Operativsystemet Windows XP har ett utvecklat säkerhetssystem, som dock måste konfigureras. Vi hoppas att du förstår att Windows XP måste installeras på NTFS-partitioner, vilket är anledningen filsystem FAT32 rekommenderas inte av säkerhetsskäl (inbyggd säkerhet kan helt enkelt inte implementeras med FAT32).

Om du använder filsystemet FAT 32 kommer nästan alla påståenden i detta avsnitt att vara meningslösa för dig. Det enda sättet aktivera alla filsystemsbehörigheter - konvertera disken till NTFS-format.

Efter en ren installation av Windows XP fungerar standardsäkerhetsinställningarna som på/av-knappar. Detta gränssnitt kallas som standard Enkel fildelning. Denna konfiguration har en låg säkerhetsnivå, nästan identisk med standarden. Windows-konfiguration 95/98/Mig.

Om du inte är nöjd med den här konfigurationen kan du dra nytta av den fulla kraften hos filbehörigheter i Windows 2000. För att göra detta öppnar du en slumpmässig mapp i Utforskaren och väljer Verktyg -> Mappalternativ. Gå till fliken Visa, hitta kryssrutan Använd fildelning (rekommenderas) i listan och avmarkera den.

När du stänger av enkel delning visas en säkerhetsflik i valfri mapps dialogruta för egenskaper. Detsamma gäller för att utfärda filbehörigheter. Alla behörigheter lagras i åtkomstkontrollistor (ACL).

Följ dessa grundläggande principer när du ställer in och tar bort behörigheter:

1. Arbeta uppifrån och ner.
2. Håll delade datafiler tillsammans.
3. Arbeta med grupper där det är möjligt.
4. Använd inte speciella behörigheter.
5. Ge inte användarna fler behörigheter än vad som är absolut nödvändigt (principen om minsta behörigheter).

Ställer in behörighet från kommandoraden

Med kommandoradsverktyget cacls.exe som är tillgängligt i Windows XP Professional kan du visa och ändra behörigheterna för filer och mappar. Cacls är en förkortning för Control ACLs - hantering av åtkomstkontrolllistor.

Kommandoradsväxlar för cacls-verktyget:

• /T - Ändra åtkomstbehörigheter angivna filer i den aktuella mappen och alla undermappar
• /E - Ändra åtkomstkontrolllistan (inte ersätt den helt)
• /C - Fortsätt om ett "access denied"-fel inträffar
• /G - användare:behörighet Tilldelar den angivna behörigheten till användaren. Nyckellös
• /E - ersätter helt nuvarande behörigheter
• /R - användare Återkallar åtkomsträttigheter för den aktuella användaren (används endast med /E-växeln)
• /P - användare:behörighet Åsidosätter de angivna användarbehörigheterna
• /D - användare nekar användaren åtkomst till objektet

Med tangenterna /G och /P måste du använda en av bokstäverna nedan (istället för ordet permission):

• F (Full kontroll) – Motsvarar att kryssrutan Full kontroll på fliken Säkerhet.
• C (ändra) – identisk med kryssrutan Tillåt ändring
• R (läs) – motsvarar att markera kryssrutan Tillåt läsning och kör
• W (skriv) – motsvarar att markera kryssrutan Tillåt skrivning (skriv).

Microsoft Windows XP hjälper till att förhindra att känslig data hamnar i orätta händer. Krypterar filsystem Filsystem- EFS) krypterar filer på disk. Var dock medveten om att om du tappar bort dekrypteringsnyckeln kan data anses vara förlorad. Därför, om du bestämmer dig för att dra nytta av fördelarna med EFS, måste du skapa kontoåterställningsagent, en säkerhetskopia av sitt eget certifikat och återställningsagentens certifikat. Om du föredrar att arbeta med kommandoraden kan du använda programmet cipher.exe.

Chifferkommandot utan parametrar visar information om den aktuella mappen och filerna som finns i den (oavsett om de är krypterade eller inte). Nedan är en lista över de vanligaste chifferkommandoalternativen:

• /E - Kryptera angivna mappar
• /D - Dekryptering av de angivna mapparna
• /S:folder - Operationen gäller mappen och alla kapslade undermappar (men inte filer)
• /A - Åtgärden tillämpas på de angivna filerna och filerna i angivna mappar
• /K - Skapar en ny krypteringsnyckel för användaren som startade programmet. Om denna nyckel anges ignoreras alla andra
• /R - Skapa en filåterställningsagentnyckel och certifikat. Nyckeln och certifikatet placeras i .CFX-filen och en kopia av certifikatet placeras i .CER-filen
• /U - Uppdatera användarens krypteringsnyckel eller återställningsagent för alla filer på alla lokala diskar
• /U /N - Lista alla krypterade filer på lokala enheter utan någon annan åtgärd

Felsökning av behörighetsproblem (Data Recovery Agent)

Administratören utses vanligtvis som Data Recovery Agent. För att skapa en återställningsagent måste du först skapa ett dataåterställningscertifikat och sedan utse en av dina användare som sådan agent.
För att skapa ett certifikat måste du göra följande:

1. Du måste logga in som administratör
2. Ange chiffer /R på kommandoraden: filnamn
3. Ange lösenordet för nyskapade filer

Certifikatfilerna har tilläggen .PFX och .CER och det namn du anger.

UPPMÄRKSAMHET! Dessa filer tillåter alla användare på systemet att bli en återställningsagent. Se till att kopiera dem till en diskett och förvara dem på ett säkert ställe. Efter kopiering, radera certifikatfilerna från din hårddisk.

Så här tilldelar du en återställningsagent:

1. Logga in med kontot som ska bli dataåterställningsagent
2. I Certifikatkonsolen, gå till avsnittet Certifikat – Nuvarande användaren-> Personligt (nuvarande användare -> Personligt)
3. Åtgärd -> Alla uppgifter -> Importera (Åtgärder -> Alla uppgifter -> Importera) för att starta guiden Certifikatimport
4. Importera återställningscertifikatet

Om du använder krypteringsverktyg felaktigt kan du göra mer skada än nytta.

1. Kryptera alla mappar där du lagrar dokument
2. Kryptera mapparna %Temp% och %Tmp%. Detta kommer att säkerställa att alla temporära filer är krypterade
3. Aktivera alltid kryptering för mappar, inte filer. Då krypteras alla filer som sedan skapas i den, vilket visar sig vara viktigt när man arbetar med program som skapar sina egna kopior av filer vid redigering, och sedan skriver över kopiorna ovanpå originalet
4. Exportera och skydda ditt återställningsagentkontos privata nycklar och ta sedan bort dem från din dator
5. Exportera personliga krypteringscertifikat för alla konton
6. Ta inte bort återställningscertifikat när du ändrar policy för återställningsagent. Behåll dem tills du är säker på att alla filer som skyddas av dessa certifikat inte kommer att uppdateras.
7. När du skriver ut, skapa inte tillfälliga filer eller kryptera mappen där de kommer att skapas
8. Skydda din sidfil. Det bör tas bort automatiskt när du avslutar Windows

Säkerhetsmallbyggare

Säkerhetsmallar är vanliga ASCII-filer, så i teorin kan de skapas med en vanlig textredigerare. Det är dock bättre att använda snapin-modulen Säkerhetsmallar i Microsoft Management Console (MMC). För att göra detta, på kommandoraden måste du ange mmc /a i den här konsolen, välj menyn Arkiv – Lägg till/ta bort. I dialogrutan Lägg till fristående Snap-in väljer du Säkerhetsmallar – Lägg till.
Utrustningshantering

Säkerhetsmallar finns i mappen \%systemroot%\security\mallar. Antalet inbyggda mallar varierar beroende på version operativ system och installerade servicepack.

Om du expanderar någon mapp i säkerhetsmallar kommer den högra rutan att visa mappar som motsvarar kontrollerade element:

• Kontopolicyer – hantera lösenord, lås och Kerberos-policyer
• Lokala policyer – hantera granskningsinställningar, användarrättigheter och säkerhetsinställningar
• Händelselogg – hantera systemloggparametrar
• Begränsade grupper – definierar delar av olika lokala grupper
• Systemtjänster – aktivera och inaktivera tjänster och tilldela rätten att ändra systemtjänster
• Register – tilldela behörigheter för att ändra och visa registernycklar
• Filsystem – hantera NTFS-behörigheter för mappar och filer

Skydd mot Internetanslutning

För att säkerställa säkerheten när du ansluter till Internet måste du:

• Aktivera brandvägg för Internetanslutning eller installera en brandvägg från tredje part
• Inaktivera fil- och skrivardelning för Microsoft-nätverk

En brandvägg för Internetanslutning är en mjukvarukomponent som blockerar oönskad trafik.

• Aktiverar brandvägg för Internetanslutning.
• Öppna Kontrollpanelen – Nätverksanslutningar
• Högerklicka på den anslutning du vill skydda och välj Egenskaper från menyn
• Gå till fliken Avancerat, markera kryssrutan Säkra min internetanslutning

Slutsats

Introduktion

Om din dator är ansluten till datornätverk(oavsett om det är internet eller ett intranät), så är det sårbart för virus, skadliga attacker och andra intrång. För att skydda din dator från dessa faror måste du hålla den igång hela tiden. brandvägg(brandvägg) och antivirusprogram (med senaste uppdateringarna). Dessutom är det nödvändigt att alla de senaste uppdateringarna också är installerade på din dator.

Inte alla användare kan ständigt övervaka detta. Inte alla användare vet hur man gör detta. Och även om användaren är kompetent i dessa frågor, kanske han helt enkelt inte har tillräckligt med tid för sådana kontroller. Microsoft tog hand om alla dessa användare genom att inkludera ett sådant verktyg i SP2 för Windows XP. Det heter "" (Windows Säkerhetscenter) (Figur 1).

Ris. 1. Provisionscenter Windows säkerhet

Huvudsyftet med detta verktyg är att informera och vägleda användaren i rätt riktning. För det första övervakar den ständigt tillstånden för de tre viktigaste OS-komponenterna (brandvägg, antivirus, automatiskt uppdateringssystem). Om inställningarna för någon av dessa komponenter inte uppfyller datorns säkerhetskrav kommer användaren att få ett meddelande. Till exempel, i fig. Figur 2 visar en av dessa meddelanden.

Ris. 2. Varna

För det andra, när du öppnar Windows Security Center, kan användaren inte bara få specifika rekommendationer om hur man fixar den aktuella situationen, utan också ta reda på var andra inställningar relaterade till datorsäkerhet finns och var på Microsofts webbplats kan du läsa ytterligare information för att garantera säkerheten.

Det bör omedelbart noteras att när du ansluter en dator till en domän, visar Windows Säkerhetscenter ingen information om datorns säkerhetsstatus (Fig. 3) och skickar inga säkerhetsmeddelanden. I det här fallet tror man att säkerhetsinställningar bör hanteras av en domänadministratör.

För att aktivera Windows Security Center för en dator som är en del av en domän måste du aktivera inställningen Datorkonfiguration, Administrativa mallar, Windows-komponenter, Säkerhetscenter, Aktivera säkerhetscenter i domänens grupprincip (endast för datorer i domänen). ) ".

Ris. 3. Windows Säkerhetscenter

Windows Säkerhetsinställningar

För att öppna Windows Säkerhetscenter, klicka på Start-knappen, välj Kontrollpanelen och dubbelklicka sedan på ikonen Säkerhetscenter (Figur 4).

Ris. 4. Ikon

Windows Säkerhetscenter-fönstret kan delas upp i tre delar (bild 5):

Ris. 5. Säkerhetscenter

1. Resurser. Här är länkar för att gå till Internetresurser, till den inbyggda Windows-hjälptjänsten och till fönstret för att konfigurera varningsinställningar.
2. Säkerhetskomponenter. Det är här informationselementen för de tre huvudsäkerhetskomponenterna finns: brandvägg, automatisk uppdatering, antivirusskydd.
3. Säkerhetsinställningar. Här är knappar för att komma åt säkerhetsinställningarna för följande komponenter: webbläsare Internet Explorer, automatisk uppdatering, Windows brandvägg.

Låt oss titta på dessa delar mer detaljerat.

Resurser

I fig. 5, siffran 1 indikerar länkar, de tre första av dem är avsedda att gå till motsvarande sidor på Microsofts webbplats. Den näst sista länken är för öppning kundtjänst Windows på sidan " Allmän information om Windows Security Center." Den sista länken är avsedd att öppna fönstret "Alert Settings" (Fig. 6).

Ris. 6. Varningsinställningar

Om din dator har en brandvägg och ett antivirusprogram som inte upptäcks av säkerhetscentret kan du inaktivera motsvarande varningar (se figur 6).

Säkerhetskomponenter

I fig. 5, nummer 2 - varje informationstavla rapporterar status för motsvarande komponent. Figur 7 visar möjliga tillstånd.

Ris. 7. Informationstavla uppger

Staterna A-C förståeligt utan kommentarer. Tillstånd D - "Not Found" - motsvarar oförmågan att fastställa närvaron av motsvarande programvara (till exempel ett antivirus eller brandvägg). Tillstånd E - "Uppgått" - möjligt för antivirusskydd när uppdateringar antivirusdatabaser föråldrad. Tillstånd F - "Icke observerad" - motsvarar inaktiverad kontroll över motsvarande komponent.

Säkerhetscenter använder en tvåstegsstrategi för att bestämma komponenternas tillstånd:

1. Kontrollera innehållet i registret och filerna med information om programvarans status (Microsoft får en lista över filer och registerinställningar från programvarutillverkare).

2. Information om programvarans status överförs från installerade program med hjälp av WMI-verktyg (Windows Management Instrumentation).

Figur 8 visar ett av de möjliga tillstånden för brandväggskomponenten. Genom att klicka på knappen "Rekommendationer..." har du möjlighet att antingen aktivera brandväggen (Fig. 9, "Aktivera nu"-knappen) eller inaktivera övervakning av tillståndet för denna komponent (Fig. 9, "Jag installerar och övervaka brandväggen själv").

Ris. 8. Brandväggsstatus

Efter att ha klickat på knappen "Aktivera nu" (se Fig. 9), om Windows-brandväggen har startat framgångsrikt, kommer ett motsvarande meddelande att visas på skärmen (Fig. 10).

Ris. 10. Meddelande

Figur 11 visar ett av de möjliga tillstånden för "Automatisk uppdatering"-komponenten. Genom att klicka på knappen "Aktivera automatiska uppdateringar" aktiverar du driftläget "Automatiska uppdateringar" som rekommenderas av Microsoft (Fig. 12).

Ris. elva. Status för "Automatisk uppdatering".

Ris. 12. Automatisk uppdatering

Observera att beroende på det inställda driftläget för "Automatisk uppdatering" (se bild 12) i fönstret "Säkerhetscenter" indikeras det kort beskrivning detta läge.

Figur 13 visar ett av de möjliga tillstånden för komponenten "Virusskydd". Genom att klicka på knappen "Rekommendationer..." får du lakoniska instruktioner (fig. 14): "slå på antivirusprogrammet" (om det är inaktiverat), "installera ett annat antivirusprogram". I det här fönstret kan du inaktivera övervakning av statusen för denna komponent (alternativet "Jag installerar och övervakar antiviruset själv").

Ris. 13. Virusskyddsstatus

Säkerhetsinställningar

I fig. 5, under nummer 3, finns knappar för att gå till säkerhetsinställningarna för följande komponenter: Internet Explorer, automatiska uppdateringar, Windows-brandvägg.

Genom att trycka på knappen , kommer du till fliken "Säkerhet" i fönstret för Internet Explorer-inställningar (Fig. 15).

Fig. 15. Internet Explorer-inställningar

Genom att klicka på knappen öppnar du inställningsfönstret för "Automatisk uppdatering" (se fig. 12).

Genom att klicka på knappen kommer du till motsvarande inställningsfönster (Fig. 16).

Ris. 16.

I Windows XP SP2 används följande ikoner för att indikera säkerhetsrelaterade inställningar (se t.ex. Fig. 16), samt för meddelanden om datorns säkerhetsstatus (se t.ex. Fig. 2):

1. - Indikerar viktig information och säkerhetsinställningar.

2. - Meddelar dig om en potentiell säkerhetsrisk.

3. – Situationen är säkrare. Din dator använder rekommenderade säkerhetsinställningar.

4. - Varning: situationen är potentiellt farlig. Ändra dina säkerhetsinställningar för att göra din dator säkrare.

5. - Det rekommenderas inte att använda de nuvarande säkerhetsinställningarna.

Internet-alternativ

Som nämnts tidigare, genom att klicka på knappen i "Windows Säkerhetscenter" kommer du till fönstret för Internet Explorer-inställningar på fliken "Säkerhet" (Fig. 17).

Ris. 17.

Låt oss titta på de tillgängliga alternativen på den här fliken. Överst finns det fyra zoner: Internet, Lokalt intranät, Betrodda webbplatser, Restricted Sites. Tabell 1 ger en beskrivning för varje zon.

Tabell 1. Beskrivning av zoner

För alla zoner utom internetzonen kan du definiera värdarna som ingår i zonen. För att göra detta måste du välja önskad zon (se fig. 17) och klicka på knappen "Noder...". I det här fallet, för zonen "Lokalt intranät", öppnas fönstret som visas i Fig. 18. Om du vill ange specifika noder, klicka på knappen "Avancerat...". Som ett resultat kommer fönstret som visas i fig. 19 att visas. Ett liknande fönster öppnas om du definierar noder som ingår i zonerna "Trusted Sites" och "Restricted Sites". Endast zonen "Begränsade webbplatser" kommer inte att ha alternativet "Alla webbplatser i denna zon kräver serververifiering (https:)".

Ris. 18. Lokalt intranät

Ris. 19. Specificering av specifika noder

Varje zon kan tilldelas önskad säkerhetsnivå: hög, medel, under medel, låg. Låg säkerhetsnivå representerar minimal säkerhet och används för webbplatser som du helt litar på.

Välj önskad zon (se fig. 17) och klicka på knappen "Standard". Fliken "Säkerhet" kommer att ändra utseende (fig. 20). Längst ner i fönstret kan du bestämma önskad säkerhetsnivå. Om du inte vill använda de föreslagna säkerhetsnivåerna kan du klicka på knappen "Annat..." och definiera alla säkerhetsparametrar själv (Fig. 21).

Ris. 20. Säkerhetsinställningar för Internet Explorer

Ris. 21. Säkerhetsinställningar

Säkerhetsinställningarna för Internet Explorer som beskrivs ovan är också tillgängliga via grupprincip (datorkonfiguration, administrativa mallar, Windows-komponenter, Internet Explorer, Internetkontrollpanelen, säkerhetssidan).

Automatisk uppdatering

Som nämnts tidigare, genom att klicka på knappen i "Windows Säkerhetscenter", öppnar du inställningsfönstret för "Automatiska uppdateringar" (Fig. 22).

Ris. 22. Alternativ för automatisk uppdatering

Det inbyggda hjälpsystemet i Windows XP beskriver det automatiska uppdateringssystemet i detalj. För att komma åt denna hjälp, klicka på "Hur fungerar automatisk uppdatering?" (se fig. 22). Låt oss bara uppehålla oss vid några punkter.

Först är det nödvändigt att skilja mellan begreppen "ladda ner" och "installera" uppdateringar. Nedladdning avser processen att överföra uppdateringsfiler från en Microsoft-server (eller från en intern uppdateringsserver inom en organisation) till en användares dator. Installation avser den faktiska processen att installera uppdateringar på användarens dator. Det är möjligt att uppdateringar har laddats ner till en användares dator, men att de ännu inte har installerats.

För det andra, om du valde alternativet "Automatisk" (se fig. 22), kommer uppdateringar att laddas ner och installeras vid den tidpunkt du angav. Om datorn alltid är avstängd vid den angivna tidpunkten kommer uppdateringarna aldrig att installeras. När du loggar in på din dator kan en användare med lokala administratörsrättigheter köra installationen manuellt utan att vänta på den schemalagda tiden. När den schemalagda tiden kommer kommer användaren att meddelas att uppdateringarna kommer att påbörja installationen. Om en administratör arbetar med systemet vid denna tidpunkt, kommer de att ha möjlighet att skjuta upp installationen till nästa schemalagda tidpunkt. Andra användare (utan administratörsrättigheter) kommer inte att ha möjlighet att avbryta den schemalagda installationen av uppdateringar.

I alla andra fall (förutom alternativet "stäng av automatiska uppdateringar") kommer meddelanden om befintliga uppdateringar för din dator (färdiga att ladda ner eller installera) endast att visas när en användare med lokala administratörsrättigheter är registrerad på din dator. Således, om du ständigt arbetar på din dator med ett konto som inte är medlem i den lokala administratörsgruppen, kommer uppdateringarna aldrig att installeras.

De automatiska uppdateringsinställningarna som beskrivs ovan är också tillgängliga för konfiguration via grupprincip (datorkonfiguration, administrativa mallar, Windows-komponenter, Windows Update). Dessutom kan du endast göra ytterligare inställningar via grupprincip. Du kan till exempel ange adressen till den interna uppdateringsservern, som centralt tar emot uppdateringar från Microsofts servrar och skickar dem till interna datorer organisationer. Ett exempel på en sådan server är Microsoft® Windows Server™ Update Services (WSUS).

Windows brandvägg

Som tidigare nämnts, genom att klicka på knappen i "Windows Säkerhetscenter", öppnar du inställningsfönstret för "Windows-brandväggen" (Fig. 23).

Ris. 23. Windows-brandväggsinställningar

Om du klickar på inskriptionen "Mer om Windows-brandväggen" (se fig. 23), kan du läsa kort information om funktionerna hos brandväggen (brandväggen) som ingår i Windows XP SP2.

Låt oss bara notera att, till skillnad från produkter från andra tillverkare, är den inbyggda Windows-brandväggen endast avsedd för att styra inkommande trafik, d.v.s. det skyddar endast din dator från externa intrång. Han styr inte utgående trafik din dator. Om din dator redan har infekterats av en trojansk häst eller virus som själv upprättar förbindelser med andra datorer, blockerar inte Windows-brandväggen deras nätverksaktivitet.

Dessutom skyddar brandväggen allt som standard nätverkskopplingar, och inkommande ICMP-ekobegäran är inaktiverad. Det betyder att om Windows-brandväggen är aktiverad på din dator, är det en meningslös övning att kontrollera närvaron av en sådan dator i nätverket med PING-kommandot.

Mycket ofta i organisationer som använder programvara som kräver att inkommande anslutningar till användardatorer tillåts, blir det nödvändigt att öppna vissa portar på datorer med installerat Windows XP SP2. För att lösa detta problem måste du ställa in undantag i inställningarna för Windows-brandväggen. Det finns två sätt att lösa detta problem:

1. Du kan ställa in ett undantag genom att ange ett program som kräver inkommande anslutningar. I det här fallet kommer brandväggen själv att avgöra vilka portar som måste öppnas och öppna dem endast under körningen det angivna programmet(närmare bestämt för den tid då programmet kommer att lyssna på denna port).

2. Du kan ställa in ett undantag genom att ange specifik port, genom vilken programmet lyssnar efter inkommande anslutningar. I det här fallet kommer porten alltid att vara öppen, även när detta program inte körs. Ur säkerhetssynpunkt är det här alternativet mindre att föredra.

Det finns flera sätt att ställa in ett undantag i inställningarna för Windows-brandväggen. Du kan använda det grafiska gränssnittet (fig. 24). Det här alternativet beskrivs i detalj i hjälpcentret och Windows-stöd XP SP2. Du kan använda domängrupppolicy. Det här alternativet är att föredra om det finns ett stort antal datorer i en organisation. Låt oss titta på det mer detaljerat.

Ris. 24. Fliken Undantag

Windows-brandväggsinställningarna i grupprincip finns i datorkonfiguration, administrativa mallar, nätverk, nätverksanslutningar, Windows-brandväggsnoden.

När du konfigurerar via grupprincip måste du konfigurera två profiler:

1. Domänprofil. Inställningarna i den här profilen används när datorn är ansluten till ett nätverk som innehåller en organisations domänkontrollant.

2. Standardprofil. Inställningarna i den här profilen gäller när datorn inte är ansluten till ett nätverk som innehåller en organisations domänkontrollant. Till exempel om organisationens bärbara dator används på en affärsresa och är ansluten till internet via en internetleverantör. I det här fallet måste brandväggsinställningarna vara mer restriktiva än inställningarna för domänprofilen, eftersom datorn ansluter till det offentliga nätverket och kringgår organisationens brandväggar.

Låt oss titta på hur man ställer in undantag för ett program och för en given port. Som ett specifikt exempel, låt oss ta Kaspersky Administration Kit Administration Server som kommer åt datorn där Network Agent är installerad för att få information om status för antivirusskydd. I det här fallet är det nödvändigt att UDP-port 15000 är öppen på klientdatorn eller att programmet "C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe" tillåts ta emot inkommande meddelanden.

Relaterad information.

Windows 7 är det senaste operativsystemet för skrivbordsklienter från Microsoft som är byggt med styrkorna och svagheter dess föregångare, Windows XP och Windows Vista. Varje aspekt av det underliggande operativsystemet, såväl som de tjänster det kör och hur det hanterar de applikationer som laddas på det, har granskats och åtgärder har vidtagits för att förbättra dess säkerhet där det är möjligt. Alla tjänster har förbättrats och nya säkerhetsalternativ gör detta operativsystem mer tillförlitligt. Förutom några större förbättringar och nya tjänster erbjuder Windows 7 flera funktioner säkerhet, förbättrade gransknings- och övervakningsmöjligheter samt anslutnings- och datakrypteringsmöjligheter. I Windows 7 finns det vissa förbättringar av den interna säkerheten för att säkerställa säkerheten för sådana interna systemkomponenter som Kernel Patch Protection, Service Hardening, Data Execution Prevention, Address Space Layout Randomization. slumpmässighet i layouten av adressutrymmet) och obligatoriska integritetsnivåer (obligatoriska integritetsnivåer).

Windows 7 är designat för att vara pålitligt. Å ena sidan utvecklades den som en del av Microsofts säkerhetsutvecklingslivscykel (SDL) och utformad för att stödja kraven i Common Criteria, vilket gjorde det möjligt för den att erhålla EAL-certifiering (Evaluation Assurance Level) 4, som uppfyller kraven i Federal Information Processing Standard – FIPS) #140-2. När använder Windows 7 som ett separat system kan det skyddas av personlig säkerhetsutrustning. Windows 7 innehåller många olika säkerhetsverktyg, men det är i kombination med Windows Server 2008 (R2) och Active Directory detta OS blir en kroppsrustning. Genom att använda avancerade säkerhetstekniker från verktyg som gruppolicy kan du kontrollera alla aspekter av din dators säkerhet. Om Windows 7 används i ett hemmakontor eller i en personlig miljö kan det också skyddas för att undvika många av dagens hackningstekniker, och systemet kan snabbt återställas från en krasch, så även om det är säkrare att para ihop det med Windows 2008, är det inte nödvändigt för att njuta av hög prestanda.säkerhetsnivå i Windows 7. Du bör också tänka på det faktum att även om Windows 7 är säkert till sin natur, betyder det inte att du behöver förlita dig helt på standardkonfigurationen och att det inte finns något behov av att göra ändringar för att förbättra säkerheten. Glöm inte heller att du med tiden riskerar att bli smittad av någon form av skadlig kod eller internetattack när datorn används på ett offentligt nätverk. Om datorn används för någon typ allmänhetens tillgång till Internet blir ditt system och nätverket som det är anslutet till öppna för möjliga attacker.

I den här artikeln kommer vi att täcka grunderna du behöver veta om korrekt inställning Windows 7-säkerhet, att uppnå önskad säkerhetsnivå, och även prata om avancerade säkerhetsalternativ och titta på några av de mindre kända säkerhetsfunktionerna som Windows 7 erbjuder för att förhindra och skydda mot eventuella attacker. Vi kommer också att titta på de många sätt du kan skydda dina data och återställa om du råkar ut för en attack eller ett kritiskt systemfel. Den här artikeln introducerar säkerhetskoncept, hur man härdar Windows 7, hur man installerar och säkrar program som körs, hur man hanterar säkerhet på ett Windows 7-system och hur man förhindrar problem som orsakas av skadlig kod. Den här artikeln kommer också att täcka processen för att skydda data, systemsäkerhetskopiering och återställningsfunktioner, processen att återställa operativsystemet till ett tidigare tillstånd och hur man återställer data och systemtillstånd i händelse av ett kritiskt systemfel. Vi kommer också att titta på strategier för att göra detta snabbt. Ämnen kommer också att behandlas säkert arbete på nätverket och Internet, biometriska kontrollinställningar för avancerad åtkomstkontroll och hur Windows 7, när man arbetar med Windows Server 2008 (och Active Directory), kan använda vissa integrerade kontroll-, hanterings- och övervakningsalternativ. Syftet med den här artikeln är att introducera dig till säkerhetsfunktioner, förbättringar och applikationer i Windows 7 och att ge en mer detaljerad bild av hur du planerar och implementerar dessa säkerhetsfunktioner på rätt sätt. Alla ämnen som vi har berört här kommer att brytas ner och organiseras i separata block.

Notera: När du arbetar i en företagsmiljö eller annan produktionsmiljö, gör inte ändringar i ditt företags datorer. Se till att du arbetar inom företagets utfärdade säkerhetsplan eller policy och följer alla företagets praxis, policyer och riktlinjer. Om du inte är bekant med säkerhetsämnen och Microsoft-produkter, läs produktdokumentationen innan du gör ändringar i ditt system.

Grundläggande säkerhetspunkter

Innan vi dyker in i detaljerna för Windows 7 är det viktigt att först introducera några grundläggande säkerhetskoncept och hur man planerar för dem. Vi kommer också att behöva veta varför övervakning är avgörande för att upprätthålla säkerheten och hur man korrekt övervakar säkerhetsteam för problem. Det är också viktigt att veta hur du övervakar din säkerhet och upptäcker din eventuella exponering för potentiella attacker. Säkerhet är inget som kan göras i all hast. Den måste vara noggrant förberedd för och tillämpas på varje teknisk aspekt av installationen och måste alltid finnas. Det måste också övervägas noggrant före installationen och kontinuerligt övervakas och granskas efter installationen. Säkerhetshantering kräver analys för att finjustera den nuvarande säkerhetsarkitekturen samt upptäcka potentiella attacker. I de flesta fall kommer din säkerhet att testas av en angripare eller skadlig kod för att leta efter åtkomst, du kan potentiellt skydda dig själv med förebyggande åtgärder om du ser hackningsförsök eller infektioner. Genom att föra loggar och sedan granska dem kan du hitta information om försök att logga in på din router, försök att logga in som administratör osv.

Loggar och varningar är mycket användbara eftersom om något går fel kan du snabbt och korrekt svara på det genom att analysera käll-IP-adresserna eller inloggningsförsök som registrerats av revisionsapplikationen. Att svara på en attack med en detaljerad plan kallas "incidentrespons". Beredskap är nyckeln till att reagera på en incident, så att ha en plan före och efter händelsen är avgörande för säkerheten. Disaster Recovery Plan [används ibland tillsammans med Business Continuity Plan (BCP)] kommer att innehålla katastrofåterställningsstrategin. Vissa IT-team ägnar också personal åt att bilda ett Incident Response Team, som ansvarar för att ta fram en plan för att felsöka och lösa kritiska problem som är ett resultat av systemfel, dataförlust, nätverk eller systemattacker, och etc.

Så hemanvändare bör använda samma strategi, bara på en förenklad nivå. Du måste också skydda dina system och svara på fel, så en bra plan skapad i förväg kan vara till stor nytta för dig i framtiden. Ett bra exempel enkel plan kommer till exempel att vara följande: om ditt system är infekterat med skadlig kod (till exempel trojan), måste du installera om ditt operativsystem om alla andra åtgärder och försök till reparation har misslyckats. Om så är fallet behöver du teammedlemmar med tilldelade ansvarsområden, detaljerade steg (eller en lista) och procedurer innan incidenten så att du kan reagera på lämpligt sätt, och du måste göra en granskning för att säkerställa att allt gjort korrekt efter återställning. Tillgång till åtkomst eller kopia installationsfiler eller andra program och applikationer innan de behövs kan spara tid, och en genomtänkt plan kan visa dig var du ska leta efter alla nödvändiga verktyg när tiden kan vara avgörande.

Notera: För att hjälpa dig med din planering och bli mer bekant med säkerhet kan du hitta listor och planer i avsnittet med ytterligare länkar i den här artikeln.

Du bör också granska dina planer så ofta som möjligt, särskilt efter kritiska problem eller misslyckanden, och lägga till specifika åtgärder till dem vid behov. När din plan är klar bör du överväga att bygga den på grunderna med stor mängd säkerhetsfunktioner och tjänster.

Råd: Säkerhet bör övervägas och tillämpas på varje system eller tjänst som används för att minska risken förknippad med attacker som kommer från någon av dem under drift. Och om säkerheten tillämpas på ett sådant sätt att du proaktivt kan förhindra (eller återhämta dig från) en attack, kommer du att ha mindre arbete att göra för att svara på och redogöra för sådana attacker. Säkerhet, även på den mest grundläggande nivån, bör tillämpas på ett sätt som skyddar dina data senare, så att även om du måste installera Windows från början, kan du använda dina data senare för senare användning. Säkerhet kan inte ignoreras.

Du bör också överväga att tillämpa säkerhet konceptuellt och tekniskt, med hjälp av ett säkerhetskoncept som kallas Defense in Depth. Säkerhet måste vara genomtänkt och tillämpas på alla system, tjänster, applikationer och nätverksutrustning, hålla ditt system igång och anslutet till Internet. Publicerade policyer och genomtänkta planer säkerställer systemanvändarnas produktivitet och gör dem bekanta med allmänna användningspolicyer. Kontinuerligt underhåll säkerställer att din investering växer. För att förhindra att hål uppstår i säkerhetsarkitekturen är det nödvändigt att använda planering och tillämpa en säkerhetsmodell som använder konceptet "Defense in Depth". Figur 1 visar detta koncept på en förenklad nivå; du kan (och bör naturligtvis) lägga till ytterligare lager beroende på hur ditt hem- eller företagsnätverk är byggt.

Figur 1: Konceptualiseringar och implementering av Defense in Depth

Defense in Depth-skydd, som framgår av figuren, kan justeras för att passa dina behov. I det här exemplet behövs en säkerhetspolicy för att säkerställa säker interaktion mellan system- och nätverksanvändare. Även härdning av dina system, telefoner, stationära datorer, tjänster, applikationer, servrar, routrar, switchar och PBX:er bör beaktas för att säkerställa att alla åtkomstpunkter täcks. Det är också en bra idé att ha ett allmänt nätverkssäkerhetsverktyg som en brandvägg, men du bör alltid tänja på dessa gränser och lägga till saker som filter och skannrar för att ge mer omfattande support. Du kommer också att behöva kunna övervaka och föra loggar över all information för senare användning.

Windows 7 har också designats för att integreras och användas i miljöer som måste uppfylla höga säkerhetskrav, såsom statliga och militära miljöer. När du överväger grundläggande Windows-säkerhetsprinciper är det viktigt att komma ihåg att alla produktionsklassade system måste vara certifierade enligt nivå C2-säkerhet från Orange Book. Microsoft Windows måste också uppfylla Common Criteria-certifieringskraven. För ytterligare information För dessa ämnen, se artiklarna länkade i avsnittet ytterligare referenser i slutet av den här artikeln. Windows 7 är ett mycket flexibelt system och dess många alternativ låter dig konfigurera det för att använda alla dess funktioner (minimal säkerhet), eller endast använda grundläggande förmågor, och de operationer som du har konfigurerat att använda (maximal säkerhetsnivå). Windows 2008 och Windows 7 har tiofaldigt förbättrad säkerhet när de två operativsystemen är korrekt konfigurerade tillsammans.

Notera: Det är viktigt att komma ihåg att det inte är ett alternativ att förneka problemet (eller potentiellt problem). Problem kvar till senare eller ignorerade helt och hållet komplicerar bara situationen. Lathet kommer bara att köpa dig lite tid. Det finns inget som heter säkerhet i det okända. Bristande efterlevnad ökar problemen först senare när efterlevnad behövs. Noggrann distribution av säkerhet på din hem- eller företagsdator (lika viktigt) kommer att förhindra intrång och attacker och tillhandahålla flera skyddslager för att göra dina system mer tillförlitliga. Du måste känna till grunderna för säkerhet och hur du ska agera före och efter attacker inträffar om du behöver skydd.

Så nu när du är bekant med de grundläggande begreppen säkerhet, låt oss tillämpa det vi har lärt oss när vi konfigurerar säkerhetsinställningarna för Windows 7. Med tanke på att vi har kunskapen om varför säkerhet ska tillämpas, när vi ska tillämpa den, och vi har också känner till anledningarna till hantering, övervakning och uppdatering, vi behöver bara tillämpa dessa säkerhetskoncept vid installation Windows-system 7. Det är ganska enkelt om du vet vad du ska göra. Om du är ny på Windows eller har svårt att vänja dig vid 7 (kanske du inte har använt Vista), är det viktigt att du tar dig tid att bekanta dig med dessa verktyg via onlineresurser som TechNet eller Microsoft Support. Till exempel kan många mallar och checklistor hittas online på Microsoft.com som leder dig steg-för-steg genom att tillämpa och använda säkerhet på ditt Windows-system. Du kan också hitta användbara verktyg i avsnittet ytterligare länkar i slutet av den här artikeln.

Mallar är inte ett universalmedel och kan ibland slå tillbaka om de används felaktigt (eller konfigureras felaktigt), så var alltid försiktig även om du laddar ner dessa mallar direkt från Microsoft.com. Det är mycket viktigt att alltid läsa dokumentationen som följer med mallen så att du kan tillämpa den på rätt sätt. Det skulle också vara korrekt att säga att utan viss kunskap om grunderna för själva operativsystemet, eller kunskap om OS:s grundläggande principer, kommer du inte att kunna tillhandahålla en hög säkerhetsnivå under lång tid. En tydlig förståelse för OS-kärnan och dess tjänster är nödvändig om du vill kunna tillhandahålla en hög grad av säkerhet även efter att ha satt upp en grundläggande säkerhetsnivå. Anledningen till att detta är viktigt för alla som implementerar OS-säkerhet är att veta att ditt system aktivt skannas och testas för sårbarheter. Att föra händelseloggar är extremt användbart eftersom du kan ställa in revision (som ett exempel) och ta emot detaljerad information om vad som händer med och inom ditt system. De flesta (om inte alla) loggar är till sin natur inte särskilt tydliga och kan skapa problem genom att använda mycket allmänna termer eller maskinspråk. Du måste gå online och reda ut mysteriet med dessa tidningar, som med viss erfarenhet blir lättare och lättare. Du kommer att läsa en hel del saker du inte visste innan, och du hittar också många verktyg som du vill lägga till i din verktygslåda när du har testat dem.

Du behöver också en viss nivå av flexibilitet i hur du tillämpar säkerhet, en nivå som gör att du kan möta företagets mål och krav (som internetåtkomst) sömlöst samtidigt som du bibehåller en hög säkerhetsnivå. Ett bra exempel är verktyget User Account Control (UAC), som, när det är korrekt konfigurerat, kan ge en hög säkerhetsnivå eller kan inaktiveras helt. Du måste starta om datorn om du inaktiverar UAC.

UAC-verktyget används för att förhindra att program eller applikationer gör ändringar i datorns operativsystem. Det fungerar genom att begränsa åtkomsten i OS-kärnan och sedan ge detaljerad information till användare om programmet som försökte installera sig själv eller göra ändringar i OS. Detta är användbart eftersom det ger dig möjlighet att kontrollera vad programmet gör och vidta åtgärder om du inte vill att programmet ska göra ändringar. UAC introducerades först i Windows Vista, men eftersom det inte gick att stänga av ansågs det vara "irriterande" minst sagt. Det irriterade användare som inte kunde komma runt det. Windows-utvecklare hade också mycket svårt att skriva kod på grund av UAC-begränsningar och behövde lösningar. Nu när Windows 7 är ute kan UAC stängas av, vilket tar bort säkerhetslagret helt och ger mer flexibilitet och valmöjligheter.

Uppmärksamhet! För att skydda ditt system rekommenderas det inte att helt inaktivera UAC, eller om du av någon anledning behöver göra detta, glöm inte att aktivera det igen.

Installera och stärka Windows 7

Windows 7 är säkert till sin natur. Under OS-installation rekommenderas det alltid att utföra en ny OS-installation på nyinköpt (eller uppgraderad) kompatibel hårdvara och sedan hårdna den. Systemhärdning är processen att förbättra säkerhetsnivån för ett nyinstallerat basoperativsystem genom att justera nödvändiga säkerhetsinställningar, ta bort onödig programvara och konfigurera ytterligare policyinställningar.

Notera S: Det finns lite planering att göra när det gäller att välja hårdvara för Windows 7, för om du vill använda virtualisering, Windows Trusted Platform Module (TPM) Management och andra funktioner som BitLocker, måste du köpa rätt hårdvara till dessa funktioner fungerade.

Efter korrekt installation av operativsystemet och dess grund inställningar det finns en process för att stärka den. Bör jag alltid göra en ny installation eller kan jag härda mitt befintliga Windows OS? Tekniskt sett kan du härda ett system du redan använder, men innan du gör det måste du först bekanta dig med det, analysera det, inspektera det och, naturligtvis, granska säkerhetsnivån som är konfigurerad och använd i det systemet . Det är ingen idé att stärka ett system som redan har hackats. Du vet inte heller alltid hur en säkerhetsapplikation kommer att påverka ett produktionssystem, oavsett om det används hemma eller i en företagsmiljö. Ibland skapas dubbletter av system så att allt kan testas, men det tar tid och resurser, men det är värt det eftersom det hjälper till att hitta och undvika problem som kan uppstå när man bygger och distribuerar miljön. Du kan göra mer skada än nytta om du inte vet hur säkerhetskonfigurationsändringar eller -mönster kommer att påverka tjänster i produktionssystemet. Till exempel kan du tillämpa en säkerhetsmodell på ett system och, genom alltför strikta filtreringsregler på brandväggen, förhindra att en viss applikation fungerar normalt "till exempel använder en applikation en specifik port som blockeras av brandväggen, vilket skulle blockera programmets åtkomst. Detta kan orsaka Negativa konsekvenser, om applikationen används i ett företag och var nödvändig för produktiviteten, och att åtgärda problemet kan kräva lite tid och ansträngning. Det är därför det är lättare att installera nya Windows 7 och sedan stärka den, eftersom detta inte tar mycket tid och gör att du kan se till att säkerheten förblir så hög som möjligt. Du kan också påskynda processen, särskilt om du använder virtuell maskin(VM) eller VHD-fil som ger dig möjligheten att köra flera instanser av dina datorer i en virtuell miljö och även möjliggör snabb återställning om ingen redundans används. Eftersom virtualisering förenklar installationsprocessen samtidigt som du skapar klonbilder för säkerhetskopieringsprocessen, kan du återställa dina datorer mycket enkelt och snabbt. Vi kommer att beröra virtualiseringsprocessen senare i den här artikeln. Om failover är aktiverat och konfigurerat kanske datoranvändaren inte ens märker att den virtuella maskinen misslyckas.

Du kan härda systemet och sedan komma åt skyddad data via lagring med delad åtkomst, databaser och arkiv på hög hastighet med hjälp av failover- och redundansalternativ som inte bara kommer att hålla informationen säker, utan även åtskild från den data du kommer åt. Om du planerar allt rätt kommer du att kunna producera bilder som är fullt förberedda, konfigurerade, skyddade och uppdaterade versioner Windows och i händelse av en katastrof, återställ systembilder till din hårdvara på 1/3 av tiden det tar utan att använda bildkloning och virtualisering. Sedan, efter att ha återställt basoperativsystemet, kan du ansluta till den delade lagringen för att få den data du behöver.

Så, vad är de faktiska stegen för att härda operativsystemet efter installationen? Och finns det en specifik ordning för dessa steg? Om det fanns en tydligt definierad uppsättning steg att installera och härda, skulle de gå i följande grundläggande ordning: installera, ta bort allt som inte används, uppdatera systemet, tillämpa grundläggande säkerhet och sedan säkerhetskopiera för snabb återhämtning vid behov, som visas i följande lista:

• Steg 1- Installera basoperativsystemet med val av nödvändiga alternativ för att öka säkerheten under installationen och inaktivera onödiga tjänster, tillval och program.
• Steg 2- Installation av alla fungerande administratörspaket, säkerhetsverktyg och nödvändiga program.
• Steg 3- Ta bort onödiga tjänster, program och applikationer. Inaktivera eller ta bort oanvända användar- och gruppkonton.
• Steg 4- Installation av Service Pack, patchar och uppdateringar. Uppdatera alla installerade program.
• Steg 5- Kör en säkerhetsrevision (skanner, mallar, MBSA, etc.) för att få information om den aktuella säkerhetsnivån
• Steg 6- Kör systemåterställning och skapa en återställningspunkt. Säkerhetskopiering och återställningsprogram för återställning från systemkrascher.
• Steg 7 - Säkerhetskopiering system med förmågan att snabbt återhämta sig efter en krasch.

Denna lista är ganska enkel. Du kan lägga till ytterligare steg och utöka den. Den här listan är inte komplett, men är en bra början för att få en uppfattning om var du ska börja när du tillämpar säkerhet på Windows 7 efter en grundläggande installation. Om den är klar ny installation Windows 7, då är nästa steg att ta bort oönskad programvara, tjänster, protokoll och program som du inte behöver. Detta kan göras med hjälp av kontrollpanelen.

Du kan sedan gå till Kontrollpanelen och kontrollera vem som ska få använda datorn med appen Användarkonton. Här måste du ta bort alla konton som du inte behöver, eller helt enkelt inaktivera dem. Naturligtvis måste du vara försiktig med standardanvändare och grupper, eftersom vissa av dem är relaterade till tjänster som körs i OS, de kan också påverka hur data nås på ditt system, etc. Du kan också enkelt inaktivera konton om du inte är säker på att de kan raderas. En annan teknik som används av de flesta IT-säkerhetsproffs är att lämna det lokala administratörskontot på plats och granska det för försök att utnyttja detta konto, eller domänadministratörskontot, som måste skyddas ytterligare och granskas fullständigt. . Som en vanlig praxis undviker proffs att använda inbyggda konton när de hanterar stora nätverk av Microsoft-system och skapar nya administratörskonton vars aktivitet lätt kan övervakas vid behov. Genom att granska dessa konton och använda nya konton med administrativa rättigheter fördubblar du din säkerhetsnivå. Först har du möjligheten att ta reda på om någon försöker logga in på ditt system med standardkonton, även om detta inte bör hända. Med revision kan du spåra sådana försök om de inträffar. Denna tillämpning av säkerhet på konton är känd som en honeypot och är användbar när man letar efter möjliga obehöriga försök att komma åt ett system. För det andra tar du bort hälften av ekvationen när någon försöker hacka ett konto genom grundläggande referenser som användarnamn och lösenord. Om du tar bort användaruppgifterna som är lätta att knäcka är allt du har kvar att ställa in komplexet och starkt lösenord, vilket kommer att vara svårt att hacka. Om du ställer in inbyggda konton som ett lockbete kan du skapa ett mycket svårt att knäcka lösenord och begränsa det kontot så mycket att en angripare inte kan göra någonting på ditt system om det äventyras. Du måste också ändra alla inbyggda kontolösenord till mer komplexa. Använd de bästa urvalsteknikerna säkra lösenord att skydda dessa konton och fullständigt granska dem. Du bör också sätta upp en policy som tvingar slutanvändare som vill ändra sitt lösenord att gå igenom en process där de bara får använda ett lösenord som är tillräckligt starkt och starkt. Detta är bara ett härdande tips som ger fördelar som möjligheten att hitta inkräktare genom loggar och revisioner.

Ledtråd Obs: Windows Server 2008 låter dig installera "kärnfunktioner", som är en härdningsprocess som tillämpas på systemet under installationen. När den väl är installerad kommer servern att köras med endast den minsta uppsättning funktioner du väljer, vilket minskar risken för exponering för attackverktyg. Windows 7 kan härdas, men det har inte samma installationsalternativ som 2008, vilket helt enkelt begränsar systemet under installationen. För att hårdna Windows 7 måste du tillämpa policyer, mallar och manuellt konfigurera säkerhetsinställningar korrekt.

Med tanke på allt ovan, hur man använder gränsfunktionen och Windows-skydd 7? Mest på ett enkelt sätt För att påbörja systembegränsningsprocessen är att använda Start-menyn för att söka efter allt säkerhetsrelaterat som är lagrat i systemet och indexerat. För att göra detta, tryck helt enkelt på Start-knappen för att öppna menyn. Ange sedan nyckelordet "säkerhet" i fältet "Sök efter program och filer". Figur 3 visar startmenyns alternativ som returneras genom att söka efter nyckelord"Säkerhet".

Figur 3: Sök och visa säkerhetsalternativ som hittats med hjälp av Start-menyn

Detta visar program, kontrollpanelapplikationer (eller åtgärder), dokument och filer valda och organiserade för enkel visning och åtkomst. Kort sagt, Lokal säkerhetspolicy (om vald) är en policyredigerare som låter dig se och anpassa ditt systems säkerhetspolicyer. Den lokala säkerhetspolicyredigeraren visas i figur 4. Här kan du göra de nödvändiga ändringarna i valfri policy baserat på OS-inställningarna.

Tips: För full kontroll över policyer måste du använda Windows 7 med Windows Server-produkter som Windows Server 2008 R2. I det här fallet kan du dra fördel av Active Directory (AD) och grupprincip.

Om du lokalt vill konfigurera granskning av en specifik händelse (till exempel inloggning och utloggning), kan du ange denna åtgärd i konsolen för lokal säkerhetspolicy (Figur 4). I Kontrollpanelen kan du gå till appen Administrationsverktyg för att hitta den lokala säkerhetspolicyredigeraren, eller helt enkelt söka efter den i Start-menyn. När Windows 7 används med Active Directory kan du använda grupprincip, som är en robust tjänst som låter dig konfigurera, hantera och distribuera inställningar och inställningar. mjukvaruapplikationer, men du måste ansluta Windows 7 till en giltig domän och hantera den därefter för att dra nytta av alla dessa funktioner.

Om du behöver ställa in policybaserad säkerhet är detta det enklaste sättet. Du kan hitta många av de verktyg du behöver för konfiguration i kontrollpanelen och/eller i den anpassade MMC som du konfigurerar och installerar. Microsoft Security Center (Windows Vista, XP) har använts för att centralisera de flesta säkerhetsfunktioner tidigare. Det har ersatts av Action Center, och nu är säkerhetsåtgärder mycket lätta att hitta, visa och utföra med specifika behörigheter. Till exempel, som visas i Start-menyn (Figur 3), ger åtgärden "Kontrollera säkerhetsstatus", när den är vald, en lista över säkerhetsinställningar som Windows 7 rekommenderar, såsom uppdatering av systemet, eller program som antivirus (AV) ). Om du väljer en åtgärd kommer systemet att skicka dig till åtgärdscentret för att åtgärda de befintliga problemen.

Figur 5: Konfigurera säkerhetsåtgärder och kontrollpanelens programalternativ

Råd: Figur 5 visar de säkerhetsåtgärder du kan utföra i Kontrollpanelen. Om du går till Start-menyn, skriver "säkerhet" och klickar på Kontrollpanelen får du en lista med åtgärder och säkerhetsinställningar som du direkt kan konfigurera i en lättförståelig lista.

I Action Center (eller när du visar Action Lists) kan du enkelt navigera ner i listan och anpassa varje objekt därefter. Detta kort recension Säkerhetsalternativ som kan konfigureras i Action Center-listan:

• Action Center" Action Center ersätter Security Center. I Action Center kan du ange åtgärder som operativsystemet ska utföra. Med din tillåtelse kan åtgärder utföras. Detta kommer att tala om för dig om ditt antivirusprogram inte är uppdaterat. Du kan gå till Action Center att utföra åtgärder relaterade till säkerhet.
• Internet-alternativ" Webbsurfning av alla slag öppnar dörren till potentiella risker förknippade med Internet. Om du använder en proxyserver, använder webbfiltrering (och övervakning) och ständigt uppdaterar ditt operativsystem med de senaste uppdateringarna, kan du hamna i en situation där säkerheten kan äventyras. I programmet Internet Options Control Panel kan du ange säkerhetszoner, endast tillåta åtkomst till vissa webbadresser, utöka avancerade säkerhetsinställningar på fliken Avancerat och mycket mer. Själva webbläsaren är utrustad med ett nätfiskefilter som förhindrar attackerar nätfiske, och har även andra anpassningsbara alternativ som InPrivate Browsing, som inte tillåter dig att lagra din personlig information, vilket är särskilt användbart när du använder en dator på offentliga internetkaféer.
• Windows brandvägg"som vilken annan mjukvara eller hårdvarubrandvägg som helst, brandvägg Windows brandvägg kan förhindra grundläggande attacker som standard, och kan konfigureras på många sätt för en hög nivå av kontroll över vad som kan komma in och lämna ditt datorsystem när det är anslutet till en offentlig eller privata nätverk. Genom att gå till Kontrollpanelen och välja Windows-brandväggen får du tillgång till de flesta brandväggskonfigurationsalternativen. Du kan klicka på knappen Avancerat i dialogrutan för att komma åt ytterligare parametrar och konfigurationsalternativ. I Windows 7 kan du distribuera flera brandväggspolicyer samtidigt och använda domänbeteckning för att enklare konfigurera och hantera Windows-brandväggen.
• Personalisering" Personaliseringsalternativ är där du kan ändra utseende Windows, men här kan du konfigurera lösenord för din skärmsläckare. Om Windows 7 används i ett företag måste användarna läras hur de låser sina arbetsstationer när de lämnar sina lokaler. arbetsplats, eller skapa policyinställningar som skulle göra detta automatiskt efter en viss period av systeminaktivitet; Skärmsläckaren, om den är konfigurerad för att uppmana dig att logga in igen efter en sådan period, kan vara mycket användbar. Hemma kan detta vara din bästa försvarslinje om du lämnar din dator och glömmer att låsa den.
• Windows-uppdateringar"alla versioner programvara kräver en viss nivå av korrigering. Du kan förbereda, testa och försöka utveckla den perfekta produkten, men det är omöjligt att ta hänsyn till allt. Dessutom krävs uppdateringar och nya programvaruversioner för att hålla ditt system uppdaterat medan du använder det. Eftersom det finns systemförbättringar, krav på annan utvecklingsteknik, nya säkerhetsbrister och drivrutinsuppdateringar för bättre prestanda och funktionalitet, kommer det alltid att finnas ett behov av att använda Windows Update. Windows (och Microsoft) Uppdaterade eller produktionsversioner av patchhantering (som WSUS) används för att centralt hantera och installera uppdateringar. Dessa verktyg används för att kontrollera, spåra och övervaka dina nuvarande och framtida uppdateringsbehov. Ställ in automatiska uppdateringar, eller gör det till en vana att göra det manuellt, eftersom det helt enkelt måste göras. Om du inte uppdaterar ditt system som rekommenderat (och ibland krävs) utsätter du dig själv för en attack.
• Program och funktioner"Förutom Windows-uppdateringar Uppdateringar Du måste också regelbundet kontrollera vad som är installerat på ditt system, speciellt om du arbetar på Internet och/eller laddar ner mjukvaruprodukter från Internetservrar. Till exempel, installation av en enkel Java-uppdatering, om du inte noggrant läst informationen om den under installationen, kan också installera ett verktygsfält på ditt system som integreras i din webbläsare. Detta är nu mer strängt kontrollerat, men i alla fall bör du kontrollera vad som är installerat på ditt system då och då.
• Windows Defender " spionprogramär appar som ursprungligen användes för illegal handelsverksamhet och som gör saker som att öka din belastning, omdirigera din webbläsare och skicka information om dina aktiviteter. Fastän antivirusprogram blockera några av dessa applikationer, bör Windows Defender (eller annan programvara för borttagning av spionprogram) användas för att rensa ut resterande spionprogram. Cookies, även om de är ofarliga till sin natur, kan ibland manipuleras för olagliga ändamål. Se till att Windows Defender uppdateras ofta med nya definitionsfiler och patchar för att säkerställa att den kan upptäcka de senaste spionprogrammen. SpyNet är den gemenskap som Microsofts experter vänder sig till för att övervaka, studera och reparera skador på spionprogram.
• Användarkonton"Användarkontokontroll är grunden för att skydda åtkomsten till din dator, såväl som allt som körs på den. Om du till exempel skapar ett nytt användarkonto och lägger till det i gruppen Administratörer får du full tillgång till datorsystemet . Om du konfigurerar ett konto som en standardanvändare kommer dess behörigheter att vara mycket begränsade och kommer bara att tillåta dig att utföra vissa grundläggande användarfunktioner. Du kan också ställa in lösenord som, när de skapas i enlighet med lösenordspolicykraven, tvingar användare att skapa svårknäckta lösenord, vilket förhindrar de flesta grundläggande attacker. Om Windows Server 2008 och Active Directory är installerade kan du komma åt en domän som (om du är medlem i den) ger dig större flexibilitet när du konfigurerar NTFS-filsystemet behörigheter för mappar och filer, såväl som andra delade resurser, som skrivare.
• Energialternativ"Applikationen Power Options Control Panel är där du konfigurerar standardbeteendet för operativsystemet när det är avstängt, stängt eller i viloläge. För ökad säkerhet rekommenderas det att du ställer in alternativet att kräva ett lösenord när maskinen vaknar från viloläge. När alternativet för att aktivera användaråtkomstkontroll visas bör du använda det.

Så, om du behöver implementera säkerhetsåtgärder i Windows 7, kan Start-menyn fungera bra som en utgångspunkt för att stärka systemet och öppnar dörren till många tillgängliga verktyg. Det finns många alternativ du kan använda för att hårdna ditt Windows 7-system, särskilt kontrollpanelen. Att använda Start-menyn är också ett enkelt sätt att tillhandahålla en primär försvarslinje för ditt system efter den första installationen. Det rekommenderas att du skapar en säkerhetsbaslinje efter den första installationen och konfigurationen av ditt system, vilket kräver att du konfigurerar alla säkerhetsinställningar, applikationer och laddar ner patchar och uppdateringar och sedan skapar säkerhetskopia hela systemet med hjälp av verktyget Systemåterställning. Detta ger dig en ögonblicksbild av systemet i ett nytt tillstånd om du behöver återställa systemet till det tillståndet. Det är möjligt att skapa en återställningspunkt som kan användas om systemet har äventyrats, och detta gör att du kan återställa systemet till ett baslinjeläge med säkerhetsinställningar tillämpade. Vi kommer att titta på systemåterställningsalternativen i avsnittet Disaster Recovery i den här artikeln.

Tack för ditt intresse för vår sida. IT-specialistföretaget har funnits sedan 2006 och tillhandahåller IT-outsourcingtjänster. Outsourcing är överföring av nödvändigt men icke-kärnarbete för företaget till en annan organisation. I vårt fall är detta: skapande, support och underhåll av webbplatser, marknadsföring av webbplatser i sökmotorer, support och administration av servrar som kör Debian GNU/Linux.

Joomla webbplatser

I dagens informationsålder blir en de facto-webbplats åtminstone ett visitkort för en organisation, och ofta ett av affärsverktygen. Redan nu skapas webbsidor inte bara för organisationer och privatpersoner, utan även för enskilda varor, tjänster och till och med evenemang. Idag är en webbplats inte bara en källa för reklam för en enorm publik, utan också ett verktyg för försäljning och knyta nya kontakter. Vi skapar webbplatser med CMS Joomla! Detta innehållshanteringssystem är enkelt och intuitivt. Det är väldigt utbrett och därför finns det mycket information om det på Internet. Att hitta en specialist som arbetar med Joomla är också lätt. Och du behöver inte gå långt! Vår företags IT-specialist är engagerad i underhåll och support av sajter på Joomla! Vi kommer att spendera allt ingenjörsarbeten, kommer vi att ta hand om all korrespondens med värd och domänregistrator, fylla sidan och uppdatera informationen på den. Och även om Joomla är lätt att använda, är det intuitivt. Men kommer du själv regelbundet utföra det nödvändiga arbetet på webbplatsen? Hur lång tid tar de dig? Om du vill koncentrera dig på ditt företag, anförtro då stödet för din webbplats till oss. Vi kommer att göra allt som står i vår makt för att hålla sidan levande och användbar för dess ägare.
Om du är en kommersiell organisation som annonserar eller säljer sina varor och tjänster på Internet, behöver du helt enkelt marknadsföring av webbplatser i sökmotorer. När allt kommer omkring, för att sälja något behöver du åtminstone för att det ska synas, för att folk ska veta om det. Och vi hjälper dig med detta, vi kommer att marknadsföra din Joomla-sajt i sökmotorer. Beroende på konkurrensen och den budget som tilldelats för marknadsföring, kommer din webbplats att ta anständiga positioner i sökresultaten. Sajten kommer att öka dina vinster!

Debians servrar

Förr eller senare, i strävan efter öppenhet och transparens i sin verksamhet, ställs många företag inför behovet av att säkerställa licensrenheten för programvaran de använder. Kostnaden för licensavgifter är dock inte alltid acceptabel, särskilt för små och medelstora företag. Vägen ut ur denna svåra situation är att bestämma sig för att byta till Öppen källa tekniker. Ett av områdena för öppen källkod är i drift Linux-system(Linux). Vårt företags anställda är specialiserade på Debian Linux. Detta är den äldsta och mest stabila distributionen av operativsystemet Linux. Vi erbjuder dig tjänster för implementering av Debian Linux i ditt företag, konfiguration, underhåll och support av servrar.

Information och reklam

En säkerhetspolicy är en uppsättning parametrar för att reglera PC-säkerhet genom att tillämpa dem på ett specifikt objekt eller på en grupp objekt av samma klass. De flesta användare gör sällan ändringar i dessa inställningar, men det finns situationer då det behöver göras. Låt oss ta reda på hur du utför dessa steg på datorer som kör Windows 7.

Först och främst bör det noteras att säkerhetspolicyn som standard är konfigurerad optimalt för att utföra de dagliga uppgifterna för en vanlig användare. Det är nödvändigt att manipulera det endast om det finns ett behov av att lösa ett specifikt problem som kräver justering av dessa parametrar.

Säkerhetsinställningarna vi tittar på kontrolleras med hjälp av GPO. I Windows 7 kan du göra detta med hjälp av verktygen eller "Lokal gruppolicyredigerare". En förutsättning är att logga in i systemprofilen med administratörsrättigheter. Därefter kommer vi att titta på båda dessa alternativ.

Metod 1: Använd verktyget för lokal säkerhetspolicy

Först och främst, låt oss studera hur man löser problemet med hjälp av verktyget "Lokal säkerhetspolicy".

1. Klicka på för att starta den angivna snapin-modulen "Start" och gå till "Kontrollpanel".



2. Öppna sedan avsnittet "System och säkerhet".



3. Klick "Administrering".



4. Välj ett alternativ från den föreslagna uppsättningen av systemverktyg "Lokal säkerhetspolicy".

   

   Du kan också starta snap-in genom ett fönster "Springa". För att göra detta, slå Win+R och skriv in följande kommando:

   Klicka sedan "OK".



5. Ovanstående steg kommer att starta GUI det önskade verktyget. I de allra flesta fall blir det nödvändigt att justera parametrarna i mappen "Lokala politiker". Sedan måste du klicka på elementet med detta namn.



6. Denna katalog innehåller tre mappar.

   I katalogen befogenheterna för enskilda användare eller grupper av användare bestäms. Du kan till exempel ange om individer eller kategorier av användare är förbjudna eller tillåtna att utföra specifika uppgifter; avgöra vem som tillåts lokal åtkomst till PC:n och vem endast via nätverket osv.

   I katalogen "Revisionspolicy" Händelserna som ska registreras i säkerhetsloggen specificeras.

   I mapp "Säkerhetsinställningar" olika administrativa inställningar är specificerade som bestämmer operativsystemets beteende när man går in i det både lokalt och via nätverket, samt interaktion med olika enheter. Dessa parametrar bör inte ändras om det inte är absolut nödvändigt, eftersom de flesta av de relevanta problemen kan lösas genom standardinställning konton, föräldrakontroll och NTFS-behörigheter.

   

7. För ytterligare åtgärder för problemet vi löser, klicka på namnet på en av ovanstående kataloger.



8. En lista med principer för den valda katalogen öppnas. Klicka på den du vill ändra.



9. Efter detta öppnas fönstret för policyredigering. Dess typ och de åtgärder som behöver utföras skiljer sig markant från vilken kategori den tillhör. Till exempel för objekt från mappen "Tilldela användarrättigheter" i fönstret som öppnas måste du lägga till eller ta bort namnet på en specifik användare eller grupp av användare. Lägg till görs genom att trycka på knappen "Lägg till användare eller grupp...".

   

   Om du behöver ta bort ett element från den valda policyn, välj det och klicka "Radera".



10. Efter att ha slutfört manipulationerna i policyredigeringsfönstret, glöm inte att klicka på knapparna för att spara de gjorda justeringarna "Tillämpa" Och "OK", annars träder ändringarna inte i kraft.

Vi beskrev ändring av säkerhetsinställningar med hjälp av exemplet på åtgärder i mappen "Lokala politiker", men på samma sätt kan du utföra åtgärder i andra utrustningskataloger, till exempel i katalogen "Kontopolicyer".

Metod 2: Använd verktyget Local Group Policy Editor

Ställa in lokalpolitik det är också möjligt att använda utrustningen "Lokal redaktör" gruppolicy» . Det är sant att det här alternativet inte är tillgängligt i alla versioner av Windows 7, utan bara i Ultimate, Professional och Enterprise.

1. Till skillnad från den tidigare utrustningen, detta verktyg kan inte startas via "Kontrollpanel". Det kan bara aktiveras genom att ange ett kommando i fönstret "Springa" eller in « Kommandorad» . Ringa Win+R och skriv in följande uttryck i fältet:

   Klicka sedan "OK".