Operacijski sistem Windows XP ima razvit varnostni sistem, ki pa ga je treba konfigurirati. Upamo, da razumete, da mora biti Windows XP nameščen na particije NTFS, zato datotečni sistem FAT32 ni priporočljiv iz varnostnih razlogov (vgrajene varnosti enostavno ni mogoče implementirati s FAT32).

Če uporabljate datotečni sistem FAT 32, bodo skoraj vse izjave v tem razdelku za vas nepomembne. Edina pot omogočite vsa dovoljenja datotečnega sistema - pretvorite disk v format NTFS.

Po čisti namestitvi sistema Windows XP privzete varnostne nastavitve delujejo kot stikala za vklop in izklop. Ta vmesnik se privzeto imenuje Preprosta skupna raba datotek. Ta konfiguracija ima nizko stopnjo varnosti, skoraj enaka standardni. Konfiguracija sistema Windows 95/98/Jaz.

Če s to konfiguracijo niste zadovoljni, lahko izkoristite vso moč dovoljenj za datoteke v slogu sistema Windows 2000. To naredite tako, da v Raziskovalcu odprete naključno mapo in izberete Orodja -> Možnosti mape. Pojdite na zavihek Pogled, na seznamu poiščite potrditveno polje Uporabi skupno rabo datotek (priporočeno) in ga počistite.

Ko izklopite preprosto skupno rabo, se v pogovornem oknu lastnosti katere koli mape prikaže zavihek Varnost. Enako velja za izdajanje dovoljenj za datoteke. Vsa dovoljenja so shranjena na seznamih za nadzor dostopa (ACL).

Pri nastavljanju in odstranjevanju dovoljenj upoštevajte ta osnovna načela:

1. Delajte od zgoraj navzdol.
2. Podatkovne datoteke v skupni rabi hranite skupaj.
3. Delajte s skupinami, kjer koli je to mogoče.
4. Ne uporabljajte posebnih dovoljenj.
5. Uporabnikom ne dajajte več dovoljenj, kot je nujno potrebno (načelo najmanjših dovoljenj).

Nastavitev dovoljenja iz ukazne vrstice

Pripomoček ukazne vrstice cacls.exe, ki je na voljo v sistemu Windows XP Professional, vam omogoča ogled in spreminjanje dovoljenj datotek in map. Cacls je okrajšava za Control ACLs - upravljanje seznama za nadzor dostopa.

Stikala ukazne vrstice za pripomoček cacls:

• /T - Spremenite dovoljenja za dostop določene datoteke v trenutni mapi in vseh podmapah
• /E - Spremenite seznam nadzora dostopa (ne popolnoma zamenjajte)
• /C - Nadaljujte, če se pojavi napaka "dostop zavrnjen".
• /G - uporabnik:dovoljenje Uporabniku dodeli navedeno dovoljenje. Brez ključa
• /E - popolnoma nadomesti trenutna dovoljenja
• /R - uporabnik Prekliče pravice dostopa za trenutnega uporabnika (uporablja se samo s stikalom /E)
• /P - uporabnik:dovoljenje Preglasi navedena uporabniška dovoljenja
• /D - uporabnik Zavrne uporabniku dostop do objekta

S tipkama /G in /P morate uporabiti eno od spodaj navedenih črk (namesto besede dovoljenje):

• F (Full Control) – Enakovredno potrditvi potrditvenega polja Full Control na zavihku Varnost.
• C (spremeni) – enako kot potrditveno polje Dovoli spreminjanje
• R (branje) – enakovredno potrditvi potrditvenega polja Dovoli branje in izvajanje
• W (pisanje) – enakovredno potrditvi potrditvenega polja Dovoli pisanje (Pisanje).

Microsoft Windows XP pomaga preprečiti, da bi občutljivi podatki padli v napačne roke. Šifriranje datotečnega sistema Datotečni sistem- EFS) šifrira datoteke na disku. Vendar se zavedajte, da se lahko podatki štejejo za izgubljene, če izgubite ključ za dešifriranje. Če se torej odločite izkoristiti prednosti EFS, morate ustvariti račun agent za obnovitev, varnostno kopijo lastnega potrdila in potrdilo agenta za obnovitev. Če raje delate z ukazno vrstico, lahko uporabite program cipher.exe.

Ukaz cipher brez parametrov prikaže informacije o trenutni mapi in datotekah, ki se nahajajo v njej (ali so šifrirane ali ne). Spodaj je seznam najpogosteje uporabljenih možnosti šifriranja:

• /E - Šifrirajte določene mape
• /D - Dešifriranje določenih map
• /S:mapa - Operacija velja za mapo in vse ugnezdene podmape (vendar ne za datoteke)
• /A – Operacija se uporabi za določene datoteke in datoteke v določene mape
• /K - Ustvari nov šifrirni ključ za uporabnika, ki je zagnal program. Če je ta ključ podan, so vsi drugi prezrti
• /R - Ustvari ključ agenta za obnovitev datoteke in potrdilo. Ključ in potrdilo sta v datoteki .CFX, kopija potrdila pa v datoteki .CER
• /U – Posodobite uporabniški šifrirni ključ ali obnovitveni agent za vse datoteke na all lokalne diske
• /U /N - seznam vseh šifriranih datotek na lokalnih pogonih brez kakršnega koli drugega dejanja

Odpravljanje težav z dovoljenji (agent za obnovitev podatkov)

Skrbnik je običajno imenovan za agenta za obnovitev podatkov. Če želite ustvariti obnovitvenega agenta, morate najprej ustvariti potrdilo za obnovitev podatkov in nato za takega agenta določiti enega od svojih uporabnikov.
Če želite ustvariti potrdilo, morate narediti naslednje:

1. Prijaviti se morate kot skrbnik
2. V ukazno vrstico vnesite šifro /R: ime datoteke
3. Vnesite geslo za novo ustvarjene datoteke

Datoteke potrdil imajo pripono .PFX in .CER ter ime, ki ga določite.

POZOR! Te datoteke omogočajo kateremu koli uporabniku v sistemu, da postane obnovitveni agent. Ne pozabite jih kopirati na disketo in jih shraniti na varno mesto. Po kopiranju izbrišite datoteke potrdil s trdega diska.

Če želite dodeliti sredstva za obnovitev:

1. Prijavite se z računom, ki bi moral postati agent za obnovitev podatkov
2. V konzoli Certifikati pojdite na razdelek Certifikati – Trenutni uporabnik-> Osebno (Trenutni uporabnik -> Osebno)
3. Action -> All Tasks -> Import (Dejanja -> All Tasks -> Import), da zaženete čarovnika za uvoz potrdila
4. Uvozite obnovitveno potrdilo

Če orodja za šifriranje uporabljate nepravilno, lahko naredite več škode kot koristi.

1. Šifrirajte vse mape, v katerih shranjujete dokumente
2. Šifrirajte mapi %Temp% in %Tmp%. To bo zagotovilo, da so vse začasne datoteke šifrirane
3. Vedno omogočite šifriranje za mape, ne za datoteke. Nato so vse naknadno ustvarjene datoteke v njem šifrirane, kar se izkaže za pomembno pri delu s programi, ki pri urejanju ustvarijo lastne kopije datotek, nato pa kopije prepišejo nad izvirno.
4. Izvozite in zaščitite zasebne ključe računa agenta za obnovitev ter jih nato odstranite iz računalnika
5. Izvozite osebna potrdila o šifriranju vseh računov
6. Ne izbrišite obnovitvenih potrdil, ko spreminjate pravilnike obnovitvenega agenta. Hranite jih, dokler niste prepričani, da vse datoteke, zaščitene s temi certifikati, ne bodo posodobljene.
7. Pri tiskanju ne ustvarjajte začasnih datotek ali šifrirajte mape, v kateri bodo ustvarjene
8. Zaščitite svojo stransko datoteko. Ko zapustite Windows, bi moral biti samodejno odstranjen

Graditelj varnostnih predlog

Varnostne predloge so običajne datoteke ASCII, zato jih je teoretično mogoče ustvariti z običajnim urejevalnik besedil. Vendar je bolje uporabiti snap-in Security Templates v Microsoftovi upravljalni konzoli (MMC). Če želite to narediti, v ukazno vrstico morate v to konzolo vnesti mmc /a, izberite meni Datoteka – Dodaj/Odstrani. V pogovornem oknu Dodajanje samostojnega snap-ina izberite Varnostne predloge – Dodaj.
Upravljanje opreme

Varnostne predloge se nahajajo v mapi \%systemroot%\security\templates. Število vgrajenih predlog se razlikuje glede na različico operacijski sistem in nameščenih servisnih paketov.

Če razširite katero koli mapo v Varnostnih predlogah, bodo v desnem podoknu prikazane mape, ki ustrezajo nadzorovanim elementom:

• Politike računa – upravljajte gesla, ključavnice in pravilnike Kerberos
• Lokalne politike – upravljajte nastavitve revizije, uporabniške pravice in varnostne nastavitve
• Dnevnik dogodkov – upravljanje parametrov sistemskega dnevnika
• Omejene skupine – definiranje elementov različnih lokalnih skupin
• Sistemske storitve – omogočite in onemogočite storitve ter dodelite pravico do spreminjanja sistemskih storitev
• Register – dodeljevanje dovoljenj za spreminjanje in ogled registrskih ključev
• Datotečni sistem – upravljajte dovoljenja NTFS za mape in datoteke

Zaščita internetne povezave

Za zagotovitev varnosti pri povezovanju z internetom morate:

• Omogočite požarni zid internetne povezave ali namestite požarni zid tretje osebe
• Onemogočite skupno rabo datotek in tiskalnikov za Microsoftova omrežja

Požarni zid internetne povezave je programska komponenta, ki blokira neželen promet.

• Aktiviranje požarnega zidu internetne povezave.
• Odprite nadzorno ploščo – Omrežne povezave
• Z desno miškino tipko kliknite povezavo, ki jo želite zaščititi, in v meniju izberite Lastnosti
• Pojdite na zavihek Napredno in potrdite potrditveno polje Zaščiti mojo internetno povezavo

Zaključek

Uvod

Če je vaš računalnik povezan z računalniško omrežje(ne glede na to ali gre za internet ali intranet), potem je ranljiv za viruse, zlonamerne napade in druge vdore. Če želite zaščititi svoj računalnik pred temi nevarnostmi, mora biti ves čas vključen. požarni zid(požarni zid) in protivirusno programsko opremo (z najnovejše posodobitve). Poleg tega je nujno, da so vse najnovejše posodobitve nameščene tudi na vašem računalniku.

Vsak uporabnik tega ne more nenehno spremljati. Vsak uporabnik ne ve, kako to storiti. In tudi če je uporabnik kompetenten v teh zadevah, morda preprosto nima dovolj časa za takšne preglede. Microsoft je za vse te uporabnike poskrbel tako, da je takšno orodje vključil v SP2 za Windows XP. Imenuje se "" (Windows Varnostni center) (slika 1).

riž. 1. Center za oskrbo Windows varnost

Glavni namen tega orodja je obveščanje in usmerjanje uporabnika v pravo smer. Prvič, nenehno spremlja stanja treh glavnih komponent OS (požarni zid, protivirusni program, sistem za samodejno posodabljanje). Če nastavitve katere od teh komponent ne ustrezajo varnostnim zahtevam računalnika, bo uporabnik prejel obvestilo. Na primer na sl. Slika 2 prikazuje eno od teh obvestil.

riž. 2. Opozorilo

Drugič, ob odpiranju varnostnega centra Windows lahko uporabnik ne le prejme konkretna priporočila o tem, kako popraviti trenutno situacijo, ampak tudi ugotovi, kje se nahajajo druge nastavitve, povezane z računalniško varnostjo, in kje na Microsoftovem spletnem mestu lahko preberete dodatne informacije zagotoviti varnost.

Takoj je treba opozoriti, da ko računalnik povežete z domeno, Windows Security Center ne prikaže informacij o varnostnem statusu računalnika (slika 3) in ne pošilja varnostnih sporočil. V tem primeru velja, da mora varnostne nastavitve upravljati skrbnik domene.

Če želite omogočiti varnostno središče Windows za računalnik, ki je del domene, morate v pravilniku skupine domene omogočiti nastavitev Konfiguracija računalnika, Administrativne predloge, Komponente Windows, Varnostno središče, Omogoči varnostno središče (samo za računalnike v domeni). ) ".

riž. 3. Varnostno središče Windows

Varnostne nastavitve sistema Windows

Če želite odpreti varnostno središče Windows, kliknite gumb Start, izberite Nadzorna plošča in dvokliknite ikono Varnostnega središča (slika 4).

riž. 4. Ikona

Okno Windows Security Center lahko razdelimo na tri dele (slika 5):

riž. 5. Varnostni center

1. Viri. Tukaj so povezave do internetnih virov, do vgrajene storitve pomoči Windows in do okna za konfiguriranje nastavitev opozoril.
2. Varnostne komponente. Tu se nahajajo informacijski elementi treh glavnih varnostnih komponent: požarni zid, samodejno posodabljanje, protivirusna zaščita.
3. Varnostne nastavitve. Tu so gumbi za dostop do varnostnih nastavitev naslednjih komponent: brskalnik internet Explorer, samodejna posodobitev, Požarni zid Windows.

Oglejmo si te dele podrobneje.

Viri

Na sl. 5, številka 1 označuje povezave, prve tri so namenjene odpiranju ustreznih strani na Microsoftovem spletnem mestu. Predzadnja povezava je za odpiranje informacije Okna na strani " Splošne informacije o Windows Security Center." Zadnja povezava je namenjena odpiranju okna "Alert Settings" (slika 6).

riž. 6. Nastavitve opozoril

Če ima vaš računalnik požarni zid in protivirusno programsko opremo, ki je varnostno središče ne zazna, lahko onemogočite ustrezna opozorila (glejte sliko 6).

Varnostne komponente

Na sliki 5, številka 2 - vsaka informacijska tabla poroča o statusu ustrezne komponente. Slika 7 prikazuje možna stanja.

riž. 7. Informacijska tabla navaja

Države A-C razumljivo brez komentarja. Stanje D - "Ni najdeno" - ustreza nezmožnosti ugotavljanja prisotnosti ustrezne programske opreme (na primer protivirusnega programa ali požarnega zidu). Stanje E - "Poteklo" - možno za protivirusna zaščita ob posodobitvah protivirusne baze podatkov zastarel. Stanje F - "Ni opazovano" - ustreza onemogočenemu nadzoru nad ustrezno komponento.

Varnostno središče uporablja dvonivojski pristop k določanju stanja komponent:

1. Preverjanje vsebine registra in datotek s podatki o statusu programske opreme (Microsoft prejme seznam datotek in nastavitev registra od proizvajalcev programske opreme).

2. Informacije o statusu programske opreme se prenašajo iz nameščenih programov z uporabo orodij WMI (Windows Management Instrumentation).

Slika 8 prikazuje eno od možnih stanj komponente požarnega zidu. S klikom na gumb »Priporočila ...« boste imeli možnost omogočiti požarni zid (slika 9, gumb »Omogoči zdaj«) ali onemogočiti spremljanje stanja te komponente (slika 9, polje »Namestim in sam nadzorujem požarni zid«).

riž. 8. Stanje požarnega zidu

Po kliku na gumb »Omogoči zdaj« (glej sliko 9), se bo požarni zid Windows uspešno zagnal, se bo na zaslonu pojavilo ustrezno sporočilo (slika 10).

riž. 10. Sporočilo

Slika 11 prikazuje eno od možnih stanj komponente »Samodejno posodabljanje«. S klikom na gumb »Omogoči samodejne posodobitve« boste omogočili način delovanja »Samodejne posodobitve«, ki ga priporoča Microsoft (slika 12).

riž. enajst. Stanje »Samodejna posodobitev«.

riž. 12. Samodejna posodobitev

Upoštevajte, da je odvisno od nastavljenega načina delovanja »Samodejno posodabljanje« (glejte sliko 12) v oknu »Varnostni center« prikazano Kratek opis ta način.

Slika 13 prikazuje eno od možnih stanj komponente “Virus Protection”. S klikom na gumb »Priporočila…« boste prejeli jedrnata navodila (slika 14): »vklopite protivirusni program« (če je onemogočen), »namestite drug protivirusni program«. V tem oknu lahko onemogočite spremljanje stanja te komponente (možnost »Sam namestim in nadzorujem protivirusni program«).

riž. 13. Stanje zaščite pred virusi

Varnostne nastavitve

Na sliki 5 pod številko 3 so gumbi za dostop do varnostnih nastavitev naslednjih komponent: Internet Explorer, samodejne posodobitve, požarni zid Windows.

S pritiskom na gumb , boste preusmerjeni na zavihek »Varnost« v oknu z nastavitvami Internet Explorerja (slika 15).

Slika 15. Nastavitve Internet Explorerja

S klikom na gumb se odpre okno z nastavitvami »Samodejno posodabljanje« (glej sliko 12).

S klikom na gumb boste preusmerjeni v ustrezno okno z nastavitvami (slika 16).

riž. 16.

V sistemu Windows XP SP2 se naslednje ikone uporabljajo za označevanje nastavitev, povezanih z varnostjo (glejte na primer sliko 16), kot tudi za obvestila o varnostnem statusu računalnika (glejte na primer sliko 2):

1. - Označuje pomembne informacije in varnostne nastavitve.

2. - Obvešča vas o morebitnem varnostnem tveganju.

3. - Razmere so varnejše. Vaš računalnik uporablja priporočene varnostne nastavitve.

4. - Opozorilo: situacija je potencialno nevarna. Spremenite varnostne nastavitve, da bo vaš računalnik varnejši.

5. - Ni priporočljivo uporabljati trenutnih varnostnih nastavitev.

Internetne možnosti

Kot že rečeno, s klikom na gumb v »Varnostnem središču Windows« boste preusmerjeni v okno z nastavitvami Internet Explorerja na zavihku »Varnost« (slika 17).

riž. 17.

Oglejmo si možnosti, ki so na voljo na tem zavihku. Na vrhu so štiri cone: internet, lokalni intranet, zaupanja vredna mesta, omejena mesta. V tabeli 1 je opis za vsako cono.

Tabela 1. Opis con

Za vsa območja, razen za internetno območje, lahko določite gostitelje, vključene v območje. Če želite to narediti, morate izbrati želeno območje (glej sliko 17) in klikniti gumb »Vozlišča ...«. V tem primeru se za območje »Lokalni intranet« odpre okno, prikazano na sliki 18. Če želite določiti določena vozlišča, kliknite gumb "Napredno ...". Posledično se prikaže okno, prikazano na sliki 19. Podobno okno se odpre, če določite vozlišča, vključena v coni »Zaupanja vredna mesta« in »Omejena mesta«. Samo območje »Omejena spletna mesta« ne bo imelo možnosti »Vsa spletna mesta v tem območju zahtevajo preverjanje strežnika (https:)«.

riž. 18. Lokalni intranet

riž. 19. Določanje določenih vozlišč

Vsaki coni je mogoče dodeliti želeno stopnjo varnosti: visoko, srednjo, podpovprečno, nizko. Nizka raven varnosti predstavlja minimalno varnost in se uporablja za mesta, ki jim popolnoma zaupate.

Izberite želeno območje (glej sliko 17) in kliknite gumb "Privzeto". Zavihek "Varnost" bo spremenil svoj videz (slika 20). Na dnu okna lahko določite želeno stopnjo varnosti. Če ne želite uporabljati predlaganih varnostnih stopenj, lahko kliknete gumb »Drugo…« in sami določite vse varnostne parametre (slika 21).

riž. 20. Varnostne nastavitve Internet Explorerja

riž. 21. Varnostne nastavitve

Zgoraj opisane varnostne nastavitve Internet Explorerja so na voljo tudi prek pravilnika skupine (konfiguracija računalnika, skrbniške predloge, komponente sistema Windows, Internet Explorer, internetna nadzorna plošča, varnostna stran).

Samodejna posodobitev

Kot smo že omenili, boste s klikom na gumb v »Varnostnem središču Windows« odprli okno z nastavitvami »Samodejne posodobitve« (slika 22).

riž. 22. Možnosti samodejne posodobitve

Vgrajeni sistem pomoči v operacijskem sistemu Windows XP zelo podrobno opisuje sistem samodejnega posodabljanja. Za dostop do te pomoči kliknite "Kako deluje samodejno posodabljanje?" (glej sliko 22). Ostanimo le na nekaj točkah.

Najprej je treba razlikovati med pojmoma »prenos« in »nameščanje« posodobitev. Prenos se nanaša na postopek prenosa posodobitvenih datotek iz Microsoftovega strežnika (ali iz notranjega posodobitvenega strežnika znotraj organizacije) v uporabnikov računalnik. Namestitev se nanaša na dejanski postopek namestitve posodobitev v uporabnikov računalnik. Možno je, da so bile posodobitve prenesene na uporabnikov računalnik, vendar še niso nameščene.

Drugič, če ste izbrali možnost »Samodejno« (glejte sliko 22), bodo posodobitve prenesene in nameščene ob času, ki ste ga določili. Če je računalnik vedno izklopljen ob določenem času, posodobitve ne bodo nikoli nameščene. Ko se prijavite v svoj računalnik, lahko uporabnik z lokalnimi skrbniškimi pravicami ročno zažene namestitev, ne da bi čakal na načrtovani čas. Ko pride načrtovani čas, bo uporabnik obveščen, da se bodo posodobitve začele nameščati. Če skrbnik trenutno dela na sistemu, bo imel možnost odložiti namestitev do naslednjega načrtovanega časa. Drugi uporabniki (brez skrbniških pravic) ne bodo imeli možnosti preklicati načrtovane namestitve posodobitev.

V vseh drugih primerih (razen pri možnosti »izklopi samodejne posodobitve«) se bodo obvestila o obstoječih posodobitvah za vaš računalnik (pripravljenih za prenos ali namestitev) pojavila le, ko je na vašem računalniku registriran uporabnik z lokalnimi skrbniškimi pravicami. Če torej nenehno delate v računalniku z računom, ki ni član skupine lokalnih skrbnikov, posodobitve ne bodo nikoli nameščene.

Zgoraj opisane nastavitve samodejnega posodabljanja so na voljo tudi za konfiguracijo prek pravilnika skupine (konfiguracija računalnika, skrbniške predloge, komponente sistema Windows, posodobitev sistema Windows). Poleg tega lahko samo prek pravilnika skupine nastavite dodatne nastavitve. Določite lahko na primer naslov notranjega strežnika za posodabljanje, ki centralno prejema posodobitve iz Microsoftovih strežnikov in jih pošilja na interni računalniki organizacije. Primer takega strežnika je Microsoft® Windows Server™ Posodobitvene storitve (WSUS).

Požarni zid Windows

Kot smo že omenili, boste s klikom na gumb v »Varnostnem središču Windows« odprli okno z nastavitvami »Požarni zid Windows« (slika 23).

riž. 23. Nastavitve požarnega zidu Windows

Če kliknete napis »Več o požarnem zidu Windows« (glejte sliko 23), lahko preberete kratke informacije o zmožnostih požarnega zidu (požarnega zidu), vključenega v Windows XP SP2.

Omenimo le, da je za razliko od izdelkov drugih proizvajalcev vgrajeni požarni zid Windows namenjen le nadzoru dohodnega prometa, tj. ščiti vaš računalnik le pred zunanjimi vdori. Ne nadzoruje odhodni promet vaš računalnik. Če je torej vaš računalnik že okužen s trojanskim konjem ali virusom, ki sam vzpostavlja povezave z drugimi računalniki, požarni zid Windows ne bo blokiral njihove omrežne dejavnosti.

Poleg tega požarni zid privzeto ščiti vse omrežne povezave, dohodna zahteva za odmev ICMP pa je onemogočena. To pomeni, da če je na vašem računalniku omogočen požarni zid Windows, je preverjanje prisotnosti takega računalnika v omrežju z ukazom PING nesmiselna naloga.

Zelo pogosto je v organizacijah, ki uporabljajo programsko opremo, ki zahteva omogočanje dohodnih povezav z uporabniškimi računalniki, potrebno odpreti nekatera vrata na računalnikih z nameščen Windows XP SP2. Če želite rešiti to težavo, morate nastaviti izjeme v nastavitvah požarnega zidu Windows. To težavo lahko rešite na dva načina:

1. Izjemo lahko nastavite tako, da določite program, ki zahteva dohodne povezave. V tem primeru bo požarni zid sam določil, katera vrata je treba odpreti, in jih bo odprl samo za čas izvajanja navedeni program(natančneje za čas, ko bo program poslušal ta vrata).

2. Izjemo lahko nastavite tako, da podate določeno pristanišče, s katerim program posluša dohodne povezave. V tem primeru bodo vrata vedno odprta, tudi ko se ta program ne izvaja. Z varnostnega vidika je ta možnost manj zaželena.

V nastavitvah požarnega zidu Windows lahko nastavite izjemo na več načinov. Uporabite lahko grafični vmesnik (slika 24). Ta možnost je podrobneje obravnavana v centru za pomoč in Podpora za Windows XP SP2. Uporabite lahko pravilnik domenske skupine. Ta možnost je boljša, če je v organizaciji veliko računalnikov. Oglejmo si ga podrobneje.

riž. 24. Zavihek Izjeme

Nastavitve požarnega zidu Windows v pravilniku skupine se nahajajo v vozlišču Konfiguracija računalnika, Administrativne predloge, Omrežje, Omrežne povezave, Požarni zid Windows.

Pri konfiguraciji prek pravilnika skupine morate konfigurirati dva profila:

1. Profil domene. Nastavitve v tem profilu se uporabljajo, ko je računalnik povezan v omrežje, ki vsebuje krmilnik domene organizacije.

2. Standardni profil. Nastavitve v tem profilu veljajo, ko računalnik ni povezan v omrežje, ki vsebuje krmilnik domene organizacije. Na primer, če se prenosni računalnik organizacije uporablja na službenem potovanju in je povezan z internetom prek ponudnika internetnih storitev. V tem primeru morajo biti nastavitve požarnega zidu bolj restriktivne kot nastavitve profila domene, saj se računalnik povezuje z javnim omrežjem mimo požarnih zidov svoje organizacije.

Poglejmo, kako nastaviti izjeme za program in za določena vrata. Kot konkreten primer vzemimo skrbniški strežnik Kaspersky Administration Kit, ki dostopa do računalnika, na katerem je nameščen Network Agent, da pridobi informacije o statusu protivirusne zaščite. V tem primeru je potrebno, da so na odjemalskem računalniku odprta vrata UDP 15000 ali da ima program “C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe” dovoljenje za prejemanje dohodnih sporočil.

Povezane informacije.

Windows 7 je najnovejši namizni odjemalski operacijski sistem podjetja Microsoft, ki je zgrajen s prednostmi in slabosti njegova predhodnika, Windows XP in Windows Vista. Vsi vidiki osnovnega operacijskega sistema, kot tudi storitve, ki jih izvaja, in način upravljanja aplikacij, naloženih vanj, so bili pregledani in sprejeti so bili ukrepi za izboljšanje njegove varnosti, kjer je to mogoče. Vse storitve so bile izboljšane, nove varnostne možnosti pa naredijo ta OS bolj zanesljiv. Windows 7 ponuja poleg nekaterih večjih izboljšav in novih storitev več funkcij varnost, izboljšane zmožnosti revizije in spremljanja ter zmožnosti povezave in šifriranja podatkov. V sistemu Windows 7 je nekaj izboljšav notranje varnosti za zagotavljanje varnosti notranjih sistemskih komponent, kot so zaščita s popravki jedra, utrjevanje storitev, preprečevanje izvajanja podatkov, naključna razporeditev naslovnega prostora (naključnost v postavitvi naslovnega prostora) in obvezne ravni integritete. (obvezne stopnje integritete).

Windows 7 je zasnovan tako, da je zanesljiv. Po eni strani je bil razvit kot del Microsoftovega življenjskega cikla varnostnega razvoja (SDL) in zasnovan tako, da podpira zahteve skupnih meril, kar mu je omogočilo pridobitev certifikata EAL (Evaluation Assurance Level) 4, ki izpolnjuje zahteve zvezne Standard za obdelavo informacij – FIPS) #140-2 Kdaj z uporabo sistema Windows 7 kot ločen sistem, ga je mogoče zaščititi z osebno varnostno opremo. Windows 7 vsebuje veliko različnih varnostnih orodij, vendar je v kombinaciji z Windows Server 2008 (R2) in Aktivni imenik ta OS postane neprebojni jopič. Z uporabo naprednih varnostnih tehnik iz orodij, kot je pravilnik skupine, lahko nadzorujete vse vidike varnosti svojih računalnikov. Če Windows 7 uporabljate v domači pisarni ali osebnem okolju, ga je mogoče tudi zaščititi, da se izognete številnim današnjim hekerskim tehnikam, sistem pa je mogoče hitro obnoviti po zrušitvi, tako da je združevanje z Windows 2008 bolj varno, ni potrebno za uživanje v visoki zmogljivosti raven varnosti v sistemu Windows 7. Upoštevati morate tudi dejstvo, da čeprav je Windows 7 po naravi varen, to ne pomeni, da se morate v celoti zanašati na standardno konfiguracijo in da vam ni treba naredite spremembe za izboljšanje varnosti. Ne pozabite tudi, da boste sčasoma izpostavljeni nevarnosti okužbe s kakšno zlonamerno kodo ali internetnim napadom, ko boste računalnik uporabljali v katerem koli javnem omrežju. Če se računalnik uporablja za katero koli vrsto javni dostop na internet postaneta vaš sistem in omrežje, s katerim je povezan, odprta za morebitne napade.

V tem članku bomo opisali osnove, o katerih morate vedeti pravilna nastavitev Varnost sistema Windows 7, doseganje želene ravni varnosti, spregovorite pa tudi o naprednih varnostnih možnostih in si oglejte nekaj manj znanih varnostnih funkcij, ki jih Windows 7 ponuja za preprečevanje in zaščito pred morebitnimi napadi. Preučili bomo tudi številne načine, kako lahko zaščitite svoje podatke in jih obnovite, če doživite napad ali kritično okvaro sistema. Ta članek predstavlja koncepte varnosti, kako utrditi Windows 7, kako namestiti in zavarovati delujoče aplikacije, kako upravljati varnost v sistemu Windows 7 in kako preprečiti težave, ki jih povzroči zlonamerna koda. Ta članek bo obravnaval tudi postopek zaščite podatkov, funkcije varnostnega kopiranja in obnovitve sistema, postopek obnovitve operacijskega sistema v prejšnje stanje ter kako obnoviti podatke in stanje sistema v primeru kritične okvare sistema. Ogledali si bomo tudi strategije za to hitro. Obravnavane bodo tudi teme varno delo v omrežju in internetu, nastavitve biometričnega nadzora za napredni nadzor dostopa in kako lahko Windows 7 pri delu z Windows Server 2008 (in Active Directory) uporablja nekatere integrirane možnosti nadzora, upravljanja in spremljanja. Namen tega članka je predstaviti vam varnostne funkcije, izboljšave in aplikacije sistema Windows 7 ter zagotoviti podrobnejšo sliko o tem, kako pravilno načrtovati in izvajati te varnostne funkcije. Vse teme, ki smo se jih tukaj dotaknili, bodo razdeljene in organizirane v ločene sklope.

Opomba: Ko delate v poslovnem ali drugem proizvodnem okolju, ne spreminjajte računalnikov vašega podjetja. Zagotovite, da delate v skladu z izdanim varnostnim načrtom ali politiko podjetja in upoštevate vse prakse, politike in smernice podjetja. Če niste seznanjeni z varnostnimi temami in Microsoftovimi izdelki, preberite dokumentacijo izdelka, preden spremenite svoj sistem.

Osnovne varnostne točke

Preden se poglobimo v posebnosti sistema Windows 7, je pomembno, da najprej predstavimo nekaj osnovnih varnostnih konceptov in kako jih načrtovati. Prav tako bomo morali vedeti, zakaj je spremljanje ključnega pomena za ohranjanje varnosti in kako pravilno spremljati varnostne ekipe glede težav. Prav tako je pomembno vedeti, kako nadzorovati svojo varnost in zaznati svojo morebitno izpostavljenost morebitnim napadom. Varnost ni nekaj, kar bi lahko naredili na hitro. Skrbno mora biti pripravljen in uporabljen za vsak tehnični vidik namestitve in mora biti vedno prisoten. Prav tako ga je treba natančno pretehtati pred namestitvijo in nenehno spremljati in revidirati po namestitvi. Upravljanje varnosti zahteva analizo za natančno nastavitev trenutne varnostne arhitekture in odkrivanje potencialnih napadov. V večini primerov bo vašo varnost preizkusil napadalec ali zlonamerna koda, da bi poiskali dostop, potencialno se lahko zaščitite s preventivnimi ukrepi, če opazite poskuse vdora ali okužbe. Z vodenjem dnevnikov in njihovim kasnejšim pregledom lahko najdete informacije o poskusih prijave v vaš usmerjevalnik, poskusih prijave kot skrbnik itd.

Dnevniki in opozorila so zelo uporabni, saj se lahko, če gre kaj narobe, na to hitro in pravilno odzovete z analizo izvornih naslovov IP ali poskusov prijave, ki jih zabeleži aplikacija za nadzor. Odziv na napad s podrobnim načrtom se imenuje "odziv na incident". Pripravljenost je ključnega pomena za odziv na incident, zato je načrt pred in po dogodku ključnega pomena za varnost. Načrt za obnovitev po katastrofi [včasih uporabljen v povezavi z načrtom neprekinjenega poslovanja (BCP)] bo vseboval strategijo za obnovitev po katastrofi. Nekatere IT ekipe prav tako dodelijo osebje za oblikovanje skupine za odzivanje na incidente, ki je odgovorna za razvoj načrta za odpravljanje težav in reševanje kritičnih težav, ki so posledica okvare sistema, izgube podatkov, omrežnih ali sistemskih napadov itd.

Torej bi morali domači uporabniki uporabiti isto strategijo, le na poenostavljeni ravni. Prav tako morate zaščititi svoje sisteme in se odzvati na okvare, zato vam lahko vnaprej izdelan dober načrt v prihodnosti zelo koristi. Dober primer preprost načrt bo na primer sledeče: če je vaš sistem okužen z zlonamerno kodo (na primer Trojan), boste morali znova namestiti svoj OS, če vsi drugi ukrepi in poskusi popravila ne uspejo. Če je temu tako, potem potrebujete člane skupine z dodeljenimi odgovornostmi, podrobnimi koraki (ali seznamom) in postopki pred incidentom, da se lahko ustrezno odzovete, in opraviti morate pregled, da zagotovite, da je po obnovi vse opravljeno pravilno. Razpoložljivost dostopa ali kopije namestitvene datoteke ali kateri koli drugi programi in aplikacije, preden jih potrebujete, vam lahko prihranijo čas, premišljen načrt pa vam lahko pokaže, kje iskati vsa potrebna orodja, ko je čas bistvenega pomena.

Opomba: Da bi vam pomagali pri načrtovanju in se bolje seznanili z varnostjo, lahko najdete sezname in načrte v razdelku z dodatnimi povezavami tega članka.

Prav tako bi morali čim pogosteje pregledati svoje načrte, zlasti po kritičnih težavah ali okvarah, in jim po potrebi dodati posebne ukrepe. Ko je vaš načrt pripravljen, razmislite o tem, da bi ga zgradili na osnovah velik znesek varnostne funkcije in storitve.

nasvet: Varnost je treba upoštevati in uporabiti za vsak sistem ali storitev, ki se uporablja, da se zmanjša tveganje, povezano z napadi, ki prihajajo iz katerega koli od njih med delovanjem. In če je varnost uporabljena na tak način, da lahko proaktivno preprečite napad (ali ga obnovite), boste imeli manj dela z odzivom na takšne napade in odgovorom zanje. Varnost, tudi na najosnovnejši ravni, je treba uporabiti na način, ki pozneje ščiti vaše podatke, tako da lahko svoje podatke pozneje uporabite za poznejšo uporabo, tudi če morate namestiti Windows od začetka. Varnosti ni mogoče prezreti.

Razmislite tudi o konceptualni in tehnični uporabi varnosti z uporabo varnostnega koncepta, imenovanega Defense in Depth. Varnost je treba premisliti in uporabiti za vse sisteme, storitve, aplikacije in omrežno opremo, ki ohranja vaš sistem delujoč in povezan z internetom. Objavljene politike in dobro premišljeni načrti zagotavljajo produktivnost uporabnikov sistema in jih seznanjajo s splošnimi politikami uporabe. Nenehno vzdrževanje bo zagotovilo rast vaše naložbe. Da bi preprečili nastanek lukenj v varnostni arhitekturi, je potrebno uporabiti načrtovanje in uporabiti varnostni model, ki uporablja koncept »Globinske obrambe«. Slika 1 prikazuje ta koncept na poenostavljeni ravni; lahko (in seveda morate) dodate dodatne plasti, odvisno od tega, kako je zgrajeno vaše domače ali poslovno omrežje.

Slika 1: Konceptualizacije in implementacija Defense in Depth

Defense v globinski zaščiti, kot je razvidno iz slike, lahko prilagodite svojim potrebam. V tem primeru je varnostna politika potrebna za zagotovitev varnih interakcij med uporabniki sistema in omrežja. Upoštevati je treba tudi utrjevanje vaših sistemov, telefonov, namizij, storitev, aplikacij, strežnikov, usmerjevalnikov, stikal in PBX-jev, da zagotovite pokritost vseh dostopnih točk. Prav tako je dobro imeti orodje za varnost javnega omrežja, kot je požarni zid, vendar morate vedno premikati te meje in dodajati stvari, kot so filtri in skenerji, da zagotovite celovitejšo podporo. Prav tako boste morali biti sposobni spremljati in voditi dnevnike vseh informacij za kasnejšo uporabo.

Windows 7 je bil zasnovan tudi za integracijo in uporabo v okoljih, ki morajo izpolnjevati visoke varnostne zahteve, kot so vladna in vojaška okolja. Ko razmišljamo o osnovnih varnostnih načelih sistema Windows, si je pomembno zapomniti, da mora biti vsak sistem proizvodnega razreda certificiran za raven varnosti C2 iz Oranžne knjige. Microsoft Windows mora izpolnjevati tudi zahteve za certifikacijo Common Criteria. Za Dodatne informacije Za te teme si oglejte članke, povezane v razdelku z dodatnimi referencami na koncu tega članka. Windows 7 je zelo prilagodljiv sistem in številne možnosti vam omogočajo, da ga konfigurirate za uporabo vseh njegovih funkcij (minimalna varnost) ali samo osnovne zmogljivosti in tiste operacije, ki ste jih konfigurirali za uporabo (najvišja raven varnosti). Windows 2008 in Windows 7 imata desetkrat izboljšano varnost, če sta operacijska sistema pravilno konfigurirana skupaj.

Opomba: Pomembno si je zapomniti, da zanikanje težave (ali morebitne težave) ni možnost. Težave, ki jih pustimo za pozneje ali jih v celoti prezremo, samo zapletejo situacijo. Lenoba vam bo kupila le nekaj časa. V neznanem ni varnosti. Neupoštevanje le še poveča težave pozneje, ko je potrebna skladnost. Skrbna uvedba varnosti na vašem domačem računalniku ali podjetju (enako pomembno) bo preprečila vdore in napade ter zagotovila večplastno zaščito, da bodo vaši sistemi bolj zanesljivi. Poznati morate osnove varnosti in kako ravnati pred napadi in po njih, če potrebujete zaščito.

Torej, zdaj, ko ste seznanjeni z osnovnimi koncepti varnosti, uporabimo tisto, kar smo se naučili pri konfiguriranju varnostnih nastavitev sistema Windows 7. Glede na to, da imamo znanje, zakaj je treba uporabiti varnost, kdaj jo uporabiti, in tudi poznamo razloge za upravljanje, spremljanje in posodabljanje, le te varnostne koncepte moramo uporabiti pri nastavitvi Windows sistemi 7. Je zelo enostavno, če veste, kaj morate storiti. Če ste novi v sistemu Windows ali imate težave z navajanjem na 7 (morda še niste uporabljali Viste), je pomembno, da si vzamete nekaj časa in se seznanite s temi orodji prek spletnih virov, kot sta TechNet ali Microsoftova podpora. Na primer, številne predloge in kontrolne sezname lahko najdete na spletu na Microsoft.com, ki vas bodo korak za korakom vodili skozi uporabo in uporabo varnosti v vašem sistemu Windows. Uporabna orodja najdete tudi v razdelku z dodatnimi povezavami na koncu tega članka.

Predloge niso zdravilo in imajo lahko včasih negativne posledice, če se nepravilno uporabljajo (ali nepravilno konfigurirajo), zato bodite vedno previdni, tudi če te predloge prenesete neposredno s spletnega mesta Microsoft.com. Zelo pomembno je, da vedno preberete dokumentacijo, ki je priložena predlogi, da jo lahko pravilno uporabite. Pravilno bi bilo tudi reči, da brez določenega poznavanja osnov samega OS oziroma poznavanja osnovnih principov delovanja OS še dolgo ne boste mogli zagotoviti visoke stopnje varnosti. Jasno razumevanje jedra OS in njegovih storitev je potrebno, če želite zagotoviti visoko stopnjo varnosti tudi po nastavitvi osnovne ravni varnosti. Razlog, zakaj je to pomembno za vsakogar, ki izvaja varnost OS, je vedenje, da se vaš sistem aktivno pregleduje in testira na ranljivosti. Vodenje dnevnikov dogodkov je izjemno uporabno, saj lahko nastavite nadzor (kot primer) in prejemate podrobne informacije o tem, kaj se dogaja z in znotraj vašega sistema. Večina (če ne vsi) dnevniki po naravi niso zelo jasni in lahko povzročijo težave z uporabo zelo splošnih izrazov ali strojnega jezika. Morate iti na splet in razvozlati skrivnost teh revij, kar z nekaj izkušnjami postaja vedno lažje. Prebrali boste veliko stvari, ki jih prej niste vedeli, našli pa boste tudi veliko orodij, ki jih boste želeli dodati v svojo orodjarno, ko jih boste preizkusili.

Potrebujete tudi določeno stopnjo prilagodljivosti pri uporabi varnosti, raven, ki vam bo omogočila nemoteno izpolnjevanje ciljev in zahtev podjetja (kot je dostop do interneta), hkrati pa ohranila visoko raven varnosti. Odličen primer je orodje za nadzor uporabniškega računa (UAC), ki lahko ob pravilni konfiguraciji zagotavlja visoko stopnjo varnosti ali pa ga lahko popolnoma onemogočite. Če onemogočite UAC, boste morali znova zagnati računalnik.

Orodje UAC se uporablja za preprečevanje programom ali aplikacijam spreminjanja operacijskega sistema računalnika. Deluje tako, da omeji dostop v jedru OS in nato uporabnikom zagotovi podrobne informacije o programu, ki se je poskušal namestiti ali spremeniti OS. To je koristno, ker vam daje možnost, da preverite, kaj program počne, in ukrepate, če ne želite, da program izvaja spremembe. UAC je bil prvič predstavljen v operacijskem sistemu Windows Vista, a ker ga ni bilo mogoče izklopiti, je veljal za "nadležnega", milo rečeno. Jezil uporabnike, ki se mu niso mogli izogniti. Razvijalci sistema Windows so imeli tudi veliko težav pri pisanju kode zaradi omejitev UAC in potrebnih rešitev. Zdaj, ko ni več operacijskega sistema Windows 7, je UAC mogoče izklopiti, s čimer v celoti odstranite varnostni sloj in omogočite večjo prilagodljivost in izbiro.

Pozor! Za zaščito vašega sistema ni priporočljivo, da popolnoma onemogočite UAC, ali če morate iz nekega razloga to storiti, ga ne pozabite znova omogočiti.

Namestitev in krepitev sistema Windows 7

Windows 7 je po naravi varen. Med namestitvijo OS je vedno priporočljivo izvesti novo namestitev OS na novo kupljeno (ali nadgrajeno) združljivo strojno opremo in jo nato utrditi. Utrjevanje sistema je postopek izboljšanja ravni varnosti na novo nameščenega osnovnega operacijskega sistema s prilagajanjem potrebnih varnostnih nastavitev, odstranjevanjem nepotrebne programske opreme in konfiguriranjem dodatnih nastavitev pravilnika.

Opomba O: Ko gre za izbiro strojne opreme za Windows 7, je treba opraviti nekaj načrtovanja, kajti če želite uporabljati virtualizacijo, upravljanje modula zaupanja vredne platforme Windows (TPM) in druge funkcije, kot je BitLocker, boste morali kupite ustrezno strojno opremo, da te funkcije delujejo.

Po pravilni namestitvi OS in njegovega osnovne nastavitve obstaja proces njegove krepitve. Ali naj vedno izvedem novo namestitev ali lahko utrdim svoj obstoječi OS Windows? Tehnično lahko sistem, ki ga že uporabljate, utrdite, a preden to storite, se morate z njim najprej seznaniti, ga analizirati, pregledati in seveda pregledati raven varnosti, ki je konfigurirana in uporabljena v tem sistemu. . Nima smisla krepiti sistema, ki je že vdrl. Prav tako ne veste vedno, kako bo varnostna aplikacija vplivala na proizvodni sistem, ne glede na to, ali se uporablja doma ali v poslovnem okolju. Včasih so ustvarjeni podvojeni sistemi, tako da je mogoče vse preizkusiti, vendar to zahteva čas in sredstva, vendar je vredno, saj pomaga najti in se izogniti težavam, ki lahko nastanejo pri izgradnji in uvajanju okolja. Lahko naredite več škode kot koristi, če ne veste, kako bodo spremembe varnostne konfiguracije ali vzorci vplivali na storitve v proizvodnem sistemu. Na primer, lahko uporabite varnostni model za sistem in s preveč strogimi pravili filtriranja na požarnem zidu preprečite, da bi določena aplikacija normalno delovala. Aplikacija na primer uporablja določena vrata, ki jih blokira požarni zid, kar bi blokiralo dostop aplikacije. To lahko povzroči Negativne posledice, če se aplikacija uporablja v podjetju in je bila potrebna za produktivnost, odpravljanje težave pa lahko zahteva nekaj časa in truda. Zato ga je lažje namestiti novi Windows 7 in ga nato okrepite, saj to ne bo vzelo veliko časa in vam bo omogočilo, da zagotovite čim večjo varnost. Lahko tudi pospešite postopek, zlasti če uporabljate navidezni stroj(VM) ali VHD, ki vam omogoča, da imate več primerkov svojih računalnikov, ki se izvajajo v virtualnem okolju, in omogoča tudi hitro obnovitev, če ni uporabljena redundanca. Ker virtualizacija poenostavi postopek namestitve, medtem ko ustvarja slike klonov za postopek varnostnega kopiranja, lahko zelo enostavno in hitro obnovite svoje računalnike. V nadaljevanju tega članka se bomo dotaknili postopka virtualizacije. Če je samodejni preklop omogočen in konfiguriran, uporabnik računalnika morda sploh ne opazi, da navidezni stroj ne deluje.

Sistem lahko utrdite in nato dostopate do zaščitenih podatkov prek pomnilnika z skupni dostop, baze podatkov in repozitoriji na visoka hitrost z uporabo možnosti samodejnega preklopa in redundance, ki ne bodo samo varovale informacij, temveč jih bodo ločile od podatkov, do katerih dostopate. Če boste vse pravilno načrtovali, boste lahko ustvarili slike, ki so popolnoma pripravljene, konfigurirane, zaščitene in posodobljene različice Windows in v primeru katastrofe obnovite sistemske slike nazaj v vašo strojno opremo v 1/3 časa, ki je potreben brez uporabe kloniranja slik in virtualizacije. Potem, ko obnovite osnovni OS, se lahko povežete s skupnim pomnilnikom, da dobite podatke, ki jih potrebujete.

Kakšni so torej dejanski koraki za utrjevanje operacijskega sistema po namestitvi? In ali obstaja poseben vrstni red za te korake? Če bi obstajal jasno opredeljen nabor korakov za namestitev in utrjevanje, bi šli v naslednjem osnovnem vrstnem redu: namestitev, odstranitev vsega, kar ni v uporabi, posodobitev sistema, uporaba osnovne varnosti in nato varnostno kopiranje za hitro okrevanječe je potrebno, kot je prikazano na naslednjem seznamu:

• Korak 1- Namestitev osnovnega OS z izbiro potrebnih možnosti za povečanje varnosti med namestitvijo in onemogočanjem nepotrebnih storitev, možnosti in programov.
• 2. korak- Namestitev vseh delujočih skrbniških kompletov, varnostnih orodij in potrebnih programov.
• 3. korak- Odstranitev nepotrebnih storitev, programov in aplikacij. Onemogočite ali izbrišite neuporabljene uporabniške in skupinske račune.
• 4. korak- Namestitev servisnega paketa, popravkov in posodobitev. Posodobite vse nameščene programe.
• 5. korak- Zaženite varnostno revizijo (skener, predloge, MBSA itd.), da pridobite informacije o trenutni ravni varnosti
• 6. korak- Zaženite obnovitev sistema in ustvarite obnovitveno točko. Aplikacije za varnostno kopiranje in obnovitev za obnovitev po zrušitvah sistema.
• korak 7 - Rezerva sistemi z možnostjo hitrega okrevanja po zrušitvi.

Ta seznam je precej preprost. Dodate lahko dodatne korake in ga razširite. Ta seznam ni popoln, vendar je dober začetek pri pridobivanju ideje o tem, kje začeti pri uporabi varnosti v sistemu Windows 7 po osnovni namestitvi. Če je izpolnjen nova namestitev Windows 7, potem je naslednji korak odstranitev neželene programske opreme, storitev, protokolov in programov, ki jih ne potrebujete. To lahko storite s pomočjo nadzorne plošče.

Nato lahko odprete nadzorno ploščo in nadzirate, komu bo dovoljena uporaba računalnika z aplikacijo Uporabniški računi. Tukaj morate izbrisati vse račune, ki jih ne potrebujete, ali jih preprosto onemogočiti. Seveda morate biti previdni pri standardnih uporabnikih in skupinah, saj so nekateri od njih povezani s storitvami, ki se izvajajo v operacijskem sistemu, lahko vplivajo tudi na način dostopa do podatkov v vašem sistemu itd. Račune lahko tudi preprosto onemogočite, če niste prepričani, da jih je mogoče izbrisati. Druga tehnika, ki jo uporablja večina strokovnjakov za varnost IT, je, da pustite lokalni skrbniški račun in ga pregledate glede poskusov izkoriščanja tega računa ali skrbniški račun domene, ki ga je treba dodatno zaščititi in v celoti pregledati. Kot običajna praksa se strokovnjaki izogibajo uporabi vgrajenih računov pri upravljanju velikih omrežij Microsoftovih sistemov in ustvarijo nove skrbniške račune, katerih dejavnost je po potrebi mogoče enostavno spremljati. Z revizijo teh računov in uporabo novih računov s skrbniškimi pravicami podvojite raven varnosti. Prvič, lahko ugotovite, ali se nekdo poskuša prijaviti v vaš sistem s standardnimi računi, čeprav se to ne bi smelo zgoditi. Z revizijo lahko sledite takim poskusom, če se zgodijo. Ta aplikacija za zaščito računov je znana kot honeypot in je uporabna pri iskanju morebitnih nepooblaščenih poskusov dostopa do sistema. Drugič, odstranite polovico enačbe, ko nekdo poskuša vdreti v račun prek osnovnih poverilnic, kot sta uporabniško ime in geslo. Če odstranite poverilnice, ki jih je enostavno vdreti, vam preostane le še nastavitev kompleksne in močno geslo, ki ga bo težko vdreti. Če nastavite vgrajene račune kot vabo, lahko ustvarite geslo, ki ga je zelo težko razbiti, in ta račun toliko omejite, da napadalec ne more narediti ničesar v vašem sistemu, če je ogrožen. Prav tako morate spremeniti vsa vgrajena gesla za račune v bolj zapletena. Uporabite najboljše izbirne tehnike varna gesla za zaščito teh računov in njihovo popolno revizijo. Nastaviti bi morali tudi politiko, ki prisili končne uporabnike, ki želijo spremeniti svoje geslo, da gredo skozi postopek, v katerem smejo uporabljati samo geslo, ki je dovolj močno in močno. To je samo en nasvet za utrjevanje, ki zagotavlja prednosti, kot je možnost iskanja vsiljivcev prek dnevnikov in revizij.

Namig Opomba: Windows Server 2008 vam omogoča namestitev "jedrne" funkcionalnosti, ki je postopek utrjevanja, uporabljen v sistemu med namestitvijo. Ko bo strežnik nameščen, bo deloval samo z minimalnim naborom funkcij, ki jih izberete, kar zmanjša tveganje izpostavljenosti napadalnim orodjem. Windows 7 je mogoče utrditi, vendar nima enake možnosti namestitve kot 2008, kar preprosto omejuje sistem med namestitvijo. Če želite okrepiti Windows 7, morate uporabiti pravilnike, predloge in pravilno ročno konfigurirati varnostne nastavitve.

Glede na vse zgoraj navedeno, kako uporabljati funkcijo limit in Windows zaščita 7? Večina na preprost načinČe želite začeti postopek omejevanja sistema, uporabite meni Start za iskanje vsega, kar je povezano z varnostjo, shranjeno v sistemu in indeksirano. Če želite to narediti, preprosto pritisnite gumb Start, da odprete meni. Nato vnesite ključno besedo "varnost" v polje "Iskanje programov in datotek". Slika 3 prikazuje možnosti menija Start, vrnjene z iskanjem ključna beseda"Varnost".

Slika 3: Iskanje in ogled varnostnih možnosti, najdenih v meniju Start

To prikazuje programe, aplikacije (ali dejanja) nadzorne plošče, dokumente in datoteke, izbrane in organizirane za enostaven ogled in dostop. Skratka, lokalna varnostna politika (če je izbrana) je urejevalnik politik, ki vam omogoča ogled in prilagajanje varnostnih politik vašega sistema. Urejevalnik lokalnih varnostnih pravilnikov je prikazan na sliki 4. Tu lahko naredite potrebne spremembe katerega koli pravilnika glede na nastavitve OS.

Nasvet: Za popoln nadzor nad pravilniki morate uporabljati Windows 7 z izdelki Windows Server, kot je Windows Server 2008 R2. V tem primeru lahko izkoristite Active Directory (AD) in pravilnik skupine.

Če želite lokalno konfigurirati nadzor določenega dogodka (na primer prijave in odjave), lahko to dejanje določite v konzoli lokalne varnostne politike (slika 4). Na nadzorni plošči lahko odprete aplikacijo Skrbniška orodja in poiščete urejevalnik lokalne varnostne politike ali pa ga preprosto poiščete v meniju Start. Ko se Windows 7 uporablja z imenikom Active Directory, lahko uporabite pravilnik skupine, ki je robustna storitev, ki vam omogoča konfiguriranje, upravljanje in uvajanje nastavitev in nastavitev. programske aplikacije, vendar boste morali Windows 7 pridružiti veljavni domeni in jo ustrezno upravljati, če želite izkoristiti vse te funkcije.

Če morate nastaviti varnost na podlagi pravilnika, je to najpreprostejši način. Veliko orodij, ki jih potrebujete za konfiguracijo, najdete na nadzorni plošči in/ali v MMC po meri, ki ga konfigurirate in namestite. Microsoftov varnostni center (Windows Vista, XP) je bil v preteklosti uporabljen za centralizacijo večine varnostnih funkcij. Nadomestil ga je Action Center in zdaj je varnostna dejanja zelo enostavno najti, si jih ogledati in izvesti s posebnimi dovoljenji. Na primer, kot je prikazano v meniju Start (slika 3), dejanje »Preveri varnostno stanje«, ko je izbrano, ponuja seznam varnostnih nastavitev, ki jih priporoča Windows 7, na primer posodobitev sistema ali programov, kot je protivirusni program (AV ). Če izberete dejanje, vas bo sistem poslal v akcijski center, da odpravite obstoječe težave.

Slika 5: Konfiguriranje varnostnih dejanj in možnosti aplikacije nadzorne plošče

nasvet: Slika 5 prikazuje varnostna dejanja, ki jih lahko izvajate na nadzorni plošči. Če greste v meni Start, vnesete "varnost" in kliknete Nadzorna plošča, se vam prikaže seznam dejanj in varnostnih nastavitev, ki jih lahko takoj konfigurirate v obliki lahko razumljivega seznama.

V akcijskem središču (ali pri ogledu seznamov dejanj) se lahko preprosto pomaknete navzdol po seznamu in ustrezno prilagodite vsak element. to kratek pregled Varnostne možnosti, ki jih je mogoče konfigurirati na seznamu akcijskega centra:

• Center za ukrepanje" Action Center nadomešča Security Center. V Action Centeru lahko določite dejanja, ki jih bo izvajal OS. Z vašim dovoljenjem se lahko izvajajo dejanja. To vam bo povedalo, ali vaš protivirusni program ni posodobljen. Lahko greste v Action Center za izvajanje dejanj, povezanih z varnostjo.
• Internetne možnosti" Brskanje po spletu katere koli vrste odpira vrata potencialnim tveganjem, povezanim z internetom. Če uporabljate proxy strežnik, uporabljate spletno filtriranje (in spremljanje) in nenehno posodabljate svoj OS z najnovejšimi posodobitvami, se lahko znajdete v situaciji, ko varnost je lahko ogrožena.V aplikaciji Nadzorna plošča internetnih možnosti lahko določite varnostna območja, dovolite dostop samo do določenih URL-jev, razširite napredne varnostne nastavitve na zavihku Napredno in še veliko več.Sam brskalnik je opremljen s filtrom lažnega predstavljanja, ki preprečuje napade lažno predstavljanje in ima tudi druge prilagodljive možnosti, kot je brskanje InPrivate, ki vam ne dovoljuje shranjevanja osebne informacije, kar je še posebej uporabno pri uporabi računalnika v javnih internetnih kavarnah.
• Požarni zid Windows"kot kateri koli drug programski ali strojni požarni zid, požarni zid Požarni zid Windows lahko privzeto prepreči osnovne napade in ga je mogoče konfigurirati na številne načine za visoko raven nadzora nad tem, kaj lahko vstopi in izstopi iz vašega računalniškega sistema, ko je povezan z javnim oz. zasebno omrežje. Če odprete nadzorno ploščo in izberete Požarni zid Windows, boste imeli dostop do večine možnosti konfiguracije požarnega zidu. V pogovornem oknu lahko kliknete gumb Napredno za dostop do dodatnih parametrov in možnosti konfiguracije. V sistemu Windows 7 lahko uvedete več pravilnikov požarnega zidu hkrati in uporabite označevanje domene za lažjo konfiguracijo in upravljanje požarnega zidu Windows.
• Personalizacija"Možnosti personalizacije so tiste, kjer lahko spreminjate videz Windows, tukaj pa lahko nastavite gesla za ohranjevalnik zaslona. Če se Windows 7 uporablja v podjetju, je treba uporabnike naučiti, kako zakleniti svoje delovne postaje, kadar koli zapustijo svoje prostore. delovnem mestu ali ustvarite nastavitve pravilnika, ki bi to naredile samodejno po določenem obdobju nedejavnosti sistema; Ohranjevalnik zaslona, ​​če je konfiguriran tako, da vas pozove, da se znova prijavite po tem obdobju, je lahko zelo koristen. Doma je to lahko vaša najboljša obrambna linija, če pustite računalnik in ga pozabite zakleniti.
• Windows posodobitve"vse različice programsko opremo zahtevajo določeno stopnjo popravka. Lahko pripravite, testirate in poskušate razviti popoln izdelek, vendar je nemogoče upoštevati vse. Prav tako so potrebne posodobitve in nove izdaje programske opreme, da bo vaš sistem med uporabo posodobljen. Ker obstajajo izboljšave sistema, zahteve za druge razvojne tehnologije, nove varnostne ranljivosti in posodobitve gonilnikov za boljše delovanje in funkcionalnost, bo vedno potrebna uporaba Windows Update. Posodobitve sistema Windows (in Microsoft) ali proizvodne različice upravljanja popravkov (kot je WSUS) se uporabljajo za centralno upravljanje in nameščanje posodobitev. Ta orodja se uporabljajo za nadzor, sledenje in spremljanje vaših trenutnih in prihodnjih potreb po posodobitvah. Nastavite samodejne posodobitve ali pa se navadite, da jih izvajate ročno, ker jih je preprosto treba narediti. Če svojega sistema ne posodobite, kot je priporočeno (in včasih zahtevano), se izpostavljate nevarnosti napada.
• Programi in lastnosti"poleg tega Windows posodobitve Posodobitve Prav tako morate pogosto preverjati, kaj je nameščeno v vašem sistemu, zlasti če delate na internetu in/ali prenašate programske izdelke z internetnih strežnikov. Na primer, namestitev preproste posodobitve Jave, če med namestitvijo niste natančno prebrali informacij o njej, lahko v vaš sistem namesti tudi orodno vrstico, ki se integrira v vaš spletni brskalnik. To je zdaj strožje nadzorovano, v vsakem primeru pa morate občasno preveriti, kaj je nameščeno v vašem sistemu.
• Windows Defender " vohunska programska oprema so aplikacije, ki so bile prvotno uporabljene za dejavnosti nezakonitega trgovanja in delujejo kot na primer povečanje obremenitve, preusmeritev brskalnika in pošiljanje informacij o vaših dejavnostih. čeprav protivirusni programi blokirate nekatere od teh aplikacij, uporabite Windows Defender (ali drugo programsko opremo za odstranjevanje vohunske programske opreme) za čiščenje preostale vohunske programske opreme. Čeprav so piškotki po naravi neškodljivi, je včasih mogoče manipulirati v nezakonite namene. Prepričajte se, da je Windows Defender pogosto posodobljen z novimi definicijskimi datotekami in popravki, da lahko zazna najnovejšo vohunsko programsko opremo. SpyNet je skupnost, na katero se Microsoftovi strokovnjaki obrnejo, da spremljajo, preučujejo in popravljajo škodo zaradi vohunske programske opreme.
• Uporabniški računi"Nadzor uporabniškega računa je osnova za zaščito dostopa do vašega računalnika in vsega, kar se na njem izvaja. Na primer, če ustvarite nov uporabniški račun in ga dodate v skupino Administratorji, boste imeli popoln dostop do računalniškega sistema. .Če nastavite račun kot standardni uporabnik, bodo njegova dovoljenja zelo omejena in vam bodo omogočala samo izvajanje nekaterih osnovnih uporabniških funkcij.Nastavite lahko tudi gesla, ki bodo uporabnike, ki so ustvarjena v skladu z zahtevami politike gesel, prisilila k ustvarjanju gesla, ki jih je težko razbiti, kar preprečuje večino osnovnih napadov. Če sta nameščena Windows Server 2008 in Active Directory, lahko dostopate do domene, ki vam (če ste njen član) omogoča večjo prilagodljivost pri konfiguriranju dovoljenj datotečnega sistema NTFS za mape in datoteke ter druge vire v skupni rabi, kot so tiskalniki.
• Možnosti napajanja"V aplikaciji Power Options Control Panel konfigurirate privzeto vedenje operacijskega sistema, ko je izklopljen, zaprt ali v načinu spanja. Za večjo varnost priporočamo, da nastavite možnost zahtevanja gesla, ko se naprava zbudi Uporabite jo, kadar koli se pojavi možnost za omogočanje nadzora uporabniškega dostopa.

Torej, če morate uvesti varnostne ukrepe v sistemu Windows 7, lahko meni Start dobro služi kot izhodišče za krepitev sistema in odpre vrata številnim razpoložljivim orodjem. Za utrjevanje sistema Windows 7 lahko uporabite številne možnosti, zlasti nadzorno ploščo. Uporaba menija Start je tudi preprost način za zagotavljanje primarne obrambne linije za vaš sistem po začetni namestitvi. Priporočljivo je, da ustvarite varnostno osnovo po začetni namestitvi in ​​konfiguraciji vašega sistema, kar bo zahtevalo, da konfigurirate vse varnostne nastavitve, aplikacije ter prenesete popravke in posodobitve ter nato ustvarite varnostno kopijo celoten sistem s pomočjo pripomočka za obnovitev sistema. Tako boste dobili posnetek sistema v svežem stanju, če boste morali vrniti sistem v to stanje. Možno je ustvariti obnovitveno točko, ki jo je mogoče uporabiti, če je bil sistem ogrožen, in to vam bo omogočilo vrnitev sistema v osnovno stanje z uporabljenimi varnostnimi nastavitvami. Možnosti obnovitve sistema si bomo ogledali v razdelku Obnovitev po katastrofi v tem članku.

Zahvaljujemo se vam za zanimanje za naše spletno mesto. Podjetje, ki se ukvarja z informatiko, obstaja od leta 2006 in se ukvarja z zunanjim izvajanjem IT storitev. Zunanje izvajanje je prenos nujnega, a nepomembnega dela za podjetje na drugo organizacijo. V našem primeru je to: ustvarjanje, podpora in vzdrževanje spletnih mest, promocija spletnih mest v Iskalniki, podpora in skrbništvo strežnikov, na katerih se izvaja Debian GNU/Linux.

Joomla strani

V sedanjem času informacij postane spletna stran de facto vsaj vizitka organizacije, pogosto pa tudi eno od poslovnih orodij. Že zdaj nastajajo spletne strani ne samo za organizacije in posameznike, ampak tudi za posamezno blago, storitve in celo dogodke. Danes spletna stran ni samo vir oglaševanja za ogromno občinstvo, temveč tudi orodje za prodajo in navezovanje novih stikov. Izdelujemo spletne strani s pomočjo CMS Joomla! Ta sistem za upravljanje vsebin je preprost in intuitiven. Je zelo razširjena in zato je na internetu veliko informacij o njej. Najti strokovnjaka, ki dela z Joomlo, je tudi enostavno. In ni vam treba iti daleč! Naše podjetje IT specialist se ukvarja z vzdrževanjem in podporo strani na Joomla! Vse bomo porabili inženirska dela, bomo poskrbeli za vso korespondenco z gostiteljem in registrarjem domene, napolnili stran in posodobili podatke na njej. In čeprav je Joomla enostavna za uporabo, je intuitivna. Toda ali boste sami redno opravljali potrebna dela na spletnem mestu? Koliko časa vam bodo vzeli? Če se želite osredotočiti na svoj posel, potem podporo vaše spletne strani zaupajte nam. Naredili bomo vse, kar je v naši moči, da bo spletno mesto ostalo živo in uporabno za lastnika.
Če ste komercialna organizacija, ki oglašuje ali prodaja svoje blago in storitve na internetu, potem preprosto potrebujete promocijo spletne strani v iskalnikih. Konec koncev, če želite nekaj prodati, potrebujete vsaj to, da se to vidi, da ljudje vedo za to. In pri tem vam bomo pomagali, promovirali bomo vašo stran Joomla v iskalnikih. Glede na konkurenco in proračun, dodeljen za promocijo, bo vaše spletno mesto zasedlo dostojne položaje v rezultatih iskanja. Spletno mesto bo povečalo vaš dobiček!

Strežniki Debian

Mnoga podjetja se slej ko prej v želji po odprtosti in transparentnosti svojega poslovanja soočijo s potrebo po zagotavljanju licenčne čistosti programske opreme, ki jo uporabljajo. Vendar pa stroški licenčnin niso vedno sprejemljivi, zlasti za mala in srednje velika podjetja. Izhod iz te težke situacije je odločitev za prehod na Odprtokodno tehnologije. Deluje eno od področij odprte kode sistem Linux(Linux). Zaposleni v našem podjetju so specializirani za Debian Linux. To je najstarejša in najbolj stabilna distribucija operacijskega sistema Linux. Ponujamo vam storitve implementacije Debian Linuxa v vaše podjetje, konfiguracijo, vzdrževanje in podporo strežnikov.

Informiranje in oglaševanje

Varnostna politika je nabor parametrov za uravnavanje varnosti osebnega računalnika z njihovo uporabo na določenem objektu ali skupini objektov istega razreda. Večina uporabnikov redko spremeni te nastavitve, vendar obstajajo situacije, ko je to potrebno. Ugotovimo, kako izvesti te korake v računalnikih z operacijskim sistemom Windows 7.

Najprej je treba opozoriti, da je varnostna politika privzeto konfigurirana optimalno za opravljanje vsakodnevnih nalog navadnega uporabnika. Manipulirati je treba le, če je treba rešiti določeno težavo, ki zahteva prilagoditev teh parametrov.

Varnostne nastavitve, ki jih gledamo, so nadzorovane z GPO. V sistemu Windows 7 lahko to storite z orodji oz "Urejevalnik pravilnika lokalne skupine". Predpogoj je prijava v sistemski profil s skrbniškimi pravicami. Nato si bomo ogledali obe možnosti.

1. način: Uporaba orodja za lokalno varnostno politiko

Najprej preučimo, kako rešiti težavo z orodjem "Lokalna varnostna politika".

1. Za zagon določenega snap-ina kliknite "Začni" in pojdi na "Nadzorna plošča".



2. Nato odprite razdelek "Sistem in varnost".



3. Kliknite "Administracija".



4. Iz predlaganega nabora sistemskih orodij izberite možnost "Lokalna varnostna politika".

   

   Snap-in lahko zaženete tudi skozi okno "teči". Če želite to narediti, pokličite Win+R in vnesite naslednji ukaz:

   Nato kliknite "V REDU".



5. Zagnali se bodo zgornji koraki GUIželeno orodje. V veliki večini primerov je treba prilagoditi parametre v mapi "Lokalni politiki". Nato morate klikniti element s tem imenom.



6. Ta imenik vsebuje tri mape.

   V imeniku določijo se pooblastila posameznih uporabnikov ali skupin uporabnikov. Na primer, lahko določite, ali je posameznikom ali kategorijam uporabnikov prepovedano ali dovoljeno izvajanje določenih nalog; določiti, komu je dovoljen lokalni dostop do računalnika in komu samo prek omrežja itd.

   V katalogu "Revizijska politika" Določeni so dogodki, ki se beležijo v varnostni dnevnik.

   V mapi "Varnostne nastavitve" določene so različne skrbniške nastavitve, ki določajo vedenje OS pri vnosu vanj lokalno in prek omrežja ter interakcijo z razne naprave. Teh parametrov ne smete spreminjati, razen če je to nujno potrebno, saj je večino pomembnih težav mogoče rešiti s tem standardna nastavitev računi, starševski nadzor in dovoljenja NTFS.

   

7. Za nadaljnje ukrepe za problem, ki ga rešujemo, kliknite na ime enega od zgornjih imenikov.



8. Odpre se seznam pravilnikov za izbrani imenik. Kliknite tisto, ki jo želite spremeniti.



9. Po tem se odpre okno za urejanje pravilnika. Njegova vrsta in dejanja, ki jih je treba izvesti, se bistveno razlikujejo od kategorije, v katero spada. Na primer za predmete iz mape "Dodeljevanje uporabniških pravic" v oknu, ki se odpre, morate dodati ali izbrisati ime določenega uporabnika ali skupine uporabnikov. Dodajanje poteka s pritiskom na gumb »Dodaj uporabnika ali skupino ...«.

   

   Če želite odstraniti element iz izbranega pravilnika, ga izberite in kliknite "Izbriši".



10. Ko končate manipulacije v oknu za urejanje pravilnika, ne pozabite klikniti gumbov, da shranite izvedene prilagoditve "Uporabi" in "V REDU", sicer spremembe ne bodo veljale.

Spreminjanje varnostnih nastavitev smo opisali na primeru dejanj v mapi "Lokalni politiki", vendar po isti analogiji lahko izvajate dejanja v drugih imenikih opreme, na primer v imeniku "Politike računa".

2. način: uporaba orodja za urejanje pravilnika lokalne skupine

Uglasi lokalna politika možna je tudi uporaba opreme "Lokalni urednik" pravilnik skupine» . Vendar pa ta možnost ni na voljo v vseh izdajah operacijskega sistema Windows 7, ampak samo v Ultimate, Professional in Enterprise.

1. Za razliko od prejšnje opreme, to orodje ni mogoče zagnati prek "Nadzorna plošča". Aktivira se lahko le z vnosom ukaza v okno "teči" ali v « Ukazna vrstica» . Dial Win+R in v polje vnesite naslednji izraz:

   Nato kliknite "V REDU".