Operativsystemet Windows XP har et utviklet sikkerhetssystem, som imidlertid må konfigureres. Vi håper du forstår at Windows XP må installeres på NTFS-partisjoner, og det er derfor filsystem FAT32 anbefales ikke av sikkerhetsmessige årsaker (innebygd sikkerhet kan ganske enkelt ikke implementeres med FAT32).

Hvis du bruker FAT 32-filsystemet, vil nesten alle utsagnene i denne delen være meningsløse for deg. Den eneste måten aktiver alle filsystemtillatelser - konverter disken til NTFS-format.

Etter en ren installasjon av Windows XP fungerer standard sikkerhetsinnstillinger som av/på-brytere. Dette grensesnittet kalles som standard Enkel fildeling. Denne konfigurasjonen har et lavt sikkerhetsnivå, nesten identisk med standarden. Windows-konfigurasjon 95/98/Meg.

Hvis du ikke er fornøyd med denne konfigurasjonen, kan du dra nytte av den fulle kraften til filtillatelser i Windows 2000-stil. For å gjøre dette, åpne en tilfeldig mappe i Utforsker og velg Verktøy -> Mappealternativer. Gå til fanen Vis, finn avmerkingsboksen Bruk fildeling (anbefalt) i listen og fjern merket for den.

Når du slår av enkel deling, vises en Sikkerhet-fane i en hvilken som helst mappes dialogboks. Det samme gjelder for å utstede filtillatelser. Alle tillatelser er lagret i tilgangskontrolllister (ACL).

Følg disse grunnleggende prinsippene når du angir og fjerner tillatelser:

1. Arbeid fra topp til bunn.
2. Hold delte datafiler sammen.
3. Arbeid med grupper der det er mulig.
4. Ikke bruk spesielle tillatelser.
5. Ikke gi brukerne flere tillatelser enn det som er absolutt nødvendig (prinsippet om minst mulig tillatelser).

Angi tillatelse fra kommandolinjen

Kommandolinjeverktøyet cacls.exe som er tilgjengelig i Windows XP Professional lar deg vise og endre tillatelsene til filer og mapper. Cacls er forkortelse for Control ACLs -jon.

Kommandolinjebrytere for cacls-verktøyet:

• /T - Endre tilgangstillatelser spesifiserte filer i gjeldende mappe og alle undermapper
• /E - Endre tilgangskontrolllisten (erstatt den ikke helt)
• /C - Fortsett hvis det oppstår en "tilgang nektet"-feil
• /G - bruker:tillatelse Tildeler den angitte tillatelsen til brukeren. Nøkkelløs
• /E - erstatter fullstendig gjeldende tillatelser
• /R - bruker Opphever tilgangsrettigheter for gjeldende bruker (brukes kun med /E-bryteren)
• /P - bruker:tillatelse Overstyrer de angitte brukertillatelsene
• /D - bruker nekter brukeren tilgang til objektet

Med /G- og /P-tastene må du bruke en av bokstavene som er oppført nedenfor (i stedet for ordet tillatelse):

• F (Full kontroll) – Tilsvarer å merke av for Full kontroll på fanen Sikkerhet.
• C (endre) – identisk med å merke av for Tillat endring
• R (les) – tilsvarer å merke av for Tillat lesing og kjøring
• W (skriv) – tilsvarer å merke av for Tillat skriving (skriv).

Microsoft Windows XP bidrar til å forhindre at sensitive data faller i feil hender. Kryptering av filsystem Filsystem- EFS) krypterer filer på disk. Vær imidlertid oppmerksom på at hvis du mister dekrypteringsnøkkelen, kan dataene anses som tapt. Derfor, hvis du bestemmer deg for å dra nytte av fordelene med EFS, må du opprette regnskap gjenopprettingsagent, en sikkerhetskopi av sitt eget sertifikat og. Hvis du foretrekker å jobbe med kommandolinjen, kan du bruke cipher.exe-programmet.

Chifferkommandoen uten parametere viser informasjon om gjeldende mappe og filene som ligger i den (enten de er kryptert eller ikke). Nedenfor er en liste over de mest brukte chifferkommandoalternativene:

• /E - Krypter spesifiserte mapper
• /D - Dekryptering av de angitte mappene
• /S:mappe - Operasjonen gjelder for mappen og alle nestede undermapper (men ikke filer)
• /A - Operasjonen brukes på de angitte filene og filene i spesifiserte mapper
• /K - Oppretter en ny krypteringsnøkkel for brukeren som startet programmet. Hvis denne nøkkelen er spesifisert, ignoreres alle andre
• /R - Opprett en agentnøkkel og sertifikat for filgjenoppretting. Nøkkelen og sertifikatet plasseres i .CFX-filen, og en kopi av sertifikatet plasseres i .CER-filen
• /U - Oppdater brukerkrypteringsnøkkelen eller gjenopprettingsagenten for alle filer på alle lokale disker
• /U /N - List opp alle krypterte filer på lokale stasjoner uten noen annen handling

Feilsøking av tillatelsesproblemer (Data Recovery Agent)

Administratoren utnevnes vanligvis som Data Recovery Agent. For å opprette en gjenopprettingsagent må du først opprette et datagjenopprettingssertifikat og deretter angi en av brukerne dine som en slik agent.
For å lage et sertifikat må du gjøre følgende:

1. Du må logge inn som administrator
2. Skriv inn chiffer /R på kommandolinjen: filnavn
3. Skriv inn passordet for nyopprettede filer

Sertifikatfilene har filtypen .PFX og .CER og navnet du angir.

MERK FØLGENDE! Disse filene lar enhver bruker på systemet bli en gjenopprettingsagent. Pass på å kopiere dem til en diskett og lagre dem på et sikkert sted. Etter kopiering sletter du sertifikatfilene fra harddisken.

Slik tildeler du en gjenopprettingsagent:

1. Logg på med kontoen som skal bli datagjenopprettingsagenten
2. I sertifikatkonsollen går du til sertifikater-delen – Nåværende bruker-> Personlig (nåværende bruker -> Personlig)
3. Handling -> Alle oppgaver -> Importer (Handlinger -> Alle oppgaver -> Importer) for å starte veiviseren for sertifikatimport
4. Importer gjenopprettingssertifikatet

Hvis du bruker krypteringsverktøy feil, kan du ende opp med å gjøre mer skade enn nytte.

1. Krypter alle mapper der du lagrer dokumenter
2. Krypter mappene %Temp% og %Tmp%. Dette vil sikre at alle midlertidige filer er kryptert
3. Aktiver alltid kryptering for mapper, ikke filer. Da blir alle filer som etterpå opprettes i den kryptert, noe som viser seg å være viktig når man jobber med programmer som lager sine egne kopier av filer ved redigering, og deretter overskriver kopiene på toppen av originalen
4. Eksporter og beskytt gjenopprettingsagentkontoens private nøkler, og fjern dem deretter fra datamaskinen
5. Eksporter personlige krypteringssertifikater for alle kontoer
6. Ikke slett gjenopprettingssertifikater når du endrer retningslinjer for gjenopprettingsagent. Behold dem til du er sikker på at alle filer som er beskyttet av disse sertifikatene ikke vil bli oppdatert.
7. Når du skriver ut, må du ikke opprette midlertidige filer eller kryptere mappen de skal opprettes i
8. Beskytt sidefilen din. Den skal fjernes automatisk når du avslutter Windows

Sikkerhetsmalbygger

Sikkerhetsmaler er vanlige ASCII-filer, så i teorien kan de lages ved hjelp av en vanlig tekstredigerer. Det er imidlertid bedre å bruke snapin-modulen Security Templates i Microsoft Management Console (MMC). For å gjøre dette, på kommandolinjen må du skrive inn mmc /a i denne konsollen, velg Fil – Legg til/fjern-menyen. I dialogboksen Legg til frittstående snapin-modul velger du Sikkerhetsmaler – Legg til.
Utstyrshåndtering

Sikkerhetsmaler er plassert i mappen \%systemroot%\security\maler. Antall innebygde maler varierer avhengig av versjon operativsystem og installerte servicepakker.

Hvis du utvider en mappe i sikkerhetsmaler, vil den høyre ruten vise mapper som tilsvarer kontrollerte elementer:

• Kontoretningslinjer – administrer passord, låser og Kerberos-policyer
• Lokale retningslinjer – administrer revisjonsinnstillinger, brukerrettigheter og sikkerhetsinnstillinger
• Hendelseslogg – administrasjon av systemloggparametere
• Begrensede grupper – definerer elementer i ulike lokale grupper
• Systemtjenester – aktiver og deaktiver tjenester og tildel rettigheten til å endre systemtjenester
• Register – tildele tillatelser til å endre og vise registernøkler
• Filsystem – administrer NTFS-tillatelser for mapper og filer

Internett-tilkobling beskyttelse

For å sikre sikkerhet når du kobler til Internett, må du:

• Aktiver brannmur for Internett-tilkobling eller installer en tredjeparts brannmur
• Deaktiver fil- og skriverdeling for Microsoft-nettverk

En brannmur for Internett-tilkobling er en programvarekomponent som blokkerer uønsket trafikk.

• Aktiverer brannmur for Internett-tilkobling.
• Åpne Kontrollpanel – Nettverkstilkoblinger
• Høyreklikk på tilkoblingen du vil beskytte og velg Egenskaper fra menyen
• Gå til kategorien Avansert, merk av for Sikre Internett-tilkoblingen min

Konklusjon

Introduksjon

Hvis datamaskinen din er koblet til datanettverk(uansett om det er Internett eller et intranett), så er det sårbart for virus, ondsinnede angrep og andre inntrengninger. For å beskytte datamaskinen mot disse farene, må du holde den i gang til enhver tid. brannmur(brannmur) og antivirusprogramvare (med siste oppdateringer). I tillegg er det nødvendig at alle de siste oppdateringene også er installert på datamaskinen din.

Ikke alle brukere kan kontinuerlig overvåke dette. Ikke alle brukere vet hvordan de skal gjøre dette. Og selv om brukeren er kompetent i disse sakene, kan det hende han rett og slett ikke har nok tid til slike kontroller. Microsoft tok seg av alle disse brukerne ved å inkludere et slikt verktøy i SP2 for Windows XP. Den heter "" (Windows Sikkerhetssenter) (Figur 1).

Ris. 1. Provisjonssenter Windows-sikkerhet

Hovedformålet med dette verktøyet er å informere og veilede brukeren i riktig retning. For det første overvåker den konstant tilstandene til de tre hovedoperativsystemets komponenter (brannmur, antivirus, automatisk oppdateringssystem). Hvis innstillingene til noen av disse komponentene ikke oppfyller datamaskinens sikkerhetskrav, vil brukeren motta et varsel. For eksempel, i fig. Figur 2 viser en av disse varslene.

Ris. 2. Varsling

For det andre, når du åpner Windows Security Center, kan brukeren ikke bare motta spesifikke anbefalinger om hvordan du kan fikse den nåværende situasjonen, men også finne ut hvor andre innstillinger relatert til datasikkerhet er plassert, og hvor på Microsofts nettsted kan du lese tilleggsinformasjon for å ivareta sikkerheten.

Det bør bemerkes med en gang at når du kobler en datamaskin til et domene, viser ikke Windows Security Center informasjon om datamaskinens sikkerhetsstatus (fig. 3) og sender ikke sikkerhetsmeldinger. I dette tilfellet antas det at sikkerhetsinnstillinger bør administreres av en domeneadministrator.

For å aktivere Windows Security Center for en datamaskin som er en del av et domene, må du aktivere innstillingen Datamaskinkonfigurasjon, Administrative maler, Windows-komponenter, Sikkerhetssenter, Aktiver sikkerhetssenter i domenets gruppepolicy (kun for datamaskiner i domenet). ".

Ris. 3. Windows sikkerhetssenter

Windows sikkerhetsinnstillinger

For å åpne Windows Sikkerhetssenter, klikk Start-knappen, velg Kontrollpanel og dobbeltklikk deretter Sikkerhetssenter-ikonet (Figur 4).

Ris. 4. Ikon

Windows Security Center-vinduet kan deles inn i tre deler (fig. 5):

Ris. 5. Sikkerhetssenter

1. Ressurser. Her er lenker for å gå til Internett-ressurser, til den innebygde Windows-hjelpetjenesten og til vinduet for konfigurering av varslingsinnstillinger.
2. Sikkerhetskomponenter. Det er her informasjonselementene til de tre hovedsikkerhetskomponentene er plassert: brannmur, automatisk oppdatering, antivirusbeskyttelse.
3. Sikkerhetsinnstillinger. Her er knapper for å få tilgang til sikkerhetsinnstillingene for følgende komponenter: nettleser Internet Explorer, automatisk oppdatering, Windows brannmur.

La oss se på disse delene mer detaljert.

Ressurser

I fig. 5, tallet 1 indikerer koblinger, de tre første av dem er ment å gå til de tilsvarende sidene på Microsofts nettsted. Den nest siste lenken er for åpning helpdesk Windows på side " Generell informasjon om Windows Security Center." Den siste lenken er ment å åpne vinduet "Alert Settings" (fig. 6).

Ris. 6. Varslingsinnstillinger

Hvis datamaskinen din har en brannmur og antivirusprogramvare som ikke oppdages av sikkerhetssenteret, kan du deaktivere de tilsvarende varslene (se figur 6).

Sikkerhetskomponenter

I fig. 5, nummer 2 - hver informasjonstavle rapporterer statusen til den tilsvarende komponenten. Figur 7 viser mulige tilstander.

Ris. 7. Informasjonstavle opplyser

Statene A-C forståelig uten kommentarer. Tilstand D - "Ikke funnet" - tilsvarer manglende evne til å fastslå tilstedeværelsen av den tilsvarende programvaren (for eksempel et antivirus eller brannmur). Tilstand E - "Utgått" - mulig for antivirusbeskyttelse når oppdateringer antivirus databaser utdatert. Tilstand F - "Ikke observert" - tilsvarer deaktivert kontroll over den tilsvarende komponenten.

Security Center bruker en to-lags tilnærming for å bestemme tilstanden til komponenter:

1. Kontroll av innholdet i registeret og filene med informasjon om statusen til programvaren (Microsoft mottar en liste over filer og registerinnstillinger fra programvareprodusenter).

2. Informasjon om programvarestatus overføres fra installerte programmer ved hjelp av WMI-verktøy (Windows Management Instrumentation).

Figur 8 viser en av de mulige tilstandene til brannmurkomponenten. Ved å klikke på "Anbefalinger..."-knappen vil du ha muligheten til å enten aktivere brannmuren (fig. 9, "Aktiver nå"-knappen) eller deaktivere overvåking av tilstanden til denne komponenten (fig. 9, "Jeg installerer og overvåke brannmuren selv").

Ris. 8. Brannmurstatus

Etter å ha klikket på "Aktiver nå"-knappen (se fig. 9), hvis Windows-brannmuren er vellykket, vil en tilsvarende melding vises på skjermen (fig. 10).

Ris. 10. Beskjed

Figur 11 viser en av de mulige tilstandene til "Automatisk oppdatering"-komponenten. Ved å klikke på knappen "Aktiver automatiske oppdateringer" aktiverer du driftsmodusen "Automatiske oppdateringer" anbefalt av Microsoft (fig. 12).

Ris. elleve."Automatisk oppdatering"-status

Ris. 12. Automatisk oppdatering

Vær oppmerksom på at avhengig av den innstilte driftsmodusen for "Automatisk oppdatering" (se fig. 12) i vinduet "Sikkerhetssenter" er det indikert Kort beskrivelse denne modusen.

Figur 13 viser en av de mulige tilstandene til "Virusbeskyttelse"-komponenten. Ved å klikke på "Anbefalinger..."-knappen vil du motta lakoniske instruksjoner (fig. 14): "slå på antivirusprogrammet" (hvis det er deaktivert), "installer et annet antivirusprogram". I dette vinduet kan du deaktivere overvåking av statusen til denne komponenten (alternativet "Jeg installerer og overvåker antiviruset selv").

Ris. 1. 3. Virusbeskyttelsesstatus

Sikkerhetsinnstillinger

I fig. 5, under nummer 3, er det knapper for å gå til sikkerhetsinnstillingene for følgende komponenter: Internet Explorer, automatiske oppdateringer, Windows-brannmur.

Ved å trykke på knappen , vil du bli tatt til "Sikkerhet"-fanen i innstillingsvinduet for Internet Explorer (fig. 15).

Fig. 15. Internet Explorer-innstillinger

Ved å klikke på knappen vil du åpne innstillingsvinduet for "Automatisk oppdatering" (se fig. 12).

Ved å klikke på knappen kommer du til det tilsvarende innstillingsvinduet (fig. 16).

Ris. 16.

I Windows XP SP2 brukes følgende ikoner for å angi sikkerhetsrelaterte innstillinger (se for eksempel fig. 16), samt for varsler om datamaskinens sikkerhetsstatus (se for eksempel fig. 2):

1. - Indikerer viktig informasjon og sikkerhetsinnstillinger.

2. - Varsler deg om en potensiell sikkerhetsrisiko.

3. – Situasjonen er tryggere. Datamaskinen din bruker anbefalte sikkerhetsinnstillinger.

4. - Advarsel: Situasjonen er potensielt farlig. Endre sikkerhetsinnstillingene for å gjøre datamaskinen sikrere.

5. - Det anbefales ikke å bruke gjeldende sikkerhetsinnstillinger.

Internett instillinger

Som nevnt tidligere, ved å klikke på knappen i "Windows Security Center" vil du bli ført til Internet Explorer-innstillingsvinduet på fanen "Sikkerhet" (fig. 17).

Ris. 17.

La oss se på alternativene som er tilgjengelige på denne fanen. Øverst er det fire soner: Internett, lokalt intranett, pålitelige nettsteder, begrensede nettsteder. Tabell 1 gir en beskrivelse for hver sone.

Tabell 1. Beskrivelse av soner

For alle soner unntatt Internett-sonen kan du definere verter som er inkludert i sonen. For å gjøre dette må du velge ønsket sone (se fig. 17) og klikke på knappen "Noder...". I dette tilfellet, for "Lokalt intranett"-sonen, åpnes vinduet vist i Fig. 18. Hvis du vil spesifisere spesifikke noder, klikk på "Avansert..."-knappen. Som et resultat vil vinduet vist i fig. 19 vises. Et lignende vindu åpnes hvis du definerer noder inkludert i sonene "Trusted Sites" og "Restricted Sites". Bare "Begrensede nettsteder"-sonen vil ikke ha alternativet "Alle nettsteder i denne sonen krever serververifisering (https:)".

Ris. 18. Lokalt intranett

Ris. 19. Innstilling av spesifikke noder

Hver sone kan tildeles ønsket sikkerhetsnivå: høy, middels, under gjennomsnittet, lav. Lavt sikkerhetsnivå representerer minimal sikkerhet og brukes for nettsteder du stoler fullt og helt på.

Velg ønsket sone (se fig. 17) og klikk på "Standard"-knappen. "Sikkerhet"-fanen vil endre utseende (fig. 20). Nederst i vinduet kan du bestemme ønsket sikkerhetsnivå. Hvis du ikke ønsker å bruke de foreslåtte sikkerhetsnivåene, kan du klikke på "Annet..."-knappen og definere alle sikkerhetsparametrene selv (fig. 21).

Ris. 20. Sikkerhetsinnstillinger for Internet Explorer

Ris. 21. Sikkerhetsinnstillinger

Sikkerhetsinnstillingene for Internet Explorer beskrevet ovenfor er også tilgjengelige via gruppepolicy (datamaskinkonfigurasjon, administrative maler, Windows-komponenter, Internet Explorer, Internett-kontrollpanel, sikkerhetsside).

Automatisk oppdatering

Som nevnt tidligere, ved å klikke på knappen i "Windows Security Center", vil du åpne innstillingsvinduet for "Automatiske oppdateringer" (fig. 22).

Ris. 22. Alternativer for automatisk oppdatering

Det innebygde hjelpesystemet i Windows XP beskriver det automatiske oppdateringssystemet i detalj. For å få tilgang til denne hjelpen, klikk på "Hvordan fungerer automatisk oppdatering?" (se fig. 22). La oss bare dvele ved noen få punkter.

Først er det nødvendig å skille mellom konseptene "nedlasting" og "installere" oppdateringer. Nedlasting refererer til prosessen med å overføre oppdateringsfiler fra en Microsoft-server (eller fra en intern oppdateringsserver i en organisasjon) til en brukers datamaskin. Installasjon refererer til selve prosessen med å installere oppdateringer på brukerens datamaskin. Det er mulig at oppdateringer har blitt lastet ned til en brukers datamaskin, men at de ennå ikke er installert.

For det andre, hvis du valgte alternativet "Automatisk" (se fig. 22), vil oppdateringer bli lastet ned og installert på det tidspunktet du spesifiserte. Hvis datamaskinen alltid er slått av på det angitte tidspunktet, vil oppdateringene aldri bli installert. Når du logger på datamaskinen din, kan en bruker med lokale administratorrettigheter kjøre installasjonen manuelt uten å vente på det planlagte tidspunktet. Når den planlagte tiden kommer, vil brukeren bli varslet om at oppdateringene starter installasjonen. Hvis en administrator jobber med systemet på dette tidspunktet, vil de ha muligheten til å utsette installasjonen til neste planlagte tidspunkt. Andre brukere (uten administratorrettigheter) vil ikke ha mulighet til å avbryte den planlagte installasjonen av oppdateringer.

I alle andre tilfeller (bortsett fra alternativet "slå av automatiske oppdateringer") vil varsler om eksisterende oppdateringer for datamaskinen din (klare til nedlasting eller installasjon) kun vises når en bruker med lokale administratorrettigheter er registrert på datamaskinen din. Derfor, hvis du hele tiden jobber på datamaskinen din med en konto som ikke er medlem av den lokale administratorgruppen, vil oppdateringene aldri bli installert.

De automatiske oppdateringsinnstillingene beskrevet ovenfor er også tilgjengelige for konfigurasjon gjennom gruppepolicy (datamaskinkonfigurasjon, administrative maler, Windows-komponenter, Windows Update). I tillegg, bare gjennom gruppepolicy kan du angi flere innstillinger. Du kan for eksempel angi adressen til den interne oppdateringsserveren, som sentralt mottar oppdateringer fra Microsofts servere og sender dem til interne datamaskiner organisasjoner. Et eksempel på en slik server er Microsoft® Windows Server™ Update Services (WSUS).

Windows brannmur

Som nevnt tidligere, ved å klikke på knappen i "Windows Security Center", vil du åpne innstillingsvinduet for "Windows-brannmur" (fig. 23).

Ris. 23. Windows-brannmurinnstillinger

Hvis du klikker på inskripsjonen "Mer om Windows-brannmur" (se fig. 23), kan du lese kort informasjon om funksjonene til brannmuren (brannmuren) inkludert i Windows XP SP2.

Vi gjør bare oppmerksom på at i motsetning til produkter fra andre produsenter, er den innebygde Windows-brannmuren kun ment å kontrollere innkommende trafikk, dvs. den beskytter kun datamaskinen mot eksterne inntrengninger. Han styrer ikke utgående trafikk din datamaskin. Hvis datamaskinen din allerede er infisert av en trojansk hest eller virus som selv oppretter tilkoblinger til andre datamaskiner, vil ikke Windows-brannmuren blokkere nettverksaktiviteten deres.

I tillegg beskytter brannmuren som standard alt nettverkstilkoblinger, og innkommende ICMP-ekkoforespørsel er deaktivert. Dette betyr at hvis Windows-brannmuren er aktivert på datamaskinen din, er det en meningsløs øvelse å sjekke tilstedeværelsen av en slik datamaskin på nettverket ved å bruke PING-kommandoen.

Svært ofte i organisasjoner som bruker programvare som krever å tillate innkommende tilkoblinger til brukerdatamaskiner, blir det nødvendig å åpne noen porter på datamaskiner med installert Windows XP SP2. For å løse dette problemet må du angi unntak i Windows-brannmurinnstillingene. Det er to måter å løse dette problemet på:

1. Du kan angi et unntak ved å spesifisere et program som krever innkommende tilkoblinger. I dette tilfellet vil brannmuren selv bestemme hvilke porter som må åpnes og vil åpne dem bare så lenge kjøringen varer det angitte programmet(mer presist, for tiden når programmet vil lytte til denne porten).

2. Du kan angi et unntak ved å spesifisere spesifikk port, der programmet lytter etter innkommende tilkoblinger. I dette tilfellet vil porten alltid være åpen, selv når dette programmet ikke kjører. Fra et sikkerhetssynspunkt er dette alternativet mindre å foretrekke.

Det er flere måter å angi unntak i Windows-brannmurinnstillingene. Du kan bruke det grafiske grensesnittet (fig. 24). Dette alternativet dekkes i detalj i hjelpesenteret og Windows-støtte XP SP2. Du kan bruke domenegruppepolicy. Dette alternativet er å foretrekke hvis det er et stort antall datamaskiner i en organisasjon. La oss se på det mer detaljert.

Ris. 24. Fanen Unntak

Windows-brannmurinnstillinger i gruppepolicy er plassert i datamaskinkonfigurasjon, administrative maler, nettverk, nettverkstilkoblinger, Windows-brannmur-noden.

Når du konfigurerer via gruppepolicy, må du konfigurere to profiler:

1. Domeneprofil. Innstillingene i denne profilen brukes når datamaskinen er koblet til et nettverk som inneholder en organisasjons domenekontroller.

2. Standard profil. Innstillingene i denne profilen gjelder når datamaskinen ikke er koblet til et nettverk som inneholder en organisasjons domenekontroller. For eksempel hvis organisasjonens bærbare datamaskin brukes på forretningsreise og er koblet til Internett via en Internett-leverandør. I dette tilfellet må brannmurinnstillingene være mer restriktive enn domeneprofilinnstillingene, siden datamaskinen kobler seg til det offentlige nettverket og omgår organisasjonens brannmurer.

La oss se på hvordan du setter unntak for et program og for en gitt port. Som et spesifikt eksempel, la oss ta Kaspersky Administration Kit Administration Server som får tilgang til datamaskinen som Network Agent er installert på for å få informasjon om statusen til antivirusbeskyttelse. I dette tilfellet er det nødvendig at UDP-port 15000 er åpen på klientdatamaskinen eller at programmet "C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe" tillates å motta innkommende meldinger.

Relatert informasjon.

Windows 7 er det nyeste operativsystemet for skrivebordsklienter fra Microsoft som er bygget med styrkene og svakheter sine forgjengere, Windows XP og Windows Vista. Alle aspekter av det underliggende operativsystemet, så vel som tjenestene det kjører og hvordan det administrerer applikasjonene som er lastet på det, har blitt gjennomgått, og tiltak er iverksatt for å forbedre sikkerheten der det er mulig. Alle tjenester er forbedret og nye sikkerhetsalternativer gjør dette operativsystemet mer pålitelig. I tillegg til noen store forbedringer og nye tjenester, tilbyr Windows 7 flere funksjoner sikkerhet, forbedrede revisjons- og overvåkingsmuligheter og tilkoblings- og datakrypteringsmuligheter. I Windows 7 er det noen forbedringer av intern sikkerhet for å sikre sikkerheten til slike interne systemkomponenter som Kernel Patch Protection, Service Hardening, Data Execution Prevention, Address Space Layout Randomization i layouten av adresserommet) og obligatoriske integritetsnivåer (obligatoriske integritetsnivåer).

Windows 7 er designet for å være pålitelig. På den ene siden ble den utviklet som en del av Microsofts sikkerhetsutviklingslivssyklus (SDL) og designet for å støtte kravene i Common Criteria, som gjorde at den kunne motta Evaluation Assurance Level (EAL) 4-sertifisering, som oppfyller kravene til Federal Informasjonsbehandlingsstandard – FIPS) #140-2. bruker Windows 7 som et eget system, kan det beskyttes av personlig sikkerhetsutstyr. Windows 7 inneholder mange forskjellige sikkerhetsverktøy, men det er i kombinasjon med Windows Server 2008 (R2) og Active Directory dette OS blir en kroppsrustning. Ved å bruke avanserte sikkerhetsteknikker fra verktøy som gruppepolicy, kan du kontrollere alle aspekter av datamaskinens sikkerhet. Hvis Windows 7 brukes på et hjemmekontor eller i et personlig miljø, kan det også beskyttes for å unngå mange av dagens hacking-teknikker, og systemet kan raskt gjenopprettes etter en krasj, så mens sammenkobling med Windows 2008 er sikrere, er det ikke nødvendig for å nyte høy ytelsesnivå i Windows 7. Du bør også vurdere det faktum at selv om Windows 7 er sikkert av natur, betyr ikke dette at du trenger å stole helt på standardkonfigurasjonen, og at det ikke er nødvendig. gjøre endringer for å forbedre sikkerheten. Ikke glem at du over tid vil være i fare for infeksjon av en slags ondsinnet kode eller Internett-angrep når datamaskinen brukes på et offentlig nettverk. Hvis datamaskinen brukes til noen type offentlig tilgang til Internett, blir systemet ditt og nettverket det er koblet til åpne for mulige angrep.

I denne artikkelen vil vi dekke det grunnleggende du trenger å vite om riktig innstilling Windows 7-sikkerhet, oppnå ønsket sikkerhetsnivå, og også snakke om avanserte sikkerhetsalternativer og se på noen av de mindre kjente sikkerhetsfunksjonene som Windows 7 tilbyr for å forhindre og beskytte mot mulige angrep. Vi vil også se på de mange måtene du kan beskytte dataene dine og gjenopprette hvis du får et angrep eller en kritisk systemfeil. Denne artikkelen introduserer sikkerhetskonsepter, hvordan du herder Windows 7, hvordan du installerer og sikrer applikasjoner som kjører, hvordan du administrerer sikkerhet på et Windows 7-system og hvordan du forhindrer problemer forårsaket av ondsinnet kode. Denne artikkelen vil også dekke prosessen med å beskytte data, systemsikkerhetskopierings- og gjenopprettingsfunksjoner, prosessen med å gjenopprette operativsystemet til en tidligere tilstand, og hvordan gjenopprette data og systemtilstand i tilfelle en kritisk systemfeil. Vi vil også se på strategier for å gjøre dette raskt. Temaer vil også bli dekket sikkert arbeid på nettverket og Internett, biometriske kontrollinnstillinger for avansert tilgangskontroll, og hvordan Windows 7, når du arbeider med Windows Server 2008 (og Active Directory), kan bruke noen integrerte kontroll-, administrasjons- og overvåkingsalternativer. Hensikten med denne artikkelen er å introdusere deg til Windows 7 sikkerhetsfunksjoner, forbedringer og applikasjoner, og å gi et mer detaljert bilde av hvordan du planlegger og implementerer disse sikkerhetsfunksjonene på riktig måte. Alle temaene vi har berørt her vil bli brutt ned og organisert i separate blokker.

Merk: Når du arbeider i et bedrifts- eller annet produksjonsmiljø, ikke gjør endringer på bedriftens datamaskiner. Sørg for at du arbeider innenfor selskapets utstedte sikkerhetsplan eller policy, og tar hensyn til all selskapets praksis, retningslinjer og retningslinjer. Hvis du ikke er kjent med sikkerhetsemner og Microsoft-produkter, les produktdokumentasjonen før du gjør endringer i systemet.

Grunnleggende sikkerhetspunkter

Før vi dykker ned i detaljene til Windows 7, er det viktig å først introdusere noen grunnleggende sikkerhetskonsepter og hvordan du planlegger for dem. Vi må også vite hvorfor overvåking er avgjørende for å opprettholde sikkerheten og hvordan man kan overvåke sikkerhetsteam på riktig måte for problemer. Det er også viktig å vite hvordan du overvåker sikkerheten din og oppdager din mulige eksponering for potensielle angrep. Sikkerhet er ikke noe som kan gjøres i all hast. Den må være nøye forberedt for og brukes på alle tekniske aspekter av installasjonen, og må alltid være til stede. Det må også vurderes nøye før installasjon og kontinuerlig overvåkes og revideres etter installasjon. Sikkerhetsadministrasjon krever analyse for å finjustere gjeldende sikkerhetsarkitektur samt oppdage potensielle angrep. I de fleste tilfeller vil sikkerheten din bli testet av en angriper eller ondsinnet kode for å se etter tilgang, du kan potensielt beskytte deg selv med forebyggende tiltak hvis du ser hackingforsøk eller infeksjoner. Ved å føre logger og deretter revidere dem, kan du finne informasjon om forsøk på å logge på ruteren din, forsøk på å logge på som administrator osv.

Logger og varsler er svært nyttige fordi hvis noe går galt, kan du raskt og korrekt svare på det ved å analysere kilde-IP-adressene eller påloggingsforsøk registrert av revisjonsapplikasjonen. Å svare på et angrep med en detaljert plan kalles "hendelsesrespons". Beredskap er nøkkelen til å reagere på en hendelse, så å ha en plan før og etter hendelsen er avgjørende for sikkerheten. Disaster Recovery Plan [noen ganger brukt i forbindelse med Business Continuity Plan (BCP)] vil inneholdeien. Noen IT-team dedikerer også ansatte til å danne et Incident Response Team, som er ansvarlig for å utvikle en plan for å feilsøke og løse kritiske problemer som følge av systemfeil, datatap, nettverks- eller systemangrep, og etc.

Så hjemmebrukere bør bruke samme strategi, bare på et forenklet nivå. Du må også beskytte systemene dine og reagere på feil, så en god plan opprettet på forhånd kan være til stor nytte for deg i fremtiden. Et godt eksempel enkel plan vil for eksempel være følgende: hvis systemet ditt er infisert med ondsinnet kode (for eksempel trojansk), må du installere operativsystemet på nytt hvis alle andre tiltak og forsøk på reparasjon har mislyktes. Hvis dette er tilfelle, trenger du teammedlemmer med tildelt ansvar, detaljerte trinn (eller en liste) og prosedyrer før hendelsen slik at du kan svare på riktig måte, og du må foreta en gjennomgang for å sikre at alt er gjort riktig etter gjenoppretting. Tilgjengelighet for tilgang eller kopi installasjonsfiler eller andre programmer og applikasjoner før de er nødvendige kan spare deg for tid, og en gjennomtenkt plan kan vise deg hvor du skal lete etter alle nødvendige verktøy når tiden kan være avgjørende.

Merk: For å hjelpe deg med planleggingen og bli mer kjent med sikkerhet, kan du finne lister og planer i tilleggslenker-delen av denne artikkelen.

Du bør også gjennomgå planene dine så ofte som mulig, spesielt etter kritiske problemer eller feil, og legge til spesifikke handlinger til dem om nødvendig. Når planen din er klar, bør du vurdere å bygge den på det grunnleggende med stort beløp sikkerhetsfunksjoner og -tjenester.

Råd: Sikkerhet bør vurderes og implementeres i hvert system eller tjeneste som brukes for å redusere risikoen forbundet med angrep som kommer fra noen av dem under drift. Og hvis sikkerheten brukes på en slik måte at du proaktivt kan forhindre (eller gjenopprette fra) et angrep, vil du ha mindre arbeid å gjøre for å svare på og redegjøre for slike angrep. Sikkerhet, selv på det mest grunnleggende nivået, bør brukes på en måte som beskytter dataene dine senere, slik at selv om du må installere Windows fra bunnen av, kan du bruke dataene dine senere for senere bruk. Sikkerhet kan ikke ignoreres.

Du bør også vurdere å bruke sikkerhet konseptuelt og teknisk ved å bruke et sikkerhetskonsept kalt Defense in Depth. Sikkerhet må tenkes gjennom og brukes på alle systemer, tjenester, applikasjoner og nettverksutstyr, holde systemet i gang og koblet til Internett. Publiserte retningslinjer og gjennomtenkte planer sikrer produktiviteten til systembrukere og gjør dem kjent med generelle retningslinjer for bruk. Kontinuerlig vedlikehold vil sikre at investeringen din vokser. For å hindre at det oppstår hull i sikkerhetsarkitekturen, er det nødvendig å bruke planlegging og anvende en sikkerhetsmodell som bruker konseptet «Defense in Depth». Figur 1 viser dette konseptet på et forenklet nivå du kan (og selvfølgelig bør) legge til flere lag avhengig av hvordan hjemme- eller bedriftsnettverket ditt er bygget.

Figur 1: Konseptualiseringer og implementering av Forsvar i dybden

Defence in Depth-beskyttelse, som det fremgår av figuren, kan justeres for å passe dine behov. I dette eksemplet er det nødvendig med en sikkerhetspolicy for å sikre sikker interaksjon mellom system- og nettverksbrukere. Det bør også tas hensyn til herding av systemer, telefoner, stasjonære datamaskiner, tjenester, applikasjoner, servere, rutere, switcher og PBX-er for å sikre at alle tilgangspunkter er dekket. Det er også en god idé å ha et offentlig nettverkssikkerhetsverktøy som en brannmur, men du bør alltid flytte disse grensene og legge til ting som filtre og skannere for å gi mer omfattende støtte. Du må også kunne overvåke og føre logger over all informasjon for senere bruk.

Windows 7 ble også designet for å bli integrert og brukt i miljøer som må oppfylle høye sikkerhetskrav, for eksempel offentlige og militære miljøer. Når du vurderer grunnleggende Windows-sikkerhetsprinsipper, er det viktig å huske at ethvert system i produksjonsgrad må være sertifisert til nivå C2-sikkerhet fra Orange Book. Microsoft Windows må også oppfylle Common Criteria-sertifiseringskravene. Til tilleggsinformasjon For disse emnene, se artiklene koblet til i tilleggsreferansedelen på slutten av denne artikkelen. Windows 7 er et veldig fleksibelt system, og dets mange alternativer lar deg konfigurere det til å bruke alle funksjonene (minimal sikkerhet), eller bare bruke grunnleggende evner, og de operasjonene du har konfigurert til å bruke (maksimalt sikkerhetsnivå). Windows 2008 og Windows 7 har tidoblet forbedret sikkerhet når de to operativsystemene er riktig konfigurert sammen.

Merk: Det er viktig å huske at det ikke er et alternativ å avvise problemet (eller potensielt problem). Problemer som er igjen til senere eller ignorert helt, kompliserer bare situasjonen. Latskap vil bare kjøpe deg litt tid. Det finnes ikke noe som heter sikkerhet i det ukjente. Manglende etterlevelse øker først problemene senere når samsvar er nødvendig. Nøye distribusjon av sikkerhet på hjemme- eller bedrifts-PCen (like viktig) vil forhindre inntrenging og angrep, og gi flere lag med beskyttelse for å gjøre systemene mer pålitelige. Du må vite det grunnleggende om sikkerhet og hvordan du skal handle før og etter angrep skjer hvis du trenger beskyttelse.

Så nå som du er kjent med de grunnleggende sikkerhetsbegrepene, la oss bruke det vi har lært når vi konfigurerer sikkerhetsinnstillingene til Windows 7. Gitt at vi har kunnskapen om hvorfor sikkerhet bør brukes, når den skal brukes, og vi har også vet årsakene til administrasjon, overvåking og oppdatering, vi trenger bare å bruke disse sikkerhetskonseptene når du setter opp Windows-systemer 7. Det er ganske enkelt hvis du vet hva du skal gjøre. Hvis du er ny på Windows eller har problemer med å bli vant til 7 (kanskje du ikke har brukt Vista), er det viktig å bruke litt tid på å gjøre deg kjent med disse verktøyene gjennom nettressurser som TechNet eller Microsoft Support. For eksempel kan du finne mange maler og sjekklister online på Microsoft.com som vil lede deg trinn for trinn gjennom bruk og bruk av sikkerhet på Windows-systemet. Du kan også finne nyttige verktøy i tilleggskoblingsdelen på slutten av denne artikkelen.

Maler er ikke et universalmiddel og kan noen ganger slå tilbake hvis de brukes feil (eller konfigureres feil), så vær alltid forsiktig selv om du laster ned disse malene direkte fra Microsoft.com. Det er svært viktig å alltid lese dokumentasjonen som følger med malen slik at du kan bruke den riktig. Det vil også være riktig å si at uten viss kunnskap om det grunnleggende i selve operativsystemet, eller kunnskap om de grunnleggende prinsippene for operativsystemet, vil du ikke være i stand til å gi et høyt sikkerhetsnivå på lang tid. En klar forståelse av OS-kjernen og dens tjenester er nødvendig hvis du ønsker å kunne tilby en høy grad av sikkerhet selv etter å ha satt opp et grunnleggende sikkerhetsnivå. Grunnen til at dette er viktig for alle som implementerer OS-sikkerhet, er å vite at systemet ditt blir aktivt skannet og testet for sårbarheter. Å føre hendelseslogger er ekstremt nyttig fordi du kan sette opp revisjon (som et eksempel) og motta detaljert informasjon om hva som skjer med og i systemet ditt. De fleste (om ikke alle) logger er av natur ikke veldig klare og kan skape problemer ved å bruke veldig generelle termer eller maskinspråk. Du må gå på nettet og avdekke mysteriet med disse magasinene, som med litt erfaring blir enklere og enklere. Du vil lese mye du ikke visste fra før, og du vil også finne mange verktøy som du vil legge til i verktøykassen når du har testet dem.

Du trenger også et visst nivå av fleksibilitet i hvordan du bruker sikkerhet, et nivå som lar deg møte bedriftens mål og krav (som Internett-tilgang) sømløst samtidig som du opprettholder et høyt sikkerhetsnivå. Et godt eksempel er verktøyet User Account Control (UAC), som, når det er konfigurert riktig, kan gi et høyt sikkerhetsnivå eller kan deaktiveres helt. Du må starte datamaskinen på nytt hvis du deaktiverer UAC.

UAC-verktøyet brukes til å forhindre at programmer eller applikasjoner gjør endringer i datamaskinens operativsystem. Det fungerer ved å begrense tilgangen i OS-kjernen, og deretter gi detaljert informasjon til brukere om programmet som prøvde å installere seg selv eller gjøre endringer i OS. Dette er nyttig fordi det gir deg muligheten til å sjekke hva programmet gjør og iverksette tiltak hvis du ikke vil at programmet skal gjøre endringer. UAC ble først introdusert i Windows Vista, men siden den ikke kunne slås av, ble den mildt sagt ansett som "irriterende". Det irriterte brukere som ikke kunne komme seg rundt det. Windows-utviklere hadde også store problemer med å skrive kode på grunn av UAC-begrensninger og trengte løsninger. Nå som Windows 7 er ute, kan UAC slås av, noe som fjerner sikkerhetslaget helt og gir mer fleksibilitet og valgmuligheter.

Merk følgende! For å beskytte systemet ditt, anbefales det ikke å deaktivere UAC fullstendig, eller hvis du av en eller annen grunn trenger å gjøre dette, ikke glem å aktivere det igjen.

Installere og styrke Windows 7

Windows 7 er sikkert av natur. Under OS-installasjon anbefales det alltid å utføre en ny OS-installasjon på nylig kjøpt (eller oppgradert) kompatibel maskinvare og deretter herde den. Systemherding er prosessen med å forbedre sikkerhetsnivået til et nylig installert basisoperativsystem ved å justere nødvendige sikkerhetsinnstillinger, fjerne unødvendig programvare og konfigurere ytterligere policyinnstillinger.

Merk A: Det er litt planleggingsarbeid som må gjøres når det gjelder å velge maskinvare for Windows 7, for hvis du vil bruke virtualisering, Windows Trusted Platform Module (TPM) Management og andre funksjoner som BitLocker, må du kjøpe riktig maskinvare til disse funksjonene fungerte.

Etter riktig installasjon av OS og dets grunnleggende innstillinger det er en prosess for å styrke den. Bør jeg alltid gjøre en ny installasjon, eller kan jeg herde mitt eksisterende Windows OS? Teknisk sett kan du herde et system du allerede bruker, men før du gjør det, må du først gjøre deg kjent med det, analysere det, inspisere det, og selvfølgelig revidere sikkerhetsnivået som er konfigurert og brukt i det systemet . Det er ingen vits i å styrke et system som allerede er hacket. Du vet heller ikke alltid hvordan en sikkerhetsapplikasjon vil påvirke et produksjonssystem, enten det brukes hjemme eller i et bedriftsmiljø. Noen ganger lages dupliserte systemer slik at alt kan testes, men dette tar tid og ressurser, men det er verdt det fordi det hjelper å finne og unngå problemer som kan oppstå når man bygger og distribuerer miljøet. Du kan gjøre mer skade enn nytte hvis du ikke vet hvordan endringer i sikkerhetskonfigurasjon eller mønstre vil påvirke tjenester på produksjonssystemet. For eksempel kan du bruke en sikkerhetsmodell på et system og, gjennom altfor strenge filtreringsregler på brannmuren, forhindre at en bestemt applikasjon fungerer normalt "for eksempel, en applikasjon bruker en spesifikk port som er blokkert av brannmuren, som vil blokkere applikasjonens tilgang Dette kan føre til Negative konsekvenser, hvis applikasjonen brukes i en bedrift og var nødvendig for produktiviteten, og å fikse problemet kan kreve litt tid og krefter. Derfor er det enklere å installere nye Windows 7 og deretter styrke den, da dette ikke vil ta mye tid og vil tillate deg å sikre at sikkerheten forblir så høy som mulig. Du kan også fremskynde prosessen, spesielt hvis du bruker virtuell maskin(VM) eller VHD-fil som gir deg muligheten til å ha flere forekomster av datamaskinene dine som kjører i et virtuelt miljø, og som også muliggjør rask gjenoppretting hvis ingen redundans brukes. Siden virtualisering forenkler installasjonsprosessen mens du lager klonebilder for sikkerhetskopieringsprosessen, kan du gjenopprette datamaskinene dine veldig enkelt og raskt. Vi kommer inn på virtualiseringsprosessen senere i denne artikkelen. Hvis failover er aktivert og konfigurert, kan det hende datamaskinbrukeren ikke en gang legger merke til at den virtuelle maskinen feiler.

Du kan herde systemet og deretter få tilgang til beskyttede data via lagring med delt tilgang, databaser og depoter på høy hastighet ved hjelp av failover- og redundansalternativer som ikke bare vil holde informasjonen trygg, men atskilt fra dataene du får tilgang til. Hvis du planlegger alt riktig, vil du kunne produsere bilder som er ferdig forberedt, konfigurert, beskyttet og oppdaterte versjoner Windows og i tilfelle en katastrofe, gjenopprett systembilder tilbake til maskinvaren din på 1/3 av tiden det tar uten å bruke bildekloning og virtualisering. Deretter, etter å ha gjenopprettet basis-OS, kan du koble til den delte lagringen for å få dataene du trenger.

Så, hva er de faktiske trinnene for å herde operativsystemet etter å ha installert det? Og er det en bestemt rekkefølge for disse trinnene? Hvis det var et klart definert sett med trinn for å installere og herde, ville de gå i følgende grunnleggende rekkefølge: installer, fjern alt som ikke er i bruk, oppdater systemet, bruker grunnleggende sikkerhet og sikkerhetskopierer deretter for rask bedring om nødvendig, som vist i følgende liste:

• Trinn 1- Installere basis-OS med å velge de nødvendige alternativene for å øke sikkerheten under installasjonen og deaktivere unødvendige tjenester, alternativer og programmer.
• Steg 2- Installasjon av alle fungerende administratorsett, sikkerhetsverktøy og nødvendige programmer.
• Trinn 3- Fjerne unødvendige tjenester, programmer og applikasjoner. Deaktiver eller slett ubrukte bruker- og gruppekontoer.
• Trinn 4- Installasjon av Service Pack, patcher og oppdateringer. Oppdater alle installerte programmer.
• Trinn 5- Kjør en sikkerhetsrevisjon (skanner, maler, MBSA, etc.) for å få informasjon om gjeldende sikkerhetsnivå
• Trinn 6- Kjør Systemgjenoppretting og lag et gjenopprettingspunkt. Sikkerhetskopierings- og gjenopprettingsapplikasjoner for gjenoppretting etter systemkrasj.
• Trinn 7 - Sikkerhetskopiering systemer med evnen til å komme seg raskt etter en krasj.

Denne listen er ganske enkel. Du kan legge til flere trinn og utvide den. Denne listen er ikke komplett, men er en god start for å få en ide om hvor du skal begynne når du bruker sikkerhet på Windows 7 etter en grunnleggende installasjon. Hvis fullført ny installasjon Windows 7, så er neste trinn å fjerne uønsket programvare, tjenester, protokoller og programmer som du ikke trenger. Dette kan gjøres ved hjelp av kontrollpanelet.

Du kan deretter gå til kontrollpanelet og kontrollere hvem som skal få bruke datamaskinen ved å bruke appen Brukerkontoer. Her må du slette alle kontoer du ikke trenger, eller rett og slett deaktivere dem. Selvfølgelig må du være forsiktig med standardbrukere og grupper, siden noen av dem er relatert til tjenester som kjører i operativsystemet, kan de også påvirke hvordan data aksesseres på systemet ditt, etc. Du kan også enkelt deaktivere kontoer hvis du ikke er sikker på at de kan slettes. En annen teknikk som brukes av de fleste IT-sikkerhetseksperter er å la den lokale administratorkontoen være på plass og revidere den for forsøk på å utnytte denne kontoen, eller domeneadministratorkontoen, som må beskyttes og revideres ytterligere. Som en vanlig praksis unngår fagfolk å bruke innebygde kontoer når de administrerer store nettverk av Microsoft-systemer og oppretter nye administratorkontoer hvis aktivitet enkelt kan overvåkes om nødvendig. Ved å revidere disse kontoene og bruke nye kontoer med administrative rettigheter dobler du sikkerhetsnivået ditt. Først har du muligheten til å finne ut om noen prøver å logge på systemet ditt ved hjelp av standardkontoer, selv om dette ikke bør skje. Med revisjon kan du spore slike forsøk hvis de oppstår. Denne applikasjonen av sikkerhet på kontoer er kjent som en honningpotte og er nyttig når du leter etter mulige uautoriserte forsøk på å få tilgang til et system. For det andre fjerner du halvparten av ligningen når noen prøver å hacke en konto gjennom grunnleggende legitimasjon som brukernavn og passord. Hvis du eliminerer legitimasjonen som er lett å knekke, er alt du sitter igjen med å sette opp komplekset og sterkt passord, som vil være vanskelig å hacke. Hvis du setter opp innebygde kontoer som lokkefugler, kan du opprette et svært vanskelig å knekke passord og begrense den kontoen så mye at hvis den blir kompromittert, kan en angriper ikke gjøre noe på systemet ditt. Du må også endre alle innebygde kontopassord til mer komplekse. Bruk de beste utvalgsteknikkene sikre passordå beskytte disse kontoene og revidere dem fullstendig. Du bør også sette opp en policy som tvinger sluttbrukere som ønsker å endre passord til å gå gjennom en prosess der de kun har lov til å bruke et passord som er sterkt og sterkt nok. Dette er bare ett herdetips som gir fordeler som muligheten til å finne inntrengere gjennom logger og revisjoner.

Clue Merk: Windows Server 2008 lar deg installere "kjerne"-funksjonalitet, som er en herdeprosess som brukes på systemet under installasjonen. Når den er installert, vil serveren kjøre med bare det minste settet med funksjoner du velger, noe som reduserer risikoen for eksponering for angrepsverktøy. Windows 7 kan herdes, men det har ikke samme installasjonsalternativ som 2008, som ganske enkelt begrenser systemet under installasjonen. For å herde Windows 7 må du bruke policyer, maler og manuelt konfigurere sikkerhetsinnstillinger riktig.

Med tanke på alt det ovennevnte, hvordan bruker du grensefunksjonen og Windows-beskyttelse 7? Det meste på en enkel måte For å starte systembegrensningsprosessen er å bruke Start-menyen til å søke etter alt sikkerhetsrelatert som er lagret på systemet og indeksert. For å gjøre dette, trykk ganske enkelt på Start-knappen for å åpne menyen. Skriv deretter inn nøkkelordet "sikkerhet" i feltet "Søk etter programmer og filer". Figur 3 viser alternativene på Start-menyen returnert ved å søke etter søkeord"Sikkerhet".

Figur 3: Søk og vis sikkerhetsalternativer funnet ved hjelp av Start-menyen

Dette viser programmer, kontrollpanelapplikasjoner (eller handlinger), dokumenter og filer valgt og organisert for enkel visning og tilgang. Kort sagt, Local Security Policy (hvis valgt) er et policyredigeringsprogram som lar deg se og tilpasse systemets sikkerhetspolicyer. Den lokale sikkerhetspolicy-editoren er vist i figur 4. Her kan du gjøre de nødvendige endringene i enhver policy basert på OS-innstillingene.

Tips: For full kontroll over policyer må du bruke Windows 7 med Windows Server-produkter som Windows Server 2008 R2. I dette tilfellet kan du dra nytte av Active Directory (AD) og gruppepolicy.

Hvis du vil lokalt konfigurere revisjon av en spesifikk hendelse (for eksempel pålogging og utlogging), kan du spesifisere denne handlingen i konsollen for lokal sikkerhetspolicy (Figur 4). I kontrollpanelet kan du gå til Administrative Tools-appen for å finne redigeringsprogrammet for lokal sikkerhetspolicy, eller ganske enkelt søke etter det i Start-menyen. Når Windows 7 brukes med Active Directory, kan du bruke gruppepolicy, som er en robust tjeneste som lar deg konfigurere, administrere og distribuere innstillinger og innstillinger. programvareapplikasjoner, men du må koble Windows 7 til et gyldig domene og administrere det deretter for å dra nytte av alle disse funksjonene.

Hvis du trenger å sette opp policybasert sikkerhet, er dette den enkleste måten. Du kan finne mange av verktøyene du trenger for konfigurasjon i kontrollpanelet og/eller i den tilpassede MMC-en du konfigurerer og installerer. Microsoft Security Center (Windows Vista, XP) har tidligere blitt brukt til å sentralisere de fleste sikkerhetsfunksjoner. Den har blitt erstattet av Action Center, og nå er sikkerhetshandlinger veldig enkle å finne, se og utføre med spesifikke tillatelser. For eksempel, som vist i Start-menyen (Figur 3), gir handlingen "Sjekk sikkerhetsstatus", når den er valgt, en liste over sikkerhetsinnstillinger som Windows 7 anbefaler, for eksempel oppdatering av systemet, eller programmer som antivirus (AV) ). Hvis du velger en handling, vil systemet sende deg til handlingssenteret for å fikse de eksisterende problemene.

Figur 5: Konfigurere sikkerhetshandlinger ogtiver

Råd: Figur 5 viser sikkerhetshandlingene du kan utføre i kontrollpanelet. Hvis du går til Start-menyen, skriver "sikkerhet" og klikker på Kontrollpanel, får du en liste over handlinger og sikkerhetsinnstillinger som du umiddelbart kan konfigurere i en lettfattelig liste.

I handlingssenteret (eller når du ser på handlingslister), kan du ganske enkelt navigere nedover listen og tilpasse hvert element deretter. Dette kort anmeldelse Sikkerhetsalternativer som kan konfigureres i handlingssenterlisten:

• Handlingssenter" Action Center erstatter Security Center. I Action Center kan du spesifisere handlinger som operativsystemet skal utføre. Med din tillatelse kan handlinger utføres. Dette vil fortelle deg om antivirusprogrammet ditt ikke er oppdatert. Du kan gå til Action Center å utføre handlinger knyttet til sikkerhet.
• Internett instillinger" Nettsurfing av enhver type åpner døren for potensielle risikoer forbundet med Internett. Hvis du bruker en proxy-server, bruker nettfiltrering (og overvåking), og hele tiden oppdaterer operativsystemet med de siste oppdateringene, kan du komme i en situasjon der sikkerheten kan kompromitteres I kontrollpanelet for Internett-alternativer kan du spesifisere sikkerhetssoner, kun tillate tilgang til bestemte URL-er, utvide avanserte sikkerhetsinnstillinger i kategorien Avansert og mye mer. Nettleseren er utstyrt med et phishing-filter phishing, og har også andre tilpassbare alternativer som InPrivate-surfing, som ikke lar deg lagre personlig informasjon, som er spesielt nyttig når du bruker en datamaskin på offentlige internettkafeer.
• Windows brannmur"som all annen programvare eller maskinvare brannmur, brannmur Windows brannmur kan forhindre grunnleggende angrep som standard, og kan konfigureres på mange måter for en høy grad av kontroll over hva som kan gå inn og ut av datasystemet når det er koblet til en offentlig eller privat nettverk. Ved å gå til Kontrollpanel og velge Windows-brannmur, vil du ha tilgang til de flesteene. Du kan klikke på Avansert-knappen i dialogboksen for å få tilgang til flere parametere og konfigurasjonsalternativer. I Windows 7 kan du distribuere flere brannmurpolicyer samtidig og bruke domenebetegnelse for enklere å konfigurere og administrere Windows-brannmuren.
• Personalisering"Personliggjøringsalternativer er der du kan endre utseende Windows, men her kan du konfigurere passord for skjermspareren. Hvis Windows 7 brukes i en bedrift, må brukerne læres hvordan de låser arbeidsstasjonene sine når de forlater lokalene. arbeidsplass, eller opprette policyinnstillinger som vil gjøre dette automatisk etter en viss periode med systeminaktivitet; Skjermspareren, hvis den er konfigurert til å be deg om å logge på igjen etter en slik periode, kan være svært nyttig. Hjemme kan dette være din beste forsvarslinje hvis du forlater datamaskinen og glemmer å låse den.
• Windows-oppdateringer"alle versjoner programvare krever et visst nivå av korreksjon. Du kan forberede, teste og prøve å utvikle det perfekte produktet, men det er umulig å ta hensyn til alt. Det kreves også oppdateringer og nye programvareutgivelser for å holde systemet oppdatert mens du bruker det. Siden det er systemforbedringer, krav til andre utviklingsteknologier, nye sikkerhetssårbarheter og driveroppdateringer for bedre ytelse og funksjonalitet, vil det alltid være behov for å bruke Windows Update. Windows (og Microsoft) Oppdaterte eller produksjonsversjoner av oppdateringsadministrasjon (som WSUS) brukes til sentralt å administrere og installere oppdateringer. Disse verktøyene brukes til å kontrollere, spore og overvåke dine nåværende og fremtidige oppdateringsbehov. Sett opp automatiske oppdateringer, eller gjør det til en vane å gjøre det manuelt, fordi det rett og slett må gjøres. Hvis du ikke oppdaterer systemet som anbefalt (og noen ganger nødvendig), utsetter du deg selv for angrep.
• Programmer og funksjoner"i tillegg Windows-oppdateringer Oppdateringer Du må også ofte sjekke hva som er installert på systemet ditt, spesielt hvis du jobber på Internett og/eller laster ned programvareprodukter fra Internett-servere. For eksempel kan installasjon av en enkel Java-oppdatering, hvis du ikke leste informasjonen om den nøye under installasjonen, også installere en verktøylinje på systemet som integreres i nettleseren din. Dette er nå tettere kontrollert, men uansett bør du sjekke hva som er installert på systemet ditt fra tid til annen.
• Windows Defender " spyware er apper som opprinnelig ble brukt til ulovlige handelsaktiviteter, og som gjør ting som å øke belastningen, omdirigere nettleseren din og sende informasjon om aktivitetene dine. Selv om antivirusprogrammer blokkere noen av disse programmene, bør Windows Defender (eller annen programvare for fjerning av spionprogrammer) brukes til å rense ut gjenværende spionprogramvare. Informasjonskapsler, selv om de er ufarlige i naturen, kan noen ganger manipuleres til ulovlige formål. Sørg for at Windows Defender oppdateres ofte med nye definisjonsfiler og oppdateringer for å sikre at den kan oppdage den nyeste spionvaren. SpyNet er fellesskapet Microsoft-eksperter henvender seg til for å overvåke, studere og reparere spionprogramskader.
• Brukerkontoer"Brukerkontokontroll er grunnlaget for å beskytte tilgangen til datamaskinen din, samt alt som kjører på den. Hvis du for eksempel oppretter en ny brukerkonto og legger den til i Administrator-gruppen, vil du ha full tilgang til datasystemet . Hvis du setter opp en konto som en standardbruker, vil tillatelsene være svært begrenset og vil bare tillate deg å utføre noen grunnleggende brukerfunksjoner passord som er vanskelige å knekke, forhindrer de fleste grunnleggende angrep Hvis du har installert Windows Server 2008 og Active Directory, kan du få tilgang til et domene, som (hvis du er medlem) gir deg mer fleksibilitet i konfigurering av NTFS-filsystemtillatelser for mapper, filer. , og andre delte ressurser som skrivere.
• Strømalternativer"Kontrollpanelapplikasjonen for strømalternativer er der du konfigurerer standardoppførselen til operativsystemet når det er slått av, lukket eller i hvilemodus. For større sikkerhet anbefales det å angi alternativet for å kreve et passord når maskinen våkner fra hvilemodus Når alternativet for å aktivere brukertilgangskontroll vises, bør du bruke det.

Så hvis du trenger å implementere sikkerhetstiltak i Windows 7, kan Start-menyen fungere godt som et utgangspunkt for å styrke systemet og åpner døren til mange tilgjengelige verktøy. Det er mange alternativer du kan bruke for å herde Windows 7-systemet, spesielt kontrollpanelet. Å bruke Start-menyen er også en enkel måte å gi en primær forsvarslinje for systemet ditt etter den første installasjonen. Det anbefales at du oppretter en sikkerhetsgrunnlinje etter den første installasjonen og konfigurasjonen av systemet ditt, som krever at du konfigurerer alle sikkerhetsinnstillinger, applikasjoner og laster ned patcher og oppdateringer og deretter oppretter sikkerhetskopi hele systemet ved hjelp av systemgjenopprettingsverktøyet. Dette vil gi deg et øyeblikksbilde av systemet i en ny tilstand i tilfelle du trenger å returnere systemet til den tilstanden. Det er mulig å opprette et gjenopprettingspunkt som kan brukes hvis systemet har blitt kompromittert, og dette vil tillate deg å returnere systemet til en grunnlinjetilstand med sikkerhetsinnstillinger brukt. Vi skal se på alternativene for systemgjenoppretting i Disaster Recovery-delen av denne artikkelen.

Takk for din interesse for siden vår. IT-spesialistselskapet har eksistert siden 2006 og leverer IT-outsourcingtjenester. Outsourcing er overføring av nødvendig, men ikke-kjernearbeid for bedriften til en annen organisasjon. I vårt tilfelle er dette: opprettelse, støtte og vedlikehold av nettsteder, promotering av nettsteder i søkemotorer, støtte og administrasjon av servere som kjører Debian GNU/Linux.

Nettsteder på Joomla

I dagens informasjonsalder blir et de facto-nettsted i det minste et visittkort for en organisasjon, og ofte et av forretningsverktøyene. Allerede nå lages nettsider ikke bare for organisasjoner og enkeltpersoner, men også for individuelle varer, tjenester og til og med arrangementer. I dag er en nettside ikke bare en kilde til reklame for et stort publikum, men også et verktøy for salg og knytte nye kontakter. Vi lager nettsider ved hjelp av CMS Joomla! Dette innholdsstyringssystemet er enkelt og intuitivt. Det er svært utbredt og derfor finnes det mye informasjon om det på Internett. Det er også enkelt å finne en spesialist som jobber med Joomla. Og du trenger ikke gå langt! Vår IT-spesialist er engasjert i vedlikehold og støtte for nettsteder på Joomla! Vi vil bruke alt ingeniørarbeid, vil vi ta oss av all korrespondanse med vert og domeneregistrator, fylle nettstedet og oppdatere informasjonen på det. Og selv om Joomla er enkel å bruke, er den intuitiv. Men vil du regelmessig utføre det nødvendige arbeidet på nettstedet selv? Hvor lang tid tar de deg? Hvis du ønsker å konsentrere deg om virksomheten din, overlate støtten til nettstedet ditt til oss. Vi vil gjøre alt i vår makt for å holde nettstedet levende og nyttig for eieren.
Hvis du er en kommersiell organisasjon som annonserer eller selger sine varer og tjenester på Internett, trenger du ganske enkelt nettstedspromotering i søkemotorer. Tross alt, for å selge noe trenger du som et minimum for at det skal bli sett, for at folk skal vite om det. Og vi vil hjelpe deg med dette, vi vil markedsføre din Joomla-side i søkemotorer. Avhengig av konkurransen og budsjettet som er tildelt for markedsføring, vil nettstedet ditt innta anstendige posisjoner i søkeresultatene. Siden vil øke fortjenesten din!

Debian-servere

Før eller siden, etterstreber åpenhet og transparens i virksomheten, står mange selskaper overfor behovet for å sikre lisensieringsrenheten til programvaren de bruker. Kostnadene for lisensavgifter er imidlertid ikke alltid akseptable, spesielt for små og mellomstore bedrifter. Veien ut av denne vanskelige situasjonen er å bestemme seg for å bytte til Åpen kilde teknologier. Et av områdene med åpen kildekode er i drift Linux system(Linux). Vårt firmas ansatte spesialiserer seg på Debian Linux (Debian Linux). Dette er den eldste og mest stabile distribusjonen av Linux-operativsystemet. Vi tilbyr deg tjenester for implementering av Debian Linux i din bedrift, konfigurasjon, vedlikehold og støtte for servere.

Informasjon og reklame

En sikkerhetspolicy er et sett med parametere for å regulere PC-sikkerhet ved å bruke dem på et spesifikt objekt eller på en gruppe objekter av samme klasse. De fleste brukere gjør sjelden endringer i disse innstillingene, men det er situasjoner når det må gjøres. La oss finne ut hvordan du utfører disse trinnene på datamaskiner som kjører Windows 7.

Først av alt bør det bemerkes at sikkerhetspolicyen som standard er konfigurert optimalt for å utføre de daglige oppgavene til en vanlig bruker. Det er nødvendig å manipulere det bare hvis det er behov for å løse et spesifikt problem som krever justering av disse parameterne.

Sikkerhetsinnstillingene vi ser på kontrolleres ved hjelp av GPOer. I Windows 7 kan du gjøre dette ved å bruke verktøyene eller "Redigering av lokal gruppepolicy". En forutsetning er å logge inn på systemprofilen med administratorrettigheter. Deretter skal vi se på begge disse alternativene.

Metode 1: Bruke verktøyet for lokal sikkerhetspolicy

Først av alt, la oss studere hvordan du løser problemet ved hjelp av verktøyet "Lokal sikkerhetspolicy".

1. Klikk på for å starte den angitte snapin-modulen "Start" og gå til "Kontrollpanel".



2. Deretter åpner du delen "System og sikkerhet".



3. Klikk "Administrasjon".



4. Velg et alternativ fra det foreslåtte settet med systemverktøy "Lokal sikkerhetspolicy".

   

   Du kan også starte snapin-modulen gjennom et vindu "Løpe". For å gjøre dette, ring Win+R og skriv inn følgende kommando:

   Klikk deretter "OK".



5. Trinnene ovenfor vil starte GUIønsket verktøy. I de aller fleste tilfeller blir det nødvendig å justere parametrene i mappen "Lokale politikere". Deretter må du klikke på elementet med dette navnet.



6. Denne katalogen inneholder tre mapper.

   I katalogen kreftene til individuelle brukere eller grupper av brukere bestemmes. Du kan for eksempel spesifisere om enkeltpersoner eller kategorier av brukere er forbudt eller lov til å utføre bestemte oppgaver; bestemme hvem som får lokal tilgang til PC-en, og hvem som kun via nettverket osv.

   I katalogen "Revisjonspolicy" Hendelsene som skal registreres i sikkerhetsloggen er spesifisert.

   I mappe "Sikkerhetsinnstillinger" ulike administrative innstillinger er spesifisert som bestemmer oppførselen til operativsystemet når det går inn både lokalt og via nettverket, samt interaksjon med ulike enheter. Disse parameterne bør ikke endres med mindre det er absolutt nødvendig, siden de fleste av de relevante problemene kan løses gjennom standardinnstilling kontoer, foreldrekontroll og NTFS-tillatelser.

   

7. Til ytterligere handlinger for problemet vi løser, klikk på navnet på en av katalogene ovenfor.



8. En liste over retningslinjer for den valgte katalogen åpnes. Klikk på den du vil endre.



9. Etter dette åpnes vinduet for policyredigering. Dens type og handlingene som må utføres avviker betydelig fra hvilken kategori den tilhører. For eksempel for objekter fra mappen "Tilordne brukerrettigheter" i vinduet som åpnes, må du legge til eller slette navnet på en bestemt bruker eller gruppe brukere. Legging gjøres ved å trykke på knappen "Legg til bruker eller gruppe ...".

   

   Hvis du trenger å fjerne et element fra den valgte policyen, velger du det og klikker "Slett".



10. Etter å ha fullført manipulasjonene i policyredigeringsvinduet, ikke glem å klikke på knappene for å lagre justeringene "Søke om" Og "OK", ellers trer ikke endringene i kraft.

Vi beskrev endring av sikkerhetsinnstillinger ved å bruke eksempelet på handlinger i mappen "Lokale politikere", men på samme måte kan du utføre handlinger i andre utstyrskataloger, for eksempel i katalogen "Kontoregler".

Metode 2: Bruke verktøyet Local Group Policy Editor

Melodi lokalpolitikk det er også mulig å bruke utstyret "Lokal redaktør" gruppepolitikk» . Riktignok er ikke dette alternativet tilgjengelig i alle utgaver av Windows 7, men bare i Ultimate, Professional og Enterprise.

1. I motsetning til det tidligere utstyret, dette verktøyet kan ikke startes via "Kontrollpanel". Den kan bare aktiveres ved å skrive inn en kommando i vinduet "Løpe" eller inn « Kommandolinje» . Slå Win+R og skriv inn følgende uttrykk i feltet:

   Klikk deretter "OK".