Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

UAC помогает существующим приложениям работать с правами стандартного пользователя без модификаций, путем предоставления им специальной платформы, которая помогает последним обойтись

Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

Методическое пособие

Компьютеры, программирование

Другие методички по предмету

Компьютеры, программирование

Сдать работу со 100% гаранией

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

 

 

 

 

 

 

 

 

 

 

Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

 

 

 

 

 

 

 

 

 

 

 

 

 

2008

Оглавление

 

Введение.4

Cреда EC.5

Схема безопасности и внедрение6

Схема подразделений для политик безопасности6

Подразделение отдела8

Подразделение пользователей Windows Vista8

Подразделение компьютеров с Windows Vista9

Схема объектов групповой политики для политик безопасности9

Рекомендуемые объекты групповой политики11

Внедрение политик безопасности13

Проверка схемы в лабораторной среде15

Развертывание схемы в рабочей среде19

Средство GPOAccelerator26

Предыдущие параметры безопасности29

Работа с шаблонами безопасности30

Технологии защиты системы Windows Vista37

Контроль учетных записей37

Оценка риска39

Снижение рисков40

Процедура снижения рисков42

Защитник Windows.43

Сообщество Microsoft SpyNet44

Оценка риска45

Снижение рисков45

Условия для снижения рисков46

Процедура снижения рисков47

Использование процедуры снижения рисков47

Брандмауэр Windows48

Оценка риска49

Снижение рисков50

Условия для снижения рисков50

Снижение рисков с помощью брандмауэра Windows в режиме повышенной безопасности51

Центр обеспечения безопасности Windows53

Процедура снижения рисков55

Политики ограниченного использования программ55

Технологии защиты обозревателя Internet Explorer 757

Защищенный режим обозревателя Internet Explorer.57

Функция ActiveX Opt-in.59

Защита от атак с применением междоменных сценариев59

Строка состояния системы безопасности.60

Антифишинг.60

Аппаратная защита Windows Vista62

Технология NX (No Execute)62

Случайное расположение адресного пространства63

Защита ядра для x6464

Программная защита65

Подписывание драйверов для x6465

Контроль пользовательских учетных записей (User Account Control)67

Защита доступа к сети (Network Access Protection, NAP)72

Защита от вредоносного кода и компьютерных атак72

Центр безопасности Windows (Windows Security Center, WSC)72

Windows Defender72

Улучшения межсетевого экрана Windows74

Защита данных75

Заключение77

Литература79

 

Введение

 

Windows Vista™ на сегодняшний день самая безопасная операционная система, выпущенная корпорацией Майкрософт. Тем не менее для соответствия требованиям к сети конкретной среды могут потребоваться изменения конфигурации. В этой главе продемонстрирована относительная простота настройки параметров безопасности для усиления защиты клиентских компьютеров под управлением стандартной операционной системы, которые присоединены к домену со службой каталогов Active Directory®.

Windows Vista™ это первая клиентская операционная система от Microsoft, в которой контроль за безопасностью осуществляется на всех этапах разработки (технология Microsofts Security Development Lifecycle). Это означает, что во главу угла ставится именно безопасность новой ОС. Согласно технологии SDL, к разработчикам ПО с самого начала приставляется консультант по безопасности, который контролирует все этапы разработки на предмет отсутствия уязвимостей. Кроме того, Microsoft собирается сертифицировать Windows Vista по стандарту ISO «Общие Критерии» с целью получения сертификатов EAL4 и Single Level OS Protection Profile.

В главе приводится простой набор процедур для внедрения рекомендуемых параметров для усиления стандартной системы безопасности операционной системы. Упрощенные процедуры позволяет быстро и эффективно защитить клиентские компьютеры под управлением Windows Vista в существующей среде.

Теперь защиту операционной системы можно усилить, используя только объекты групповой политики. Предыдущие рекомендации корпорации Майкрософт требовали импорта INF-файлов шаблона безопасности и существенного изменения вручную раздела «Административные шаблоны» нескольких объектов групповой политики. Эти файлы или шаблоны больше не требуется использовать. Тем не менее INF-файлы шаблона безопасности распространяются с руководством. Их можно использовать для усиления безопасности автономных клиентских компьютеров. Все рекомендуемые параметры групповой политики описаны в приложении A «Параметры групповой политики, связанные с безопасностью».

Чтобы применить рекомендуемые параметры, необходимо:
создать структуру подразделений для существующей среды;
выполнить сценарий GPOAccelerator.wsf, который распространяется с руководством;
использовать консоль управления групповыми политиками для связи объектов групповой политики и управления ими.

Предупреждение.

Важно тщательно протестировать схемы подразделений и объектов групповой политики перед их развертыванием в рабочей среде. В разделе «Внедрение политик безопасности» этой главы описаны процедуры создания и развертывания структуры подразделений и объектов групповой политики, связанных с безопасностью, во время внедрения в тестовой и рабочей среде.

Объекты групповой политики набора базовых показателей, которые распространяются с руководством, включают сочетание протестированных параметров, которые улучшают безопасность клиентских компьютеров под управлением Windows Vista в двух различных средах:

Enterprise Client (EC)

Specialized Security Limited Functionality (SSLF)

 

 

Cреда EC

 

Среда Enterprise Client (EC), описываемая в этой главе, включает домен со службой каталогов Active Directory®, в котором компьютеры с Microsoft® Windows Server® 2003 R2 или Windows Server 2003 с пакетом обновления 1 (SP1) и Active Directory управляют клиентскими компьютерами с Windows Vista или Windows XP®. В такой среде управление клиентскими компьютерами осуществляется с помощью групповой политики, которая применяется к сайтам, доменам и подразделениям. Групповая политика обеспечивает централизованную инфраструктуру на базе Active Directory, которая позволяет выполнять изменения на уровне доменов и управлять конфигурацией пользователей и параметрами компьютеров, включая параметры безопасности и данные пользователей.

 

Схема безопасности и внедрение

 

Схема безопасности, рекомендуемая в этой главе, является основой для сценариев, описанных в данном руководстве, а также для рекомендаций по устранению проблем. В следующих разделах главы описывается основная схема безопасности и приводятся процедуры для ее тестирования и внедрения на компьютерах под управлением Windows Vista:
Схема подразделений для политик безопасности
Схема объектов групповой политики для политик безопасности
Внедрение политик безопасности

 

Схема подразделений для политик безопасности

 

Подразделение это контейнер в домене с Active Directory. Подразделение может включать пользователей, группы, компьютеры и другие подразделения. Если подразделение содержит другие подразделения, оно является родительским.

Подразделение, которое находится внутри родительского подразделения, называется дочерним.

К подразделению можно привязать объект групповой политики, после чего параметры объекта групповой политики будут применены к пользователям и компьютерам, которые находятся в этом подразделении и его дочерних подразделениях. Для упрощения администрирования можно делегировать административные полномочия каждому подразделению.

Подразделения позволяют легко группировать пользователей и компьютеры, обеспечивая эффективный способ сегментации административных границ. Корпорация Майкрософт рекомендует назначать пользователей и компьютеры различным подразделениям, так как некоторые параметры относятся только к пользователям, а другие только к компьютерам.

Можно делегировать управление группой или отдельным подразделением с помощью мастера делегирования в оснастке «Active Directory пользователи и компьютеры» консоли управления (MMC). Ссылки на документацию по делегированию полномочий см. в разделе «Дополнительные сведения» в конце данной главы.

Одна из основных задач схемы подразделений любой среды создание основы для полного внедрения групповой политики, которая применяется ко всем клиентским компьютерам в Active Directory. Это обеспечивает соответствие клиентских компьютеров стандартам безопасности организации. Схема подразделений также должна учитывать параметры безопасности для отдельных типов пользователей в организации. Например, разработчикам может быть необходим такой способ доступа к компьютерам, который не требуется обычным пользователям. Кроме того, требования к безопасности для пользоват

Похожие работы

1 2 3 4 5 > >>