• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Windows Vista - налаштування безпеки

    1. Центр безпеки Windows
    2. управління брандмауерами
    3. Захист від шкідливого ПО
    4. Служба захисту користувачів
    5. Безпека при роботі в Інтернеті
    6. Що далі?

    Наталія Єлманова

    Центр безпеки Windows

    управління брандмауерами

    Захист від шкідливого ПО

    Служба захисту користувачів

    Безпека при роботі в Інтернеті

    Що далі?

    Видимий в останні роки тенденція криміналізації індустрії шкідливого програмного забезпечення призвела до того, що питання інформаційної безпеки стали актуальними не тільки для корпоративних клієнтів, але і для домашніх користувачів. Виробники операційних систем, природно, враховують їх потреби. Не буде перебільшенням сказати, що нерідко зміна версії операційної системи (неважливо - серверної або настільної) проводиться виходячи саме з міркувань безпеки.

    Ця стаття присвячена налаштувань безпеки в російській версії Microsoft Windows Vista. Ця операційна система, встановлена ​​на більшості продаються в нашій країні нових комп'ютерів, володіє значним арсеналом засобів її забезпечення, що дозволяють виявляти і запобігати різні типи загроз. Відзначимо, що Windows Vista - це перша настільна операційна система Microsoft, при розробці якої застосовувалася технологія Microsoft's Security Development Lifecycle, що припускає, що контроль за безпекою продукту здійснюється на всіх етапах його розробки спеціальними консультантами з безпеки, що стежать за відсутністю вразливостей в коді продукту. Це дозволяє сподіватися на те, що безпечність цієї операційної системи в даний час задовільна.

    Відзначимо, що настройки, про які піде мова в даній статті, припускають, що комп'ютер не є частиною домену і що у користувача є права локального адміністратора. Випадки, коли налаштування безпеки управляються доменними політиками, обговорюються окремо.

    Центр безпеки Windows

    Центр безпеки Windows (доступний з панелі управління) відповідає за перевірку та автоматичне здійснення оновлень антивірусних баз і засобів захисту (в тому числі і за перевірку оновлень засобів забезпечення безпеки виробників, відмінних від Microsoft), перевірку стану брандмауера і парольний захист операційної системи (рис. 1).

    1)

    Мал. 1. Центр безпеки Windows

    За допомогою центру безпеки можна управляти переважною більшістю функцій захисту комп'ютера, вибираючи посилання у відповідних розділах, а також знайомитися з порадами та рекомендаціями на відповідні теми, які є в довідковій системі. Відзначимо, що в разі можливих проблем (наприклад, якщо застаріває антивірусне ПЗ, або відключений брандмауер, або відсутні необхідні оновлення засобів безпеки) відповідний розділ центру безпеки буде виділено привертає увагу червоним кольором (а при завантаженні операційної системи користувач отримає відповідне повідомлення). Якщо комп'ютер містить апаратні засоби для підтримки технології шифрування даних BitLocker, управління цим шифруванням також здійснюється з центру безпеки.

    Відзначимо, що в процесі роботи операційної системи центр безпеки Windows постійно працює у фоновому режимі і стежить за брандмауером, автоматичними оновленнями операційної системи та іншого ПО, за засобами захисту від шкідливого ПО, за настройками безпеки Інтернету і параметрами безпеки, пов'язаними з управлінням обліковими записами користувача , і виводить повідомлення в разі виникнення проблем.

    Центр безпеки Windows управляє не тільки вбудованими засобами безпеки Windows, але і додатками незалежних розробників, перевіряючи, чи встановлений брандмауер і чи включений він, чи встановлено антивірусну програму й анти-шпигунське ПЗ, оновлені відповідні антивірусні бази і включено чи сканування в реальному часі. Технічно це здійснюється за допомогою опитування провайдерів інструментарію WMI, створених сторонніми розробниками, а також аналізу відповідних розділів реєстру і файлів.

    Корпоративним користувачам може бути цікавий той факт, що центром безпеки Windows можна керувати за допомогою групових політик, що настроюються на контролері домену.

    управління брандмауерами

    За допомогою розділу «Брандмауер» центру безпеки Windows можна дізнатися, які брандмауери встановлені на даному комп'ютері і які з них включені (рис. 2).

    2)

    Мал. 2. Відомості про встановлені брандмауери

    Відповідний розділ довідкової системи, розрахований на непідготовленого користувача, містить докладні роз'яснення, що таке брандмауер, навіщо він потрібен і які принципи його роботи (рис. 3).

    3)

    Мал. 3. Довідка про принципи роботи
    брандмауерів

    Слід звернути увагу на те, що даний розділ дозволяє отримати відомості не тільки про брандмауер, що входить до складу операційної системи, але і про брандмауери інших виробників.

    У свою чергу, піктограма «Брандмауер Windows» в лівій частині вікна центру безпеки Windows надає доступ до засобів управління брандмауером, вбудованим в операційну систему (рис. 4).

    Мал. 4. Засоби управління брандмауером Windows

    За допомогою посилання «Змінити параметри» можна звернутися до аплету, який відповідає за налаштування вбудованого брандмауера (доступному також безпосередньо з розділу «Безпека» панелі управління), - рис. 5.

    Мал. 5. Налаштування параметрів роботи брандмауера Windows

    При роботі з додатками, які звертаються до ресурсів, що знаходяться поза даного комп'ютера (наприклад, в локальній мережі або в Інтернеті), брандмауер може блокувати їх роботу. Щоб уникнути подібних неприємностей слід здійснити настройку їх роботи через брандмауер, для чого необхідно скористатися закладкою «Винятки». У зазначеній закладці потрібно вибрати (при відсутності в списку - додати) додаток, для якого слід здійснити подібні налаштування, і вказати, з якими адресами і подсетями цьому додатку дозволено взаємодіяти (рис. 6).

    Мал. 6. Налаштування роботи додатків через брандмауер

    Сучасний настільний комп'ютер, як правило, може використовувати кілька мережевих підключень різних типів (наприклад, по локальній мережі, по бездротовій мережі, за допомогою різних модемних з'єднань і віртуальних приватних мереж), і брандмауер повинен вміти забезпечувати їх захист. Проте вибір захищаються підключень є прерогативою адміністратора даного комп'ютера, а здійснюється він за допомогою закладки «Додатково» все того ж аплета «Параметри брандмауера Windows» (рис. 7).

    Мал. 7. Встановлення захисту мережевих підключень

    Відзначимо, що брандмауер Windows після установки операційної системи включений за замовчуванням і фільтрує як вхідний, так і вихідний трафік, а також відстежує і забороняє непередбачувана поведінка системних служб і додатків, наприклад спроби відсилання даних через не призначених для цього додатка мережевий порт. За замовчуванням брандмауер Windows блокує вхідний трафік всіх програм, які не мають явного дозволу або не відповідають правилам, і дозволяє весь вихідний трафік, навіть якщо він не відповідає правилам.

    Необхідно звернути увагу на наступні дві важливі особливості. По-перше, управління настройками брандмауерів незалежних виробників здійснюється за допомогою засобів, що входять в комплект їх поставки, - сама операційна система таких засобів не містить. По-друге, якщо комп'ютер не входить в домен, для управління брандмауерами потрібні права адміністратора даного комп'ютера. Якщо ж комп'ютер є частиною домену, він може управлятися дистанційно адміністратором домену, для чого в операційній системі є відповідні інструменти.

    Захист від шкідливого ПО

    Доступ до налаштувань засобів захисту від шкідливого ПО можна здійснити за допомогою розділу «Захист від шкідливих програм» все того ж Центру безпеки. Так, можна включити або відключити засоби спостереження за станом антивірусного ПО, а заодно і переглянути список партнерів Microsoft, що постачають антивірусні рішення (рис. 8).

    8)

    Мал. 8. Налаштування засобів спостереження за антивірусним ПЗ

    Що стосується антишпигунського ПО, то даний розділ також дозволяє включати і відключати відповідні кошти (рис. 9).

    9)

    Мал. 9. Налаштування засобів спостереження за антишпигунські ПО

    Сама операційна система теж застосовує заходи безпеки шпигунського ПЗ - в російській версії Windows Vista вони називаються захисником Windows. Даний інструмент являє собою компонент операційної системи, призначений для захисту від деяких категорій шкідливого ПО, таких як руткіти, шпигунське ПЗ, перехоплювачі клавіатурного введення. Принцип його роботи заснований на постійному спостереженні за критичними складовими частинами ОС, а саме за списком автозавантаження, настройками безпеки ОС і браузера Internet Explorer, розширеннями браузера і завантажуваних браузером кодом (таким як елементи управління ActiveX, програми установки ПО за допомогою браузера, автоматично запускаються ), службами, драйверами, реєстрацією додатків в реєстрі, утилітами адміністрування. Подібне спостереження дозволяє знизити ризик завантаження шкідливого ПО разом з операційною системою, змінювати налаштування безпеки неавторизованих користувачам, завантажуватися від шкідливого коду маскується під розширення браузера, утиліти адміністрування або системні служби.

    Захисник Windows сповіщає користувача в разі виявлення підозрілого ПО або поведінки за допомогою привертають увагу жовтих або червоних діалогових панелей.

    Інтерфейс засоби управління захисником Windows містить посилання на засоби перевірки файлової системи і реєстру на наявність шпигунського ПЗ, засоби установки частоти і режимів перевірки, а також кошти перегляду і зміни налаштувань безпеки програмного забезпечення (рис. 10 і 11).

    10 і 11)

    Мал. 10. Захисник Windows

    Відзначимо, що захисник Windows підтримує функцію блокування програм, які їм впізнані як підозрілі (так званий карантин).

    Відзначимо, що захисник Windows підтримує функцію блокування програм, які їм впізнані як підозрілі (так званий карантин)

    Мал. 11. Управління настройками безпеки
    програмного забезпечення

    Хоча сканування операційної системи здійснюється захисником Windows автоматично, можна запустити сканування і вручну. Пропонується три типи сканування:

    • швидка перевірка - перевіряються всі області комп'ютера, які з найбільшою ймовірністю схильні до зараження;
    • повна перевірка - перевіряються всі файли на жорсткому диску, запущені додатки, реєстр та інше;
    • вибіркова перевірка - перевіряються певні файли і папки (рис. 12).

    Мал. 12. Перевірка комп'ютера на наявність шпигунського ПЗ

    Відзначимо, що відразу після установки операційної системи параметри захисника Windows за замовчуванням налаштовані так, щоб забезпечити максимальну безпеку комп'ютера при безперебійній роботі. Перевірка оновлених визначень шпигунського ПЗ та автоматичне сканування пам'яті, файлової системи і реєстру проводиться в фоновому режимі за розкладом (за замовчуванням о 2 годині ночі).

    При виявленні загрози користувач може видалити виявлене шкідливе ПО, помістити його в карантин, проігнорувати повідомлення (що призведе до повторного виявлення даного ПЗ при наступному скануванні) або додати ці програми в список дозволених програм, якщо вважає, що воно упізнано як шкідливе помилково.

    Служба захисту користувачів

    Однією з найсерйозніших загроз безпеки в попередніх версіях Windows була наявність надлишкових привілеїв у призначених для користувача облікових записів - зазвичай вони були локальними адміністраторами власного комп'ютера з усіма належними адміністраторам системними привілеями. Подібний підхід знижував ступінь захищеності комп'ютера, дозволяючи виконуватися з адміністративними привілеями не тільки системних утиліт і бізнес-додатків, але і від шкідливого коду та й імовірність помилок користувачів, таких як відключення брандмауера, теж була досить велика. Крім того, присутня в колишніх версіях Windows можливість створення облікових записів з обмеженими правами на практиці використовувалася рідко, оскільки вона сильно ускладнювала роботу і користувачеві, і системного адміністратора - адже будь-яка найпростіша маніпуляція типу установки драйвера принтера або підключення до бездротової мережі вимагала адміністративних привілеїв.

    Технологія контролю облікових записів, що з'явилася в Windows Vista, заснована на підході, який відрізняється від традиційно застосовувався в колишніх версіях Windows. Відповідно до цього підходу, все маніпуляції з налаштуваннями операційної системи діляться на доступні користувачеві зі стандартними правами (тобто не несуть безпосередньої загрози безпеці комп'ютера і мережі) і на ті, що вимагають адміністративних привілеїв. До першої групи належать такі функції, як зміна налаштувань управління живленням, налаштувань дати і часу, додавання пристроїв, драйвери яких вже встановлені в операційній системі, зміна налаштувань екрану, додавання шрифтів, створення VPN-з'єднань і з'єднань з бездротовими мережами, установка сумісних з контролем облікових записів оновлень ПО, тобто функції, повсякденно застосовуються користувачами. До другої групи належать завдання, що вимагають адміністративних привілеїв, такі як установка нових додатків, зміна системних налаштувань, додавання нових драйверів пристроїв. Коли користувач намагається виконати це завдання, йому пропонується ввести пароль адміністратора. Адміністратори можуть відключити можливість введення пароля адміністратора для звичайних користувачів, скорочуючи ризик несанкціонованих дій з боку останніх. Що стосується користувачів з адміністративними привілеями, то вони можуть працювати в режимі обмежень доступу до критичних ресурсів і функцій системи до тих пір, поки цей доступ їм реально не буде потрібно.

    Інтерфейс Windows Vista включає ряд засобів, що спрощують виявлення завдань, що вимагають адміністративних привілеїв. Так, на кнопці, яку слід натиснути для виконання подібної дії, з'являється позначка та опис цього дії (рис. 13).

    13)

    Мал. 13. Виявлення завдань, що вимагають адміністративних привілеїв

    При натисканні на таку кнопку на екран виводиться діалогова панель з вимогою підтвердження необхідності виконання запитаної операції.

    Технологія User Account Control дозволяє вже існуючим програмам, створеним для попередніх версій Windows і вимагають адміністративних привілеїв, виконуватися з правами стандартного користувача. Даний механізм перенаправляє запити читання і записи з захищених областей пам'яті і реєстру в виділену область всередині профілю користувача, не впливаючи ні на налаштування і дані інших користувачів, ні на конфігурацію операційної системи.

    Якщо комп'ютер є частиною домену, служба контролю облікових записів управляється груповими політиками домену.

    Безпека при роботі в Інтернеті

    Інтернет сьогодні є одним із серйозних джерел небезпеки, що підстерігають і недосвідчених користувачів, і досвідчених адміністраторів. Web-браузери при невмілому поводженні з ними стають проломом, що відкриває доступ до конфіденційної інформації і інших ресурсів, що становлять цінність для зловмисників. Тому захист комп'ютера від шкідливого ПО, що використовує браузер як засіб проникнення в комп'ютер або в локальну мережу, є сьогодні однією з найактуальніших завдань.

    Розширення браузера (елементи управління ActiveX, Browser Helper Objects, додаткові інструментальні панелі для здійснення пошуку або доступу до інших функцій різних сайтів) служать зручним засобом додавання до браузеру додаткової функціональності - відповідно шкідливе ПО часто реалізується у вигляді подібних розширень або використовує їх. Для захисту від подібного шкідливого ПО застосовується контроль над розширеннями браузера за допомогою вже розглянутого захисника Windows (див. Рис. 11), що дозволяє відключити майже всі попередньо встановлені елементи керування ActiveX і приховати потенційно вразливі елементи для захисту від атак.

    Управління поведінкою браузера здійснюється за допомогою відповідного аплета панелі управління, доступного також з самого Internet Explorer (пункт меню Сервіс> Властивості оглядача) і з центру безпеки Windows (рис. 14).

    14)

    Мал. 14. Налаштування безпеки Internet Explorer

    За допомогою цього інструменту (знайомого, втім, багатьом користувачам по попередніх версіях Windows) можна здійснити налаштування безпеки для різних зон Інтернету, вибравши один з попередньо визначених наборів параметрів або визначивши їх вручну.

    Відзначимо, що налаштування параметрів безпеки дозволяють відключити завантаження підписаних і непідписаних елементів управління ActiveX, запуск сценаріїв і елементів управління ActiveX, які не мають позначки про безпеку, установку компонентів, запуск додатків і небезпечних файлів (рис. 15).

    Мал. 15. Повідомлення про некоректне зміні
    критичних налаштувань безпеки

    Для Запобігання Вибори користувачем значень параметрів, Які НЕ забезпечують належно уровня безопасности при роботі з браузером, у вікні налаштування параметрів безпеки відповідній розділ віділяється червоного кольору. При виборі ж користувачем подібних параметрів на панель інформації Internet Explorer 7 виводиться попередження про те, що поточні параметри безпеки можуть піддавати комп'ютер ризику, а крім того, відображається постійне нагадування про це.

    Всі сучасні браузери дозволяють здійснити повну очистку історії відвідин сайтів, кеша браузера, даних форм, файлів cookies, паролів, історії виклику додатків. В Internet Explorer 7 є єдиний пункт меню Сервіс> Очистити журнал браузера, який здійснює видалення всіх перерахованих даних, що полегшує ліквідацію слідів конфіденційних даних при використанні загальнодоступних комп'ютерів (рис. 16).

    16)

    Мал. 16. Засіб видалення журналу оглядача

    Говорячи про безпеку браузера, відзначимо, що Internet Explorer 7 містить засоби, що знижують можливості атак на браузери із застосуванням URL, що містять нестандартні символи, - Internet Explorer повідомляє користувача про ті випадки, коли символи в адресі URL не належать до однієї мови, і не дозволяє вивести ні основний, ні спливаюче вікно без поля, що містить його URL. Крім того, користувач отримує повідомлення і в разі спроби переходу на підозрілий сайт - кошти впізнання фішингових сайтів виробляють попереджуючий аналіз web-сторінок, перевіряючи наявність типових фішингових характеристик, а також його приналежність до постійно поповнюється списку фішингових сайтів.

    Що далі?

    Здавалося б, cредства безпеки Windows Vista передбачають захист від практично всіх відомих сьогодні способів нанесення шкоди операційній системі. Проте не всі необхідні засоби захисту входять до складу операційної системи, наприклад антивірусне ПЗ і послугу з оновлення антрівірусних баз доведеться купувати окремо.

    Проте компанія Microsoft пропонує користувачам Windows Vista безкоштовну інтернет-послугу сканування комп'ютера з метою виявлення шкідливого ПО - скористатися нею можна на сайті onecare.live.com (рис. 17).

    Мал. 17. Засіб онлайнового сканування
    OneCare safety scanner

    Відзначимо, що застосування цієї послуги можливо тільки в інтерактивному онлайновому режимі. Якщо ж є бажання здійснювати антивірусне сканування в автоматичному режимі за розкладом, слід придбати послугу Windows Live OneCare (її 90-денна ознайомлювальна версія доступна на тому ж сайті) або антивірусне ПЗ будь-якого іншого виробника.

    КомпьютерПресс 4'2008


    Що далі?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua