導入

コンピュータがコンピュータネットワーク (インターネットでもイントラネットでも) に接続されている場合、ウイルス、悪意のある攻撃、その他の侵入に対して脆弱になります。これらの危険からコンピュータを保護するには、コンピュータ上でファイアウォール (ファイアウォール) とウイルス対策ソフトウェア (最新のアップデートを含む) を常に実行しておく必要があります。さらに、最新のアップデートもすべてコンピュータにインストールされている必要があります。

すべてのユーザーがこれを常に監視できるわけではありません。すべてのユーザーがこれを行う方法を知っているわけではありません。また、たとえユーザーがこれらの点に関して有能であったとしても、そのようなチェックを行うのに十分な時間がない可能性があります。 Microsoft は、Windows XP の SP2 にそのようなツールを含めることで、これらすべてのユーザーに配慮しました。「」（Windowsセキュリティセンター）と呼ばれます（図1）。

米。 1. Windows セキュリティセンター

このツールの主な目的は、ユーザーに情報を提供し、正しい方向に導くことです。まず、3 つの主要な OS コンポーネント (ファイアウォール、ウイルス対策、自動更新システム) の状態を常に監視します。これらのコンポーネントのいずれかの設定がコンピューターのセキュリティ要件を満たしていない場合、ユーザーは通知を受け取ります。たとえば、図では図 2 は、これらの通知の 1 つを示しています。

米。 2.アラート

次に、Windows セキュリティセンターを開くと、ユーザーは現在の状況を修正する方法に関する具体的な推奨事項を受け取るだけでなく、コンピュータセキュリティに関連するその他の設定がどこにあるか、および Microsoft Web サイトのどこで追加情報を参照できるかを確認できます。安全を確保するために。

コンピュータをドメインに接続すると、Windows セキュリティセンターはコンピュータのセキュリティ状態に関する情報を表示せず (図 3)、セキュリティメッセージも送信しないことにすぐに注意してください。この場合、セキュリティ設定はドメイン管理者が管理する必要があると考えられます。

ドメインの一部であるコンピュータに対して Windows セキュリティセンターを有効にするには、ドメインのグループポリシーで [コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[セキュリティセンター]、[セキュリティセンターを有効にする] 設定を有効にする必要があります (ドメイン内のコンピュータのみ)。」。

米。 3. Windows セキュリティセンター

Windowsのセキュリティ設定

Windows セキュリティセンターを開くには、[スタート] ボタンをクリックし、[コントロールパネル] を選択して、セキュリティセンターアイコンをダブルクリックします (図 4)。

米。 4.アイコン

Windows セキュリティセンターウィンドウは 3 つの部分に分かれています (図 5)。

米。 5.セキュリティセンター

リソース。ここでは、インターネットリソース、組み込みの Windows ヘルプサービス、および警告設定を構成するウィンドウに移動するためのリンクを示します。
セキュリティコンポーネント。ここでは、ファイアウォール、自動更新、ウイルス対策保護という 3 つの主要なセキュリティコンポーネントの情報要素を示します。
セキュリティ設定。ここには、Internet Explorer、自動更新、Windows ファイアウォールのコンポーネントのセキュリティ設定にアクセスするためのボタンがあります。

これらの部分をさらに詳しく見てみましょう。

リソース

図では、図 5 において、数字の 1 はリンクを示し、最初の 3 つは Microsoft Web サイトの対応するページに移動することを目的としています。最後から 2 番目のリンクをクリックすると、Windows セキュリティセンターの概要ページの Windows ヘルプが開きます。最後のリンクは、「アラート設定」ウィンドウを開くことを目的としています (図 6)。

米。 6.アラート設定

コンピュータにセキュリティセンターで検出されないファイアウォールおよびウイルス対策ソフトウェアがインストールされている場合は、対応するアラートを無効にすることができます (図 6 を参照)。

セキュリティコンポーネント

図 5 の番号 2 - 各情報ボードは、対応するコンポーネントのステータスを報告します。図 7 は、考えられる状態を示しています。

米。 7。情報ボードの状態

状態 A ～ C はコメントなしで明らかです。状態 D - 「見つからない」 - は、対応するソフトウェア (ウイルス対策やファイアウォールなど) の存在を判断できないことに対応します。状態 E - 「期限切れ」 - ウイルス対策データベースの更新が古い場合、ウイルス対策保護が行われる可能性があります。状態 F - 「監視されていない」 - 対応するコンポーネントに対する制御が無効になっていることに対応します。

Security Center は、コンポーネントの状態を判断するために 2 層のアプローチを採用しています。

1. レジストリの内容とソフトウェアのステータスに関する情報を含むファイルを確認します (Microsoft はソフトウェア製造元からファイルとレジストリ設定のリストを受け取ります)。

2. ソフトウェアのステータスに関する情報は、WMI (Windows Management Instrumentation) を使用してインストールされたプログラムから送信されます。

図 8 は、ファイアウォールコンポーネントの考えられる状態の 1 つを示しています。 [推奨事項...] ボタンをクリックすると、ファイアウォールを有効にする (図 9、[今すぐ有効にする] ボタン)、またはこのコンポーネントの状態の監視を無効にする (図 9、[インストールして有効にする] ボタン) ことができます。自分でファイアウォールを監視する」オプション)。

米。 8.ファイアウォールのステータス

[今すぐ有効にする] ボタンをクリックした後 (図 9 を参照)、Windows ファイアウォールが正常に起動すると、対応するメッセージが画面に表示されます (図 10)。

米。 10.メッセージ

図 11 は、「自動更新」コンポーネントの考えられる状態の 1 つを示しています。「自動更新を有効にする」ボタンをクリックすると、Microsoft が推奨する「自動更新」動作モードが有効になります (図 12)。

米。十一。「自動アップデート」状態

米。 12.自動更新

「自動更新」の設定された動作モードに応じて（図 12 を参照）、このモードの簡単な説明が「セキュリティセンター」ウィンドウに表示されることに注意してください。

図 13 は、「ウイルス保護」コンポーネントの考えられる状態の 1 つを示しています。「推奨事項…」ボタンをクリックすると、「ウイルス対策プログラムを有効にしてください」(無効になっている場合)、「別のウイルス対策プログラムをインストールしてください」という簡潔な指示が表示されます (図 14)。このウィンドウでは、このコンポーネントのステータスの監視を無効にすることができます (「ウイルス対策ソフトウェアを自分でインストールして監視する」オプション)。

米。 13.ウイルス防御ステータス

セキュリティ設定

図 5 の 3 番の下に、次のコンポーネントのセキュリティ設定に移動するためのボタンがあります: Internet Explorer、自動更新、Windows ファイアウォール。

ボタンを押すとをクリックすると、Internet Explorer の設定ウィンドウの「セキュリティ」タブが表示されます (図 15)。

図15。 Internet Explorerの設定

ボタンをクリックすると「自動更新」設定画面が開きます（図12参照）。

ボタンをクリックすると、対応する設定ウィンドウが表示されます (図 16)。

米。 16.

Windows XP SP2 では、次のアイコンは、セキュリティ関連の設定 (図 16 などを参照) を示すため、およびコンピュータのセキュリティステータスに関する通知 (図 2 などを参照) に使用されます。

1. - 重要な情報と安全設定を示します。

2. - 潜在的なセキュリティリスクを通知します。

3. - 状況はより安全になります。お使いのコンピュータは推奨されるセキュリティ設定を使用しています。

4. - 警告: 状況は潜在的に危険です。セキュリティ設定を変更して、コンピュータの安全性を高めます。

5. - 現在のセキュリティ設定を使用することはお勧めできません。

インターネット設定

先ほども述べたように、ボタンをクリックすると、「Windows セキュリティセンター」では、「セキュリティ」タブの Internet Explorer 設定ウィンドウが表示されます (図 17)。

米。 17.

このタブで利用可能なオプションを見てみましょう。上部には、インターネット、ローカルイントラネット、信頼済みサイト、制限付きサイトの 4 つのゾーンがあります。表 1 に各ゾーンの説明を示します。

表 1. ゾーンの説明

インターネットゾーンを除くすべてのゾーンについて、ゾーンに含まれるホストを定義できます。これを行うには、目的のゾーンを選択し (図 17 を参照)、「ノード...」ボタンをクリックする必要があります。この場合、「ローカルイントラネット」ゾーンの場合、図 18 に示すウィンドウが開きます。特定のノードを指定する場合は、「詳細...」ボタンをクリックします。その結果、図19に示すウィンドウが表示されます。「信頼済みサイト」ゾーンと「制限付きサイト」ゾーンに含まれるノードを定義する場合も、同様のウィンドウが開きます。「制限付きサイト」ゾーンのみ、「このゾーンのすべてのサイトはサーバー検証が必要です (https:)」オプションがありません。

米。 18.ローカルイントラネット

米。 19.特定のノードの指定

各ゾーンには、希望するセキュリティレベル (高、中、平均以下、低) を割り当てることができます。低いセキュリティレベルは最小限のセキュリティを表し、完全に信頼できるサイトに使用されます。

希望のゾーンを選択し (図 17 を参照)、「デフォルト」ボタンをクリックします。「セキュリティ」タブの外観が変わります（図20）。ウィンドウの下部で、必要なセキュリティレベルを決定できます。提案されたセキュリティレベルを使用したくない場合は、「その他…」ボタンをクリックして、すべてのセキュリティパラメータを自分で定義できます (図 21)。

米。 20. Internet Explorerのセキュリティ設定

米。 21.セキュリティ設定

上記の Internet Explorer のセキュリティ設定は、グループポリシー (コンピューターの構成、管理用テンプレート、Windows コンポーネント、Internet Explorer、インターネットコントロールパネル、セキュリティページ) からも利用できます。

自動更新

前述したように、「Windows セキュリティセンター」のボタンをクリックすると、「自動更新」設定ウィンドウが開きます (図 22)。

米。 22.自動更新オプション

Windows XP に組み込まれているヘルプシステムでは、自動更新システムについて詳しく説明されています。このヘルプにアクセスするには、「自動更新はどのように機能しますか?」をクリックしてください。 (図 22 を参照)。いくつかの点に注目してみましょう。

まず、アップデートの「ダウンロード」と「インストール」の概念を区別する必要があります。ダウンロードとは、Microsoft サーバー (または組織内の内部更新サーバー) からユーザーのコンピュータに更新ファイルを転送するプロセスを指します。インストールとは、ユーザーのコンピュータに更新プログラムをインストールする実際のプロセスを指します。アップデートがユーザーのコンピュータにダウンロードされていても、まだインストールされていない可能性があります。

次に、「自動」オプションを選択した場合 (図 22 を参照)、指定した時間に更新がダウンロードされ、インストールされます。指定した時間にコンピューターの電源が常にオフになっている場合、更新プログラムはインストールされません。コンピュータにログオンすると、ローカル管理者権限を持つユーザーは、スケジュールされた時間を待たずにインストールを手動で実行できます。スケジュールされた時刻が到来すると、アップデートのインストールが開始されることがユーザーに通知されます。管理者が現時点でシステムの作業を行っている場合は、次回のスケジュールされた時間までインストールを延期することができます。他のユーザー (管理者権限を持たないユーザー) には、スケジュールされた更新プログラムのインストールをキャンセルする機会がありません。

その他すべての場合 (「自動更新をオフにする」オプションを除く)、コンピューターの既存の更新 (ダウンロードまたはインストールの準備ができている) に関する通知は、ローカル管理者権限を持つユーザーがコンピューターに登録されている場合にのみ表示されます。したがって、ローカル管理者グループのメンバーではないアカウントを使用してコンピュータで常に作業している場合、更新プログラムは決してインストールされません。

上記の自動更新設定は、グループポリシー (コンピューターの構成、管理用テンプレート、Windows コンポーネント、Windows Update) を通じて構成することもできます。さらに、グループポリシーを介してのみ追加の設定を行うことができます。たとえば、内部更新サーバーのアドレスを指定できます。このサーバーは、Microsoft サーバーから更新を一元的に受信し、組織の内部コンピューターに配布します。このようなサーバーの例としては、Microsoft® Windows Server™ Update Services (WSUS) があります。

Windowsファイアウォール

前述したように、「Windows セキュリティセンター」のボタンをクリックすると、「Windows ファイアウォール」の設定画面が開きます（図 23）。

米。 23. Windows ファイアウォールの設定

「Windows ファイアウォールの詳細」という碑文 (図 23 を参照) をクリックすると、Windows XP SP2 に含まれるファイアウォール (ファイアウォール) の機能に関する簡単な情報を読むことができます。

他のメーカーの製品とは異なり、組み込みの Windows ファイアウォールは受信トラフィックの制御のみを目的としていることに注意してください。コンピュータを外部の侵入からのみ保護します。コンピュータからの送信トラフィックは制御されません。したがって、コンピュータが他のコンピュータとの接続を確立するトロイの木馬やウイルスにすでに感染している場合でも、Windows ファイアウォールはネットワークアクティビティをブロックしません。

さらに、デフォルトでは、ファイアウォールはすべてのネットワーク接続を保護し、受信 ICMP エコー要求は無効になります。つまり、コンピュータで Windows ファイアウォールが有効になっている場合、PING コマンドを使用してネットワーク上にそのようなコンピュータが存在するかどうかを確認するのは無意味です。

ユーザーコンピュータへの受信接続を許可する必要があるソフトウェアを使用している組織では、Windows XP SP2 を実行しているコンピュータでいくつかのポートを開くことが必要になることがよくあります。この問題を解決するには、Windows ファイアウォールの設定で例外を設定する必要があります。この問題を解決するには 2 つの方法があります。

1. 受信接続を必要とするプログラムを指定することで、例外を設定できます。この場合、ファイアウォール自体がどのポートを開く必要があるかを判断し、指定されたプログラムの実行中 (より正確には、プログラムがこのポートをリッスンしている間) のみポートを開きます。

2. プログラムが受信接続をリッスンする特定のポートを指定することにより、例外を設定できます。この場合、このプログラムが実行されていないときでも、ポートは常に開いたままになります。セキュリティの観点から、このオプションはあまり好ましくありません。

Windows ファイアウォール設定で例外を設定するには、いくつかの方法があります。グラフィカルインターフェイス (図 24) を使用できます。このオプションについては、Windows XP SP2 ヘルプとサポートセンターで詳しく説明されています。ドメイングループポリシーを利用することができます。組織内に多数のコンピュータがある場合は、このオプションをお勧めします。さらに詳しく見てみましょう。

米。 24.「例外」タブ

グループポリシーの Windows ファイアウォール設定は、[コンピューターの構成]、[管理用テンプレート]、[ネットワーク]、[ネットワーク接続]、[Windows ファイアウォール] ノードにあります。

グループポリシー経由で構成する場合、次の 2 つのプロファイルを構成する必要があります。

1. ドメインプロファイル。このプロファイルの設定は、組織のドメインコントローラーを含むネットワークにコンピューターが接続されている場合に使用されます。

2. 標準プロファイル。このプロファイルの設定は、組織のドメインコントローラーを含むネットワークにコンピューターが接続されていない場合に適用されます。たとえば、組織のラップトップが出張で使用され、インターネットサービスプロバイダーを通じてインターネットに接続されているとします。この場合、コンピュータは組織のファイアウォールをバイパスしてパブリックネットワークに接続するため、ファイアウォール設定はドメインプロファイル設定よりも厳しくする必要があります。

プログラムと特定のポートに例外を設定する方法を見てみましょう。具体的な例として、Kaspersky Administration Kit 管理サーバーがネットワークエージェントがインストールされているコンピューターにアクセスして、ウイルス対策保護のステータスに関する情報を取得する場合を考えてみましょう。この場合、クライアントコンピュータで UDP ポート 15000 が開いているか、プログラム「C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe」が受信メッセージの受信を許可されている必要があります。

1. セキュリティを担当するポリシーのグループ

拡張機能を詳しく見てみましょう セキュリティ設定(セキュリティ設定)、オペレーティングシステムのセキュリティ設定を構成するために使用されます。この拡張機能によって定義されたポリシーは、コンピュータと部分的にユーザーに適用されます。

アカウントポリシー(アカウントポリシー)。ドメイン全体またはローカルアカウントのアカウントセキュリティポリシーを構成します。ここで、パスワードポリシー、パスワードロックアウトポリシー、およびドメイン全体の Kerberos ポリシーが定義されます。

ローカルポリシー(ローカルポリシー)。監査ポリシーを構成し、ユーザー権限を割り当て、さまざまなセキュリティ設定を定義します。

イベントログ（イベントログ）。アプリケーション、システム、セキュリティイベントログを制御するセキュリティポリシーを構成します。

制限されたグループ(制限されたグループ)。指定したグループのユーザーメンバーシップを管理します。通常、これには、管理者、バックアップオペレーター、およびデフォルトで管理者権限を持つその他の組み込みグループが含まれます。このカテゴリには、セキュリティに特別な注意が必要であり、メンバーシップをポリシーレベルで規制する必要がある他のグループが含まれる場合があります。

システムサービス(システムサービス)。コンピューター上で実行されているサービスのセキュリティとブートオプションを構成します。

レジストリ(レジストリ)。さまざまなレジストリセクションへのアクセス権を設定します。 (レジストリ設定の値は、環境設定を使用してドメイン GPO で設定できます。)

ファイルシステム（ファイルシステム）。特定のファイルへのアクセス権を設定します。

有線ネットワークポリシー(IEEE 802.3) (有線ネットワーク (IEEE 802.3) ポリシー)。異なるドメインに属する有線ネットワークに接続するクライアントの設定を構成します。

高度なセキュリティを備えた Windows ファイアウォール (高度なセキュリティを備えた Windows ファイアウォール)。組み込みの Windows ファイアウォールのルールとその他のパラメーターを構成します。

ネットワークリストマネージャーのポリシー(ネットワークリストマネージャーポリシー)。コンピューターがアクセスできるネットワークのホスティングタイプを構成します。

ワイヤレスネットワークポリシー(IEEE 802.111) (ワイヤレスネットワーク (IEEH 802.11 ポリシー)。 Active Directory ドメイン内のワイヤレスクライアントの設定 (認証方法を含む) を一元的に構成します。

公開鍵ポリシー(公開鍵ポリシー)。 EFS や BitLocker を使用した情報の暗号化、ドメイン全体のルート証明書の承認、信頼できる証明書の承認などに関するセキュリティポリシーの構成。

ソフトウェア制限ポリシー(ソフトウェア制限ポリシー)。ローカルコンピューター上で実行できるアプリケーションと実行できないアプリケーションを指定するポリシー。

保護 アクセス に ネットワーク (ネットワークアクセス保護)。ネットワークに接続するクライアントの要件を定義し、クライアントがこれらの要件をどの程度満たしているかに応じて、ネットワークへの完全なアクセスまたは限定的なアクセスを許可するポリシーを構成します。スキャン中に、ソフトウェアアップデートとウイルス対策保護の存在、構成とファイアウォール設定、開いている TCP/IP ポートと閉じている TCP/IP ポートのリストなど、さまざまなセキュリティ側面を分析できます。

アプリケーション制御ポリシー(アプリケーション制御ポリシー)。 AppLocker を管理します。これは、エンタープライズ環境でのアプリケーションのインストールと使用を制御するために設計された Windows 7 および Windows Server 2008 R2 の新機能です。

IPセキュリティポリシー(IP セキュリティポリシー)。特定のスコープ内のコンピューターの IP セキュリティポリシーを構成します。

高度な監査ポリシー構成。 Windows 7 および Windows Server 2008 R2 で監査を一元的に構成できるようにするポリシー。

2.セキュリティオプションの概要

アクションセンターリストで構成できるセキュリティオプションの概要:

アクションセンター: アクションセンターはセキュリティセンターを置き換えます。アクションセンターでは、OS が実行するアクションを指定できます。アクションはあなたの許可を得て実行できます。これにより、ウイルス対策プログラムが最新でないことがわかります。アクションセンターに移動して、セキュリティ関連のアクションを実行できます。

インターネットオプション: あらゆる種類の Web ブラウジングは、インターネットに関連する潜在的なリスクへの扉を開きます。プロキシサーバーを使用し、Web フィルタリング (および監視) を使用し、OS を最新のアップデートで最新の状態に維持している場合、セキュリティが侵害される可能性がある状況に陥る可能性があります。インターネットオプションコントロールパネルアプリケーションでは、セキュリティゾーンを指定したり、特定の URL へのアクセスのみを許可したり、[詳細設定] タブで高度なセキュリティ設定を拡張したりすることができます。ブラウザ自体には、フィッシング攻撃を防ぐフィッシングフィルターが装備されており、個人情報を保存できない InPrivate ブラウジングなどのカスタマイズ可能なオプションも備えています。これは、公共のインターネットカフェでコンピューターを使用する場合に特に便利です。

Windows ファイアウォール: 他のソフトウェアまたはハードウェアファイアウォールと同様、Windows ファイアウォールはデフォルトで基本的な攻撃を防ぐことができ、パブリックネットワークに接続されているコンピューターのシステムに出入りできるものを高度に制御するためにさまざまな方法で構成できます。またはプライベートネットワーク。 [コントロールパネル] に移動し、[Windows ファイアウォール] を選択すると、ほとんどのファイアウォール構成オプションにアクセスできるようになります。ダイアログの「詳細」ボタンをクリックすると、追加のパラメータと構成オプションにアクセスできます。 Windows 7 では、複数のファイアウォールポリシーを一度に展開し、ドメイン指定を使用して Windows ファイアウォールをより簡単に構成および管理できます。

個人設定: 個人設定オプションでは Windows の外観と操作性を変更できますが、スクリーンセーバーのパスワードをカスタマイズすることもできます。 Windows 7 が企業で使用されている場合、ユーザーは、席を離れるたびにワークステーションをロックする方法、またはシステムが一定期間非アクティブになった後に自動的にロックするポリシー設定を作成する方法を教える必要があります。スクリーンセーバーは、一定期間後に再度ログインを求めるように設定されている場合、非常に便利です。自宅では、コンピュータをロックし忘れてその場を離れた場合に、これが最善の防御線となります。

Windows Update: ソフトウェアのすべてのバージョンには、ある程度のレベルのパッチが必要です。完璧な製品を開発するために準備、テスト、試行することはできますが、すべてを考慮することは不可能です。また、使用中にシステムを最新の状態に保つには、アップデートと新しいソフトウェアリリースが必要です。システムの改善、他の開発テクノロジの要件、新しいセキュリティの脆弱性、パフォーマンスと機能を向上させるためのドライバーの更新があるため、Windows Update を使用する必要が常にあります。 Windows (および Microsoft) の更新プログラムまたは製品版のパッチ管理 (WSUS など) は、更新プログラムを一元管理し、インストールするために使用されます。これらのツールは、現在および将来の更新ニーズを制御、追跡、監視するために使用されます。自動更新を設定するか、手動で行うことを習慣にしてください。これは単に行う必要があるためです。推奨どおり (場合によっては必須) にシステムを更新しないと、攻撃の危険にさらされることになります。

Windows Defender: スパイウェアは、もともと違法な取引活動に使用されていたアプリケーションであり、負荷の増加、ブラウザーのリダイレクト、活動に関する情報の送信などを行います。ウイルス対策プログラムはこれらのアプリケーションの一部をブロックしますが、残っているスパイウェアを駆除するには Windows Defender (またはその他のスパイウェア削除ソフトウェア) を使用する必要があります。 Cookie は本質的には無害ですが、違法な目的で操作されることがあります。最新のスパイウェアを確実に検出できるように、Windows Defender が新しい定義ファイルとパッチで頻繁に更新されていることを確認してください。 SpyNet は、マイクロソフトの専門家がスパイウェアの被害を監視、調査、修復するために利用するコミュニティです。

ユーザーアカウント: ユーザーアカウント管理は、コンピューターへのアクセスと、コンピューター上で実行されるすべてのものを保護するための基礎です。たとえば、新しいユーザーアカウントを作成し、それを管理者グループに追加すると、コンピューターシステムに完全にアクセスできるようになります。アカウントを標準ユーザーとして設定した場合、その権限は非常に制限され、一部の基本的なユーザー機能のみを実行できます。また、パスワードポリシー要件に従って作成されたパスワードを構成することにより、ユーザーに解読が困難なパスワードの作成を強制し、ほとんどの基本的な攻撃を防ぐこともできます。 Windows Server 2008 と Active Directory がインストールされている場合は、ドメインにアクセスできます。これにより、(ドメインのメンバーであれば) フォルダーやファイル、およびその他の共有リソースに対する NTFS ファイルシステムのアクセス許可をより柔軟に構成できるようになります。プリンターとして。

電源オプション: 電源オプションコントロールパネルアプリケーションでは、オペレーティングシステムがオフになっているとき、閉じているとき、またはスリープモードになっているときのデフォルトの動作を構成します。セキュリティを強化するために、マシンがスリープモードを終了するときにパスワードを要求するオプションを設定することをお勧めします。ユーザーアクセス制御を有効にするオプションがある場合は、それを使用する必要があります。

したがって、Windows 7 にセキュリティ対策を実装する必要がある場合、[スタート] メニューはシステムを強化するための開始点として機能し、利用可能な多くのツールへの扉を開きます。 Windows 7 システム、特にコントロールパネルを強化するために使用できるオプションが多数あります。 [スタート] メニューを使用することも、最初のインストール後にシステムの主要な防御線を提供する簡単な方法です。システムの初期インストールと構成後に、主要なセキュリティラインを作成することをお勧めします。これには、すべてのセキュリティ設定、アプリケーションを構成し、パッチとアップデートをダウンロードしてから、システム復元ユーティリティを使用してシステム全体をバックアップする必要があります。。これにより、システムを新しい状態に戻す必要がある場合に備えて、新しい状態のシステムのスナップショットが得られます。システムが侵害された場合に使用できる復元ポイントを作成することができます。これにより、セキュリティ設定が適用されたベースライン状態にシステムを戻すことができます。

3.Windows 7の高度なセキュリティオプション

SeAuditPrivilege。この設定により、サービスまたはアカウントで個々のリソース (ファイル、Active Directory オブジェクト、レジストリキー) のオブジェクトアクセス監査設定を指定できるようになります。つまり、ReportEvent API 関数を使用して、標準システムセキュリティログ (eventvwr.msc) にエントリを作成します。

この権限により、eventvwr スナップインのセキュリティログをクリアすることもできます。 msc。

デフォルトでは、この権限は管理者グループに付与されます。この権限を付与するユーザーとグループを個別に選択できます。これを行うには、ローカルグループポリシーエディタースナップインの [コンピューターの構成] > [Windows 構成] > [セキュリティ設定] > [ローカルポリシー] > [セキュリティ設定] に移動し、[監査とセキュリティログの管理] ポリシーを有効にします。

SeCreatePermanentPrivilege。この設定により、サービスまたはアカウントは、参照がない場合には削除されない永続オブジェクトを作成できます。たとえば、オブジェクトマネージャーを使用してディレクトリオブジェクトを作成します。

デフォルトでは、この権利は誰にも付与されませんが、この権利を付与するユーザーとグループを個別に選択できます。これを行うには、ローカルグループポリシーエディタースナップインの [コンピューターの構成] > [Windows 構成] > [セキュリティ設定] > [ローカルポリシー] > [セキュリティ設定] に移動し、「永続的な共有パーティションオブジェクトの作成」ポリシーを使用します。

SeCreateTokenPrivilege。この設定により、サービスまたはアカウントがプライマリトークンを作成できるようになります。つまり、アカウントは任意の SID と権限を含むトークンを作成し、それを使用してプロセスを開始できます。

デフォルトでは、この権利は誰にも付与されませんが、この権利を付与するユーザーとグループを個別に選択できます。これを行うには、ローカルグループポリシーエディタースナップインの [コンピューターの構成] > [Windows 構成] > [セキュリティ設定] > [ローカルポリシー] > [セキュリティ設定] に移動し、[トークンオブジェクトの作成] ポリシーを使用します。

「DelegationPrivilege を有効にする」を参照してください。この設定は、Active Directory でアカウントの委任に使用され、アカウントがユーザーまたはコンピュータオブジェクトに委任を許可する設定を設定できるかどうかを決定します。

この設定は、[アカウントを委任できない] チェックボックスがオフになっているユーザーアカウントまたはコンピュータアカウントに対してのみ設定できます。デフォルトでは、Windows 7 ではこの権利は誰にも付与されません。ドメインコントローラーでは、この権限はデフォルトで Administrators グループに付与されます。

この権限を付与するユーザーとグループを個別に選択できます。これを行うには、ローカルグループポリシーエディタースナップインの [コンピューターの構成] > [Windows の構成] > [セキュリティの設定] > [ローカルポリシー] > [セキュリティの設定] に移動し、[委任されたときにコンピューターとユーザーアカウントの信頼を許可する] ポリシーを使用します。

SeLockMemoryPrivilege。この権限により、サービスまたはアカウントは物理メモリページをロックできます。

物理メモリページをロックすると、ロックされたページがディスク上のページファイルにフラッシュされなくなります。つまり、それらは常に RAM 内に存在します。

この権限を付与するユーザーとグループを個別に選択できます。これを行うには、ローカルグループポリシーエディタースナップインの [コンピューターの構成] > [Windows 構成] > [セキュリティ設定] > [ローカルポリシー] > [セキュリティ設定] に移動し、[メモリ内のページをロックする] ポリシーを使用します。

SeMachineAccountPrivilege。この権限は、SAM がコンピュータをドメインに追加できるようにするために必要です。ユーザーがこの権限を持っている場合、最大 10 台のコンピュータをドメインに追加できます。

デフォルトでは、この権利はドメインコントローラーで認証されたユーザーに付与されます。

この権限を付与するユーザーとグループを個別に選択できます。これを行うには、ローカルグループポリシーエディタースナップインの [コンピューターの構成] > [Windows 構成] > [セキュリティ設定] > [ローカルポリシー] > [セキュリティ設定] に移動し、[ワークステーションをドメインに追加] ポリシーを使用します。

SeSyncAgentPrivilege。この権限により、ユーザーは Active Directory を同期できます。これにより、セキュリティ属性によって禁止されている場合でも、Active Directory オブジェクトとプロパティを読み取ることができます。

Windows 7 では、この権利はデフォルトでは誰にも付与されません。

この権限を付与するユーザーとグループを個別に選択できます。これを行うには、ローカルグループポリシーエディタースナップインで [コンピューターの構成] > [Windows 構成] > [セキュリティ設定] > [ローカルポリシー] > [セキュリティ設定] に移動し、ディレクトリサービスデータの同期ポリシーを使用します。

4.レジストリのセキュリティ設定を行う

場合によっては、管理者やコンピュータの直接の所有者だけでなく、一般のユーザーもレジストリの編集にアクセスできることがあります。このような状況は潜在的に危険です。十分な経験のない人が設定を変更するときに誤ってレジストリを無効にしてしまい、システムのパフォーマンスに悪影響を及ぼす可能性があります。このため、Microsoft Windows XP には、レジストリの特定のセクションやサブキーへのアクセスを個々のユーザーおよびユーザーグループに対して制限する機能があります。このために：

1. パーティションパネルで、セキュリティ設定を構成するキーまたはサブセクションを選択します。

セキュリティパラメータオペレーティングシステム

2. 「編集」→「権限」という一連のコマンドを実行します。選択したレジストリセクションのセキュリティ設定を構成するウィンドウが画面に表示されます (図 20.4)。

3. [グループ名またはユーザー名] リストで、権限を設定するユーザーまたはユーザーグループの指定を選択します。リストからユーザーまたはユーザーグループを削除するには、[削除] ボタンをクリックします。

4. ローカルユーザー、ネットワークユーザー、またはユーザーのグループをリストに追加するには、「追加」ボタンをクリックします。 [ユーザーまたはグループの選択] ウィンドウが画面に表示されます。追加するオブジェクトの種類を変更するには、[オブジェクトタイプ] ボタンをクリックし、表示されるリストから必要なオプションを選択します: 組み込みセキュリティプリンシパル、グループ、およびユーザー。同じウィンドウで、[場所] ボタンをクリックして、セキュリティ設定を構成するコンピュータを選択できます。デフォルトでは、ローカルコンピュータが推奨されます。リストに追加されるオブジェクトの名前は、「選択するオブジェクト名を入力してください」フィールドにセミコロンで区切って入力できます。次の名前形式が許可されます。

ユーザーの姓名などの表示名。

オブジェクト名 (コンピュータネットワーク名など)。

ターゲットコンピュータに登録されているユーザー名。

object_name@domain_name - たとえば、ローカルネットワークの登録済みドメイン内のコンピュータのネットワーク名。

Domain_name\object_name - たとえば、ローカルネットワークドメインの 1 つに登録されているユーザーの名前。

5. [セキュリティ設定] ウィンドウの下部で、このコンピュータ上の選択したユーザーまたはユーザーグループに許可または拒否されるアクションの種類のチェックボックスをオンにします。利用可能なオプションは、フルコントロール、読み取り、および特別なアクセス許可です (下記を参照)。これらのアクセス許可と制限は、レジストリ全体に対して構成されているのではなく、レジストリエディタープログラムのセクションパネルで最初に指定したブランチ、キー、またはサブキーに対してのみ構成されていることに注意してください。

Windows XP のレジストリセキュリティ用語では、特別なアクセス許可とは、オブジェクトの所有権、継承、および監査ルールによって管理されるレジストリ項目にアクセスするための設定を指します。 Windows XP のオブジェクトの所有者は、このオブジェクトを作成したオペレーティングシステムユーザー、またはこのオブジェクトを完全に構成および削除する権限を含む、このオブジェクトを管理する管理者権限を持っています。 Windows XP レジストリでは、オブジェクトの所有者は、オブジェクトのデフォルトのアクセス許可に関係なく、そのオブジェクトのすべてのアクセス許可を制御できます。 Windows XP のすべてのレジストリ項目の所有者は、自動的にコンピュータ管理者とみなされます。

アクセス許可の継承ルールは、親の Windows レジストリエントリに設定されたアクセス許可と制限がその子に継承されることを意味します。たとえば、HKLM レジストリハイブに対して構成されたアクセス許可は、このハイブ内のすべてのキーとサブキーに自動的に継承されます。特別なアクセス許可を指定する場合、コンピューター管理者は、一部の子キーとレジストリサブキーに対して、ブランチ全体に対するアクセス許可とは異なるアクセス許可を設定することで、この原則を変更できます。

セキュリティイベント監査を使用すると、一般的なシステムセキュリティ問題に関連するすべてのシステムイベントを特別な Microsoft Windows XP Professional セキュリティログにキャプチャして記録できます。特に、このようなアクションには、Windows レジストリ、保護されたファイルおよびフォルダにアクセスするコンピュータユーザー、およびコンピュータ管理者またはセキュリティポリシーによって禁止されているアクションを実行しようとするユーザーの試みが含まれます。ログには、監査対象のオブジェクト、監査対象のアクション、監査対象のアクションの正確な種類、および監査対象のアクションを実行した、または禁止された手順を試みたユーザーの名前が記録されます。その後、コンピュータ管理者はセキュリティログを分析して、セキュリティ上の欠陥や Windows の不正なユーザー操作からの保護のギャップを特定できます。

Windows XP レジストリに適用されるアクセス許可は、一方ではユーザーおよびユーザーグループに厳密に関連付けられ、他方ではそれらが割り当てられている実際のオブジェクトに厳密に関連付けられます。最も効果的なセキュリティアクセス許可は、グループメンバーシップに基づいてユーザー、ユーザーグループ、またはコンピュータ全体に設定されるもの、または管理者によって明示的に指定されるものです。ユーザー、ユーザーグループ、またはコンピューターに対して構成できるアクセス許可には次のものがあります。

オブジェクトに設定された読み取り権限。

オブジェクト所有者の変更。

オブジェクト間の接続を作成または削除する。

選挙名簿への選挙人名簿の登録。

現在のレジストリキーのサブセクションを表示します。

パラメータ値の表示と変更。

現在のセクション内のサブセクションの作成と削除。

レジストリキーへのフルアクセス。

レジストリのセクションまたはサブキーに対する特別なアクセス許可の構成は、[セキュリティの詳細設定] ウィンドウで実行します。このウィンドウは、選択したレジストリセクションのセキュリティ設定をセットアップするためのウィンドウで [詳細] ボタンをクリックすると開きます。以下では、レジストリキーに特別なアクセス許可を設定するときの主なオプションについて詳しく説明します。

Windows 7 のレジストリセキュリティ設定。

レジストリエディタ（ 登録編集) - のために設計されたツール 経験豊富なユーザー。このツールは、動作情報が含まれるシステムレジストリの設定を表示および変更するように設計されています。レジストリのセキュリティ設定を変更すると、データセキュリティのレベルを高めることもできます。

スタートメニューの編集を無効にする

オープンセクション

変更なしスタートメニューパラメータ値は以下に等しい必要があります 1

コントロールパネルの起動を禁止する

章内

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer という名前の DWORD 値を作成します コントロールパネルなし 1

タスクマネージャーの起動を無効にする HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies の下に、という名前の追加のサブキーを作成します。 システム(存在しない場合) そして、このセクションでは、という名前の DWORD 型パラメータを作成します。 タスクマネージャーを無効にするそして意味 1 。ここで、タスクマネージャーを呼び出すと、このメニュー項目が タスクバー活動しなくなる

USB デバイス、ドライブ、リムーバブルドライブ、ネットワークドライブの自動ブートを無効にするレジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies を開き、という名前の新しいキーを作成します。 冒険者このセクションでは、という名前の DWORD 型パラメータを作成します。 NoDriveTypeAutoRunパラメータ値はご自身の判断で選択してください 0x1 0x4- リムーバブルデバイスの自動起動を無効にする 0x8 -取り外し不可能なデバイスの自動起動を無効にする 0x10- ネットワークドライブの自動実行を無効にする 0x20- CD ドライブの自動実行を無効にする 0x40- RAM ディスクの自動実行を無効にする 0x80- 不明なタイプのドライブでの自動実行を無効にする 0xFF- すべてのドライブの自動実行を無効にする

匿名ユーザーの共有リソースの参照を無効にする

章内 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsaパラメータ値を変更する 匿名を制限するの上 1

「共有」管理リソース C$、D$、ADMIN$ の無効化

レジストリエディターを開き、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters セクションで DWORD タイプと名前のパラメーターを作成します。 AutoShareWks。パラメータ値 - 0 。ここで、[コンピュータの管理] - [共有フォルダ] - [共有リソース] を開くと、IPC$ 以外は何も表示されないはずです。

コマンドプロンプトを無効にする

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows キーを開き、DWORD 値を使用して追加の System サブキーを作成します。 CMDを無効にする、パラメータ値には次のものを含めることができます。

0 - コマンドラインの使用を許可します

2 - バッチファイルの実行を許可する

デスクトップの壁紙の変更を無効にする

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies セクションで、サブキーを作成します アクティブデスクトップその中には、次の名前の DWORD 型パラメータがあります。 壁紙の変更なし値1の場合

デスクトップを無効にする

オープンセクション

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer と呼ばれる DWORD 値をその中に作成します いいえデスクトップそして意味 1 。戻る デスクトップパラメータを次のように変更できます 0 または削除してください。

レジストリエディター (regedit) の起動を阻止する

オープンセクション HKEY_CURRENT_USER\ ソフトウェア\ Microsoft\ Windows\ CurrentVersion\ ポリシーその中にサブセクションを作成します システム。このサブセクションでは、次の名前の DWORD パラメータを作成します。 レジストリツールを無効にする名前入り 1 .

注記。 DisableRegistryTools パラメータが次のように設定されているこのセクションをエクスポートしない場合は、 0 、または、レジストリエディターの起動を返すために事前に reg ファイルを作成しないと、起動できなくなります。 reg ファイルを作成するには、メモ帳を開いて次の行をコピーします。

Windows レジストリエディタバージョン 5.00 "DisableRegistryTools"=dword: 00000000

このファイルを任意の名前で保存し、txt 拡張子を reg に変更します。さて、打ち上げに戻ります レジストリエディタこのファイルを実行します。

Internet Explorer の自動更新を無効にする

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main セクションを開き、パラメーター値を設定します。 更新チェックなし等しい 1

メディアプレーヤーの自動更新を防止する

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\PlayerUpgrade キーを開き、文字列パラメータを作成します もう一度聞いてください意味のある いいえ。そしてパラメータを確認してください 自動アップグレードを有効にする、その値を設定します いいえ

特定のプログラムの実行を禁止する

HKEY_CURRENT_USER\ Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun セクションで、ユーザーが起動しないプログラムのリストを設定できます。 If サブセクション 実行を禁止するいいえ、作成します。という名前の文字列パラメータ (REZ_SZ) を作成します。 1 (プログラムのシリアル番号、2 番目のプログラムの名前は 2 など) パラメータの値は、AkelPad など、exe 拡張子が付いたプログラムの名前です。 EXE

空き容量不足に関するメッセージを無効にする HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer セクションを開き、その中に次の名前の DWORD 値を作成します。 NoLowDiskSpaceChecksそしてパラメータ値を設定します 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gather セクションを開き、パラメーターの値を変更します。 低ディスク最小MBytesの上 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Gathering Manager セクションを開き、パラメーターの値を変更します。 BackOffLowDiskThresholdMBの上 0 注記: セクションの値を変更するには、管理者権限が必要な場合があります。これを行うには、次の手順を実行する必要があります: [スタート] - [すべてのプログラム] - [アクセサリ]。右キーオン コマンドライン- 管理者として実行。チームを率いる 登録編集。今のセクションでは ギャザリングマネージャー右クリックして選択権限。開いたウィンドウで、を選択します さらに。タブに移動 所有者をクリックしてアカウントを選択します (管理者権限が必要です)。 適用するそしてOK。

これらの変更後、ディスクの空き容量が 10% 未満の場合、回復システムとディスクの最適化は機能しません。

安易なパスワード設定の禁止

パスワードをより複雑にするための追加機能。このパラメータでは、最小長の設定に加えて、英数字のパスワードも設定します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies セクションを開き、サブキーを作成します 通信網そして、このサブキーに、という名前の DWORD 型パラメータを作成します。 AlphanumPwdsそしてパラメータ値を設定します 1

Microsoft SpyNe へのデータ送信を防止する t

Windows 7 にデフォルトで組み込まれている Windows Defender を使用している場合、Microsoft はプログラムエラーに関する情報だけでなく、OS に関する情報も収集します。データ送信を無効にするには: [スタート] - [コントロールパネル] - [Windows Defender] を選択します。開いたウィンドウで、トップメニューの「プログラム」アイコンをクリックし、「Microsoft SpyNet」リンクをクリックします。ダイアログボックスで、[Microsoft SpyNet コミュニティに参加しない] オプションを選択し、変更を保存します。

5。結論

このエッセイでは、Windows 7 のオプションとセキュリティパラメーター、および PC に保存されているデータのセキュリティを高めるためにそれらを変更する基本的な (および高度な) 方法を検討しました。

Win 7 には、外部の脅威に対する十分に高いセキュリティが組み込まれているだけでなく、OS 全体のセキュリティを強化する柔軟な設定も備えています。設定とパラメータのリストは、OS のセキュリティを強化するためにこれらの設定を編集するさまざまな方法と同様に、要約自体に記載されています。

6. 7.リソースへのリンク

http://www.winline.ru/os/windows_7/

http://www.magicpc. spb.ru/

http://www.anti-malware.ru/

http://windxp.com.ru/

http://www.os-7.ru

http://www.winpedia.ru

投稿者: Allbest.ru

当社のサイトにご興味をお持ちいただきありがとうございます。 2006 年に設立された IT 専門会社で、IT アウトソーシングサービスを提供しています。アウトソーシングとは、企業にとって必要ではあるが中核ではない作業を別の組織に移管することです。私たちの場合、これは、サイトの作成、サポートおよび保守、検索エンジンでのサイトの宣伝、Debian GNU/Linux を実行するサーバーのサポートおよび管理です。

Joomla のウェブサイト

現在の情報時代では、事実上の Web サイトは少なくとも組織の名刺となり、多くの場合ビジネスツールの 1 つになります。すでに現在では、組織や個人だけでなく、個々の商品やサービス、さらにはイベントのウェブサイトも作成されています。今日、ウェブサイトは多数の視聴者への広告源であるだけでなく、販売や新しい連絡先を作るためのツールでもあります。 CMS Joomla!を使用してWebサイトを制作しています。このコンテンツ管理システムはシンプルで直感的です。それは非常に普及しているため、インターネット上にはそれに関する多くの情報があります。 Joomla に対応するスペシャリストを見つけるのも簡単です。そして、遠くに行く必要はありません！当社のITスペシャリストは、Joomla!上のサイトの保守とサポートに従事しています。当社はすべての技術的な作業を実行し、ホスティング業者およびドメイン登録業者とのすべての通信を処理し、サイトに情報を入力し、サイト上の情報を更新します。 Joomla は使いやすいにもかかわらず、直感的です。しかし、サイト上で必要な作業を自分で定期的に実行しますか? どのくらいかかりますか? ビジネスに集中したい場合は、Web サイトのサポートを当社にお任せください。私たちはサイトを存続させ、その所有者にとって有用なサイトを維持するために全力を尽くします。
インターネット上で商品やサービスを宣伝または販売する営利組織の場合、必要なのは検索エンジンでの Web サイトのプロモーションだけです。結局のところ、何かを売るためには、少なくともそれを見てもらい、人々に知ってもらう必要があります。そして、私たちはこれをお手伝いし、検索エンジンであなたのJoomlaサイトを宣伝します。競争とプロモーションに割り当てられた予算に応じて、あなたのサイトは検索結果でそれなりの位置を占めるでしょう。このサイトはあなたの利益を増やします！

Debian サーバー

遅かれ早かれ、ビジネスのオープン性と透明性を追求する多くの企業は、使用するソフトウェアのライセンスの純粋性を確保する必要性に直面しています。ただし、ライセンス料のコストは、特に中小企業にとって必ずしも許容できるものではありません。この困難な状況から抜け出す方法は、オープンソーステクノロジーに切り替えるという決断です。オープンソースの分野の 1 つは、Linux オペレーティングシステム (Linux) です。当社の従業員は Debian Linux を専門としています。これは、Linux オペレーティングシステムの最も古く、最も安定したディストリビューションです。当社は、企業内での Debian Linux の導入、サーバーの構成、メンテナンス、サポートに関するサービスを提供します。

情報と広告

ロシア教育科学省

連邦州予算教育機関

高等専門教育

「ペンザ州立大学」

システム技術情報セキュリティ学科

「Windows 7 オペレーティングシステムのセキュリティ設定の構成」

専門分野: プログラミング手法

グループ: 11 PT 1

作品責任者：ルパノフM.Yu。

導入

Windows 7 は、Microsoft のコンピュータ用の最新クライアントオペレーティングシステムであり、以前の Windows XP および Windows Vista の長所と短所を踏まえて構築されています。基盤となるオペレーティングシステムのあらゆる側面、オペレーティングシステムが実行するサービス、およびオペレーティングシステムにロードされたアプリケーションの管理方法が見直され、可能な限りセキュリティを向上させるための対策が講じられています。すべてのサービスが改善され、新しいセキュリティオプションがこの OS の信頼性を高めています。 Windows 7 では、いくつかの主要な改良点と新しいサービスに加えて、より多くのセキュリティ機能、改善された監査および監視機能、および接続とデータを暗号化する機能が提供されます。 Windows 7 では、カーネルパッチ保護、サービス強化、データ実行防止、アドレス空間レイアウトのランダム化、および必須整合性レベルなどの内部システムコンポーネントのセキュリティを確保するために、内部セキュリティがいくつか改善されています。 (必須の整合性レベル).7 は、信頼性の高い使用を目的として設計されています。一方で、Microsoft のセキュリティ開発ライフサイクル (SDL) の一部として開発され、Common Criteria の要件をサポートするように設計されており、連邦政府の要件を満たす評価保証レベル (EAL) 4 認定を受けることができます。情報処理標準 - FIPS) #140-2 Windows 7 をスタンドアロンシステムとして使用する場合、Windows 7 にはさまざまなセキュリティツールが含まれていますが、Windows Server 2008 (R2) および Active Directory と組み合わせると、OS が追加のセキュリティとして強化されます。 Windows 7 をホームオフィスや個人使用で使用している場合は、グループポリシーなどのツールを使用して、コンピュータのセキュリティのあらゆる側面を制御して、現在のハッキング手法やシステムの多くを回避することもできます。 Windows 2008 と組み合わせるとより安全になりますが、Windows 7 の高レベルのセキュリティを享受する必要はありません。また、Windows 7 は安全ですが、次のことも考慮する必要があります。本質的に、これは、標準構成に完全に依存する必要がなく、セキュリティを向上させるために変更を加える必要がないことを意味するものではありません。また、コンピュータを公共ネットワーク上で使用すると、時間の経過とともに、ある種の悪意のあるコードやインターネット攻撃に感染する危険にさらされることを忘れないでください。コンピュータが何らかの種類のパブリックインターネットアクセスに使用されている場合、システムとシステムが接続されているネットワークは攻撃を受ける可能性があります。

オペレーティングシステムのセキュリティ設定は、PC に保存されているデータのセキュリティを確保する上で重要な役割を果たします。この設定は、悪意のあるもの、誤ったもの、またはその他の影響の実装によるデータ損失のリスクを最小限に抑え、システムの脆弱性のリストを減らすような方法でシステムパラメーターを最適に構成するように設計されています。

セキュリティを担当するポリシーのグループ

ローカルポリシー(ローカルポリシー)。監査ポリシーを構成し、ユーザー権限を割り当て、さまざまなセキュリティ設定を定義します。

イベントログ（イベントログ）。アプリケーション、システム、セキュリティイベントログを制御するセキュリティポリシーを構成します。

システムサービス(システムサービス)。コンピューター上で実行されているサービスのセキュリティとブートオプションを構成します。

ファイルシステム（ファイルシステム）。特定のファイルへのアクセス権を設定します。

高度なセキュリティを備えた Windows ファイアウォール (高度なセキュリティを備えた Windows ファイアウォール)。組み込みの Windows ファイアウォールのルールとその他のパラメーターを構成します。

ネットワークアクセス保護 (ネットワークアクセス保護)。ネットワークに接続するクライアントの要件を定義し、クライアントがこれらの要件をどの程度満たしているかに応じて、ネットワークへの完全なアクセスまたは限定的なアクセスを許可するポリシーを構成します。スキャン中に、ソフトウェアアップデートとウイルス対策保護の存在、構成とファイアウォール設定、開いている TCP/IP ポートと閉じている TCP/IP ポートのリストなど、さまざまなセキュリティ側面を分析できます。

高度な監査ポリシー構成。 Windows 7 および Windows Server 2008 R2 で監査を一元的に構成できるようにするポリシー。

セキュリティオプションの概要

アクションセンターリストで構成できるセキュリティオプションの概要:

プログラムと機能: Windows Update に加えて、特にインターネットをサーフィンしたり、インターネットサーバーからソフトウェアをダウンロードしたりする場合は、システムに何がインストールされているかを頻繁に確認する必要があります。たとえば、単純な Java アップデートをインストールすると、インストール中にそれに関する情報を注意深く読まなかった場合、Web ブラウザに統合されるツールバーがシステムにインストールされる可能性があります。これは現在はより厳密に管理されていますが、いずれにせよ、システムに何がインストールされているかを時々確認する必要があります。 Defender: スパイウェアは、元々は違法な取引活動に使用され、負荷を増加させるなどの行為を行うアプリケーションです。ブラウザをリダイレクトし、アクティビティに関する情報を送信します。ウイルス対策プログラムはこれらのアプリケーションの一部をブロックしますが、残っているスパイウェアを駆除するには Windows Defender (またはその他のスパイウェア削除ソフトウェア) を使用する必要があります。 Cookie は本質的には無害ですが、違法な目的で操作されることがあります。最新のスパイウェアを確実に検出できるように、Windows Defender が新しい定義ファイルとパッチで頻繁に更新されていることを確認してください。 SpyNet は、マイクロソフトの専門家がスパイウェアの被害を監視、調査、修復するために利用するコミュニティです。

Windows 7 の一部の高度なセキュリティオプション

この権限により、eventvwr スナップインのセキュリティログをクリアすることもできます。 msc。

SeLockMemoryPrivilege。この権限により、サービスまたはアカウントは物理メモリページをロックできます。

デフォルトでは、この権利はドメインコントローラーで認証されたユーザーに付与されます。

Windows 7 では、この権利はデフォルトでは誰にも付与されません。

レジストリのセキュリティ設定を行う

パーティションパネルで、セキュリティ設定を構成するキーまたはサブセクションを選択します。

セキュリティパラメータオペレーティングシステム

[グループ名またはユーザー名] リストで、権限を設定するユーザーまたはユーザーグループの指定を選択します。リストからユーザーまたはユーザーグループを削除するには、[削除] ボタンをクリックします。

ローカルまたはネットワークのユーザーまたはユーザーのグループをリストに追加するには、「追加」ボタンをクリックします。 [ユーザーまたはグループの選択] ウィンドウが画面に表示されます。追加するオブジェクトの種類を変更するには、[オブジェクトタイプ] ボタンをクリックし、表示されるリストから必要なオプションを選択します: 組み込みセキュリティプリンシパル、グループ、およびユーザー。同じウィンドウで、ボタンをクリックして、セキュリティ設定を行うコンピュータを設定できます。

Windows 7 のセキュリティを向上させる 7 つのヒント

この記事は、インストールされているほとんどのアプリケーションが多くの問題を引き起こさないように緊急にコンピュータを保護したいと考えているシステム管理者またはホームユーザーにとって役立ちます。

1. BitLockerを有効にする

BitLocker ドライブ暗号化を使用すると、ブートドライブ、システムドライブ、さらには USB フラッシュドライブなどのリムーバブルメディアを含むハードドライブ上のあらゆるパーティションを暗号化できます。 Windows Vista に存在していた欠点は解消されました。 Windows エクスプローラーから直接任意のパーティションを右クリックして暗号化できるようになりました。 TPM (Trusted Platform Module) チップ、PIN コード、パスワード、スマートカードの組み合わせなど、いくつかのセキュリティ方法があります。

特に気に入っているのは、NTFS パーティションと FAT パーティションの両方をサポートするリムーバブルストレージ暗号化機能です。リムーバブルメディアを個別に暗号化することも、すべてのリムーバブルデバイスをデフォルトで暗号化するように要求することもできます。暗号化されたリムーバブルメディアは、最初に暗号化されたコンピュータだけでなく、どの Windows 7 コンピュータでも復号化できます。 FAT、exFAT、および FAT32 ファイルシステムで暗号化されたメディアは、Windows XP および Windows Vista クライアントでも使用できますが、暗号化されたデータは読み取り専用となり、再暗号化することはできません。

役立つヒント: BitLocker 回復情報を安全な場所に保管してください。 BitLocker は優れた暗号化ツールであり、回復パスワードを提供しないとデータを永久に暗号化してしまう可能性があります。ほとんどの組織では、ユーザー回復パスワードを Active Directory に自動的にバックアップする必要があります。 BitLocker の回復情報はコンピューターオブジェクトの属性として保存されるため、組織のセキュリティポリシーに従ってこれらの属性に対するユーザーのアクセス許可を必ず構成してください。

2. UACスライダーを上げる

ユーザーアカウント制御は大幅に改善され、煩わしさが軽減され、Windows 7 での有効なアクティビティと潜在的に有害なアクティビティをより効果的に認識できるようになりました。ただし、管理者としてログインしているか標準ユーザーとしてログインしているかによって、Windows 7 の一部のインストールでは問題が発生する場合があります。デフォルトの UAC セキュリティ設定は、一部の専門家が推奨するレベルよりも低いレベルに設定されています。標準ユーザーの UAC セキュリティ設定は最高レベルですが、管理者アカウントは最大レベルよりも低いレベルにあり、これは潜在的に危険です。

Microsoft は、管理者とユーザーが UAC セキュリティレベルをカスタマイズできるようにするシンプルな UAC スライダーを作成しました。必要なソフトウェアをすべてインストールし、Windows 7 を自分に合った方法でセットアップしたら、UAC スライダーを最も安全な設定である「常に通知」まで上げることをお勧めします。「常に通知」モードでも、Windows Vista に比べて UAC アラートが発生する可能性は低くなります。

注: UAC は管理者権限の不正使用を防止するメカニズムを提供しますが、それでもバイパスされる可能性があります。高レベルのセキュリティが必要な場合は、必要な場合を除き、昇格された権限を持つユーザーとしてシステムにログインしないでください。

3. すべてのアップデートをインストールする

標準設定の Windows 7 では、Windows Update サービスが適切に構成され、Windows オペレーティングシステムと Microsoft アプリケーションの重要な更新を即座にダウンロードしてインストールします。数多くの観察結果から、Microsoft ソフトウェアは世界で最も最新のソフトウェアの 1 つであることが示されています。ただし、Windows には Microsoft 以外の更新プログラムのサポートに役立つ機能はありません。すべてのプログラム、特にブラウザのプラグインが最新であることを確認してください。ハッカーは、最も更新されていないサードパーティプログラムをすぐに見つけて、エンドユーザーを密かに攻撃します。

4. スパム対策とマルウェア対策をインストールする

ユーザーシステムに対する最大の危険は、Outlook 用の偽のパッチ、偽のウイルス対策スキャナー、ブリトニースピアーズのビデオを視聴するための偽のコーデックなどのトロイの木馬によってもたらされるもので、エンドユーザーはこうして騙されてマルウェアをダウンロードして実行させられます。文法の間違いやスペルミスに気づくことで、悪いコンテンツを見つけることができた時代は終わりました。今日では、最も知識のあるセキュリティ担当者でさえだまされる可能性があります。良いソフトウェアと悪いソフトウェアの違いを完全な精度で見分けられるようになるまでは、最新のスパム対策ソフトウェアとマルウェア対策ソフトウェアをインストールして使用する必要があります。

5. Internet Explorer 8 で SmartScreen フィルターを有効にする

初めて IE8 を起動するとき、セットアップウィザードは、ローカルデータベースまたは Microsoft サイトをチェックして、表示している Web サイトが正規か悪意があるかを確認する SmartScreen フィルターを有効にするかどうかを尋ねます。 SmartScreen フィルターは、XSS (クロスサイトスクリプティング) などの既知の脆弱性もチェックします。 SmartScreen が有効になっている場合、小さな、ほとんど目立たない遅延が発生します。セキュリティに精通したユーザーはこの設定を無効にすることもできますが、ほとんどのユーザーはこの設定が有効になっていることを確認する必要があります。すでに IE8 を実行している場合は、[セキュリティ] メニューから SmartScreen フィルターを選択して有効にします。

6. きれいにする

ほとんどのシステムでは時間の経過とともに、不要なプログラムがどんどん蓄積され、最終的には RAM リソースに負担がかかります。クリーニングを行わないと、システムの動作が遅くなり、故障しやすくなり、悪質なソフトウェアによる攻撃を受けやすくなります。

システム上で実行されているプログラムとサービスを定期的に確認し、不要なものを削除してください。システムを手動でチェックすることも、無料でダウンロードできる Microsoft の Autoruns などのユーティリティを使用することもできます。自動実行では、システム上で実行されているプログラムとサービスのリスト全体が表示され、ワンクリックで不要なものを無効にできます。わからないものをすべてオフにする前に、オフにしたものを忘れた場合に後で変な問題が発生しないように、いくつか調べておくことをお勧めします。

7. データのバックアップを作成します

私たちは皆、長い間コンピューターを使用しており、何が起こるかを知っています。コンピューターに数年間の保証があるのは良いことですが、コンピューターの故障による損害を最小限に抑えるために、かけがえのないデータのバックアップを必ず作成してください。 Windows 7 には強力なバックアッププログラムが含まれており、[コントロールパネル] > [システムとセキュリティ] > [バックアップと復元] にあります。または、ヘルプとサポートで「バックアップ」というキーワードを検索するだけで、Windows バックアップについて必要な情報がすべて表示されます。

この記事では、安全な Windows 7 システムをさらに安全にするために必要なすべての手順について説明します。オペレーティングシステムとすべてのアプリケーションが完全に最新であり、トロイの木馬の実行に巻き込まれなければ、平均的なユーザーよりもリスクははるかに低くなります。 Windows 7 の標準設定 (UAC、Internet Explorer 保護モード、Windows ファイアウォールなど) を無効にするという罠にはまらないようにしてください。ほとんどのアドバイザーは Microsoft ほど深い経験を持っていません。

追加の Windows 7 セキュリティ設定。特定のプログラムの実行を防止します。