Защита перемещенных компьютеров Windows 7

Когда вы решили перейти на Windows 7, у вас появляется отличная возможность защиты своих компьютеров так, чтобы снизить TOC, количество звонков в службу справки и поддержки, и повысить производительность. Существует множество настроек, которые компьютеры Windows, и Windows 7 в особенности, предоставляют вам для достижения этой цели. Далее представлен список параметров с указанием на то, где найти подробности о их применении, чтобы можно было защитить свои системы Windows 7.

User Account Control (UAC)

Этот компонент был представлен в Windows Vista и все также надежен в Windows 7. Есть два фактора, которые необходимо учитывать при настройке UAC. Нужно учитывать, является ли пользователь администратором или простым пользователем.

Для администраторов я настоятельно рекомендую настраивать UAC так, чтобы она всегда задавала вопрос и всегда требовала ввода учетных данных. Такая настройка не приветствуется пользователями, но она обеспечивает поразительный уровень безопасности. Она создает мир, в котором, если администратор оставляет компьютер без присмотра, потенциальному взломщику, пытающемуся получить доступ к компьютеру, потребуются учетные данные администратора, чтобы получить доступ к инструментам, сети и т.д.

Для стандартных пользователей я рекомендую настраивать UAC так, чтобы она не позволяла повышение уровня прав и отказывала в доступе приложениям, компонентам и т.д., требующим административных привилегий. Если нужно разрешить пользователям выполнять такие приложение, компоненты, и т.д., нужно обратиться к помощи продуктов сторонних производителей, которые поддерживают эти опции.

Internet Explorer

Версия IE, включенная в Windows 7, обеспечивает поразительную безопасность при работе в интернете. Опция защищенного режима (Protected Mode) в IE 8 (а также в IE 7, который шел в Windows Vista) помогает вам защититься от вредоносных программ, рекламного ПО, вирусов и т.д., при работе в интернете. Это имеет ограничения не только для ваших пользователей, но и для администраторов, которые входят с использованием учетных данных с административными привилегиями, но при этом работа в интернете защищена.

Режим Protected Mode защищает вашу систему, используя функциональность UAC, добавляя при этом целостность управления и изоляции IE от других работающих приложений. Чтобы настроить IE Protected Mode, вы просто отмечаете флажком опцию, показанную на рисунке 1.

Рисунок 1: Защищенный режим для IE 7 и 8

Есть и другие отличные параметры безопасности в IE, которые трудно найти, если вы не находитесь в диалоге опций IE Internet Options. Параметры безопасности, имеющиеся в закладке Дополнительно, трудно найти, но с помощью предпочтений групповой политики вы можете централизовать администрирование, используя AD и GP для их настройки.

Брандмауэр Windows

Одним из поразительных компонентов в Windows 7 является брандмауэр. Я знаю, это звучит странно, но брандмауэр Windows подрос и уже по умолчанию идет установленными и настроенными правилами. Чтобы централизовать, настроить и определить дополнительные правила для своих компьютеров Windows 7, можно использовать групповую политику. Следующие две статьи помогут вам найти и определить параметры Windows Firewall с помощью групповой политики даже локально.

Группа локальных администраторов

Чтобы ограничить свои машины Windows 7, необходимо обеспечить присутствие только доверенных пользователей и групп домена в группе локальных администраторов на каждой машине. Для управления этой настройкой можно использовать предпочтения групповой политики.

Локальные пользователи

Большинство предприятий предпочитают не использовать локальные учетные записи пользователей на компьютерах. При переходе на Windows 7 вы можете обеспечить отсутствие локальные пользовательских учетных записей. Есть лишь весьма ограниченный ряд причин для использования локальных пользовательских учетных записей на компьютере, обычно резервируемых для разработчиков и администраторов, поэтому удаление локальных пользовательских учетных записей для стандартных пользователей является идеальным вариантом. Для выполнения этой задачи просто не нужно добавлять никаких локальных учетных записей на компьютер Windows 7, на котором есть лишь учетная запись администратора по умолчанию.

Локальные учетные записи администраторов

Необходимо обеспечить непрерывную защиту локальной учетной записи администратора. Для этого есть несколько вариантов, но по большому счету вам необходимо обеспечить частый сброс пароля. Это снизит возможность взлома пароля и его устаревания. Предпочтения групповой политики предоставляют простой, эффективный и многогранный способ изменения пароля на каждом компьютере Windows 7 при необходимости его смены.

Службы

Не нужно, чтобы пользователи выполняли какие-либо ole" службы на машинах Windows 7. Поэтому вы можете создать список разрешенных и запрещенных служб с помощью предпочтений групповой политики. Можно разбивать различные компьютеры по категориям, настраивать объекты групповой политики на управление службами, а затем просто использовать политику служб (Services) в предпочтениях для создания списка того, что должно выполняться, а что нет.

AppLocker

AppLocker представляет собой практически то же самое, что и политики ограничения программ (Software Restriction Policy), используемые в Windows XP и Vista. AppLocker не предоставляет новых деталей, но, по сути, он предоставляет те же рычаги управления, что и SRP. AppLocker создает список одобренных/разрешенных приложений и список запрещенных приложений. Находясь в списке приложений, администратор может осуществлять контроль того, что выполняется и что не выполняется на каждой машине Windows 7.

Установка схемных накопителей

Многие компании переходят к контролю использования внешних устройств хранения USB. Эти устройства можно выносить за пределы сети, использовать дома, на незащищенных компьютерах, и затем приносить обратно в компанию, что может привести к заражению сети. По этой причине нужно ограничивать использование таких продуктов. Используя групповую политику, вы можете указывать список разрешенных и запрещенных устройств, разрешая использование USB устройств хранения только для тех пользователей, которые могут брать на себя такую ответственность.

BitLocker

BitLocker представляет собой технологию шифрования дисков, которая была выпущена компанией Microsoft в Windows Vista. Эта технология проста и легка в настройке. В результате вы получаете полностью зашифрованный жесткий диск, включая системные файлы, на случай попадания компьютера в ненадежные руки.

BitLocker To Go

Операционная система Windows 7 переносит концепцию шифрования жестких дисков BitLocker на съемные носители. Новая технология под названием BitLocker To Go так же проста в настройке, как и BitLocker. С BitLocker To Go вы получаете такие замечательные возможности, как возможность просмотра информации на съемных носителях даже с тех клиентов, которые не поддерживают BitLocker To Go.

Различные операции с реестром

Существует также масса поразительных компонентов и настроек безопасности, расположенных в разделе административных шаблонов (Administrative Templates) интерфейса групповой политики. Эти параметры помогают вам контролировать многие другие аспекты ваших машин. Я рекомендую вам посмотреть эти опции и настроить их на максимальный уровень безопасности, который будет соответствовать требованиям вашей среды.

• Протоколы проверки подлинности, разрешаете ли вы работу LM и NTLM
• Доступ анонимных пользователей (это может ограничивать имена до SID разрешения, перечисление SAM, и т.п.)
• Имя последнего входа будет удалять имя пользователя из окна регистрации, когда следующий пользователь входит в систему
• Запрет использования инструментов редактирования реестра

Заключение

Windows 7 является отличной ОС, в этом нет сомнений! Есть некоторые новые и унаследованные компоненты и параметры безопасности, которые следует принять во внимание. Теперь, когда вы переходите на Windows 7, следует уделять должное внимание созданию того уровня безопасности на ваших машинах, который вам необходим. Это обеспечит значительное снижение нагрузки на TCO, улучшит производительность и снизит количество обращений в службу поддержки по поводу неправильных настроек, вносимых пользователями.