Operační systém Windows XP má vyvinutý bezpečnostní systém, který je však potřeba nakonfigurovat. Doufáme, že chápete, že systém Windows XP musí být nainstalován na oddíly NTFS, což je důvod souborový systém FAT32 se nedoporučuje z bezpečnostních důvodů (vestavěné zabezpečení jednoduše nelze implementovat pomocí FAT32).

Pokud používáte souborový systém FAT 32, téměř všechna tvrzení v této části pro vás budou bezvýznamná. Jediná možnost povolit všechna oprávnění systému souborů - převést disk do formátu NTFS.

Po čisté instalaci systému Windows XP fungují výchozí nastavení zabezpečení jako vypínače. Toto rozhraní se ve výchozím nastavení nazývá Jednoduché sdílení souborů. Tato konfigurace má nízkou úroveň zabezpečení, téměř identickou se standardní. Konfigurace Windows 95/98/Já.

Pokud s touto konfigurací nejste spokojeni, můžete využít plný výkon oprávnění k souborům ve stylu Windows 2000. Chcete-li to provést, otevřete v Průzkumníkovi náhodnou složku a vyberte Nástroje -> Možnosti složky. Přejděte na kartu Zobrazit, najděte v seznamu zaškrtávací políčko Použít sdílení souborů (doporučeno) a zrušte jeho zaškrtnutí.

Když vypnete jednoduché sdílení, zobrazí se v dialogovém okně vlastností libovolné složky karta Zabezpečení. Totéž platí pro vydávání oprávnění k souboru. Všechna oprávnění jsou uložena v seznamech řízení přístupu (ACL).

Při nastavování a odebírání oprávnění dodržujte tyto základní zásady:

1. Pracujte shora dolů.
2. Udržujte sdílené datové soubory pohromadě.
3. Pracujte se skupinami, kdekoli je to možné.
4. Nepoužívejte speciální oprávnění.
5. Nedávejte uživatelům více oprávnění, než je nezbytně nutné (zásada nejmenších oprávnění).

Nastavení oprávnění z příkazového řádku

Nástroj příkazového řádku cacls.exe dostupný v systému Windows XP Professional umožňuje prohlížet a měnit oprávnění souborů a složek. Cacls je zkratka pro Control ACLs – správa přístupového seznamu.

Přepínače příkazového řádku pro obslužný program cacls:

• /T - Změna přístupových oprávnění zadané soubory v aktuální složce a všech podsložkách
• /E - Změňte seznam řízení přístupu (ne zcela jej nahradit)
• /C – Pokračovat, pokud dojde k chybě „přístup odepřen“.
• /G - user:permission Přiděluje zadané oprávnění uživateli. Bezklíčový
• /E - zcela nahradí aktuální oprávnění
• /R - uživatel Odebere přístupová práva aktuálnímu uživateli (používá se pouze s přepínačem /E)
• /P - user:permission Přepíše zadaná uživatelská oprávnění
• /D - uživatel Odepře uživateli přístup k objektu

S klávesami /G a /P musíte použít jedno z níže uvedených písmen (místo slova oprávnění):

• F (Full Control) – Ekvivalent zaškrtnutí políčka Full Control na záložce Security.
• C (modify) – totožné se zaškrtnutím políčka Allow Modify
• R (read) – ekvivalentní zaškrtnutí políčka Allow Read & Execute
• W (write) – ekvivalentní zaškrtnutí políčka Povolit zápis (Write).

Microsoft Windows XP pomáhá zabránit tomu, aby se citlivá data dostala do nesprávných rukou. Šifrování souborového systému Souborový systém- EFS) šifruje soubory na disku. Mějte však na paměti, že pokud ztratíte dešifrovací klíč, data mohou být považována za ztracená. Pokud se tedy rozhodnete využít výhod EFS, musíte tvořit účet agenta obnovení, záložní kopii vlastního certifikátu a certifikát agenta obnovení. Pokud dáváte přednost práci s příkazovým řádkem, můžete použít program cipher.exe.

Příkaz cipher bez parametrů zobrazí informace o aktuální složce a souborech v ní umístěných (ať už jsou zašifrované nebo ne). Níže je uveden seznam nejčastěji používaných možností šifrovacích příkazů:

• /E - Zašifrovat určené složky
• /D - Dešifrování zadaných složek
• /S:složka – operace se vztahuje na složku a všechny vnořené podsložky (ale ne na soubory)
• /A – Operace se použije na zadané soubory a soubory v zadané složky
• /K - Vytvoří nový šifrovací klíč pro uživatele, který spustil program. Pokud je zadán tento klíč, všechny ostatní jsou ignorovány
• /R – Vytvoří klíč a certifikát agenta obnovení souborů. Klíč a certifikát jsou umístěny v souboru .CFX a kopie certifikátu je umístěna v souboru .CER
• /U – Aktualizuje uživatelský šifrovací klíč nebo agenta obnovení pro všechny soubory na všech lokální disky
• /U /N – Zobrazí seznam všech zašifrovaných souborů na místních discích bez jakékoli další akce

Odstraňování problémů s oprávněním (Agent pro obnovu dat)

Správce je obvykle jmenován jako Data Recovery Agent. Chcete-li vytvořit agenta pro obnovu, musíte nejprve vytvořit certifikát pro obnovu dat a poté určit jednoho ze svých uživatelů jako takového agenta.
Chcete-li vytvořit certifikát, musíte provést následující:

1. Musíte se přihlásit jako správce
2. Do příkazového řádku zadejte šifru /R: název souboru
3. Zadejte heslo pro nově vytvořené soubory

Soubory certifikátů mají příponu .PFX a .CER a vámi zadaný název.

POZORNOST! Tyto soubory umožňují každému uživateli v systému stát se agentem obnovy. Nezapomeňte je zkopírovat na disketu a uložit na bezpečné místo. Po zkopírování smažte soubory certifikátu z pevného disku.

Chcete-li přiřadit agenta pro obnovení:

1. Přihlaste se pomocí účtu, který by se měl stát agentem pro obnovu dat
2. V konzole Certifikáty přejděte do části Certifikáty – Současný uživatel-> Osobní (Aktuální uživatel -> Osobní)
3. Akce -> Všechny úkoly -> Import (Akce -> Všechny úkoly -> Import) pro spuštění Průvodce importem certifikátu
4. Importujte certifikát pro obnovení

Pokud používáte šifrovací nástroje nesprávně, můžete nakonec způsobit více škody než užitku.

1. Zašifrujte všechny složky, kde ukládáte dokumenty
2. Zašifrujte složky %Temp% a %Tmp%. Tím zajistíte, že všechny dočasné soubory budou zašifrovány
3. Vždy povolte šifrování pro složky, nikoli pro soubory. Poté jsou všechny soubory následně vytvořené v něm zašifrovány, což se ukazuje jako důležité při práci s programy, které při úpravách vytvářejí vlastní kopie souborů a poté kopie přepisují přes originál
4. Exportujte a chraňte soukromé klíče účtu agenta pro obnovení a poté je odeberte z počítače
5. Exportujte osobní šifrovací certifikáty všech účtů
6. Při změně zásad agenta obnovení neodstraňujte certifikáty pro obnovení. Uchovávejte je, dokud si nebudete jisti, že všechny soubory chráněné těmito certifikáty nebudou aktualizovány.
7. Při tisku nevytvářejte dočasné soubory ani nešifrujte složku, ve které budou vytvořeny
8. Chraňte svůj soubor stránky. Při ukončení systému Windows by měl být automaticky odstraněn

Tvůrce šablon zabezpečení

Bezpečnostní šablony jsou běžné soubory ASCII, takže je lze teoreticky vytvořit pomocí běžného souboru textový editor. Je však lepší použít modul snap-in Šablony zabezpečení v konzole Microsoft Management Console (MMC). Chcete-li to provést, v příkazovém řádku je třeba zadat mmc /a v této konzoli, vyberte nabídku Soubor – Přidat/Odebrat. V dialogovém okně Přidat samostatný modul snap-in vyberte Šablony zabezpečení – Přidat.
Správa zařízení

Šablony zabezpečení jsou umístěny ve složce \%systemroot%\security\templates. Počet vestavěných šablon se liší v závislosti na verzi operační systém a nainstalované aktualizace Service Pack.

Pokud rozbalíte libovolnou složku v Šablonách zabezpečení, v pravém podokně se zobrazí složky, které odpovídají ovládaným prvkům:

• Zásady účtů – správa hesel, zámků a zásad Kerberos
• Místní zásady – správa nastavení auditu, uživatelských práv a nastavení zabezpečení
• Event Log – správa parametrů systémového logu
• Restricted Groups – definující prvky různých místních skupin
• Systémové služby – povoluje a zakazuje služby a přiděluje právo upravovat systémové služby
• Registr – přiřazení oprávnění ke změně a zobrazení klíčů registru
• Systém souborů – správa oprávnění NTFS pro složky a soubory

Ochrana připojení k internetu

Chcete-li zajistit bezpečnost při připojování k internetu, musíte:

• Povolte bránu firewall pro připojení k Internetu nebo nainstalujte bránu firewall třetí strany
• Zakažte sdílení souborů a tiskáren pro sítě Microsoft

Brána firewall pro připojení k internetu je softwarová součást, která blokuje nežádoucí provoz.

• Aktivace brány firewall pro připojení k Internetu.
• Otevřete Ovládací panely – Síťová připojení
• Klepněte pravým tlačítkem myši na připojení, které chcete chránit, a z nabídky vyberte Vlastnosti
• Přejděte na kartu Upřesnit, zaškrtněte políčko Zabezpečené připojení k Internetu

Závěr

Úvod

Pokud je váš počítač připojen k počítačová síť(bez ohledu na to, zda se jedná o internet nebo intranet), pak je zranitelný vůči virům, škodlivým útokům a jiným průnikům. Chcete-li svůj počítač před těmito nebezpečími chránit, musíte jej neustále udržovat v chodu. firewall(firewall) a antivirový software (s poslední aktualizace). Kromě toho je nutné, aby byly na vašem počítači nainstalovány také všechny nejnovější aktualizace.

Ne každý uživatel to může neustále sledovat. Ne každý uživatel ví, jak to udělat. A i když je uživatel v těchto věcech kompetentní, na takové kontroly prostě nemusí mít dostatek času. Microsoft se o všechny tyto uživatele postaral tím, že takový nástroj zařadil do SP2 pro Windows XP. Jmenuje se "" (Windows Bezpečnostní centrum) (Obr. 1).

Rýže. 1. Centrum poskytování Zabezpečení Windows

Hlavním účelem tohoto nástroje je informovat a vést uživatele správným směrem. Jednak neustále sleduje stavy tří hlavních komponent OS (firewall, antivirus, systém automatických aktualizací). Pokud nastavení některé z těchto součástí nesplňuje požadavky na zabezpečení počítače, uživatel obdrží upozornění. Například na Obr. Obrázek 2 ukazuje jedno z těchto oznámení.

Rýže. 2. Upozornění

Za druhé, při otevření Centra zabezpečení systému Windows může uživatel nejen obdržet konkrétní doporučení, jak vyřešit aktuální situaci, ale také zjistit, kde se nacházejí další nastavení související s bezpečností počítače a kde na webu společnosti Microsoft si můžete přečíst další informace zajistit bezpečnost.

Hned je třeba poznamenat, že když připojíte počítač k doméně, Centrum zabezpečení Windows nezobrazuje informace o stavu zabezpečení počítače (obr. 3) a neodesílá bezpečnostní zprávy. V tomto případě se má za to, že nastavení zabezpečení by měl spravovat správce domény.

Chcete-li povolit Centrum zabezpečení systému Windows pro počítač, který je součástí domény, musíte povolit nastavení Konfigurace počítače, Šablony pro správu, Součásti systému Windows, Centrum zabezpečení, Povolit Centrum zabezpečení v zásadách skupiny domény (pouze pro počítače v doméně). ) ".

Rýže. 3. Centrum zabezpečení systému Windows

Nastavení zabezpečení systému Windows

Chcete-li otevřít Centrum zabezpečení systému Windows, klepněte na tlačítko Start, vyberte Ovládací panely a poklepejte na ikonu Centrum zabezpečení (obrázek 4).

Rýže. 4. Ikona

Okno Centrum zabezpečení systému Windows lze rozdělit do tří částí (obr. 5):

Rýže. 5. Bezpečnostní centrum

1. Zdroje. Zde jsou odkazy na internetové zdroje, na integrovanou službu nápovědy systému Windows a na okno pro konfiguraci nastavení výstrah.
2. Bezpečnostní komponenty. Zde jsou umístěny informační prvky tří hlavních bezpečnostních složek: firewall, automatická aktualizace, antivirová ochrana.
3. Bezpečnostní nastavení. Zde jsou tlačítka pro přístup k nastavení zabezpečení následujících komponent: prohlížeč internet Explorer, automatická aktualizace, Windows firewall.

Podívejme se na tyto části podrobněji.

Zdroje

Na Obr. 5, číslo 1 označuje odkazy, první tři z nich jsou určeny k přechodu na odpovídající stránky na webu společnosti Microsoft. Předposlední odkaz je pro otevření podpora Windows na stránce " Obecná informace o Windows Security Center." Poslední odkaz je určen k otevření okna "Alert Settings" (obr. 6).

Rýže. 6. Nastavení upozornění

Pokud má váš počítač bránu firewall a antivirový software, které Centrum zabezpečení nezjistí, můžete příslušné výstrahy zakázat (viz obrázek 6).

Bezpečnostní komponenty

Na obr. 5 číslo 2 - každá informační tabule hlásí stav příslušné komponenty. Obrázek 7 ukazuje možné stavy.

Rýže. 7. Informační tabule uvádí

Státy A-C srozumitelné bez komentáře. Stav D – „Nenalezeno“ – odpovídá nemožnosti určit přítomnost odpovídajícího softwaru (například antiviru nebo firewallu). Stav E - "Vypršelo" - možné pro antivirová ochrana při aktualizaci antivirové databáze zastaralý. Stav F - "Not Observed" - odpovídá deaktivovanému ovládání příslušné komponenty.

Security Center využívá dvouúrovňový přístup k určování stavu komponent:

1. Kontrola obsahu registru a souborů s informacemi o stavu softwaru (Microsoft obdrží od výrobců softwaru seznam souborů a nastavení registru).

2. Informace o stavu softwaru jsou přenášeny z nainstalované programy pomocí nástrojů WMI (Windows Management Instrumentation).

Obrázek 8 ukazuje jeden z možných stavů komponenty Firewall. Kliknutím na tlačítko „Doporučení...“ budete mít možnost firewall buď povolit (obr. 9, tlačítko „Povolit nyní“), nebo zakázat sledování stavu této komponenty (obr. 9, okno „Instaluji a možnost monitorovat firewall sám“).

Rýže. 8. Stav brány firewall

Po kliknutí na tlačítko „Povolit nyní“ (viz obr. 9) se v případě úspěšného spuštění brány firewall systému Windows zobrazí na obrazovce příslušná zpráva (obr. 10).

Rýže. 10. Zpráva

Obrázek 11 ukazuje jeden z možných stavů komponenty "Automatická aktualizace". Kliknutím na tlačítko „Povolit automatické aktualizace“ povolíte provozní režim „Automatické aktualizace“ doporučený společností Microsoft (obr. 12).

Rýže. jedenáct. Stav "Automatická aktualizace".

Rýže. 12. Automatická aktualizace

Vezměte prosím na vědomí, že v závislosti na nastaveném provozním režimu "Automatická aktualizace" (viz obr. 12) v okně "Centrum zabezpečení" se zobrazí Stručný popis tento režim.

Obrázek 13 ukazuje jeden z možných stavů součásti „Ochrana před viry“. Kliknutím na tlačítko „Doporučení…“ obdržíte lakonické pokyny (obr. 14): „zapněte antivirový program“ (pokud je zakázán), „nainstalujte jiný antivirový program“. V tomto okně můžete zakázat sledování stavu této komponenty (volba „Antivirus instaluji a sleduji sám“).

Rýže. 13. Stav antivirové ochrany

Bezpečnostní nastavení

Na obr. 5 pod číslem 3 jsou tlačítka pro přechod do nastavení zabezpečení následujících komponent: Internet Explorer, automatické aktualizace, Windows Firewall.

Stisknutím tlačítka , budete přesměrováni na záložku „Zabezpečení“ v okně nastavení Internet Exploreru (obr. 15).

Obr. 15. Nastavení Internet Exploreru

Kliknutím na tlačítko otevřete okno nastavení „Automatic Update“ (viz obr. 12).

Kliknutím na tlačítko se dostanete do příslušného okna nastavení (obr. 16).

Rýže. 16.

Ve Windows XP SP2 se k označení nastavení souvisejících se zabezpečením používají následující ikony (viz např. obr. 16), jakož i upozornění o stavu zabezpečení počítače (viz např. obr. 2):

1. - Označuje důležité informace a bezpečnostní nastavení.

2. - Upozorní vás na potenciální bezpečnostní riziko.

3. - Situace je bezpečnější. Váš počítač používá doporučená nastavení zabezpečení.

4. - Varování: situace je potenciálně nebezpečná. Změňte nastavení zabezpečení, aby byl váš počítač bezpečnější.

5. - Nedoporučuje se používat aktuální nastavení zabezpečení.

možnosti internetu

Jak již bylo řečeno, kliknutím na tlačítko v "Centru zabezpečení Windows" se dostanete do okna nastavení Internet Exploreru na záložce "Zabezpečení" (obr. 17).

Rýže. 17.

Podívejme se na možnosti dostupné na této kartě. V horní části jsou čtyři zóny: Internet, Místní intranet, Důvěryhodné servery, Servery s omezeným přístupem. Tabulka 1 poskytuje popis každé zóny.

Tabulka 1. Popis zón

Pro všechny zóny kromě zóny Internet můžete definovat hostitele zahrnuté v zóně. K tomu je třeba vybrat požadovanou zónu (viz obr. 17) a kliknout na tlačítko „Nodes...“. V tomto případě se pro zónu „Místní intranet“ otevře okno zobrazené na obr. 18. Obr. Pokud chcete specifikovat konkrétní uzly, klikněte na tlačítko "Upřesnit...". V důsledku toho se objeví okno zobrazené na obr. 19. Podobné okno se otevře, pokud definujete uzly zahrnuté v zónách "Důvěryhodné stránky" a "Omezené stránky". Pouze zóna „Weby s omezeným přístupem“ nebude mít možnost „Všechny weby v této zóně vyžadují ověření serveru (https:)“.

Rýže. 18. Místní intranet

Rýže. 19. Určení konkrétních uzlů

Každé zóně lze přiřadit požadovanou úroveň zabezpečení: vysoká, střední, podprůměrná, nízká. Nízká úroveň zabezpečení představuje minimální zabezpečení a používá se pro weby, kterým plně důvěřujete.

Vyberte požadovanou zónu (viz obr. 17) a klikněte na tlačítko "Výchozí". Záložka "Zabezpečení" změní svůj vzhled (obr. 20). Ve spodní části okna můžete určit požadovanou úroveň zabezpečení. Pokud nechcete použít navrhované úrovně zabezpečení, můžete kliknout na tlačítko „Jiné…“ a definovat všechny parametry zabezpečení sami (obr. 21).

Rýže. 20. Nastavení zabezpečení aplikace Internet Explorer

Rýže. 21. Bezpečnostní nastavení

Výše popsaná nastavení zabezpečení aplikace Internet Explorer jsou k dispozici také prostřednictvím zásad skupiny (Konfigurace počítače, Šablony pro správu, Součásti systému Windows, Internet Explorer, Ovládací panely Internetu, Stránka zabezpečení).

Automatická aktualizace

Jak již bylo zmíněno dříve, kliknutím na tlačítko v „Centru zabezpečení systému Windows“ otevřete okno nastavení „Automatické aktualizace“ (obr. 22).

Rýže. 22. Možnosti automatické aktualizace

Systém automatické aktualizace velmi podrobně popisuje vestavěný systém nápovědy ve Windows XP. Pro přístup k této nápovědě klikněte na "Jak funguje automatická aktualizace?" (viz obr. 22). Zastavme se jen u několika bodů.

Nejprve je nutné rozlišovat mezi pojmy „stahování“ a „instalace“ aktualizací. Stažením se rozumí proces přenosu aktualizačních souborů ze serveru společnosti Microsoft (nebo z interního aktualizačního serveru v rámci organizace) do počítače uživatele. Instalace se týká skutečného procesu instalace aktualizací do počítače uživatele. Je možné, že aktualizace byly staženy do počítače uživatele, ale ještě nebyly nainstalovány.

Zadruhé, pokud jste vybrali možnost „Automaticky“ (viz obr. 22), aktualizace se stáhnou a nainstalují ve vámi zadaný čas. Pokud je počítač v určený čas vždy vypnutý, aktualizace se nikdy nenainstalují. Když se přihlásíte k počítači, uživatel s právy místního správce může spustit instalaci ručně, aniž by čekal na naplánovaný čas. Když nastane naplánovaný čas, uživatel bude upozorněn, že aktualizace zahájí instalaci. Pokud v tuto chvíli na systému pracuje administrátor, bude mít možnost odložit instalaci na příští naplánovaný čas. Ostatní uživatelé (bez administrátorských práv) nebudou mít možnost zrušit naplánovanou instalaci aktualizací.

Ve všech ostatních případech (s výjimkou možnosti „vypnout automatické aktualizace“) se oznámení o existujících aktualizacích pro váš počítač (připravené ke stažení nebo instalaci) zobrazí pouze v případě, že je na vašem počítači zaregistrován uživatel s právy místního správce. Pokud tedy neustále pracujete na svém počítači s účtem, který není členem místní skupiny správců, aktualizace se nikdy nenainstalují.

Výše popsaná nastavení automatických aktualizací jsou také dostupná pro konfiguraci prostřednictvím zásad skupiny (Konfigurace počítače, Šablony pro správu, Součásti systému Windows, Windows Update). Navíc pouze prostřednictvím Zásady skupiny můžete nastavit další nastavení. Můžete například zadat adresu interního aktualizačního serveru, který centrálně přijímá aktualizace ze serverů společnosti Microsoft a odesílá je na interní počítače organizací. Příkladem takového serveru je Microsoft® Windows Server™ Update Services (WSUS).

Brána firewall systému Windows

Jak již bylo zmíněno dříve, kliknutím na tlačítko v „Centru zabezpečení systému Windows“ otevřete okno nastavení „Brána firewall systému Windows“ (obr. 23).

Rýže. 23. Nastavení brány firewall systému Windows

Pokud kliknete na nápis „Více o bráně Windows Firewall“ (viz obr. 23), můžete číst stručné informace o možnostech brány firewall (firewall) obsažené v systému Windows XP SP2.

Poznamenejme pouze, že na rozdíl od produktů jiných výrobců je vestavěný firewall Windows určen pouze k řízení příchozího provozu, tzn. chrání váš počítač pouze před vnějšími průniky. Neovládá odchozí provoz tvůj počítač. Pokud tedy byl váš počítač již infikován trojským koněm nebo virem, který sám naváže spojení s jinými počítači, brána Windows Firewall nebude blokovat jejich síťovou aktivitu.

Firewall navíc ve výchozím nastavení vše chrání síťová připojení a příchozí požadavek ICMP echo je zakázán. To znamená, že pokud je na vašem počítači povolena brána Windows Firewall, je kontrola přítomnosti takového počítače v síti pomocí příkazu PING zbytečným cvičením.

Velmi často v organizacích, které používají software, který vyžaduje povolení příchozích připojení k uživatelským počítačům, je nutné otevřít některé porty na počítačích s nainstalovaný systém Windows XP SP2. Chcete-li tento problém vyřešit, musíte nastavit výjimky v nastavení brány Windows Firewall. Tento problém lze vyřešit dvěma způsoby:

1. Můžete nastavit výjimku zadáním programu, který vyžaduje příchozí připojení. V tomto případě firewall sám určí, které porty je třeba otevřít a otevře je pouze po dobu provádění zadaný program(přesněji po dobu, kdy bude program na tomto portu naslouchat).

2. Můžete nastavit výjimku zadáním konkrétní port, pomocí kterého program naslouchá příchozím spojením. V tomto případě bude port vždy otevřený, i když tento program není spuštěn. Z bezpečnostního hlediska je tato možnost méně výhodná.

Existuje několik způsobů, jak nastavit výjimku v nastavení brány Windows Firewall. Můžete použít grafické rozhraní (obr. 24). Tato možnost je podrobně popsána v Centru nápovědy a podpora Windows XP SP2. Můžete použít zásady skupiny domény. Tato možnost je vhodnější, pokud je v organizaci velký počet počítačů. Pojďme se na to podívat podrobněji.

Rýže. 24. Karta Výjimky

Nastavení brány Windows Firewall v Zásadách skupiny se nachází v části Konfigurace počítače, Šablony pro správu, Síť, Síťová připojení, uzel Brána firewall systému Windows.

Při konfiguraci pomocí zásad skupiny musíte nakonfigurovat dva profily:

1. Profil domény. Nastavení v tomto profilu se používají, když je počítač připojen k síti, která obsahuje řadič domény organizace.

2. Standardní profil. Nastavení v tomto profilu platí, když počítač není připojen k síti, která obsahuje řadič domény organizace. Například pokud je notebook organizace používán na služební cestě a je připojen k internetu prostřednictvím poskytovatele internetových služeb. V tomto případě musí být nastavení brány firewall přísnější než nastavení profilu domény, protože počítač se připojuje k veřejné síti a obchází brány firewall své organizace.

Podívejme se, jak nastavit výjimky pro program a pro daný port. Jako konkrétní příklad si vezměme Administrační server Kaspersky Administration Kit, který přistupuje k počítači, na kterém je nainstalován Network Agent, aby získal informace o stavu antivirové ochrany. V tomto případě je nutné, aby byl na klientském počítači otevřen UDP port 15000 nebo aby měl program „C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe“ povolen příjem příchozích zpráv.

Související informace.

Windows 7 je nejnovější klientský operační systém pro stolní počítače od společnosti Microsoft, který je postaven na silných stránkách a slabé stránky jeho předchůdci, Windows XP a Windows Vista. Každý aspekt základního operačního systému, stejně jako služby, které spouští, a způsob, jakým spravuje aplikace, které jsou v něm načteny, byl přezkoumán a byla přijata opatření ke zlepšení jeho zabezpečení, kde to bylo možné. Všechny služby byly vylepšeny a díky novým možnostem zabezpečení je tento OS spolehlivější. Kromě některých zásadních vylepšení a nových služeb nabízí Windows 7 více funkcí zabezpečení, vylepšené možnosti auditu a monitorování a možnosti připojení a šifrování dat. Ve Windows 7 došlo k některým vylepšením vnitřního zabezpečení, aby byla zajištěna bezpečnost takových vnitřních systémových komponent, jako je ochrana před opravami jádra, zpevnění služeb, zabránění spouštění dat, náhodnost rozvržení adresního prostoru, náhodnost rozvržení adresního prostoru) a povinné úrovně integrity (povinné úrovně integrity).

Windows 7 je navržen tak, aby byl spolehlivý. Na jedné straně byl vyvinut jako součást životního cyklu vývoje zabezpečení (SDL) společnosti Microsoft a navržen tak, aby podporoval požadavky Common Criteria, což mu umožnilo získat certifikaci EAL (Evaluation Assurance Level) 4, která splňuje požadavky federálního Standard zpracování informací – FIPS) #140-2 pomocí Windows 7 jako samostatný systém, může být chráněn osobním zabezpečovacím zařízením. Windows 7 obsahuje mnoho různých bezpečnostních nástrojů, ale je v kombinaci s Windows Server 2008 (R2) a Aktivní adresář z tohoto OS se stává neprůstřelná vesta. Pomocí pokročilých technik zabezpečení z nástrojů, jako jsou zásady skupiny, můžete ovládat každý aspekt zabezpečení svých počítačů. Pokud je systém Windows 7 používán v domácí kanceláři nebo osobním prostředí, lze jej také chránit, aby se zabránilo mnoha dnešním hackerským technikám, a systém lze rychle obnovit po havárii, takže i když je spárování s Windows 2008 bezpečnější, je není nutné pro vysoký výkon.úroveň zabezpečení ve Windows 7. Měli byste také vzít v úvahu skutečnost, že ačkoli je Windows 7 ze své podstaty bezpečný, neznamená to, že se musíte zcela spolehnout na standardní konfiguraci a že není třeba provést změny ke zlepšení zabezpečení. Nezapomínejte také na to, že časem budete při používání počítače v jakékoli veřejné síti ohroženi infekcí nějakým škodlivým kódem nebo internetovým útokem. Pokud se počítač používá pro jakýkoli typ veřejný přístup k internetu se váš systém a síť, ke které je připojen, stanou otevřenými možným útokům.

V tomto článku probereme základy, o kterých potřebujete vědět správné nastavení Zabezpečení Windows 7, dosažení požadované úrovně zabezpečení a také si povíme o pokročilých možnostech zabezpečení a podíváme se na některé méně známé bezpečnostní funkce, které Windows 7 nabízí k prevenci a ochraně před možnými útoky. Podíváme se také na mnoho způsobů, jak můžete chránit svá data a obnovit je, pokud utrpíte útok nebo kritické selhání systému. Tento článek představuje koncepty zabezpečení, jak posílit Windows 7, jak nainstalovat a zabezpečit spuštěné aplikace, jak spravovat zabezpečení v systému Windows 7 a jak předcházet problémům způsobeným škodlivým kódem. Tento článek bude také pokrývat proces ochrany dat, funkce zálohování a obnovy systému, proces obnovy operačního systému do předchozího stavu a jak obnovit data a stav systému v případě kritického selhání systému. Podíváme se také na strategie, jak toho dosáhnout rychle. Budou probrána i témata bezpečná práce na síti a internetu, nastavení biometrické kontroly pro pokročilé řízení přístupu a jak může systém Windows 7 při práci se systémem Windows Server 2008 (a Active Directory) používat některé integrované možnosti řízení, správy a monitorování. Účelem tohoto článku je seznámit vás s funkcemi zabezpečení, vylepšeními a aplikacemi systému Windows 7 a poskytnout podrobnější obrázek o tom, jak tyto funkce zabezpečení správně naplánovat a implementovat. Všechna témata, kterých jsme se zde dotkli, budou rozdělena a uspořádána do samostatných bloků.

Poznámka: Při práci v podnikovém nebo jiném produkčním prostředí neprovádějte změny na počítačích vaší společnosti. Ujistěte se, že pracujete v rámci bezpečnostního plánu nebo zásad vydané společností a dodržujete všechny firemní postupy, zásady a směrnice. Pokud nejste obeznámeni s tématy zabezpečení a produkty společnosti Microsoft, před provedením změn v systému si přečtěte dokumentaci k produktu.

Základní bezpečnostní body

Než se ponoříme do specifik Windows 7, je důležité nejprve představit některé základní bezpečnostní koncepty a jak je plánovat. Budeme také potřebovat vědět, proč je monitorování zásadní pro udržení bezpečnosti a jak správně monitorovat problémy bezpečnostních týmů. Je také důležité vědět, jak sledovat své zabezpečení a odhalit možné vystavení potenciálním útokům. Bezpečnost není něco, co lze udělat ve spěchu. Musí být pečlivě připraven a aplikován na každý technický aspekt instalace a musí být vždy přítomen. Také je třeba jej před instalací pečlivě zvážit a po instalaci průběžně monitorovat a auditovat. Správa zabezpečení vyžaduje analýzu k doladění současné architektury zabezpečení a také k detekci potenciálních útoků. Ve většině případů bude vaše zabezpečení testováno útočníkem nebo škodlivým kódem, aby hledal přístup, případně se můžete chránit preventivními opatřeními, pokud uvidíte pokusy o hackování nebo infekce. Uchováváním protokolů a jejich následným auditem můžete najít informace o pokusech o přihlášení k routeru, pokusech o přihlášení jako správce atd.

Protokoly a výstrahy jsou velmi užitečné, protože pokud se něco pokazí, můžete na to rychle a správně reagovat analýzou zdrojových IP adres nebo pokusů o přihlášení zaznamenaných auditní aplikací. Reakce na útok pomocí podrobného plánu se nazývá „reakce na incident“. Připravenost je klíčem k reakci na incident, takže mít plán před a po události je pro bezpečnost zásadní. Plán obnovy po havárii [někdy se používá ve spojení s plánem kontinuity podnikání (BCP)] bude obsahovat strategii obnovy po havárii. Některé IT týmy také vyčleňují zaměstnance, aby vytvořili tým pro reakci na incidenty, který je odpovědný za vypracování plánu na odstraňování a řešení kritických problémů vyplývajících ze selhání systému, ztráty dat, síťových nebo systémových útoků atd.

Domácí uživatelé by tedy měli používat stejnou strategii, jen na zjednodušené úrovni. Musíte také chránit své systémy a reagovat na selhání, takže dobrý plán vytvořený předem vám může být v budoucnu velkým přínosem. Dobrý příklad jednoduchý plán bude například následující: pokud je váš systém infikován škodlivým kódem (například trojským koněm), budete muset přeinstalovat operační systém, pokud všechna ostatní opatření a pokusy o opravu selžou. Pokud je tomu tak, pak potřebujete členy týmu s přidělenými odpovědnostmi, podrobnými kroky (nebo seznamem) a postupy před incidentem, abyste mohli vhodně reagovat, a musíte provést kontrolu, abyste se ujistili, že po obnovení bylo vše provedeno správně. Dostupnost přístupu nebo kopírování instalační soubory nebo jakékoli jiné programy a aplikace, než je budete potřebovat, vám mohou ušetřit čas a promyšlený plán vám může ukázat, kde hledat všechny potřebné nástroje, když čas může být důležitý.

Poznámka: Abychom vám pomohli s plánováním a lépe se seznámili s bezpečností, seznamy a plány naleznete v části s dalšími odkazy tohoto článku.

Také byste měli své plány kontrolovat co nejčastěji, zejména po kritických problémech nebo selháních, a v případě potřeby k nim přidat konkrétní akce. Jakmile je váš plán připraven, měli byste zvážit jeho vybudování na základech velké množství bezpečnostní funkce a služby.

Rada: Zabezpečení by mělo být zváženo a aplikováno na každý používaný systém nebo službu, aby se snížilo riziko spojené s útoky, které pocházejí z kteréhokoli z nich během provozu. A pokud je zabezpečení aplikováno takovým způsobem, že můžete proaktivně zabránit útoku (nebo se z něj zotavit), budete mít méně práce, abyste na takové útoky reagovali a odpovídali za ně. Zabezpečení, a to i na té nejzákladnější úrovni, by mělo být aplikováno způsobem, který ochrání vaše data později, takže i když budete muset nainstalovat Windows od začátku, můžete svá data použít později pro pozdější použití. Bezpečnost nelze ignorovat.

Měli byste také zvážit aplikaci zabezpečení koncepčně a technicky pomocí bezpečnostního konceptu zvaného Obrana do hloubky. Bezpečnost musí být promyšlena a aplikována na všechny systémy, služby, aplikace a síťová zařízení, udrží váš systém spuštěný a připojený k internetu. Publikované zásady a dobře promyšlené plány zajišťují produktivitu uživatelů systému a seznamují je s obecnými zásadami používání. Neustálá údržba zajistí růst vaší investice. Aby se v bezpečnostní architektuře neobjevovaly díry, je nutné použít plánování a aplikovat bezpečnostní model, který využívá koncept „Defense in Depth“. Obrázek 1 ukazuje tento koncept na zjednodušené úrovni; můžete (a samozřejmě byste měli) přidávat další vrstvy v závislosti na tom, jak je postavena vaše domácí nebo firemní síť.

Obrázek 1: Konceptualizace a implementace Obrany do hloubky

Obrana do hloubky Ochranu, jak je vidět z obrázku, lze upravit tak, aby vyhovovala vašim potřebám. V tomto příkladu je potřeba bezpečnostní politika k zajištění bezpečné interakce mezi uživateli systému a sítě. Rovněž je třeba vzít v úvahu posílení vašich systémů, telefonů, stolních počítačů, služeb, aplikací, serverů, směrovačů, přepínačů a pobočkových ústředen, aby bylo zajištěno, že budou pokryty všechny přístupové body. Je také dobrý nápad mít nástroj pro zabezpečení veřejné sítě, jako je firewall, ale vždy byste měli tyto hranice posouvat a přidat věci, jako jsou filtry a skenery, abyste poskytli komplexnější podporu. Budete také muset být schopni sledovat a uchovávat protokoly všech informací pro pozdější použití.

Windows 7 byl také navržen tak, aby byl integrován a používán v prostředích, která musí splňovat požadavky na vysoké zabezpečení, jako je vládní a vojenská prostředí. Při zvažování základních principů zabezpečení Windows je důležité mít na paměti, že každý produkční systém musí být certifikován na úroveň zabezpečení C2 z Orange Book. Microsoft Windows musí také splňovat požadavky Common Criteria Certification. Pro dodatečné informace Tato témata naleznete v článcích propojených v části další odkazy na konci tohoto článku. Windows 7 je velmi flexibilní systém a jeho mnoho možností vám umožňuje nakonfigurovat jej tak, aby využíval všechny jeho funkce (minimální zabezpečení), nebo používal pouze základní schopnosti a operace, které jste nakonfigurovali k použití (maximální úroveň zabezpečení). Windows 2008 a Windows 7 mají desetkrát vylepšené zabezpečení, když jsou oba operační systémy společně správně nakonfigurovány.

Poznámka: Je důležité si uvědomit, že popření problému (nebo potenciálního problému) není možné. Problémy odložené na později nebo úplně ignorované situaci jen komplikují. Lenost vám jen koupí nějaký čas. V neznámu nic jako bezpečnost neexistuje. Nesoulad pouze zvyšuje problémy později, když je shoda nutná. Pečlivé nasazení zabezpečení na vašem domácím počítači nebo podniku (což je stejně důležité) zabrání průnikům a útokům a poskytne více vrstev ochrany, aby byly vaše systémy spolehlivější. Pokud potřebujete ochranu, musíte znát základy zabezpečení a jak se chovat před útoky a po nich.

Nyní, když jste obeznámeni se základními pojmy zabezpečení, pojďme použít to, co jsme se naučili při konfiguraci nastavení zabezpečení systému Windows 7. Vzhledem k tomu, že víme, proč by mělo být zabezpečení aplikováno, kdy je použít, a také znát důvody správy, monitorování a aktualizace, jen musíme tyto bezpečnostní koncepty použít při nastavování Systémy Windows 7. Je to docela snadné, pokud víte, co máte dělat. Pokud s Windows teprve začínáte nebo máte problémy se zvykem na 7 (možná jste ještě nepoužívali Vista), je důležité věnovat nějaký čas seznámení se s těmito nástroji prostřednictvím online zdrojů, jako je TechNet nebo Microsoft Support. Například na webu Microsoft.com lze nalézt mnoho šablon a kontrolních seznamů, které vás krok za krokem provedou aplikací a používáním zabezpečení ve vašem systému Windows. Užitečné nástroje naleznete také v části další odkazy na konci tohoto článku.

Šablony nejsou všelék a mohou se někdy vrátit zpět, pokud se používají nesprávně (nebo jsou nesprávně nakonfigurovány), takže buďte vždy opatrní, i když si tyto šablony stahujete přímo z Microsoft.com. Je velmi důležité si vždy přečíst dokumentaci dodanou se šablonou, abyste ji mohli správně použít. Správné by také bylo říci, že bez určitých znalostí základů samotného OS, případně znalosti základních principů OS, nebudete schopni dlouhodobě zajistit vysokou úroveň zabezpečení. Jasná znalost jádra OS a jeho služeb je nezbytná, pokud chcete být schopni poskytovat vysoký stupeň zabezpečení i po nastavení základní úrovně zabezpečení. Důvodem, proč je to důležité pro každého, kdo implementuje zabezpečení operačního systému, je vědomí, že váš systém je aktivně skenován a testován na zranitelnosti. Uchovávání protokolů událostí je mimořádně užitečné, protože můžete nastavit auditování (jako příklad) a přijímat detailní informace o tom, co se děje s vaším systémem a v něm. Většina (pokud ne všechny) protokoly jsou ze své podstaty nepříliš jasné a mohou způsobit problémy použitím velmi obecných termínů nebo strojového jazyka. Musíte jít online a odhalit tajemství těchto časopisů, což se s určitými zkušenostmi stává jednodušší a jednodušší. Přečtete si spoustu věcí, které jste dosud nevěděli, a také najdete spoustu nástrojů, které si budete chtít přidat do svého toolboxu, jakmile je otestujete.

Potřebujete také určitou úroveň flexibility v tom, jak použijete zabezpečení, úroveň, která vám umožní bezproblémově plnit podnikové cíle a požadavky (jako je přístup k internetu) při zachování vysoké úrovně zabezpečení. Skvělým příkladem je nástroj Řízení uživatelských účtů (UAC), který při správné konfiguraci může poskytnout vysokou úroveň zabezpečení nebo jej lze zcela deaktivovat. Pokud zakážete UAC, budete muset restartovat počítač.

Nástroj UAC se používá k zabránění programům nebo aplikacím provádět změny v operačním systému počítače. Funguje tak, že omezí přístup v jádře operačního systému a poté uživatelům poskytne podrobné informace o programu, který se pokusil nainstalovat nebo provést změny v operačním systému. To je užitečné, protože vám to dává příležitost zkontrolovat, co program dělá, a podniknout akci, pokud nechcete, aby program prováděl změny. UAC bylo poprvé představeno ve Windows Vista, ale protože se nedalo vypnout, bylo považováno přinejmenším za „otravné“. Naštvalo to uživatele, kteří to nemohli obejít. Vývojáři Windows také měli velké potíže s psaním kódu kvůli omezením UAC a potřebovali náhradní řešení. Nyní, když je Windows 7 venku, lze UAC vypnout, zcela odstranit vrstvu zabezpečení a umožnit větší flexibilitu a výběr.

Pozornost! Pro ochranu vašeho systému se nedoporučuje úplně deaktivovat UAC, nebo pokud to z nějakého důvodu potřebujete, nezapomeňte jej znovu povolit.

Instalace a posílení Windows 7

Windows 7 je od přírody bezpečný. Během instalace OS se vždy doporučuje provést novou instalaci OS na nově zakoupený (nebo upgradovaný) kompatibilní hardware a poté jej posílit. Posilování systému je proces zlepšování úrovně zabezpečení nově nainstalovaného základního operačního systému úpravou nezbytných nastavení zabezpečení, odstraněním nepotřebného softwaru a konfigurací dalších nastavení zásad.

Poznámka Odpověď: Při výběru hardwaru pro Windows 7 je třeba udělat trochu plánovací práce, protože pokud chcete používat virtualizaci, Windows Trusted Platform Module (TPM) Management a další funkce, jako je BitLocker, budete muset zakoupit příslušný hardware, aby tyto funkce fungovaly.

Po správné instalaci OS a jeho základní nastavení probíhá proces jeho posilování. Mám vždy provést novou instalaci, nebo mohu svůj stávající OS Windows posílit? Technicky můžete systém, který již používáte, posílit, ale než to uděláte, musíte se s ním nejprve seznámit, analyzovat jej, zkontrolovat a samozřejmě auditovat úroveň zabezpečení nakonfigurovanou a používanou v tomto systému. . Nemá smysl posilovat systém, který již byl hacknut. Také ne vždy víte, jak bezpečnostní aplikace ovlivní produkční systém, ať už se používá doma nebo ve firemním prostředí. Někdy jsou vytvořeny duplicitní systémy, aby bylo možné vše otestovat, ale to vyžaduje čas a zdroje, ale stojí to za to, protože to pomáhá najít a vyhnout se problémům, které mohou nastat při budování a nasazování prostředí. Můžete nadělat více škody než užitku, pokud nevíte, jak změny nebo vzorce zabezpečení ovlivní služby v produkčním systému. Můžete například na systém použít model zabezpečení a pomocí příliš přísných pravidel filtrování na bráně firewall zabránit konkrétní aplikaci v normálním fungování „aplikace například používá určitý port, který je blokován bránou firewall, což by blokovalo přístup aplikace. To může způsobit Negativní důsledky, pokud se aplikace používá v podniku a byla nezbytná pro produktivitu, a odstranění problému může vyžadovat určitý čas a úsilí. Proto je jeho instalace jednodušší nové Windows 7 a poté jej zpevněte, protože to nezabere mnoho času a umožní vám zajistit, aby bezpečnost zůstala na nejvyšší možné úrovni. Proces můžete také urychlit, zvláště pokud používáte virtuální stroj(VM) nebo VHD, který vám dává možnost mít více instancí vašich počítačů spuštěných ve virtuálním prostředí a také umožňuje rychlou obnovu, pokud není použita žádná redundance. Protože virtualizace zjednodušuje proces instalace při vytváření klonovaných obrazů pro proces zálohování, můžete své počítače velmi snadno a rychle obnovit. Procesu virtualizace se dotkneme dále v tomto článku. Pokud je povoleno a nakonfigurováno převzetí služeb při selhání, uživatel počítače si nemusí ani všimnout, že virtuální stroj selže.

Můžete posílit systém a poté přistupovat k chráněným datům prostřednictvím úložiště sdílený přístup, databáze a úložiště na vysoká rychlost pomocí možností převzetí služeb při selhání a redundance, které nejen udrží informace v bezpečí, ale budou oddělené od dat, ke kterým přistupujete. Pokud vše správně naplánujete, budete schopni produkovat snímky, které jsou plně připravené, nakonfigurované, chráněné a aktualizované verze Windows a v případě havárie obnovte bitové kopie systému zpět na váš hardware za 1/3 času, který zabere, bez použití klonování obrazu a virtualizace. Poté se po obnovení základního operačního systému můžete připojit ke sdílenému úložišti a získat data, která potřebujete.

Jaké jsou tedy skutečné kroky k posílení operačního systému po jeho instalaci? A existuje pro tyto kroky konkrétní pořadí? Pokud by existovala jasně definovaná sada kroků k instalaci a posílení, probíhaly by v následujícím základním pořadí: nainstalovat, odstranit vše, co se nepoužívá, aktualizovat systém, použít základní zabezpečení a poté zálohovat rychlé obnovení v případě potřeby, jak je uvedeno v následujícím seznamu:

• Krok 1- Instalace základního OS s výběrem nezbytných možností pro zvýšení bezpečnosti při instalaci a deaktivací nepotřebných služeb, možností a programů.
• Krok 2- Instalace všech funkčních administrátorských sad, bezpečnostních nástrojů a potřebných programů.
• Krok 3- Odstranění nepotřebných služeb, programů a aplikací. Zakázat nebo odstranit nepoužívané účty uživatelů a skupin.
• Krok 4- Instalace Service Pack, záplat a aktualizací. Aktualizujte všechny nainstalované programy.
• Krok 5- Spusťte bezpečnostní audit (skener, šablony, MBSA atd.), abyste získali informace o aktuální úrovni zabezpečení
• Krok 6- Spusťte nástroj Obnovení systému a vytvořte bod obnovení. Zálohovací a obnovovací aplikace pro obnovu po haváriích systému.
• Krok 7 - Záloha systémy se schopností rychlé obnovy po havárii.

Tento seznam je celkem jednoduchý. Můžete přidat další kroky a rozšířit je. Tento seznam není úplný, ale je dobrým začátkem pro získání představy o tom, kde začít při použití zabezpečení na Windows 7 po základní instalaci. Pokud je dokončeno nová instalace Windows 7, dalším krokem je odstranění nežádoucího softwaru, služeb, protokolů a programů, které nepotřebujete. To lze provést pomocí ovládacího panelu.

Poté můžete přejít do Ovládacích panelů a ovládat, kdo bude moci používat počítač, pomocí aplikace Uživatelské účty. Zde musíte odstranit všechny účty, které nepotřebujete, nebo je jednoduše zakázat. Samozřejmě musíte být opatrní se standardními uživateli a skupinami, protože některé z nich souvisí se službami běžícími v OS, mohou také ovlivnit způsob přístupu k datům ve vašem systému atd. Účty můžete také snadno deaktivovat, pokud si nejste jisti, že je lze smazat. Další technikou, kterou používá většina odborníků na bezpečnost IT, je ponechat účet místního správce na místě a provést audit pro pokusy o zneužití tohoto účtu nebo účtu správce domény, který je třeba dále chránit a plně auditovat. Běžnou praxí je, že se profesionálové vyhýbají používání vestavěných účtů při správě velkých sítí systémů Microsoft a vytvářejí nové administrátorské účty, jejichž činnost lze v případě potřeby snadno monitorovat. Auditováním těchto účtů a používáním nových účtů s právy správce zdvojnásobíte úroveň zabezpečení. Za prvé, máte možnost zjistit, zda se někdo nepokouší přihlásit do vašeho systému pomocí standardních účtů, i když by se to nemělo stávat. Pomocí auditování můžete takové pokusy sledovat, pokud k nim dojde. Tato aplikace zabezpečení účtů je známá jako honeypot a je užitečná při hledání možných neoprávněných pokusů o přístup do systému. Za druhé, odstraníte polovinu rovnice, když se někdo pokusí hacknout účet prostřednictvím základních přihlašovacích údajů, jako je uživatelské jméno a heslo. Pokud odstraníte snadno prolomitelné přihlašovací údaje, zbude vám pouze nastavení složitého a silné heslo, které bude těžké hacknout. Pokud nastavíte vestavěné účty jako návnadu, můžete vytvořit velmi těžko prolomitelné heslo a omezit tento účet natolik, že pokud bude kompromitován, útočník ve vašem systému nic nezmůže. Musíte také změnit všechna vestavěná hesla účtů na složitější. Použijte nejlepší techniky výběru bezpečná hesla chránit tyto účty a plně je kontrolovat. Měli byste také nastavit politiku, která nutí koncové uživatele, kteří chtějí změnit své heslo, aby prošli procesem, kdy mohou používat pouze heslo, které je dostatečně silné a silné. Toto je jen jeden zpevňující tip, který poskytuje výhody, jako je schopnost najít narušitele prostřednictvím protokolů a auditů.

Vodítko Poznámka: Windows Server 2008 umožňuje nainstalovat „základní“ funkcionalitu, což je proces zesílení aplikovaný na systém během instalace. Po instalaci poběží server pouze s minimální sadou funkcí, které si vyberete, čímž se sníží riziko vystavení nástrojům útoku. Windows 7 lze přitvrdit, ale nemá stejnou možnost instalace jako 2008, což jednoduše omezuje systém během instalace. Chcete-li systém Windows 7 posílit, musíte správně použít zásady, šablony a ručně nakonfigurovat nastavení zabezpečení.

Vzhledem ke všemu výše uvedenému, jak používat limitní funkci a Ochrana Windows 7? Nejvíc jednoduchým způsobem Chcete-li zahájit proces omezení systému, použijte nabídku Start k vyhledání čehokoli souvisejícího se zabezpečením uloženého v systému a indexovaného. Chcete-li to provést, jednoduše stisknutím tlačítka Start otevřete nabídku. Poté zadejte klíčové slovo „zabezpečení“ do pole „Prohledat programy a soubory“. Obrázek 3 ukazuje možnosti nabídky Start vrácené vyhledáváním klíčové slovo"Bezpečnostní".

Obrázek 3: Hledání a zobrazení možností zabezpečení nalezených pomocí nabídky Start

Zobrazí se programy, aplikace ovládacího panelu (nebo akce), dokumenty a soubory vybrané a uspořádané pro snadné prohlížení a přístup. Stručně řečeno, Local Security Policy (pokud je vybrána) je editor zásad, který vám umožňuje zobrazit a přizpůsobit zásady zabezpečení vašeho systému. Editor místních zásad zabezpečení je znázorněn na obrázku 4. Zde můžete provést potřebné změny jakékoli zásady na základě nastavení operačního systému.

Tip: Chcete-li mít plnou kontrolu nad zásadami, musíte používat Windows 7 s produkty Windows Server, jako je Windows Server 2008 R2. V tomto případě můžete využít výhod Active Directory (AD) a Group Policy.

Pokud chcete lokálně nakonfigurovat auditování konkrétní události (například přihlášení a odhlášení), můžete tuto akci zadat v konzole Místní zásady zabezpečení (obrázek 4). V Ovládacích panelech můžete přejít do aplikace Nástroje pro správu a najít editor místních zásad zabezpečení nebo jej jednoduše vyhledat v nabídce Start. Když se Windows 7 používá se službou Active Directory, můžete použít Zásady skupiny, což je robustní služba, která umožňuje konfigurovat, spravovat a nasazovat nastavení a nastavení. softwarových aplikací, ale budete muset připojit Windows 7 k platné doméně a podle toho ji spravovat, abyste mohli využívat všechny tyto funkce.

Pokud potřebujete nastavit zabezpečení založené na zásadách, je to nejjednodušší způsob. Mnoho nástrojů, které potřebujete pro konfiguraci, najdete v Ovládacích panelech a/nebo ve vlastní konzole MMC, kterou nakonfigurujete a nainstalujete. Microsoft Security Center (Windows Vista, XP) se v minulosti používal k centralizaci většiny funkcí zabezpečení. Bylo nahrazeno Centrem akcí a nyní je velmi snadné najít, zobrazit a provést bezpečnostní akce se specifickými oprávněními. Například, jak je znázorněno v nabídce Start (obrázek 3), akce „Zkontrolovat stav zabezpečení“, když je vybrána, poskytuje seznam nastavení zabezpečení, která Windows 7 doporučuje, jako je aktualizace systému nebo programů, jako je antivirus (AV ). Pokud vyberete akci, systém vás odešle do centra akcí k vyřešení existujících problémů.

Obrázek 5: Konfigurace akcí zabezpečení a možností aplikace ovládacího panelu

Rada: Obrázek 5 ukazuje akce zabezpečení, které můžete provádět v Ovládacích panelech. Pokud přejdete do nabídky Start, napíšete „zabezpečení“ a kliknete na Ovládací panely, zobrazí se vám seznam akcí a nastavení zabezpečení, které můžete okamžitě nakonfigurovat ve snadno srozumitelném seznamu.

V Centru akcí (nebo při prohlížení Seznamů akcí) můžete jednoduše procházet seznamem dolů a podle toho přizpůsobit každou položku. Tento krátká recenze Možnosti zabezpečení, které lze konfigurovat v seznamu Centra akcí:

• Centrum akcí" Centrum akcí nahrazuje Centrum zabezpečení. V Centru akcí můžete určit akce, které bude operační systém provádět. S vaším svolením lze akce provádět. To vám sdělí, zda váš antivirový program není aktuální. Můžete přejít do Centra akcí provádět akce související s bezpečností.
• možnosti internetu" Prohlížení webu jakéhokoli typu otevírá dveře potenciálním rizikům spojeným s internetem. Pokud používáte proxy server, používáte filtrování (a monitorování) webu a neustále aktualizujete svůj operační systém nejnovějšími aktualizacemi, můžete se ocitnout v situaci, kdy zabezpečení může být ohroženo. V aplikaci Možnosti Internetu Ovládací panely můžete určit zóny zabezpečení, povolit přístup pouze k určitým adresám URL, rozbalit rozšířená nastavení zabezpečení na kartě Upřesnit a mnoho dalšího. Samotný prohlížeč je vybaven filtrem proti phishingu, který zabraňuje útočí na phishing a má také další přizpůsobitelné možnosti, jako je prohlížení InPrivate, které vám neumožňuje ukládat osobní informace, což je užitečné zejména při používání počítače ve veřejných internetových kavárnách.
• Brána firewall systému Windows"stejně jako jakýkoli jiný softwarový nebo hardwarový firewall, firewall Brána firewall systému Windows může ve výchozím nastavení zabránit základním útokům a lze jej mnoha způsoby konfigurovat pro vysokou úroveň kontroly nad tím, co může vstupovat a opouštět váš počítačový systém, když je připojen k veřejné nebo privátní síť. Když přejdete do Ovládacích panelů a vyberete Brána firewall systému Windows, budete mít přístup k většině možností konfigurace brány firewall. Klepnutím na tlačítko Upřesnit v dialogovém okně získáte přístup k dalším parametrům a možnostem konfigurace. Ve Windows 7 můžete nasadit více zásad brány firewall najednou a použít označení domény ke snadnější konfiguraci a správě brány Windows Firewall.
• Personalizace" Možnosti personalizace jsou místa, kde můžete změnit vzhled Windows, ale zde můžete nakonfigurovat hesla pro váš spořič obrazovky. Pokud se Windows 7 používá v podniku, je třeba uživatele naučit, jak zamykat své pracovní stanice, kdykoli opustí své prostory. pracoviště nebo vytvořit nastavení zásad, která by to provedla automaticky po určité době nečinnosti systému; Spořič obrazovky, pokud je nakonfigurován tak, aby vás po uplynutí této doby vyzval k opětovnému přihlášení, může být velmi užitečný. Doma to může být vaše nejlepší obranná linie, pokud opustíte počítač a zapomenete jej zamknout.
• Aktualizace systému Windows"všechny verze software vyžadují určitou úroveň korekce. Můžete připravovat, testovat a zkoušet vyvinout dokonalý produkt, ale nelze vzít v úvahu vše. Aktualizace a nové verze softwaru jsou také nutné, aby byl váš systém během používání aktuální. Vzhledem k tomu, že existují vylepšení systému, požadavky na další vývojové technologie, nové bezpečnostní chyby a aktualizace ovladačů pro lepší výkon a funkčnost, bude vždy potřeba používat službu Windows Update. Windows (a Microsoft) Upd a produkční verze správy oprav (jako je WSUS) se používají k centrální správě a instalaci aktualizací. Tyto nástroje se používají k ovládání, sledování a sledování vašich současných a budoucích potřeb aktualizací. Nastavte si automatické aktualizace, nebo si to udělejte ve zvyku ručně, protože to prostě udělat musí. Pokud neprovedete aktualizaci systému, jak je doporučeno (a někdy vyžadováno), vystavujete se riziku útoku.
• Programy a funkce"kromě Aktualizace systému Windows Aktualizace Musíte také často kontrolovat, co je na vašem systému nainstalováno, zejména pokud pracujete na internetu a/nebo stahujete softwarové produkty z internetových serverů. Například instalace jednoduché aktualizace Java, pokud jste si pečlivě nepřečetli informace o ní během instalace, může také nainstalovat panel nástrojů do vašeho systému, který se integruje do vašeho webového prohlížeče. To je nyní přísněji kontrolováno, ale v každém případě byste měli čas od času zkontrolovat, co je na vašem systému nainstalováno.
• Windows Defender " spyware jsou aplikace, které byly původně používány k nelegálním obchodním aktivitám a které dělají věci, jako je zvýšení zátěže, přesměrování vašeho prohlížeče a odesílání informací o vašich aktivitách. Ačkoli antivirové programy blokovat některé z těchto aplikací, měl by být k odstranění zbývajícího spywaru použit program Windows Defender (nebo jiný software pro odstranění spywaru). Soubory cookie, i když jsou svou povahou neškodné, mohou být někdy zmanipulovány pro nezákonné účely. Ujistěte se, že je program Windows Defender často aktualizován novými definičními soubory a opravami, aby bylo zajištěno, že dokáže detekovat nejnovější spyware. SpyNet je komunita, na kterou se obracejí odborníci společnosti Microsoft, aby monitorovali, studovali a opravovali poškození způsobené spywarem.
• Uživatelské účty"Řízení uživatelských účtů je základem ochrany přístupu k vašemu počítači a také ke všemu, co na něm běží. Pokud si například vytvoříte nový uživatelský účet a přidáte jej do skupiny Administrators, budete mít plný přístup k počítačovému systému . Pokud si nastavíte účet jako standardní uživatel, jeho oprávnění budou velmi omezená a umožní vám provádět pouze některé základní uživatelské funkce. Můžete také nastavit hesla, která, když jsou vytvořena podle požadavků politiky hesel, nutí uživatele vytvářet obtížně prolomitelná hesla, která brání většině základních útoků. Pokud jsou nainstalovány Windows Server 2008 a Active Directory, můžete přistupovat k doméně, která vám (pokud jste jejím členem) umožní větší flexibilitu při konfiguraci oprávnění systému souborů NTFS pro složky a soubory a také další sdílené prostředky, jako jsou tiskárny.
• Možnosti napájení"Aplikace Ovládací panely Možnosti napájení je místo, kde konfigurujete výchozí chování operačního systému, když je vypnutý, zavřený nebo v režimu spánku. Pro větší bezpečnost se doporučuje nastavit možnost vyžadovat heslo, když se stroj probudí." Kdykoli se zobrazí možnost povolit řízení přístupu uživatelů, měli byste ji použít.

Pokud tedy potřebujete implementovat bezpečnostní opatření ve Windows 7, může nabídka Start dobře posloužit jako výchozí bod pro posílení systému a otevírá dveře k mnoha dostupným nástrojům. Existuje mnoho možností, které můžete použít k posílení systému Windows 7, zejména Ovládací panely. Použití nabídky Start je také snadný způsob, jak poskytnout primární linii obrany vašeho systému po počáteční instalaci. Po úvodní instalaci a konfiguraci vašeho systému se doporučuje vytvořit základní úroveň zabezpečení, která bude vyžadovat konfiguraci všech nastavení zabezpečení, aplikací a stažení oprav a aktualizací a poté vytvoření záložní kopie celý systém pomocí nástroje Obnovení systému. Získáte tak snímek systému v čerstvém stavu pro případ, že byste potřebovali systém do tohoto stavu vrátit. Je možné vytvořit bod obnovení, který lze použít v případě, že byl systém kompromitován, a to vám umožní vrátit systém do základního stavu s aplikovaným nastavením zabezpečení. Podíváme se na možnosti Obnovení systému v části Obnovení po havárii tohoto článku.

Děkujeme za váš zájem o naše stránky. Specializovaná IT společnost existuje od roku 2006 a poskytuje služby outsourcingu IT. Outsourcing je převod nezbytné, ale pro firmu nestěžejní práce na jinou organizaci. V našem případě je to: tvorba, podpora a údržba stránek, propagace stránek v vyhledávače, podpora a správa serverů se systémem Debian GNU/Linux.

Stránky Joomla

V současné době informací se web de facto stává minimálně vizitkou organizace a často i jedním z nástrojů podnikání. Již nyní vznikají webové stránky nejen pro organizace a jednotlivce, ale i pro jednotlivé zboží, služby a dokonce i akce. Web dnes není jen zdrojem reklamy pro obrovské publikum, ale také nástrojem pro prodej a navazování nových kontaktů. Webové stránky vytváříme pomocí CMS Joomla! Tento redakční systém je jednoduchý a intuitivní. Je velmi rozšířený a proto je o něm na internetu mnoho informací. Najít specialistu, který pracuje s Joomlou, je také snadné. A nemusíte chodit daleko! Naše společnost IT specialista se zabývá údržbou a podporou stránek na Joomla! Všechno utratíme inženýrské práce, postaráme se o veškerou korespondenci s hostitelem a registrátorem domény, naplníme stránky a aktualizujeme informace na nich. A přestože se Joomla snadno používá, je intuitivní. Budete ale na místě pravidelně provádět potřebné práce sami? Jak dlouho vám to zabere? Pokud se chcete soustředit na své podnikání, svěřte podporu svého webu nám. Uděláme vše, co je v našich silách, abychom stránky udrželi naživu a užitečnou svému majiteli.
Pokud jste komerční organizace, která inzeruje nebo prodává své zboží a služby na internetu, pak prostě potřebujete propagaci webu ve vyhledávačích. K tomu, abyste něco prodali, totiž potřebujete minimálně, aby to bylo vidět, aby o tom lidé věděli. A my vám s tím pomůžeme, zpropagujeme váš Joomla web ve vyhledávačích. V závislosti na konkurenci a rozpočtu přiděleném na propagaci budou vaše stránky zaujímat slušné pozice ve výsledcích vyhledávání. Stránka zvýší vaše zisky!

Servery Debian

Dříve nebo později se mnoho společností ve snaze o otevřenost a transparentnost svého podnikání potýká s potřebou zajistit licenční čistotu softwaru, který používají. Náklady na licenční poplatky však nejsou vždy přijatelné, zejména pro malé a střední podniky. Cestou z této obtížné situace je rozhodnutí přejít na Open Source technologií. Jedna z oblastí Open Source funguje Linuxový systém(Linux). Zaměstnanci naší společnosti se specializují na Debian Linux. Jedná se o nejstarší a nejstabilnější distribuci operačního systému Linux. Nabízíme vám služby pro implementaci Debian Linuxu ve vašem podniku, konfiguraci, údržbu a podporu serverů.

Informace a reklama

Bezpečnostní politika je sada parametrů pro regulaci zabezpečení PC jejich aplikováním na konkrétní objekt nebo na skupinu objektů stejné třídy. Většina uživatelů jen zřídka provádí změny v těchto nastaveních, ale existují situace, kdy je to potřeba udělat. Pojďme zjistit, jak provést tyto kroky na počítačích se systémem Windows 7.

Nejprve je třeba poznamenat, že ve výchozím nastavení je bezpečnostní politika nakonfigurována optimálně pro provádění každodenních úkolů běžného uživatele. Manipulovat s ním je nutné pouze v případě, že je potřeba vyřešit konkrétní problém, který vyžaduje úpravu těchto parametrů.

Nastavení zabezpečení, na které se díváme, jsou řízena pomocí GPO. Ve Windows 7 to můžete provést pomocí nástrojů nebo "Editor místních zásad skupiny". Předpokladem je přihlášení do systémového profilu s administrátorskými právy. Dále se podíváme na obě tyto možnosti.

Metoda 1: Použití nástroje Místní zásady zabezpečení

Nejprve se podívejme, jak problém vyřešit pomocí nástroje "Místní bezpečnostní politika".

1. Chcete-li spustit určený modul snap-in, klepněte na "Start" a jít do "Kontrolní panel".



2. Dále otevřete sekci "Systém a zabezpečení".



3. Klikněte "Správa".



4. Z navrhované sady systémových nástrojů vyberte možnost "Místní bezpečnostní politika".

   

   Modul snap-in můžete také spustit z okna "Běh". Chcete-li to provést, vytočte Win+R a zadejte následující příkaz:

   Pak klikněte "OK".



5. Spustí se výše uvedené kroky GUI požadovaný nástroj. V naprosté většině případů je nutné upravit parametry ve složce "Místní politici". Poté je třeba kliknout na prvek s tímto názvem.



6. Tento adresář obsahuje tři složky.

   V adresáři jsou určeny pravomoci jednotlivých uživatelů nebo skupin uživatelů. Můžete například určit, zda jednotlivci nebo kategorie uživatelů mají zakázáno nebo povoleno provádět určité úkoly; určit, kdo má povolen lokální přístup k PC a kdo pouze přes síť atd.

   V katalogu "Zásady auditu" Jsou specifikovány události, které mají být zaznamenány do protokolu zabezpečení.

   Ve složce "Bezpečnostní nastavení" jsou specifikována různá nastavení pro správu, která určují chování operačního systému při vstupu do něj jak lokálně, tak přes síť, a také interakci s různá zařízení. Tyto parametry by se neměly měnit, pokud to není nezbytně nutné, protože většinu relevantních problémů lze vyřešit prostřednictvím standardní nastaveníúčty, rodičovská kontrola a oprávnění NTFS.

   

7. Pro další akce pro problém, který řešíme, klikněte na název jednoho z výše uvedených adresářů.



8. Otevře se seznam zásad pro vybraný adresář. Klikněte na ten, který chcete změnit.



9. Poté se otevře okno pro úpravu zásad. Jeho typ a úkony, které je třeba provést, se výrazně liší od toho, do které kategorie patří. Například pro objekty ze složky "Přiřazení uživatelských práv" v okně, které se otevře, musíte přidat nebo odstranit jméno konkrétního uživatele nebo skupiny uživatelů. Přidání se provádí stisknutím tlačítka „Přidat uživatele nebo skupinu...“.

   

   Pokud potřebujete odstranit prvek z vybrané zásady, vyberte jej a klikněte "Vymazat".



10. Po dokončení manipulací v okně úpravy zásad nezapomeňte kliknout na tlačítka pro uložení provedených úprav "Aplikovat" A "OK", jinak se změny neprojeví.

Změnu nastavení zabezpečení jsme popsali na příkladu akcí ve složce "Místní politici", ale stejnou analogií můžete provádět akce v jiných adresářích zařízení, například v adresáři "Zásady účtu".

Metoda 2: Použití nástroje Editor místních zásad skupiny

Naladit místní politika je také možné pomocí zařízení "Místní redaktor" skupinová politika» . Tato možnost však není dostupná ve všech edicích Windows 7, ale pouze v Ultimate, Professional a Enterprise.

1. Na rozdíl od předchozí výbavy, tento nástroj nelze spustit přes "Kontrolní panel". Lze jej aktivovat pouze zadáním příkazu do okna "Běh" nebo v « Příkazový řádek» . Vytáčení Win+R a do pole zadejte následující výraz:

   Pak klikněte "OK".