Безопасность в системе Windows Vista. Основные службы и механизмы безопасности
Методическое пособие - Компьютеры, программирование
Другие методички по предмету Компьютеры, программирование
орация Майкрософт рекомендует выполнить ряд дополнительных действий, гарантирующих безопасность организации.
Использование процедуры снижения рисков
1. Изучите возможности системы Windows Vista и Защитника Windows, связанные с защитой от программ-шпионов.
2. Изучите параметры групповой политики для Защитника Windows.
3. Проанализируйте необходимость дополнительной защиты организации от вирусов.
4. Составьте план оптимального процесса обновления для компьютеров в организации. Возможно, что для переносных компьютеров потребуется иная конфигурация обновлений, чем для настольных компьютеров.
5. Научите пользователей самостоятельно определять подозрительные действия компьютера.
6. Обучите сотрудников службы поддержки использовать средства Защитника Windows для оказания помощи при обращениях в службу.
Брандмауэр Windows
Персональный брандмауэр является важнейшей линией защиты от многих видов вредоносных программ. Как и брандмауэр в ОС Windows XP с пакетом обновления 2 (SP2) брандмауэр в системе Windows Vista включен по умолчанию для защиты компьютера пользователя сразу после запуска операционной системы.
Брандмауэр Windows в системе Windows Vista включает фильтрацию входящего и исходящего трафика для защиты пользователей путем ограничения ресурсов операционной системы, ведущих себя непредусмотренным образом. Брандмауэр также интегрируется с функцией осведомленности о состоянии сети системы Windows Vista, что позволяет применять специализированные правила в зависимости от местонахождения клиентского компьютера. Например, если переносной компьютер расположен в сети организации, правила брандмауэра могут быть определены администратором доменной сетевой среды в соответствии с требованиями к безопасности этой сети. Тем не менее, если пользователь пытается подключить тот же самый переносной компьютер к Интернету через публичную сеть, например, бесплатную точку подключения к беспроводной сети, автоматически будет использован другой набор правил брандмауэра, гарантирующий, что компьютер будет защищен от атаки.
Кроме того, впервые для операционной системы Windows система Windows Vista интегрирует управление брандмауэром с IPsec (Internet Protocol security). В системе Windows Vista IPsec и управление брандмауэром интегрированы в одну консоль консоль брандмауэра Windows в режиме повышенной безопасности. Эта консоль позволяет централизованно управлять фильтрацией входящего и исходящего трафика и параметрами изоляции сервера и домена IPsec с помощью пользовательского интерфейса для упрощения настройки и уменьшения количества конфликтов политик.
Оценка риска
Подключение к сети является жизненно важным требованием в современном бизнесе. Тем не менее, такое подключение также является основной целью злоумышленников. Угрозы, связанные с подключением, необходимо устранить, чтобы гарантировать безопасность данных и компьютеров. Наиболее известные угрозы для организации, связанные с сетевыми атаками, включают в себя следующее.
Компьютер, используемый злоумышленником, который может впоследствии получить к этому компьютеру доступ с правами администратора.
Приложения для сканирования сети, которые злоумышленник может использовать для обнаружения открытых сетевых портов, позволяющих провести атаку.
Конфиденциальные бизнес-данные, которые могут стать доступными неавторизованным пользователям, если программа типа Троянский конь сможет открыть несанкционированное сетевое подключение между клиентским компьютером и компьютером злоумышленника.
Переносные компьютеры, которые могут подвергнуться сетевым атакам при нахождении за пределами сетевого брандмауэра организации.
Компьютеры во внутренней сети, которые могут подвергнуться сетевой атаке с уязвимого компьютера, подключенного напрямую к внутренней сети.
Потенциальный риск шантажа организации в случае успешного использования злоумышленником внутренних компьютеров.
Снижение рисков
Брандмауэр в системе Windows Vista обеспечивает защиту клиентского компьютера с момента установки операционной системы. Брандмауэр блокирует большую часть нежелательного входящего трафика, если администратором или параметрами групповой политики не были внесены изменения.
Брандмауэр Windows также включает фильтрацию исходящего сетевого трафика, и изначально это правило установлено на значение Разрешить для всего исходящего сетевого трафика. Параметры групповой политики можно использовать для настройки этих правил в брандмауэре Windows Vista, чтобы гарантировать, что параметры безопасности клиента останутся постоянными.
Условия для снижения рисков
Имеется ряд вопросов, которые следует учесть, если планируется использовать брандмауэр в системе Windows Vista.
Протестируйте взаимодействие с приложениями, которые необходимо использовать на компьютерах в организации. Для каждого приложения необходимо составить список требований к сетевым портам, чтобы гарантировать, что в брандмауэре Windows будут открыты только необходимые порты.
Брандмауэр Windows XP поддерживает доменный и стандартный профили. Профиль домена активен, если клиент подключен к сети, которая содержит контроллеры домена для домена, в котором находится учетная запись компьютера. Это позволяет создавать правила в соответствии с требованиями внутренней сети организации. Брандмауэр Windows Vista включает частный и общий профил