Введение

Если ваш компьютер подключен к компьютерной сети (неважно, Интернет это или Интранет), то он уязвим для вирусов, атак злоумышленников и других вторжений. Для защиты компьютера от этих опасностей необходимо, чтобы на нем постоянно работали межсетевой экран (брандмауэр) и антивирусное ПО (с последними обновлениями). Кроме того, необходимо, чтобы все последние обновления были также установлены на вашем компьютере.

Не каждый пользователь может постоянно следить за этим. Не каждый пользователь знает, как это осуществить. И даже если пользователь компетентен в этих вопросах, у него просто может не хватать времени на такие проверки. Компания Microsoft позаботилась обо всех этих пользователях, включив в состав SP2 для Windows XP такой инструмент. Он называется "" (Windows Security Center) (рис. 1).

Рис. 1. Центр обеспечения безопасности Windows

Основное назначение этого инструмента - информировать и направлять пользователя в нужном направлении. Во-первых, он постоянно контролирует состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). Если параметры любого из этих компонентов не будут удовлетворять требованиям безопасности компьютера, то пользователь получит соответствующее уведомление. Например, на рис. 2 представлено одно из таких уведомлений.

Рис. 2. Оповещение

Во-вторых, при открытии "Центра обеспечения безопасности Windows" пользователь может не только получить конкретные рекомендации о том, как исправить сложившуюся ситуацию, но также узнать, где находятся другие настройки, связанные с безопасностью компьютера, и где на сайте Microsoft можно прочитать дополнительную информацию по обеспечению безопасности.

Необходимо сразу отметить, что при подключении компьютера к домену в "Центре обеспечения безопасности Windows" не отображаются сведения о состоянии безопасности компьютера (рис. 3) и не выполняется отправка сообщений безопасности. Считается, что в этом случае параметрами безопасности должен управлять администратор домена.

Чтобы включить "Центр для обеспечения безопасности Windows" для компьютера, входящего в состав домена, необходимо в групповой политике домена включить параметр "Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Центр обеспечения безопасности, Включить "Центр обеспечения безопасности" (только для компьютеров в домене)".

Рис. 3. Центр обеспечения безопасности Windows

Параметры безопасности Windows

Чтобы открыть "Центр обеспечения безопасности Windows", нажмите кнопку "Пуск", выберите команду "Панель управления", затем дважды щелкните на значок "Центр обеспечения безопасности" (рис 4).

Рис. 4. Значок

Окно Центра обеспечения безопасности Windows можно условно разделить на три части (рис. 5):

Рис. 5. Центр обеспечения безопасности

Ресурсы. Здесь располагаются ссылки для перехода к Интернет-ресурсам, ко встроенной в Windows справочной службе и к окну настройки параметров оповещений.
Компоненты безопасности. Здесь располагаются информационные элементы трех основных компонентов безопасности: брандмауэр, автоматическое обновление, антивирусная защита.
Параметры безопасности. Здесь располагаются кнопки перехода к настройкам безопасности следующих компонентов: обозреватель Internet Explorer, автоматическое обновление, брандмауэр Windows.

Рассмотрим эти части более подробно.

Ресурсы

На рис. 5 цифрой 1 обозначены ссылки, первые три из них предназначены для перехода на соответствующие страницы на сайте Microsoft. Предпоследняя ссылка предназначена для открытия справочной службы Windows на странице "Общие сведения о центре обеспечения безопасности Windows". Последняя ссылка предназначена для открытия окна "Параметры оповещений" (рис.6).

Рис. 6. Параметры оповещений

Если на компьютере установлен брандмауэр и антивирусное ПО, не определяемое Центром обеспечения безопасности, вы можете отключить соответствующие оповещения (см. рис.6).

Компоненты безопасности

На рис.5 цифра 2 - каждое информационное табло сообщает о состоянии соответствующего компонента. На рис.7 представлены возможные состояния.

Рис. 7. Состояния информационных табло

Состояния A-C понятны без комментариев. Состояние D - "Не найдено" - соответствует невозможности определить присутствие соответствующего ПО (например, антивирус или брандмауэр). Состояние E - "Срок истек" - возможно для антивирусной защиты, когда обновления антивирусных баз устарели. Состояние F - "Не наблюдается" - соответствует отключенному контролю над соответствующим компонентом.

Центром обеспечения безопасности применяется двухуровневый подход к определению состояния компонентов:

1. Проверка содержимого реестра и файлов со сведениями о состоянии ПО (Microsoft получает перечень файлов и параметров реестра от производителей ПО).

2. Сведения о состоянии ПО передаются от установленных программ средствами инструментария WMI (Windows Management Instrumentation - Инструментарий управления Windows).

На рис.8 представлено одно из возможных состояний компонента "Брандмауэр". Нажав кнопку "Рекомендации…", вы получите возможность либо включить брандмауэр (рис.9, кнопка "Включить сейчас"), либо отключить наблюдение за состоянием этого компонента (рис.9, параметр "Я самостоятельно устанавливаю и слежу за брандмауэром").

Рис. 8. Состояние "Брандмауэра"

После нажатия кнопки "Включить сейчас" (см. рис.9), если брандмауэр Windows будет успешно запущен, на экране появится соответствующее сообщение (рис.10).

Рис. 10. Сообщение

На рис.11 представлено одно из возможных состояний компонента "Автоматическое обновление". Нажав кнопку "Включить автоматическое обновление", вы задействуете рекомендуемый компанией Microsoft режим работы системы "Автоматическое обновление" (рис.12).

Рис. 11. Состояние "Автоматического обновления"

Рис. 12. Автоматическое обновление

Обратите внимание, что в зависимости от выставленного режима работы "Автоматического обновления" (см. рис.12) в окне "Центра обеспечения безопасности" указывается краткое описание этого режима.

На рис.13 представлено одно из возможных состояний компонента "Защита от вирусов". Нажав кнопку "Рекомендации…", вы получите лаконичные указания (рис.14): "включить антивирусную программу" (если она выключена), "установить другую антивирусную программу". В этом окне вы можете отключить наблюдение за состоянием этого компонента (параметр "Я самостоятельно устанавливаю и слежу за антивирусом").

Рис. 13. Состояние "Защиты от вирусов"

Параметры безопасности

На рис.5 под цифрой 3 расположены кнопки перехода к настройкам безопасности следующих компонентов: обозреватель Internet Explorer, автоматическое обновление, брандмауэр Windows.

Нажав кнопку , вы попадете на закладку "Безопасность" в окне настроек обозревателя Internet Explorer (рис.15).

Рис.15. Настройки Internet Explorer

Нажав кнопку , вы откроете окно настроек "Автоматического обновления" (см. рис.12).

Нажав кнопку , вы попадете в соответствующее окно настроек (рис.16).

Рис. 16.

В Windows XP SP2 для обозначения настроек, касающихся безопасности (см. например, рис.16), а также при оповещениях о состоянии безопасности компьютера (см. например, рис.2) используются следующие значки:

1. - Означает важные сведения и параметры безопасности.

2. - Оповещает о потенциальном риске нарушения безопасности.

3. - Ситуация более безопасна. На компьютере используются рекомендуемые настройки безопасности.

4. - Предупреждение: ситуация потенциально опасна. Измените настройки параметров безопасности, чтобы повысить безопасность компьютера.

5. - Использовать текущие настройки параметров безопасности не рекомендуется.

Свойства обозревателя

Как уже указывалось ранее, нажав кнопку в "Центре обеспечения безопасности Windows", вы попадете в окно настроек обозревателя Internet Explorer на закладку "Безопасность" (рис.17).

Рис. 17.

Рассмотрим параметры, доступные на этой закладке. В верхней части расположены четыре зоны: Интернет, Местная интрасеть, Надежные узлы, Ограниченные узлы. В табл.1 дано описание для каждой зоны.

Таблица 1. Описание зон

Для всех зон, кроме зоны "Интернет", вы можете определить входящие в зону узлы. Для этого необходимо выбрать нужную зону (см. рис.17) и нажать кнопку "Узлы...". Для зоны "Местная интрасеть" в этом случае откроется окно, представленное на рис.18. Если вы хотите указать конкретные узлы, нажмите кнопку "Дополнительно…". В результате появится окно, представленное на рис.19. Аналогичное окно будет открыто, если вы будете определять узлы, входящие в зоны "Надежные узлы" и "Ограниченные узлы". Только для зоны "Ограниченные узлы" будет отсутствовать параметр "Для всех узлов этой зоны требуется проверка серверов (https:)".

Рис. 18. Местная интрасеть

Рис. 19. Задание конкретных узлов

Каждой зоне можно присвоить нужный уровень безопасности: высокий, средний, ниже среднего, низкий. Низкий уровень безопасности соответствует минимальной защите и применяется для узлов, которым вы полностью доверяете.

Выберите нужную зону (см.рис.17) и нажмите кнопку "По умолчанию". Закладка "Безопасность" изменит свой вид (рис.20). В нижней части окна вы можете определить нужный уровень безопасности. Если вы не хотите использовать предлагаемые уровни безопасности, вы можете нажать кнопку "Другой…" и определить все параметры безопасности самостоятельно (рис.21).

Рис. 20. Настройки безопасности Internet Explorer

Рис. 21. Параметры безопасности

Описанные выше настройки безопасности обозревателя Internet Explorer также доступны через групповую политику (Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Internet Explorer, Панель управления обозревателем, Страница безопасности).

Автоматическое обновление

Как уже указывалось ранее, нажав кнопку в "Центре обеспечения безопасности Windows", вы откроете окно настроек "Автоматического обновления" (рис.22).

Рис. 22. Параметры автоматического обновления

Встроенная в Windows XP справочная система очень подробно описывает систему автоматического обновления. Для того чтобы воспользоваться этой справкой, щелкните по надписи "Как работает автоматическое обновление?" (см. рис.22). Остановимся только на некоторых моментах.

Во-первых, необходимо различать понятия "загрузка" и "установка" обновлений. Загрузка означает процесс передачи файлов обновлений с сервера Microsoft (или с внутреннего сервера обновлений в организации) на компьютер пользователя. Установка обозначает собственно процесс инсталляции обновлений на компьютере пользователя. Возможна ситуация, когда обновления загружены на пользовательский компьютер, но еще не установлены.

Во-вторых, если вы выбрали вариант "Автоматически"(см. рис.22), то обновления будут загружаться и устанавливаться в указанное вами время. Если компьютер в указанное время всегда выключен, то установка обновлений никогда не выполнится. При регистрации на компьютере пользователь с правами локального администратора может запустить установку вручную, не дожидаясь запланированного времени. При наступлении запланированного времени пользователю будет выдано соответствующее предупреждение о начале установки обновлений. Если в этот момент в системе работает администратор, у него будет возможность отложить установку до следующего запланированного времени. У других пользователей (без прав администратора) возможности отменить запланированную установку обновлений не будет.

Во всех остальных случаях (кроме варианта "отключить автоматическое обновление") уведомления о существующих обновлениях для вашего компьютера (готовых к загрузке или к установке) будут появляться только при регистрации на вашем компьютере пользователя с правами локального администратора. Таким образом, если на компьютере вы постоянно работаете с учетной записью, не входящей в группу локальных администраторов, то установка обновлений никогда не выполнится.

Описанные выше настройки автоматического обновления также доступны для настройки через групповую политику (Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Windows Update). Кроме того, только через групповую политику можно задать дополнительные параметры. Например, можно указать адрес внутреннего сервера обновлений, который централизованно получает обновления с серверов Microsoft и отдает их внутренним компьютерам организации. В качестве примера такого сервера можно привести Microsoft® Windows Server™ Update Services (WSUS).

Брандмауэр Windows

Как уже указывалось ранее, нажав кнопку в "Центре обеспечения безопасности Windows", вы откроете окно настроек "Брандмауэра Windows" (рис.23).

Рис. 23. Настройки Брандмауэра Windows

Если вы щелкните по надписи "Подробнее о брандмауэре Windows" (см. рис.23), то сможете прочитать краткую информацию о возможностях брандмауэра (межсетевого экрана), входящего в состав Windows XP SP2.

Отметим лишь, что, в отличие от продуктов других производителей, встроенный брандмауэр Windows предназначен только для контроля входящего трафика, т.е. он защищает компьютер только от внешних вторжений. Он не контролирует исходящий трафик вашего компьютера. Таким образом, если на ваш компьютер уже попал троянский конь или вирус, которые сами устанавливают соединения с другими компьютерами, брандмауэр Windows не будет блокировать их сетевую активность.

Кроме того, по умолчанию брандмауэр защищает все сетевые соединения, и запрос входящего эха по протоколу ICMP запрещен. Это означает, что если на компьютере включен брандмауэр Windows, то проверять наличие такого компьютера в сети с помощью команды PING - бессмысленное занятие.

Очень часто в организациях, где используется программное обеспечение, требующее разрешения входящих соединений на пользовательские компьютеры, возникает необходимость открыть некоторые порты на компьютерах с установленной Windows XP SP2. Для решения этой задачи необходимо задать исключения в настройках брандмауэра Windows. Существует два способа решить эту задачу:

1. Можно задать исключение, указав программу, требующую входящие соединения. В этом случае брандмауэр сам определит, какие порты необходимо открыть, и откроет их только на время выполнения указанной программы (точнее, на время, когда программа будет прослушивать этот порт).

2. Можно задать исключение, указав конкретный порт, по которому программа ожидает входящие соединения. В этом случае порт будет открыт всегда, даже когда эта программа не будет запущена. С точки зрения безопасности этот вариант менее предпочтителен.

Существует несколько способов задать исключение в настройках брандмауэра Windows. Можно воспользоваться графическим интерфейсом (рис.24). Этот вариант достаточно подробно освещен в Центре справки и поддержки Windows XP SP2. Можно использовать доменную групповую политику. Этот вариант предпочтителен при большом количестве компьютеров в организации. Рассмотрим его более подробно.

Рис. 24. Закладка Исключения

Параметры Брандмауэра Windows в групповой политике размещаются в узле "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows".

При настройке через групповую политику вам необходимо настроить два профиля:

1. Профиль домена. Настройки этого профиля используются, когда компьютер подключен к сети, содержащей контроллер домена организации.

2. Стандартный профиль. Настройки этого профиля применяются, когда компьютер не подключен к сети, содержащей контроллер домена организации. Например, если ноутбук организации используется в командировке и подсоединен к Интернету через Интернет-провайдера. В этом случае настройки брандмауэра должны быть более строгими по сравнению с настройками доменного профиля, так как компьютер подключается к публичной сети, минуя межсетевые экраны своей организации.

Рассмотрим, как задать исключения для программы и для заданного порта. В качестве конкретного примера возьмем обращение Сервера администрирования Kaspersky Administration Kit к компьютеру, на котором установлен Агент администрирования, для получения информации о состоянии антивирусной защиты. В этом случае необходимо, чтобы на клиентском компьютере был открыт порт UDP 15000 или разрешен прием входящих сообщений программой "C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe".

Похожая информация.

Windows 7 создана для надежного использования. С одной стороны она была разработана в рамках Microsoft"s Security Development Lifecycle (SDL) и спроектирована для поддержки требований Common Criteria, что позволило ей получить сертификацию Evaluation Assurance Level (EAL) 4, которая отвечает требованиям федерального стандарта обработки информации (Federal Information Processing Standard - FIPS) #140-2. При использовании Windows 7 как отдельной системы ее можно защищать личными средствами безопасности. Windows 7 содержит множество различных инструментов безопасности, но именно в сочетании с Windows Server 2008 (R2) и Active Directory эта ОС становится бронежилетом. Используя дополнительные методы безопасности таких инструментов, как Group Policy, вы можете контролировать каждый аспект безопасности ваших компьютеров. Если Windows 7 используется в домашнем офисе или личных целях, ее также можно защищать во избежание многих нынешних методов взлома, и систему можно быстро восстанавливать после сбоя, поэтому, хотя совместное использование этой ОС с Windows 2008 является более надежным, оно вовсе необязательно для применения высокого уровня безопасности в Windows 7. Также следует учитывать тот факт, что, хотя Windows 7 безопасна по своей природе, это вовсе не означает, что вам нужно полностью полагаться на стандартную конфигурацию и что нет необходимости вносить изменения для улучшения безопасности. Также не стоит забывать о том, что со временем вы будете подвергнуты риску заражения каким-то вредоносным кодом или интернет атаке, когда компьютер используется в любой публичной сети. Если компьютер используется для любого типа публичного доступа в интернет, ваша система и сеть, к которой она подключена, становятся доступными для возможных атак.

Ключевую роль в обеспечении безопасности данных, хранимых на PC , играют настройки безопасности операционной системы. Настройки призваны оптимально сконфигурировать параметры системы таким образом, чтобы минимизировать риск потери данных вследствие реализации каких-либо вредоносных, ошибочных и др. воздействий, а так же сократить список уязвимостей вашей системы.

Когда операционная система "чувствует" угрозу, то она способна незамедлительно вам об этом сообщить с помощью различных диалоговых окон на экране. Когда эти сообщения появляются на экране, то иногда у вас есть возможность изменить поведение данной системы безопасности, что может привести к нежелательным последствиям (в случае, если вы пропустите критические сообщения). В операционной системе "Windows 7" есть базовые настройки безопасности, которые, в случае необходимости, можно легко сбросить.

1.Группы политик, отвечающих за безопасность

Рассмотрим подробнее расширение Параметры безопасности (Security Settings), с помощью которого конфигурируются параметры системы безопасности операционной системы. Политики, определяемые этим расширением, действуют на компьютеры и частично на пользователей.

Политики учетных записей (Account Policies). Настройка политик безопасности учетных записей в масштабах домена или локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и политика Kerberos, распространяющаяся на весь домен.

Локальные политики (Local Policies). Настройка политики аудита, назначение прав пользователей и определение различных параметров безопасности.

Журнал событий (Event Log). Настройка политик безопасности, определяющих работу журналов событий приложений, системы и безопасности.

Группы с ограниченным доступом (Restricted Groups). Управление членством пользователей в заданных группах. Сюда обычно включают встроенные группы, такие как Администраторы (Administrators), Операторы архива (Backup Operators) и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и иные группы, безопасность которых требует особого внимания и членство в коюрых должно регулироваться на уровне политики.

Системные службы (System Services). Настройка безопасности и параметров загрузки для работающих на компьютере служб.

Реестр (Registry). Настройка прав доступа к различным разделам реестра. (Значения параметров реестра можно задавать в доменных GPO объектах с помощью предпочтений (preferences).)

Файловая система (File System). Настройка прав доступа к определенным файлам.

Политики проводной сети (IEEE 802.3) (Wired Network (IEEE 802.3) Policies). Настройка параметров клиентов, подключающихся к проводным сетям, принадлежащим разным доменам.

Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security). Настройка правил и других параметров встроенного брандмауэра Windows (Windows Firewall).

Политики диспетчера списка сетей (Network List Manager Policies). Настройка типов размещения для сетей, доступных компьютеру.

Политики беспроводной сети (IEEE 802.111) (Wireless Network (IEEH 802.11) Policies). Централизованная настройка параметров (включая методы проверки подлинности) клиентов беспроводной сети в доменах Active Directory.

Политики открытого ключа (Public Key Policies). Настройка политик безопасности в отношении шифрования информации с помощью EFS и BitLocker, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т.д.

Политики ограниченного использования программ (Software Restriction Policies). Политики, указывающие на то, какие приложения могут, а ка кие программы не могут выполняться на локальном компьютере.

Защита доступа к сети ( Network Access Protection). Настройка поли тик, определяющих требования к клиенту, подключающемуся к сети, и предоставляющих полный или ограниченный доступ к сети в зависимо сти от того, насколько клиент соответствует этим требованиям. В процее се проверки могут анализироваться различные аспекты безопасности: на личие обновлений программных средств и антивирусной защиты, параметры конфигурации и брандмауэра, список открытых и закрытых портов TCP/IP и т.д.

Политики управления приложениями (Application Control Policies). Управление средством AppLocker, представляющим собой новую функцию в системах Windows 7 и Windows Server 2008 R2, предназначенную для контроля за установкой и использованием приложений в корпоративной среде.

Политики IP-безопасности (IP Security Policies). Настройка политик безопасности IP для компьютеров, находящихся в определенной области действия.

Конфигурация расширенной политики аудита (Advanced Audit Policy Configuration). Политики, позволяющие централизованно настраивать аудит в системах Windows 7 и Windows Server 2008 R2.

2.Обзор опций безопасности

Краткий обзор опций безопасности, которые можно настроить в списке центра действий:

Центр действий (Action Center): центр действий пришел на замену центру безопасности. В центре действий вы можете указывать действия, которые ОС будет выполнять. С вашего разрешения действия могут выполняться. Здесь вам будет сказано, если ваша антивирусная программа не обновлена. Вы можете заходить в центр действий для выполнения действий, связанных с безопасностью.

Опции интернета (Internet Options): веб просмотр любого типа открывает двери для потенциальных рисков, связанных с интернетом. Если вы используете прокси-сервер, пользуетесь веб фильтрацией (и мониторингом) и постоянно обновляете свою ОС самыми последними обновлениями, вы можете оказаться в ситуации, где безопасность может быть скомпрометирована. В приложении опций интернета в панели управления (Internet Options Control Panel) вы можете указывать зоны безопасности, разрешать доступ только к определенным URL адресам, разворачивать расширенные параметры безопасности в закладке Дополнительно (Advanced) и многое другое. Сам браузер оснащен фильтром фишинга, который предотвращает атаки фишинга (Phishing), а также имеет другие настраиваемые опции, такие как InPrivate Browsing, которая не позволяет хранить вашу личную информацию, что особенно полезно при использовании компьютера в публичных интернет-кафе.

Брандмауэр Windows: как и любой другой программный или аппаратный межсетевой экран, брандмауэр Windows Firewall может предотвращать базовые атаки по умолчанию, и его можно настраивать многогранно для высокого уровня контроля над тем, что может входить и исходить с системы вашего компьютера, когда он подключен к публичной или частной сети. Перейдя в панель управления и выбрав брандмауэр Windows, вы получите доступ к большинству параметров конфигурации брандмауэра. Вы можете нажать на кнопку дополнительных параметров (Advanced) в диалоге для доступа к дополнительным параметрам и опциям конфигурации. В Windows 7 вы можете разворачивать несколько политик брандмауэра одновременно и использовать обозначение домена (Domain designation) для более простой настройки и управления брандмауэром Windows.

Персонализация (Personalization): опции персонализации представляют собой то место, где можно изменять внешний вид Windows, но здесь же вы можете настраивать пароли своей экранной заставки. Если Windows 7 используется на предприятии, пользователей необходимо научить тому, как запирать свои рабочие станции всякий раз, когда они покидают свое рабочее место, или создать параметры политики, которые бы делали это автоматически после определенного периода бездействия системы; экранная заставка, если настроить ее на запрос повторного входа после такого периода, может быть очень полезной. Дома это может стать вашей лучшей линией защиты, если вы покидаете компьютер и забываете его запереть.

Обновления Windows Update: все версии программного обеспечения требуют определенный уровень исправлений. Можно подготавливать, тестировать и пытаться разработать идеальный продукт, но невозможно учесть все. Также обновления и новые выпуски программ требуются для обновления вашей системы в течение ее использования. Поскольку в системе имеются усовершенствования, требования, необходимые для других технологий разработки, новые уязвимости безопасности и обновления драйверов для более хорошей производительности и функциональности, всегда будет необходимость в использовании Windows Update. Windows (и Microsoft) Upd ate или производственные версии управления исправлениями (например, WSUS) используются для централизованного управления и установки обновлений. Эти инструменты используются для контроля, отслеживания и мониторинга ваших текущих и будущих потребностей в обновлениях. Настройте автоматическое обновление, или возьмите за правило делать это вручную, поскольку это просто необходимо делать. Если вы не будете обновлять свою систему, как рекомендуется (а иногда требуется), вы подвергаете себя риску атаки.

Windows Defender: шпионские программы - это приложения, которые изначально использовались для незаконной торговой деятельности, и которые выполняют такие вещи, как повышение нагрузки, перенаправление вашего обозревателя и отправка информации о ваших действиях. Хотя антивирусные программы блокируют некоторые из таких приложений, Windows Defender (или другое ПО для удаления шпионских программ) нужно использовать для отчистки оставшихся шпионских программ. Куки (Cookies), хотя и безвредные по своей природе, могут иногда подвергаться манипуляциям для незаконных целей. Убедитесь, что Windows Defender часто обновляется новыми файлами дефиниций и исправлениями, чтобы быть уверенным в том, что он способен обнаружить самые свежие шпионские программы. SpyNet - это сообщество, к которому обращаются специалисты Microsoft для наблюдения, изучения и устранения ущерба от шпионских программ.

Пользовательские учетные записи (User Accounts): управление учетными записями пользователей является основой защиты доступа к вашему компьютеру, равно как и ко всему, что работает под его управлением. Например, если вы создадите новую учетную запись пользователя и включите ее в группу администраторов, у вас будет полный доступ к системе компьютера. Если вы настроите учетную запись в качестве обычного пользователя, то ее разрешения будут очень ограниченными и позволят выполнять лишь ряд базовых функций пользователя. Вы также можете настроить пароли, которые при создании в соответствие с требованиями политики паролей, заставляют пользователей создавать сложные для взлома пароли, что предотвращает большинство базовых атак. Если установлен Windows Server 2008 и Active Directory, вы можете получать доступ к домену, который (если вы являетесь его участником) позволит вам более гибко настраивать разрешения файловой системы NTFS для папок и файлов, а также прочих ресурсов с общим доступом, таких как принтеры.

Опции питания (Power Options): приложение Power Options Control Panel является тем местом, где вы настраиваете стандартное поведение операционной системы, когда она отключена, закрыта или находится в спящем режиме. Для большей степени безопасности рекомендуется устанавливать параметр на запрос пароля при выходе машины из спящего режима. Всякий раз, когда появляется возможность включения контроля доступа пользователей, следует ее использовать.

Итак, если вам нужно применить меры безопасности в Windows 7, меню Пуск может сослужить хорошую службу в качестве отправной точки для укрепления системы и открывает дверь ко многим доступным инструментам. Есть много опций, которые можно использовать для укрепления вашей системы Windows 7, особенно панель управления. Использование меню Пуск также является простым способом обеспечить основную линию защиты вашей системы после изначальной установки. Рекомендуется создавать основную линию безопасности после первичной установки и конфигурации вашей системы, что потребует от вас настройки всех параметров безопасности, приложений и загрузки исправлений и обновлений с последующим созданием резервной копии всей системы с помощью утилиты System Restore. Так у вас будет снимок системы в свежем состоянии на тот случай, если вам нужно будет вернуть систему в такое состояние. Можно создать точку восстановления, которая может использоваться, если система была взломана, и это позволит вам вернуть базовое состояние системы с примененными параметрами безопасности.

3.Дополнительные Параметры безопасности в Windows 7

SeAuditPrivilege. Данный параметр разрешает службе или учетной записи указывать параметры аудита доступа к объектам для отдельных ресурсов (файлов, объектов Active Directory, разделов реестра). То есть создавать записи в стандартном журнале безопасности системы (eventvwr. msc) при помощи API-функции ReportEvent.

Еще данное право разрешает очищать журнал безопасности оснастки eventvwr. msc.

По умолчанию данное право предоставлено группе "Администраторы". Вы же можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и включить политику "Управлять аудитом и журналом безопасности".

SeCreatePermanentPrivilege. Данный параметр позволяет службе или учетной записи создавать постоянные объекты, которые будут не удаляемыми при отсутствии ссылок на них. Например, создавать объекты каталога с помощью диспетчера объектов.

По умолчанию данное право никому не предоставлено, но вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Создание постоянных общих объектов раздела".

SeCreateTokenPrivilege. Данный параметр разрешает службе или учетной записи создавать первичные маркеры. То бишь: учетная запись может создать маркер, содержащий любые SID и привилегии, и запустить с его помощью процесс.

SeEnableDelegationPrivilege. Данный параметр используется в Active Directory для делегирования учетных записей и определяет, может ли данная учетная запись устанавливать параметр "Делегирование разрешено" для пользовательского или компьютерного объекта.

Этот параметр можно устанавливать только для тех учетных записей пользователей или компьютеров, для которых снят флажок "Учетная запись не может быть делегирована". По умолчанию в Windows 7 данное право никому не предоставлено. А на контроллере домена данное право по-умолчанию предоставлено группе "Администраторы".

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Разрешить доверия к учетным записям компьютеров и пользователей при делегировании".

SeLockMemoryPrivilege. Данное право разрешает службе или учетной записи выполнять блокировку физических страниц памяти.

Блокировка физических страниц памяти запрещает сброс блокированных страниц в файл подкачки на диск. То есть они всегда будут находиться в оперативной памяти.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и используйте политику "Блокировка страниц в памяти".

SeMachineAccountPrivilege. Данное право необходимо, чтобы диспетчер учетных данных безопасности SAM разрешил добавление компьютера к домену. Если пользователь обладает данным правом, он может добавить до десяти компьютеров в домен.

По умолчанию данное право предоставлено пользователям, прошедшим проверку подлинности на контроллере домена.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и используйте политику "Добавление рабочих станций к домен".

SeSyncAgentPrivilege. Данное право позволяет пользователям выполнять синхронизацию Active Directory. Оно позволяет читать объекты и свойства каталога Active Directory, даже если их атрибуты защиты это запрещают.

В Windows 7 данное право по умолчанию никому не предоставлено.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики и используйте политику "Синхронизировать данные службы каталогов".

4.Установка параметров безопасности для реестра

В некоторых случаях доступ к редактированию реестра может получить не только администратор или непосредственный владелец компьютера, но и простые пользователи. Подобные ситуации потенциально опасны тем, что лица, не обладающие достаточным опытом, при изменении каких-либо настроек случайно выведут реестр из строя, что отрицательно скажется на работоспособности системы. Именно по этой причине в Microsoft Windows XP имеется возможность ограничить доступ к отдельным разделам и подразделам реестра для отдельных пользователей и групп пользователей. Для этого:

1. Выделите в Панели разделов ключ или подраздел, для которого вы хотите настроить параметры безопасности;

параметр безопасность операционная система

2. Выполните последовательность команд Правка->Разрешения (Edit->Permissions). На экране появится окно настройки параметров безопасности для выбранного раздела реестра (рис. 20.4);

3. В списке Группы или пользователи (Group or user names) выберите обозначение пользователя или группы пользователей, для которых устанавливаются разрешения. Чтобы удалить из списка пользователя или группу пользователей, нажмите на кнопку Удалить (Remove).

4. Для того чтобы добавить в список локального или сетевого пользователя, либо группу пользователей, щелкните мышью на кнопке Добавить (Add). На экране появится окно Выбор: Пользователи или Группы (Select users or groups). Чтобы изменить тип добавляемого объекта, нажмите на кнопку Типы объектов (Object types) и выберите из предлагаемого списка требуемый вариант: Встроенные участники безопасности (Built-in security principals), Группы (Groups) и Пользователи (Users). В том же окне вы можете установить компьютер, для которого настраиваются параметры безопасности, щелкнув мышью на кнопке Размещение (Locations). По умолчанию предлагается локальный компьютер. Сами имена добавляемых в список объектов можно ввести через точку с запятой в поле Введите имена выбираемых объектов (Enter the object names to select). Допускается использование следующих форматов имен:

выводимое имя, например, имя и фамилия пользователя;

имя объекта, например, сетевое имя компьютера;

имя пользователя, в том виде, в котором оно зарегистрировано на целевом компьютере;

имя_объекта@имя_домена - напр., сетевое имя компьютера в зарегистрированном домене локальной сети;

имя_домена\имя_объекта - напр., имя зарегистрированного пользователя в одном из доменов локальной сети.

5. В нижней части окна настройки параметров безопасности установите флажки для тех типов действий, которые разрешены или запрещены выбранным пользователям или группам пользователей на данном компьютере. Предлагаются варианты Полный доступ (Full control), Чтение (Read) и Особые разрешения (Special permissions) (см. ниже). Следует понимать, что эти разрешения и запреты настраиваются не для всего реестра в целом, а только для ветви, ключа или подраздела, который вы первоначально указали в Панели разделов программы Редактор реестра.

Под особыми разрешениями в терминологии системы безопасности реестра Windows XP понимаются такие настройки доступа к элементам реестра, которые управляются правилами владения объекта, наследования и аудита. Владелец объекта в Windows XP - это пользователь операционной системы, который создал данный объект, либо наделен полномочиями администратора для управления этим объектом, включая возможности его полной настройки и удаления. Применительно к реестру Windows XP владелец объекта может управлять всеми разрешениями для данного объекта вне зависимости от разрешений, установленных для объекта по умолчанию. Владельцем всех элементов реестра в Windows XP автоматически считается администратор компьютера.

Правило наследования разрешений подразумевает, что разрешения и запреты, установленные для родительского элемента реестра Windows, наследуются его дочерними элементами. Например, разрешения, настроенные для ветви реестра HKLM автоматически наследуются всеми ключами и подразделами данной ветви. При указании особых разрешений администратор компьютера может изменить этот принцип, задав для некоторых дочерних ключей и подразделов реестра иные разрешения, нежели для всей ветви в целом.

Аудит событий безопасности позволяет фиксировать и записывать в специальный журнал безопасности Microsoft Windows XP Professional все системные события, относящиеся к вопросам общей безопасности системы. В частности, к таким действиям относятся обращения пользователей компьютера к реестру Windows, защищенным файлам и папкам, попытки пользователей выполнить запрещенные администратором компьютера или политикой безопасности действия. При этом в журнале фиксируются объект аудита, действия, подвергаемые аудиту, точные типы действий для аудита, имя пользователя, выполнявшего подвергаемые аудиту действия или пытавшегося выполнить какие-либо запрещенные процедуры. Впоследствии журнал безопасности может быть проанализирован администратором компьютера с целью выявления недостатков системы безопасности и брешей в защите Windows от несанкционированных действий пользователей.

Разрешения, действующие для реестра Windows XP, жестко привязываются к пользователям и группам пользователей, с одной стороны, и к фактическим объектам, для которых они назначены, с другой. Наиболее эффективными с точки зрения безопасности считаются разрешения, заданные для пользователя, группы пользователей или компьютера в целом на основе членства в группах, либо явно указанные администратором. К разрешениям, которые могут быть настроены для пользователя, группы пользователей или компьютера, относятся следующие:

чтение установленных для объекта разрешений;

смена владельца объекта;

создание или удаление связи между объектами;

запись избирательной таблицы в реестре;

просмотр подразделов текущего раздела реестра;

просмотр и изменение значений параметров;

создание и удаление подразделов в текущем разделе;

полный доступ к разделу реестра.

Настройка особых разрешений для какого-либо раздела или подраздела реестра осуществляется в окне Дополнительные параметры безопасности, которое открывается по щелчку мышью на кнопке Дополнительно в окне настройки параметров безопасности для выбранного раздела реестра. Ниже будут подробно описаны основные возможности при настройке особых разрешений для какого-либо раздела реестра.

Параметры безопасности реестра windows 7.

Редактор реестра (regedit ) - инструмент, предназначенный для опытных пользователей . Этот инструмент предназначен для просмотра и изменения параметров в системном реестре, в котором содержатся сведения о работе. Изменения параметров безопасности реестра так же способны повысить уровень безопасности данных.

Отключить редактирование меню Пуск

Откройте раздел

NoChangeStartMenu и значение параметра должно быть равно 1

Запрет запуска Панели управления

В разделе

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer создайте параметр типа DWORD с именем NoControlPanel 1

Отключить запуск Диспетчера задач В разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies создайте дополнительный подраздел с именем System (если его нет) и в этом разделе создайте параметр типа DWORD с именем DisableTaskMgr и значение 1 . Теперь при вызове Диспетчера задач этот пункт в меню Панели задач будет не активен

Отключить автозагрузку USB-устройст, приводов, съемных дисков, сетевых дисков Открываем раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies и создаем новый раздел с именем Explorer В этом разделе создаем параметр типа DWORD с именемNoDriveTypeAutoRun Значение параметра выбираем на своё усмотрение 0x1 0x4 - отключить автозапуск съёмных устройств 0x8 - отключить автозапуск НЕсъёмных устройств 0x10 - отключить автозапуск сетевых дисков 0x20 - отключить автозапуск CD-приводов 0x40 - отключить автозапуск RAM-дисков 0x80 - отключить автозапуск на приводах неизвестных типов 0xFF - отключить автозапуск вообще всех дисков

Отключить просмотр общих ресурсов анонимным пользователям

Вразделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa изменитезначениепараметраrestrictanonymous на1

Отключаем "расшаренные" административные ресурсы C$, D$, ADMIN$

Открываем редактор реестра и в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters создаем параметр типа DWORD и именем AutoShareWks . Значение параметра - 0 . Теперь если открыть Управление компьютером - Общие папки - Общие ресурсы, то кроме IPC$ ничего не должно быть.

Отключение запуска Командной строки

Откройте раздел HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows и создайте дополнительный подраздел System с параметром типа DWORD DisableCMD , значение параметра могут иметь следующие:

0 - разрешить использовать Командную строку

2 - разрешить запуск командных файлов

Отключить изменение обоев рабочего стола

В разделе HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies создайте подраздел ActiveDesktop и в нем параметр типа DWORD с именем NoChangingWallPaper со значением 1

Отключение Рабочего стола

Откройте раздел

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer и создайте в нем параметр типа DWORD с именем NoDesktop и значением 1 . Вернуть Рабочий стол можно изменить параметр на 0 или удалить его.

Запрет запуска Редактора реестра (regedit)

Откройтераздел HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies исоздайтевнемподразделSystem . В этом подразделе создайте параметр типа DWORD с имнем DisableRegistryTools с именем 1 .

Примечание . Если не сделать экспорт этого раздела где параметр DisableRegistryTools имеет значение 0 , или не создать заранее reg-файл, для возврата запуска Редактора реестра, то запуск будет невозможен. Для создания reg-файла откройте блокнот и скопируйте в него эти строки

Windows Registry Editor Version 5.00 "DisableRegistryTools"=dword: 00000000

Сохраните этот файл под любым, удобным для вас именем, и поменяйте расширение txt на reg. Теперь для возврата запуска Редактора реестра запустите этот файл.

Отключение автоматического обновления Internet Explorer

Откройте раздел HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main и установите значение параметра NoUpdateCheck равное 1

Запретить автоматическое обновление Media Player

Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\PlayerUpgrade и создайте строковый параметр AskMeAgain со значение no . И проверьте параметр EnableAutoUpgrade , его значение установите no

Запрет запуска определенных программ

Задать список программ, которые не будут запущены пользователем можно в разделе HKEY_CURRENT_USER\ Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun. Если подраздела DisallowRun нет - создайте его. Создайте строковый параметр (REZ_SZ) с именем1 (порядковый номер программ, вторая программа будет с именем 2, и т. д) Значени е параметров - это имя программы с расширение exe, например AkelPad. exe

Отключение сообщения о недостатке свободного места Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, создайте в нем параметр типа DWORD с именем NoLowDiskSpaseChecks и установите значение параметра 1 Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gather и измените значение параметра LowDiskMinimumMBytes на 0 Откройде раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gathering Manager и измените значение параметра BackOffLowDiskThresholdMB на 0 Примечание : Чтобы менять значения в разделе могут понадобится права администратора. Для этого надо сделать следующее: Пуск - Все программы - Стандартные. Правой клавишей на Командная строка - Запуск от имени администратора. Ведите команду regedit . Теперь на разделе Gathering Manager кликните правой кнопкой и выберите Разрешения . В открывшемся окне выберите Дополнительно . Перейдите во вкладку Владелец и выберите свою учетную запись (У вас должны быть права администратора). Применить и ОК.

После этих изменений, если на диске будет меньше 10% свободно места, не будет работать система восстановления и дефрагментация диска.

Запрет на установку простого пароля

Дополнительная функция для усложнения пароля. По мимо установки минимальной длины, это параметр задает еще и буквенно-цифровой пароль. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, создайте подраздел Network и в этом подразделе создайте параметр типа DWORD с именем AlphanumPwds и значение параметра установите 1

Запретить отсылать данные в Microsoft SpyNe t

Если вы используете "Защитник Windows", встроенный в Windows 7 по умолчанию, то Microsoft собирает информацию не только об ошибках в программах, но и о вашей ОС. Чтобы отключить оправку данных: Пуск - Панель управления - Защитник Windows. В открывшемся окне нажмите на иконку "Программы" в верхнем меню, затем перейдите по ссылке "Microsoft SpyNet". В диалоговом окне выберите опцию "Не присоединяться к сообществу Microsoft SpyNet" и сохраните изменения

5.Заключение

В данном реферате были рассмотрены опции и параметры безопасности ОС Windows 7, а так же базовые (и расширенные) способы их изменения с целью повышения защищенности данных, хранимых на PC .

Win 7 обладает достаточной высокой встроенной защищенностью от внешних угроз, а так же гибким набором настроек, повышающих безопасность ОС в целом. Списки настроек и параметров приведены в самом реферате, а так же различные способы редактирования данных настроек с целью повышения безопасности ОС.

6. 7.Ссылки на ресурсы

http://www.winline.ru/os/windows_7/

http://www.magicpc. spb.ru/

http://www.anti-malware.ru/

http://windxp.com.ru/

Http://www.os-7.ru

http://www.winpedia.ru

Размещенона Allbest.ru

Благодарим Вас за проявленный интерес к нашему сайту. Компания Айтишник существует с 2006 года и предоставляет услуги IT аутсорсинга. Аутсорсинг - это перепоручение необходимых, но непрофильных для компании работ другой организации. В нашем случае это: создание, поддержка и сопровождение сайтов, продвижение сайтов в поисковых системах, поддержка и администрирование серверов под управлением Debian GNU/Linux.

Сайты на Joomla

В нынешний век информации, сайт де факто, становится как минимум визитной карточкой организации, а зачастую одним из инструментов бизнеса. Уже сейчас сайты создаются не только для организаций и частных лиц, но и для отдельных товаров, услуг и даже событий. На сегодняшний день сайт это не только источник рекламы на гигантскую аудиторию, но и инструмент для продаж и завязывания новых контактов. Мы создаем сайты, используя CMS Joomla! Эта система управления сайтами проста и интуитивно понятна. Она очень широко распространена и, следовательно, в Интернете о ней содержится большое количество информации. Найти специалиста, работающего с Joomla тоже несложно. И вам не надо далеко ходить! Наша компания Айтишник занимается обслуживанием и сопровождением сайтов на Joomla! Мы проведём все технические работы, возьмём на себя всю переписку с хостером и регистратором домена, наполним сайт и обновим на нём информацию. И хотя Joomla проста в управлении, интуитивно понятна. Но будете ли вы сами регулярно выполнять необходимые работы на сайте? Сколько времени они отнимут у вас? Если вы хотите сконцентрироваться на своём деле, то доверьте поддержку вашего сайта нам. Мы сделаем все от нас зависящее, чтобы сайт жил и приносил пользу своему владельцу.
Если вы коммерческая организация, которая рекламирует или продаёт свои товары, услуги в Интернет, то вам просто необходимо продвижение сайта в поисковых системах. Ведь для того, чтобы продать что-нибудь надо, как минимум, чтобы это увидели, чтобы об этом узнали. И мы поможем вам в этом, мы продвинем ваш Joomla сайт в поисковых системах. В зависимости от конкуренции и выделенного для продвижения бюджета, ваш сайт будет занимать достойные позиции в поисковой выдаче. Сайт увеличит вашу прибыль!

Серверы Debian

Рано или поздно, стремясь к открытости и прозрачности своего бизнеса, многие компании сталкиваются с необходимостью обеспечения лицензионной чистоты используемого программного обеспечения. Однако, далеко не всегда затраты на лицензионные отчисления приемлемы, в особенности для малого и среднего бизнеса. Выходом из этой сложной ситуации является решение о переходе на Open Source технологии. Одним из направлений Open Source является операционная система Linux (Линукс). Сотрудники нашей компании специализируются на Debian Linux (Дебиан Линукс). Это старейший и наиболее устойчивый дистрибутив операционной системы Линукс. Мы предлагаем вам услуги по внедрению Debian Linux на Вашем предприятии, настройку, обслуживание и поддержку серверов.

Информация и реклама

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

"Пензенский государственный университет"

Кафедра "Информационная безопасность систем и технологий"

"Настройка параметров безопасности операционной системы Windows 7"

Дисциплина: методы программирования

Группа: 11 ПТ 1

Руководитель работы: Лупанов М.Ю.

Введение

Windows 7 - это последняя клиентская ОС для компьютеров от компании Microsoft, которая построена с учетом сильных и слабых сторон своих предшественников, Windows XP и Windows Vista. Каждый аспект базовой операционной системы, а также выполняемых ею служб, и то, как она управляет приложения, загруженными в нее, были пересмотрены, и по возможности были приняты меры по улучшению ее безопасности. Все сервисы были усовершенствованы и новые опции безопасности делают эту ОС более надежной. Помимо некоторых основных усовершенствований и новых служб, ОС Windows 7 предоставляет больше функций безопасности, улучшенные возможности аудита и мониторинга, а также возможности шифрования подключений и данных. В Windows 7 имеют место некоторые усовершенствования внутренней защиты для обеспечения безопасности такими внутренними компонентами системы, как Kernel Patch Protection (защита патча ядра), Service Hardening (упрочение сервисов), Data Execution Prevention (предотвращение несанкционированного выполнения данных), Address Space Layout Randomization (внесение случайности в верстку адресного пространства) и Mandatory Integrity Levels (обязательные уровни целостности).7 создана для надежного использования. С одной стороны она была разработана в рамках Microsoft"s Security Development Lifecycle (SDL) и спроектирована для поддержки требований Common Criteria, что позволило ей получить сертификацию Evaluation Assurance Level (EAL) 4, которая отвечает требованиям федерального стандарта обработки информации (Federal Information Processing Standard - FIPS) #140-2. При использовании Windows 7 как отдельной системы ее можно защищать личными средствами безопасности. Windows 7 содержит множество различных инструментов безопасности, но именно в сочетании с Windows Server 2008 (R2) и Active Directory эта ОС становится бронежилетом. Используя дополнительные методы безопасности таких инструментов, как Group Policy, вы можете контролировать каждый аспект безопасности ваших компьютеров. Если Windows 7 используется в домашнем офисе или личных целях, ее также можно защищать во избежание многих нынешних методов взлома, и систему можно быстро восстанавливать после сбоя, поэтому, хотя совместное использование этой ОС с Windows 2008 является более надежным, оно вовсе необязательно для применения высокого уровня безопасности в Windows 7. Также следует учитывать тот факт, что, хотя Windows 7 безопасна по своей природе, это вовсе не означает, что вам нужно полностью полагаться на стандартную конфигурацию и что нет необходимости вносить изменения для улучшения безопасности. Также не стоит забывать о том, что со временем вы будете подвергнуты риску заражения каким-то вредоносным кодом или интернет атаке, когда компьютер используется в любой публичной сети. Если компьютер используется для любого типа публичного доступа в интернет, ваша система и сеть, к которой она подключена, становятся доступными для возможных атак.

Ключевую роль в обеспечении безопасности данных, хранимых на PC, играют настройки безопасности операционной системы. Настройки призваны оптимально сконфигурировать параметры системы таким образом, чтобы минимизировать риск потери данных вследствие реализации каких-либо вредоносных, ошибочных и др. воздействий, а так же сократить список уязвимостей вашей системы.

Группы политик, отвечающих за безопасность

Файловая система (File System). Настройка прав доступа к определенным файлам.

Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security). Настройка правил и других параметров встроенного брандмауэра Windows (Windows Firewall).

Защита доступа к сети (Network Access Protection). Настройка поли тик, определяющих требования к клиенту, подключающемуся к сети, и предоставляющих полный или ограниченный доступ к сети в зависимо сти от того, насколько клиент соответствует этим требованиям. В процее се проверки могут анализироваться различные аспекты безопасности: на личие обновлений программных средств и антивирусной защиты, параметры конфигурации и брандмауэра, список открытых и закрытых портов TCP/IP и т.д.

Краткий обзор опций безопасности

Краткий обзор опций безопасности, которые можно настроить в списке центра действий:

Программы и функции (Programs and Features): помимо обновлений Windows Updates вам также нужно часто проверять, что установлено у вас в системе, особенно если вы работаете в интернете и/или загружаете программные продукты с интернет серверов. Например, установка простого обновления Java, если вы не внимательно прочитали информацию по нему во время установки, может также установить панель инструментов в вашей системе, которая интегрируется в ваш веб браузер. Сейчас это контролируется более жестко, но в любом случае, вам следует время от времени проверять, что установлено у вас в системе.Defender: шпионские программы - это приложения, которые изначально использовались для незаконной торговой деятельности, и которые выполняют такие вещи, как повышение нагрузки, перенаправление вашего обозревателя и отправка информации о ваших действиях. Хотя антивирусные программы блокируют некоторые из таких приложений, Windows Defender (или другое ПО для удаления шпионских программ) нужно использовать для отчистки оставшихся шпионских программ. Куки (Cookies), хотя и безвредные по своей природе, могут иногда подвергаться манипуляциям для незаконных целей. Убедитесь, что Windows Defender часто обновляется новыми файлами дефиниций и исправлениями, чтобы быть уверенным в том, что он способен обнаружить самые свежие шпионские программы. SpyNet - это сообщество, к которому обращаются специалисты Microsoft для наблюдения, изучения и устранения ущерба от шпионских программ.

Некоторые Дополнительные Параметры безопасности в Windows 7

Еще данное право разрешает очищать журнал безопасности оснастки eventvwr. msc.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и используйте политику "Добавление рабочих станций к домен".

В Windows 7 данное право по умолчанию никому не предоставлено.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики и используйте политику "Синхронизировать данные службы каталогов".

Установка параметров безопасности для реестра

Выделите в Панели разделов ключ или подраздел, для которого вы хотите настроить параметры безопасности;

параметр безопасность операционная система

В списке Группы или пользователи (Group or user names) выберите обозначение пользователя или группы пользователей, для которых устанавливаются разрешения. Чтобы удалить из списка пользователя или группу пользователей, нажмите на кнопку Удалить (Remove).

Для того чтобы добавить в список локального или сетевого пользователя, либо группу пользователей, щелкните мышью на кнопке Добавить (Add). На экране появится окно Выбор: Пользователи или Группы (Select users or groups). Чтобы изменить тип добавляемого объекта, нажмите на кнопку Типы объектов (Object types) и выберите из предлагаемого списка требуемый вариант: Встроенные участники безопасности (Built-in security principals), Группы (Groups) и Пользователи (Users). В том же окне вы можете установить компьютер, для которого настраиваются параметры безопасности, щелкнув мышью на кнопке

7 советов по улучшению безопасности Windows 7

Эта статья будет полезна для любого системного администратора или домашнего пользователя, которые хотят в срочном порядке обезопасить работу своего компьютера, чтобы большинство установленных приложений не вызвало слишком много проблем.

1. Включите BitLocker

BitLocker Drive Encryption может использоваться для шифрования любого раздела на вашем жестком диске, включая загрузочный, системный и даже съемные носители, такие как USB флешки. Недостатки, которые были в Windows Vista, устранены. Теперь вы можете кликнуть правой кнопкой мыши и зашифровать любой раздел прямо из Windows Explorer. Существует несколько методов защиты, включающие в себя комбинации из чипа TPM (Trusted Platform Module), ПИН-кода, пароля и смарт-карты.

Мне особенно нравится функция шифрования съемных носителей, поддерживающая как NTFS, так и FAT разделы. Вы можете зашифровать съемные носители по отдельности, или потребовать по умолчанию шифровать все съемные устройства. Зашифрованные съемные носители могут быть расшифрованы на любом компьютере с Windows 7, а не только на том, на котором они изначально были зашифрованы. Зашифрованные носители с файловыми системами FAT, exFAT и FAT32 могут также использоваться клиентами Windows XP и Windows Vista, однако зашифрованные данные будут только для чтения и не могут быть перезашифрованы.

Полезный совет: храните информацию по восстановлению для BitLocker где-нибудь в безопасном и надежном месте. BitLocker является хорошим средством шифрования, и он может зашифровать ваши данные навсегда, если вы не сможете предоставить ему пароль для восстановления. В большинстве организация следует автоматически бэкапить пользовательские пароли восстановления в Active Directory. Информация по восстановлению для BitLocker хранится как атрибут в Computer Object, поэтому убедитесь, что настроены права доступа пользователя к этим атрибутам в соответствии с правилами безопасности вашей организации.

2. Поднимите ползунок UAC

User Account Control был существенно улучшен, чтобы быть менее назойливым и более эффективным по распознаванию допустимых и потенциально опасных действий в Windows 7. Однако, в зависимости от того, под каким пользователем вы вошли в систему – администратором или стандартным польователем, некоторые установки Windows 7 могут иметь настройки безопасности UAC по умолчанию на уровень ниже, чем некоторые эксперты рекомендуют. Стандартные пользователи имеют настройки безопасности UAC на самом высоком уровне, однако аккаунты администраторов находятся на уровень ниже от максимального, что является потенциально опасным.

Microsoft сделала простой ползунок UAC, что позволяет администраторам и пользователям настраивать их уровень безопасности UAC. После установки всего необходимого программного обеспечения и настройки Windows 7 удобным для вас способом, я рекомендую поднимать ползунок UAC до значения “Всегда уведомлять” (“Always notify”), которое является наиболее безопасным. Даже в режиме “Всегда уведомлять” вам будут реже попадаться оповещения UAC, по сравнению с Windows Vista.

Замечание: Хотя UAC и предоставляет механизм, препятствующий несанкционированному использованию прав админимстратора, его все равно можно обойти. Если вам нужен высокий уровень безопасноси, то не заходите в систему под пользователем с повышенными привилегиями, если в этом нет необходимости.

3. Устанавливайте все обновления

В Windows 7 со стандартными настройками, сервис обновлений Windows Update будет настроен должным образом, чтобы своевременно скачивать и устанавливать критические обновления операционной системы Windows и приложений Microsoft. Многочисленные наблюдения показали, что программное обеспечение Microsoft является одним из наиболее обновляемых в мире. Однако в Windows нет ничего, что могло бы помочь для поддержки обновлений, не являющихся Microsoft. Убедитесь, что все программы обновляются – особенно ваши плагины браузера. Хакеры быстро находят наименее обновляемые программы сторонних разработчиков, чтобы незаметно атаковать конечного пользователя.

4. Установите анти-спам и анти-malware

Набольшую опасность для пользовательских систем представляют трояны – поддельный патч для Outlook, поддельный сканер анти-вируса, поддельный кодек для просмотра видео с Бритни Спирс – так обманывают конечных пользователей для скачивания и запуска вредоносного ПО. Прошли те времена, когда вы могли выделить плохой контент, заметив ошибки в грамматике и неправильное написание. Сегодня могут быть одурачены даже самые осведомленные люди в области безопасности. Пока вы не сможете сказать в чем разница между хорошим и плохим ПО с идеальной точностью, вам следует устанавливать и использовать обновленные анти-спам и анти-malware ПО.

5. Включите фильтр SmartScreen в Internet Explorer 8

При первом запуске IE8, мастер настройки спросит вас, хотите ли вы включить SmartScreen фильтр, который проверяет в локальной базе данных или на сайте Microsoft, является ли просматриваемый веб-сайт разрешенным или вредоносным. Фильтр SmartScreen также проверяет на наличие известных уязвимостей, таких как XSS (межсайтовый скриптинг). При включенном SmartScreen будут небольшие, едва заметные задержки. Разбирающиеся в безопасности пользователи возможно захотят отключить эту настройку, однако большинству пользователей следует убедиться, что она включена. Если у вас уже запущен IE8, включите фильтр SmartScreen, выбрав его в меню Безопасность.

6. Проведите очистку

Со временем большинство систем накапливают все больше и больше программ, зачастую ненужных, что в конечном итоге сказывается на ресурсах оперативной памяти. Без очистки ваша система станет более медленной, более склонной к поломкам и подвергнутой атакам на плохое ПО.

Периодически проверяйте программы и сервисы, работающие в вашей системе, и удаляйте то, что не нужно. Вы можете проверять вашу систему вручную или использовать утилиту, такую как Autoruns от Microsoft , бесплатную для скачивания. Autoruns отобразит весь список программ и сервисов, работающих в системе, и позволит вам отключить то, что не нужно, одним кликом мыши. Прежде чем отключать все подряд, что вам неизвестно, я советую провести исследование – для того, чтобы у вас не было потом непонятных проблем, если вы забудете, что отключили.

7. Делайте бэкапы ваших данных

Все мы давно пользуемся компьютерами и знаем что может случиться. Хорошо иметь гарантию на компьютер на несколько лет, но чтобы минимизировать вред, нанесенный поломкой комьютера – обязательно делайте бэкапы незаменимых данных. Windows 7 включает в себя надежную программу для создания бэкапов, которую вы можете найти в Control Panel > System and Security > Backup and Resotre. Или просто сделайте поиск по ключевому слову “backup” в Справке и Поддержке (Help and Support), чтобы узнать все, что вам нужно о бэкапах Windows.

В этой статье рассмотрены все пункты, которые необходимо выполнить, чтобы сделать безопасную систему Windows 7 еще более безопасной. Если ваша операционная система и все приложения полностью обновлены, и вы не попадетесь на запуск трояна, то вы будете гораздо меньше подвержены риску, чем обычный пользователь. Не попадайтесь в ловушку по отключеню стандартных настроек Windows 7 (UAC, защищенный режим Internet Explorer, Windows Firewall, и т.д.). Большинство советчиков не имеют такого накопленного опыта, какой есть у Microsoft.

Дополнительные параметры безопасности windows 7. Запрет запуска определенных программ