User Account Control (UAC)
Этот компонент был представлен в Windows Vista
и все также надежен в Windows 7. Есть два фактора, которые необходимо
учитывать при настройке UAC. Нужно учитывать, является ли пользователь
администратором или простым пользователем.
Для администраторов я
настоятельно рекомендую настраивать UAC так, чтобы она всегда задавала
вопрос и всегда требовала ввода учетных данных. Такая настройка не
приветствуется пользователями, но она обеспечивает поразительный уровень
безопасности. Она создает мир, в котором, если администратор оставляет
компьютер без присмотра, потенциальному взломщику, пытающемуся получить
доступ к компьютеру, потребуются учетные данные администратора, чтобы
получить доступ к инструментам, сети и т.д.
Для стандартных
пользователей я рекомендую настраивать UAC так, чтобы она не позволяла
повышение уровня прав и отказывала в доступе приложениям, компонентам и
т.д., требующим административных привилегий. Если нужно разрешить
пользователям выполнять такие приложение, компоненты, и т.д., нужно
обратиться к помощи продуктов сторонних производителей, которые
поддерживают эти опции.
Я описывал правильные настройки, опции и то, почему UAC является столь мощным компонентом, в этой статье.
Internet Explorer
Версия
IE, включенная в Windows 7, обеспечивает поразительную безопасность при
работе в интернете. Опция защищенного режима (Protected Mode) в IE 8 (а
также в IE 7, который шел в Windows Vista)
помогает вам защититься от вредоносных программ, рекламного ПО, вирусов
и т.д., при работе в интернете. Это имеет ограничения не только для
ваших пользователей, но и для администраторов, которые входят с
использованием учетных данных с административными привилегиями, но при
этом работа в интернете защищена.
Режим Protected Mode защищает вашу систему, используя функциональность UAC, добавляя при этом целостность управления и изоляции IE от других работающих приложений. Чтобы настроить IE Protected Mode, вы просто отмечаете флажком опцию, показанную на рисунке 1.
Рисунок 1: Защищенный режим для IE 7 и 8
Дополнительную информацию о защищенном режиме можно найти здесь.
Есть
и другие отличные параметры безопасности в IE, которые трудно найти,
если вы не находитесь в диалоге опций IE Internet Options. Параметры
безопасности, имеющиеся в закладке Дополнительно, трудно найти, но с
помощью предпочтений групповой политики вы можете централизовать
администрирование, используя AD и GP для их настройки. Здесь вы найдете подробную информацию по данному вопросу.
Брандмауэр Windows
Одним
из поразительных компонентов в Windows 7 является брандмауэр. Я знаю,
это звучит странно, но брандмауэр Windows подрос и уже по умолчанию идет
установленными и настроенными правилами. Чтобы централизовать,
настроить и определить дополнительные правила для своих компьютеров
Windows 7, можно использовать групповую политику. Следующие две статьи
помогут вам найти и определить параметры Windows Firewall с помощью
групповой политики даже локально. Вы можете найти их здесь и здесь
Группа локальных администраторов
Чтобы
ограничить свои машины Windows 7, необходимо обеспечить присутствие
только доверенных пользователей и групп домена в группе локальных
администраторов на каждой машине. Для управления этой настройкой можно
использовать предпочтения групповой политики. Здесь представлены шаги и подробная информация об управлении группой локальных администраторов.
Локальные пользователи
Большинство
предприятий предпочитают не использовать локальные учетные записи
пользователей на компьютерах. При переходе на Windows 7 вы можете
обеспечить отсутствие локальные пользовательских учетных записей. Есть
лишь весьма ограниченный ряд причин для использования локальных
пользовательских учетных записей на компьютере, обычно резервируемых для
разработчиков и администраторов, поэтому удаление локальных
пользовательских учетных записей для стандартных пользователей является
идеальным вариантом. Для выполнения этой задачи просто не нужно
добавлять никаких локальных учетных записей на компьютер Windows 7, на
котором есть лишь учетная запись администратора по умолчанию.
Локальные учетные записи администраторов
Необходимо
обеспечить непрерывную защиту локальной учетной записи администратора.
Для этого есть несколько вариантов, но по большому счету вам необходимо
обеспечить частый сброс пароля. Это снизит возможность взлома пароля и
его устаревания. Предпочтения групповой политики предоставляют простой,
эффективный и многогранный способ изменения пароля на каждом компьютере
Windows 7 при необходимости его смены. Перейдите по этой ссылке для дополнительной информации.
Службы
Не
нужно, чтобы пользователи выполняли какие-либо ole’ службы на машинах
Windows 7. Поэтому вы можете создать список разрешенных и запрещенных
служб с помощью предпочтений групповой политики. Можно разбивать
различные компьютеры по категориям, настраивать объекты групповой
политики на управление службами, а затем просто использовать политику
служб (Services) в предпочтениях для создания списка того, что должно
выполняться, а что нет. Для дополнительной информации смотрите эту ссылку.
AppLocker
AppLocker
представляет собой практически то же самое, что и политики ограничения
программ (Software Restriction Policy), используемые в Windows XP
и Vista. AppLocker не предоставляет новых деталей, но, по сути, он
предоставляет те же рычаги управления, что и SRP. AppLocker создает
список одобренных/разрешенных приложений и список запрещенных
приложений. Находясь в списке приложений, администратор может
осуществлять контроль того, что выполняется и что не выполняется на
каждой машине Windows 7. Для дополнительной информации смотрите эту ссылку.
Установка схемных накопителей
Многие
компании переходят к контролю использования внешних устройств хранения
USB. Эти устройства можно выносить за пределы сети, использовать дома,
на незащищенных компьютерах, и затем приносить обратно в компанию, что
может привести к заражению сети. По этой причине нужно ограничивать
использование таких продуктов. Используя групповую политику, вы можете
указывать список разрешенных и запрещенных устройств, разрешая
использование USB устройств хранения только для тех пользователей,
которые могут брать на себя такую ответственность. Дополнительную
информацию смотрите здесь.
BitLocker
BitLocker
представляет собой технологию шифрования дисков, которая была выпущена
компанией Microsoft в Windows Vista. Эта технология проста и легка в
настройке. В результате вы получаете полностью зашифрованный жесткий
диск, включая системные файлы, на случай попадания компьютера в
ненадежные руки. Дополнительную информацию смотрите здесь.
BitLocker To Go
Операционная
система Windows 7 переносит концепцию шифрования жестких дисков
BitLocker на съемные носители. Новая технология под названием BitLocker
To Go так же проста в настройке, как и BitLocker. С BitLocker To Go вы
получаете такие замечательные возможности, как возможность просмотра
информации на съемных носителях даже с тех клиентов, которые не
поддерживают BitLocker To Go. Дополнительную информацию смотрите здесь.
Различные операции с реестром
Существует
также масса поразительных компонентов и настроек безопасности,
расположенных в разделе административных шаблонов (Administrative
Templates) интерфейса групповой политики. Эти параметры помогают вам
контролировать многие другие аспекты ваших машин. Я рекомендую вам
посмотреть эти опции и настроить их на максимальный уровень
безопасности, который будет соответствовать требованиям вашей среды.
- Протоколы проверки подлинности, разрешаете ли вы работу LM и NTLM
- Доступ анонимных пользователей (это может ограничивать имена до SID разрешения, перечисление SAM, и т.п.)
- Имя последнего входа будет удалять имя пользователя из окна регистрации, когда следующий пользователь входит в систему
- Запрет использования инструментов редактирования реестра
Информацию по всем этим параметрам можно найти здесь.
Заключение
Windows
7 является отличной ОС, в этом нет сомнений! Есть некоторые новые и
унаследованные компоненты и параметры безопасности, которые следует
принять во внимание. Теперь, когда вы переходите на Windows 7, следует
уделять должное внимание созданию того уровня безопасности на ваших
машинах, который вам необходим. Это обеспечит значительное снижение
нагрузки на TCO, улучшит производительность и снизит количество
обращений в службу поддержки по поводу неправильных настроек, вносимых
пользователями.