Читайте также:
|
Windows 7 имеет множество других дополнительных функций безопасности, таких как расширенные опции шифрования и биометрика. Безопасное подключение по незащищенным каналам должно гарантироваться. Управление доступом, контроль кражи или возможного использования собранных данных является тем, что следует планировать при развертывании Windows 7, поскольку аварии случаются, и данные теряются. Более того, по причине мобильности рабочей силы и использования ноутбуков в личных целях, безопасность подвергается риску, когда пользователь теряет свой ноутбук, забывает его где-либо или когда ноутбук украден. Если используются USB накопители и они теряются, каким образом ваши данные будут оставаться защищенными? Для подготовки к таким и иным ситуациям можно использовать следующие функции безопасности в Windows 7:
Биометрия (Biometrics) ' биометрические данные используются для управления доступом. Большинство компьютеров (особенно линейка IBM/Lenovo ThinkPad) идут со встроенным устройством считывания отпечатков пальцев. В ближайшем будущем станут доступны устройства для считывания всех биометрических данных для всех систем, устройств и технологий домашнего пользования, использования на предприятиях и в прочих целях. Публичные библиотеки будут отказываться от карточек абонемента в пользу сканеров сетчатки глаза. Злоумышленное использование вашей личной информации теми, кто хочет ею воспользоваться, пока что препятствует масштабному распространению такой технологии, но вскоре интерактивные банковские услуги, приложения родительского контроля и прочие персональные функции будут осуществляться с помощью разного рода биометрической идентификации. Windows 7 поддерживает биометрию. Компания Microsoft плотно поработала с разработчиками устройств считывания отпечатков пальцев и разработчиками аппаратного оборудования, чтобы обеспечить Windows 7 возможностью выполнения заявленных производителем задач. Управление идентификацией является очень важным аспектом, который следует учитывать при применении безопасности
BitLocker Drive Encryption (BDE) ' BitLocker (и BitLocker to Go) используется для обеспечения безопасности данных, хранящихся на внутренних и внешних жестких дисках системы. В Windows 7 можно использовать обе версии BitLocker для защиты данных на внутренних жестких дисках, внешних винчестерах, и прочих внешних/съемных устройствах хранения данных. BDE может защищать данные, хранящиеся на таких дисках путем запроса учетных данных для доступа, а также использует TPM.
Функция Microsoft Trusted Platform Module (TPM) Management доступна только на TPM-совместимом аппаратном оборудовании. Если это оборудование совместимо, Windows Vista/7 и Windows Server 2008 могут использовать продвинутые функции и возможности безопасности. Microsoft's Trusted Platform Module (TPM) Management является новой функцией, доступной в Windows Vista/7 и Microsoft Windows Server 2008. Ее основной задачей является предоставление Windows системам возможности использовать продвинутые функции обработки и шифрования на аппаратном уровне. Как говорилось ранее в этой статье, некоторые из этих функций требуют продвинутого (и совместимого) аппаратного оборудования. Если вы попытаетесь использовать такую функцию и обнаружите, что она неактивна или ее невозможно использовать, скорее всего, ваши аппаратные средства несовместимы с такой функцией или вы используете ту версию Windows 7, в которой данная функция недоступна.
Совет: TPM можно настраивать и управлять из BIOS компьютера и оснастки MMC, установленной ранее.
Можно также безопасно подключаться к удаленным ресурсам в Windows 7 с помощью настройки IPsec/VPN соединений. Virtual Private Network (VPN) – это термин, используемый для описания безопасности, применяемой для защиты от атак. Здесь вы также создаете соединение по незащищенной публичной сети (интернет), но поскольку туннель шифрования применяется для преобразования такого подключения в частное, вы подключаетесь по защищенному каналу. Можно быстро создавать новые VPN соединения путем перехода в меню Пуск, ввода VPN и перехода в пункт Панели управления для создания нового VPN подключения, как показано на рисунке 3.
Рисунок 3: Настройка VPN подключения
Можно создавать подключения к другим системами с помощью расширенных протоколов, которые предоставляют крайне высокий уровень безопасности посредством алгоритмов шифрования. Это обычно требует ЦП с возможностью аппаратного шифрования. Это избавляет ОС от необходимости обработки, что значительно будет экономить ресурсы системы. VPN можно использовать для создания защищенных подключений к другим системам.
Примечание: при управлении удаленными системами Microsoft можно использовать Remote Desktop Connection (RDC). Если используется Telnet в качестве инструмента удаленного подключения для системы Unix и сетевых устройств Cisco (например), следует отключать эту службу (отключена по умолчанию), и использовать Secure Shell (SSH).
Можно также создавать управляемые туннельные подключения с помощью протокола IPsec и управлять ими посредством оснасток консоли MMC и брандмауэра Windows Firewall. Существуют такие функции в консоли, которые позволяют вам управлять и диагностировать IPsec подключения, например, несоответствующий ключ, проблемы с SA, проблемы с рядами шифрования, предложения, настройки жизненного цикла и другие проблемы на основе ISAKMP. Этими параметрами можно управлять из брандмауэра Windows Firewall, в разделе дополнительных функций (Advanced Features).
Когда параметры контроля доступа и восстановления данных выбраны и вы можете безопасно подключаться к сетевым ресурсам через зашифрованные туннели, что если вам нужно предоставить защищенный общий доступ к ресурсам в домашней или корпоративной сети? Windows 7 имеет новую функцию под названием HomeGroup (домашняя группа), расположенную в панели управления (Control Panel). Можно настраивать ее на внесение изменений в вашу систему, чтобы подключаться к другим компьютерам вашей домашней сети по защищенному каналу для предоставления общего доступа к ресурсам, как показано на рисунке 4.
Рисунок 4: Настройка Windows 7 HomeGroup
Windows 7 можно настроить на предоставление общего доступа к ресурсам для других систем по защищенной домашней сети. При правильной настройке функции HomeGroup она может предоставлять базовую безопасность для доступа, использования и совместного использования ресурсов. Например, если настроить два компьютера в домашней сети, и один из них будет использовать локальный принтер, HomeGroup позволяет предоставлять общий доступ к этому принтеру, как к ресурсу, в результате чего ваши домашние системы смогут его использовать. Вы также можете защищать доступ с помощью пароля и указывать то, какие системы могут его использовать, а какие нет. В Windows 7 эта функция заменила функцию рабочей группы (Workgroup). Все версии Windows 7 могут присоединяться к HomeGroup, однако создание HomeGroup возможно только в Home Premium, Professional или Ultimate версиях.
Конечно, Windows 7 можно защитить по максимуму, если использовать ее совместно с Windows Server 2008 в среде Active Directory. Использование операционных систем класса предприятия дает возможность полного ограничения и мониторинга. Например, просмотр веб содержимого можно контролировать и выполнять его мониторинг с помощью Active Directory, групповой политики, специальных ограничительных шаблонов и наборов, а также других инструментов, таких как прокси-серверы. Пользователь может выполнить вход в каталог (домен), после чего за ним устанавливаться полный мониторинг и контроль. Все действия, выполняемые конечным пользователем, регистрируются в журнал и записываются. А инструменты и сервисы, предоставляемые Windows, можно настраивать, изменять или полностью удалять.
С помощью линейки продуктов Forefront каждый аспект работы пользователя, проверки идентификации, записи журналов и мониторинга можно охватить и управлять им из единой консоли. Вы даже можете использовать Windows Server еще надежнее путем его интеграции с Forefront. Forefront является новой линейкой продукции Microsoft, целью которой является предоставление полного набора средств безопасности по всему предприятию. Здесь есть предложения для серверов, настольных компьютеров, управления доступом и специализированные решения для SharePoint, среди всего прочего. При использовании Windows клиентов в среде предприятия это решение обеспечивает многогранное применение настроек безопасности, а также дополнительные опции для централизованного управления и мониторинга.
В некоторых случаях вам придется использовать Active Directory. Например, что если вам по закону нужно выполнять аудит всего доступа к корпоративным ресурсам и сохранять копии всей почты сотрудников? При работе на предприятии проведение аудита вызывает значительный негатив со стороны сотрудников ' особенно если это публичная торговая компания. Данные «должны» защищаться и иметь возможность восстановления. Необходимо отвечать определенным требованиям и уровням безопасности, а это достигается в первую очередь через правительственное законодательство. (Sarbanes Oxley и HIPPA).
На предприятии вы сможете обеспечить более высокий уровень безопасности для рабочих станций или настольных ПК, просто используя службу каталогов Active Directory (AD DS), доменную модель, групповую политику и прочие инструменты централизации и контроля функций безопасности. Kerberos используется для защиты всех транзакций посредством билетов. Это создает надежный фундамент, на который можно опереться. Если вы будете базироваться на этом фундаменте, возможности применения продвинутого уровня безопасности бесконечны.
Windows 7 можно управлять как клиентом, а если это делается в модели доменов, Active Directory обеспечивает безопасность посредством интеграции всех служб и доступа, а также предоставляет множество стратегий безопасного развертывания, таких как установки только «ядра» необходимых функций и сервисов, что ограничивает потенциальные возможности для атак, или защищенная установка и настройка, доступная через множественные опции и инструменты. Также, при правильном применении групповой политики можно развернуть многие функции, оговоренные в этой статье, например, можно интегрировать BitLocker в AD и затем развернуть эту функцию с помощью политики. Можно контролировать Internet Explorer, ограничивая доступ или полностью блокируя его с помощью настраиваемого списка известных неблагонадежных сайтов и сетей.
Можно также развернуть другие расширенные опции безопасности Windows 7 для повышения ее уровня следующим образом:
Advanced DNS Security ' Domain Name System Security (DNSSec) расширения, поддерживаемые в Windows 7, обеспечивают новый уровень безопасности для разрешения имен. Поскольку DNS столь важна и в большинстве случаев является хребтом всех решений, она также представляет собой цель для многих атак, и полагается на повышение уровня безопасности для обеспечения работоспособности и отсутствия уязвимостей. RFCs 4033, 4034 и 4035 перечисляют новые стандарты в обеспечении безопасности DNS, которым отвечает Windows 7.
DirectAccess ' DirectAccess является функцией Windows 7, позволяющей мобильным сотрудникам работать удалено через интернет без необходимости использования VPN технологии. DirectAccess тесно связана с вашими ресурсами предприятия и обеспечивает безопасный удаленный доступ к ним. Она дает мобильным сотрудникам возможность получать удаленную поддержку от сотрудников информационных отделов. DirectAccess позволяет вам управлять компьютерами удаленно и обновлять их с помощью групповой политики. DirectAccess использует IPv6 через IPsec для шифрования трафика в публичной сети интернет.
AppLocker ' при работе с редактором локальной политики безопасности (Local Security Policy Editor) (или групповой политики) вы теперь имеете возможность настраивать AppLocker, который представляет собой функцию Windows 7, управляющую доступом к установленным в ОС приложениям. При корректной настройке вы можете блокировать, ограничивать и контролировать приложения на ПК. Данная функция делает это с помощью наборов правил. Вы можете настроить правила для управления приложениями, управления обновлениями и т.д. На рисунке 5 показан редактор Local Security Policy в Windows 7, где можно настроить безопасность приложений с помощью AppLocker.
Рисунок 5: Использование AppLocker для защиты приложений
Наконец, всегда следует учитывать свою сеть. Беспроводные системы имеют точки доступа для вторжения и проникновения. Роутеры, коммутаторы и другие управляемые устройства в вашей сети подвержены атакам, если их не укреплять. По этой причине концепция Defense in Depth является критической ' необходимо охватывать каждую точку входа и области уязвимостей.
Совет: с помощью Windows Server 2008 R2 и продуктами сторонних производителей, таких как Cisco Systems, можно разворачивать NAP/NAC для защиты и внедрения политики управления доступом. В Microsoft инфраструктура Network Access Protection (NAP) состоит из NAP клиентов и серверов Health Registration Authority (HRA), а также может дополнительно управляться с помощью сервера сетевой политики (Network Policy Server – NPS). NAP будет контролировать клиентский доступ посредством предварительно настроенной политики соответствия. Если клиент не отвечает требованиям политики, его можно динамично настроить на соответствие им. Политику можно также настроить на разрешение или запрещение доступа. Cisco использует схожую технологию под названием Network Admission Control (NAC). При совместном использовании среды Microsoft/Cisco вы можете обеспечивать высокий уровень защиты и управления.
Заключение
Система Windows 7 при использовании дома может ограничиваться и легко управляться. Вы даже можете настраивать ее для безопасного доступа к ней из удаленного места через интернет. Windows 7 можно сделать пуленепробиваемой, если вы действительно хотите упрочить ее по максимуму. Но она все равно будет оставаться целью для атак и скорее всего ею станет, если вы, например, используете компьютер для работы в интернете. Можно запланировать такую вероятность и защитить Windows 7 соответствующим образом.
Такие базовые принципы защиты, как Defense in Depth, должны применяться совместно с руководствами по безопасности и лучшими методиками, чтобы вы не только применяли безопасность для защиты, но несколько ее уровней, которые бы охватывали всю архитектуру и код ОС.
При рассмотрении использования Windows 7, в сегодняшних условиях хакерских атак и уязвимостей, опции безопасности и гибкость являются самыми приоритетными при принятии таких решений. Windows 7 абсолютно надежна, но она безопасна не на 100%. Вам нужно применять знания, прочие инструменты и дополнительные настройки, чтобы защитить все аспекты системы, а также обновлять и выполнять мониторинг как можно чаще. Но если вы хотите избежать атак, это следует делать. Windows 7 имеет множество усовершенствований в области безопасности и может быть настроена на быстрое восстановление.
Также, базовые принципы безопасности, такие как Defense in Depth, должны применяться в сочетании с другими руководствами и рекомендациями по безопасности, чтобы применять безопасность не только ради защиты, но применять безопасность на многих уровнях, охватывающих все аспекты архитектуры и кода, выполняемого ею.
http://www.oszone.net/12741/Windows-7-Security-1
http://www.oszone.net/13004/Windows-7
Дата добавления: 2015-10-26; просмотров: 119 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Аварийное восстановление | | | Термализация нейтронов |