Налаштування безпеки Windows Vista

  1. Використання захисника Windows
  2. Опис захисту, що забезпечується захисником Windows в реальному часі
  3. Використання параметрів групової політики Windows Defender для зниження рівня ризиків
  4. Відновлення системних файлів
  5. Автоматичне очищення диска
  6. регулярна дефрагментація
  7. Компоненти безпеки Windows Vista
  8. брандмауер Windows
  9. Центр забезпечення безпеки Windows
  10. Служба захисту користувачів
  11. Копіювання та відновлення
  12. Батьківський контроль
  13. Служба Windows Update
  14. Захищений режим Internet Explorer
  15. Конструктор шаблонів безпеки
  16. Застосування локальної політики для настройки безпеки
  17. Політика блокування облікового запису
  18. Висновок

Володимир Безмалий

Використання захисника Windows

Опис захисту, що забезпечується захисником Windows в реальному часі

Використання параметрів групової політики Windows Defender для зниження рівня ризиків

Відновлення системних файлів

Автоматичне очищення диска

регулярна дефрагментація

Компоненти безпеки Windows Vista

брандмауер Windows

Центр забезпечення безпеки Windows

Служба захисту користувачів

Копіювання та відновлення

Батьківський контроль

Служба Windows Update

Захищений режим Internet Explorer

Конструктор шаблонів безпеки

Застосування локальної політики для настройки безпеки

Політики облікових записів

Політика блокування облікового запису

висновок

Все частіше і вдома, і на роботі ми використовуємо нову операційну систему від фірми Microsoft - Windows Vista. І все частіше перед нами постає питання правильного налаштування даної ОС з точки зору безпеки. Читаючи статті в Інтернеті, можна натрапити як на корисні, так і на відверто шкідливі поради, що стосуються цієї теми. У даній публікації ми постараємося розібратися в цьому і визначити перелік необхідних заходів для настройки вашої Windows Vista з точки зору безпеки. Саме про захист клієнтського комп'ютера (комп'ютера домашнього або офісного користувача) і піде далі мова.

Будь-яку атаку набагато простіше починати саме з клієнтського робочого місця - адже основна увага в питаннях захисту традиційно приділяється серверів локальних мереж. Безсумнівно, на робочих місцях необхідні і антивірусний захист, і посилені заходи ідентифікації і аутентифікації користувачів. Але все ж в першу чергу, з моєї точки зору, необхідно забезпечити захист за допомогою вбудованих засобів операційної системи.

Всі описані рекомендації були випробувані на Windows Vista Ultimate.

Отже, ви вирішили встановити Windows Vista Ultimate. Як це зробити правильно? На це питання більшість читачів просто усміхнеться: а що тут можна придумати нового? Вставив DVD-R, завантажився і далі відповідай на питання. Однак так усе просто?

Дійсно, процес установки досить простий, однак після цього потрібно виконати наступні кроки:

  1. Інсталювати антивірус.
  2. Після установки і налаштування антивірусу вийти в Інтернет і оновити антивірусні бази.
  3. Встановити необхідні оновлення ОС.
  4. Налаштувати операційну систему.

Ви можете запитати, а як же брандмауер? Адже в Інтернет без нього виходити неможливо! Нагадуємо, що в Windows Vista брандмауер включений за замовчуванням.

А навіщо взагалі потрібен антивірус, адже до складу Windows Vista входить програма захисник Windows (Windows Defender) - рис. 1. Розглянемо роботу даного ПЗ докладніше.

Мал. 1. Windows Defender

Використання захисника Windows

При роботі в Інтернеті під час інсталяції стороннього ПО з CD-ROM, DVD-ROM або іншого знімного носія може статися зараження комп'ютера шкідливим ПЗ - malware (spyware). Запуск шпигунського ПЗ може бути проведений не тільки при установці, але і в будь-який заздалегідь запрограмований час.

Windows Defender передбачає три способи запобігання зараженню комп'ютера шпигунським та іншим шкідливим ПЗ:

  • захист в реальному часі - при спробі інсталяції або несанкціонованого запуску шкідливого ПО Windows Defender сповістить користувача про несанкціоновані дії. Крім того, повідомлення буде надіслано користувачеві, якщо якась програма спробує змінити важливі параметри Windows;
  • співтовариство SpyNet - в мережевому співтоваристві SpyNet ви можете дізнатися відгуки інших користувачів про роботу програм, які не є свідомо шкідливими, що допоможе вам визначитися, чи варто дозволяти їх запуск на своєму комп'ютері;
  • параметри сканування - Windows Defender можна використовувати для пошуку шпигунського та іншого небажаного ПЗ, яке могло бути встановлено на комп'ютері, для планування регулярних перевірок і автоматичного видалення шкідливих програм, виявлених під час перевірки.

Відзначимо, що в разі застосування Windows Defender необхідно мати останні версії оновлень баз шкідливого ПЗ. Саме за допомогою сигнатурного аналізу Windows Defender перевіряє, чи є ці програми шкідливим. Для регулярного отримання оновлень використовується Windows Update. Крім того, Windows Defender може бути налаштований на оновлення баз сигнатур в Інтернеті перед початком перевірки.

Опис захисту, що забезпечується захисником Windows в реальному часі

Монітор захисту в реальному часі призначений для оповіщення користувача в разі, якщо шпигунське або інше шкідливе ПЗ здійснює спробу несанкціонованого запуску (установки) на комп'ютері. Залежно від рівня оповіщення користувач може реалізувати одну з таких дій:

  • пропустити -Дозволяє програмі встановитися або запуститися на комп'ютері. У разі повторного запуску або спроби зміни параметрів безпеки користувач знову буде сповіщений про це;
  • помістити в карантин прі приміщенні програми в карантин Windows Defender переміщує відповідну програму в іншу папку і перешкоджає її запуску. Надалі дана програма буде відновлена, якщо підозра щодо її шкідливого впливу не підтвердиться, в іншому випадку вона буде видалена;
  • видалити -окончательно видаляє програму з комп'ютера;
  • завжди дозволяти -додає програму в список довіреної ПО. Надалі це ПЗ не буде перевірятися Windows Defender.
  • Крім того, користувач оповіщається в тому випадку, якщо програма намагається змінити налаштування Windows. Оскільки програма вже запущена на комп'ютері, то користувач повинен вибрати одну з пропонованих дій:
  • дозволити -разрешает програмі змінювати параметри безпеки комп'ютера;
  • заборонити -запобігає зміна програмою параметрів безпеки комп'ютера.

Існує кілька варіантів захисту в реальному часі, які називаються агентами. В табл. 1 наведено опис кожного з агентів.

У процесі розгортання системи Windows Vista необхідно взяти до уваги такі рекомендації:

  • протестуйте взаємодія з усім антивірусні та антишпигунські ПО сторонніх виробників, яке передбачається застосовувати в організації;
  • заплануйте час сканування, що відповідає вашим потребам. За замовчуванням - щодня о 2:00. При неможливості виконання сканування комп'ютера в цей час користувач отримає повідомлення і запит на запуск сканування. У випадку, якщо сканування не виконувалося протягом двох днів, воно почнеться приблизно через 10 хв після наступного запуску комп'ютера. Даний процес виконується з низьким пріоритетом;
  • захисник Windows не є корпоративним антишпигунські програми, оскільки в ньому відсутній механізм централізованого створення звітів, спостереження та управління корпоративного рівня.

Використання параметрів групової політики Windows Defender для зниження рівня ризиків

Параметри Windows Defender можна переглянути і налаштувати за допомогою редактора об'єктів групової політики ( табл. 2 і рис. 2):

2):

Мал. 2. Параметри настройки Windows Defender

Конфігурація комп'ютера / Адміністративні шаблони / Компоненти Windows / захисник Windows

Разом з тим необхідно відзначити, що наявність програми Windows Defender не перешкоджає роботі антивірусного ПО і, більш того, не замінює антивірусне ПЗ, а лише доповнює його. Таким чином, для безпечної роботи ОС Windows Vista наявність спеціалізованого антивірусного ПО або від Microsoft, або від третіх фірм-виробників є сьогодні обов'язковим!

Відновлення системних файлів

Відновлення системних файлів може виявитися корисною функцією, якщо ваш комп'ютер застосовується не тільки для виконання ресурсоємних завдань типу ігор. Тому краще залишити даний пункт включеним. У цьому випадку комп'ютер періодично створює зліпки критичних системних файлів (файли реєстру, база даних, профілі користувачів і т.д.) і зберігає їх як точку відкату. Якщо який-небудь додаток «знесе» вашу систему або щось важливе буде зіпсовано, то ви можете повернути комп'ютер в стан точки відкату.

Точки відкоту автоматично створюються службою Відновлення системи (System Restore) при виникненні деяких ситуацій типу установки нової програми, поновлення Windows, установки непідписаного драйвера і т.д. Крім того, точки відкоту можна створювати і вручну, скориставшись наступним шляхом: Панель управління -> Система -> Додаткові параметри системи -> Захист системи -> Створити (рис. 3).

Мал. 3. Створення точки відновлення

Надалі відновити стан системи можна тим же шляхом, але натиснувши клавішу Відновлення - в результаті буде запущений Майстер відновлення (рис. 4).

Мал. 4. Відновлення системи

Відновлення системних файлів спирається на фонову службу, яка мінімально позначається на швидкодії і записує знімки, віднімають частину дискового простору. Ви можете вручну відвести максимально допустимий обсяг дискового простору для даної служби або повністю відключити службу для всіх дисків, поставивши галочку Відключити службу відновлення. Оскільки служба відновлення системних файлів може впливати на результати тестових програм, її зазвичай відключають перед тестуванням.

Автоматичне очищення диска

Для очищення жорсткого диска від непотрібних файлів використовується програма cleanmgr. exe.

За допомогою програми «Очищення диска» зручно видаляти непотрібні файли і звільняти простір на жорсткому диску комп'ютера. Робота програми може бути задана за розкладом, створюваному за допомогою планувальника завдань. При запуску програми «Очищення диска» за розкладом програма відкриється і буде очікувати вибору варіантів користувачем перед видаленням файлів з комп'ютера.

  1. Запустіть планувальник завдань (рис. 5).
  2. У меню Дія виберіть пункт Створити просту задачу.
  3. Введіть ім'я завдання та при необхідності опис, потім натисніть кнопку Далі.
  4. Щоб вибрати регулярне розклад, натисніть Щодня, Щотижня, Щомісяця або Лише один раз, а потім натисніть кнопку Далі.
  5. Задайте потрібне розклад і натисніть кнопку Далі.
  6. Клацніть елемент Запустити програму і натисніть кнопку Далі.
  7. Натисніть кнопку Огляд, введіть cleanmgr. exe в поле Ім'я файлу, натисніть кнопку Відкрити, а потім - кнопку Далі.
  8. Натисніть кнопку Готово.

Мал. 5. Планувальник завдань

регулярна дефрагментація

DOS і версії Windows (за винятком NT) мало дбали про оптимізацію своїх файлових систем. Коли користувач встановлює і видаляє програми, то в різних областях дискового простору з'являються «діри». В результаті вільні місця не розташовані підряд, а розкидані по всьому диску. При заповненні вільного простору файли також виявляються розкиданими по декількох секторах, що сильно знижує продуктивність - при зверненні до файлу диск змушений читати не одну послідовну ділянку, а кілька фрагментів, довільно розкиданих по диску.

В NT-версіях Windows, які використовують файлову систему NTFS, застосовуються особливі заходи для збереження цілісності дискового простору, але фрагментація все одно відбувається. Тому ви повинні регулярно дефрагментувати ваш жорсткий диск, причому регулярність залежить від характеру вашої діяльності на комп'ютері. Якщо ви часто встановлюєте й видаляєте програми або постійно створюєте, переміщаєте або видаляєте файли, то повинні раз на тиждень виконувати дефрагментацію. Якщо ж ви довгий час використаєте ті самі додатки, але при цьому не занадто часто переміщаєте файли, проміжок між дефрагментаціями можна збільшити до одного місяця.

Якщо ви досить часто виконуєте дефрагментацію, то не помітите відчутного приросту в продуктивності після цієї процедури. Це абсолютно нормально. Якщо ж приріст явно відчутний, значить, ви занадто довго не робили дефрагментацію.

Для виконання дефрагментації необхідно відкрити вікно Мій комп'ютер, вибрати жорсткий диск, натисканням правої клавіші миші з контекстного меню вибрати Властивості -> Сервіс -> Виконати дефрагментацію. З'явиться вікно (рис. 6), в якому ви можете або запустити дефрагментацію, або налаштувати режим її проведення.

Мал. 6. Дефрагментація диска

Компоненти безпеки Windows Vista

З виходом Windows Vista з'явилися або отримали подальший розвиток компоненти ОС, пов'язані з безпекою системи:

  • захисник Windows (про нього йшлося вище);
  • брандмауер Windows;
  • центр забезпечення безпеки Windows;
  • контроль облікових записів користувачів;
  • архівація і відновлення;
  • батьківський контроль;
  • служба Windows Update.

Розглянемо ці компоненти докладніше.

брандмауер Windows

Персональний брандмауер в системі Windows Vista включається за замовчуванням відразу після запуску операційної системи. Брандмауер в ОС Windows Vista забезпечує фільтрацію вхідного і вихідного трафіку.

Ризики, пов'язані з підключенням до мережі

До загроз, пов'язаних з підключенням до мережі, відносяться:

  • підключення зловмисника до комп'ютера;
  • сканування мережі для виявлення відкритих портів з метою подальшої атаки;
  • установка несанкціонованого підключення за допомогою шкідливого ПО типу трояна;
  • організація мережевої атаки зі зламаного комп'ютера, підключеного безпосередньо до внутрішньої мережі.

Для зниження перерахованих ризиків необхідно виконати ряд попередніх заходів:

  • протестуйте взаємодія з встановленими додатками;
  • складіть для кожного додатка список вимог до мережевих портів, щоб гарантувати, що в брандмауері Windows будуть відкриті тільки необхідні порти.

Налаштування параметрів брандмауера за допомогою групових політик в режимі підвищеної безпеки

Налаштувати параметри групової політики і оснащення управління брандмауера Windows Vista можна за допомогою редактора об'єктів групової політики:

Конфігурація комп'ютера / Параметри Windows / Параметри безпеки \ Брандмауер Windows в режимі підвищеної безпеки

Брандмауер Windows в режимі підвищеної безпеки, яка підтримує такі середовища:

профіль домену - застосовується, якщо комп'ютер підключений до мережі і проходить перевірку автентичності на контролері домену, якому належить комп'ютер;

  • загальний профіль - даний профіль є типом мережевого розташування за замовчуванням в разі, якщо комп'ютер не підключений до домену. Параметри загального профілю повинні максимально обмежувати доступ, оскільки комп'ютер підключений до загальнодоступної мережі, безпека якої не можна контролювати так само жорстко, як в ІТ-середовищі;
  • приватний профіль - цей профіль застосовується тільки в разі, якщо користувач з привілеями локального адміністратора призначає його мережі, яка до цього була спільною. Корпорація Microsoft рекомендує робити це тільки при роботі в надійної мережі.

Центр забезпечення безпеки Windows

За допомогою Центру безпеки ви можете підвищити безпеку вашого комп'ютера, періодично перевіряючи параметри безпеки брандмауера, автоматичного оновлення Windows, програмного забезпечення захисту від шкідливого ПО, безпеки Інтернету і управління обліковими записами.

Доступні параметри групової політики Центру забезпечення безпеки Windows можна переглянути і налаштувати за допомогою редактора об'єктів групової політики:

Конфігурація комп'ютера / Адміністративні шаблони / Компоненти Windows / Центр забезпечення безпеки

Технології захисту оглядача Internet Explorer 7

Технології безпеки Internet Explorer 7 включають:

захищений режим оглядача Internet Explorer;

  • функцію ActiveX Opt-in;
  • захист від атак із застосуванням междоменной сценаріїв;
  • рядок стану системи безпеки;
  • антифішинг;
  • додаткові функції безпеки.

Незважаючи на те що Internet Explorer 7 працює в ОС Windows Vista і Windows XP, в ОС Windows XP будуть недоступні такі функції безпеки:

  • функція захищеного режиму;
  • функція батьківського контролю.

`

Даний режим оглядача забезпечує більш безпечну роботу в Інтернеті ( табл. 3 ). Крім того, він дозволяє запобігти можливості використання підвищених прав для запуску коду.

Змінити параметри групової політики для захищеного режиму оглядача Internet Explorer 7 можна за допомогою редактора групової політики:

Конфігурація комп'ютера / Адміністративні шаблони / Компоненти Windows / Internet Explorer / Панель управління оглядачем / Сторінка безпеки / <Зона>

Функція захищеного режиму доступна в наступних зонах безпеки оглядача Internet Explorer 7:

  • зона «Інтернет»;
  • зона «Інтранет»;
  • зона «Локальний комп'ютер»;
  • захищена зона Інтернету;
  • захищена зона інтранету;
  • захищена зона локального комп'ютера;
  • захищена зона обмежених вузлів;
  • захищена зона надійних вузлів;
  • зона «Обмежені вузли»;
  • зона «Надійні вузли».

антифішинг

Фішинг - метод, який використовується багатьма зловмисниками для шахрайства з метою змусити користувачів розкрити їх особисті або фінансові дані за допомогою повідомлень електронної пошти або веб-вузла. При цьому зловмисники маскуються під ті чи інші законні компанії, наприклад банки.

За допомогою технології антифішинга Internet Explorer аналізує вміст веб-вузлів з метою виявлення відомих технологій фішингу. Функція антифішинга застосовує клієнтський пошук характерних особливостей шкідливих веб-вузлів і службу, яка запитує підтвердження користувача. Таким чином, захист від фішингу організована трьома способами:

  • адреси веб-вузлів, відвідуваніх користувачем, перевіряються за списком відоміх надійніх вузлів;
  • вміст веб-вузлів перевіряється на наявність характерних рис фішінговіх вузлів;
  • адреса веб-сайту, відвідуваного користувачем, відправляється в інтернет-службу Microsoft, яка перевіряє його по регулярно оновлюваного списку фішингових сайтів. Список цих вузлів складається корпорацією Microsoft за допомогою надійних джерел.

Відзначимо, що користувач має можливість включити або відключити цю функцію ( табл. 4 ).

Налаштувати параметри групової політики в області антифішинга можна в наступному розділі редактора групової політики:

Конфігурація комп'ютера / Адміністративні шаблони / Компоненти Windows / Internet Explorer

Корпорація Microsoft рекомендує встановити значення параметра Включений і перевести його в Автоматичний режим роботи.

Разом з тим варто врахувати, що при такій настройці оглядач автоматично відправляє дані в корпорацію Microsoft, не запрошуючи підтвердження користувача.

У браузері Internet Explorer є набір спеціальних функцій забезпечення безпеки, якими можна керувати за допомогою групової політики. Подивитися і змінити параметри групової політики для Internet Explorer 7 можна в редакторі об'єктів групової політики:

Конфігурація комп'ютера / Адміністративні шаблони / Компоненти Windows / Internet Explorer / Засоби безпеки

Служба захисту користувачів

Ця функція призначена для того, щоб розділити адміністративні привілейовані завдання і стандартні призначені для користувача завдання. Права адміністратора як і раніше необхідні для вирішення наступних завдань:

  • установка програм;
  • повторне розбиття диска на розділи.

Служба захисту користувачів: функції і переваги

Облікові записи користувачів в Windows Vista мають право на виконання спільних завдань, не потребуючи в службі підтримки. Дані привілеї надають мінімальний вплив на систему і мінімізують ризики, хоча адміністратори можуть обмежити ці привілеї. За допомогою стандартних облікових записів користувачів в Windows Vista можна виконати наступні дії:

  • перегляд системних годин і календаря;
  • зміна часового поясу;
  • установка протоколу WEP для бездротових мереж;
  • зміна параметрів настройки екрану;
  • зміна параметрів керування живленням;
  • установка шрифтів;
  • додавання пристроїв, драйвери для яких вже встановлені на комп'ютері;
  • створення та налагодження підключення VPN;
  • завантаження і установка оновлень за допомогою програми установки, сумісної з функцією контролю облікових записів користувачів.

ОС Windows Vista за допомогою функції контролю облікових записів (UAC) дозволяє розділити привілеї і завдання адміністратора і звичайного користувача. При цьому функція UAC підвищує рівень безпеки, адже користувачі тепер можуть виконувати більше завдань без необхідності користуватися правами адміністратора. Це, в свою чергу, допоможе знизити вплив шкідливого ПО і виключити внесення в систему несанкціонованих змін.

У попередніх версіях ОС Windows існувала група «Досвідчені користувачі», члени якої могли встановлювати додатки, не маючи привілеїв адміністратора. В UAC група «Досвідчені користувачі» не передбачена, а відповідні дозволи видалені. Однак цю групу все ще можна використовувати для забезпечення сумісності з іншими версіями ОС. В цьому випадку необхідно застосувати відповідний шаблон безпеки для зміни дозволів за замовчуванням на системні папки і реєстр, щоб отримати дозволи, відповідні дозволами в Windows XP. Разом з тим варто відзначити, що режим адміністративного підтвердження в технології UAC дозволяє забезпечити захист від деяких типів шкідливого ПО. Однак необхідно пам'ятати, що незважаючи на те, що більшість завдань адміністратори запускають з привілеями звичайного користувача, набагато безпечніше працювати з правами звичайного користувача.

Ризики роботи з використанням привілеїв адміністратора

Робота з привілеями адміністратора може привести до випадкового або зловмисному виконання адміністративних завдань без відома користувача.

Наведемо такі приклади:

  • користувач несвідомо завантажує і встановлює шкідливе ПЗ з зараженого веб-вузла;
  • за допомогою технологій соціальної інженерії користувача змушують відкрити вкладення в повідомленні електронної пошти, що містить шкідливі програми, яке, запускаючись, встановлює себе на комп'ютер;
  • функція автоматичного запуску намагається запустити шкідливе ПО при установці знімного диска в пристрій (CD-ROM, DVD-ROM, USB-диск, floppy-disk і т.д.);
  • користувач встановлює непідтримуваний ПО.

Для зниження ризиків рекомендується при вирішенні повсякденних завдань застосовувати облікові записи з правами і привілеями звичайного користувача. Підвищувати свій рівень привілеїв слід для вирішення тільки тих завдань, які не можуть бути виконані іншим способом. Крім того, необхідно переконатися, що функція UAC включена і при спробі виконати завдання, що вимагає привілеїв адміністратора, виводиться відповідний запит.

Згідно Microsoft, рекомендується визначити для системних адміністраторів дві облікові записи:

  • з адміністративними правами;
  • з правами звичайного користувача.

При виконанні звичайних завдань необхідно використовувати обліковий запис звичайного користувача, а при виконанні завдань адміністрування - обліковий запис з правами адміністратора системи.

Як знизити ризики при використанні UAC

Для того щоб правильно розуміти всі можливості UAC, рекомендується вивчити наступні керівництва:

  1. Покрокове керівництво по функції контролю облікових записів в системі Windows Vista ( http://www.microsoft.com/technet/windowsvista/library/0d75f774-8514-4c9e-ac08-4c21f5c6c2d9.mspx );
  2. Приступаючи до роботи з функцією контролю облікових записів в системі Windows Vista ( http://www.microsoft.com/technet/WindowsVista/library/f72d606c-ad66-403b-be70-3d59e4e5c10f.mspx ).
  3. Після цього необхідно виконати наступні дії:
  4. Визначити кількість користувачів, необхідних для виконання завдань адміністрування.
  5. Визначити, як часто необхідно виконувати завдання адміністрування.
  6. Вирішити, чи потрібно виконувати завдання адміністрування шляхом згоди у відповідь на запит UAC або для виконання цих завдань потрібно вводити певні облікові дані.
  7. Вирішити, чи потрібно звичайним користувачам мати можливість підвищення привілеїв для виконання завдань адміністрування.
  8. Визначити, як буде проходити процес установки додатків.

Налаштувати параметри групової політики відповідно до ваших вимог.

Налаштування параметрів групової політики для зниження ризиків UAC

Параметри UAC за допомогою групової політики слід налаштувати за допомогою редактора об'єктів групової політики ( табл. 5 ):

Конфігурація комп'ютера / Параметри Windows / Параметри безпеки / Локальні політики / Параметри безпеки

Для настройки призначеного для користувача інтерфейсу облікових даних UAC можна скористатися редактором об'єктів групової політики ( табл. 6 ):

Конфігурація комп'ютера / Адміністративні шаблони | Компоненти Windows / Інтерфейс облікових даних

Параметри служби установника ActiveX налаштовуються за допомогою редактора об'єктів групової політики ( табл. 7 ):

Конфігурація комп'ютера / Адміністративні шаблони / Компоненти Windows / Служба установника ActiveX

Додаткові відомості про параметри політики безпеки дивіться на вкладці Пояснення для відповідних параметрів в редакторі об'єктів групової політики.

Копіювання та відновлення

Про важливість процесів архівації та відновлення вже було сказано дуже багато, і я впевнений, що всі розуміють, що в деяких випадках відновити інформацію можна лише за допомогою архівних копій.

Батьківський контроль

Сьогодні вже очевидно, що необхідний контроль за перебуванням дітей в Інтернеті: обмеження часу на комп'ютерні ігри, заборона на відвідування певних сайтів тощо. Все це можна регулювати за допомогою функцій батьківського контролю (докладніше див. «Батьківський контроль в Windows Vista» - http://vladbez.spaces.live.com/blog/cns!586B9203C3561071!507.entry ).

Служба Windows Update

Служба Windows Update вже давно і успішно використовується для завантаження і установки оновлень. Пам'ятайте, що установка оновлень дозволить вам істотно знизити ризик зараження шкідливим ПЗ.

Захищений режим Internet Explorer

Не слід забувати і про такий цікавий нововведенні, як використання захищеного режиму Internet Explorer. Даний режим призначений перш за все для утруднення встановлення шкідливого ПЗ на комп'ютері, а крім того, для інсталяції потрібних елементів ActiveX або надбудов при вході в систему під обліковим записом з правами локального адміністратора.

Даний режим включений за замовчуванням в Інтернеті, інтрамережі і в зонах обмежених вузлів. У разі застосування даного режиму Internet Explorer буде попереджати про спроби веб-сторінок встановити або запустити певні програми. Попередження будуть видаватися під час запуску програми поза Internet Explorer і поза захищеного режиму, оскільки в цьому випадку програма може отримати несанкціонований право доступу до комп'ютера. Як правило, подібна поведінка програм можливо в разі, якщо веб-сайт використовує надбудову для запуску програми на комп'ютері користувача.

Конструктор шаблонів безпеки

Шаблони безпеки являють собою текстові файли. Для зміни таких файлів застосовується оснащення шаблонів безпеки зі складу MMC або текстовий редактор (наприклад, програма «Блокнот»). Однак краще скористатися оснащенням Security Templates консолі Microsoft Management Console (MMC). Для цього в командному рядку потрібно ввести mmc, a в цій консолі вибрати меню Консоль - Додати або видалити оснастку. У діалоговому вікні Додавання або видалення оснастки вибрати Шаблони безпеки і натиснути на кнопку Додати (рис. 7).

7)

Мал. 7. Налаштування шаблону безпеки

Застосування локальної політики для настройки безпеки

Політики облікових записів

В даному розділі ви зможете внести зміни в наступні параметри:

  • вести журнал паролів;
  • максимальний термін дії пароля;
  • мінімальна довжина пароля;
  • мінімальний термін дії пароля;
  • пароль повинен відповідати вимогам складності;
  • зберігати пароль, використовуючи оборотне шифрування.

Розглянемо кожен з цих параметрів.

Вести журнал паролів

Даний параметр визначає число нових унікальних паролів, які повинні бути призначені до повторного використання старого пароля. Значення даного параметра може варіюватися від 0 до 24. Використання даного параметра дозволить гарантувати неможливість повторного застосування старих паролів. За замовчуванням значення параметра дорівнює 1. У разі використання підвищених вимог до безпеки значення параметра має дорівнювати 24. Якщо значення журналу паролів дорівнює 0, то користувачеві не потрібно вибирати новий пароль.

Разом з тим варто передбачити неможливість повторного зміни пароля відразу після того, як він був змінений. У зв'язку з цим необхідно включити параметр безпеки «Мінімальний термін дії пароля».

Мінімальний термін дії пароля

Даний параметр визначає період часу (в днях), протягом якого користувачеві доведеться застосовувати пароль, перш ніж його можна буде змінити. За замовчуванням - 0 днів, що дозволяє змінити пароль відразу після чергової зміни. Можна встановити будь-яке значення від 1 до 998 днів. Варто врахувати, що мінімальний термін дії пароля має бути менше максимального терміну дії, за винятком максимального терміну рівного 0 днів. Дане значення означає, що термін дії його не має терміну дії.

Максимальний термін дії пароля

Даний параметр безпеки визначає період часу (в днях), протягом якого можна використовувати пароль, поки система не зажадає від користувача змінити його. Термін дії пароля може становити від 1 до 999 днів; значення 0 відповідає необмеженому терміну дії пароля. Значення мінімального терміну дії пароля має бути менше максимального. Якщо значення максимального терміну дії пароля дорівнює 0, то мінімальний термін дії пароля може приймати будь-які значення в діапазоні від 0 до 998 днів. За замовчуванням це значення дорівнює 42.

Мінімальна довжина пароля

Даний параметр визначає мінімальну довжину пароля в знаках. Значення параметра може бути від 1 до 14 знаків, або 0, якщо пароль не потрібно. Для систем з підвищеними вимогами безпеки довжина пароля повинна складати не менше десяти символів.

Пароль повинен відповідати вимогам складності

Якщо цей параметр включений, паролі повинні відповідати таким мінімальним вимогам:

  • не містити назву облікового запису користувача або частин повного імені користувача довжиною більше двох поруч стоять знаків;
  • мати довжину не менше шести знаків;
  • містити знаки трьох з чотирьох перерахованих кодувань:
    • латинські великі літери (від A до Z),
    • латинські малі літери (від a до z),
    • цифри (від 0 до 9),
    • інші знаки (наприклад,!, $, #,%).

Вимоги складності застосовуються при створенні або зміні пароля.

Політика блокування облікового запису

Час до скидання лічильника блокування

Даний параметр визначає інтервал часу в хвилинах, який повинен закінчитися після невдалої спроби входу в систему до того, як лічильник невдалих спроб входу буде скинутий до 0. Допустимі значення - від 1 до 99 999 хвилин. Якщо визначено граничне значення блокування облікового запису, то час скидання повинно бути менше або дорівнює тривалості блокування облікового запису. За замовчуванням це значення не задано, оскільки цей параметр політики приймає значення, тільки якщо задано порогове значення блокування облікового запису.

Граничне значення блокування

Даний параметр визначає кількість невдалих спроб входу в систему, після яких обліковий запис буде блокована. Заблокована обліковий запис не буде використовуватися до того, поки не буде скинута адміністратором або поки не закінчиться період блокування цього облікового запису. Кількість невдалих спроб входу може становити від 0 до 999. Якщо це значення дорівнює 0, то обліковий запис ніколи не буде заблокована. Невдалі спроби введення паролів на робочих станціях, заблокованих за допомогою клавіш Ctrl + Alt + Delete або захищених паролем заставок, вважаються невдалими спробами входу в систему.

За замовчуванням значення цього параметра дорівнює 0.

Тривалість блокування облікового запису

Даний параметр визначає тривалість (у хвилинах) блокування облікового запису до її автоматичного розблокування. Допустимі значення - від 0 до 99 999 хвилин. Значення 0 означає, що обліковий запис буде заблокована до примусового її розблокування адміністратором. За замовчуванням значення цього параметра не задано.

Висновок

Безпека вашого комп'ютера, безумовно, буде визначатися не тільки даними параметрами, однак сподіваюся, що навіть цей невеликий список допоможе вам забезпечити захист свого комп'ютера.

КомпьютерПресс 7'2008


Як це зробити правильно?
На це питання більшість читачів просто усміхнеться: а що тут можна придумати нового?
Однак так усе просто?
Ви можете запитати, а як же брандмауер?