Группы политик отвечающих за безопасность
Лабораторная работа № 4
Основы безопасности WindowsРабота с реестром Windows
Windows 7 - это клиентская операционная система (ОС) для персональных компьютеров, разработанная компанией Microsoft, которая построена с учетом сильных и слабых сторон своих предшественников, Windows XP и Windows Vista. Все сервисы делают эту ОС более надежной. ОС Windows 7 обладает достаточной высокой встроенной защищенностью от внешних угроз, а так же гибким набором настроек, повышающих безопасность ОС в целом. Списки настроек и параметров приведены в тексте работы, а так же различные способы редактирования данных настроек с целью повышения безопасности ОС. Помимо некоторых основных усовершенствований и новых служб, ОС Windows 7 предоставляет больше функций безопасности, улучшенные возможности аудита и мониторинга, а также возможности шифрования подключений и данных. Windows 7 содержит множество различных инструментов безопасности, например, в сочетании с Windows Server 2008 (R2) и Active Directory. Используя дополнительные методы безопасности таких инструментов, как Group Policy, вы можете контролировать каждый аспект безопасности ваших компьютеров.
В данной работе рассматриваются опции и параметры безопасности ОС Windows 7, а так же базовые (и расширенные) способы их изменения с целью повышения защищенности данных, хранимых на компьютере.
Цель и задачи лабораторной работы
Целью лабораторной работы является практическое изучение основ безопасности операционной системы Windows 7 и возможностей работы с реестром Windows.
Задачами лабораторной работы является освоение усовершенствованных служб и опций безопасности; управление безопасностью Windows 7 для ее надежного использования.
Безопасность операционной системыWindows 7
В Windows 7 имеют место некоторые усовершенствования внутренней защиты для обеспечения безопасности такими внутренними компонентами системы, как Kernel Patch Protection (защита патча ядра), Service Hardening (упрочение сервисов), Data Execution Prevention (предотвращение несанкционированного выполнения данных), Address Space Layout Randomization (внесение случайности в верстку адресного пространства) и Mandatory Integrity Levels (обязательные уровни целостности).
Ключевую роль в обеспечении безопасности данных, хранимых на PC, играют настройки безопасности операционной системы. Настройки призваны оптимально сконфигурировать параметры системы таким образом, чтобы минимизировать риск потери данных вследствие реализации каких-либо вредоносных, ошибочных и др. воздействий, а так же сократить список уязвимостей вашей системы.
В "Windows 7" есть базовые настройки безопасности, которые, в случае необходимости, можно сбросить.
Группы политик отвечающих за безопасность
Рассмотрим подробнее расширение Параметры безопасности (Security Settings), с помощью которого конфигурируются параметры системы безопасности операционной системы. Политики, определяемые этим расширением, действуют на компьютеры и частично на пользователей.
Политики учетных записей(Account Policies). Настройка политик безопасности учетных записей в масштабах домена или локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и политика Kerberos, распространяющаяся на весь домен.
Локальные политики(Local Policies). Настройка политики аудита, назначение прав пользователей и определение различных параметров безопасности.
Журнал событий(Event Log). Настройка политик безопасности, определяющих работу журналов событий приложений, системы и безопасности.
Группы с ограниченным доступом(Restricted Groups). Управление членством пользователей в заданных группах. Сюда обычно включают встроенные группы, такие как Администраторы (Administrators), Операторы архива (Backup Operators) и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и иные группы, безопасность которых требует особого внимания и членство в коюрых должно регулироваться на уровне политики.
Системные службы(System Services). Настройка безопасности и параметров загрузки для работающих на компьютере служб.
Реестр (Registry). Настройка прав доступа к различным разделам реестра. (Значения параметров реестра можно задавать в доменных GPO объектах с помощью предпочтений (preferences).)
Файловая система(File System). Настройка прав доступа к определенным файлам.
Политики проводной сети(Wired Network Policies). Настройка параметров клиентов, подключающихся к проводным сетям, принадлежащим разным доменам.
Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security). Настройка правил и других параметров встроенного брандмауэра Windows (Windows Firewall).
Политики диспетчера списка сетей (Network List Manager Policies). Настройка типов размещения для сетей, доступных компьютеру.
Политики беспроводной сети (Wireless Network Policies). Централизованная настройка параметров (включая методы проверки подлинности) клиентов беспроводной сети в доменах Active Directory.
Политики открытого ключа (Public Key Policies). Настройка политик безопасности в отношении шифрования информации с помощью EFS и BitLocker, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т.д.
Политики ограниченного использования программ (Software Restriction Policies). Политики, указывающие на то, какие приложения могут, а какие программы не могут выполняться на локальном компьютере.
Защита доступа к сети (Network Access Protection). Настройка поли тик, определяющих требования к клиенту, подключающемуся к сети, и предоставляющих полный или ограниченный доступ к сети в зависимости от того, насколько клиент соответствует этим требованиям. В процессе проверки могут анализироваться различные аспекты безопасности: на личие обновлений программных средств и антивирусной защиты, параметры конфигурации и брандмауэра, список открытых и закрытых портов TCP/IP и т.д.
Политики управления приложениями (Application Control Policies). Управление средством AppLocker, представляющим собой новую функцию в системах Windows 7 и Windows Server 2008 R2, предназначенную для контроля за установкой и использованием приложений в корпоративной среде.
Политики IP-безопасности (IP Security Policies). Настройка политик безопасности IP для компьютеров, находящихся в определенной области действия.
Конфигурация расширенной политики аудита (Advanced Audit Policy Configuration). Политики, позволяющие централизованно настраивать аудит в системах Windows 7 и Windows Server 2008 R2.
Обзор опций безопасности
Ниже приводится обзор опций безопасности, которые можно настроить в списке центра действий. В центре действий (Action Center) вы можете указывать действия, которые ОС будет выполнять с вашего разрешения.Например, здесь вам будет сказано, что ваша антивирусная программа не обновлена и потребуется ваше разрешение на её обновление. В основном, центр действий предназначен для выполнения действий, связанных с безопасностью компьютера.
Опции интернета (Internet Options).Сетевой просмотр любого типа страниц открывает возможность для потенциальных рисков, связанных с интернетом. Если вы используете прокси-сервер и пользуетесь веб-фильтрацией с мониторингом, и постоянно обновляете свою ОС, то вы можете оказаться в ситуации, где безопасность компьютера будет под угрозой. В приложении опций интернета в панели управления (Internet Options Control Panel) вы можете указывать зоны безопасности и разрешать доступ только к определенным URL адресам, разворачивать расширенные параметры безопасности в закладке Дополнительно (Advanced) и многое другое. Сам браузер оснащен фильтром фишинга, который предотвращает атаки фишинга (Phishing), а также имеет другие настраиваемые опции, такие как InPrivate Browsing, которая не позволяет хранить вашу личную информацию, что особенно полезно при использовании компьютера в публичных интернет-кафе.
Брандмауэр Windows как и любой другой программный или аппаратный межсетевой экран, брандмауэр Windows Firewall может предотвращать базовые атаки по умолчанию, и его можно настраивать многогранно для высокого уровня контроля над тем, что может входить и исходить с системы вашего компьютера, когда он подключен к публичной или частной сети. Перейдя в панель управления и выбрав брандмауэр Windows, вы получите доступ к большинству параметров конфигурации брандмауэра. Вы можете нажать на кнопку дополнительных параметров (Advanced) в диалоге для доступа к дополнительным параметрам и опциям конфигурации. В Windows 7 вы можете разворачивать несколько политик брандмауэра одновременно и использовать обозначение домена (Domain designation) для более простой настройки и управления брандмауэром Windows.
Персонализация (Personalization): опции персонализации представляют собой то место, где можно изменять внешний вид Windows, но здесь же вы можете настраивать пароли своей экранной заставки. Если Windows 7 используется на предприятии, пользователей необходимо научить тому, как запирать свои рабочие станции всякий раз, когда они покидают свое рабочее место, или создать параметры политики, которые бы делали это автоматически после определенного периода бездействия системы; экранная заставка, если настроить ее на запрос повторного входа после такого периода, может быть очень полезной. Дома это может стать вашей лучшей линией защиты, если вы покидаете компьютер и забываете его запереть.
Программы и функции (Programs and Features).Помимо обновлений Windows Updates вам также нужно часто проверять, что установлено у вас в системе, особенно если вы работаете в интернете и/или загружаете программные продукты с интернет серверов. Например, установка простого обновления Java, если вы не внимательно прочитали информацию по нему во время установки, может также установить панель инструментов в вашей системе, которая интегрируется в ваш веб браузер. Сейчас это контролируется более жестко, но в любом случае, вам следует время от времени проверять, что установлено у вас в системе.
Windows Defender: шпионские программы - это приложения, которые изначально использовались для незаконной торговой деятельности, и которые выполняют такие вещи, как повышение нагрузки, перенаправление вашего обозревателя и отправка информации о ваших действиях. Хотя антивирусные программы блокируют некоторые из таких приложений, Windows Defender (или другое ПО для удаления шпионских программ) нужно использовать для отчистки оставшихся шпионских программ. Куки (Cookies), хотя и безвредные по своей природе, могут иногда подвергаться манипуляциям для незаконных целей. Убедитесь, что Windows Defender часто обновляется, чтобы быть уверенным в том, что он способен обнаружить самые свежие шпионские программы. SpyNet - это сообщество, к которому обращаются специалисты Microsoft для изучения и устранения ущерба от шпионских программ.
Пользовательские учетные записи (User Accounts): управление учетными записями пользователей является основой защиты доступа к вашему компьютеру, равно как и ко всему, что работает под его управлением. Например, если вы создадите новую учетную запись пользователя и включите ее в группу администраторов, у вас будет полный доступ к системе компьютера. Если вы настроите учетную запись в качестве обычного пользователя, то ее разрешения будут очень ограниченными и позволят выполнять лишь ряд базовых функций пользователя. Вы также можете настроить пароли, которые при создании в соответствие с требованиями политики паролей, заставляют пользователей создавать сложные для взлома пароли, что предотвращает большинство базовых атак. Если установлен Windows Server 2008 и Active Directory, вы можете получать доступ к домену, который (если вы являетесь его участником) позволит вам более гибко настраивать разрешения файловой системы NTFS для папок и файлов, а также прочих ресурсов с общим доступом, таких как принтеры.
Рекомендуется создавать резервную копию всей системы с помощью утилиты System Restore. Так у вас будет снимок системы в свежем состоянии на тот случай, если вам нужно будет вернуть систему в такое состояние. Можно создать точку восстановления, которая может использоваться, если система была взломана, и это позволит вам вернуть базовое состояние системы с примененными параметрами безопасности.