Оглавление
Введение
Группы политик, отвечающих за безопасность
Краткий обзор опций безопасности
Некоторые Дополнительные Параметры безопасности в Windows 7
Установка параметров безопасности для реестра
Заключение
Ссылки на ресурсы
Введение
Windows 7 - это последняя клиентская ОС для компьютеров от компании Microsoft, которая построена с учетом сильных и слабых сторон своих предшественников, Windows XP и Windows Vista. Каждый аспект базовой операционной системы, а также выполняемых ею служб, и то, как она управляет приложения, загруженными в нее, были пересмотрены, и по возможности были приняты меры по улучшению ее безопасности. Все сервисы были усовершенствованы и новые опции безопасности делают эту ОС более надежной. Помимо некоторых основных усовершенствований и новых служб, ОС Windows 7 предоставляет больше функций безопасности, улучшенные возможности аудита и мониторинга, а также возможности шифрования подключений и данных. В Windows 7 имеют место некоторые усовершенствования внутренней защиты для обеспечения безопасности такими внутренними компонентами системы, как Kernel Patch Protection (защита патча ядра), Service Hardening (упрочение сервисов), Data Execution Prevention (предотвращение несанкционированного выполнения данных), Address Space Layout Randomization (внесение случайности в верстку адресного пространства) и Mandatory Integrity Levels (обязательные уровни целостности).7 создана для надежного использования. С одной стороны она была разработана в рамках Microsoft's Security Development Lifecycle (SDL) и спроектирована для поддержки требований Common Criteria, что позволило ей получить сертификацию Evaluation Assurance Level (EAL) 4, которая отвечает требованиям федерального стандарта обработки информации (Federal Information Processing Standard - FIPS) #140-2. При использовании Windows 7 как отдельной системы ее можно защищать личными средствами безопасности. Windows 7 содержит множество различных инструментов безопасности, но именно в сочетании с Windows Server 2008 (R2) и Active Directory эта ОС становится бронежилетом. Используя дополнительные методы безопасности таких инструментов, как Group Policy, вы можете контролировать каждый аспект безопасности ваших компьютеров. Если Windows 7 используется в домашнем офисе или личных целях, ее также можно защищать во избежание многих нынешних методов взлома, и систему можно быстро восстанавливать после сбоя, поэтому, хотя совместное использование этой ОС с Windows 2008 является более надежным, оно вовсе необязательно для применения высокого уровня безопасности в Windows 7. Также следует учитывать тот факт, что, хотя Windows 7 безопасна по своей природе, это вовсе не означает, что вам нужно полностью полагаться на стандартную конфигурацию и что нет необходимости вносить изменения для улучшения безопасности. Также не стоит забывать о том, что со временем вы будете подвергнуты риску заражения каким-то вредоносным кодом или интернет атаке, когда компьютер используется в любой публичной сети. Если компьютер используется для любого типа публичного доступа в интернет, ваша система и сеть, к которой она подключена, становятся доступными для возможных атак.
Ключевую роль в обеспечении безопасности данных, хранимых на PC, играют настройки безопасности операционной системы. Настройки призваны оптимально сконфигурировать параметры системы таким образом, чтобы минимизировать риск потери данных вследствие реализации каких-либо вредоносных, ошибочных и др. воздействий, а так же сократить список уязвимостей вашей системы.
Когда операционная система "чувствует" угрозу, то она способна незамедлительно вам об этом сообщить с помощью различных диалоговых окон на экране. Когда эти сообщения появляются на экране, то иногда у вас есть возможность изменить поведение данной системы безопасности, что может привести к нежелательным последствиям (в случае, если вы пропустите критические сообщения). В операционной системе "Windows 7" есть базовые настройки безопасности, которые, в случае необходимости, можно легко сбросить.
Группы политик, отвечающих за безопасность
Рассмотрим подробнее расширение Параметры безопасности (Security Settings), с помощью которого конфигурируются параметры системы безопасности операционной системы. Политики, определяемые этим расширением, действуют на компьютеры и частично на пользователей.
Политики учетных записей (Account Policies). Настройка политик безопасности учетных записей в масштабах домена или локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и политика Kerberos, распространяющаяся на весь домен.
Локальные политики (Local Policies). Настройка политики аудита, назначение прав пользователей и определение различных параметров безопасности.
Журнал событий (Event Log). Настройка политик безопасности, определяющих работу журналов событий приложений, системы и безопасности.
Группы с ограниченным доступом (Restricted Groups). Управление членством пользователей в заданных группах. Сюда обычно включают встроенные группы, такие как Администраторы (Administrators), Операторы архива (Backup Operators) и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и иные группы, безопасность которых требует особого внимания и членство в коюрых должно регулироваться на уровне политики.
Системные службы (System Services). Настройка безопасности и параметров загрузки для работающих на компьютере служб.
Реестр (Registry). Настройка прав доступа к различным разделам реестра. (Значения параметров реестра можно задавать в доменных GPO объектах с помощью предпочтений (preferences).)
Файловая система (File System). Настройка прав доступа к определенным файлам.
Политики проводной сети (IEEE 802.3) ( Wired Network (IEEE 802.3) Policies). Настройка параметров клиентов, подключающихся к проводным сетям, принадлежащим разным доменам.
Брандмауэр Windows в режиме повышенной безопасности ( Windows Firewall with Advanced Security). Настройка правил и других параметров встроенного брандмауэра Windows (Windows Firewall).
Политики диспетчера списка сетей (Network List Manager Policies). Настройка типов размещения для сетей, доступных компьютеру.
Политики беспроводной сети (IEEE 802.111) ( Wireless Network (IEEH 802.11) Policies). Централизованная настройка параметров (включая методы проверки подлинности) клиентов беспроводной сети в доменах Active Directory.
Политики открытого ключа (Public Key Policies). Настройка политик безопасности в отношении шифрования информации с помощью EFS и BitLocker, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т.д.
Политики ограниченного использования программ (Software Restriction Policies). Политики, указывающие на то, какие приложения могут, а ка кие программы не могут выполняться на локальном компьютере.
Защита доступа к сети ( Network Access Protection). Настройка поли тик, определяющих требования к клиенту, подключающемуся к сети, и предоставляющих полный или ограниченный доступ к сети в зависимо сти от того, насколько клиент соответствует этим требованиям. В процее се проверки могут анализироваться различные аспекты безопасности: на личие обновлений программных средств и антивирусной защиты, параметры конфигурации и брандмауэра, список открытых и закрытых портов TCP/IP и т.д.
Политики управления приложениями (Application Control Policies). Управление средством AppLocker, представляющим собой новую функцию в системах Windows 7 и Windows Server 2008 R2, предназначенную для контроля за установкой и использованием приложений в корпоративной среде.
Политики IP-безопасности (IP Security Policies). Настройка политик безопасности IP для компьютеров, находящихся в определенной области действия.
Конфигурация расширенной политики аудита (Advanced Audit Policy Configuration). Политики, позволяющие централизованно настраивать аудит в системах Windows 7 и Windows Server 2008 R2.