критических структур данных ядра Windows на другой «неизвестный» код или данные, которые могут быть и вредоносными. Под понятием «неизвестный» имеется в виду код, не авторизованный Microsoft как часть ядра Windows. Производители ПО иногда патчат ядро для своих целей, изменяя адрес функции-обработчика системного вызова (указатель функции) в таблице системных вызовов (system service table, SST), которая представляет собой массив из указателей функций, находящихся в памяти. Такая процедура изменения адреса называется хуком (hook). Когда выполняется любой системный вызов (например, NtCreateProcess), диспетчер системных вызовов по номеру вызова восстанавливает адрес функции-обработчика данного системного вызова. Соответственно, если поменять адрес функции- обработчика, на адрес начала «неизвестного» кода, диспетчер системных вызовов перейдет по этому адресу, и «неизвестный» код будет исполнен. Именно по этой причине модификация ядра запрещена в 64-битных версиях Windows Vista. Конкретнее запрещена модификация следующих компонентов ядра: – Таблицы системных вызовов (system service tables, SST) – Таблица прерываний (interrupt descriptor table (IDT)) – Таблица глобальных дескрипторов (global descriptor table (GDT)) – Изменение любой части ядра (работает только на AMD64-системах) При попытке изменения вышеописанных частей ядра операционная система генерирует bug check и завершает свою работу. Соответственно, для своей корректной работы приложения и драйверы не должны изменять структуру данных частей ядра. Со временем, список защищаемых компонентов ядра может быть увеличен. По заявлениям Microsoft, систему защиты ядра отключить нельзя. Защита ядра автоматически отключается лишь в случае работы в системе определенные места файловой системы, реестра или других системных ресурсов. Встроенные службы Windows имеют собственные профили, которые определяют необходимые права для каждой службы, правила доступа к системным ресурсам и сетевые порты, которые службам разрешено использовать. Если служба попытается отправить или получить данные с сетевого порта, который ей не разрешен для использования, межсетевой экран заблокирует эту попытку. Например, службе удаленного вызова процедур (Remote Procedure Call service) запрещено перемещать системные файлы, модифицировать реестр, вмешиваться в конфигурации других служб в системе (например, ей нельзя изменять конфигурацию и сигнатуры вирусов антивирусного ПО). Уменьшения сложности первоначального конфигурирования служб для пользователей и системных администраторов – еще одна задача компонента Windows Service Hardening. Каждая служба, которая входит в состав ОС Windows Vista, имеет сконфигурированный заранее профиль, который применяется автоматически в процессе установки Windows. Данный процесс не требует каких бы то ни было усилий со стороны пользователей или администраторов. Контроль пользовательских учетных записей (User Account Control) В предыдущих версиях Windows большинство пользовательских учетных записей являлось членом локальной группы «Администратор», тем самым предоставляя пользователям все системные привилегии и возможности, требуемые для установки и конфигурирования приложений, загрузки некоторых фоновых системных процессов и драйверов устройств, изменения конфигурации системы и выполнения базовых повседневных задач. Хотя этот подход и был удобен для пользователей, он делал компьютеры в сети более уязвимыми к вредоносному ПО, которое могло использовать системные привилегии для повреждения файлов, изменения конфигурации (например, отключение межсетевого экрана), кражи или изменения конфиденциальной информации. Кроме того, применение данного подхода повышало затраты на повседневное обслуживание компьютеров, потому что пользователь мог совершить несанкционированные или случайные изменения, которые, в свою очередь, могли нарушить работу сети и затруднить управление отдельными компьютерами. Хотя существовала возможность работы учетных записей пользователей Windows в конфигурации с ограниченными правами, она сильно сокращала продуктивность работы, потому что базовые задачи, такие как изменение системного времени, присоединение к безопасной беспроводной сети или установка драйвера принтера требовали административных привилегий. Для решения этой проблемы, Windows Vista содержит компонент User Account Control (UAC). Это новый подход, который разделяет все операции в системе на 2 категории: те, которые может выполнять пользователь со своими стандартными правами и те, которые требуют административных привилегий. Применение нового подхода сокращает плацдарм для атак на операционную систему, в то же время предоставляя обычным пользователям большинство функций, которые им требуются каждый день. UAC обладает двумя преимуществами: во-первых, он переопределяет список стандартных возможностей пользователя, путем включения в него множества базовых функций, которые не несут риска нарушения безопасности, хотя раньше требовали административных привилегий. К этим новым функциям можно отнести: – Изменение временной зоны – Настройку системы управления питанием – Добавление принтера и других устройств, при условии, что драйверы для них уже установлены в системе – Установку новых шрифтов – Изменение настроек экрана – Создание и настройка VPN-соединения – Установка WEP (Wired Equivalent privacy) для соединения с защищенной беспроводной сетью – Просмотр календаря и системного времени – Загрузка и установка обновлений, при условии использования UAC- совместимого инсталлятора. UAC также помогает контролировать доступ к ценной информации, находящейся в папке «Мои документы». Теперь, если пользователь не является создателем файла, он не сможет его ни прочесть, ни изменить, ни удалить, т.е., другими словами, доступ к файлам других пользователей закрыт. Когда обычные пользователи пытаются выполнить задачу, требующую административных привилегий (например, установка нового приложения или Отзывы пользователей применяются для точного определения числа всплывающих сообщений (подсказок), которые появятся в пост-бета2 версии Windows Vista, известной как кандидат №1 на широкомасштабный выпуск (Release Candidate №1). В этой версии Windows Vista их будет даже меньше, чем во второй бета-версии. Например, предполагается удалить сообщение для администраторов, когда они удаляют ярлыки на общем рабочем столе, а также сообщение, которое появляется, когда пользователь получает критичные обновления с Windows Update. Защита доступа к сети (Network Access Protection, NAP) NAP – это система, которая позволяет системным администраторам быть уверенным в том, что в сети находятся только «здоровые» машины. Под понятием «здоровые» подразумеваются машины со всеми необходимыми обновлениями ПО, антивирусных баз и т.д. Если компьютер, не соответствует требованиям, предъявляемым NAP, он объявляется «нездоровым», ему не разрешается доступ к сети, до тех пор, пока все требования NAP не будут выполнены. Защита от вредоносного кода и компьютерных атак Центр безопасности Windows (Windows Security Center, WSC) В 2004 году компания Microsoft включила в операционную систему Windows XP SP2 компонент WSC. Загружаясь как фоновый процесс, WSC в Windows XP постоянно проверял и показывал состояние трех наиболее важных аспектов безопасности: межсетевого экрана, антивирусного ПО, автоматических обновлений. Windows Vista также содержит WSC, однако, последний имеет ряд улучшений таких как отображение состояния антишпионского ПО, настроек защиты Internet Explorer и UAC. WSC может следить за состоянием защитного ПО третьих производителей, работающих на данном компьютере. В случае если защитное ПО выключено либо требует установки обновлений, WSC предупреждает пользователя об этом. Windows Defender Windows Defender – компонент который защищает компьютер от руткитов, кейлоггеров, шпионов, adware, bots и другого вредоносного ПО. (Windows Defender не защищает от червей и вирусов). Windows Defender содержит 9 агентов безопасности, которые постоянно наблюдают за теми критическими областями ОС, которые наиболее часто пытается изменить вредоносное ПО. К таким областям ОС относятся: – Автозагрузка. Агент безопасности постоянно наблюдает за списком программ, которым позволено загружаться при старте системы. Таким образом, реализуется защита от вредоносного ПО, которое пытается загрузиться вместе с системой. – Настройки безопасности системы. Агент безопасности постоянно проверяет настройки безопасности Windows. Не секрет, что некоторое вредоносное ПО старается изменить настройки безопасности с целью облегчения вредного воздействия на ОС. Агент безопасности этой области не позволит неавторизованному ПО изменить настройки безопасности. – Аддоны Internet Explorer. Агент безопасности следит за приложениями, которые загружаются вместе с браузером. Spyware и другое вредоносное ПО может маскироваться под аддоны Internet Explorer и загружаться без вашего ведома. Агент безопасности не позволит загрузиться такому виду вредоносного ПО. – Настройки Internet Explorer. Агент безопасности следит за настройками безопасности браузера, потому что вредоносное ПО может попытаться изменить их. – Загрузки Internet Explorer (Internet Explorer Downloads). Агент безопасности следит за файлами и приложениями, предназначенными для работы с IE (например ActiveX controls). Браузер может загрузить, установить и запустить данные файлы без вашего ведома. Вредоносное ПО может быть включено в такого рода файлы и загрузиться на компьютере-жертве, но агент безопасности защитит и от этой напасти. – Службы и драйверы. Агент безопасности данной области наблюдает за состоянием служб и драйверов во время их взаимодействия с ОС и приложениями. Поскольку службы и драйверы выполняют важнейшие функции, они имеют доступ к важным областям ОС. Вредоносное ПО может использовать службы для доступа к компьютеру, а также с целью маскировки под нормальные компоненты системы. – Выполнение приложений (Application Execution). Агент безопасности следит за приложениями во время их выполнения. Spyware и другое вредоносное ПО, используя уязвимости приложений, может нанести вред. Например, spyware может загрузиться во время запуска часто используемого вами приложения. Windows Defender предупредит вас о подозрительном поведении приложений. – Регистрация приложений (Application Registration). Агент безопасности данной области постоянно наблюдает за инструментами и файлами ОС, где приложения регистрируются с целью загрузки. Spyware и В Групповую Политику был добавлен ряд опций, по поддержке EFS. К ним относятся опции включения возможности шифрования файла подкачки, сохранения ключей на смарт-картах, ограничения минимальной длины ключа и т.д. Кроме вышеперечисленного, существует возможность шифрования пользовательских файлов «на лету» при сохранении их на сервере Longhorn. Такая операция необходима, когда нет доверия к серверу. EFS будет доступна в версиях Windows Vista Business, Enterprise и Ultimate. Контроль USB-устройств Не секрет, что бесконтрольное использование USB-накопителей может привести к утечке конфиденциальной информации из организации, к заражению компьютера вредоносным ПО и другим малоприятным последствиям. Именно поэтому в ОС Windows Vista реализован механизм контроля использования USB-устройств. Посредством Групповой Политики Windows Vista позволяет системным администраторам блокировать установку неавторизованных USB-устройств в компьютер. Данная политика может применяться как к отдельному компьютеру, так и к множеству компьютеров по всей сети. У администраторов в руках находятся весьма гибкий инструмент по настройке политики запрета USB-устройств. Например, можно разрешить установку только определенного класса устройств, таких как принтеры, запретить установку любых типов USB-накопителей или запретить установку любых неавторизованных устройств. Данные политики можно перекрывать путем ввода пароля администратора для установки того или иного устройства. И, наконец, можно открывать доступ по чтению / записи к устройствам для определенных пользователей или компьютеров. Заключение Что ж, можно сказать, что Microsoft идет по правильному пути, повышая безопасность своих ОС. На словах все выглядит довольно хорошо, однако на деле мы сможем проверить безопасность новой ОС только после ее официального выхода. Будет ли система безопасности удобна, незаметна для пользователя и эффективна? Пока мы можем сказать, что она неудобна для пользователя из-за обилия ненужных сообщений от UAC, появляющихся на экране. Хоть Microsoft и работает над этой проблемой, все равно, думаю, часть недовольств останется. Будет ли ПО от Microsoft менее дырявым благодаря SDL? Вопрос остается открытым. Какие выводы можно сделать из этой статьи? 1. Microsoft действительно пытается повысить безопасность новой ОС. 2. Эффективность вышеперечисленных методов защиты пока не доказана.