<

КОМПЬЮТЕР-все о нем

Объявление

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » КОМПЬЮТЕР-все о нем » Мой Компьютер » Windows 7 все о ней

Windows 7 все о ней

Страница: 1

Сообщений 1 страница 3 из 3

1

  • Автор: RUF
  • Шарящий
  • Зарегистрирован: 2010-09-01
  • Приглашений: 0
  • Сообщений: 10
  • Уважение: [+0/-0]
  • Позитив: [+0/-0]
  • Пол: Мужской
  • Провел на форуме:
    1 час 41 минуту
  • Последний визит:
    2010-10-14 17:51:55

Windows 7 – это последняя клиентская ОС для компьютеров от компании Microsoft, которая построена с учетом сильных и слабых сторон своих предшественников, Windows XP и Windows Vista. Каждый аспект базовой операционной системы, а также выполняемых ею служб, и то, как она управляет приложения, загруженными в нее, были пересмотрены, и по возможности были приняты меры по улучшению ее безопасности. Все сервисы были усовершенствованы и новые опции безопасности делают эту ОС более надежной.

Помимо некоторых основных усовершенствований и новых служб, ОС Windows 7 предоставляет больше функций безопасности, улучшенные возможности аудита и мониторинга, а также возможности шифрования подключений и данных. В Windows 7 имеют место некоторые усовершенствования внутренней защиты для обеспечения безопасности такими внутренними компонентами системы, как Kernel Patch Protection (защита патча ядра), Service Hardening (упрочение сервисов), Data Execution Prevention (предотвращение несанкционированного выполнения данных), Address Space Layout Randomization (внесение случайности в верстку адресного пространства) и Mandatory Integrity Levels (обязательные уровни целостности).

Windows 7 создана для надежного использования. С одной стороны она была разработана в рамках Microsoft's Security Development Lifecycle (SDL) и спроектирована для поддержки требований Common Criteria, что позволило ей получить сертификацию Evaluation Assurance Level (EAL) 4, которая отвечает требованиям федерального стандарта обработки информации (Federal Information Processing Standard – FIPS) #140-2. При использовании Windows 7 как отдельной системы ее можно защищать личными средствами безопасности. Windows 7 содержит множество различных инструментов безопасности, но именно в сочетании с Windows Server 2008 (R2) и Active Directory эта ОС становится бронежилетом.

Используя дополнительные методы безопасности таких инструментов, как Group Policy, вы можете контролировать каждый аспект безопасности ваших компьютеров. Если Windows 7 используется в домашнем офисе или личных целях, ее также можно защищать во избежание многих нынешних методов взлома, и систему можно быстро восстанавливать после сбоя, поэтому, хотя совместное использование этой ОС с Windows 2008 является более надежным, оно вовсе необязательно для применения высокого уровня безопасности в Windows 7. Также следует учитывать тот факт, что, хотя Windows 7 безопасна по своей природе, это вовсе не означает, что вам нужно полностью полагаться на стандартную конфигурацию и что нет необходимости вносить изменения для улучшения безопасности. Также не стоит забывать о том, что со временем вы будете подвергнуты риску заражения каким-то вредоносным кодом или интернет атаке, когда компьютер используется в любой публичной сети. Если компьютер используется для любого типа публичного доступа в интернет, ваша система и сеть, к которой она подключена, становятся доступными для возможных атак.

В этой статье мы рассмотрим основы, которые необходимо знать о правильной настройке безопасности Windows 7, достижении нужного уровня безопасности, а также поговорим о расширенных параметрах безопасности и рассмотрим некоторые менее известные функции безопасности, которые Windows 7 предлагает для профилактики и защиты от возможных атак. Мы также рассмотрим многие способы, которыми вы можете защитить свои данные и восстановиться в случае, если вы все же подверглись какой-либо атаке или критическому сбою системы. В этой статье представлен концепт безопасности, как укреплять Windows 7, как устанавливать и обеспечивать безопасность работающих приложений, как управлять безопасностью в системе Windows 7 и как предотвращать проблемы, вызванные вредоносным кодом. В этой статье также будет рассмотрен процесс защиты данных, системные функции резервного копирования и восстановления, процесс восстановления операционной системы в предыдущее состояние и способы восстановления данных и состояния системы в случае возникновения критического сбоя работы системы. Мы также рассмотрим стратегии, позволяющие сделать это быстро.

Также будут затронуты темы безопасной работы в сети и интернете, настройки биометрического контроля для расширенного управления доступом и то, как в Windows 7 при совместной работе с Windows Server 2008 (и Active Directory) можно использовать некоторые интегрированные опции контроля, управления и мониторинга. Цель этой статьи – ознакомить вас с функциями безопасности Windows 7, улучшениями и приложениями, а также предоставить более подробную картину того, как планировать и применять эти функции безопасности должным образом. Все затронутые нами здесь темы будут разбиты и организованы в отдельные блоки.

Примечание: при работе в корпоративной или другой производственной среде не вносите изменения в компьютеры своей компании. Убедитесь, что работаете в рамках изданного компанией плана или политики безопасности, с учетом всех методик, принципов и руководств компании. Если вы не знакомы с темой безопасности и продуктами компании Microsoft, читайте документацию продукции, прежде чем вносить изменения в свою систему.
Базовые моменты безопасности

Прежде чем мы погрузимся в глубь специфики Windows 7, важно сначала представить базовые понятия безопасности и то, как планировать их применение. Нам также нужно будет знать, почему мониторинг является критически важным для поддержания безопасности и как правильно вести слежение за службами безопасности на предмет возникновения проблем. Также важно знать, как осуществлять мониторинг безопасности и обнаруживать вашу возможную подверженность потенциальным атакам. Безопасность – это не то, что делается на скорую руку. К ней нужно тщательно готовиться и применять ее к каждому техническому аспекту установки, и она должна всегда присутствовать. Ее также необходимо тщательно продумывать до установки, а после установки выполнять постоянный мониторинг и аудит. Управление безопасностью требует анализа для точной настройки текущей архитектуры безопасности, а также обнаружения потенциальных атак. В большинстве случаев, ваша безопасность будет проверяться взломщиком или вредоносным кодом для поиска доступа, вы можете потенциально защитить себя превентивными мерами, если видите попытки взлома или заражения. С помощью ведения логов и их последующего аудита вы сможете найти информацию о попытках входа в ваш роутер, о попытках входа от имени администратора и т.д.

Журналы и оповещения весьма полезны, поскольку, если что-то пойдет не так, вы быстро и правильно сможете на это отреагировать посредством анализа исходных IP адресов или попыток входа, зафиксированных приложением аудита. Реагирование на атаку при наличии детального плана называется 'реакцией на происшествие'. Подготовленность - это ключ к реакции на происшествие, поэтому наличие плана предварительных и последующих действий является критически важным для безопасности. План восстановления после сбоев (Disaster Recovery Plan) [иногда используемый совместно с планом непрерывности бизнеса (Business Continuity Plan – BCP)] будет содержать стратегию восстановления после происшествий. Некоторые команды ИТ-специалистов также выделяют сотрудников для образования команды реагирования на инциденты '(Incident Response Team)', которая при необходимости отвечает за разработку плана по устранению и решению критических проблем, возникших в результате сбоя системы, потери данных, сетевых или системных атак и т.д.

Итак, домашние пользователи должны использовать такую же стратегию, только на упрощенном уровне. Вам тоже нужно защищать свои системы, реагировать на сбои, поэтому хороший план, созданный заранее, может вам оказать очень полезную услугу в будущем. Хорошим примером простого плана будет, например, следующее: если ваша система заражена вредоносным кодом (например, Троян), вам потребуется переустанавливать свою ОС, если все другие меры и попытки исправления не увенчались успехом. Если дело обстоит именно так, то вам нужны члены команды с распределенными обязанностями, подробные шаги (или список) и процедуры еще до инцидента, чтобы вы могли должным образом на него отреагировать, а также нужно провести проверку, чтобы быть уверенным в том, что все выполнено правильно после восстановления. Наличие доступа или копии установочных файлов или любых других программ и приложений, прежде чем они потребуются, может сэкономить вам время, а продуманный план может указать вам, где искать все необходимые инструменты, когда время может играть решающую роль.

Примечание: чтобы помочь себе с планированием и лучше ознакомиться с безопасностью, можете найти списки и планы в разделе дополнительных ссылок этой статьи.

Также следует как можно чаще пересматривать свои планы, особенно после критических проблем или сбоев, и при необходимости добавлять в них определенные действия. Когда ваш план готов, следует учитывать его создание на основах с большим количеством функций и служб безопасности.

Совет: безопасность следует продумывать и применять в каждой используемой системе или службе, чтобы снижать степень риска, связанного с атаками, которые исходят от любой из них во время работы. И если безопасность применена таким способом, что вы сможете заблаговременно предотвратить атаку (или восстановиться после нее), у вас будет меньше работы по реагированию на такие атаки и их учет. Безопасность, даже на самом базовом уровне, должна применяться так, чтобы защищать ваши данные впоследствии, чтобы даже в случае, если вам придется устанавливать Windows с нуля, вы могли применить свои данные позже для последующего их использования. Безопасность нельзя игнорировать.

Вам также следует учитывать применение безопасности концептуально и технически, используя концепцию безопасности под названием Глубокая защита (Defense in Depth). Безопасность необходимо продумывать и применять ко всем системам, сервисам, приложениям и сетевому оборудованию, обеспечивая работу вашей системы и подключение к интернету. Опубликованные политики и продуманные планы обеспечивают продуктивность пользователей системы, и знакомят их с общими политиками использования. Непрерывное обслуживание позволит обеспечивать прирост ваших вложений. Чтобы предотвратить появление «дыр» в архитектуре безопасности, необходимо использовать планирование и применять модель безопасности, использующую концепцию 'Defense in Depth'. На рисунке 1 показано применение такой концепции на упрощенном уровне, вы можете (и, конечно, должны) добавлять дополнительные уровни в зависимости от того, как построена ваша домашняя или корпоративная сеть.

Основы безопасности Windows 7
http://www.winline.ru/img/2010/5/windows-7-security-1.gif
Рисунок 1: Концептуализации и реализация защиты Defense in Depth

Защиту Defense in Depth, как видно из рисунка, можно подстраивать в соответствие с вашими нуждами. В этом примере, политика безопасности необходима для обеспечения безопасного взаимодействия пользователей системы и сети. Также, укрепление ваших систем, телефонов, настольных ПК, сервисов, приложений, серверов, роутеров, коммутаторов и PBX должно быть принято во внимание, чтобы быть уверенным в том, что все точки доступа охвачены. Также неплохо иметь такое средство защиты публичной сети, как межсетевой экран, но всегда нужно расширять эти границы и добавлять такие элементы, как фильтры и сканеры, чтобы обеспечить более многогранную поддержку. Вам также нужно будет иметь возможность осуществлять мониторинг и вести журналы всей информации для ее последующего использования.

Windows 7 также была создана для интеграции и использования в средах, которые должны отвечать требованиям высокого уровня безопасности, таким как правительственные и военные среды. При учете базовых принципов безопасности Windows важно помнить, что любая система производственного уровня должна быть сертифицирована уровнем безопасности C2 из Orange Book. Microsoft Windows также должна отвечать требованиям сертификации Common Criteria Certification. Для дополнительной информации по этим темам смотрите статьи, ссылки на которые приведены в разделе дополнительных ссылок в конце этой статьи. Windows 7 очень гибкая система, и ее многие опции позволяют настроить ее для использования всех ее функций (минимальная безопасность), или использования только базовых возможностей, и тех операций, которые вы настроили для использования (максимальный уровень безопасности). В Windows 2008 и Windows 7 функция безопасности повышена в десять раз, если эти две ОС совместно настроены должным образом.

Примечание: важно помнить, что отрицание проблемы (или потенциальной проблемы) – не вариант. Оставленные на потом, или вообще игнорируемые проблемы лишь усложняют ситуацию. Лень лишь выиграет вам немного времени. Безопасность в неизвестности такой не является. Несоответствие требованиям лишь добавляет проблем позже, когда необходимо соответствие. Тщательное развертывание безопасности на домашнем ПК или на предприятии (одинаково важны) предотвратит проникновение и атаки, и обеспечит несколько уровней защиты для большей надежности работы ваших систем. Необходимо знать основы безопасности и то, как действовать до и после возникновения атак, если вам нужна защита.

Итак, теперь, когда вы ознакомлены с основными понятиями безопасности, давайте применим то, что мы узнали, при настройке параметров безопасности Windows 7. Учитывая, что у нас есть знания того, почему нужно применять безопасность, когда ее применять, а также нам известны причины управления ею, мониторинга и обновления, нам лишь нужно применить эти концепции безопасности при настройке системы Windows 7. Это осуществляется довольно просто, если знаешь, что нужно сделать. Если вы новичок в Windows или испытываете трудности с привыканием к 7 (возможно вы не использовали Vista), то очень важно отвести часть времени для ознакомления с этими инструментами с помощью таких интернет ресурсов, как TechNet или Microsoft Support. Например, многие шаблоны и перечни можно найти в интернете на сайте Microsoft.com, что даст вам возможность пройти шаг за шагом через применение и использование безопасности в своей системе Windows. Вы также можете найти полезные инструменты в разделе дополнительных ссылок в конце этой статьи.

Шаблоны не являются панацеей и иногда могут вызывать обратный эффект, если их использовать неправильно (или они настроены неправильно), поэтому всегда будьте внимательны, даже если загружаете эти шаблоны непосредственно с Microsoft.com. Очень важно всегда читать документацию, которая идет с шаблоном, чтобы иметь возможность правильно его применить. Также будет правильным сказать, что без определенных знаний основ самой ОС, или знаний базовых принципов работы ОС вы не сможете обеспечить высокий уровень безопасности на длительное время. Четкое понимание ядра ОС и ее служб необходимо, если вы хотите иметь возможность обеспечивать высокую степень защиты даже после настройки базового уровня безопасности. Причиной того, почему это важно для всех, кто применяет безопасность в ОС, является знание того, что ваша система активно сканируется и проверяется на предмет уязвимостей. Ведение журналов регистрации событий крайне полезно, поскольку вы можете настроить аудит (а качестве примера) и получать подробную информацию о том, что происходит с вашей системой и внутри ее. Большинство (если не все) журналов по своей природе являются не очень понятными и могут создавать проблемы, используя самые обобщенные термины или машинный язык. Вам нужно выходить в интернет и разгадывать тайну этих журналов, что с определенным опытом становится делать все проще и проще. Вы прочтете множество вещей, о которых ранее не знали, а также найдете множество инструментов, которые захотите добавить в свой пакет инструментов, после того как протестируете их.

Вам также нужен определенный уровень гибкости при применении безопасности, уровень, который позволит вам соответствовать целям и требованиям предприятия (таким как доступ в интернет) без проблем, в то же время, поддерживая высокий уровень безопасности. Отличным примером может стать инструмент управления пользовательскими учетными записями (User Account Control - UAC), который, при правильной настройке, может обеспечивать высокий уровень безопасности или может быть совсем отключен. Вам нужно будет перезагрузить компьютер, если вы отключите UAC.

Основы безопасности Windows 7
http://www.winline.ru/img/2010/5/windows-7-security-2.jpg
Рисунок 2: Настройка уровня безопасности посредством параметров UAC

Инструмент UAC используется для того, чтобы не позволять программам или приложениям вносить изменения в операционную систему компьютера. Он работает посредством ограничения доступа в ядре ОС, и затем предоставляет подробную информацию пользователям о той программе, которая пыталась себя установить или внести изменения в ОС. Это полезно тем, что дает возможность проверить, что делает программа, и предпринять меры, если вы не хотите, чтобы эта программа внесла изменения. UAC впервые была представлена в Windows Vista, но поскольку ее нельзя было отключить, ее считали «раздражающей» как минимум. Она раздражала пользователей, которые не могли ее обойти. Разработчики Windows также имели множество трудностей с написанием кода из-за ограничений UAC и нуждались в обходных путях. Теперь, когда Windows 7 вышла, UAC можно отключать, полностью убирая уровень безопасности и обеспечивая больше гибкости и вариантов выбора.

Внимание! Чтобы обезопасить систему, не рекомендуется полностью отключать UAC, или если по каким-то причинам вам понадобилось это сделать, не забудьте включить ее снова.

0

2

  • Автор: RUF
  • Шарящий
  • Зарегистрирован: 2010-09-01
  • Приглашений: 0
  • Сообщений: 10
  • Уважение: [+0/-0]
  • Позитив: [+0/-0]
  • Пол: Мужской
  • Провел на форуме:
    1 час 41 минуту
  • Последний визит:
    2010-10-14 17:51:55

Знакомимся с BitLocker

BitLocker — одно из самых известных усовершенствований защиты в Windows 7. Эта технология шифрования жесткого диска и защиты целостности загрузочной среды впервые появилась в Windows Vista. BitLocker входит в редакции Enterprise и Ultimate операционной системы Windows 7. Технология не позволяет злоумышленнику извлечь данные с жесткого диска украденного ноутбука при условии, что на момент кражи компьютер был выключен.

С BitLocker связана одна сложность — восстановление данных после аппаратного сбоя, при котором были заблокированы защищенные тома. Поэтому, хотя BitLocker обеспечивает превосходную защиту, много ИТ-специалистов считают его проблематичным, потому что как правило сталкиваются с этой технологией, когда приходится восстанавливать данные.

Для восстановления данных требуется доступ к ключам или паролям BitLocker, относящимся к заблокированными томами. Когда компьютеров немного, следить за ключами и паролями просто, но если счет идет на сотни, задача сильно усложняется.

Групповые политики позволяют ИТ-специалистам сконфигурировать BitLocker так, чтобы шифрование активировалось только после успешного создания резервных копий ключей и паролей восстановления в Active Directory. Восстановление зашифрованных данных значительно упростилось за счет изменений, внесенных в оснастку «Active Directory — пользователи и компьютеры» (Active Directory Users and Computers) в Windows Server 2008 R2Ю, и появления Средства удаленного администрирования сервера (Remote Server Administration Tools) для Windows 7. Поиск паролей и ключей восстановления стал намного проще, чем в аналогичных средствах Windows Vista.

Вместо того, чтобы загружать, устанавливать и конфигурировать специальные средства, достаточно обратиться ключам и паролям восстановления BitLocker, используя вкладку «Восстановление BitLocker» (BitLocker Recovery) — она отображается на странице свойств учетной записи компьютера в оснастке «Active Directory — пользователи и компьютеры».

Процесс резервного копирования ключей и паролей BitLocker состоит из трех этапов.

1. В редакторе групповой политики учетных записей компьютеров, которые будет защищать BitLocker перейдите в папку Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Защита диска BitLocker (Computer Configuration/Windows Settings/Administrative Templates/Windows Components/BitLocker Drive Encryption).

2. Если у компьютера лишь один диск, перейдите к узлу «Диски операционной системы» (Operating System Drives) и отредактируйте политику «Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker» (Choose how BitLocker-protected operating system drives can be recovered). Если на машине более одного диска, перейдите к узлу «Фиксированные диски с данными» (Fixed Data Drives) и отредактируйте политику «Выбор методов восстановления жестких дисков, защищенных с помощью BitLocker» (Choose how BitLocker protected fixed data drives can be recovered). Обратите внимание, что хотя политики можно настроить одинаково, действовать они будут на разные диски.

3. Чтобы настроить резервное копирование паролей и ключей BitLocker в Active Directory при включенной защите BitLocker, включите следующие параметры:

    * Сохранить данные восстановления BitLocker в AD DS для дисков операционной системы (Save BitLocker recovery information to AD DS for operating system drives) (а также для жестких дисков, если это требуется);
    * Не включать BitLocker до сохранения данных восстановления в AD DS для дисков операционной системы (Do not enable BitLocker until recovery information is stored in AD DS for OS drives) (а также для жестких дисков, если это требуется).

Ключи и пароли защищенных томов будут скопированы только после применения политики. Ключи и пароли томов, на которых защита BitLocker была сконфигурирована раньше, автоматически копироваться в Active Directory не будут. На таких компьютерах придется отключить и вновь включить BitLocker — только после этого информация восстановления попадет в Active Directory.
Настройка агента восстановления данных

Есть другой вариант восстановления защищенных BitLocker томов, не требующий указания своих уникальных паролей или ПИН-кодов для каждого компьютера — Агент восстановления данных (Data Recovery Agent, DRA). Это специальный связанный с учетной записью пользователя сертификат, который может использоваться для восстановления зашифрованных данных.

Агенты восстановления данных BitLocker настраиваются путем редактирования групповой политики и определения сертификата с помощью мастера добавления агентов восстановления данных, о котором поговорим чуть позже. До запуска мастера нужно установить сертификат агента восстановления в доступной файловой системе или опубликовать его в Active Directory. Выпустить сертификат можно на компьютере, на котором установлена служба сертификации Active Directory.

При попытке восстановления данных учетная запись пользователя с локальным сертификатом агента восстановления не сможет открыть защищенный механизмом BitLocker том. Чтобы открыть Мастер добавления агентов восстановления, перейдите к узлу Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Политики открытого ключа (Computer Configuration/Windows Settings/Security Settings/Public Key Policies), щелкните правой кнопкой «Шифрование диска BitLocker » (BitLocker Drive Encryption) и выберите «Добавить агент восстановления данных» (Add data recovery agent).

Чтобы активизировать BitLocker с агентом восстановления, нужно также установить флажок «Разрешить агент восстановления данных» (Enable data recovery agent) в политике «Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker» (Choose how BitLocker-protected operating system drives can be recovered) (если требуется, это же нужно сделать для жестких дисков). Одни и те же защищенные BitLocker тома можно восстанавливать как с помощью ключей и паролей, сохраненных в Active Directory, так и средствами агента восстановления.

Восстановление с помощью агента возможно только на защищенных BitLocker томах, на которых BitLocker был включен после применения политики. Преимущество этого метода по сравнению с восстановлением с применением пароля и ключа состоит в том, что агент действует как универсальный ключ BitLocker. Это позволяет восстанавливать защищенный том, зашифрованный в рамках политики, избавляя от необходимости искать уникальный пароль или ключ каждого восстанавливаемого тома.
Средство BitLocker To Go

Средний размер многих современных съемных дисков сравним с объемом хранилища общих файлов в отделах малого и среднего размера десять лет тому назад. Это создает ряд сложностей.

Во-первых, при утере или воровстве съемного диска компрометируется существенный объем корпоративных данных. Но большую проблему составляет то, что пользователи намного быстрее уведомят отдел ИТ об утере ноутбука, чем USB-диска, который может содержать гигабайты корпоративных данных.

Новое средство Windows 7, BitLocker To Go, позволяет защищать запоминающие USB-устройства примерно так же, как BitLocker защищает операционную систему и установленные диски. Настроив надлежащим образом групповую политику, можно запретить запись данных на съемные запоминающие устройства, не защищенные BitLocker To Go. Это повышает безопасность — ведь даже если пользователь потеряет съемное устройство, данные будут зашифрованы и посторонним будет совсем нелегко добраться до содержимого.

Соответствующая BitLocker To Go политика находится в узле Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Защита диска BitLocker/Съемные диски с данными (Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Removable Data Drives) объекта групповой политики. В этом узле есть следующие политики.

    * Управление использованием BitLocker для съемных дисков (Control use of BitLocker on removable drives). Эта политика позволяет определить порядок использования BitLocker To Go на съемных дисках, в том числе могут ли обычные пользователи включать или отключать BitLocker To Go на съемных устройствах. Например, можно разрешить определенным пользователям хранить данные на уже защищенных съемных дисках, но запретить им самостоятельно включать BitLocker на съемных устройствах.
    * Запретить запись на съемные диски, не защищенные BitLocker (Deny write access to removable drives not protected by BitLocker). Эта политика позволяет разрешить пользователям записывать данные только на устройства, защищенные шифрованием BitLocker To Go. Когда действует эта политика, посторонний человек не сможет беспрепятственно прочитать данные, хранящиеся на съемном устройстве, так как они защищены шифрованием.
    * Выбор методов восстановления съемных дисков, защищенных с помощью BitLocker (Choose how BitLocker-protected removable drives can be recovered). Эта политика позволяет сконфигурировать агент восстановления данных или хранить информацию для восстановления BitLocker To Go в Active Directory. Эта очень важная политика, потому как развертывая BitLocker To Go для защиты данных съемных устройств, обязательно нужно предусмотреть план восстановления данных в тех неизбежно возникающих ситуациях, когда пользователи забывает свой пароль BitLocker To Go.

При наличии политик BitLocker To Go для съемных устройств, пользователь должен будет вводить пароль, чтобы разблокировать устройство на другом компьютере. После ввода пароля пользователь сможет выполнять чтение и запись на устройство на компьютере с редакцией Enterprise или Ultimate операционной системы Windows 7. Можно также сконфигурировать BitLocker To Go так, чтобы у пользователей был доступ только для чтения защищенных средствами BitLocker To Go данных на компьютерах под управлением других операционных систем Microsoft.

Если в организации планируется использовать BitLocker To Go, нужно обязательно предусмотреть стратегию восстановления данных на случай, если пользователи потеряют или забудут пароль. Настройка восстановления BitLocker To Go похоже на ту же операцию в BitLocker. В этом случае нужно настроить политику «Выбор методов восстановления съемных дисков, защищенных с помощью BitLocker» (Choose how BitLocker-protected removable drives can be recovered) в узле Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Защита диска BitLocker/Съемные диски с данными (Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Removable Data Drives).

Можете организовать копирование паролей BitLocker To Go в Active Directory, где они будут доступны администраторам, пользующимся оснасткой «Active Directory — пользователи и компьютеры» (Active Directory Users and Computers), и учетной записи компьютера, на котором устройство изначально было защищено средствами BitLocker To Go. Можно также сконфигурировать политику защиты данных средствами агента восстановления данных, что позволит пользователю с сертификатом такого агента восстанавливать данные на дисках, не прибегая к паролям.
Настройка AppLocker

Никакая антивирусная программа не в состоянии перехватить абсолютно все вирусы или вредные программы, но можно создать дополнительный рубеж защиты с помощью AppLocker. Эта технология позволяет создать список приложений, считающихся безопасными, и позволить выполнение только таких приложений. Такой подход к защите компьютера очень неудобен тем, кто регулярно запускает новые и необычные программы, но в большинстве организаций системная среда стандартизована, а любые изменения приложений происходят постепенно, поэтому разрешение выполнять только «одобренные» приложения представляется вполне разумным.

В разрешающие правила AppLocker можно включить не только исполняемые файлы, но сценарии, DLL-библиотеки и MSI-файлы. Не разрешенные программы, сценарии, DLL или установщики выполняться не могут.

Имеющийся в AppLocker мастер облегчает задачу создания списка разрешенных приложений. Это одно из значительный усовершенствований AppLocker по сравнению с политиками ограничения, которые использовались в более ранних версиях Windows и обеспечивали аналогичную функциональность.

В AppLocker также поддерживаются правила идентификации файлов на основе цифровой подписи файла издателем — это позволяет разрешить выполнение не только существующих, но и будущих версий файла. Это избавляет администраторов от рутины обновления имеющихся правил после установки обновлений ПО. Обновленный исполняемый файл, сценарий, установщик или DLL будут автоматически удовлетворять условиям исходного правила. Подобное было невозможно в политиках ограничения, которые вынуждали администраторов обновлять правила при каждом изменении конфигурации ПО.

Чтобы создать стандартный набор политик AppLocker, который затем можно будет применять к другим компьютерам, выполните следующие операции.

1. Создайте эталонный компьютер под управлением Windows 7 со всеми приложениями, которые будут использоваться в вашей среде.

2. Войдите в систему компьютера под учетной записью пользователя с правами локального администратора.

3. Откройте окно Редактора локальной групповой политики, выполнив команду Gpedit.msc в поле «Найти программы и файлы» (Search programs and files textbox).

4. Перейдите в узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Политики управления приложениями/AppLocker/Исполняемые правила (Computer Configuration/Windows Settings/Security Settings/Application Control Policies/AppLocker/Executable Rules). Щелкните правой кнопкой узел «Исполняемые правила» (Executable Rules) и выберите «Создать правила автоматически» (Automatically generate new rules). Откроется окно «Создавать автоматически исполняемые правила» (Automatically Generate Executable Rules).

5. В текстовом поле «Папка, содержащая файлы для анализа» (Folder that contains the files to be analyzed) введите c:\\. В текстовом поле «Имя, определяющее набор правил» (Name to identify this set of rules) введите Все исполняемые файлы (All Executables) и щелкните Далее (Next).

6. На странице «Параметры правил» (Rule Preferences) выберите «Создать правила издателя для файлов с цифровой подписью» (Create publisher rules for files that are digitally signed) и, на тот случай, если файл не подписан, также выберите «Хэш файла: правила создаются с помощью хэша файла» (File hash: rules are created using a file’s hash). Убедитесь, что параметр «Группировать схожие правила (чтобы уменьшить количество правил)» (Reduce the number of rules by grouping similar files ) не выбран и щелкните Далее.

7. Создание правила займет некоторое время. Когда завершится генерация правил, щелкните Создать (Create). На вопрос, нужно ли создавать правила по умолчанию, ответьте Нет (No).Эти правила не нужны, так как область действия создаваемых правил для всех исполняемых файлов более широка, чем у правил по умолчанию.

8. Если на компьютере приложения хранятся на нескольких томах, повторите операции с 5 по 7, вводя соответствующее имя диска в мастере создания автоматически исполняемых правил.

9. Создав правила, выполните экспорт списка разрешенных приложений в формате XML, для чего щелкните правой кнопкой узел AppLocker и выберите «Экспортировать список» (Export Policy). Можно также импортировать эти правила в другие объекты групповой политики, например расположенные на корпоративных ноутбуках. После применения этих правил средствами политики будет разрешено выполнение только тех приложений, которые были установлены на исходном компьютере.

10. При конфигурировании AppLocker нужно не забыть убедиться, что работает Служба удостоверений приложений (Application Identity) и исполняемые правила применяются средствами политики. Если эта служба отключена, политики AppLocker применяться не будут. В групповой политике можно настроить автоматический запуск службы, но число пользователей с правами локального администратора нужно ограничивать, чтобы они не могли обойти ограничения, наложенные AppLocker. Чтобы включить применение исполняемых правил, откройте узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Политики управления приложениями/AppLocker (Computer Configuration/Windows Settings/Security Settings/Application Control Policies/AppLocker) и выберите «Свойства» (Properties). Установите флажок «Настроено» (Enable) в разделе «Правила исполняемых файлов» и убедитесь, что выбран вариант «Принудительное применение правил» (Enforce Rules).

Надеюсь, вы поняли, как реализовывать и восстанавливать BitLocker, использовать BitLocker To Go и конфигурировать политики AppLocker. Использование этих технологий наряду с выполнением обычных задач по обслуживанию (таких как своевременная установка обновлений и антивирусных программ) позволит повысить безопасность компьютеров под управлением Windows 7 в вашей организации.

0

3

  • Автор: RUF
  • Шарящий
  • Зарегистрирован: 2010-09-01
  • Приглашений: 0
  • Сообщений: 10
  • Уважение: [+0/-0]
  • Позитив: [+0/-0]
  • Пол: Мужской
  • Провел на форуме:
    1 час 41 минуту
  • Последний визит:
    2010-10-14 17:51:55

Отключение панели управления с помощью групповых политик

Замечание: В данном методе используется редактор локальных групповых политик, который не доступен в Home-изданиях Windows 7. Если у вас как раз такая операционная система, сразу переходите дальше к методу редактирования реестра.

Сначала кликните по кнопке Пуск, в поле поиска введите gpedit.msc и нажмите Enter.

После открытия редактора локальной групповой политики, пройдите в Конфигурация пользователя -> Административные шаблоны и выберите Панель Управления. Дважды кликните по Запретить доступ к панели управления.
http://www.winline.ru/img/2010/5/control-panel-1.jpg
Этот параметр запрещает запуск программы Control.exe, которая отвечает за работу панели управления. В результате пользователи не могут открыть окно «Панель управления» или запустить какой-либо из элементов панели управления.

Этот параметр также удаляет команду Панель управления из меню кнопки Пуск и папку Панель управления из дерева Проводника.

В следующем окне выберите Включить, кликните OK и затем закройте редактор локальной групповой политики.

Теперь, если пользователь пытается выбрать команду Панель управления в элементе Свойства контекстного меню, выдается сообщение о том, что операция отменена в связи с наличием на компьютере ограничений и с просьбой связаться с администратором.
Отключение панели управления через редактирование реестра

Для отключения панели управления можно также использовать редактирование реестра. Этот метод будет работать на всех версиях Windows 7, Vista и XP.

В любом случае перед внесением каких-либо изменений в реестр, следует сделать резервную копию реестра.

Кликните по кнопке Пуск, наберите в поле поиска regedit и нажмите Enter.

В левой панели редактора реестра перейдите на HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Если раздела Explorer нет, то его нужно создать.
http://www.winline.ru/img/2010/5/control-panel-2.jpg
Затем в правой панели редактора кликните в пустом месте правой кнопкой мыши и создайте новый параметр DWORD (32-bit).

Назовите новый параметр NoControlPanel. Затем кликните по нему правой кнопкой мыши и выберите Изменить...

В поле Значение введите цифру 1 и кликните OK. Затем закройте редактор реестра и для окончания процесса перезагрузите компьютер.

После загрузки компьютера пользователи больше не увидят панель управления.

Если же вы сами захотите вернуть себе панель управления, то просто еще раз пройдите в редактор реестра, измените значение созданного собой параметра NoControlPanel на 0 и перезагрузите компьютер.

В целом отключение панели управления будет очень полезно, если на вашем компьютере работают малоопытные пользователи (или наоборот слишком опытные) и вы не хотите, чтобы они вносили в настройки системы какие-либо изменения. Удачи вам!

0

Страница: 1

Вы здесь » КОМПЬЮТЕР-все о нем » Мой Компьютер » Windows 7 все о ней

создать форум