на тему рефераты Информационно-образоательный портал
Рефераты, курсовые, дипломы, научные работы,
на тему рефераты
на тему рефераты
МЕНЮ|
на тему рефераты
поиск
Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

76

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

2008

Оглавление

  • Введение. 4
    • Cреда EC. 5
    • Схема безопасности и внедрение 6
    • Схема подразделений для политик безопасности 6
    • Подразделение отдела 8
    • Подразделение пользователей Windows Vista 8
    • Подразделение компьютеров с Windows Vista 9
    • Схема объектов групповой политики для политик безопасности 9
    • Рекомендуемые объекты групповой политики 11
    • Внедрение политик безопасности 13
    • Проверка схемы в лабораторной среде 15
    • Развертывание схемы в рабочей среде 19
    • Средство GPOAccelerator 26
    • Предыдущие параметры безопасности 29
    • Работа с шаблонами безопасности 30
  • Технологии защиты системы Windows Vista 37
    • Контроль учетных записей 37
    • Оценка риска 39
    • Снижение рисков 40
    • Процедура снижения рисков 42
  • Защитник Windows. 43
    • Сообщество Microsoft SpyNet 44
    • Оценка риска 45
    • Снижение рисков 45
    • Условия для снижения рисков 46
    • Процедура снижения рисков 47
    • Использование процедуры снижения рисков 47
  • Брандмауэр Windows 48
    • Оценка риска 49
    • Снижение рисков 50
    • Условия для снижения рисков 50
    • Снижение рисков с помощью брандмауэра Windows в режиме повышенной безопасности 51
    • Центр обеспечения безопасности Windows 53
  • Процедура снижения рисков 55
    • Политики ограниченного использования программ 55
    • Технологии защиты обозревателя Internet Explorer 7 57
    • Защищенный режим обозревателя Internet Explorer. 57
    • Функция ActiveX Opt-in. 59
    • Защита от атак с применением междоменных сценариев 59
    • Строка состояния системы безопасности. 60
    • Антифишинг. 60
  • Аппаратная защита Windows Vista 62
    • Технология NX (No Execute) 62
    • Случайное расположение адресного пространства 63
    • Защита ядра для x64 64
  • Программная защита 65
    • Подписывание драйверов для x64 65
    • Контроль пользовательских учетных записей (User Account Control) 67
    • Защита доступа к сети (Network Access Protection, NAP) 72
  • Защита от вредоносного кода и компьютерных атак 72
    • Центр безопасности Windows (Windows Security Center, WSC) 72
    • Windows Defender 72
    • Улучшения межсетевого экрана Windows 74
  • Защита данных 75
  • Заключение 77
  • Литература 79
  • Введение
  • Windows Vista™ - на сегодняшний день самая безопасная операционная система, выпущенная корпорацией Майкрософт. Тем не менее для соответствия требованиям к сети конкретной среды могут потребоваться изменения конфигурации. В этой главе продемонстрирована относительная простота настройки параметров безопасности для усиления защиты клиентских компьютеров под управлением стандартной операционной системы, которые присоединены к домену со службой каталогов Active Directory®.
  • Windows Vista™ - это первая клиентская операционная система от Microsoft, в которой контроль за безопасностью осуществляется на всех этапах разработки (технология Microsoft's Security Development Lifecycle). Это означает, что во главу угла ставится именно безопасность новой ОС. Согласно технологии SDL, к разработчикам ПО с самого начала приставляется консультант по безопасности, который контролирует все этапы разработки на предмет отсутствия уязвимостей. Кроме того, Microsoft собирается сертифицировать Windows Vista по стандарту ISO «Общие Критерии» с целью получения сертификатов EAL4 и Single Level OS Protection Profile.
  • В главе приводится простой набор процедур для внедрения рекомендуемых параметров для усиления стандартной системы безопасности операционной системы. Упрощенные процедуры позволяет быстро и эффективно защитить клиентские компьютеры под управлением Windows Vista в существующей среде.
  • Теперь защиту операционной системы можно усилить, используя только объекты групповой политики. Предыдущие рекомендации корпорации Майкрософт требовали импорта INF-файлов шаблона безопасности и существенного изменения вручную раздела «Административные шаблоны» нескольких объектов групповой политики. Эти файлы или шаблоны больше не требуется использовать. Тем не менее INF-файлы шаблона безопасности распространяются с руководством. Их можно использовать для усиления безопасности автономных клиентских компьютеров. Все рекомендуемые параметры групповой политики описаны в приложении A «Параметры групповой политики, связанные с безопасностью».
  • Чтобы применить рекомендуемые параметры, необходимо:
    * создать структуру подразделений для существующей среды;
    * выполнить сценарий GPOAccelerator.wsf, который распространяется с руководством;
    * использовать консоль управления групповыми политиками для связи объектов групповой политики и управления ими.
  • Предупреждение.
  • Важно тщательно протестировать схемы подразделений и объектов групповой политики перед их развертыванием в рабочей среде. В разделе «Внедрение политик безопасности» этой главы описаны процедуры создания и развертывания структуры подразделений и объектов групповой политики, связанных с безопасностью, во время внедрения в тестовой и рабочей среде.
  • Объекты групповой политики набора базовых показателей, которые распространяются с руководством, включают сочетание протестированных параметров, которые улучшают безопасность клиентских компьютеров под управлением Windows Vista в двух различных средах:
  • * Enterprise Client (EC)
  • * Specialized Security - Limited Functionality (SSLF)

Cреда EC

Среда Enterprise Client (EC), описываемая в этой главе, включает домен со службой каталогов Active Directory®, в котором компьютеры с Microsoft® Windows Server® 2003 R2 или Windows Server 2003 с пакетом обновления 1 (SP1) и Active Directory управляют клиентскими компьютерами с Windows Vista или Windows XP®. В такой среде управление клиентскими компьютерами осуществляется с помощью групповой политики, которая применяется к сайтам, доменам и подразделениям. Групповая политика обеспечивает централизованную инфраструктуру на базе Active Directory, которая позволяет выполнять изменения на уровне доменов и управлять конфигурацией пользователей и параметрами компьютеров, включая параметры безопасности и данные пользователей.

Схема безопасности и внедрение

Схема безопасности, рекомендуемая в этой главе, является основой для сценариев, описанных в данном руководстве, а также для рекомендаций по устранению проблем. В следующих разделах главы описывается основная схема безопасности и приводятся процедуры для ее тестирования и внедрения на компьютерах под управлением Windows Vista:
* Схема подразделений для политик безопасности
* Схема объектов групповой политики для политик безопасности
* Внедрение политик безопасности

Схема подразделений для политик безопасности

Подразделение - это контейнер в домене с Active Directory. Подразделение может включать пользователей, группы, компьютеры и другие подразделения. Если подразделение содержит другие подразделения, оно является родительским.

Подразделение, которое находится внутри родительского подразделения, называется дочерним.

К подразделению можно привязать объект групповой политики, после чего параметры объекта групповой политики будут применены к пользователям и компьютерам, которые находятся в этом подразделении и его дочерних подразделениях. Для упрощения администрирования можно делегировать административные полномочия каждому подразделению.

Подразделения позволяют легко группировать пользователей и компьютеры, обеспечивая эффективный способ сегментации административных границ. Корпорация Майкрософт рекомендует назначать пользователей и компьютеры различным подразделениям, так как некоторые параметры относятся только к пользователям, а другие - только к компьютерам.

Можно делегировать управление группой или отдельным подразделением с помощью мастера делегирования в оснастке «Active Directory - пользователи и компьютеры» консоли управления (MMC). Ссылки на документацию по делегированию полномочий см. в разделе «Дополнительные сведения» в конце данной главы.

Одна из основных задач схемы подразделений любой среды - создание основы для полного внедрения групповой политики, которая применяется ко всем клиентским компьютерам в Active Directory. Это обеспечивает соответствие клиентских компьютеров стандартам безопасности организации. Схема подразделений также должна учитывать параметры безопасности для отдельных типов пользователей в организации. Например, разработчикам может быть необходим такой способ доступа к компьютерам, который не требуется обычным пользователям. Кроме того, требования к безопасности для пользователей переносных и настольных компьютеров могут различаться. На следующем рисунке показана простая структура подразделений, достаточная для рассмотрения групповой политики в этой главе. Структура подразделений может не соответствовать требованиям среды вашей организации.

Рисунок 1.1. Пример структуры подразделений для компьютеров под управлением Windows Vista

Подразделение отдела

Так как требования к безопасности внутри организации могут различаться, иногда имеет смысл создать в среде подразделения отделов. Такие подразделения можно использовать для применения параметров безопасности к компьютерам и пользователям в соответствующих отделах с помощью объекта групповой политики.

Подразделение пользователей Windows Vista

Это подразделение содержит учетные записи пользователей для среды EC. Параметры, применяемые к такому подразделению, подробно описаны в приложении A «Параметры групповой политики, связанные с безопасностью».

Подразделение компьютеров с Windows Vista

Это подразделение содержит дочерние подразделения для каждого типа клиентских компьютеров под управлением Windows Vista в среде EC. Данное руководство содержит прежде всего рекомендации по безопасности для настольных и переносных компьютеров. По этой причине его разработчики создали следующие подразделения компьютеров:

* Подразделение настольных компьютеров. К этому подразделению относятся настольные компьютеры с постоянным подключением к сети. Параметры, которые применяются к этому подразделению, подробно описаны в приложении A «Параметры групповой политики, связанные с безопасностью».

* Подразделение переносных компьютеров. Это подразделение включает переносные компьютеры для мобильных пользователей, которые не всегда подключены к сети. Параметры, которые применяются к этому подразделению, также описаны в приложении A.

Схема объектов групповой политики для политик безопасности

Объект групповой политики - это коллекция параметров групповой политики, которые по сути являются файлам, созданными оснасткой групповой политики. Параметры хранятся на уровне домена и влияют на пользователей и компьютеры в сайтах, доменах и подразделениях.

Объекты групповой политики позволяют обеспечить применение конкретных параметров политики, прав пользователей и поведения компьютеров ко всем клиентским компьютерам или пользователям в подразделении. Использование групповой политики вместо настройки вручную упрощает управление изменениями (включая обновление) для большого количества компьютеров и пользователей. Настройка вручную не только неэффективна, так как требует посещения каждого клиентского компьютера, но и потенциально бесполезна: если параметры политики в объектах групповой политики домена отличаются от параметров, применяемых локально, параметры политики объекта групповой политики домена переопределяет примененные локально параметры.

Рисунок 1.2. Очередность применения объектов групповой политики

На предыдущем рисунке показана очередность, в которой объекты групповой политики применяются к компьютеру, являющемуся членом дочернего подразделения, от наиболее низкого уровня (1) к самому высокому (5). Сначала применяется групповая политика из локальной политики безопасности каждого клиентского компьютера под управлением Windows Vista. После применения локальной политики безопасности применяются объекты групповой политики на уровне сайта, а затем на уровне домена.

Для клиентских компьютеров под управлением Windows Vista, которые находятся в подразделении с несколькими уровнями, объекты групповой политики применяются в порядке от родительского подразделения до дочернего подразделения самого низкого уровня. В последнюю очереди применяется объект групповой политики из подразделения, содержащего клиентский компьютер. Это порядок обработки объектов групповой политики - локальная политика безопасности, сайт, домен, родительское подразделение и дочернее подразделение - очень важен, так как объекты групповой политики, которые применяются позже, переопределяют примененные ранее объекты. Объекты групповой политики пользователей применяются таким же образом.

При разработке групповой политики необходимо учитывать следующее.

* Администратор должен задать порядок связи нескольких объектов групповой политики с подразделением, или групповая политика по умолчанию будет применяться в порядке своей связи с подразделением. Если в нескольких политиках настроен один и тот же параметр, приоритет будет иметь политика с более высоким положением в списке политик контейнера.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8


© 2003-2013
Рефераты бесплатно, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент.