Безпека Windows 7 (частина 1)

admin Статті про Windows

Безпека Windows 7 (частина 1)

Безпека Windows 7. Windows 7 - це остання клієнтська ОС для комп'ютерів від компанії Microsoft, яка побудована з урахуванням сильних і слабких сторін своїх попередників, Windows XP і Windows Vista. Кожен аспект базової операційної системи, а також виконання служб, і те, як вона керує програми, завантаженими в неї, були переглянуті, і по можливості були вжиті заходи щодо поліпшення її безпеки. Всі вдосконалені сервіси та нові опції безпеки роблять цю ОС більш надійною. Крім деяких основних удосконалень і нових служб, ОС Windows 7 надає більше функцій безпеки, кращі можливості аудиту та моніторингу, а також можливості шифрування підключень і даних.

Налаштування безпеки в Windows 7

У Windows 7 мають місце деякі удосконалення внутрішнього захисту для забезпечення безпеки такими внутрішніми компонентами системи, як Kernel Patch Protection (захист патча ядра), Service Hardening (зміцнення сервісів), Data Execution Prevention (запобігання несанкціонованого виконання даних), Address Space Layout Randomization (внесення випадковості в верстку адресного простору) і Mandatory Integrity Levels (обов'язкові рівні цілісності).

Windows 7 створена для надійного використання. З одного боку вона була розроблена в рамках Microsoft's Security Development Lifecycle (SDL) і спроектована для підтримки вимог Common Criteria, що дозволило їй отримати сертифікацію Evaluation Assurance Level (EAL) 4, яка відповідає вимогам федерального стандарту обробки інформації (Federal Information Processing Standard - FIPS ) # 140-2. При використанні Windows 7 як окремої системи її можна захищати особистими засобами безпеки. Windows 7 містить безліч різних інструментів безпеки, але саме в поєднанні з Windows Server 2008 (R2) і Active Directory ця ОС стає бронежилетом. Використовуючи додаткові методи безпеки таких інструментів, як Group Policy, ви можете контролювати кожен аспект безпеки ваших комп'ютерів. Якщо Windows 7 використовується в домашньому офісі або особистих цілях, її також можна захищати щоб уникнути багатьох нинішніх методів злому, і систему можна швидко відновлювати після збою, тому, хоча спільне використання цієї ОС з Windows 2008 є більш надійним, воно зовсім необов'язково для застосування високого рівня безпеки в Windows 7. Також слід враховувати той факт, що, хоча Windows 7 безпечна за своєю природою, це зовсім не означає, що вам потрібно повністю покладатися на стандартну конфігурацію і що немає необхідності вносити зміни для поліпшення безпеки. Також не варто забувати про те, що з часом ви будете піддані ризику зараження якимось шкідливим кодом або інтернет атаці, якщо комп'ютер використовується в будь-якої публічної мережі. Якщо комп'ютер використовується для будь-якого типу публічного доступу в інтернет, ваша система та мережа, до якої вона підключена, стають доступними для можливих атак.

У цій статті ми розглянемо основи, які необхідно знати про правильне налаштування безпеки Windows 7, досягнення потрібного рівня безпеки, а також поговоримо про розширені параметри безпеки і розглянемо деякі менш відомі функції безпеки, які Windows 7 пропонує для профілактики і захисту від можливих атак. Ми також розглянемо багато способів, якими ви можете захистити свої дані і відновитися у випадку, якщо ви все ж зазнали будь-якої атаки або критичного збою системи. У цій статті представлений концепт безпеки, як зміцнювати Windows 7, як встановлювати і забезпечувати безпеку працюючих додатків, як управляти безпекою в системі Windows 7 і як запобігати проблеми, викликані шкідливим кодом. У цій статті також буде розглянуто процес захисту даних, системні функції резервного копіювання і відновлення, процес відновлення операційної системи в попередній стан і способи відновлення даних і стану системи в разі виникнення критичного збою роботи системи. Ми також розглянемо стратегії, що дозволяють зробити це швидко. Також будуть порушені теми безпечної роботи в мережі та інтернеті, настройки біометричного контролю для розширеного управління доступом і те, як в Windows 7 при спільній роботі з Windows Server 2008 (і Active Directory) можна використовувати деякі інтегровані опції контролю, управління і моніторингу. Мета цієї статті - ознайомити вас з функціями безпеки Windows 7, поліпшеннями і додатками, а також надати більш детальну картину того, як планувати і застосовувати ці функції безпеки належним чином. Всі порушені нами тут теми будуть розбиті і організовані в окремі блоки.

Примітка: при роботі в корпоративній або іншої виробничій мережі не вносьте зміни в комп'ютери своєї компанії. Переконайтеся, що працюєте в рамках виданого компанією плану або політики безпеки, з урахуванням всіх методик, принципів та настанов компанії. Якщо ви не знайомі з темою безпеки і продуктами компанії Microsoft, читайте документацію продукції, перш ніж вносити зміни в свою систему. А про те як встановити Windows 7 на ноутбук читайте в статті - Установка Windows 7 на ноутбук.

Базові моменти безпеки Windows 7

Перш ніж ми зануримося в глиб специфіки налаштування безпеки Windows 7, важливо спочатку представити базові поняття безпеки і те, як планувати їх застосування. Нам також потрібно буде знати, чому моніторинг є критично важливим для підтримки безпеки і як правильно вести спостереження за службами безпеки на предмет виникнення проблем. Також важливо знати, як здійснювати моніторинг безпеки і виявляти вашу можливу схильність потенційним атакам. Безпека - це не те, що робиться на швидку руку. До неї потрібно ретельно готуватися і застосовувати її до кожного технічного аспекту установки, і вона повинна завжди бути присутня. Її також необхідно ретельно продумувати до установки, а після установки виконувати постійний моніторинг і аудит. Управління безпекою вимагає аналізу для точного налаштування поточної архітектури безпеки, а також виявлення потенційних атак. У більшості випадків, ваша безпека буде перевірятися зломщиком або шкідливим кодом для пошуку доступу, ви можете потенційно захистити себе превентивними заходами, якщо бачите спроби злому або зараження. За допомогою ведення логів та їх подальшого аудиту ви зможете знайти інформацію про спроби входу в ваш роутер, про спроби входу від імені адміністратора і т.д.

Журнали та оповіщення дуже корисні, оскільки, якщо щось піде не так, ви швидко і правильно зможете на це відреагувати за допомогою аналізу вихідних IP адрес або спроб входу, зафіксованих додатком аудиту. Реагування на атаку при наявності детального плану називається 'реакцією на подію'. Підготовленість - це ключ до реакції на подію, тому наявність плану попередніх і наступних дій є критично важливим для безпеки. План відновлення після збоїв (Disaster Recovery Plan) [іноді використовується спільно з планом безперервності бізнесу (Business Continuity Plan - BCP)] міститиме стратегію відновлення після подій. Деякі команди ІТ-спеціалістів також виділяють співробітників для утворення команди реагування на інциденти "(Incident Response Team) ', яка при необхідності відповідає за розробку плану з усунення та вирішення критичних проблем, що виникли в результаті збою системи, втрати даних, мережевих або системних атак і т.д.

Отже, домашні користувачі повинні використовувати таку ж стратегію, тільки на спрощеному рівні. Вам теж потрібно захищати свої системи, реагувати на збої, тому хороший план, створений заздалегідь, може вам надати дуже корисну послугу в майбутньому. Хорошим прикладом простого плану буде, наприклад, таке: якщо ваша система заражена шкідливим кодом (наприклад, трояном), вам буде потрібно перевстановлювати свою ОС, якщо всі інші заходи і спроби виправлення не увінчалися успіхом. Якщо справа йде саме так, то вам потрібні члени команди з розподіленими обов'язками, докладні кроки (або список) і процедури ще до інциденту, щоб ви могли належним чином на нього відреагувати, а також потрібно провести перевірку, щоб бути впевненим в тому, що все виконано правильно після відновлення. Наявність доступу до файлів встановлення або будь-яких інших програм і додатків, перш ніж вони будуть потрібні, може заощадити вам час, а продуманий план може вказати вам, де шукати всі необхідні інструменти, коли час може грати вирішальну роль.

Примітка: читайте Налаштування Wi-Fi у Windows 7 та Відновлення завантаження Windows 7 і Windows XP

Також слід якумога частіше переглядати свої плани, особливо після критичних проблем або збоїв, і при необхідності додавати в них певні дії. Коли ваш план готовий, слід враховувати його створення на засадах з великою кількістю функцій і служб безпеки.

Порада: безпеку слід продумувати і застосовувати в кожної використовуваної системі або службі, щоб знижувати ступінь ризику, пов'язаного з атаками, які виходять від будь-якої з них під час роботи. І якщо безпека застосована таким способом, що ви зможете завчасно запобігти атаці (або відновитися після неї), у вас буде менше роботи з реагуванням на такі атаки та їх облік. Безпека, навіть на самому базовому рівні, повинна застосовуватися так, щоб захищати ваші дані згодом, щоб навіть у випадку, якщо вам доведеться встановлювати Windows з нуля, ви могли застосувати свої дані пізніше для подальшого їх використання. Безпеку не можна ігнорувати.

Вам також слід враховувати застосування безпеки концептуально і технічно, використовуючи концепцію безпеки під назвою Глибокий захист (Defense in Depth). Безпеку необхідно продумувати і застосовувати до всіх систем, сервісів, додатків і мережевого обладнання, забезпечуючи роботу вашої системи і підключення до інтернету. Опубліковані політики і продумані плани забезпечують продуктивність користувачів системи, і знайомлять їх з загальними політиками використання. Безперервне обслуговування дозволить забезпечувати приріст ваших вкладень. Щоб запобігти появі «дір» в архітектурі безпеки, необхідно використовувати планування і застосовувати модель безпеки, що використовує концепцію 'Defense in Depth'. На малюнку показано застосування такої концепції на спрощеному рівні, ви можете (і, звичайно, повинні) додавати додаткові рівні в залежності від того, як побудована ваша домашня або корпоративна мережа.

Концептуалізації і реалізація захисту Defense in Depth

Захист Defense in Depth, як видно з малюнка, можна підлаштовувати у відповідність з вашими потребами. У цьому прикладі, політика безпеки необхідна для забезпечення безпечної взаємодії користувачів системи та мережі. Також, зміцнення ваших систем, телефонів, настільних ПК, сервісів, додатків, серверів, роутерів, комутаторів і PBX повинно бути взято до уваги, щоб бути впевненим в тому, що всі точки доступу охоплені. Також непогано мати такий засіб захисту публічної мережі, як міжмережевий екран, але завжди потрібно розширювати ці межі і додавати такі елементи, як фільтри та сканери, щоб забезпечити більш багатогранну підтримку. Вам також потрібно буде мати можливість здійснювати моніторинг та вести журнали всієї інформації для її подальшого використання.

Windows 7 також була створена для інтеграції та використання в середовищах, які повинні відповідати вимогам високого рівня безпеки, таким як урядові та військові середовища. При обліку базових принципів безпеки Windows важливо пам'ятати, що будь-яка система виробничого рівня повинна бути сертифікована рівнем безпеки C2 з Orange Book. Microsoft Windows також повинна відповідати вимогам сертифікації Common Criteria Certification. Windows 7 дуже гнучка система, і її багато опції дозволяють налаштувати її для використання всіх її функцій (мінімальна безпека), або використання тільки базових можливостей, і тих операцій, які ви налаштували для використання (максимальний рівень безпеки). У Windows 2008 і Windows 7 функція безпеки підвищиться в десять разів, якщо ці дві ОС спільно налаштовані належним чином.

Примітка: важливо пам'ятати, що заперечення проблеми (або потенційної проблеми) - не варіант. Залишені на потім, або взагалі ігноруюючися проблеми лише ускладнюють ситуацію. Лінь лише виграє вам трохи часу. Безпека в невідомості такою не є. Невідповідність вимогам лише додає проблем пізніше, коли необхідна відповідність. Ретельне розгортання безпеки на домашньому ПК або на підприємстві (однаково важливі) запобіжить проникненню і атаці, і забезпечить кілька рівнів захисту для більшої надійності роботи ваших систем. Необхідно знати основи безпеки і те, як діяти до і після виникнення атак, якщо вам потрібен захист. Рекомендую ознайомитися з статтями: Редагування меню завантаження Windows 7 та Як перенести файли завантаження Windows 7.

Отже, тепер, коли ви ознайомлені з основними поняттями безпеки, давайте застосуємо те, що ми дізналися, при налаштуванні параметрів безпеки Windows 7. Враховуючи, що у нас є знання того, чому потрібно застосовувати безпеку, коли її застосовувати, а також нам відомі причини управління нею, моніторингу та безпека, нам лише потрібно застосувати ці концепції безпеки під час налаштування системи Windows 7. Це здійснюється досить просто, якщо знаєш, що потрібно зробити. Якщо ви новачок в Windows або відчуваєте труднощі зі звиканням до 7 (можливо ви не використали Vista), то дуже важливо відвести частину часу для ознайомлення з цими інструментами за допомогою таких інтернет ресурсів, як TechNet або Microsoft Support. Наприклад, багато шаблонів та переліків можна знайти в інтернеті на сайті Microsoft.com, що дасть вам можливість пройти крок за кроком через застосування і використання безпеки в своїй системі Windows. Ви також можете знайти корисні інструменти в розділі додаткових посилань в кінці цієї статті.

Шаблони не є панацеєю і іноді можуть викликати протилежний ефект, якщо їх використовувати неправильно (або вони налаштовані неправильно), тому завжди будьте уважні, навіть якщо завантажуєте ці шаблони безпосередньо з Microsoft.com. Дуже важливо завжди читати документацію, яка йде з шаблоном, щоб мати можливість правильно його застосувати. Також буде правильним сказати, що без певних знань основ самої ОС, або знань базових принципів роботи ОС ви не зможете забезпечити високий рівень безпеки на тривалий час. Чітке розуміння ядра ОС та її служб необхідно, якщо ви хочете мати можливість забезпечувати високу ступінь захисту навіть після налаштування базового рівня безпеки. Причиною того, чому це важливо для всіх, хто застосовує безпеку в ОС, є знання того, що ваша система активно сканується і перевіряється на предмет вразливостей. Ведення журналів реєстрації подій вкрай корисно, оскільки ви можете налаштувати аудит (а як приклад) і отримувати докладну інформацію про те, що відбувається з вашою системою і всередині її. Більшість (якщо не всі) журналів за своєю природою є не дуже зрозумілими і можуть створювати проблеми, використовуючи узагальнені терміни або машинну мову. Вам потрібно виходити в інтернет і розгадувати таємниці цих журналів, що з певним досвідом стає робити все простіше і простіше. Ви прочитаєте безліч речей, про які раніше не знали, а також знайдете безліч інструментів, які захочете додати у свій пакет інструментів, після того як протестуєте їх.

Вам також потрібен певний рівень гнучкості при застосуванні безпеки, рівень, який дозволить вам відповідати цілям і вимогам підприємства (таким як доступ в інтернет) без проблем, в той же час, підтримуючи високий рівень безпеки. Чудовим прикладом може стати інструмент управління призначеними для користувача обліковими записами (User Account Control - UAC), який, при правильному налаштуванні, може забезпечувати високий рівень безпеки або може бути зовсім відключений. Вам потрібно буде перезавантажити комп'ютер, якщо ви відключаєте UAC.

Інструмент UAC використовується для того, щоб не дозволяти програмам чи додаткам вносити зміни в операційну систему комп'ютера. Він працює за допомогою обмеження доступу в ядрі ОС, і потім надає докладну інформацію користувачам про ту програму, яка намагалася себе встановити або внести зміни в ОС. Це корисно тим, що дає можливість перевірити, що робить програма, і вжити заходів, якщо ви не хочете, щоб ця програма внесла зміни. UAC вперше була представлена в Windows Vista, але оскільки її не можна було відключити, її вважали «дратівною» як мінімум. Вона дратувала користувачів, які не могли її обійти. Розробники Windows також мали безліч труднощів з написанням коду через обмеження UAC і потребували обхідних шляхів. Тепер, коли Windows 7 вийшла, UAC можна відключати, повністю прибираючи рівень безпеки і забезпечуючи більше гнучкості і варіантів вибору.

Увага! Щоб убезпечити систему, не рекомендується повністю відключати UAC, або якщо з якихось причин вам знадобилося це зробити, не забудьте включити її знову.

Установка і зміцнення безпеки Windows 7

Windows 7 безпечна за своєю природою.  Під час установки ОС завжди рекомендується виконувати свіжу установку ОС на нещодавно придбане (або оновлене) сумісне апаратне обладнання і потім зміцнювати її.  Зміцнення безпеки системи являє собою процес підвищення рівня безпеки на щойно встановленої базової операційній системі шляхом настройки необхідних параметрів безпеки, видалення непотрібного ПЗ та налаштування додаткових параметрів політики.

Примітка: Потрібно виконати невелику роботу з планування, коли мова йде про вибір апаратного обладнання для Windows 7, оскільки якщо ви хочете використовувати віртуалізацію, Windows Trusted Platform Module (TPM) Management та інші функції, такі як BitLocker, вам потрібно придбати відповідне апаратне обладнання,  щоб ці функції працювали.

Після коректної установки ОС і її базового налаштування відбувається процес її зміцнення.  Чи слід завжди виконувати нову установку або можна зміцнити вже працюючу ОС Windows?  Технічно ви можете зміцнити вже використовувану систему, але перш ніж це зробити, вам спочатку потрібно ознайомитися з нею, проаналізувати її, оглянути, і, звичайно, провести аудит рівня безпеки, налаштованого і використовуваного в цій системі.  Немає сенсу зміцнювати систему, яка вже зламана.  Ви також не завжди знаєте, як застосування безпеки вплине на виробничу систему, незалежно від того, використовується вона вдома або в корпоративному середовищі.  Іноді створюються дублікати систем, щоб можна було все тестувати, але на це потрібен час та ресурси, проте це того варто, оскільки допомагає знайти і уникнути проблем, які можуть виникнути при побудові і розгортанні середовища.  Ви можете завдати більше шкоди, ніж користі, якщо не знаєте, як змінити настройки безпеки або шаблони вплинуть на сервіси у виробничій системі.  Наприклад, ви можете застосувати модель безпеки до системи і за допомогою дуже строгих правил фільтрації на брандмауері позбавити певний додаток можливості нормально функціонувати 'наприклад, додаток використовує певний порт, який закритий брандмауером, що заблокує доступ програми.  Це може викликати негативні наслідки, якщо додаток використовувати на підприємстві і було необхідно для продуктивності, а для виправлення проблеми може знадобитися якийсь час і сили.  Ось чому простіше встановити нову Windows 7, а потім зміцнити її, оскільки це не займе багато часу і дозволить вам переконатися в тому, що безпека залишається максимально високою.  Ви також можете прискорити процес, особливо якщо використовуєте віртуальну машину (VM) або VHD файл, який надає можливість використання кількох примірників ваших комп'ютерів, що працюють на віртуальному середовищі, а також дозволяє швидко відновитися, якщо не використовується надмірність.  Оскільки віртуалізація спрощує процес установки при створенні образів клонів для процесу резервного копіювання, ви можете відновлювати свої комп'ютери дуже легко і швидко.  Мо торкнемося процес віртуалізації пізніше в цій статті.  Якщо обхід відмови включений і налаштований, користувач комп'ютера може навіть і не помітити збій віртуальної машини.

Ви можете зміцнити систему, а потім отримати доступ до захищених даних через сховище із загальним доступом, бази даних і репозиторіїв на високій швидкості з використанням опцій обходу відмови і надмірності, які не тільки дозволять містити інформацію в цілості, але й окремо від даних, до яких  ви отримуєте доступ.  Якщо ви все правильно розплануєте, ви зможете створювати знімки повністю підготовлених, налаштованих, захищених і оновлених версій Windows і в разі катастрофи, відновлювати образи системи назад на своє апаратне обладнання за 1/3 часу, який потрібен для цього без використання клонування образів і віртуалізації.  Потім після відновлення базової ОС, ви можете підключитися до сховища із загальним доступом для отримання необхідних даних.

Отже, які ж дійсні кроки по зміцненню безпеки ОС після її встановлення?  І чи є певний порядок цих кроків?  Якби існував чітко визначений набір кроків по установці і зміцненню, вони б йшли в наступному базовому порядку: установка, видалення всього не використовуваного, оновлення системи, застосування базової безпеки і потім резервне копіювання для швидкого відновлення у випадку необхідності, як показано в наступному списку:

  • Крок 1 - Установка базової ОС з вибором необхідних опцій для підвищення безпеки під час встановлення та відключенням непотрібних сервісів, опцій і програм.
  • Крок 2 - Установка всіх робочих комплектів адміністратора, інструментів безпеки та необхідних програм.
  • Крок 3 - Видалення непотрібних сервісів, програм та додатків.  Відключення та видалення невживаних облікових записів користувачів і груп.
  • Крок 4 - Установка Service Pack, виправлень і оновлень.  Оновлення всіх встановлених програм.
  • Крок 5 - Запуск аудиту безпеки (сканер, шаблони, MBSA, і т.д.) для отримання інформації про поточний рівень безпеки
  • Крок 6 - Запуск відновлення системи (System Restore) і створення точки відновлення.  Програми резервного копіювання і відновлення для відновлення після краху системи.
  • Крок 7 - Резервне копіювання системи з можливістю її швидкого відновлення після краху.

Цей список дуже простий.  Ви можете додавати додаткові кроки і розширювати його.  Цей список не закінчений, але є гарним початком в отриманні уявлення про те, з чого починати при застосуванні безпеки в Windows 7 після базової установки.  Якщо виконана нова установка Windows 7, то наступним кроком буде видалення небажаних програм, служб, протоколів і програм, які вам не потрібні.  Це можна зробити за допомогою панелі управління.

Потім ви можете перейти в панель управління і вказати, кому буде дозволено використовувати комп'ютер, за допомогою програми User Accounts.  Тут потрібно видалити всі облікові записи, які вам не потрібні, або просто відключити їх.  Звичайно треба бути обережним зі стандартними користувачами і групами, оскільки деякі з них пов'язані зі службами, що працюють в ОС, вони також можуть впливати на те, як здійснюється доступ до даних у вашій системі і т.д.  Ви також можете з легкістю відключати облікові записи, якщо не впевнені, що їх можна видаляти. 

Ще одним прийомом, що використовується більшістю фахівців ІТ-безпеки є ситуація, коли ви залишаєте обліковий запис локального адміністратора на місці і виконуєте її аудит на предмет спроб скористатися цим обліковим записом, або як адміністратор домену, який потрібно захищати ще надійніше і проводити його повний аудит. В якості загальноприйнятої методики фахівці не використовують вбудовані облікові записи при управлінні масштабними мережами систем Microsoft і створюють нові облікові записи адміністраторів, активність яких при необхідності можна легко відстежити. Проводячи аудит цих облікових записів і використовуючи нові облікові записи з правами адміністраторів, ви підвищуєте рівень безпеки вдвічі. 

По-перше, ви маєте можливість дізнатися, якщо хтось намагається зайти в вашу систему від імені стандартних облікових записів, хоча цього не повинно відбуватися. При аудиті ви можете відслідковувати такі спроби в разі їх виникнення. Таке застосування безпеки до облікових записів відомо під терміном приманки (honeypot) і корисно при пошуку можливих спроб несанкціонованого доступу до системи. 

По-друге, ви видаляєте половину рівняння, коли хтось намагається зламати обліковий запис через базові облікові дані, такі як ім'я користувача і пароль.  Якщо ви усунете прості для злому облікові дані, то вам лише залишиться налаштувати складний і надійний пароль, який буде важко зламати.  Якщо ви налаштуєте вбудовані облікові записи в якості приманки, ви зможете створити дуже складний для злому пароль і обмежити цей обліковий запис настільки, що в разі її злому зловмисник нічого не зможе зробити у вашій системі.  Вам також потрібно змінити всі паролі вбудованих облікових записів на складніші.  Використовуйте кращі методики підбору безпечних паролів для захисту цих облікових записів та їх повного аудиту.  Вам також слід налаштувати політику, яка змусить кінцевих користувачів, які хочуть змінити пароль, пройти через процес, де їм буде дозволено використовувати тільки той пароль, який досить складний і надійний.  Це лише одна порада по зміцненню, яка забезпечує такі переваги, як можливість пошуку зломщиків через балки і аудит.

Підказка: У Windows Server 2008 можна встановлювати функціональність «ядра» ('core'), що є процесом зміцнення, застосовуваним до системи під час її установки.  Після установки сервер буде працювати тільки з мінімальним набором функцій за вашим вибором, що знижує ризик схильності засобам атак.  Windows 7 можна зміцнити, але вона не має такої опції установки як 2008, яка просто обмежує систему під час установки.  Щоб зміцнити Windows 7, потрібно застосовувати політики, шаблони і вручну настроювати параметри безпеки належним чином.

Враховуючи все вищесказане, як використовувати функцію обмеження та захисту Windows 7? Найпростішим способом почати процес обмеження системи є використання меню Пуск для пошуку всього, що пов'язане з безпекою, що зберігається в системі та індексовано.  Для цього просто натискаєте кнопку Пуск, щоб відкрити меню.  Потім вводите ключове слово 'безпека (security)' в поле «Пошук програм і файлів».  На малюнку 3 показані опції меню Пуск, видані в результаті пошуку за ключовим словом 'Security'.

Поиск и просмотр опций безопасности, найденных с помощью меню Пуск

Тут показано, що Програми, додатки ( або дії ) Панелі управління, Документи і Файли вибрані і організовані для кращого огляду і доступу. Кажучи коротко, Локальна політика безпеки ( Local Security Policy ) (якщо її вибрати ) є редактором політики, що дозволяє вам переглядати та настроювати політики безпеки вашої системи. Редактор Local Security Policy зображений на малюнку. Тут ви можете внести необхідні зміни в будь-яку політику на основі налаштувань ОС.

Local Security Policy

Налаштування безпеки в Windows 7

Для повного контролю над політиками потрібно використовувати Windows 7 з такими продуктами Windows Server, як Windows Server 2008 R2.  У цьому випадку ви зможете скористатися Active Directory (AD) і Group Policy.

Якщо ви хочете локально налаштувати аудит певної події (наприклад, вхід і вихід із системи), то ви можете вказати цю дію в консолі Local Security Policy ( У панелі управління ви можете перейти в додаток інструментів адміністрування (Administrative Tools), щоб знайти редактор Local Security Policy, або просто виконати пошук в меню Пуск.  Коли Windows 7 використовується з Active Directory, можна використовувати групову політику (Group Policy), яка представляє собою надійну службу, що дозволяє вам налаштовувати, управляти і розгортати параметри і налаштування, а також програмні додатки, але вам потрібно буде підключити Windows 7 до діючого домену, щоб скористатися всіма цими можливостями.

Якщо вам потрібно налаштувати безпеку на основі політик, це найпростіший спосіб.  Можна знайти безліч інструментів, які необхідні для налаштування, в Панелі управління та/або в користувацькій консолі MMC, яку ви налаштуєте і встановите.  Центр безпеки Microsoft Security Center (Windows Vista, XP) використовувався для централізації більшості функцій безпеки в минулому.  Він був замінений центром дій (Action Center), і тепер дії безпеки дуже просто знайти, переглянути та виконати, маючи певні дозволи.  Наприклад, як показано в меню Пуск, дія «Перевіряти стан безпеки» ('Check security status'), якщо вона вибрана, надає список налаштувань безпеки, які Windows 7 рекомендує виконати, наприклад, оновлення системи, або таких програм,  як антивірус (AV).  Якщо ви вибрали дію, система відправить вас в центр дій для виправлення наявних проблем.

Налаштування дій безпеки і опцій програм панелі управління

На малюнку показані дії безпеки, що знаходяться в панелі керування, які можна виконати.  Якщо ви перейдете в меню Пуск, введете «Безпека» (security) і натисните на рядок панелі управління, вам буде надано список дій та налаштувань безпеки, які можна відразу ж налаштувати в доступному і зрозумілому списку.

У центрі дій (або при перегляді списків дій) ви можете просто перейти вниз за списком і налаштувати кожен елемент відповідним чином.  Це короткий огляд опцій безпеки, які можна налаштувати в списку центру дій:

Центр дій (Action Center) - центр дій прийшов на заміну центру безпеки.  У центрі дій ви можете вказувати дії, які ОС буде виконувати.  З вашого дозволу дії можуть виконуватися.  Тут вам буде сказано, якщо ваша антивірусна програма не оновлена.  Ви можете заходити в центр дій для виконання дій, пов'язаних з безпекою.Опції інтернету (Internet Options) - веб перегляд будь-якого типу відкриває двері для потенційних ризиків, пов'язаних з інтернетом.  Якщо ви використовуєте проксі-сервер, користуєтеся веб фільтрацією (і моніторингом) і постійно оновлюєте ОС самими останніми оновленнями, ви можете опинитися в ситуації, де безпека може бути скомпрометована.  У додатку опцій інтернету в панелі управління (Internet Options Control Panel) ви можете вказувати зони безпеки, дозволяти доступ тільки до певних URL адрес, розгортати розширені параметри безпеки в закладці Додатково (Advanced) та багато іншого.  Сам браузер оснащений фільтром фішингу, який запобігає атаки фішингу (Phishing), а також має інші настроювані опції, такі як InPrivate Browsing, яка не дозволяє зберігати вашу особисту інформацію, що особливо корисно при використанні комп'ютера в публічних інтернет-кафе.Брандмауер Windows - як і будь-який інший програмний або апаратний міжмережевий екран, брандмауер Windows Firewall може запобігати базовим атакам за замовчуванням, і його можна налаштовувати багатогранно для високого рівня контролю над тим, що може входити і виходити з системи вашого комп'ютера, коли він підключений до публічної  або приватної мережі.  Перейшовши в панель управління і вибравши брандмауер Windows, ви отримаєте доступ до більшості параметрів конфігурації брандмауера.  Ви можете натиснути на кнопку додаткових параметрів (Advanced) у діалозі для доступу до додаткових параметрів і опцій конфігурації.  У Windows 7 ви можете розгортати декілька політик брандмауера одночасно і використовувати позначення домену (Domain designation) для більш простої настройки і управління брандмауером Windows.Персоналізація (Personalization) - опції персоналізації цє те місце, де можна змінювати зовнішній вигляд Windows, але тут же ви можете налаштовувати паролі своєї екранної заставки.  Якщо Windows 7 використовується на підприємстві, користувачів необхідно навчити тому, як замикати свої робочі станції всякий раз, коли вони залишають своє робоче місце, або створити параметри політики, які б робили це автоматично після певного періоду бездіяльності системи; екранна заставка, якщо налаштувати її на  запит повторного входу після такого періоду, може бути дуже корисною.  Це може стати вашою кращою лінією захисту, якщо ви залишаєте комп'ютер і забуваєте його замкнути.Оновлення Windows Update - всі версії програмного забезпечення вимагають певного рівня виправлень.  Можна готувати, тестувати і намагатися розробити ідеальний продукт, але неможливо врахувати все.  Також оновлення і нові випуски програм потрібні для оновлення вашої системи протягом її використання.  Оскільки в системі є удосконалення, вимоги, необхідні для інших технологій розробки, нові уразливості безпеки і оновлення драйверів для більшої продуктивності і функціональності, завжди буде необхідність у використанні Windows Update.  Windows (і Microsoft) Update або виробничі версії управління виправленнями (наприклад, WSUS) використовуються для централізованого управління і установки оновлення.  Ці інструменти використовуються для контролю, відстеження та моніторингу ваших поточних і майбутніх потреб в оновленнях.  Налаштуйте автоматичне оновлення, або візьміть за правило робити це вручну, оскільки це просто необхідно робити.  Якщо ви не будете оновлювати свою систему, як рекомендується, ви піддаєте себе ризику атаки.Програми та функції (Programs and Features) - крім оновлень Windows Updates вам також потрібно часто перевіряти, що встановлено у вас в системі, особливо якщо ви працюєте в інтернеті та/або завантажуєте програмні продукти з інтернет серверів.  Наприклад, установка простого оновлення Java, якщо ви не уважно прочитали інформацію по ньому під час установки, може також встановити панель інструментів у вашій системі, яка інтегрується в ваш веб браузер.  Зараз це контролюється більш жорстко, але в будь-якому випадку, вам слід час від часу перевіряти, що встановлено у вас в системі.

Користувальницькі облікові записи (User Accounts) - управління обліковими записами користувачів є основою захисту доступу до вашого комп'ютера, так само як і до всього, що працює під його керуванням.  Наприклад, якщо ви створите новий обліковий запис користувача та включите її в групу адміністраторів, у вас буде повний доступ до системи комп'ютера.  Якщо ви налаштуєте обліковий запис в якості звичайного користувача, то її дозволи будуть дуже обмеженими і дозволять виконувати лише ряд базових функцій користувача.  Ви також можете налаштувати паролі, які при створенні у відповідністі до вимог політики паролів, змушують користувачів створювати складні для злому паролі, що запобігає більшість базових атак.  Якщо встановлений Windows Server 2008 і Active Directory, ви можете отримувати доступ до домену, який (якщо ви є його учасником) дозволить вам більш гнучко налаштовувати дозволи файлової системи NTFS для папок і файлів, а також інших ресурсів із загальним доступом, таких як принтери.  

Опції живлення (Power Options) - додаток Power Options Control Panel є тим місцем, де ви налаштовуєте стандартну поведінку операційної системи, коли вона відключена, закрита або знаходиться в сплячому режимі.  Для більшої ступеня безпеки рекомендується встановлювати параметр на запит пароля при виході машини із сплячого режиму.  Всякий раз, коли з'являється можливість включення контролю доступу користувачів, слід її використовувати.

Примітка:прочитайте про Віртуальний WiFi в Windows 7 та