безопасность системы windows — как ее достичь?

Функции безопасности в Windows 7

Последняя версия Microsoft Windows операционной системы Windows 7, является одной из наиболее эффективных компьютерных операционных систем, доступных сегодня.

Windows  7 не только удобная, но и безопасная во всех отношениях. Хотя она имеет элементы пользовательского интерфейса, очень похожий на Windows Vista, Windows 7 имеет гораздо более высокий уровень безопасности .

В этой статье, давайте проанализируем эти функции безопасности в деталях.

Функции безопасности Windows 7 разбиты на шесть категорий, Windows Firewall, Windows Defender, User Account Control, BitLocker, родительский контроль и резервное копирование и восстановление. Мы будем проверять более подробную информацию о каждой из этих функций.

Брандмауэр Windows

Вирусы, компьютерные черви, хакеры, шпионские программы, или любая другая угроза влияют на ваш компьютер ? Брандмауэр Windows может защитить его. Брандмауэр Windows в Windows 7 является более удобным, чем в Windows Vista. Windows 7 Firewall поддерживает три сетевых профиля, домашний, рабочий, и общественный.

Каждый из них подходит для конкретных потребностей. Например, если ваш компьютер подключен к сети общего пользования, таких как точка доступа Wi-Fi , вы можете активировать общий профиль сети. Он отфильтровывает все входящие соединения, которые могут быть угрозой безопасности.

Таким же образом, если вы подключены к рабочей среде, вы можете захотеть, иметь доверенные соединения, которые можно сделать через сетевой профиль работы.

Windows Defender

Вы знакомы с Защитником Windows Vista ? . Эта программа защищает вашу систему от всех видов вредоносных программ. Windows 7 имеет версию Defender, которая намного проще и легче в использовании, чем в Windows Vista.

В Windows 7, защитник входит в Action Center, утилита, которая сообщает о важных системных событиях. Эта версия имеет дополнительных параметров сканирования  и защитника простых уведомлений. Кроме того, потребление ресурсов значительно снижено .

Существует новая функция «очистка системы «, которая поможет вам удалить все нежелательные программы с помощью одного клика.

User Account Control (UAC)

Эта функция, впервые представленная в Vista, уведомляет Вас о любой деятельности, возбуждённой любой программой в системе, которая требует разрешения системного администратора. Когда это происходит, UAC уведомляет вас в диалоговом окне поиска о деталях входа администратора.

Если вы системный администратор, вы можете нажать «Да» в диалоговом окне, и система будет поднимать свой уровень доступа. В противном случае, вам нужно связаться с администратором системы и заставить его выполнить задачу для вас. Тем не менее, вскоре после завершения задачи, уровень разрешений вернётся  к стандартным пользователям.

Диалоговое окно UAC имеет различные значки уведомлений, которые указывают на тип задачи, которую вы собираетесь делать.

BitLocker и BitLocker To Go.

BitLocker является инструментом шифрования данных доступна в Windows Vista и Windows 7. Тем не менее, этот инструмент является частью только окончательной редакции Windows 7.

Этот инструмент поможет вам защитить важную информацию на вашем компьютере, шифруя её с так называемым виртуальным замком. С этой утилитой , Вы можете заблокировать весь жесткий диск .

После включения, программа автоматически шифрует любой новый файл, сохраненный на жестком диске.

В Windows 7, инструмент значительно улучшился, и есть еще один вариант под названием BitLocker To Go, который позволяет шифровать переносные устройства хранения данных, таких как внешние жесткие диски и USB-накопители.

Родительский контроль

Если у вас есть дети дома и они работают на компьютере, Parental Controls является то, что вы не можете забыть о контроле за детьми . Вы можете проверить, как дети используют систему.

Включив родительский инструмент управления, вы можете легко контролировать их деятельность на ПК.

Возможно, чтобы ограничить использование компьютера для детей в определенное время, и у них не будут играть разрушительные игры.

Резервное копирование и восстановление

Резервное копирование и восстановление представляет собой прекрасный инструмент снабженный всеми версиями Windows. Это страхует вас от потери данных, которые могут быть вызваны сбоями в работе системы. С помощью этого инструмента вы сможете создать резервную копию всех важных данных на внешние жесткие диски или оптические приводы.

Кроме того, вы можете можете использовать вариант расписания резервного копирования и восстановления, которое  автоматизирует процесс резервного копирования, так что вам не придется беспокоиться об этом вообще. В изданиях Windows 7 PRO и Максимальная , вы можете создавать резервные копии файлов на сетевые папки.

Заключение

Как видите, Windows 7 поставляется с довольно хорошими  нагрузками безопасности.

Хорошей новостью является то, что большинство из этих функций могут работать в тандеме с любыми сторонними средствами безопасности ,которые вы хотите установить на ваш компьютер.

Windows 7 является гораздо более функционально богатой и безопаснее, чем более старые версии Windows. Если вы научитесь использовать все эти функции безопасности должным образом, вам не придется беспокоиться о вашей системе вообще.

Источник: http://kompkimi.ru/programms-2/sistemnye-programmy/zashhita-pk/funkcii-bezopasnosti-v-windows-7

Параметры безопасности. Настройка операционной системы

Безопасность вашего компьютера напрямую будет зависеть от параметров безопасности операционной системы и вспомогательного ПО.

Первым шагом будет очистка от неиспользуемого программного обеспечения и настройка политики конфиденциальности. Сама по себе система является безопасной, но требует дополнительных манипуляций для усиления эффекта. Лучше всего настройку проводить на вновь установленной.

Для начала удалите стандартные игры. Они не вызывают особого интереса и практически никогда не используются. Эти приложения занимают немного места, но их присутствие не имеет обоснования для оптимизированной системы.

С целью улучшения работы необходимо произвести установку и настройку CCleaner. Эта небольшая утилита удобна в использовании и позволит очистить жесткие диски от ненужного мусора. Она аккуратно исправит ошибки ключей в реестре. Ее функциональность не ограничивается очисткой. С помощью нее можно улучшить и другие системные показатели.

Для устойчивой работы windows лучше оставить в покое состояние служб, контролирующих безопасность вашего компьютера, а важную информацию лучше хранить на лазерных дисках.

Включение безопасности windows

Многие пользователи персональных компьютеров задумаются над тем, а стоит ли включать безопасность windows? Очень удобно и соблазнительно, когда система не обременяет человека дополнительными действиями и не требует их постоянного подтверждения. Установленные антивирусы снижают общее быстродействие. А переход между учетными записями занимает время. Ожидание отклика приложений остро ощущается при работе на ПК. Оно может вызвать сильное раздражение.

Удобное использование находится в противоречии с безопасностью. Однако восстановление полезной или ценной информации может оказаться дорогостоящей процедурой.

Представьте, что вы потеряли труды многомесячной работы и не способны удовлетворить условия договора с заказчиком. В таком случае последствия могут оказаться крайне неприятными. Отсюда возникает вывод: а стоит ли овчинка выделки?

Помимо утраты рабочих процессов, доступной для остальных может стать конфиденциальная или личная информация: платежные данные, сообщения в чатах и социальных сетях.

Параметры безопасности с лихвой окупаются, если принять во внимание, что восстановление системы после сбоя займет гораздо больше времени, чем ожидание отклика при запуске программы.

Не отключайте автоматическое обновление и параметры безопасности

Нет системы, в которой отсутствуют уязвимые места. Их трудно обнаружить сразу после ее установки. Неприятности могут возникнуть при длительной работе за компьютером. С целью обезопасить пользователя, Microsoft выполняет непрерывную разработку патчей для своего детища.

Пренебрежение регулярными обновлениями может вызвать крах системы. Стоит сознательно использовать программные решения, разработанные ведущими системщиками компании.

Теперь нужно проверить и при необходимости включить безопасность windows. Для этого откройте панель управления, и запустите Брандмауэр.

Параметры безопасности должны соответствовать указанным на изображении.

Здесь пройдите по ссылке «Включение и отключение Брандмауэра Windows».

Приведите в полное соответствие параметры уведомлений.

Чтобы улучшить параметры безопасности, необходимо проверить настройки UAC (контроля учетных записей). Некоторых пользователей раздражает работа этой опции из-за регулярно выскакивающего окна. Но не стоит пренебрегать данной возможностью. UAC — это последняя линия обороны вашего компьютера, которая обязательно предупредит о возможном заражении запускаемого объекта.

На панели управления запустите «Центр поддержки».

В открывшемся окне перейдите по ссылке «Изменение параметров контроля учетных записей».

Переместите ползунок в положение, указанное на изображении.

Использование функции виртуализации

Процесс виртуализации дополнительно обезопасит вашу систему. Он позволяет запускать на физической машине несколько виртуальных. Вы можете работать в них. А при отказе системы легко и быстро восстановить ее первоначального состояния, используя образы-клоны. Эта особенность также позволяет переносить эти образы из одной системы в другую, и там работать с ними.

Резервное копирование файла VHD (Virtual Hard Disk) делает виртуальную машину кроссплатформенной. Ее можно запустить и выполнить на любой операционной системе, восстановить после аварийной ситуации, расширить дополнительными приложениями. При этом ось, установленная на реальном компьютере, будет оставаться без изменений.

При определенных настройках программы вы можете даже не заметить, что произошел отказ системы.

Существует множество приложений для реализации виртуальных машин, но наиболее популярной является VirtualBox от корпорации Oracle.

Она способна эмулировать работу компьютера на ОС:

– Microsoft Windows; – Linux; – FreeBSD; – Mac OS X; – Solaris/OpenSolaris; – ReactOS;

– DOS.Конечно, для игроманов и людей, работающих с качественной графикой, это решение не подойдет. Виртуальная машина не поддерживает высоких характеристик видеопроцессов, потому, что делит ресурсы с реальной системой.

Источник: https://pclegko.ru/bezopasnost-kompyutera/parametry-bezopasnosti.html

Безопасность в Windows 7, не прилагая усилий

Это первая статья из серии материалов на тему «Безопасность в Windows 7, не прилагая усилий», в которых я расскажу о том, как защищаю свою систему, файлы и документы от вредоносных программ и шаловливых рук. Для меня Windows 7 является рабочей средой, поэтому очень важно, чтобы система работала стабильно.

Я не стремлюсь к абсолютной безопасности, поскольку вряд ли представляю интерес для целевой атаки хакеров. Но я делаю все, что требуется для защиты компьютера от наиболее распространенных угроз, и за те 10 лет, что я поддерживаю домашние системы, ни одного инцидента не было.

При этом я люблю настраивать все очень быстро и стремлюсь к тому, чтобы впоследствии защита не отвлекала меня ненужными вопросами.

Чтобы достичь должного уровня защиты, я ориентируюсь на рекомендации Microsoft, как ни тривиально это звучит. Я глубоко убежден, что в подавляющем большинстве случаев заражение вредоносным кодом происходит вовсе не из-за слабой системы безопасности Windows, а по причине незнания или игнорирования этих рекомендаций.

В серии статей я продемонстрирую, что для обеспечения безопасности Windows 7 не требуется особых усилий, и расскажу вам:

Где спрятаны рекомендации Microsoft

Сражаясь с тем, кто умеет обороняться, противник не знает, где ему нападать.
Сунь-Цзы, «Трактат о военном искусстве»

В одном из обсуждений на форуме OSZone.

net я выразил уверенность, что мой собеседник стал жертвой заражения не по причине использования «дырявого IE от империи Билла Гейтса», а потому что не следовал базовым правилам безопасной работы в Windows.

И тут же возникли вопросы, где эти рекомендации зарыты и почему их не демонстрируют во время установки операционной системы (хорошая идея, кстати). Конечно, их можно найти в справке Windows или на сайте Microsoft, но все намного проще.

Основные советы по безопасному использованию Windows сосредоточены во встроенных средствах защиты и стандартных параметрах операционной системы.

Одни компоненты уже настроены должным образом с точки зрения Microsoft, а для других вы задаете параметры при первом использовании, при этом подсказывается, как их лучше применять.

Например, во время установки Windows вам предлагается настроить автоматическое обновление системы и рекомендуется делать это автоматически. А когда вы в первый раз запускаете Internet Explorer 8, одним из шагов начальной настройки является включение фильтра SmartScreen.

Рисунок 1 – При первом запуске Internet Explorer 8 рекомендуется включить защитный фильтр SmartScreen

Соблюдать рекомендуемый уровень безопасности в Windows 7 помогает центр поддержки, который уведомляет вас, если защита системы настроена не лучшим образом. В частности, центр поддержки отслеживает:

  • наличие антивирусной и антишпионской программы, а также актуальность их баз;
  • состояние брандмауэра Windows и сторонних средств сетевой защиты;
  • уровень контроля учетных записей;
  • параметры обновления операционной системы.

Рисунок 2 – Центр поддержки напоминает, что нужно установить антивирус

Всплывающие уведомления весьма надоедливы, и сразу возникает мысль их отключить. Это несложно сделать, поскольку центр поддержки можно гибко настроить, но намного правильнее будет исправить проблему, тогда и система не будет докучать.

Например, продукты большинства ведущих антивирусных компаний совместимы с Windows 7 и распознаются системой (список доступен на этой странице), поэтому сразу после установки антивируса уведомление пропадает.

Отключать сообщения центра поддержки имеет смысл лишь в том случае, когда Windows 7 не может определить установленную у вас защитную программу.

Вы также можете открыть в центре поддержки раздел «Безопасность» и моментально оценить, насколько защита вашей системы соответствует рекомендациям  Microsoft.

Рисунок 3 – В центре поддержки Windows 7 можно посмотреть сводку о безопасности вашей системы

Подробнее о центре поддержки и его настройке вы можете узнать здесь, а я, прежде чем перейти к первой рекомендации Microsoft, предлагаю поговорить о кнопке «Да».

Какую роль в безопасности системы играет кнопка «Да»

Пока у пользователя есть кнопка «Да» и права администратора, безопасность системы обеспечить невозможно.
Мой приятель, ИТ-специалист

Недавно я обсуждал возможности безопасности Windows 7 с моим приятелем, который работает системным администратором в довольно крупной организации. Его мнение вынесено в эпиграф, и я с ним согласен.

Действительно, к заражениям системы очень часто ведут действия пользователей, устанавливающих вредоносные программы самостоятельно.

Уже 10 лет прошло с появления знаменитого вируса ILOVEYOU, распространявшегося вредоносным вложением в письме, но миллионы людей продолжают попадаться на ту же удочку.

В последнее время наметился сильный рост в распространении фальшивых защитных программ, которые при установке ведут себя вполне стандартно, а потом, получив необходимые права, ставят систему на колени и вымогают деньги у пользователя. Американцам предлагают оплатить разблокировку системы кредитной картой, а в России и странах ближнего зарубежья своя специфика – отправка SMS на короткий номер. В любом случае деньги снимают, а проблема остается.

Увеличить рисунок

Рисунок 4 – Фальшивая защитная программа требует денег за разблокировку системы

В отчете по безопасности за вторую половину 2009 года аналитики Microsoft приходят к выводу, что эта схема успешно работает, принося солидные барыши мошенникам.

По сравнению с первым полугодием, количество компьютеров, на которых ложные антивирусы были обнаружены и устранены защитными программами Microsoft, выросло на 46,5% и составило 7,8 миллиона.

Чтобы не попасть в число этих счастливчиков, загружайте защитные программы только из надежных источников – сайтов антивирусных компаний, ссылку на список которых я приводил выше.

Но фальшивые антивирусы составляют лишь часть вредоносных программ, которые распространяются обманным путем, используя человеческий фактор. Заразиться можно, например, получив ссылку на «мега-полезную программу» в ICQ от знакомого, либо установив проигрыватель или кодек, «совершенно необходимый» для просмотра видео. Вирусы, трояны и шпионы маскируются, например, под бесплатные:

  • игры
  • утилиты для оптимизации системы
  • кодеки
  • видео ролики

Даже если вредоносная программа выполняется с полными правами администратора, есть вероятность, что антивирус вас спасет. Но когда его нет или базы устарели, у вас будет только один шанс.

Используя контроль учетных записей, вы будете точно знать, что программе требуется неограниченный доступ, поскольку Windows 7 всегда просит разрешения на запуск приложений, пытающихся внести изменения в систему.

Рисунок 5 – Контроль учетных записей предупреждает, что программе требуются права администратора

Решение всегда принимаете вы, поэтому будьте бдительны, и прежде чем нажать кнопку «Да», спросите себя:

  • Является ли вопрос системы следствием моих действий?
  • А нужно ли мне это?

К этой кнопке мы вернемся еще не раз, а сейчас поговорим о первой рекомендации Microsoft, от которой напрямую зависит не только финансовое благополучие компании, но и стабильность работы вашей системы.

В чем преимущества лицензионного программного обеспечения

Время – деньги.
Поговорка

Большинство людей, пользующихся пиратским программным обеспечением, делают это вовсе не потому, что не хотят пользоваться лицензионным, а потому, что не хотят за него платить. Вот если бы его давали бесплатно… Впрочем, при следующей покупке компьютера вы вполне можете стать владельцем лицензионной операционной системы Microsoft.

Она непременно идет в комплекте с ноутбуком или нетбуком, которые с каждым днем становятся все популярнее. Так, за последний квартал 2009 года в поставках на российских рынок доля мобильных систем составила 58%, а оставшиеся 42% заняли настольные компьютеры, на ряд которых ОЕМ-сборщики тоже устанавливают лицензионную Windows.

Конечно, даже в этом случае лицензию не дают даром, поскольку цена операционной системы все-таки входит в общую стоимость устройства. Но, так или иначе, владелец лицензионной Windows получает следующие преимущества:

  • Целостность компонентов системы и правильность защитных настроек. От этого напрямую зависит безопасность Windows, а также стабильность и предсказуемость работы системы и установленных в ней программ. Активаторы и пиратские сборки этого гарантировать не могут, зато могут порождать широкий ассортимент проблем, что мы регулярно наблюдаем на конференции OSZone.net.
  • Возможность без усилий поддерживать систему в актуальном состоянии. Обладатели нелицензионных систем, как правило, не пользуются Windows Update, опасаясь, что слетит активация. Тем самым они лишаются встроенной в систему возможности загружать обновления, которые улучшают совместимость приложений, повышают стабильность системы и, главное, обеспечивают ее безопасность. Вообще, Microsoft позволяет загружать исправления безопасности со своего сайта и без проверки подлинности, но ведь туда еще нужно пойти и найти. Доходят далеко не все…
  • Техническая поддержка. Если у вас предустановленная система, например, на нетбуке, поддержку осуществляет его производитель. Если же вы обладатель коробочной версии, техническую помощь предоставляет Microsoft. На момент написания этой статьи, Microsoft оказывает поддержку домашним пользователям Windows 7 бесплатно, хотя в центре решений Windows 7 начинать почему-то приходится из раздела «Платные обращения в Службу технической поддержки». На вопросы по электронной почте специалисты поддержки отвечают в течение 24 часов, а в рабочие дни можно задать вопрос в чате или позвонить по телефону 8 800 200-80-01.
  • Бесплатная загрузка дополнительных программ. Увидевший свет в прошлом году антивирус Microsoft Security Essentials бесплатен, но для его установки требуется пройти проверку подлинности, а в работе он использует Windows Update. Таким образом, Microsoft предоставляет дополнительные средства защиты тем, кто пользуется легальной системой.

Возможно, эти преимущества не представляют для вас ценности, да и контраргументы я слышал не раз. Лицензия стоит дорого, обновления можно скачать вручную или не качать вообще, бесплатных антивирусов полно, а к платным можно найти «серийники».

Наконец, безвозмездную помощь можно получить в многочисленных форумах, но тут, кстати, есть интересный нюанс. В сообществах, где отвечают квалифицированные специалисты по клиентским системам, предпочитают не тратить время, если диагностика упирается в пиратскую сборку или «кривой» активатор.

И делают это вовсе не из чистоплюйства, а потому что побывавшая в руках горе-сборщика система ведет себя совершенно непредсказуемо, и чинить ее – дело неблагодарное.

Так или иначе, первые три пункта моего списка явно экономят ваше время,  а это – деньги, как известно тем, кто их зарабатывает. Я далек от мысли, что прочитав эти строки, пользователи пиратских систем побегут покупать лицензию. Однако, если вам доведется приобрести компьютер с оригинальной Windows 7, менять ее на пиратскую сборку будет не слишком дальновидно.

Заключение

В Windows 7 основы безопасности можно изучать с помощью центра поддержки, который подсказывает вам оптимальные настройки для защиты системы. Лучший способ избавиться от напоминаний о недостаточной защите – это выполнение рекомендаций, которые содержатся в уведомлениях центра поддержки.

Даже если параметры безопасности Windows 7 настроены оптимальным образом, установка программ, утилит и кодеков все равно сопряжена с риском, поскольку вредоносный код зачастую проникает в систему обманным путем. От вашей бдительности очень много зависит, поэтому не полагайтесь целиком на крепость стен операционной системы или защитных программ и помните о кнопке «Да».

Установка пиратской операционной системы экономит деньги сегодня, но приводит к потерям времени на всем протяжении ее использования. Отказ от автоматической установки обновлений сопряжен со снижением безопасности операционной системы и Microsoft Office. О том, почему важно обновлять Windows и программное обеспечение, пойдет речь в следующей статье.

Все ссылки этой статьи

Вадим Стеркин

Источник: http://ITband.ru/2010/06/security-in-windows-7/

Структура системы защиты. Привилегии | Лекция | НОУ ИНТУИТ

Аннотация: Описана структура менеджера безопасности ОС Windows. Система защиты данных должна удовлетворять требованиям, сформулированным в ряде нормативных документов, которые определяют политику безопасности.

Далее в лекции описаны возможности настройки привилегий учетной записи.

Поддержка модели ролевого доступа связана с задачами перечисления, добавления и отзыва привилегий пользователя и отключения привилегий в маркере доступа субъекта

В данной лекции будут рассмотрены вопросы структуры системы безопасности, особенности ролевого доступа и декларируемая политика безопасности системы.

Система контроля дискреционного доступа — центральная концепция защиты ОС Windows, однако перечень задач, решаемых для обеспечения безопасности, этим не исчерпывается. В данном разделе будут проанализированы структура, политика безопасности и API системы защиты.

Изучение структуры системы защиты помогает понять особенности ее функционирования. Несмотря на слабую документированность ОС Windows по косвенным источникам можно судить об особенностях ее функционирования.

Рис. 14.1. Структура системы безопасности ОС Windows

Система защиты ОС Windows состоит из следующих компонентов (см. рис. 14.1).

  • Процедура регистрации (Logon Processes), которая обрабатывает запросы пользователей на вход в систему. Она включают в себя начальную интерактивную процедуру, отображающую начальный диалог с пользователем на экране, и удаленные процедуры входа, которые позволяют удаленным пользователям получить доступ с рабочей станции сети к серверным процессам Windows NT. Процесс Winlogon реализован в файле Winlogon.exe и выполняется как процесс пользовательского режима. Стандартная библиотека аутентификации Gina реализована в файле Msgina.dll.
  • Подсистема локальной авторизации (Local Security Authority, LSA), которая гарантирует, что пользователь имеет разрешение на доступ в систему. Этот компонент — центральный для системы защиты Windows NT. Он порождает маркеры доступа, управляет локальной политикой безопасности и предоставляет интерактивным пользователям аутентификационные услуги. LSA также контролирует политику аудита и ведет журнал, в котором сохраняются сообщения, порождаемые диспетчером доступа. Основная часть функциональности реализована в Lsasrv.dll.
  • Менеджер учета (Security Account Manager, SAM), который управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей. Данная служба реализована в Samsrv.dll и выполняется в процессе Lsass.
  • Диспетчер доступа (Security Reference Monitor, SRM), проверяющий, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить. Этот компонент обеспечивает легализацию доступа и политику аудита, определяемые LSA. Он предоставляет услуги для программ супервизорного и пользовательского режимов, чтобы гарантировать, что пользователи и процессы, осуществляющие попытки доступа к объекту, имеют необходимые права. Данный компонент также порождает сообщения службы аудита, когда это необходимо. Это компонент исполнительной системы: Ntoskrnl.exe.

Все компоненты активно используют базу данных Lsass, содержащую параметры политики безопасности локальной системы, которая хранится в разделе HKLMSECURITY реестра.

Как уже говорилось во введении, реализация модели дискреционного контроля доступа связана с наличием в системе одного из ее важнейших компонентов — монитора безопасности.

Это особый вид субъекта, который активизируется при каждом доступе и в состоянии отличить легальный доступ от нелегального и не допустить последний.

Монитор безопасности входит в состав диспетчера доступа (SRM), который, согласно описанию, обеспечивает также управление ролевым и привилегированным доступом.

При оценке степени защищенности операционных систем действует нормативный подход, в соответствии с которым совокупность задач, решаемых системой безопасности, должна удовлетворять определенным требованиям — их перечень определяется общепринятыми стандартами.

Система безопасности ОС Windows отвечает требованиям класса C2 «оранжевой» книги [ DoD ] и требованиям стандарта Common Criteria, которые составляют основу политики безопасности системы.

Политика безопасности подразумевает ответы на следующие вопросы: какую информацию защищать, какого рода атаки на безопасность системы могут быть предприняты, какие средства использовать для защиты каждого вида информации.

Требования, предъявляемые к системе защиты, таковы

  1. Каждый пользователь должен быть идентифицирован уникальным входным именем и паролем для входа в систему. Доступ к компьютеру предоставляется лишь после аутентификации. Должны быть предприняты меры предосторожности против попытки применения фальшивой программы регистрации (механизм безопасной регистрации).
  2. Система должна быть в состоянии использовать уникальные идентификаторы пользователей, чтобы следить за их действиями (управление избирательным или дискреционным доступом). Владелец ресурса (например, файла) должен иметь возможность контролировать доступ к этому ресурсу.
  3. Управление доверительными отношениями. Необходима поддержка наборов ролей (различных типов учетных записей). Кроме того, в системе должны быть средства для управления привилегированным доступом.
  4. ОС должна защищать объекты от повторного использования. Перед выделением новому пользователю все объекты, включая память и файлы, должны быть проинициализированы.
  5. Системный администратор должен иметь возможность учета всех событий, относящихся к безопасности (аудит безопасности).
  6. Система должна защищать себя от внешнего влияния или навязывания, такого, как модификация загруженной системы или системных файлов, хранимых на диске.

Надо отметить, что, в отличие от большинства операционных систем, ОС Windows была изначально спроектирована с учетом требований безопасности, и это является ее несомненным достоинством. Посмотрим теперь, как в рамках данной архитектуры обеспечивается выполнение требований политики безопасности.

С целью гибкого управления системной безопасностью в ОС Windows реализовано управление доверительными отношениями (trusted facility management), которое требует поддержки набора ролей (различных типов учетных записей) для разных уровней работы в системе.

Надо сказать, что эта особенность системы отвечает требованиям защиты уровня B «оранжевой» книги, то есть более жестким требованиям, нежели перечисленные в разделе «Политика безопасности».

В системе имеется управление привилегированным доступом, то есть функции администрирования доступны только одной группе учетных записей — Administrators (Администраторы.).

В соответствии со своей ролью каждый пользователь обладает определенными привилегиями и правами на выполнение различных операций в отношении системы в целом, например, право на изменение системного времени или право на создание страничного файла.

Аналогичные права в отношении конкретных объектов называются разрешениями. И права, и привилегии назначаются администраторами отдельным пользователям или группам как часть настроек безопасности.

Многие системные функции (например, LogonUser и InitiateSystemShutdown ) требуют, чтобы вызывающее приложение обладало соответствующими привилегиями.

Каждая привилегия имеет два текстовых представления: дружественное имя, отображаемое в пользовательском интерфейсе Windows, и программное имя, используемое приложениями, а также Luid — внутренний номер привилегии в конкретной системе.

Помимо привилегий в Windows имеются близкие к ним права учетных записей. Привилегии перечислены в файле WinNT.h, а права — в файле NTSecAPI.h из MS Platform SDK. Чаще всего работа с назначением привилегий и прав происходит одинаково, хотя и не всегда.

Например, функция LookupPrivelegeDisplayName, преобразующая программное имя в дружественное, работает только с привилегиями.

Ниже приведен перечень программных и отображаемых имен привилегий (права в отношении системы в данном списке отсутствуют) учетной записи группы с административными правами в ОС Windows 2000.

  1. SeBackupPrivilege (Архивирование файлов и каталогов)
  2. SeChangeNotifyPrivilege (Обход перекрестной проверки)
  3. SeCreatePagefilePrivilege (Создание страничного файла)
  4. SeDebugPrivilege (Отладка программ)
  5. SeIncreaseBasePriorityPrivilege (Увеличение приоритета диспетчирования)
  6. SeIncreaseQuotaPrivilege (Увеличение квот)
  7. SeLoadDriverPrivilege (Загрузка и выгрузка драйверов устройств)
  8. SeProfileSingleProcessPrivilege (Профилирование одного процесса)
  9. SeRemoteShutdownPrivilege (Принудительное удаленное завершение)
  10. SeRestorePrivilege (Восстановление файлов и каталогов)
  11. SeSecurityPrivilege (Управление аудитом и журналом безопасности)
  12. SeShutdownPrivilege (Завершение работы системы)
  13. SeSystemEnvironmentPrivilege (Изменение параметров среды оборудования)
  14. SeSystemProfilePrivilege (Профилирование загруженности системы)
  15. SeSystemtimePrivilege (Изменение системного времени)
  16. SeTakeOwnershipPrivilege (Овладение файлами или иными объектами)
  17. SeUndockPrivilege (Извлечение компьютера из стыковочного узла)

Важно, что даже администратор системы по умолчанию обладает далеко не всеми привилегиями. Это связано с принципом предоставления минимума привилегий (см. «Отдельные аспекты безопасности Windows» ).

В каждой новой версии ОС Windows, в соответствии с этим принципом, производится ревизия перечня предоставляемых каждой группе пользователей привилегий, и общая тенденция состоит в уменьшении их количества.

С другой стороны общее количество привилегий в системе растет, что позволяет проектировать все более гибкие сценарии доступа.

Внутренний номер привилегии используется для специфицирования привилегий, назначаемых субъекту, и однозначно связан с именами привилегии. Например, в файле WinNT.h это выглядит так:

#define SE_SHUTDOWN_NAME TEXT(«SeShutdownPrivilege»)

Источник: https://www.intuit.ru/studies/courses/962/217/lecture/5611

Безопасность Windows XP. Часть 1

Ярослав Дмитриев

Операционная система Microsoft Windows XP вышла на рынок 25-го ноября 2001-го года. Сотрудники компании возлагали на неё большие надежды и, как оказалось, не прогадали. По заявлению самих разработчиков, новоиспеченная на тот момент XP включала в себе опыт, накопленный за многие годы построения операционных систем.

Как и ожидалось, перед выходом, пользователям было дано множество обещаний (к примеру, непробиваемую защиту от несанкционированного доступа, невиданную ранее стабильность и «багоустойчивость»), но не все оказалось настолько уж гладко.

Но довольно лирических отступлений, сегодня на повестке дня — повышение безопасности операционной системы. Пошаговый формат выбран не с проста — так наиболее просто выполнять инструкции, описанные в статье.

Шаг 1. Отключение автоматического запуска CD

Купили вы диск, доверху набитый полезным программным обеспечением. Принесли домой, вставили в дисковод, автоматически запустился диск, а там — вирус.

Чтобы этого не произошло, вам нужно пройти по следующему адресу в реестре — HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesCdrom, и параметру AutoRun присвоить значение 0.

Для редактирования реестра вам нужно запустить программу RegEdit, которая запускается так: Пуск — Выполнить — regedit.

Шаг 2. Автоматическое обновление системы

Как каждому из нас известно, достаточно часто в операционных системах Windows находятся ошибки и критические огрехи в безопасности, исправить которые следует сразу же после выхода патча. Ушедший 2004-ый год лишний раз это доказал, явив миру несколько глобальных вирусных эпидемий.

Поэтому кликаем правой кнопкой мыши по иконке Мой Компьютер, а затем направляемся по пути Свойства — Автоматическое Обновление. Перед нами возникает дилемма — либо остановить свой выбор на опции «Автоматически», либо сделать активной опцию «Уведомлять, но не загружать и не устанавливать их автоматически».

Дам несколько рекомендаций. Если вы владелец выделенного интернет-канала, и закачивать каждый день в фоновом режиме (а именно так происходит обновление системы через Windows Update) файла приличного размера не составляет большой проблемы, то однозначно ваш выбор — Автоматически.

Другим же пользователям, а в особенности модемным, советую выбрать «Уведомлять, но не загружать и не устанавливать их автоматически», где качать и устанавливать файлы вы будете, предварительно оценив их важность, дабы не захламлять итак слабый интернет-канал.

Шаг 3. Отключение ненужных сервисов

Не знаю зачем, но Билл Гейтс и сотоварищи нагородили в Windows XP такое огромное количество ненужных служб, запускающихся автоматически, что не отключить их — грех.

Но так как разговор мы ведем о безопасности операционной системы, обратим наше внимание на системные сервисы, подрывающие наши старания.

Для этого пройдем по пути Панель управления — Администрирование — Службы и займемся работой.

Напомню, как работать со службами. Кликнув на одну из них, перед собой вы увидите окно с четырьмя закладками: Общие, Вход в систему, Восстановление, Зависимости. По сути дела, наиболее важными являются две: первая и последняя.

На первой вкладке, «Общие», вы можете прочитать название службы, ее функции, исполняемый файл, а также выставить тип запуска: авто, вручную, отключено. Так как нам предстоит деактивировать ненужные системные сервисы, мы будет выставлять тип «отключено».

На последней вкладке, «Зависимости», вы можете увидеть, с какими из служб выбранный вами сервис находится в зависимости, то есть если служба отключена или неправильно работает, это может отразиться на зависимых от нее сервисах.

Внимание: прежде чем начать резкое удаление ненужных служб, я советую сохранить первоначальные настройки, чтобы избежать возможных конфликтов. Для этого нужно пройти по HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiсes и кликнув правой кнопкой, выбрать пункт «Экспортировать». Далее сохраняем данные в *.reg-файл.

Служба удаленного управления реестром (Remote Registry Service) — позволяет удаленно управлять системным реестром. Если служба остановлена, то редактировать реестр может только локальный пользователь. Надеюсь, лишних вопросов не возникает. Режем.

Служба сообщений (Messenger) — данная служба позволяет получать и отправлять сообщения. Часто используется для розыгрышей и спама. Оно вам нужно? Режем.

Служба терминалов (Terminal Service) — одной из функций службы является предоставление услуг Remote Desktop. Несомненно, данный сервис не является безопасным, поэтому нуждается в отключении, что и делаем.

NetMeeting Remote Desktop Sharing — служба позволяет определенным пользователям получать доступ к рабочему столу Windows. Давно вы пользовались Windows NetMeeting? И пользовались ли вообще? Режем.

Telnet — позволяет удаленным пользователям работать с машиной по протоколу Telnet. Если вы не пользуетесь данными услугами, отключение произойдет незаметно. Режем.

Шаг 4. Установка фаервола

Согласно статистике, большинство злоумышленников, существующих в сети, ломают не определенные системы, а путем сканирования выявляют слабые точки и делают свои «грязные» дела. Чтобы не стать их жертвой, вам обязательно нужно установить брандмауэр. В комплекте с XP идет встроенный фаервол, но он не отвечает тем требованиям, которые предъявляются хорошим программным продуктам.

К сожалению, тема и формат статьи не позволяет нам провести сравнительное тестирование n-го количества программ (что мы обязательно сделаем в будущем), но, основываясь на своем опыте, я могу посоветовать вам остановить свой выбор либо на Outpost Firewall Free от Agnitum Limited, либо на Zone Labs' ZoneAlarm. По своей функциональности — это схожие продукты, поэтому выбор за вами.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

Источник: https://3dnews.ru/169015

Безопасность в Windows 7: а есть ли прогресс?

В основе Windows 7 лежит такая же, как и в Windows Vista, система безопасности, включающая все процедуры и технологии безопасной разработки ПО (Security Development Lifecycle).

Три года назад она сделала предыдущую версию Windows самой безопасной за всю историю клиентских изданий ОС от Microsoft за счет применения новых функций. К ним относились защита ядра от изменений, технологии DEP (предотвращение выполнения данных), UAC (контроль учетных записей) и другие элементы безопасности.

В новой версии Windows 7 эти элементы безопасности системы получили логическое развитие и существенные усовершенствования.

Защита дисков компьютера

Впервые технология BitLocker, обеспечивающая криптографическую защиту размещенной на жестком диске конфиденциальной информации, появилась в операционной системе Windows Vista. Суть ее заключалась в шифровании системного раздела целиком.

Таким образом, при ее использовании злоумышленник, не обладающий ключом, не мог не только получить доступ к данным, но даже и запустить саму систему. Этим обеспечивалась надежная защита конфиденциальных данных от несанкционированного доступа.

Windows 7 спроектирована и разработана в соответствии с жизненным циклом разработки системы безопасности Майкрософт (SDL) и обеспечивает выполнение требований стандарта Common Criteria («Общие критерии», международный стандарт по компьютерной безопасности, представляющий методику оценки уровня защищенности продукта относительно определения вендором условий сертификации (окружения и модели злоумышленника), что необходимо для получения сертификата Evaluation Assurance четвертого уровня и соответствия стандарту FIPS 140-2 («Требования безопасности для криптографических модулей», используется в США для описания требований к системам криптографии для защиты информации ограниченного доступа, то есть, не секретной).

Однако по целому ряду причин BitLocker не получила широкого распространения. К ним можно отнести, например, некоторые недостатки самой технологии. Во-первых, ее использование было достаточно сложно для конечного пользователя.

В частности, применение BitLocker зачастую связано с необходимостью переразбивки жесткого диска компьютера (технология требует разделения системного раздела, с которого осуществляется загрузка, и основного раздела операционной системы). Во-вторых, с помощью данной технологии можно было защитить только один раздел компьютера.

В то время как многие пользователи предпочитают хранить рабочую информацию не на системном, а на логических дисках.

Кроме того, распространению BitLocker препятствовали и «внешние» причины: в 2007 году, когда была выпущена Windows Vista, многие компьютеры не были оборудованы TPM (Trusted Platform Module – специальный микроконтроллер для генерации ключа шифрования, его безопасного хранения и выполнения некоторых других операций, связанных с криптографией). Соответственно, использование этой технологии в прежнем виде могло спровоцировать возникновение рисков потери зашифрованной информации.

В Windows 7 технология BitLocker получила свое дальнейшее развитие. В частности в новой операционной системе появился специальный мастер (BitLocker Drive Preparation Tool), который автоматически подготавливает компьютер к использованию системы шифрования.

Он создает новый системный раздел (минимальный размер его сократился с 1,5 Гб до 100 Мб) и переносит туда все необходимые загрузочные файлы. При этом к данному разделу не назначается буква, то есть он остается скрытым от пользователя и не мешает ему в работе.

Кроме того, такой подход исключает возможность случайного изменения загрузочных файлов. Стоит отметить, что Microsoft ведет работу с OEM-партнерами и системными интеграторами по соответствующей разбивке дисков новых компьютеров.

В этом случае пользователь сможет использовать BitLocker сразу же после приобретения ПК с предустановленной на него Windows 7.

Другими улучшениями в работе BitLocker стали возможность криптографической защиты нескольких разделов компьютера, а также функция централизованного восстановления информации при утере ключа шифрования.

С помощью DRAs (Data Recovery Agent – агент восстановления данных) при соответствующих настройках групповых политик ИТ-отдел компании получил возможность легко расшифровать любой диск на корпоративном компьютере.

Эта возможность гарантирует сохранность информации при утере ключа шифрования, что отсутствовало в Windows Vista.

BitLocker: компьютер подготавливается к использованию системы шифрования

По словам представителей компании Aladdin, корпорация Microsoft в своих продуктах давно ориентируется на безопасность и с момента выпуска первых ОС значительно продвинулась в этом вопросе.

Тем не менее, в Aladdin отмечают, что существует ряд вопросов, связанных со спецификой российского рынка, которые по-прежнему носят открытый характер.

«В частности, мы уверены в том, что надстройки безопасности, особенно в части возможности использования российской криптографии в составе встроенных защитных механизмов ОС, все же необходимы для применения Windows 7 в отечественных компаниях», — говорит Антон Крячков, директор по продуктам Aladdin, замечая, что политики безопасности даже в с высокими требованиями к стойкости пароля в условиях работы в защищенных информационных системах должны быть усилены за счет использования в Windows 7 USB-ключей или смарт-карт для аутентификации».

Шифрование мобильных накопителей

В последнее время очень широкое распространение получили мобильные накопители, в частности, Flash-диски.

Сотрудники компаний используют их для хранения и переноса различной информации, включая конфиденциальную.

При этом возникает серьезный риск несанкционированного доступа к этим данным, поскольку Flash-диски малогабаритны, они часто теряются. В результате информация может попасть к злоумышленникам.

Учитывая все это, разработчики реализовали в Windows 7 новую возможность, получившую название BitLocker To Go. Она предназначена для криптографической защиты любых мобильных накопителей с файловыми системами FAT, FAT32 и ExFAT.

В качестве алгоритма шифрования используется AES с длиной ключа 128 (по умолчанию) или 256 бит. Это обеспечивает действительно надежную защиту записанной на Flash-диск информации.

Подключение и разблокировка зашифрованного мобильного накопителя осуществляется с помощью пароля или смарт-карты.

Стоит отметить, что BitLocker To Go совместима с предыдущими версиями операционной системы Microsoft – Windows XP и Windows Vista. Для подключения зашифрованных накопителей и чтения с них информации на компьютерах с этими ОС используется специальная утилита.

Контроль использования ПО

ИТ-отделы всех компаний стараются с помощью различных средств контролировать использование ПО сотрудниками. В противном случае работники смогут устанавливать на рабочих компьютерах потенциально опасные утилиты, загруженные с интернета, нелицензионные программы, игры. В результате возникает угроза безопасности корпоративной сети, снижается производительность труда и т.д.

Для того чтобы помочь решить данную проблему, в Windows 7 появилась новая технология под названием AppLocker. Она предназначена для контроля единой корпоративной политики в области использования программного обеспечения.

Принцип ее действия основан на создании правил, разрешающих или запрещенных запуск тех или иных программ, скриптов и инсталляционных пакетов.

Стоит отметить, что AppLocker может работать в режиме аудита, когда она не блокирует запуск запрещенных приложений, а только делает соответствующую запись в журнал, доступный ответственному сотруднику.

AppLocker работает в режиме аудита

В качестве условий в правилах AppLocker может использоваться различная информация: атрибуты цифровой подписи ПО (издатель, название программы, версия и т.п.), путь к файлу, хэш файла. Первый вариант, конечно, предоставляет наибольшие возможности для гибкой настройки.

При его использовании установленное правило продолжает действовать, и после обновления ПО.

«Как пользователь, могу сказать, что технология «Applocker», действительно, обеспечивает высокую степень надежности системы, поскольку гарантирует, что запуск того или иного приложения осуществляет именно пользователь, а не какой-то вредоносный процесс от имени пользователя», — говорит Евгений Воробьев, руководитель группы продаж Microsoft компании «АйТи», считая существующий уровень защищенности ОС Windows Vista и Windows 7 достаточным.

Управление безопасностью

Технологии BitLocker, BitLocker To Go и AppLocker могут работать в Windows 7 на отдельном компьютере и, в принципе, не требуют наличия Active Directory.

Однако использование последней, а также групповых политик, позволяет настраивать централизовано данные возможности, и распространять их действие на все компьютеры, входящие в корпоративную сеть.

Кроме того, Active Directory позволяет добавить к технологиям безопасности некоторые дополнительные функции.

Так, например, для BitLocker это может быть резервное копирование информации, необходимой для доступа к защищенным дискам, включая пароль, установленный при шифровании, пароль владельца TPM, идентификационные данные компьютера и т.д. Впервые эта возможность появилась еще в Windows Vista, однако в Windows 7 она получила дальнейшее развитие в форме DRAs.

Использование Active Directory и групповых политик для настройки BitLocker To Go позволяет администраторам запретить записывать данные на незашифрованные мобильные накопители. Их можно будет подключать к компьютерам, но в режиме «только для чтения». Если же сотрудник хочет перенести информацию на свой Flash-диск, он обязательно должен будет зашифровать его.

Windows 7 позволяет применять групповые политики и использовать AD для настройки BitLocker To Go

Работают Active Directory и групповые политики и вместе с AppLocker.

С их помощью создаваемые правила, которые определяют разрешенное и запрещенное ПО, могут распространяться на все компьютеры, работающие в организации.

Таким образом, Active Directory и групповые политики действительно позволяют осуществлять централизованное управление возможностями, направленными на обеспечение безопасности корпоративной информационной системы.

В новой операционной системе Windows 7 уделено очень большое внимание вопросам обеспечения безопасности корпоративной информации. Их использование должно помочь надежно защитить данные. При этом отказ от специализированного ПО и применение возможностей самой операционной системы позволяет снизить затраты как на внедрение, так и на обслуживание корпоративной информационной безопасности.

Тем не менее, как считают представители ряда компаний, занимающихся ИБ, «принципиальных изменений в плане защиты от многочисленных типов вредоносного ПО и хакерских атак не произошло».

Александр Гостев, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского», замечает, что «нынешний уровень «популярности» сложного вредоносного ПО (руткитов и т.п.) реально может снизить только одно – 64-разрядные системы и принцип «выполняются только подписанные программы»».

Он отмечает, что этот принцип прекрасно работает и в Windows Vista, и в Windows 7, и что главной проблемой безопасности является не сама операционная система, а уязвимости в приложениях сторонних производителей (например, Adobe), установленных в ней.

Впрочем, как замечает другой эксперт, Илья Шабанов, руководитель аналитического центра компании InfoWatch, Windows 7 содержит достаточно много улучшений в области безопасности, которые будут заметны конечному пользователю.

«Помимо этого новая операционная система более безопасна просто в силу своей новизны и пока небольшой распространенности, так как разрабатывать для нее вредоносные программы пока просто не очень интересно. Гораздо проще и выгоднее атаковать менее защищенную и более массовую Windows XP», — рассказал специалист по информационной безопасности.

Источник: http://www.cnews.ru/articles/bezopasnost_v_windows_7_a_est_li_progress_

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

×
Рекомендуем посмотреть