Технологии защиты системы Windows Vista

реклама
Руководство по безопасности для системы Windows Vista
Обзор
Опубликовано 7 февраля 2007 г.
Предлагаем вашему вниманию руководство по безопасности Windows Vista. Это руководство содержит
рекомендации и инструкции по улучшению безопасности настольных и переносных компьютеров под
управлением Windows Vista™ в домене со службой каталогов Active Directory®.
Кроме решений, рекомендуемых руководством по безопасности Windows Vista, руководство содержит
средства, пошаговые процедуры, рекомендации и процессы, которые существенно упрощают
развертывание. Руководство предоставляет не только сведения об эффективной настройке системы
безопасности, но и воспроизводимый метод, который можно использовать для применения инструкций
как в тестовой, так и в рабочей среде.
Наиболее важное средство, которое содержится в руководстве по безопасности Windows Vista, — это
сценарий GPOAccelerator.wsf. Данное средство позволяет выполнить сценарий, который автоматически
создает все объекты групповой политики, необходимые для применения рекомендаций по
безопасности. Другим ресурсом для сравнения значений параметров является файл Windows Vista
Security Guide Settings.xls, который также прилагается к этому руководству.
Инженерные группы, консультанты, сотрудники службы технической поддержки, партнеры и клиенты
корпорации Майкрософт рассмотрели и утвердили это руководство, что позволяет считать его:
•
•
•
•
•
достоверным (основано на практическом опыте);
авторитетным (предлагает лучшие из существующих решений);
точным (проверено с технической точки зрения и протестировано);
практическим (описывает действия, которые приводят к успешному результату);
значимым (посвящено реально существующим проблемам безопасности).
Консультанты и системные инженеры разрабатывают лучшие решения для внедрения систем
Windows Vista, Microsoft® Windows® XP Professional, Windows Server® 2003 и Windows 2000 в
различных средах. При оценке возможности установки Windows Vista в существующей среде
рекомендуется использовать средство Windows Vista Readiness Assessment (VRA), которое позволяет
средним предприятиям определить готовность компьютеров к работе под управлением операционной
системы Windows Vista. VRA быстро выполняет инвентаризацию компьютеров, определяет
поддерживаемый режим работы Windows Vista и при необходимости выводит рекомендации по
конкретным обновлениям оборудования.
Корпорация Майкрософт опубликовала руководства для Windows XP с пакетом обновления 1 (SP1) и
пакетом обновления 2 (SP2). В данном руководстве описаны значительные улучшения системы
безопасности Windows Vista. Руководство было разработано и протестировано для компьютеров под
управлением Windows Vista, присоединенных к домену с Active Directory, а также для автономных
компьютеров.
Примечание.
Все упоминания Windows XP в этом руководстве относятся к Windows XP с пакетом
обновления 2 (SP2), если не указано иное.
Краткое содержание
В любой среде настоятельно рекомендуется серьезно относиться к вопросам безопасности. Многие
организации недооценивают значение информационных технологий (ИТ). Если атака на серверы среды
будет достаточно серьезной, она может нанести существенный вред всей организации. Например, если
вредоносная программа заразит клиентские компьютеры в сети, организация может потерять данные,
являющиеся коммерческой тайной, и понести существенные затраты на их защиту. Атака, которая
приводит к недоступности веб-узла, может вызвать значительную потерю прибыли или доверия
клиентов.
Анализ уязвимостей и рисков позволяет получить представление о компромиссах между
функциональностью и безопасностью, которые касаются всех компьютеров, работающих в сетевой
среде. В этом руководстве перечислены основные меры противодействия, связанные с безопасностью,
которые можно использовать в Windows Vista, описаны уязвимости, которые они устраняют, а также
возможные негативные последствия, связанные с их реализацией.
Это руководство основывается на руководстве по безопасности Windows XP, которое содержит
конкретные рекомендации по усилению безопасности компьютеров под управлением Windows XP с
пакетом обновления 2 (SP2). Руководство по безопасности Windows Vista включает рекомендации по
усилению безопасности компьютеров, в которых используются наборы базовых показателей
безопасности для следующих двух сред:
•
Enterprise Client (EC). Клиентские компьютеры в этой среде находятся в домене с Active Directory и
должны взаимодействовать только с системами под управлением Windows Server 2003. В такой
среде работают различные клиентские компьютеры: как под управлением Windows Vista, так и под
управлением Windows XP. Инструкции по тестированию и развертыванию среды EC см. в главе 1
"Внедрение базовых показателей безопасности". Сведения о параметрах безопасности,
используемых в такой среде, см. в приложении A "Параметры групповой политики, связанные с
безопасностью".
•
Specialized Security – Limited Functionality (SSLF). Безопасность этой среды настолько важна,
что существенное уменьшение функциональности и возможностей управления считается
приемлемым. Например, в такой среде используются компьютеры военных учреждений и
разведывательных служб. Клиентские компьютеры в этой среде работают только под управлением
Windows Vista. Инструкции по тестированию и развертыванию среды SSLF см. в главе 5 "Specialized
Security – Limited Functionality". Сведения о параметрах SSLF, используемых в такой среде, см. в
приложении A "Параметры групповой политики, связанные с безопасностью".
Предупреждение.
Параметры безопасности SSLF не предназначены для большинства предприятий. Эта конфигурация
разработана для организаций, в который безопасность важнее функциональности.
Структура данного руководства позволяет легко находить нужные сведения. Руководства и связанные
средства помогают:
•
•
развертывать и реализовывать наборы базовых показателей безопасности в сетевой среде;
•
определять назначение каждого отдельного параметра в любом из наборов базовых показателей
определять и использовать возможности безопасности Windows Vista в распространенных
сценариях;
безопасности и понимать их значимость.
Хотя это руководство рассчитано на крупные предприятия, большая часть рекомендаций применима к
организациям любого размера. Чтобы извлечь из руководства максимальную пользу, необходимо
прочитать его полностью. Тем не менее для достижения определенных целей можно читать отдельные
части руководства. В разделе "Обзор глав" содержатся краткие сведения об информации в
руководстве.
Для кого предназначено это руководство
Руководство по безопасности Windows Vista прежде всего предназначено для ИТ-универсалов,
специалистов по безопасности, разработчиков сетевой архитектуры и других ИТ-специалистов и
консультантов, которые планируют применение и развертывание инфраструктуры Windows Vista на
настольных и переносных клиентских компьютерах в корпоративной среде. Это руководство не
предназначено для пользователей домашних компьютеров. Оно рассчитано на лиц с перечисленными
ниже должностными обязанностями.
•
ИТ-универсал. Такие пользователи управляют безопасностью на всех уровнях в организациях, в
которых насчитывается от 50 до 500 клиентских компьютеров. ИТ-универсалы концентрируют свое
внимание на защите компьютеров, которыми они управляют быстро и просто.
•
Специалист по безопасности. Такие пользователи прежде всего занимаются защитой нескольких
вычислительных платформ в организации. Специалистам по безопасности требуется надежное
справочное руководство, которое отвечает требованиям к безопасности на каждом уровне
организации и предоставляет проверенные методы внедрения мер противодействия. Специалисты по
безопасности определяют возможности и параметры системы безопасности и затем предоставляют
клиентам рекомендации о том, как наиболее эффективно использовать их в среде с высоким риском.
•
ИТ-служба, служба поддержки и персонал, занимающийся развертыванием. Сотрудники
ИТ-службы прежде всего занимаются интеграцией системы безопасности и контролем изменений во
время развертывания, в то время как персонал, занимающийся развертыванием, концентрирует свои
усилия на быстром администрировании обновлений для системы безопасности. Такие сотрудники
также устраняют проблемы с безопасностью, связанные с приложениями, которые касаются
установки, настройки, а также повышения удобства пользования и управляемости программного
обеспечения. Они отслеживают такие проблемы, чтобы определить измеримые улучшения
безопасности и минимальное воздействие на важные бизнес-приложения.
•
Разработчик сетевой архитектуры и планировщик. Такие сотрудники занимаются разработкой
•
Консультант. Такие сотрудники работают в организациях, в которых установлено от 50 до более
сетевой архитектуры организации.
5000 клиентских компьютеров. ИТ-консультанты хорошо знают различные типы сценариев,
связанных с безопасностью, которые охватывают все уровни бизнеса организации. ИТ-консультанты
службы технической поддержки корпорации Майкрософт и ее партнеров используют средства
переноса знаний для корпоративных клиентов и партнеров.
•
Бизнес-аналитик и лицо, принимающее бизнес-решения. Такие пользователи формулируют
важные бизнес-цели и требования, для которых необходима соответствующая конфигурация
настольных и переносных компьютеров.
Примечание.
Пользователи, которым требуется применить рекомендации, изложенные в этом
руководстве, должны по крайней мере прочитать и выполнить действия по установке среды EC в главе
"Внедрение базовых показателей безопасности".
Навыки и уровень подготовки
Лица, на которых рассчитано данное руководство и которые занимаются разработкой, развертыванием
и защитой клиентских компьютеров под управлением Windows Vista в крупных организациях, должны
иметь следующие знания и навыки:
•
MCSE по Windows Server 2003 или более поздний сертификат, а также не менее двух лет опыта
•
•
•
глубокое знание среды домена и Active Directory организации;
•
•
опыт использования средств управления, включая консоль управления (MMC), Gpupdate и Gpresult;
работы, связанной с безопасностью, или эквивалентные знания;
опыт работы с консолью управления групповыми политиками;
опыт администрирования групповых политик с помощью консоли управления групповыми
политиками, которая позволяет управлять всеми задачами, связанными с групповыми политиками;
опыт развертывания приложений и клиентских компьютеров в корпоративных средах.
Назначение руководства
Основное назначение руководства заключается в следующем:
•
предоставление рекомендаций по решениям для эффективного создания и применения проверенных
•
обоснование рекомендуемых параметров безопасности в конфигурациях базовых показателей,
•
помощь в определении и рассмотрении основных сценариев безопасности, а также предоставление
конфигураций базовых показателей безопасности с помощью групповой политики;
которые предложены в руководстве, а также описание связанных с ними последствий;
инструкций по применению конкретных функций безопасности в Windows Vista, которые позволят
управлять ими в существующей среде.
Руководство разработано таким образом, что для соответствия требованиям организации к
безопасности можно использовать только отдельные его части. Тем не менее максимальную пользу
можно извлечь при прочтении всего руководства.
Рассматриваемые вопросы
Руководство позволяет создать и обслуживать безопасную среду для настольных и переносных
компьютеров под управлением Windows Vista. В руководстве объясняются этапы защиты двух
различных сред, а также назначение параметров безопасности для настольных и переносных
компьютеров, развернутых в них. Руководство включает сведения о надлежащих действиях и
рекомендации по безопасности.
Клиентские компьютеры в среде EC могут работать под управлением Windows XP или Windows Vista.
Тем не менее компьютеры, управляющие этими клиентскими компьютерами, должны работать под
управлением Windows Server 2003 R2 или Windows Server 2003 с пакетом обновления 1 (SP1).
Клиентские компьютеры в среде SSLF могут работать только под управлением Windows Vista.
Руководство включает только рекомендуемые параметры безопасности операционной системы.
Обзор глав
Руководство по безопасности Windows Vista состоит из пяти глав и приложения, в котором приведены
описания параметров, их значения и соответствующие рекомендации. Другим ресурсом для сравнения
значений параметров является файл Windows Vista Security Guide Settings.xls, который прилагается к
этому руководству. На следующем рисунке показана структура руководства, которая позволяет
получить представление об оптимальном внедрении и развертывании рекомендуемых параметров.
Обзор
В данном обзоре определяется цель руководства, рассматриваемые в нем вопросы, его аудитория, а
также указывается структура руководства, что поможет найти нужную информацию. Кроме того, в нем
описываются средства и шаблоны, которые распространяются с руководством, а также требования к
пользователям, внедряющим рекомендации. Ниже представлены краткие описания каждой из глав и
приложения руководства.
Глава 1. Внедрение базовых показателей безопасности
В главе описываются преимущества создания и развертывания базовых показателей безопасности для
организации. Глава содержит инструкции и описание процессов внедрения параметров базовых
показателей EC и рекомендаций по безопасности.
В главе объясняется, как использовать сценарий GPOAccelerator.wsf в сочетании с консолью
управления групповыми политиками для создания, тестирования и развертывания подразделений и
объектов групповой политики для настройки среды. Другим ресурсом для сравнения значений
параметров является файл Windows Vista Security Guide Settings.xls, который также прилагается к
этому руководству.
Глава 2. Защита от вредоносных программ
Глава включает рекомендации по использованию новых и улучшенных функций безопасности в
Windows Vista для защиты клиентских компьютеров и активов предприятия от вредоносных программ
(вирусов, вирусов-червей, программ-троянов). Глава содержит сведения о наиболее эффективном
применении следующих технологий операционной системы:
•
•
•
•
•
•
контроль учетных записей;
Защитник Windows;
брандмауэр Windows;
центр обеспечения безопасности Windows;
средство удаления вредоносных программ;
политики ограниченного использования программ.
Кроме того, глава включает следующие сведения о технологиях безопасности Internet Explorer 7:
•
•
•
•
•
•
защищенный режим обозревателя Internet Explorer;
функция ActiveX Opt-in;
pащита от атак с применением междоменных сценариев;
строка состояния системы безопасности;
антифишинг;
дополнительные функции безопасности.
Глава 3. Защита конфиденциальных данных
Глава содержит рекомендации и сведения о лучших решениях для защиты данных с помощью
шифрования и технологий управления доступом в Windows Vista. Эти технологии особенно важны для
мобильных сред, в которых более вероятна потеря или кража компьютера под управлением
Windows Vista.
Глава содержит сведения о наиболее эффективном применении следующих технологий Windows Vista:
•
•
•
•
шифрование диска BitLocker™;
шифрованная файловая система (EFS);
служба управления правами (RMS);
управление устройствами.
Глава 4. Совместимость приложений
Глава включает рекомендации по использованию новых и улучшенных функций и параметров
безопасности в Windows Vista, которое не приведет к ограничению функциональности существующих
приложений в среде. В этой главе:
•
•
•
•
рассказывается о возможных проблемах с совместимостью приложений;
приводятся две простые процедуры тестирования совместимости приложений с Windows Vista;
указаны возможные стратегии снижения проблем, соответствующие конфигурации и инструкции;
рекомендуются другие ресурсы, которые можно использовать для более глубокого определения
совместимости приложений с Windows Vista.
Глава 5. Specialized Security – Limited Functionality
В главе описывается среда SSLF и общие различия между этой средой и средой EC. Глава содержит
инструкции и описание процессов внедрения параметров базовых показателей SSLF и рекомендаций
по безопасности. В главе объясняется, как применять сценарий в сочетании с консолью управления
групповыми политиками для создания, тестирования и развертывания подразделений и объектов
групповой политики для настройки среды.
Предупреждение.
Рекомендации, изложенные в этой главе, позволяют настроить среду SSLF, которая отличается от
среды EC, описанной в главе 1 "Внедрение базовых показателей безопасности". Инструкции в этой
главе относятся только к средам с высокой безопасностью и не являются дополнением к
рекомендациям в главе 1.
Приложение A. Параметры групповой политики, связанные с безопасностью
Приложение включает описания и таблицы, в которых подробно представлены рекомендуемые
параметры базовых показателей безопасности EC и SSLF руководства. В приложении описываются все
параметры, а также приводятся причины их настройки или выбора значений. Приложение также
содержит сведения о различиях параметров Windows Vista и Windows XP.
Рекомендации и средства
Это решение включает несколько файлов, в том числе Windows Vista Security Guide.doc, приложение A
из файла Windows Vista Security Guide.doc, Windows Vista Security Guide Settings.xls и средство
GPOAccelerator, которое упрощает применение рекомендаций. После загрузки руководства по
безопасности Windows Vista из центра загрузки Microsoft установите эти ресурсы в нужное место на
локальном компьютере с помощью MSI-файла установщика Microsoft Windows.
Примечание.
При начале установки руководства по безопасности Windows Vista средство
GPOAccelerator по умолчанию устанавливает все другие средства, распространяемые с ним. Для
использования этого средства требуются административные привилегии. По умолчанию решение
устанавливается в папке "Документы". При установке создается ярлык руководства, который
открывает папку Windows Vista Security Guide.
Для применения средств и шаблонов любого из набора базовых показателей безопасности, описанных
в руководстве, можно использовать консоль управления групповыми политиками. Процедуры, которые
необходимо выполнить для решения этих задач, описаны в главах "Внедрение базовых показателей
безопасности" и "Specialized Security — Limited Functionality".
Условные обозначения
В руководстве используются следующие условные обозначения.
Таблица 1.1. Условные обозначения
Элемент
Значение
Полужирный шрифт
Обозначает строки, которые отображаются точно так, как показано, включая
команды, параметры и имена файлов. Полужирным шрифтом также
выделяются элементы пользовательского интерфейса.
Курсив
Курсивом выделены названия книг и других важных публикаций.
<Курсив>
Текст, выделенный курсивом и заключенный в угловые скобки, обозначает
переменные: <имя_файла>.
Моноширинный шрифт Обозначает примеры кода и сценариев.
Примечание.
Указывает на дополнительную информацию.
Внимание!
Важное примечание, которое содержит информацию, необходимую для
выполнения задачи.
Предупреждение. Указывает на важные дополнительные сведения, которые нельзя
пропускать.
‡
Этот символ обозначает конкретные изменения параметров групповой
политики и рекомендации.
§
Этот символ обозначает параметры групповой политики, которые появились
в Windows Vista.
Дополнительные сведения
Ниже приведены ссылки на дополнительные сведения по вопросам, связанным с безопасностью, и
более подробную информацию о понятиях и рекомендациях по безопасности, изложенных в
руководстве:
•
•
Microsoft Windows Security Resource Kit на веб-узле Microsoft Learning (на английском языке).
•
•
•
•
•
•
Страница Рекомендации по безопасности на веб-узле Microsoft TechNet® (на английском языке).
Microsoft Windows Server 2003 Resource Kit: Special Promotional Editionна веб-узле Microsoft Learning
(на английском языке).
Угрозы и меры противодействияна веб-узле TechNet (на английском языке).
Руководство по безопасности Windows Server 2003на веб-узле TechNet (на английском языке).
Windows Vista Readiness Assessment на веб-узле Microsoft.com (на английском языке).
Windows XP Professional Resource Kit на веб-узле TechNet (на английском языке).
Руководство по безопасности Windows XP на веб-узле TechNet (на английском языке).
Поддержка и обратная связь
Группа Solution Accelerators – Security and Compliance (SASC) будет рада узнать ваше мнение об этом и
других решениях.
Направляйте свои комментарии через группу новостей Discussions in Security на веб-узле Центра
справки и поддержки Windows Vista.
Кроме того, отзывы и предложения можно направлять по адресу: [email protected].
Мы будем рады узнать ваше мнение.
Благодарности
Группа Solution Accelerators – Security and Compliance (SASC) благодарит команду разработчиков,
которые создали руководство по безопасности Windows Vista. Следующие люди напрямую участвовали
в создании, разработке и тестировании решения или внесли существенный вклад в этот процесс.
Группа разработчиков
Авторы и эксперты
Хосе Малдонадло (José Maldonado)
Майк Дансеглио (Mike Danseglio)
Майкл Тэн (Michael Tan)
Ричард Харрисон (Richard Harrison), Content Master Ltd
Дэвид Кумз (David Coombes), Content Master Ltd
Джим Кэптейнино (Jim Captainino), Content Master Ltd
Ричард Хикс (Richard Hicks), QinetiQ
Испытатели
Гаурав Бора (Gaurav Bora)
Викрант Минхас (Vikrant Minhas), Infosys Technologies Ltd
Сумит Парик (Sumit Parikh), Infosys Technologies Ltd
Дхарани Моханам (Dharani Mohanam), Infosys Technologies Ltd
Свапна Джаганнатан (Swapna Jagannathan), Infosys Technologies Ltd
Прашат Джапкар (Prashant Japkar), Infosys Technologies Ltd
Редакторы
Джон Коб (John Cobb), Wadeware LLC
Дженнифер Кёрнс (Jennifer Kerns), Wadeware LLC
Стив Вэкер (Steve Wacker), Wadeware LLC
Руководители программы
Келли Хэнджстег (Kelly Hengesteg)
Одри Сентола (Audrey Centola), Volt Information Sciences
Нил Бафтон (Neil Bufton), Content Master Ltd
Менеджеры продукта
Джим Стюарт (Jim Stewart)
Элейн Мэус (Alain Meeus)
Тони Бейли (Tony Bailey)
Кевин Лео (Kevin Leo), Excell Data Corporation
Менеджеры выпуска
Карина Ларсон (Karina Larson)
Гэрет Джоунс (Gareth Jones)
Участники и рецензенты
Корпорация Майкрософт
Чарльз Денни (Charles Denny), Рос Картер (Ross Carter),
Дэрик Кэмбел (Derick Campbell), Чейз Карпентер (Chase Carpenter)
Карл Грюнвальд (Karl Grunwald), Майк Смит-Лонерган (Mike Smith-Lonergan)
Дон Армстронг (Don Armstrong), Боб Дрейк (Bob Drake)
Эрик Фитцджеральд (Eric Fitzgerald), Эмили Хил (Emily Hill)
Джордж Русос (George Roussos), Дэвид Абзариан (David Abzarian)
Даррен Кэнэвор (Darren Canavor), Нильс Думмарт (Nils Dussart)
Питер Уоксмэн (Peter Waxman), Рус Хамфрис (Russ Humphries)
Сара Валерт (Sarah Wahlert), Тарик Шариф (Tariq Sharif)
Нэд Пайл (Ned Pyle), Бомани Сивату (Bomani Siwatu)
Киёси Ватанабэ (Kiyoshi Watanabe), Эрик Лоренс (Eric Lawrence)
Дэвид Абзариан (David Abzarian), Час Джеффрис (Chas Jeffries)
Виджей Вхарадвай (Vijay Bharadwaj), Марк Силби (Marc Silbey)
Шон Линдерсей (Sean Lyndersay), Крис Корио (Chris Corio)
Мэт Клэпхэм (Matt Clapham), Том Димен (Tom Daemen)
Санджей Пандит (Sanjay Pandit), Джефф Уильямс (Jeff Williams)
Алекс Хитон (Alex Heaton), Майк Чан (Mike Chan)
Бил Сиск (Bill Sisk), Джейсон Джойс (Jason Joyce)
Сторонние лица
Мехул Медивала, Infosys Technologies Ltd
Примечания.
По приглашению корпорации Майкрософт Директорат по вопросам информационной безопасности
Агентства национальной безопасности США участвовал в рассмотрении данного руководства по
безопасности корпорации Майкрософт и предоставил рекомендации, которые были учтены в
опубликованной версии.
Национальный институт стандартов и технологии Министерства торговли США участвовал в
рассмотрении данного руководства по безопасности корпорации Майкрософт и предоставил
рекомендации, которые были учтены в опубликованной версии.
Глава 1. Внедрение базовых показателей безопасности
Опубликовано 7 февраля 2007 г.
Windows Vista™ — на сегодняшний день самая безопасная операционная система, выпущенная
корпорацией Майкрософт. Тем не менее для соответствия требованиям к сети конкретной среды могут
потребоваться изменения конфигурации. В этой главе продемонстрирована относительная простота
настройки параметров безопасности для усиления защиты клиентских компьютеров под управлением
стандартной операционной системы, которые присоединены к домену со службой каталогов Active
Directory®.
В главе приводится простой набор процедур для внедрения рекомендуемых параметров для усиления
стандартной системы безопасности операционной системы. Упрощенные процедуры позволяет быстро
и эффективно защитить клиентские компьютеры под управлением Windows Vista в существующей
среде.
Теперь защиту операционной системы можно усилить, используя только объекты групповой политики.
Предыдущие рекомендации корпорации Майкрософт требовали импорта INF-файлов шаблона
безопасности и существенного изменения вручную раздела "Административные шаблоны" нескольких
объектов групповой политики. Эти файлы или шаблоны больше не требуется использовать. Тем не
менее INF-файлы шаблона безопасности распространяются с руководством. Их можно использовать
для усиления безопасности автономных клиентских компьютеров. Все рекомендуемые параметры
групповой политики описаны в приложении A "Параметры групповой политики, связанные с
безопасностью".
Чтобы применить рекомендуемые параметры, необходимо:
•
создать структуру подразделений для существующей среды;
•
выполнить сценарий GPOAccelerator.wsf, который распространяется с руководством;
•
использовать консоль управления групповыми политиками для связи объектов групповой политики
и управления ими.
Предупреждение.
Важно тщательно протестировать схемы подразделений и объектов групповой политики перед их
развертыванием в рабочей среде. В разделе "Внедрение политик безопасности" этой главы описаны
процедуры создания и развертывания структуры подразделений и объектов групповой политики,
связанных с безопасностью, во время внедрения в тестовой и рабочей среде.
Объекты групповой политики набора базовых показателей, которые распространяются с руководством,
включают сочетание протестированных параметров, которые улучшают безопасность клиентских
компьютеров под управлением Windows Vista в двух различных средах:
•
Enterprise Client (EC)
•
Specialized Security – Limited Functionality (SSLF)
В данной главе рассматривается среда EC. Подробные сведения о среде SSLF и информацию о
применении связанных с ней параметров безопасности см. в главе 5 "Specialized Security – Limited
Functionality".
Среда Enterprise Client
Среда Enterprise Client (EC), описываемая в этой главе, включает домен со службой каталогов Active
Directory®, в котором компьютеры с Microsoft® Windows Server® 2003 R2 или Windows Server 2003 с
пакетом обновления 1 (SP1) и Active Directory управляют клиентскими компьютерами с Windows Vista
или Windows XP®. В такой среде управление клиентскими компьютерами осуществляется с помощью
групповой политики, которая применяется к сайтам, доменам и подразделениям. Групповая политика
обеспечивает централизованную инфраструктуру на базе Active Directory, которая позволяет
выполнять изменения на уровне доменов и управлять конфигурацией пользователей и параметрами
компьютеров, включая параметры безопасности и данные пользователей.
Схема безопасности и внедрение
Схема безопасности, рекомендуемая в этой главе, является основой для сценариев, описанных в
данном руководстве, а также для рекомендаций по устранению проблем. В следующих разделах главы
описывается основная схема безопасности и приводятся процедуры для ее тестирования и внедрения
на компьютерах под управлением Windows Vista:
•
Схема подразделений для политик безопасности
•
Схема объектов групповой политики для политик безопасности
•
Внедрение политик безопасности
Схема подразделений для политик безопасности
Подразделение — это контейнер в домене с Active Directory. Подразделение может включать
пользователей, группы, компьютеры и другие подразделения. Если подразделение содержит другие
подразделения, оно является родительским. Подразделение, которое находится внутри родительского
подразделения, называется дочерним.
К подразделению можно привязать объект групповой политики, после чего параметры объекта
групповой политики будут применены к пользователям и компьютерам, которые находятся в этом
подразделении и его дочерних подразделениях. Для упрощения администрирования можно
делегировать административные полномочия каждому подразделению.
Подразделения позволяют легко группировать пользователей и компьютеры, обеспечивая
эффективный способ сегментации административных границ. Корпорация Майкрософт рекомендует
назначать пользователей и компьютеры различным подразделениям, так как некоторые параметры
относятся только к пользователям, а другие — только к компьютерам.
Можно делегировать управление группой или отдельным подразделением с помощью мастера
делегирования в оснастке "Active Directory — пользователи и компьютеры" консоли управления (MMC).
Ссылки на документацию по делегированию полномочий см. в разделе "Дополнительные сведения" в
конце данной главы.
Одна из основных задач схемы подразделений любой среды — создание основы для полного
внедрения групповой политики, которая применяется ко всем клиентским компьютерам в
Active Directory. Это обеспечивает соответствие клиентских компьютеров стандартам безопасности
организации. Схема подразделений также должна учитывать параметры безопасности для отдельных
типов пользователей в организации. Например, разработчикам может быть необходим такой способ
доступа к компьютерам, который не требуется обычным пользователям. Кроме того, требования к
безопасности для пользователей переносных и настольных компьютеров могут различаться. На
следующем рисунке показана простая структура подразделений, достаточная для рассмотрения
групповой политики в этой главе. Структура подразделений может не соответствовать требованиям
среды вашей организации.
Рисунок 1.1. Пример структуры подразделений для компьютеров под управлением Windows Vista
Подразделение отдела
Так как требования к безопасности внутри организации могут различаться, иногда имеет смысл создать
в среде подразделения отделов. Такие подразделения можно использовать для применения
параметров безопасности к компьютерам и пользователям в соответствующих отделах с помощью
объекта групповой политики.
Подразделение пользователей Windows Vista
Это подразделение содержит учетные записи пользователей для среды EC. Параметры, применяемые к
такому подразделению, подробно описаны в приложении A "Параметры групповой политики,
связанные с безопасностью".
Подразделение компьютеров с Windows Vista
Это подразделение содержит дочерние подразделения для каждого типа клиентских компьютеров под
управлением Windows Vista в среде EC. Данное руководство содержит прежде всего рекомендации по
безопасности для настольных и переносных компьютеров. По этой причине его разработчики создали
следующие подразделения компьютеров:
•
Подразделение настольных компьютеров. К этому подразделению относятся настольные
компьютеры с постоянным подключением к сети. Параметры, которые применяются к этому
подразделению, подробно описаны в приложении A "Параметры групповой политики, связанные с
безопасностью".
•
Подразделение переносных компьютеров. Это подразделение включает переносные
компьютеры для мобильных пользователей, которые не всегда подключены к сети. Параметры,
которые применяются к этому подразделению, также описаны в приложении A.
Схема объектов групповой политики для политик безопасности
Объект групповой политики — это коллекция параметров групповой политики, которые по сути
являются файлам, созданными оснасткой групповой политики. Параметры хранятся на уровне домена
и влияют на пользователей и компьютеры в сайтах, доменах и подразделениях.
Объекты групповой политики позволяют обеспечить применение конкретных параметров политики,
прав пользователей и поведения компьютеров ко всем клиентским компьютерам или пользователям в
подразделении. Использование групповой политики вместо настройки вручную упрощает управление
изменениями (включая обновление) для большого количества компьютеров и пользователей.
Настройка вручную не только неэффективна, так как требует посещения каждого клиентского
компьютера, но и потенциально бесполезна: если параметры политики в объектах групповой политики
домена отличаются от параметров, применяемых локально, параметры политики объекта групповой
политики домена переопределяет примененные локально параметры.
Рисунок 1.2. Очередность применения объектов групповой политики
На предыдущем рисунке показана очередность, в которой объекты групповой политики применяются к
компьютеру, являющемуся членом дочернего подразделения, от наиболее низкого уровня (1) к самому
высокому (5). Сначала применяется групповая политика из локальной политики безопасности каждого
клиентского компьютера под управлением Windows Vista. После применения локальной политики
безопасности применяются объекты групповой политики на уровне сайта, а затем на уровне домена.
Для клиентских компьютеров под управлением Windows Vista, которые находятся в подразделении с
несколькими уровнями, объекты групповой политики применяются в порядке от родительского
подразделения до дочернего подразделения самого низкого уровня. В последнюю очереди
применяется объект групповой политики из подразделения, содержащего клиентский компьютер. Это
порядок обработки объектов групповой политики — локальная политика безопасности, сайт, домен,
родительское подразделение и дочернее подразделение — очень важен, так как объекты групповой
политики, которые применяются позже, переопределяют примененные ранее объекты. Объекты
групповой политики пользователей применяются таким же образом.
При разработке групповой политики необходимо учитывать следующее.
•
Администратор должен задать порядок связи нескольких объектов групповой политики с
подразделением, или групповая политика по умолчанию будет применяться в порядке своей связи с
подразделением. Если в нескольких политиках настроен один и тот же параметр, приоритет будет
иметь политика с более высоким положением в списке политик контейнера.
•
Для объекта групповой политики можно включить параметр Принудительный. Если выбран этот
параметр, другие объекты групповой политики не смогут переопределять параметры, настроенные в
этом объекте групповой политики.
Примечание.
В Windows 2000 параметру Принудительный соответствует параметр Не
перекрывать.
•
Для Active Directory, сайта, домена или подразделения можно установить параметр Блокировать
наследование политики. Этот параметр блокирует параметры объектов групповой политики,
которые расположены выше в иерархии Active Directory, если для них не задан параметр
Принудительный. Другими словами, параметр Принудительный имеет приоритет над
параметром Блокировать наследование политики.
•
Параметры групповой политики применяются к пользователям и компьютерам и зависят от места
пользователя или компьютера в Active Directory. В некоторых случаях необходимо применять
политику к объектам пользователей на основе расположения объектов компьютеров, а не
пользователей. Функция замыкания на себя групповой политики позволяет администраторам
применять параметры групповой политики для пользователя в зависимости от того, в систему
какого компьютера он вошел.
Рекомендуемые объекты групповой политики
Для внедрения описанной выше схемы подразделений требуется по крайней мере четыре объекта
групповой политики:
•
политика для домена;
•
политика для подразделения пользователей Windows Vista;
•
политика для подразделения настольных компьютеров;
•
политика для подразделения переносных компьютеров.
На следующем рисунке предварительная структура подразделений представлена более подробно,
чтобы показать связь между этими объектами групповой политики и схемой подразделений.
Рисунок 1.3. Пример структуры подразделений и связей объектов групповой политики для
компьютеров под управлением Windows Vista
В примере на рисунке 1.3 переносные компьютеры принадлежат к подразделению "Переносные
компьютеры". Сначала применяется локальная политика безопасности на переносных компьютерах.
Так как в этом примере существует только один сайт, на уровне сайта не применяются объекты
групповой политики, поэтому следующим применяется объект групповой политики домена. После этого
применяется объект групповой политики "Переносные компьютеры".
Примечание.
Политика "Настольные компьютеры" не применяется к переносным компьютерам,
так как она не связана ни с одним подразделением в иерархии, которое содержит подразделение
"Переносные компьютеры".
В качестве примера очередности рассмотрим сценарий, в котором параметр политики Разрешать вход
в систему через службу терминалов должен применяться к следующим подразделениям и группам
пользователей:
•
подразделение "Компьютеры с Windows Vista" — группа Администраторы;
•
подразделение "Переносные компьютеры" — группы Пользователи удаленного рабочего стола
и Администраторы.
В этом примере пользователь, учетная запись которого принадлежит к группе Пользователи
удаленного рабочего стола, может входить в систему переносного компьютера через службу
терминалов, так как подразделение "Переносные компьютеры" является дочерним подразделением
подразделения "Компьютеры с Windows Vista", а политика дочернего подразделения имеет приоритет.
Если включить параметр политики Не перекрывать в объекте групповой политики подразделения
"Компьютеры с Windows Vista", только пользователи, учетные записи которых принадлежат к группе
Администраторы, смогут входить в систему переносного компьютера через службу терминалов. Это
происходит потому, что параметр Не перекрывать предотвращает переопределение примененной
ранее политики политикой дочернего подразделения.
Внедрение политик безопасности
Для внедрения схемы безопасности двух сред, описанных в данном руководстве, необходимо
использовать консоль управления групповыми политиками и ее сценарии. Консоль управления
групповыми политиками интегрирована в операционную систему, поэтому не требуется загружать и
устанавливать ее каждый раз, когда требуется управлять объектами групповой политики на другом
компьютере. В отличие от рекомендаций по безопасности для предыдущих версий операционной
системы Windows рекомендации в данном руководстве для Windows Vista значительно автоматизируют
тестирование и внедрение схемы безопасности в среде EC. Эти рекомендации были разработаны и
протестированы, чтобы обеспечивать наиболее эффективный процесс и снизить накладные расходы,
связанные с внедрением.
Внимание!
Все процедуры, указанные в этом руководстве, необходимо выполнять на клиентском
компьютере под управлением Windows Vista, который подключен к домену с Active Directory. Кроме
того, пользователь, выполняющий эти процедуры, должен иметь привилегии администратора домена.
При использовании операционных систем Microsoft Windows® XP или Windows Server® 2003
параметры безопасности, относящиеся к Windows Vista, не будут отображаться в консоли управления
групповыми политиками.
Чтобы внедрить схему безопасности, необходимо выполнить три основные задачи:
1.
создать среду EC;
2.
использовать консоль управления групповыми политиками для связи политики VSG EC Domain
Policy с доменом;
3.
использовать консоль управления групповыми политиками для проверки результата.
В этом разделе главы описаны данные задачи и процедуры, а также функции сценария
GPOAccelerator.wsf, который автоматически создает рекомендуемые объекты групповой политики.
Сценарий GPOAccelerator.wsf
Наиболее важное средство, которое устанавливается руководством по безопасности Windows Vista, —
это сценарий GPOAccelerator.wsf. Основная возможность этого сценария — автоматическое создание
всех объектов групповой политики, которые требуются для применения рекомендаций. При этом не
требуется тратить время на редактирование параметров политики вручную или на применение
шаблонов. Для клиентских компьютеров в среде EC сценарий создает следующие четыре объекта
групповой политики:
•
VSG EC Domain Policy для домена;
•
VSG EC Users Policy для пользователей;
•
VSG EC Desktop Policy для настольных компьютеров;
•
VSG EC Laptop Policy для переносных компьютеров.
Внимание!
Чтобы успешно внедрить схему безопасности для среды EC, тщательно протестируйте ее
перед развертыванием в рабочей среде.
Сценарий GPOAccelerator.wsf можно использовать для выполнения описанных ниже задач.
•
Проверка схемы в лабораторной среде. Используйте сценарий GPOAccelerator.wsf в тестовой
среде для создания структуры подразделений, создания объектов групповой политики и их
автоматической связи с подразделениями. После завершения тестирования можно использовать
сценарий в рабочей среде.
•
Развертывание схемы в рабочей среде. При внедрении решения в рабочей среде необходимо
сначала создать подходящую структуру подразделений или изменить существующий набор
подразделений. После этого можно использовать сценарий GPOAccelerator.wsf для создания
объектов групповой политики и затем связать их с соответствующими подразделениями в среде.
Проверка схемы в лабораторной среде
Объекты групповой политики для данного руководства были тщательно протестированы. Тем не менее
важно выполнить собственное тестирование в существующей среде. Чтобы сэкономить время, можно
использовать сценарий GPOAccelerator.wsf для создания рекомендуемых объектов групповой политики
и структуры подразделений, а затем автоматически связать объекты групповой политики с
подразделениями.
Задача 1: создание среды EC
Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\
GPOAccelerator Tool, которую создает установщик Microsoft Windows (MSI-файл).
Примечание.
Чтобы выполнить сценарий, как описано в следующей процедуре, папка
GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.
Чтобы создать объекты групповой политики и связать их с соответствующими
подразделениями в среде
1.
Войдите с учетной записью администратора домена в систему компьютера под управлением
Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться
объекты групповой политики.
2.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
3.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора домена.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите клавишу ВВОД.
5.
В командной строке введите cscript GPOAccelerator.wsf /Enterprise /LAB и нажмите клавишу
ВВОД.
6.
В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да",
чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).
Примечание.
7.
Это действие может занять несколько минут.
В окне с сообщением The Enterprise Lab Environment is created (Создана лабораторная среда
Enterprise) нажмите кнопку OK.
8.
В окне с сообщением Make sure to link the Enterprise Domain GPO to your domain (Свяжите
объект групповой политики домена Enterprise с доменом) нажмите кнопку OK и выполните
следующую задачу для связи политики VSG EC Domain Policy.
Примечание.
Групповая политика уровня домена включает параметры, которые применяются
ко всем компьютерам и пользователям в этом домене. Важно уметь определять необходимость
связи объекта групповой политики домена, так как он применяется ко всем пользователям и
компьютерам. По этой причине сценарий GPOAccelerator.wsf не выполняет автоматическую связь
объекта групповой политики домена с доменом.
Задача 2: использование консоли управления групповыми политиками для связи политики
VSG EC Domain Policy с доменом
Теперь можно выполнить связь объекта групповой политики домена с доменом. Ниже приведены
инструкции по использованию консоли управления групповыми политиками на клиентском компьютере
под управлением Windows Vista для связи политики VSG EC Domain Policy с доменом.
Чтобы связать политику VSG EC Domain Policy
1.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные
и Выполнить. (Или нажмите клавишу с эмблемой Windows + R.)
2.
В поле Открыть введите gpmc.msc и нажмите кнопку ОК.
3.
В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an
existing GPO (Связать существующий объект групповой политики).
4.
В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой
политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK.
5.
В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и
нажмите кнопку Move link to top (Переместить ссылку наверх).
Внимание!
Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy
значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие
как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к
переопределению параметров руководства по безопасности Windows Vista.
Задача 3: использование консоли управления групповыми политиками для проверки
результата
Консоль управления групповыми политиками можно использовать для проверки результатов
выполнения сценария. Ниже описана процедура использования консоли управления групповыми
политиками на клиентском компьютере под управлением Windows Vista для проверки объектов
групповой политики и структуры подразделений, которые создает сценарий GPOAccelerator.wsf.
Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf
1.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные
и Выполнить.
2.
В поле Открыть введите gpmc.msc и нажмите кнопку ОК.
3.
Щелкните нужный лес, выберите пункт Domains (Домены) и домен.
4.
Щелкните и разверните узел Vista Security Guide EC Client OU (Подразделение клиентов Vista
Security Guide EC) и откройте каждое из пяти подразделений, указанных ниже.
5.
Убедитесь в том, что структура подразделений и связи объекта групповой политики
соответствуют изображенным на следующем рисунке.
Рисунок 1.4. Структура подразделений и связи объектов групповой политики, созданные
сценарием GPOAccelerator.wsf, в консоли управления групповыми политиками
Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются
параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство "Active
Directory — пользователи и компьютеры", чтобы проверить схему путем перемещения пользователей и
компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом
объекте групповой политики, см. в приложении A "Параметры групповой политики, связанные с
безопасностью".
Развертывание схемы в рабочей среде
Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания объектов
групповой политики для среды EC. После этого можно связать объекты групповой политики с
соответствующими подразделениями в существующей структуре. В крупных доменах с большим
количеством подразделений необходимо продумать использование существующей структуры
подразделений для развертывания объектов групповой политики.
По возможности необходимо разделять подразделения компьютеров и пользователей. Кроме того,
требуются отдельные подразделения для настольных и переносных компьютеров. Если такая структура
невозможна в существующей среде, вероятно, потребуется изменить объекты групповой политики.
Чтобы определить необходимые изменения, используйте сведения о параметрах в приложении A
"Параметры групповой политики, связанные с безопасностью".
Примечание.
Как указано в предыдущем разделе, можно использовать сценарий GPOAccelerator.wsf
с
параметром /LAB в тестовой среде для создания образца структуры подразделений. Тем не менее при
гибкой структуре подразделений можно также использовать этот параметр в рабочей среде, чтобы
создать базовую структуру подразделений и автоматически связать объекты групповой политики.
После этого можно изменить структуру подразделений вручную в соответствии с требованиями среды.
Задача 1: создание объектов групповой политики
Объекты групповой политики EC, описанные в этом руководстве, создаются с помощью сценария
GPOAccelerator.wsf. Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security
Guide\GPOAccelerator Tool, которую создает MSI-файл установщика Microsoft Windows.
Примечание.
Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено
это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий,
как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны
находиться на локальном компьютере.
Чтобы создать объекты групповой политики в производственной среде
1.
Войдите с учетной записью администратора домена в систему компьютера под управлением
Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться
объекты групповой политики.
2.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
3.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора домена.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите клавишу ВВОД.
5.
В командной строке введите cscript GPOAccelerator.wsf /Enterprise и нажмите клавишу
ВВОД.
6.
В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да",
чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).
Примечание.
7.
Это действие может занять несколько минут.
В окне с сообщением The SSLF GPOs are created (Объекты групповой политики Enterprise
созданы) нажмите кнопку OK.
8.
В окне с сообщением Make sure to link the Enterprise GPOs to the appropriate OUs (Свяжите
объекты групповой политики Enterprise с соответствующими подразделениями) нажмите кнопку
OK.
Задача 2: использование консоли управления групповыми политиками для проверки
результата
Можно использовать консоль управления групповыми политиками, чтобы убедиться в том, что
сценарий успешно создал все объекты групповой политики. Ниже описана процедура использования
консоли управления групповыми политиками на клиентском компьютере под управлением
Windows Vista для проверки объектов групповой политики, которые создает сценарий
GPOAccelerator.wsf.
Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf
1.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные
и Выполнить.
2.
В поле Открыть введите gpmc.msc и нажмите кнопку ОК.
3.
Щелкните нужный лес, выберите пункт Domains (Домены) и домен.
4.
Разверните узел Group Policy Objects (Объекты групповой политики) и убедитесь в том, что
четыре созданных объекта групповой политики VSG EC соответствуют объектам на следующем
рисунке.
Рисунок 1.5. Объекты групповой политики EC, созданные сценарием GPOAccelerator.wsf, в
консоли управления групповыми политиками
После этого можно использовать консоль управления групповыми политиками для связи каждого
объекта групповой политики с соответствующим подразделением. Последняя задача в процессе
описывает, как это сделать.
Задача 3: использование консоли управления групповыми политиками для связи объектов
групповой политики с подразделениями
Следующая процедура описывает, как использовать консоль управления групповыми политиками на
клиентском компьютере под управлением Windows Vista для выполнения этой задачи.
Чтобы связать объекты групповой политики в производственной среде
1.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы,
Стандартные и Выполнить.
2.
В поле Открыть введите gpmc.msc и нажмите кнопку ОК.
3.
В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an
existing GPO (Связать существующий объект групповой политики).
4.
В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект
групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK.
5.
В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и
нажмите кнопку Move link to top (Переместить ссылку наверх).
Внимание!
Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain
Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой
политики, такие как Default Domain Policy GPO (Объект групповой политики домена по
умолчанию), что приведет к переопределению параметров руководства по безопасности
Windows Vista Security Guide.
6.
Щелкните правой кнопкой мыши узел Windows Vista Users OU (Подразделение пользователей
Windows Vista) и выберите пункт Link an existing GPO (Связать существующий объект
групповой политики).
7.
В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект
групповой политики VSG EC Users Policy (Политика пользователей VSG EC) и нажмите кнопку
OK.
8.
Щелкните правой кнопкой мыши узел Desktop OU (Подразделение настольных компьютеров)
и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).
9.
В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект
групповой политики VSG EC Desktop Policy (Политика настольных компьютеров VSG EC) и
нажмите кнопку OK.
10.
Щелкните правой кнопкой мыши узел Laptop OU (Подразделение переносных компьютеров) и
выберите пункт Link an existing GPO (Связать существующий объект групповой политики).
11.
В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект
групповой политики VSG EC Laptop Policy (Политика переносных компьютеров VSG EC) и
нажмите кнопку OK.
12.
Повторите эти действия для всех других созданных подразделений пользователей или
компьютеров, чтобы связать их с соответствующими объектами групповой политики.
Примечание.
Можно также перетащить объект групповой политики из узла Group Policy Objects
(Объекты групповой политики) в подразделение. Тем не менее операция перетаскивания
поддерживается только для объектов в том же домене.
Чтобы подтвердить связи объектов групповой политики с помощью консоли управления
групповыми политиками
•
Разверните узел Group Policy Objects (Объекты групповой политики) и выберите объект групповой
политики. В области сведений откройте вкладку Scope (Область) и просмотрите сведения в
столбцах Link Enabled (Связь включена) и Path (Путь).
— Или —
•
Выберите подразделение и затем в области сведений откройте вкладку Linked Group Policy
Objects (Связанные объекты групповой политики) и просмотрите сведения в столбцах Link
Enabled (Связь включена) и GPO (Объект групповой политики).
Примечание.
Консоль управления групповыми политиками можно использовать для отмены связи
объектов групповой политики или их удаления. После этого можно удалить ненужные подразделения с
помощью консоли управления групповыми политиками или консоли "Active Directory — пользователи и
компьютеры". Чтобы полностью отменить все изменения, внесенные сценарием GPOAccelerator.wsf,
необходимо вручную удалить файлы EC-VSGAuditPolicy.cmd, EC-ApplyAuditPolicy.cmd и ECAuditPolicy.txt из общей папки NETLOGON одного из контроллеров домена. Дополнительные сведения о
том, как полностью отменить внедрение политики аудита, см. в разделе "Политика аудита" приложения
A "Параметры групповой политики, связанные с безопасностью".
Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются
параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство "Active
Directory — пользователи и компьютеры", чтобы проверить схему путем перемещения пользователей и
компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом
объекте групповой политики, см. в приложении A "Параметры групповой политики, связанные с
безопасностью".
Миграция объектов групповой политики в другой домен (необязательно)
При изменении объектов групповой политики в этом решении или создании собственных объектов
групповой политики и необходимости использовать их в нескольких доменах необходимо выполнить
миграцию объектов групповой политики. Для миграции объекта групповой политики из одного домена
в другой требуется планирование, но основная процедура достаточно проста. Во время планирования
необходимо обратить внимание на две важных особенности данных объектов групповой политики.
•
Сложность данных. Данные, составляющие объект групповой политики, имеют сложную
структуры и хранятся в нескольких местах. При использовании консоли управления групповыми
политиками для миграции объекта групповой политики обеспечивается надлежащая миграция всех
нужных данных.
•
Данные, относящиеся к домену. Некоторые данные в объекте групповой политики могут
относиться к конкретному домену и стать недопустимыми при прямом копировании в другой домен.
Чтобы решить эту проблему, таблицы миграции консоли управления групповыми политиками
позволяют изменять относящиеся к домену данные в объекте групповой политики на новые
значения во время миграции. Это требуется делать только в том случае, если объект групповой
политики содержит идентификатор (ИД) безопасности или пути UNC, которые относятся только к
конкретному домену.
Дополнительные сведения о миграции объектов групповой политики см. в справке консоли управления
групповыми политиками. В техническом документе Миграция объектов групповой политики между
доменами с помощью консоли управления групповыми политиками (на английском языке) также
содержатся дополнительные сведения о миграции объектов групповой политики между доменами.
Средство GPOAccelerator
С данным руководством распространяются сценарий и шаблоны безопасности. В этом разделе
приводятся общие сведения о данных ресурсах. Важнейшим средством, которое выполняет основной
сценарий для этого руководства по безопасности, является GPOAccelerator.wsf, расположенное в папке
Windows Vista Security Guide\GPOAccelerator Tool\Security Group Policy Objects. Кроме того, в этом
разделе рассказывается, как изменить консоль управления групповыми политиками для просмотра
параметров объекта групповой политики, а также описываются структура подкаталогов и типы файлов,
которые распространяются с руководством. Другим ресурсом для сравнения значений параметров
является файл Windows Vista Security Guide Settings.xls, который также прилагается к этому
руководству.
Консоль управления групповыми политиками и расширения SCE
Решение, представленное в этом руководстве, использует параметры объекта групповой политики,
которые не отображаются в стандартном пользовательском интерфейсе консоли управления
групповыми политиками в Windows Vista или редакторе конфигураций безопасности (SCE). Эти
параметры с префиксом MSS: были разработаны группой Microsoft Solutions for Security для
предыдущего руководства о безопасности.
Внимание!
Расширения SCE и сценарий GPOAccelerator.wsf предназначены только для запуска на
компьютерах под управлением Windows Vista. Эти средства не будут правильно работать при запуске
на компьютере под управлением системы Windows XP или Windows Server 2003.
По этой причине необходимо расширить эти средства, чтобы просматривать параметры безопасности и
при необходимости редактировать их. Для этого сценарий GPOAccelerator.wsf автоматически обновляет
компьютер при создании объектов групповой политики. Чтобы администрировать объекты групповой
политики руководства по безопасности Windows Vista с другого компьютера под управлением
Windows Vista, используйте следующую процедуру для обновления SCE на этом компьютере.
Чтобы изменить SCE для вывода параметров MSS
1.
Убедитесь в том, что выполнены указанные ниже условия.
•
Компьютер присоединен к домену с Active Directory, в котором созданы объекты групповой
•
Установлен каталог Windows Vista Security Guide\GPOAccelerator Tool.
политики.
Примечание.
Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором
установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы
выполнить сценарий, как описано в этой процедуре, папка GPOAccelerator Tool и ее вложенные
папки должны находиться на локальном компьютере.
2.
Войдите на компьютер с учетной записью администратора.
3.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
4.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
5.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите клавишу ВВОД.
6.
В командной строке введите cscript GPOAccelerator.wsf /ConfigSCE и нажмите клавишу
ВВОД.
7.
В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да",
чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).
8.
В окне с сообщением TheSecurity Configuration Editor is updated (Редактор конфигураций
безопасности обновлен) нажмите кнопку OK.
Внимание!
Это сценарий только изменяет SCE так, чтобы отображались параметры MSS, он не
создает объекты групповой политики или подразделения.
Следующая процедура удаляет дополнительные параметры безопасности MSS, а затем устанавливает
для параметров средства SCE значения по умолчанию для Windows Vista.
Чтобы присвоить параметрам средства SCE значения по умолчанию для Windows Vista
1.
Войдите на компьютер с учетной записью администратора.
2.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
3.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите клавишу ВВОД.
5.
В командной строке введите cscript GPOAccelerator.wsf /ResetSCE и нажмите клавишу ВВОД.
6.
В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да",
чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).
Примечание.
При выполнении этой процедуры параметрам редактора конфигураций
безопасности назначаются значения по умолчанию для Windows Vista. Все параметры,
добавленные в редактор конфигураций безопасности, будут удалены. Это повлияет только на
отображение этих параметров в редакторе конфигураций безопасности. Настроенные параметры
групповых политик не удаляются.
7.
В окне с сообщением TheSecurity Configuration Editor is updated (Редактор конфигураций
безопасности обновлен) нажмите кнопку OK.
Предыдущие параметры безопасности
Если необходимо создать собственную политику безопасности, а не использовать или изменить
политики, предоставляемые с данным руководством, можно импортировать нужные параметры
безопасности с помощью шаблонов безопасности. Шаблоны безопасности — это текстовые файлы,
содержащие значения параметров безопасности. Они являются подкомпонентами объектов групповой
политики. Параметры политики, содержащиеся в шаблонах безопасности, можно изменять в оснастке
"Редактор объектов групповой политики" консоли управления (MMC). В отличие от предыдущих версий
операционной системы Windows, ОС Windows Vista не включает предварительно заданные шаблоны
безопасности, хотя при необходимости можно использовать существующие шаблоны.
Шаблоны безопасности входят в MSI-файл установщика Windows, который распространяется с этим
руководством. В папке GPOAccelerator Tool\Security Templates находятся следующие шаблоны для
среды EC:
•
VSG EC Desktop.inf
•
VSG EC Domain.inf
•
VSG EC Laptop.inf
Внимание!
Для развертывания решения, описанного в этом руководстве, не требуются шаблоны
безопасности. Шаблоны являются альтернативой решению на основе консоли управления групповыми
политиками и включают только параметры безопасности компьютера из раздела Конфигурация
компьютера\Конфигурация Windows\Параметры безопасности. Например, с помощью шаблона
безопасности нельзя управлять параметрами Internet Explorer или брандмауэра Windows в объектах
групповой политики, а также параметрами пользователя.
Работа с шаблонами безопасности
Чтобы использовать шаблоны безопасности, необходимо сначала расширить SCE таким образом, чтобы
настраиваемые параметры безопасности MSS отображались в пользовательском интерфейсе.
Дополнительные сведения см. в предыдущем разделе данной главы "Консоль управления групповыми
политиками и расширения SCE". Если шаблоны можно просматривать, для их импорта в созданные
объекты групповой политики при необходимости можно использовать следующую процедуру.
Чтобы импортировать шаблон безопасности в объект групповой политики
1.
Откройте редактор объектов групповой политики для объекта групповой политики, который
требуется изменить. Для этого в консоли управления групповыми политиками щелкните правой
кнопкой мыши объект групповой политики и выберите пункт Изменить.
2.
В редакторе объектов групповой политики перейдете к папке Конфигурация Windows.
3.
Разверните папку Конфигурация Windows и выберите пункт Параметры безопасности.
4.
Щелкните правой кнопкой мыши папку Параметры безопасности и выберите пункт
Импортировать политику.
5.
Откройте папку Security Templates в папке Windows Vista Security Guide.
6.
Выберите шаблон безопасности, который необходимо импортировать, и нажмите кнопку
Открыть.
После выполнения последнего действия этой процедуры параметры из файла копируются в
объект групповой политики.
Можно также использовать шаблоны безопасности, которые распространяются с руководством, чтобы
изменить локальную политику безопасности на автономных клиентских компьютерах под управлением
Windows Vista. Сценарий GPOAccelerator.wsf упрощает применение шаблонов.
Чтобы применить шаблоны безопасности для создания локальной групповой политики на
автономных клиентских компьютерах под управлением Windows Vista
1.
Войдите в систему компьютера под управлением Windows Vista с учетной записью
администратора.
2.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
3.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите кнопку ВВОД.
5.
В командной строке введите cscript GPOAccelerator.wsf /Enterprise /Desktop или cscript
GPOAccelerator.wsf /Enterprise /Laptop и нажмите клавишу ВВОД.
Эта процедура изменяет параметры локальной политики безопасности, используя значения в
шаблонах безопасности для среды EC.
Чтобы восстановить значения параметров по умолчанию для локальной групповой политики
в Windows Vista
1.
Войдите в систему клиентского компьютера под управлением Windows Vista с учетной записью
администратора.
2.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
3.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите кнопку ВВОД.
5.
В командной строке введите cscript GPOAccelerator.wsf /Restore и нажмите клавишу ВВОД.
Эта процедура восстанавливает значения по умолчанию для параметров локальной политики
безопасности в Windows Vista.
Подкаталоги и файлы
При запуске MSI-файла установщика Windows по умолчанию создается папка Windows Vista Security
Guide\GPOAccelerator Tool в указанном местоположении. MSI-файл создает в папке GPOAccelerator
Tool структуру подкаталогов и файлы, описанные в следующей таблице.
Таблица 1.1. Подкаталоги, файлы и описания
Подкаталог\Файл
Описание
SCE Update
Сценарий, который восстанавливает значения параметров
\Restore_SCE_to_Default.vbs
Windows Vista по умолчанию для SCE.
SCE Update
Файл по умолчанию Windows Vista SCEREGVL.INF, который
\Sceregvl_Vista.inf.txt
восстанавливает исходные значения SCE.
SCE Update
Текстовый файл, который содержит необходимые строковые
\Strings-sceregvl.txt
параметры для добавления параметров MSS в SCE.
SCE Update
Сценарий, который добавляет параметры MSS в SCE.
\Update_SCE_with_MSS_Regkeys.vbs
SCE Update
Файл реестра, который содержит значения реестра по
\Sce.reg
умолчанию для SCE.
SCE Update
Текстовый файл, содержащий значения реестра, необходимые
\Values-sceregvl.txt
для отображения параметров реестра в SCE.
Security Group Policy Objects
Пакетный файл, который открывает командную строку с
\Command-line here.cmd
использованием пути, из которого он был запущен.
Security Group Policy Objects
Основное средство, которое выполняет сценарий для
\GPOAccelerator.wsf
применения рекомендаций.
Предупреждение.
Перед тем как использовать этот сценарий, прочтите все
сведения в данной главе.
GPMCFiles
Сценарий, который создает объекты групповой политики и
\CreateEnvironmentFromXML.wsf
структуру подразделений.
Предупреждение.
Не изменяйте этот файл.
GPMCFiles
XML-файл, который консоль управления групповыми
\EC-VSG-GPOs.xml
политиками использует для создания объектов групповой
политики Enterprise.
GPMCFiles
XML-файл, который консоль управления групповыми
\EC-VSG-GPOs-LAB.xml
политиками использует для создания объектов групповой
политики Enterprise и образца структуры подразделений.
GPMCFiles
XML-файл, который консоль управления групповыми
\SSLF-VSG-GPOs.xml
политиками использует для создания объектов групповой
политики Enterprise.
GPMCFiles
XML-файл, который консоль управления групповыми
\SSLF-VSG-GPOs-LAB.xml
политиками использует для создания объектов групповой
политики SSLF и рекомендуемой структуры подразделений.
GPMCFiles
Текстовый файл, используемый подробной политикой аудита,
\EC-VSGAuditPolicy.txt
которая распространяется с этим руководством.
GPMCFiles
Командный файл, используемый подробной политикой аудита,
\EC-VSGAuditPolicy.cmd
которая распространяется с этим руководством.
GPMCFiles
Командный файл, используемый подробной политикой аудита,
\EC-VSGApplyAuditPolicy.cmd
которая распространяется с этим руководством.
GPMCFiles
Текстовый файл, используемый подробной политикой аудита,
\SSLF-VSGAuditPolicy.txt
которая распространяется с этим руководством.
GPMCFiles
Командный файл, используемый подробной политикой аудита,
\SSLF-VSGAuditPolicy.cmd
которая распространяется с этим руководством.
GPMCFiles
Командный файл, используемый подробной политикой аудита,
\SSLF-VSGApplyAuditPolicy.cmd
которая распространяется с этим руководством.
Security Templates
Папка, содержащая INF-файлы шаблонов безопасности,
которые можно использовать для внедрения некоторых
параметров безопасности, рекомендуемых в этом руководстве.
Примечание.
Корпорация Майкрософт рекомендует
использовать сценарий, распространяемый с этим
руководством, для создания рекомендуемых объектов
групповой политики. Тем не менее предоставляемые шаблоны
безопасности могут помочь защитить автономные компьютеры.
Security Templates
Шаблон безопасности Enterprise Desktop
\EC-VSG Desktop.inf
Security Templates
Шаблон безопасности Enterprise Domain
\EC-VSG Domain.inf
Security Templates
Шаблон безопасности Enterprise Laptop
\EC-VSG Laptop.inf
Security Templates
Шаблон безопасности SSLF Desktop
\SSLF-VSG Desktop.inf
Security Templates
\SSLF-VSG Domain.inf
Шаблон безопасности SSLF Domain
Security Templates
Шаблон безопасности SSLF Laptop
\SSLF-VSG Laptop.inf
Security Templates
Командный файл, используемый при восстановлении значений
\Vista Default Security.cmd
параметров по умолчанию Windows Vista для локальной
политики безопасности.
Security Templates
Шаблон безопасности, используемый при восстановлении
\Vista Default Security.inf
значений параметров по умолчанию Windows Vista для
локальной политики безопасности.
Security Templates
Файл базы данных безопасности, используемый при
\Vista Default Security.sdb
восстановлении значений параметров по умолчанию
Windows Vista для локальной политики безопасности.
Security Templates
Файл базы данных безопасности, используемый при
\Vista Local Security.sdb
применении шаблонов безопасности VSG к компьютеру.
Дополнительные сведения
Ниже приведены ссылки на дополнительные сведения по вопросам, связанным с безопасностью
Windows Vista.
•
Администрирование групповых политик с помощью консоли управления групповыми политиками на
•
Управление средой предприятия с помощью консоли управления групповыми политиками на веб-
•
Замыкание на себя групповых политик на веб-узле Microsoft.com (на английском языке).
•
Миграция объектов групповой политики между доменами с помощью консоли управления
•
Пошаговое руководство для знакомства с возможностями групповой политики на веб-узле Microsoft
•
Пошаговое руководство по мастеру делегирования управления на веб-узле TechNet (на английском
•
Обзор новых и расширенных параметров групповой политики на веб-узле TechNet (на английском
•
Центр справки и поддержки Windows Vista на веб-узле Microsoft.com (на английском языке).
•
Технический документ Улучшения безопасности Windows Vista и видеоматериал на эту тему,
веб-узле Microsoft.com (на английском языке).
узле Microsoft.com (на английском языке).
групповыми политиками на веб-узле Microsoft.com (на английском языке).
TechNet® (на английском языке).
языке).
языке).
предоставляемый по запросу, на веб-узле Microsoft.com (на английском языке).
Глава 2: Защита от вредоносных программъ
Вредоносное программное обеспечение, или вредоносные программы, — это любые программы или
файлы, причиняющие вред пользователю компьютера. Примерами вредоносных программ являются
компьютерные вирусы, вирусы-черви, программы типа "Троянский конь" и программы-шпионы,
собирающие сведения о пользователе компьютера без разрешения.
Система Windows Vista™ включает в себя несколько новых технологий, которые можно использовать
для повышения уровня защиты от вредоносных программ на компьютерах с операционной системой
Windows Vista в среде предприятия. Эти возможности и службы можно использовать в дополнение к
объектам групповой политики, описанным в предыдущей главе. Некоторые из которых также
обеспечивают защиту от вредоносных программ.
Обозреватель Microsoft® Internet Explorer® 7 в системе Windows Vista также включает в себя
несколько усовершенствований, позволяющих защититься от вредоносных программ. Технологии,
позволяющие предотвратить установку нежелательного программного обеспечения, и технологии,
позволяющие защититься от несанкционированной передачи личных данных, значительно повышают
уровень безопасности и конфиденциальности обозревателя.
Данная глава содержит обзор этих технологий и рекомендации по их настройке, если это необходимо.
Эти рекомендации можно реализовать в соответствующих объектах групповой политики, описанных в
главе 1 "Реализация основы системы безопасности". Тем не менее, необходимо отметить, что для
настройки многих параметров этих технологий нужны данные о конкретной среде. По этой причине
большинство рекомендованных значений для этих дополнительных параметров не включены в объекты
групповой политики, описанные в предыдущей главе.
Все эти технологии по умолчанию настроены на обеспечение повышенного уровня защиты для
компьютеров с операционной системой Windows Vista в среде клиента предприятия (EC). Тем не менее,
имеется ряд новых параметров групповой политики, которые можно использовать для настройки
поведения и работы этих технологий, чтобы обеспечить лучшую защиту от вредоносных программ в
своей среде.
Эта глава состоит из следующих разделов, посвященных новым и усовершенствованным технологиям
безопасности в системе Windows Vista и обозревателе Internet Explorer 7:
•
Технологии защиты системы Windows Vista.
•
Технологии защиты обозревателя Internet Explorer 7.
Примечание.
Чтобы описать конфигурацию по умолчанию для новой установки системы
Windows Vista, для каждой из этих областей в главе выделены конкретные параметры групповой
политики. Конкретные изменения параметров или рекомендации обозначены символом ‡.
Дополнительные сведения о значениях этих параметров см. в приложении А "Параметры групповой
политики, связанные с безопасностью".
Технологии защиты системы Windows Vista
Система Windows Vista включает в себя несколько новых и усовершенствованных технологий, которые
обеспечивают повышенный уровень защиты от вредоносных программ. Вот список этих технологий.
•
Контроль учетных записей (UAC).
•
Защитник Windows.
•
Брандмауэр Windows
•
Центр обеспечения безопасности Windows
•
Средство удаления вредоносных программ
•
Политики ограниченного использования программ
Помимо использования этих технологий защиты необходимо помнить, что для обеспечения
безопасности настоятельно рекомендуется входить в систему с учетной записью обычного
пользователя. Даже при использовании всех этих технологий, если не защитить пользователей с
правами администратора, компьютеры подвергаются риску.
Контроль учетных записей
Система Windows Vista включает в себя функцию контроля учетных записей (UAC), которая
предоставляет способ разделить привилегии и задачи обычного пользователя и администратора.
Функция контроля учетных записей повышает уровень безопасности, улучшая работу пользователя
при использовании учетной записи обычного пользователя. Теперь пользователи могут выполнять
больше задач и пользоваться повышенной совместимостью приложений без необходимости входить в
систему с привилегиями администратора. Это помогает снизить влияние вредоносных программ, а
также предотвратить установку несанкционированного программного обеспечения и внесение в
систему несанкционированных изменений.
Примечание.
В предыдущих версиях операционной системы Windows существовала группа
"Опытные пользователи", членам которой было разрешено выполнять системные задачи, такие как
установка приложений, не имея разрешений администратора. В функции контроля учетных записей
группа "Опытные пользователи" не предусмотрена, а разрешения, предоставленные этой группе в
системе Windows Vista, удалены. Тем не менее, группу "Опытные пользователи" все еще можно
использовать в целях обратной совместимости с другими версиями операционной системы. Для работы
с группой "Опытные пользователи" в системе Windows Vista необходимо применить новый шаблон
безопасности для изменения разрешений по умолчанию на системные папки и реестр, чтобы
предоставить группе "Опытные пользователи" разрешения, эквивалентные разрешениям для этой
группы в Windows XP.
В системе Windows Vista обычные пользователи могут теперь выполнять множество задач, которые
ранее требовали прав администратора, но не влияли на безопасность отрицательным образом.
Примеры задач, которые теперь могут выполнять обычные пользователи: изменение параметров
часового пояса, подключение к защищенной беспроводной сети и установка одобренных устройств и
элементов управления Microsoft ActiveX®.
Более того, режим одобрения администратором в технологии контроля учетных записей также
позволяет защитить компьютеры с операционной системой Windows Vista от некоторых типов
вредоносных программ. По умолчанию администраторы могут запускать большинство программ и задач
с привилегиями обычного пользователя. Когда пользователям требуется выполнить административные
задачи, такие как установка нового программного обеспечения или изменение определенных
системных параметров, система запрашивает их согласие на выполнение подобных задач. Тем не
менее, этот режим не обеспечивает такой же уровень защиты, как использование учетной записи
обычного пользователя и не гарантирует, что вредоносная программа, уже находящаяся на клиентском
компьютере, не сможет замаскироваться под программное обеспечение, требующее повышенных
привилегий. Этот режим также не гарантирует, что программное обеспечение с повышенными
привилегиями само по себе не начнет выполнять вредоносные действия после повышения привилегий.
Чтобы воспользоваться преимуществами этой технологии, необходимо настроить новые параметры
групповой политики в системе Windows Vista для управления поведением функции контроля учетных
записей. Параметры групповой политики, описанные в предыдущей главе, настраиваются для
обеспечения предписанного поведения функции контроля учетных записей. Тем не менее, корпорация
Майкрософт рекомендует пересмотреть предписанные значения для этих параметров, описанные в
приложении А "Параметры групповой политики, связанные с безопасностью", чтобы убедиться в том,
что они оптимально настроены для удовлетворения потребностей среды.
Оценка риска
Пользователи с привилегиями администратора входят в систему с включенными административными
возможностями. Это может привести к случайному или злонамеренному выполнению
административных задач без ведома пользователя. Пример.
•
Пользователь неосознанно загружает и устанавливает вредоносную программу с вредоносного или
•
Пользователя обманным путем заставляют открыть вложение сообщения электронной почты,
зараженного веб-узла.
содержащее вредоносную программу, которая запускается и, возможно, устанавливает себя на
компьютер.
•
В компьютер вставляется съемный диск, а функция автоматического воспроизведения
•
Пользователь устанавливает неподдерживаемые приложения, которые могут оказать влияние на
автоматически пытается запустить вредоносную программу.
производительность или надежность компьютеров.
Снижение рисков
Рекомендуемый подход к снижению рисков заключается в том, чтобы все пользователи входили в
систему, используя для повседневных задач учетную запись обычного пользователя. Пользователям
следует повышать уровень привилегий до уровня учетной записи администратора только для задач,
которые требуют такого уровня доступа. Также убедитесь в том, что функция контроля учетных
записей включена и выводит запрос при попытке выполнить пользователем задачу, которая требует
привилегий администратора.
Сведения о снижении рисков
Функция контроля учетных записей позволяет снизить риски, описанные в предыдущем разделе
"Оценка риска". Тем не менее, необходимо учитывать следующее:
•
Если в компании есть собственные разработчики приложений, корпорация Майкрософт рекомендует
им загрузить и прочитать статью Требования к разработке приложений для системы Windows для
обеспечения совместимости с функцией контроля учетных записей (на английском языке). В этом
документе описывается процесс проектирования и разработки приложений для системы
Windows Vista, совместимых с функцией контроля учетных записей.
•
Функция контроля учетных записей может создавать проблемы при работе несовместимых с ней
приложений. По этой причине перед развертыванием приложений необходимо протестировать их с
функцией контроля учетных записей.
•
Функция контроля учетных записей запрашивает учетные данные администратора и согласие
пользователя на повышение привилегий. Это увеличивает количество действий, которые
необходимо выполнить для завершения многих стандартных задач администрирования. Следует
оценить влияние увеличения количества действий на работу административного персонала.
Дополнительные запросы функции контроля учетных записей оказывают значительное влияние на
работу этих пользователей, поэтому параметру политики контроля учетных записей Behavior of the
elevation prompt for administrators in Admin Approval Mode (Поведение запроса повышения
привилегий для администраторов в режиме одобрения администратором) можно присвоить значение
Elevate without prompting (Повышать привилегии без запроса). Тем не менее, изменение этой
политики может повысить риск для среды, и центр обеспечения безопасности Windows сообщит об
этом.
•
Пользователь с привилегиями администратора может отключить режим одобрения администратором,
отключить вывод функцией контроля учетных записей запроса на ввод учетных данных для
установки приложений и изменить поведение запроса на повышение привилегий. По этой причине
важно контролировать количество пользователей, имеющих доступ к привилегиям администратора
на компьютерах в организации.
•
Корпорация Майкрософт рекомендует назначить две учетных записи для административного
персонала. Для повседневных задач эти сотрудники должны использовать учетную запись обычного
пользователя. При необходимости выполнить специфические задачи администрирования этим
сотрудникам следует войти в систему с учетной записью уровня администратора, выполнить задачи
и выйти из системы, чтобы вернуться к учетной записи обычного пользователя.
•
Параметры групповой политики в этом руководстве запрещают обычному пользователю повышать
привилегии. Такой подход является рекомендуемым, поскольку гарантирует, что задачи
администрирования могут выполняться только с учетными записями, которые специально были
настроены на уровень администратора.
•
Если приложение неправильно определено как приложение администратора или пользователя
(например, с помощью маркера "администратор" или "обычный"), система Windows Vista может
запустить приложение в неверном контексте безопасности.
Процедура снижения рисков
Начните процесс снижения рисков с изучения всех возможностей функции контроля учетных записей.
Использование процедуры снижения рисков
1.
Определите количество пользователей, способных выполнять задачи администрирования.
2.
Определите, как часто необходимо выполнять задачи администрирования.
3.
Определите, следует ли администраторам выполнять задачи администрирования путем простого
согласия в ответ на запрос функции контроля учетных записей или для выполнения задач
администрирования им необходимо будет вводить определенные учетные данные.
4.
Определите, следует ли обычным пользователям иметь возможность повышения привилегий для
выполнения задач администрирования. Параметры политики, описанные в данном руководстве,
блокируют возможность повышения своих привилегий обычными пользователями.
5.
Определите, каким образом будет проходить процесс установки приложений.
6.
Настройте параметры групповой политики контроля учетных записей в соответствии со своими
требованиями.
Использование групповой политики, чтобы снизить риски для функции контроля учетных
записей
Параметры контроля учетных записей можно настроить в следующем местоположении редактора
объектов групповой политики:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные
политики\Параметры безопасности
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой
технологии, в системе Windows Vista.
Таблица 2.1. Параметры контроля учетных записей
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
Admin Approval Mode for the
Этот параметр безопасности
Отключен ‡
Built-in Administrator account
определяет поведение режима
(Режим одобрения
одобрения администратором для
администратором для
встроенной учетной записи
встроенной учетной записи
администратора.
администратора)
Behavior of the elevation
Этот параметр безопасности
prompt for administrators in
определяет, выводится ли запрос
Admin Approval Mode
повышения привилегий для
(Поведение запроса
администраторов.
повышения привилегий для
Запрос согласия ‡
администраторов в режиме
одобрения
администратором)
Behavior of the elevation
Этот параметр безопасности
prompt for standard users
определяет, выводится ли запрос
(Поведение запроса
повышения привилегий для обычных
повышения привилегий для
пользователей.
Запрос учетных данных ‡
обычных пользователей)
Detect application
Этот параметр безопасности
installations and prompt for
определяет поведение функции
elevation (Обнаруживать
обнаружения установки приложений
попытки установки
для всей системы.
Включен
приложений и запросы
повышения привилегий)
Only elevate executables that
Этот параметр безопасности
are signed and validated
принудительно включает проверку
(Повышать привилегии
подписи инфраструктуры открытых
только для подписанных и
ключей (PKI) для любого
проверенных EXE-файлов)
интерактивного приложения, которое
Отключен
требует повышения привилегий.
Администраторы предприятия могут
контролировать список приложений,
разрешенных администратором, с
помощью сертификатов в хранилище
надежных издателей локальных
компьютеров.
Only elevate UIAccess
Этот параметр безопасности
applications that are installed
принудительно устанавливает
in secure locations
требование, согласно которому
(Повышать привилегии
приложения, требующие выполнения с
только для приложений
уровнем целостности UIAccess, должны
UIAccess, установленных в
находиться в безопасном
безопасные
местоположении файловой системы.
Включен
местоположения)
Run all administrators in
Этот параметр безопасности
Admin Approval Mode
определяет поведение политик
(Запускать все учетные
контроля учетных записей для всей
записи администраторов в
системы.
Включен
режиме одобрения
администратором)
Switch to the secure desktop
Этот параметр безопасности
when prompting for elevation
определяет, будет ли запрос на
(При запросе повышения
повышение полномочий отображаться
привилегий переключаться
на интерактивном рабочем столе
на безопасный рабочий
пользователей или на безопасном
стол)
рабочем столе.
Включен
Virtualize file and registry
Этот параметр безопасности включает
write failures to per-user
перенаправление ошибок записи
locations (Виртуализировать
устаревших приложений в
ошибки записи в файл и
определенные местоположения как в
реестр в местоположения
реестре, так и в файловой системе.
Включен
для каждого пользователя)
В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о
конкретном параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой
политики.
Пользовательский интерфейс учетных данных контроля учетной записи можно настроить в следующем
местоположении в редакторе объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Интерфейс
учетных данных
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой
технологии, в системе Windows Vista.
Таблица 2.2. Параметры пользовательского интерфейса учетных данных функции контроля
учетных записей
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
Enumerate administrator
При попытке пользователей повысить
Не задан ‡
accounts on elevation
привилегии запущенного приложения
(Перечислить учетные
по умолчанию отображаются все
записи администраторов
учетные записи администраторов. Если
при повышении
этот параметр включен, пользователям
привилегий)
необходимо всегда вводить имя
пользователя и пароль для повышения
их привилегий.
Require trusted path for
Если этот параметр включен, система
credential entry (Требовать
Windows Vista требует, чтобы
надежный путь для записи
пользователь вводил учетные данные,
учетных данных)
используя надежный путь, чтобы
Не задан ‡
программа типа "Троянский конь" или
другие типы вредоносного кода не
смогли получить учетные данные
пользователя Windows. Эта политика
влияет только на задачи
администрирования, не связанные со
входом в систему. В целях
безопасности эту политику следует
включить.
В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о
конкретном параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой
политики.
Параметры службы установщика ActiveX можно настроить в следующем местоположении редактора
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Служба
установщика ActiveX
В следующей таблице приведены сведения по параметрам безопасности, относящимся к службе
установщика ActiveX в системе Windows Vista.
Таблица 2.3. Служба установщика ActiveX
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
Approved Installation Sites
Этот параметр позволяет
Не задан
for ActiveX Controls (Веб-
администратору разрешить учетной
узлы, одобренные для
записи обычного пользователя
установки элементов
устанавливать элементы управления
управления ActiveX)
ActiveX из списка веб-узлов,
одобренных для установки элементов
управления ActiveX.
В данной таблице приведено простое описание для этого параметра. Дополнительные сведения об этом
параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой политики.
Защитник Windows.
Защитник Windows — это программа, входящая в систему Windows Vista, также доступная для загрузки
в системе Windows XP. Она позволяет защитить компьютеры от всплывающих окон, низкой
производительности и угроз безопасности, вызванных программами-шпионами и иным нежелательным
программным обеспечением. Защитник Windows осуществляет наблюдение в режиме реального
времени за важными контрольными точками операционной системы Windows Vista, которые являются
целью подобного нежелательного программного обеспечения, например, за папкой "Автозагрузка" и
записями автозагрузки в реестре.
Защитник Windows позволяет обнаружить и удалить нежелательные приложения, такие как программы
для показа рекламы, клавиатурные шпионы и программы-шпионы. Если программа пытается изменить
защищенную область в системе Windows Vista, Защитник Windows предложит пользователю либо
принять, либо отклонить изменение, чтобы защититься от установки программы-шпиона. Подобное
наблюдение повышает надежность компьютеров с операционной системой Windows Vista и
обеспечивает дополнительную защиту конфиденциальности пользователя. Защитник Windows включен
по умолчанию в системе Windows Vista, и хотя данная технология обеспечивает улучшенную защиту от
программ-шпионов, ее также можно использовать совместно с продуктами сторонних производителей
для защиты компьютера. Для обеспечения лучшей защиты от вредоносного программного обеспечения
корпорация Майкрософт настоятельно рекомендует клиентам также развернуть совместно с
Защитником Windows полноценное антивирусное решение.
Чтобы управлять поведением Защитника Windows, можно настроить в системе Windows Vista новые
параметры групповой политики. Среди параметров групповой политики, описанных в предыдущей
главе, нет параметров, изменяющих поведение Защитника Windows по умолчанию, поскольку значения
этих параметров зависят от требований конкретной среды.
Сообщество Microsoft SpyNet
Microsoft SpyNet — это интернет-сообщество, помогающее пользователю компьютера выбрать способ
реакции на потенциальные угрозы со стороны программ-шпионов. Сообщество также позволяет
остановить распространение заражения новыми программами-шпионами.
При обнаружении Защитником Windows программ, еще не классифицированных по степени риска, или
изменений, внесенных такими программами, можно посмотреть, как другие члены сообщества
реагируют на эту угрозу. В свою очередь, предпринимаемые вами действия помогают другим членам
сообщества выбрать способ реагирования. Ваши действия также помогают корпорации Майкрософт
выбрать, какое программное обеспечение необходимо исследовать на наличие потенциальных угроз.
Можно выбрать отправку базовых или дополнительных сведений об обнаруженном программном
обеспечении. Дополнительные сведения позволяют улучшить работу Защитника Windows. Например,
технология может включать поиск обнаруженных элементов на компьютере при удалении
вредоносного программного обеспечения. В этих случаях, Защитник Windows будет автоматически
собирать и отправлять сведения сообществу.
Оценка риска
Программы-шпионы представляют ряд серьезных угроз организации, которые необходимо устранить,
чтобы гарантировать безопасность данных и компьютеров. Наиболее общие риски, которые
программы-шпионы представляют для организации, включают в себя следующее.
•
Конфиденциальные бизнес-данные, которые могут попасть в руки неавторизованных
пользователей.
•
Личные данные сотрудников, которые могут попасть в руки неавторизованных пользователей.
•
Использование уязвимости компьютера злоумышленником.
•
Потеря производительности из-за влияния программ-шпионов на стабильность работы компьютера.
•
Увеличение стоимости технической поддержки вследствие заражения программами-шпионами.
•
Потенциальный риск шантажа компании в случае раскрытия конфиденциальных данных в
результате заражения.
Снижение рисков
Защитник Windows разработан для снижения рисков, связанных с программами-шпионами. Постоянные
обновления данной технологии выполняются автоматически через Центр обновления Windows или
службы Microsoft Windows Server Update Services (WSUS).
В дополнение к защите от программ-шпионов, обеспечиваемой Защитником Windows, корпорация
Майкрософт настоятельно рекомендует установить антивирусный пакет, позволяющий улучшить
защиту, обнаруживая помимо программ-шпионов также вирусы, программы типа "Троянский конь" и
вирусы-черви. Например, такие продукты как Microsoft Forefront Client Security, обеспечивают
универсальную защиту от вредоносных программ для настольных компьютеров, переносных
компьютеров и серверных операционных систем организации.
Условия для снижения рисков
Защитник Windows включен по умолчанию в системе Windows Vista. Эта технология разработана с
учетом потребления минимума системных ресурсов для работы на компьютерах, аппаратные
возможности которых ниже среднего уровня. Тем не менее, в процессе развертывания системы
Windows Vista организациям следует принять во внимание следующие рекомендации.
•
Протестируйте взаимодействие со всеми антивирусными и антишпионскими сканерами сторонних
•
Создайте систему управления развертыванием обновлений с определением подписей в случае, если
•
Дайте пользователям представление о наиболее распространенных способах, используемых
производителей, которые предполагается использовать в организации.
в организации имеется большое количество компьютеров.
программами-шпионами, для того чтобы обманным путем заставить запустить вредоносную
программу.
•
Запланируйте время сканирования, соответствующее потребностям организации. Значение по
умолчанию — ежедневно, в 2:00. Если невозможно выполнить сканирование компьютера в это
время, пользователь получит уведомление и запрос на запуск сканирования. Если сканирование не
выполнялось за последние два дня, оно начнется приблизительно через 10 минут после следующего
запуска компьютера. Это сканирование выполняется с низким приоритетом и практически не
оказывает влияния на клиентскую систему. Благодаря улучшению производительности операций
ввода-вывода в системе Windows Vista, это сканирование с низким приоритетом значительно
меньше влияет на систему, чем в системе Windows XP.
•
Защитник Windows не является антишпионским приложением для крупных организаций. В нем
отсутствуют механизмы централизованного создания отчетов, наблюдения и управления бизнескласса. Если требуются дополнительные возможности создания отчетов или контроля, необходимо
изучить другие продукты, такие как Microsoft Forefront Client Security.
•
Определите политику своей организации в отношении отправки отчетов о возможных программахшпионах в интернет-сообщество Microsoft SpyNet.
Процедура снижения рисков
Поскольку Защитник Windows является компонентом системы по умолчанию, для его включения не
требуется никаких дополнительных действий. Тем не менее, корпорация Майкрософт рекомендует
выполнить ряд дополнительных действий, гарантирующих безопасность организации.
Использование процедуры снижения рисков
1.
Изучите возможности системы Windows Vista и Защитника Windows, связанные с защитой от
программ-шпионов.
2.
Изучите параметры групповой политики для Защитника Windows.
3.
Проанализируйте необходимость дополнительной защиты организации от вирусов.
4.
Составьте план оптимального процесса обновления для компьютеров в организации. Возможно,
что для переносных компьютеров потребуется иная конфигурация обновлений, чем для
настольных компьютеров.
5.
Научите пользователей самостоятельно определять подозрительные действия компьютера.
6.
Обучите сотрудников службы поддержки использовать средства Защитника Windows для
оказания помощи при обращениях в службу.
Использование групповой политики для снижения рисков для Защитника Windows
Доступные параметры Защитника Windows можно просмотреть и настроить в следующем
местоположении редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Защитник
Windows
Таблица 2.4. Параметры управления Защитником Windows
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
Включить обновление
Этот параметр позволяет настроить
Не задан
определений через WSUS и
Защитник Windows на проверку и
Центр обновления Windows
установку обновлений определений
через Центр обновлений Windows, если
локально управляемый сервер Windows
Server Update Services (WSUS)
недоступен.
Проверить наличие
Если этот параметр включен, перед
обновлений подписей перед
запланированным сканированием
выполнением
компьютера будет выполнена проверка
запланированного
на наличие новых подписей. Если этому
сканирования
параметру присвоено значение
Не задан
Отключен или Не задан,
запланированное сканирование
начнется без загрузки новых подписей.
Отключить Защитник
Значение данного параметра по
Windows
умолчанию обеспечивает защиту
Не задан
системы Защитником Windows в режиме
реального времени.
Отключить запросы защиты
Этот параметр определяет, будет ли
в режиме реального
Защитник Windows предлагать
времени при обнаружении
пользователям разрешить или
неизвестной активности
заблокировать неизвестную активность.
Включить ведение журнала
Этот параметр позволяет записывать в
известных надежных
журнал данные обнаружения в
программ
процессе защиты в режиме реального
Не задан
Не задан
времени при обнаружении Защитником
Windows известных надежных файлов.
Ведение журнала обнаружений
обеспечивает подробные сведения о
программах, запущенных на
наблюдаемых компьютерах.
Включить ведение журнала
Этот параметр позволяет записывать в
неизвестных программ
журнал обнаружения в процессе
Не задан
защиты в режиме реального времени
при обнаружении Защитником Windows
неизвестных файлов. Ведение журнала
обнаружений обеспечивает подробные
сведения о программах, запущенных на
наблюдаемых компьютерах.
Загружать полный набор
Этот параметр включает загрузку
подписей
полного набора подписей, а не только
Не задан
подписей, обновленных с момента
последней загрузки. Загрузка полного
набора подписей может помочь решить
проблемы с их установкой, но большой
размер файла может потребовать
больше времени для загрузки.
Настроить создание отчетов
Этот параметр позволяет настроить
для Microsoft SpyNet
членство в интернет-сообществе
Не задан
Microsoft SpyNet.
В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о
конкретном параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой
политики.
Брандмауэр Windows
Персональный брандмауэр является важнейшей линией защиты от многих видов вредоносных
программ. Как и брандмауэр в ОС Windows XP с пакетом обновления 2 (SP2) брандмауэр в системе
Windows Vista включен по умолчанию для защиты компьютера пользователя сразу после запуска
операционной системы.
Брандмауэр Windows в системе Windows Vista включает фильтрацию входящего и исходящего трафика
для защиты пользователей путем ограничения ресурсов операционной системы, ведущих себя
непредусмотренным образом. Брандмауэр также интегрируется с функцией осведомленности о
состоянии сети системы Windows Vista, что позволяет применять специализированные правила в
зависимости от местонахождения клиентского компьютера. Например, если переносной компьютер
расположен в сети организации, правила брандмауэра могут быть определены администратором
доменной сетевой среды в соответствии с требованиями к безопасности этой сети. Тем не менее, если
пользователь пытается подключить тот же самый переносной компьютер к Интернету через публичную
сеть, например, бесплатную точку подключения к беспроводной сети, автоматически будет
использован другой набор правил брандмауэра, гарантирующий, что компьютер будет защищен от
атаки.
Кроме того, впервые для операционной системы Windows система Windows Vista интегрирует
управление брандмауэром с IPsec (Internet Protocol security). В системе Windows Vista IPsec и
управление брандмауэром интегрированы в одну консоль — консоль брандмауэра Windows в режиме
повышенной безопасности. Эта консоль позволяет централизованно управлять фильтрацией входящего
и исходящего трафика и параметрами изоляции сервера и домена IPsec с помощью пользовательского
интерфейса для упрощения настройки и уменьшения количества конфликтов политик.
Оценка риска
Подключение к сети является жизненно важным требованием в современном бизнесе. Тем не менее,
такое подключение также является основной целью злоумышленников. Угрозы, связанные с
подключением, необходимо устранить, чтобы гарантировать безопасность данных и компьютеров.
Наиболее известные угрозы для организации, связанные с сетевыми атаками, включают в себя
следующее.
•
Компьютер, используемый злоумышленником, который может впоследствии получить к этому
•
Приложения для сканирования сети, которые злоумышленник может использовать для обнаружения
•
Конфиденциальные бизнес-данные, которые могут стать доступными неавторизованным
компьютеру доступ с правами администратора.
открытых сетевых портов, позволяющих провести атаку.
пользователям, если программа типа "Троянский конь" сможет открыть несанкционированное
сетевое подключение между клиентским компьютером и компьютером злоумышленника.
•
Переносные компьютеры, которые могут подвергнуться сетевым атакам при нахождении за
•
Компьютеры во внутренней сети, которые могут подвергнуться сетевой атаке с уязвимого
•
Потенциальный риск шантажа организации в случае успешного использования злоумышленником
пределами сетевого брандмауэра организации.
компьютера, подключенного напрямую к внутренней сети.
внутренних компьютеров.
Снижение рисков
Брандмауэр в системе Windows Vista обеспечивает защиту клиентского компьютера с момента
установки операционной системы. Брандмауэр блокирует большую часть нежелательного входящего
трафика, если администратором или параметрами групповой политики не были внесены изменения.
Брандмауэр Windows также включает фильтрацию исходящего сетевого трафика, и изначально это
правило установлено на значение "Разрешить" для всего исходящего сетевого трафика. Параметры
групповой политики можно использовать для настройки этих правил в брандмауэре Windows Vista,
чтобы гарантировать, что параметры безопасности клиента останутся постоянными.
Условия для снижения рисков
Имеется ряд вопросов, которые следует учесть, если планируется использовать брандмауэр в системе
Windows Vista.
•
Протестируйте взаимодействие с приложениями, которые необходимо использовать на компьютерах
в организации. Для каждого приложения необходимо составить список требований к сетевым
портам, чтобы гарантировать, что в брандмауэре Windows будут открыты только необходимые
порты.
•
Брандмауэр Windows XP поддерживает доменный и стандартный профили. Профиль домена активен,
если клиент подключен к сети, которая содержит контроллеры домена для домена, в котором
находится учетная запись компьютера. Это позволяет создавать правила в соответствии с
требованиями внутренней сети организации. Брандмауэр Windows Vista включает частный и общий
профили, обеспечивающие более точное управление защитой клиентского компьютера при работе
пользователя за пределами сетевой защиты организации.
•
Оцените возможности ведения журнала брандмауэра Windows для определения возможности его
•
По умолчанию брандмауэр Windows блокирует удаленный контроль или удаленное управление
интеграции в существующие решения предприятия по созданию отчетов и наблюдению.
компьютерами с операционной системой Windows Vista. Корпорация Майкрософт создала ряд
правил для брандмауэра Windows, предназначенных специально для выполнения подобных
удаленных задач. Для того чтобы компьютеры организации поддерживали выполнение подобных
задач, необходимо включить соответствующие правила для каждого профиля, в котором требуется
выполнение этих задач. Например, можно включить правило удаленного рабочего стола для
профиля домена, чтобы позволить своей справочной службе поддерживать пользователей в сети
организации, но отключить его для частного и общего профилей, чтобы сократить возможности для
атаки на компьютеры, когда они находятся за пределами сети организации.
Снижение рисков с помощью брандмауэра Windows в режиме повышенной безопасности
Система Windows Vista включает новые параметры групповой политики и пользовательский интерфейс
управления, которые помогают настраивать новые функции в брандмауэре Windows Vista.
Расширенные параметры безопасности для системы Windows Vista не применяются к клиентскому
компьютеру с операционной системой Windows XP.
Корпорация Майкрософт рекомендует тщательно изучить эти новые возможности, чтобы определить,
смогут ли они обеспечить лучшую безопасность среды. Если планируется изменить действия
брандмауэра Windows Vista, выполняемые по умолчанию, корпорация Майкрософт рекомендует
использовать для управления клиентскими компьютерами с операционной системой Windows Vista
параметры групповой политики брандмауэра Windows в режиме повышенной безопасности.
Новые параметры групповой политики и оснастку управления, доступные для брандмауэра Windows,
можно изучить и настроить в следующем местоположении редактора объектов групповой политики:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Брандмауэр
Windows в режиме повышенной безопасности
Брандмауэр Windows в режиме повышенной безопасности поддерживает следующие профили среды.
•
Профиль домена. Этот профиль применяется, если компьютер подключен к сети и проходит
•
Общий профиль. Данный профиль является типом сетевого местоположения по умолчанию в
проверку подлинности на контроллере домена, которому принадлежит компьютер.
случае, если компьютер не подключен к домену. Параметры общего профиля должны максимально
ограничивать доступ, поскольку компьютер подключен к общедоступной сети, безопасность которой
нельзя контролировать так же жестко, как в ИТ-среде.
•
Частный профиль. Этот профиль применяется только в случае, если пользователь с привилегиями
локального администратора назначает его сети, которая до этого была общей. Корпорация
Майкрософт рекомендует делать это только при работе в надежной сети.
Важно понимать, что одновременно активен только один профиль. Если на компьютере установлено
несколько сетевых плат, и они подключены к разным сетям, выбор применяемого профиля
осуществляется следующим образом.
1.
Если все сетевые платы подключены к сети с доменами, примените профиль домена.
2.
Если все сетевые платы подключены к частной сети, примените частный профиль.
3.
Если одна из плат подключена к общей сети, примените общий профиль.
Корпорация Майкрософт рекомендует включить брандмауэр Windows в режиме повышенной
безопасности для всех трех профилей. Помимо расширенных правил брандмауэра Windows, он также
поддерживает правила безопасности подключения. Безопасность подключения включает проверку
подлинности двух компьютеров перед началом их взаимодействия и обеспечение безопасности
данных, пересылаемых между двумя компьютерами. Брандмауэр Windows в режиме повышенной
безопасности включает технологию IPsec для поддержки обмена ключами, проверки подлинности,
целостности данных, а также шифрования данных (дополнительно).
В приложении А "Параметры групповой политики, связанные с безопасностью" описываются все
исходные параметры брандмауэра Windows в режиме повышенной безопасности и поясняется, какие
параметры требуют специфичные для среды сведения.
Центр обеспечения безопасности Windows
Центр обеспечения безопасности Windows (WSC) работает в фоновом режиме на клиентских
компьютерах с операционными системами Windows Vista и Windows XP с пакетом обновления 2 (SP2). В
системе Windows Vista эта функция постоянно проверяет и отображает состояние четырех важных
категорий безопасности.
•
Брандмауэр
•
Функция автоматического обновления
•
Защита от вредоносных программ
•
Другие параметры безопасности
Центр обеспечения безопасности Windows также служит отправной точкой для доступа к другим
областям компьютера, относящимся к безопасности, и обеспечивает единое место для поиска
связанных с безопасностью ресурсов и поддержки. Например, центр обеспечения безопасности
Windows содержит ссылку, позволяющую пользователям, не имеющим антивирусного программного
обеспечения, просмотреть предложения поставщиков антивирусных решений, совместимых с центром
обеспечения безопасности Windows.
Корпорация Майкрософт улучшила центр обеспечения безопасности Windows в системе Windows Vista,
включив в него категорию "Другие параметры безопасности". Эта категория отображает состояние
параметров безопасности обозревателя Internet Explorer и функции управления учетными записями
пользователей. Другая новая категория в системе Windows Vista — это "Защита от вредоносных
программ", которая включает наблюдение за антивирусным и антишпионским программным
обеспечением. Помимо защиты, обеспечиваемой системой Windows Vista по умолчанию, центр
обеспечения безопасности Windows позволяет осуществлять наблюдение за решениями различных
производителей по обеспечению безопасности для брандмауэра Windows, а также антивирусным и
антишпионским программным обеспечением, запущенном на клиентском компьютере, и отображать,
какие из решений включены и обновлены.
Для клиентских компьютеров с операционной системой Windows Vista центр обеспечения безопасности
Windows предоставляет прямые ссылки на ПО поставщиков, которое можно использовать для
устранения возникающих проблем с компьютером. Например, если антивирусное или антишпионское
решение стороннего производителя отключено или устарело, в центре обеспечения безопасности
Windows имеется кнопка, нажав на которую, можно запустить на компьютере решение производителя
для устранения проблемы. Кроме того, центр обеспечения безопасности Windows содержит ссылки на
веб-узел производителя, которые можно использовать для запуска или обновления подписки или
получения обновлений. Осведомленность об отключении или устаревании программ для обеспечения
безопасности и возможность легко загрузить обновления может означать разницу между максимально
возможной защитой и уязвимостью для вредоносных программ.
Центр обеспечения безопасности Windows запускается по умолчанию на компьютерах с операционной
системой Windows Vista. Параметры групповой политики, описанные в предыдущей главе, не содержат
параметров, изменяющих поведение центра обеспечения безопасности Windows по умолчанию. Тем не
менее, администраторы могут использовать групповую политику для включения или отключения
клиентского пользовательского интерфейса центра обеспечения безопасности Windows на
компьютерах, подключенных к домену. Доступные параметры групповой политики центра обеспечения
безопасности Windows можно просмотреть и настроить в следующем местоположении редактора
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр
обеспечения безопасности
Файл шаблона Securitycenter.admx содержит сведения о настройке XML для этого параметра политики.
В следующей таблице содержится описание этой настройки.
Таблица 2.5. Настройка центра обеспечения безопасности Windows
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
Включить центр
Этот параметр указывает, включен ли
Не задан
обеспечения безопасности
или отключен центр обеспечения
Windows (только для
безопасности на компьютерах
компьютеров, входящих в
пользователей, входящих в домен,
домен)
использующий Active Directory. Если
для этого параметра оставить
значение по умолчанию "Не задан",
центр обеспечения безопасности будет
отключен для компьютеров,
являющихся членами домена.
В данной таблице приведено простое описание для этого параметра. Дополнительные сведения об этом
параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой политики.
Средство удаления вредоносных программ
Средство удаления вредоносных программ Microsoft Windows предназначено для удаления
вредоносных программ с зараженных компьютеров. Каждый месяц корпорация Майкрософт выпускает
новую версию данного средства через Центр обновления Microsoft, Центр обновления Windows, WSUS
и Центр загрузки Microsoft. Поскольку средство удаления вредоносных программ не является
полнофункциональным антивирусным продуктом, корпорация Майкрософт настоятельно рекомендует
пользователям установить антивирусное программное обеспечение, которое будет постоянно
обнаруживать и удалять вирусы. Это средство сканирует компьютер в фоновом режиме и создает
отчет, если находит какое-либо заражение. Оно не устанавливается в проверяемую операционную
систему. Средство удаления вредоносных программ не имеет параметров групповой политики в
системе Windows Vista.
Оценка риска
В дополнение к службам защиты, входящим в систему Windows Vista корпорация Майкрософт
рекомендует установить на всех компьютерах антивирусные программы, работающие в режиме
реального времени. Тем не менее, даже после принятия этих мер защиты для организации существуют
два вида опасности.
•
Отдельные виды вредоносных программ могут не обнаруживаться установленной антивирусной
•
Вредоносная программа может отключить установленную антивирусную программу, работающую в
программой, работающей в режиме реального времени.
режиме реального времени.
В этих случаях средство удаления вредоносных программ обеспечивает дополнительную защиту,
обнаруживая и удаляя наиболее распространенные вредоносные программы.
Снижение рисков
Чтобы уменьшить опасность возникновения описанных выше ситуаций, корпорация Майкрософт
рекомендует включить на клиентских компьютерах службу автоматических обновлений, чтобы
средство удаления вредоносных программ автоматически загружалось и запускалось по мере выпуска.
Перед использованием этого средства в своей среде ознакомьтесь со следующими рекомендациями для
его успешного развертывания.
•
Средство удаления вредоносных программ имеет размер около 4 МБ. Это может повлиять на
скорость соединения с Интернетом в организации, если большое количество клиентских
компьютеров будет загружать его одновременно.
•
Средство первоначально предназначалось для индивидуальных пользователей, на компьютерах
которых не установлено новейшее антивирусное программное обеспечение. Однако его можно
также использовать и на предприятии как часть стратегии всесторонней защиты, чтобы
усовершенствовать существующую политику обеспечения безопасности. Для развертывания
средства на предприятии можно применить один или несколько из следующих методов.
•
Службы обновления Windows Server Update Services.
•
Пакет программного обеспечения SMS.
•
Сценарий для запуска компьютера на основе групповой политики.
•
Сценарий входа пользователей в систему на основе групповой политики.
Корпорация Майкрософт рекомендует ознакомиться со статьей 891716 базы знаний Майкрософт
«Развертывание средства удаления вредоносных программ Microsoft Windows в среде предприятия».
•
Как правило, при запуске средства удаления вредоносных программ Microsoft Windows на корневом
диске компьютера создается временная папка со случайно выбранным названием. В нее будут
помещены несколько файлов, включая файл Mrtstub.exe. В большинстве случаев папка
автоматически удаляется после окончания работы средства или после следующей перезагрузки
компьютера. Но иногда этого не происходит. В этом случае можно удалить данную папку вручную
без каких-либо последствий для компьютера.
•
Пользователь может войти в систему во время работы средства удаления вредоносных программ в
фоновом режиме. (Средство может быть запущено в ходе процедуры развертывания, при которой
используются службы Windows Server Update Services.) В этом случае система Windows может
сообщить, что текущий профиль пользователя поврежден, в связи с чем создается новый профиль.
Чтобы решить эту проблему, можно удалить новый профиль. Пользователь может еще раз войти в
систему в то время, когда средство не будет запущено. Подобная проблема чаще всего возникает на
компьютерах под управлением системы Windows 2000.
Процедура снижения рисков
Для эффективной работы средства удаления вредоносных программ используйте следующую
процедуру.
Использование процедуры снижения рисков
1.
Изучите возможности средства удаления вредоносных программ.
2.
Оцените необходимость использования средства в вашей среде.
3.
Определите наиболее подходящий способ развертывания средства в вашей организации.
4.
Выделите компьютеры в организации, которые получат преимущества от защиты, предлагаемой
данным средством.
5.
Проведите развертывание средства выбранным способом.
Политики ограниченного использования программ
Политики ограниченного использования программ дают возможность администраторам определять
приложения и контролировать возможность их запуска на локальных компьютерах. Эта функция
способствует защите компьютеров под управлением систем Windows Vista и Windows XP Professional от
известных конфликтов, а также помогает обезопасить их от вредоносного программного обеспечения,
например, от вирусов и программ типа "Троянский конь". Политики ограниченного использования
программ полностью интегрируются со службой каталогов Active Directory и групповой политикой. Эту
функцию также можно использовать и на автономных компьютерах. С помощью политик ограниченного
использования программ можно выполнять следующие действия:
•
контролировать, какое программное обеспечение может быть запущено на клиентских компьютерах
•
ограничивать доступ к определенным файлам на многопользовательских компьютерах;
•
решать, кто именно может пополнять список заслуживающих доверия издателей на клиентских
•
определять, действуют ли политики для всех пользователей клиентских компьютеров или только
•
предотвратить запуск EXE-файлов на локальных компьютерах на основании политик,
в конкретной среде;
компьютерах;
для некоторых из них;
установленных на уровне компьютера, подразделения организации (OU), узла и домена.
Важно.
Необходимо тщательно проверить все параметры политик, упомянутые в данном
руководстве, перед развертыванием их в производственной среде. Особое внимание этому нужно
уделить при настройке параметров политик ограниченного использования программ. Ошибки,
допущенные при планировании или внедрении этой функции, могут привести к значительному
ухудшению качества работы пользователей.
Политики ограниченного использования программ не подверглись существенным изменениям в системе
Windows Vista. Поэтому они не описываются отдельно в данном руководстве.
Технологии защиты обозревателя Internet Explorer 7
Вредоносные веб-узлы способны нарушить работу компьютеров. Технологии обозревателя Internet
Explorer 7 позволяют предотвратить установку нежелательного программного обеспечения, а также
защитить компьютер от несанкционированной передачи личных данных, что позволяет значительно
повысить безопасность работы в обозревателе и обеспечить конфиденциальность. Новые технологии
безопасности обозревателя Internet Explorer 7 включают в себя следующие функции.
•
Защищенный режим обозревателя Internet Explorer.
•
Функция ActiveX Opt-in.
•
Защита от атак с применением междоменных сценариев.
•
Строка состояния системы безопасности.
•
Антифишинг.
•
Дополнительные функции безопасности.
Обозреватель Internet Explorer 7 может работать в системах Windows Vista и Windows XP. При этом в
системе Windows Vista у обозревателя Internet Explorer больше возможностей. Например, некоторые
функции обозревателя Internet Explorer 7, такие как функция защищенного режима или функция
родительского контроля, недоступны на компьютере под управлением системы Windows XP. Кроме
того, пользовательский интерфейс Aero в обозревателе Internet Explorer 7 нельзя использовать на
компьютерах с ОС Windows XP.
Защищенный режим обозревателя Internet Explorer.
Защищенный режим обозревателя Internet Explorer в ОС Windows Vista обеспечивает дополнительную
защиту и более безопасную работу в Интернете. Кроме того, он позволяет предотвратить захват
обозревателя злоумышленниками и возможность использования повышенных прав для запуска кода.
Благодаря функции защищенного режима уменьшается количество уязвимостей в предыдущих версиях
программного обеспечения за счет невозможности автоматической установки вредоносного кода. В
защищенном режиме обозревателя в системе Windows Vista используются механизмы с более высоким
уровнем целостности, которые ограничивают доступ к процессам, файлам и разделам реестра.
Прикладной программный интерфейс защищенного режима позволяет разработчикам программного
обеспечения выпускать такие расширения и надстройки, которые могут взаимодействовать с файловой
системой и реестром при работе обозревателя в защищенном режиме.
В защищенном режиме обозреватель Internet Explorer 7 работает с ограниченными разрешениями,
чтобы не допустить внесение изменений в файлы или параметры пользователя или системы без явного
согласия пользователя. В новой архитектуре обозревателя также представлен процесс "брокер",
позволяющий существующим приложениям выходить из защищенного режима более безопасным
способом. Благодаря этому загружаемые данные можно сохранять только в каталогах обозревателя с
ограниченными правами, например в папке временных файлов Интернета.
Защищенный режим по умолчанию доступен в обозревателе Internet Explorer 7 для всех зон
безопасности, кроме зоны надежных узлов. Однако можно отключить этот режим, что понизит уровень
общей безопасности. По этой причине параметры групповой политики, описанные в предыдущей
главе, включают защищенный режим обозревателя во всех зонах Интернета, за исключением зоны
надежных узлов, и предотвращают его отключение пользователями.
Посмотреть и изменить параметры групповой политики для защищенного режима обозревателя Internet
Explorer 7 можно в следующем разделе в редакторе объектов групповой политики.
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet
Explorer\Панель управления обозревателем\Страница безопасности\< Зона>
В следующей таблице содержится описание этой настройки.
Таблица 2.6. Параметр защищенного режима
Объект политики Описание
Значение по
умолчанию в ОС
Windows Vista
Turn on Protected
Включение этого параметра означает включение
Не задан
Mode (Включить
защищенного режима, который пользователи
защищенный
отключить не смогут.
режим) *
Отключение этого параметра означает отключение
защищенного режима, который пользователи не
смогут включить.
Если для этого параметра установлено значение
Не задано, пользователи смогут его включать и
отключать.
* Данная функция работает только в обозревателе Internet Explorer 7 на компьютере под управлением
системы Windows Vista.
В данной таблице приведено простое описание для этого параметра. Дополнительные сведения об этом
параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой политики.
Функция защищенного режима доступна в следующих зонах безопасности обозревателя Internet
Explorer 7.
•
Зона "Интернет".
•
Зона "Интранет".
•
Зона "Локальный компьютер".
•
Защищенная зона Интернета.
•
Защищенная зона интранета.
•
Защищенная зона локального компьютера.
•
Защищенная зона ограниченных узлов.
•
Защищенная зона надежных узлов.
•
Зона "Ограниченные узлы".
•
Зона "Надежные узлы".
Функция ActiveX Opt-in.
Обозреватель Internet Explorer 7 в системе Windows Vista предлагает новый мощный механизм
обеспечения безопасности для платформы ActiveX, улучшающий защиту пользовательских данных и
компьютерных систем. Функция ActiveX Opt-in автоматически отключает все элементы управления,
которые пользователь не разрешил явным образом. Это снижает опасность неправильного
использования предварительно установленных элементов управления.
В системе Windows Vista панель информации запрашивает согласие пользователя перед
использованием элементов управления ActiveX, которые были предварительно установлены на
компьютере, но еще не включались. Этот механизм оповещения позволяет пользователю разрешать
или запрещать применение каждого элемента, что еще более уменьшает область, доступную для атак.
Злоумышленники не могут использовать веб-узлы для автоматического запуска атак с помощью
элементов ActiveX, не предназначенных для использования в Интернете.
Защита от атак с применением междоменных сценариев
Новые барьеры для междоменных сценариев ограничивают возможности вредоносных веб-узлов
использовать уязвимости других узлов. Так, до появления защиты от атак с применением
междоменных сценариев во время посещения вредоносного веб-узла могло открыться новое окно
обозревателя с надежной веб-страницей (например, с веб-узла банка), на которой пользователя
просили ввести данные о счете. Эти данные могли быть извлечены с помощью сценария и
впоследствии поступить в распоряжение злоумышленника. С обозревателем Internet Explorer 7 этого не
произойдет благодаря защите от атак с применением междоменных сценариев.
Строка состояния системы безопасности.
Новая строка состояния системы безопасности в обозревателе Internet Explorer 7 позволяет быстро
отличать подлинные веб-узлы от подозрительных и вредоносных. Чтобы предоставить эти сведения,
строка состояния системы безопасности использует расширенные возможности доступа к сведениям о
цифровом сертификате, позволяющим определить безопасные веб-узлы (HTTPS).
Строка состояния системы безопасности предоставляет более понятные и ясные визуальные сведения,
позволяющие определить безопасность и подлинность веб-узлов. Эта технология также поддерживает
сведения о сертификатах высокой надежности, чтобы точно определять безопасные веб-узлы (HTTPS),
на которых применяются более строгие меры для подтверждения подлинности.
Антифишинг.
Фишинг — это метод, используемый многими злоумышленниками для обмана пользователей с целью
раскрытия их личных или финансовых данных посредством сообщения электронной почты или вебузла. Злоумышленники маскируются под законное лицо или организацию, чтобы получить
конфиденциальные сведения, такие как пароль счета или номера кредитных карт. С функцией
антифишинга в обозревателе Internet Explorer 7 работа в Интернете становится более безопасной, т. к.
пользователь получает сведения о подозрительных и известных поддельных веб-узлах. Содержимое
веб-узлов анализируется с целью выявления известных методов фишинга; при этом для определения
уровня безопасности веб-узлов используется глобальная сеть источников данных.
Создатели мошеннических сообщений электронной почты, рекламных объявлений в Интернете и вебузлов пользуются такими недостатками современных веб-узлов, как недостаточное взаимодействие и
ограниченный обмен данными. Новая функция антифишинга в обозревателе Internet Explorer 7,
получающая обновления несколько раз в час с помощью интернет-службы, объединяет новейшие
сведения о поддельных веб-узлах и предоставляет их пользователям обозревателя, чтобы
заблаговременно предупредить их об опасности и защитить от нее.
Функция антифишинга объединяет клиентский поиск характерных особенностей вредоносных вебузлов и Интернет-службу, запрашивающую подтверждение пользователя. Таким образом, пользователь
защищается от фишинг-атак тремя способами.
•
Во-первых, адреса веб-узлов, которые пользователь намеревается посетить, сверяются с
•
Во-вторых, веб-узлы проверяются на наличие характерных черт поддельных веб-узлов.
•
хранящимся на компьютере списком известных надежных узлов.
В-третьих, адрес веб-узла, который собирается посетить пользователь, отправляется в Интернетслужбу корпорации Майкрософт, которая мгновенно сверяет его с часто обновляемым списком
поддельных узлов. Список этих узлов составляется с помощью надежных источников, сообщающих
корпорации Майкрософт о том, что эти веб-узлы являются мошенническими.
Даже если веб-узел неизвестен службе антифишинга, обозреватель Internet Explorer 7 может
проверить деятельность веб-узла и сообщить пользователю о подозрительных действиях (например, о
сборе сведений о пользователе при отсутствии сертификата безопасного соединения (SSL). В этом
случае с помощью функции антифишинга сбор сведений будет предотвращен прежде, чем веб-узел
появится в официальном списке мошеннических веб-узлов.
При работе в обозревателе Internet Explorer 7 функция антифишинга по умолчанию настроена таким
образом, чтобы пользователь мог включить или отключить ее. В параметрах групповой политики,
описанных в предыдущей главе, нельзя изменить это поведение по умолчанию. Тем не менее,
администраторы могут контролировать действие функции антифишинга с помощью групповой
политики.
Просмотреть и настроить параметры групповой политики, касающиеся функции антифишинга, можно в
следующем разделе в редакторе объектов групповой политики.
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet
Explorer
В следующей таблице содержится описание этой настройки.
Таблица 2.7. Настройка параметра антифишинга
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
Turn off Managing
Этот параметр позволяет пользователям
Не задан
Phishing filter
включить функцию антифишинга, которая
(Отключить
будет выдавать предупреждение при попытке
управление
посетить мошеннический веб-узел,
функцией
собирающий личные данные с помощью
антифишинга)*
фишинга.
По умолчанию пользователю будет
предложено выбрать режим работы функции
антифишинга.
* Воспользоваться этим параметром можно, если на компьютере установлен обозреватель Internet
Explorer 7 и одна из следующих операционных систем: Windows Vista, Windows XP с пакетом
обновления 2 (SP2) или Windows Server 2003 с пакетом обновления 1 (SP1).
В данной таблице приведено простое описание для этого параметра. Дополнительные сведения об этом
параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой политики.
Корпорация Майкрософт рекомендует установить для параметра значение Включен и перевести его в
Автоматический режим работы. Однако администраторы должны знать, что при такой настройке
обозреватель автоматически отправляет данные в корпорацию Майкрософт, не запрашивая
подтверждения пользователя.
Дополнительные функции безопасности
В обозревателе Internet Explorer имеется набор специальных функций обеспечения безопасности,
которые укрепляют защиту от вредоносного программного обеспечения. Всеми этими параметрами
можно управлять при помощи групповой политики.
Посмотреть и изменить параметры групповой политики для обозревателя Internet Explorer 7 можно в
следующем разделе в редакторе объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet
Explorer/Средства безопасности
В данном разделе дается обзор этих параметров обозревателя Internet Explorer 7. Полный список
параметров групповой политики для обозревателя Internet Explorer 7 см. в редакторе объектов
групповой политики.
Примечание
Все функции, описанные в данном разделе, также работают в обозревателе Internet
Explorer 6.0 или более поздней версии на компьютере под управлением следующих операционных
систем: Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления
1(SP1).
Управление надстройками
С помощью параметров политики, описанных в данном разделе, можно ограничить количество
используемых обозревателем Internet Explorer 7 надстроек. В следующей ниже таблице приведены
параметры, отвечающие за управление надстройками.
Таблица 2.8. Параметры управления надстройками
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
Add-on List (Список
Этот параметр позволяет управлять
Не задан ‡
надстроек)
списком надстроек
Отключать все надстройки,
Этот параметр политики позволяет
кроме заданных в списке
запускать только разрешенные
надстроек
надстройки в обозревателе Internet
Не задан ‡
Explorer 7.
All Processes (Все процессы)
Этот параметр определяет, что влияет
Не задан
на процессы: пользовательские
настройки (отраженные в диспетчере
надстроек) или параметры политики.
Process List (Список
Этот параметр определяет, что влияет
процессов)
на процессы в списке:
Не задан
пользовательские настройки
(отраженные в диспетчере надстроек)
или параметры политики.
В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о
конкретном параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой
политики.
Ограничение безопасности для обработки двоичного кода
Обозреватель Internet Explorer включает динамическую обработку двоичного кода: компоненты,
включающие в себя специфические возможности для элементов HTML, к которым они присоединены.
Чтобы ограничить эти возможности, настройте параметры, описанные в таблице.
Таблица 2.9. Параметры ограничения безопасности для обработки двоичного кода
Объект политики Описание
Значение по умолчанию
в ОС Windows Vista
All Processes (Все
Этот параметр разрешает или запрещает политику
Не задан
процессы)
"Ограничение безопасности для обработки
двоичного кода".
Internet Explorer
Если для этого параметра установлено значение
Processes
Не задано или Включен, обработка двоичного
(Процессы
кода будет запрещена для всех процессов
обозревателя
проводника Windows и обозревателя Internet
Internet Explorer)
Explorer.
Process List
Этот параметр позволяет администраторам
(Список
определить приложения, для которых эта функция
процессов)
безопасности будет разрешена или запрещена.
Admin-approved
Если для этого параметра установлено значение
behaviors
Включен, то в каждой зоне будет доступно
(Поведение,
только поведение, перечисленные в разделе
утвержденное
"Допущенных администратором" политики
администратором)
ограничения безопасности поведения двоичного
кода.
В таблице выше приведено краткое описание каждого параметра.
Соответствие при обработке MIME
Не задан
Не задан
Не задан
Обозреватель Internet Explorer использует сведения MIME, чтобы определить, как следует
обрабатывать файлы, полученные с веб-сервера. В следующей таблице представлены данные о
параметрах групповой политики для MIME-данных, которые доступны в обозревателе Internet Explorer
7.
Таблица 2.10. Параметры соответствия при обработке MIME
Объект политики Описание
Значение по умолчанию
в ОС Windows Vista
All Processes (Все
Этот параметр определяет, будет ли обозреватель
Не задан
процессы)
Internet Explorer требовать, чтобы все данные о
файлах, полученные от веб-сервера,
соответствовали друг другу.
Internet Explorer
Этот параметр определяет, будет ли обозреватель
Processes
Internet Explorer требовать соответствия MIME-
(Процессы
данных для всех полученных файлов.
обозревателя
Если для этого параметра установлено значение
Internet Explorer)
Не задано или включено, обозреватель Internet
Не задан ‡
Explorer требует соответствия MIME-данных для
всех полученных файлов.
Process List
Этот параметр позволяет администраторам
(Список
определить приложения, для которых эта функция
процессов)
безопасности будет разрешена или запрещена.
Не задан
В данной таблице приведено простое описание каждого параметра.
Панель информации
Этот раздел параметров политики позволяет указывать, отображается ли панель информации для
процессов, не являющихся процессами обозревателя Internet Explorer, когда установка файлов или
кодов ограничена. По умолчанию, панель информации отображается для процессов обозревателя
Internet Explorer, но не отображается для каких-либо процессов, если установка файлов или кодов
ограничена. В следующей таблице представлены сведения о параметрах, с помощью которых можно
изменить данное поведение.
Таблица 2.11. Параметры панели информации
Объект политики Описание
Значение по умолчанию
в ОС Windows Vista
All Processes (Все
Если этот параметр включен, панель информации
Не задан
процессы)
будет отображаться для всех процессов.
Internet Explorer
Если этот параметр отключен, панель
Processes
информации не будет отображаться для процессов
(Процессы
обозревателя Internet Explorer.
Не задан
обозревателя
Internet Explorer)
Process List
Этот параметр политики позволяет управлять
(Список
отображением панели информации для отдельных
процессов)
процессов, когда установка файлов или кодов
ограничена.
Не задан
Безопасность заблокированной зоны локального компьютера
Обозреватель Internet Explorer накладывает ограничения зоны на каждую открываемую веб-страницу.
Ограничения зависят от размещения веб-страницы (Интернет, интрасеть, зона локального компьютера
и т. д.). Веб-страницы на локальном компьютере находятся в зоне безопасности локального
компьютера, и для них применяются минимальные ограничения безопасности. Параметры безопасности
зоны локального компьютера применяются ко всем локальным файлам и содержимому. Это позволяет
справляться с атаками, при которых зона локального компьютера используется как основное
направление атаки с целью загрузки вредоносного HTML-кода.
Таблица 2.12. Параметры безопасности заблокированной зоны локального компьютера
Объект политики Описание
Значение по умолчанию
в ОС Windows Vista
All Processes (Все
Если для этого параметра установлено значение
Не задан
процессы)
Включен, параметры безопасности зоны
локального компьютера применяются ко всем
локальным файлам и содержимому,
обрабатываемым любыми процессами, кроме
процессов обозревателя Internet Explorer или
процессов из списка.
По умолчанию параметры безопасности зоны
локального компьютера не применяются к
локальным файлам и содержимому,
обрабатываемым любыми процессами, кроме
процессов обозревателя Internet Explorer или
процессов из списка.
Internet Explorer
Если для этого параметра установлено значение
Processes
Не задано или Включен, параметры
(Процессы
безопасности зоны локального компьютера
обозревателя
применяются ко всем локальным файлам и
Internet Explorer)
содержимому, обрабатываемым обозревателем
Не задан
Internet Explorer.
Process List
Если для этого параметра установлено значение
(Список
Включен, а имени процесса присвоено значение
процессов)
1, к нему будут применены параметры
Не задан
безопасности зоны локального компьютера. Если
имени процесса присвоено значение 0, параметры
безопасности зоны локального компьютера
применятся не будут.
В данной таблице приведено простое описание каждого параметра.
Функция пробной проверки MIME
С помощью этой функции можно предотвратить обработку файла как файла потенциально более
опасного типа. В следующей таблице перечислены параметры этой функции.
Таблица 2.13. Параметры функции пробной проверки MIME
Объект политики
Описание
Значение по умолчанию
в ОС Windows Vista
All Processes (Все
Если для этого параметра установлено значение
процессы)
Включен, возможность пробной проверки MIME
Не задан
доступна для всех процессов.
Internet Explorer
Если для этого параметра установлено значение
Processes
Отключен, процессы обозревателя Internet
(Процессы
Explorer будут разрешать пробной проверке
обозревателя
MIME обработку файла как файла более
Internet Explorer)
опасного типа.
Не задан ‡
По умолчанию (Не задано) обработка файла как
файла более опасного типа запрещена.
Process List (Список
Этот параметр политики позволяет
процессов)
администраторам определить приложения, для
Не задан
которых эта функция безопасности будет
запрещена.
В данной таблице приведено простое описание каждого параметра.
Ограничение безопасности для протокола MK
Параметр "Ограничение безопасности для протокола MK" уменьшает возможности для атаки, блокируя
трафик по протоколу MK. Если этот параметр политики включен, то ресурсы, размещенные на
протоколе MK, будут недоступны.
Таблица 2.14. Параметры ограничения безопасности для MK-протокола
Объект политики
Описание
Значение по умолчанию
в ОС Windows Vista
All Processes (Все
По умолчанию это ограничение отключено для
Не задан
процессы)
всех процессов. Но если для этого параметра
установлено значение Включен, протокол MK
будет отключен для всех процессов, а любое его
использование запрещено.
Internet Explorer
Если для этого параметра установлено значение
Processes
Отключен, приложения могут использовать
(Процессы
интерфейс API протокола MK. Ресурсы,
обозревателя
размещенные в протоколе MK, будут работать
Internet Explorer)
для процессов проводника Windows и
Не задан ‡
обозревателя Internet Explorer.
По умолчанию протокол МК не используется в
проводнике Windows и обозревателе Internet
Explorer; ресурсы, размещенные в протоколе МК,
блокируются.
Process List (Список
Этот параметр политики позволяет
процессов)
администраторам определить приложения, для
Не задан
которых эта функция безопасности будет
разрешена или запрещена.
В данной таблице приведено простое описание каждого параметра.
Блокирование сетевого протокола
Можно настроить обозреватель Internet Explorer 7 так, чтобы предотвращать небезопасный запуск
активного содержимого, полученного через ограниченные протоколы. Этот параметр политики
разрешает или запрещает ограниченное содержимое, полученное через ограниченные протоколы.
Таблица 2.15. Параметры блокирования сетевого протокола
Объект политики Описание
Значение по умолчанию в
ОС Windows Vista
All Processes (Все
Если для этого параметра установлено значение
Не задан
процессы)
Включен, то ограничение содержимого,
полученного через ограниченные протоколы,
разрешено для всех процессов, кроме процессов
проводника Windows и обозревателя Internet
Explorer. Если для этого параметра установлено
значение Включен, то ограничение
содержимого, полученного через ограниченные
протоколы, запрещено для всех процессов, кроме
процессов проводника Windows и обозревателя
Internet Explorer. По умолчанию (значение
Не задано) эта политика не применяется для
каких-либо процессов, кроме процессов
проводника Windows и обозревателя Internet
Explorer.
Internet Explorer
Если для этого параметра установлено значение
Processes
Включен, то ограничение содержимого,
(Процессы
полученного через ограниченные протоколы,
обозревателя
разрешено для процессов проводника Windows и
Internet Explorer)
обозревателя Internet Explorer. Если для этого
Не задан
параметра установлено значение Отключен, то
ограничение содержимого, полученного через
ограниченные протоколы, запрещено для
процессов проводника Windows и обозревателя
Internet Explorer. По умолчанию (значение Не
задан) обозреватель Internet Explorer пропускает
этот параметр.
Process List
Этот параметр позволяет администраторам
(Список
определить приложения, для которых
процессов)
ограничение содержимого, полученного через
Не задан
ограниченные протоколы, будет разрешено или
запрещено.
В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о
конкретном параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой
политики.
Для каждой зоны можно настроить ограничение безопасности "Блокирование сетевых протоколов" для
предотвращения небезопасного запуска активного содержимого, полученного через ограниченные
протоколы, либо путем отправки запроса пользователю при попытке запуска активного содержимого,
либо путем отключения содержимого.
Примечание.
Если параметр политики для какой-либо зоны установлен как в разделе
"Конфигурация компьютера", так и в разделе "Конфигурация пользователя", в этой зоне будут
заблокированы оба списка протоколов.
Таблица 2.16. Параметры ограниченных протоколов для каждой зоны безопасности
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
Internet Zone Restricted
Если этот параметр включен, создается
Не задан
Protocols (Ограниченные
список протоколов, ограниченных в зоне
протоколы в зоне
"Интернет".
"Интернет")
Intranet Zone Restricted
Если этот параметр включен, создается
Protocols (Ограниченные
список протоколов, ограниченных в зоне
протоколы в зоне
"Интранет".
Не задан
"Интранет")
Local Machine Zone
Если этот параметр включен, создается
Restricted Protocols
список протоколов, ограниченных в зоне
(Ограниченные
локального компьютера.
Не задан
протоколы в зоне
"Локальный компьютер")
Restricted Sites Zone
Если этот параметр включен, создается
Restricted Protocols
список протоколов, ограниченных в зоне
(Ограниченные
"Ограниченные узлы".
Не задан
протоколы в зоне
"Ограниченные узлы")
Trusted Sites Zone
Если этот параметр включен, создается
Restricted Protocols
список ограниченных протоколов в зоне
(Ограниченные
"Надежные узлы".
Не задан
протоколы в зоне
"Надежные узлы")
В данной таблице приведено простое описание каждого параметра.
Защита кэшируемых объектов
Этот параметр политики определяет, будет ли доступна ссылка на объект при переходе в пределах
одного домена или к новому домену.
Таблица 2.17. Параметры защиты кэшируемых объектов
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
All Processes (Все
Если для этого параметра установлено значение
Не задан
процессы)
Отключен или Незадан, ссылка на объект
остается доступной при переходе в пределах
одного домена или к новому домену на узлах
ограниченной зоны.
Internet Explorer
Если для этого параметра установлено значение
Processes
Не задан или Включен, ссылка на объект
(Процессы
недоступна для процессов обозревателя Internet
обозревателя
Explorer при переходе в пределах одного домена
Internet Explorer)
или к новому домену.
Не задан
Process List (Список
Этот параметр позволяет администраторам
процессов)
определить приложения, для которых эта
Не задан
функция безопасности будет разрешена или
запрещена.
В данной таблице приведено простое описание каждого параметра.
Защита от повышения уровня зоны
Обозреватель Internet Explorer накладывает ограничения на каждую открываемую страницу.
Ограничения зависят от размещения веб-страницы (Интернет, интрасеть, зона локального компьютера
и т. д.) Например, веб-страницы на локальном компьютере находятся в зоне безопасности локального
компьютера, и для них применяются минимальные ограничения безопасности. Это делает зону
локального компьютера основной мишенью для атак со стороны злоумышленников.
Таблица 2.18. Параметры защиты от повышения уровня зоны
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
All Processes (Все
Если для этого параметра установлено
Не задан
процессы)
значение Включен, любая зона может быть
защищена от повышения зоны для всех
процессов.
Если для этого параметра установлено
значение Не задано или Отключен,
никакие процессы, кроме процессов
обозревателя Internet Explorer и
перечисленных в списке процессов, не
получают такую защиту.
Internet Explorer
Если для этого параметра установлено
Processes (Процессы
значение Не задано или Включен, любая
обозревателя Internet
зона может быть защищена от повышения
Explorer)
зоны для всех процессов.
Не задан ‡
Если для этого параметра установлено
значение Включен, данная защита не
применяется к процессам обозревателя
Internet Explorer.
Process List (Список
Этот параметр политики позволяет
процессов)
администраторам определить приложения,
Не задан
для которых эта функция безопасности будет
разрешена или запрещена.
В данной таблице приведено простое описание каждого параметра.
Ограничение установки элементов ActiveX
Эти параметры политики накладывают ограничения на установку элементов управления ActiveX.
Таблица 2.19. Параметры ограничения установки элементов ActiveX
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
All Processes (Все
Этот параметр позволяет приложениям,
Не задан
процессы)
использующим элемент управления
обозревателя, блокировать выдачу
автоматических запросов на установку
элементов управления ActiveX.
Internet Explorer
Этот параметр позволяет блокировать запросы
Processes (Процессы
на установку элементов управления ActiveX
обозревателя Internet
для всех процессов обозревателя Internet
Explorer)
Explorer.
Process List (Список
Этот параметр позволяет администраторам
процессов)
определить список EXE-файлов, для которых
Не задан ‡
Не задан
автоматические запросы на установку
элементов управления ActiveX будут
разрешены или запрещены. По умолчанию
данная функция безопасности включена.
В данной таблице приведено простое описание каждого параметра.
Ограничение загрузки файлов
Эти параметры политики накладывают ограничения на автоматическую загрузку файлов, не
запущенную пользователем.
Таблица 2.20. Параметры ограничения загрузки файлов
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
All Processes (Все
Этот параметр позволяет приложениям,
Не задан
процессы)
использующим элемент управления
обозревателя, блокировать выдачу
автоматических запросов на загрузку файлов,
не инициированную пользователем.
Internet Explorer
Этот параметр позволяет блокировать
Processes (Процессы
запросы на загрузку файлов, не
обозревателя Internet
инициированные пользователем.
Не задан ‡
Explorer)
Process List (Список
Этот параметр позволяет администраторам
процессов)
создать список EXE-файлов, для которых
Не задан
будет разрешено или запрещено
блокирование автоматических запросов на
загрузку файлов, не запущенных
пользователем.
В данной таблице приведено простое описание каждого параметра.
Ограничения безопасности для окон, обрабатываемых сценариями
Обозреватель Internet Explorer позволяет сценариям программно открывать окна различного типа,
изменять их размеры и положение. Функция ограничений безопасности для окон ограничивает работу
всплывающих окон и запрещает сценариям отображение окон, в которых заголовок и строка состояния
не видны пользователю или закрывают заголовок и строку состояния других окон.
Таблица 2.21. Параметры ограничения безопасности для обрабатываемых сценариями окон
Объект политики
Описание
Значение по умолчанию в
ОС Windows Vista
All Processes (Все
Если для этого параметра установлено значение
Не задан
процессы)
Незадан или Отключен, то ограничений на
запущенные сценариями окна нет. Если для
этого параметра установлено значение
Включен, то инициированные сценариями окна
ограничены для всех процессов.
Internet Explorer
Если для этого параметра установлено значение
Processes
Не задано или Включен, блокирование
(Процессы
всплывающих окон будет применяться для
обозревателя
процессов проводника Windows и обозревателя
Internet Explorer)
Internet Explorer. Если для этого параметра
Не задан ‡
установлено значение Отключен, сценарии
смогут продолжить создавать всплывающие
окна и окна, которые могут закрывать
заголовок и панель состояния других окон.
Process List (Список
Этот параметр политики позволяет
процессов)
администраторам определить приложения, для
Не задан
которых эта функция безопасности будет
разрешена или запрещена.
В данной таблице приведено простое описание каждого параметра.
Дополнительные сведения
Дополнительные сведения о новых усовершенствованных функциях безопасности в системе
Windows Vista см. на следующих ресурсах.
•
•
Средство удаления вредоносных программ на веб-узле Microsoft.com.
Глава Политика ограниченного использования программ для клиентских компьютеров под
управлением системы Windows XP в Руководстве по безопасности для системы Windows XP на вебузле Microsoft TechNet.
•
Контроль учетных записей на веб-узле TechNet.
•
Работа с политиками ограниченного использования программ для защиты от несанкционированного
•
Защитник Windows на веб-узле TechNet.
•
Раздел Брандмауэр Windows на TechNet (на английском языке).
•
Групповая политика в системе Windows Server 2003 на веб-узле Microsoft.com.
•
Усовершенствования систем защиты данных и безопасности в системе Windows Vista на веб-узле
•
Обзор командной оболочки для системы Windows XP на веб-узле Microsoft.com.
программного обеспечения на веб-узле TechNet.
TechNet.
Глава 3. Защита конфиденциальных данных
Каждый год во всем мире происходит потеря, кража или ненадлежащее списание сотни тысяч
компьютеров без соответствующих мер безопасности. Согласно опросу о компьютерных преступлениях
и безопасности, проведенному ФБР и Институтом компьютерной безопасности США в 2006 г, убытки,
связанные с потерей данных, выросли за предыдущий год на 65 %.
Включение в Windows Vista™ эффективных технологий и служб, которые устраняют риск разглашения
или кражи данных, было одним из основных требований клиентов к корпорации Майкрософт. Причина
этого отчасти в том, что злоумышленники могут использовать альтернативную операционную систему
на клиентском компьютере, перенести его диск на другой компьютер или использовать иные способы
автономной атаки для просмотра данных на потерянных или похищенных компьютерах. Во многих
случаях последние законодательные и государственные нормы, направленные на защиту информации
и конфиденциальности, также требуют защиты данных.
По этим причинам корпорация Майкрософт разработала новые и улучшила существующие возможности
и службы, чтобы помочь организациям лучше защищать данные на клиентских компьютерах.
Возможности и службы, которые рассматриваются в этой главе, предназначены для защиты данных на
клиентских компьютерах под управлением Windows Vista в среде Enterprise Client. Конфигурация этих
возможностей зависит от конкретных требований и среды. В главе описан процесс определения
необходимой настройки следующих возможностей и служб для повышения соответствия требованиям к
защите данных:
•
шифрование диска BitLocker™;
•
шифрованная файловая система (EFS);
•
служба управления правами (RMS);
•
управление устройствами.
Шифрование диска BitLocker, EFS, RMS и управление устройствами можно использовать для защиты
конфиденциальных данных предприятия. Тем не менее каждая технология и метод выполняют
определенные функции для защиты данных. Все эти технологии и методы являются дополнительными
элементами защиты данных, и корпорация Майкрософт настоятельно рекомендует использовать их в
общей стратегии безопасности предприятия. Эти технологии можно использовать по отдельности или
вместе в зависимости от требований организации к безопасности. В следующей таблице приведены
примеры использования этих технологий и методов в различных сценариях для защиты предприятия.
Таблица 3.1. Сравнение технологий защиты данных в Windows Vista
Сценарий
Защита данных на переносных
компьютерах
Защита данных на сервере
филиала
Локальная защита файлов и
папок одного пользователя
BitLocker
Файловая
система EFS
RMS
Управление
устройствами
Защита данных на настольных
компьютерах
Защита файлов и папок на
компьютере с общим доступом
Удаленная защита файлов и
папок
Защита от неуполномоченных
администраторов сети.
Удаленное применение
политик документов
Защита содержимого при
передаче
Защита содержимого во время
совместной работы
Защита от хищения данных
Шифрование диска BitLocker
Шифрование диска BitLocker позволяет защитить данные на клиентском компьютере. Весь том Windows
шифруется для предотвращения нарушения защиты файлов Windows и системы, а также автономного
просмотра злоумышленниками информации на защищенном диске. В самом начале загрузки BitLocker
проверяет целостность системы и оборудования клиентского компьютера. При обнаружении попытки
несанкционированного доступа к любым системным файлам или данным загрузка клиентского
компьютера прекратится.
BitLocker не позволяет злоумышленникам, которые используют другую операционную систему или
запускают средства для атаки, обходить защиту файлов и системы Windows Vista или автономно
просматривать файлы, хранящиеся на защищенном диске.
Шифрование диска BitLocker позволяет заблокировать нормальную последовательность загрузки до
ввода пользователем персонального идентификационного номера (ПИН) или вставки флэш-накопителя
USB с соответствующими ключами дешифрования. Максимальная защита обеспечивается при наличии
на компьютере доверенного платформенного модуля 1.2, защищающего данные пользователей и
предотвращающего несанкционированный доступ к автономному клиентскому компьютеру под
управлением Windows Vista. Спецификации и материалы о технологии доверенного платформенного
модуля см. на веб-узле группы Trusted Computing Group (на английском языке). Если доверенный
платформенный модуль недоступен, BitLocker защищает данные, но проверка целостности системы не
выполняется.
Технология BitLocker доступна в выпусках Windows Vista Enterprise Edition и Ultimate Edition для
клиентских компьютеров.
Примечание.
Технология BitLocker обеспечивает защиту раздела Windows и не заменяет файловую
систему EFS. Она не шифрует данные, которые не хранятся в разделе Windows, но обеспечивает
дополнительный уровень защиты для файловой системы EFS благодаря шифрованию ключей EFS в
разделе Windows.
Оценка риска
Мобильные компьютеры обычно используются в незащищенных средах, в которых существует высокий
риск их хищения или потери. Если злоумышленники получат физический контроль над системой, они
могут обойти многие из мер безопасности, предназначенных для защиты системы и данных.
Настольные компьютеры с общим доступом также подвержены значительному риску. Технология
BitLocker прежде всего предназначена для снижения риска хищения данных с утерянных или
похищенных компьютеров.
Если злоумышленник получит физический доступ к компьютеру, это может иметь следующие
последствия.
•
•
Злоумышленник может войти в систему Windows Vista и скопировать файлы.
Злоумышленник может запустить на клиентском компьютере другую операционную систему, чтобы:
•
посмотреть имена файлов;
•
скопировать файлы;
•
прочитать содержимое файла спящего режима или файла подкачки для обнаружения копий
•
прочитать содержимое файла спящего режима для обнаружения копий закрытых ключей
обрабатываемых документов в виде открытого текста;
программного обеспечения в виде открытого текста.
Даже если файлы зашифрованы с помощью EFS, невнимательный пользователь может переместить или
скопировать файл из зашифрованного расположения в незашифрованное, что приведет к тому, что
информация в файле будет иметь формат открытого текста. Кроме того, ИТ-персонал, не знающий о
требованиях, может не зашифровать скрытые папки, в которых приложения хранят резервные копии
обрабатываемых файлов. Существуют также эксплуатационные риски, такие как получение доступа
неавторизованными сотрудниками или изменение системных и корневых файлов, которое может
препятствовать нормальной работе системы.
Снижение рисков
Чтобы снизить эти риски, необходимо защитить последовательность загрузки компьютера так, чтобы
система запускалась только тогда, когда это разрешено. Кроме того, следует защитить операционную
систему и файлы данных.
Сведения о снижении рисков
Технология BitLocker может снижать риски, определенные в предыдущем разделе "Оценка рисков". Тем
не менее перед использованием BitLocker важно рассмотреть следующие требования и лучшие
решения для этой возможности защиты данных.
•
Чтобы использовать оптимальную конфигурацию BitLocker, на клиентском компьютере должна быть
установлена системная плата с микросхемой доверенного платформенного модуля 1.2, а реализация
BIOS должна соответствовать требованиям Trusted Computing Group. Кроме того, может требоваться
ключ запуска, который является дополнительным уровнем проверки подлинности. Ключ запуска —
это либо дополнительный физический ключ (флэш-накопитель USB с записанным ключом, читаемым
компьютером) или устанавливаемый пользователем ПИН. Также требуются надежные протоколы
входа пользователей и паролей.
•
Для использования BitLocker необходимо правильно разбить жесткий диск компьютера на разделы.
Для шифрования BitLocker требуются два тома с файловой системой NTFS: системный том и том
операционной системы. Раздел системного тома должен иметь объем не менее 1,5 ГБ.
•
Конфигурации BitLocker, в которых не используется проверка подлинности с помощью внешнего
•
Если BitLocker используется с ключом USB или ПИН, необходимо определить действия при потере
•
Технология BitLocker оказывает небольшое влияние на производительность системы, которое
ключа, могут быть подвержены атакам на базе оборудования.
ключей и ПИН.
обычно незаметно. Тем не менее если производительность системы очень важна (как в случае с
серверами), необходимо тщательно протестировать конфигурацию, чтобы гарантировать, что
использование ресурсов технологией BitLocker не приводит к существенному снижению
производительности.
•
В зависимости от поставщика компьютера средства управления доверенным платформенным
модулем могут требовать настройки вручную состояния устройства с доверенным платформенным
модулем и установки пароля администратора в BIOS во время сборки, что сделает невозможным
полностью автоматизированное развертывание и обновление системы на основе сценариев.
•
Чтобы использовать устройство с доверенным платформенным модулем, к нему должен быть
применен ключ подтверждения (EK), который может предоставить поставщик компьютера или
продавец, создающий добавочную стоимость товара, а также (после поставки системы) ИТперсонал. Ключ EK необходимо защищать и отслеживать при использовании компьютера.
•
Если на компьютере отсутствует доверенный платформенный модуль, он должен поддерживать
использование устройств USB при запуске, что дает возможность применять ключ запуска для
разблокировки тома при загрузке.
•
BitLocker может влиять на процедуры распространения программного обеспечения, если
программное обеспечение и обновления системы распространяются удаленно и в ночное время, а
компьютеры перезагружаются без участия пользователей. Пример.
•
Если на компьютере в качестве предохранителя используется доверенный платформенный
модуль и ПИН или доверенный платформенный модуль и ключ запуска, а в 2:00 производится
развертывание обновления программного обеспечения, которое требует перезагрузки
компьютера, компьютер не перезагрузится без ввода ПИН или ключа запуска.
•
Если для включения компьютеров в целях обслуживания используются функции пробуждения по
сети или автоматического включения BIOS, на эти компьютеры будут также влиять доверенный
платформенный модуль и ПИН или ключ запуска.
•
Обновления микропрограмм BIOS и доверенного платформенного модуля, распространяемые
изготовителем оборудования, могут влиять на компьютеры с поддержкой BitLocker. Просмотрите
инструкции изготовителя оборудования по установке, чтобы определить, будут ли сохраняться
данные для восстановления (пароли и ключи для восстановления) после обновления, а также будут
ли сохраняться дополнительные предохранители (ПИН или ключи запуска).
•
На компьютеры с поддержкой BitLocker могут влиять обновления приложений. Если во время
установки или обновления изменяется диспетчер загрузки или файлы, которые оценивает BitLocker,
произойдет сбой при загрузке системы и компьютер перейдет в режим восстановления. Перед
установкой или обновлением приложений, которые влияют на среду загрузки Windows Vista,
протестируйте их на компьютерах с поддержкой BitLocker.
•
На всех контроллерах домена в домене должна быть запущена система Microsoft®
Windows Server® 2003 с пакетом обновления 1 (SP1) или более поздней версии.
Примечание.
Windows Server 2003 требует расширить схему для поддержки хранения данных для
восстановления BitLocker в службе каталогов Active Directory®.
Процесс снижения рисков
Используйте следующий процесс снижения риска, чтобы определить наилучший способ настройки
BitLocker для защиты конфиденциальных данных на клиентских компьютерах.
Чтобы использовать этот процесс снижения риска
1.
Изучите технологию и возможности BitLocker.
2.
Оцените потребность в BitLocker в существующей среде.
3.
Проверьте, соответствуют ли все микропрограммы, оборудование и программное обеспечение,
используемые в организации, требованиям BitLocker.
4.
Определите системы в организации, которым требуется защита BitLocker.
5.
Определите необходимый уровень защиты. Для запуска операционной системы может
требоваться ПИН или ключ USB с ключами шифрования. Операционная система не будет
запускаться без этих ключей.
6.
Установите необходимые драйверы в тестовой системе.
7.
Настройте BitLocker в тестовых системах с помощью объектов групповой политики.
8.
После успешного завершения тестирования установите драйверы и настройте BitLocker в
рабочих системах.
Использование групповой политики с BitLocker для снижения риска
Корпорация Майкрософт рекомендует использовать два шаблона групповой политики для управления
конфигурацией BitLocker. Эти шаблоны позволяют управлять конфигурацией доверенного
платформенного модуля отдельно от других параметров BitLocker. В следующей таблице указаны
параметры групповой политики для BitLocker, доступные в шаблоне VolumeEncryption.admx. Эти
параметры можно настроить в следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты
Windows\Шифрование дисков BitLocker
Таблица 3.2. Параметры шифрования диска BitLocker
Параметр политики
Описание
Значение по умолчанию
в ОС Windows Vista
Turn on BitLocker backup
Включает резервное копирование данных
Не задан
to Active Directory Domain
для восстановления BitLocker в Active
Services
Directory. К данным для восстановления
относятся пароль для восстановления и
некоторые уникальные идентификаторы.
Control Panel Setup:
Определяет, будет ли мастер установки
Configure recovery folder
BitLocker запрашивать сохранение ключа
Не задан
восстановления в папку. Задает путь по
умолчанию, который отображается при
запросе папки для сохранения ключа
восстановления мастером установки
BitLocker.
Control Panel Setup:
Определяет, будет ли мастер установки
Configure recovery options
BitLocker запрашивать создание пароля для
Не задан
восстановления. Пароль для
восстановления — это последовательность
из 48 цифр, которая создается случайным
образом.
Control Panel Setup:
Определяет, будет ли мастер установки
Enable advanced startup
BitLocker запрашивать создание ПИН на
options
компьютере. ПИН — это
Не задан
последовательность, состоящая из 4—20
цифр, которую пользователь вводит при
каждом запуске компьютера. Для задания
количества цифр нельзя использовать
политику.
Configure encryption
Настраивает алгоритм шифрования и
Не задан
method
размер ключа, используемый BitLocker.
Этот параметр политики применяется к
полностью расшифрованному диску. Если
диск уже зашифрован или выполняется его
шифрование, изменение метода
шифрования не будет применено.
Configure TPM platform
Определяет способ защиты ключа
validation profile
шифрования тома доверенным
Не задан
платформенным модулем. Этот параметр
политики не применяется, если компьютер
не имеет совместимого доверенного
платформенного модуля. Изменение этой
политики также не влияет на
существующие копии ключа шифрования.
В таблице выше приведено краткое описание каждого параметра.
В следующей таблице указаны параметры групповой политики для доверенного платформенного
модуля, доступные в шаблоне TPM.admx. Эти параметры можно настроить в следующем разделе
редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Система\Trusted Platform Module
Services
Таблица 3.3. Параметры доверенного платформенного модуля
Параметр политики
Описание
Значение по умолчанию
Windows Vista
Turn on TPM backup to
Управляет резервным копированием данных
Не задан
Active Directory Domain
для восстановления доверенного
Services
платформенного модуля в Active Directory. К
данным для восстановления относится
криптографическое наследование пароля
владельца доверенного платформенного
модуля.
Configure the list of
Управляет списком команд доверенного
blocked TPM commands
платформенного модуля, заблокированных
Не задан
Windows, которые относятся к групповой
политике.
Ignore the default list of
Управляет применением списка по
blocked TPM commands
умолчанию заблокированных команд
Не задан
доверенного платформенного модуля для
компьютера.
Ignore the local list of
Управляет применением локального списка
blocked TPM commands
заблокированных команд доверенного
Не задан
платформенного модуля для компьютера.
В данной таблице приведено краткое описание каждого параметра.
Политики безопасности должны эффективно поддерживать пароли BitLocker и управление ключами.
Эти политики должны быть достаточно полными, чтобы защищать данные, но не слишком
ограничительными, чтобы не затруднять поддержку BitLocker. В следующем списке приводятся
примеры политик.
•
Всегда требовать резервного копирования пароля для восстановления в Active Directory.
•
Всегда требовать резервного копирования сведения владельца доверенного платформенного
•
Использовать ключи восстановления наряду с паролями для восстановления в качестве резервного
•
Если используется доверенный платформенный модуль и ПИН или ключи запуска USB, изменять их
•
На компьютерах с доверенным платформенным модулем использовать пароль администратора BIOS
•
Запретить хранение пользователями ключей, например ключей запуска USB, на компьютере.
•
Хранить ключи восстановления централизованно для поддержки и аварийного восстановления.
•
Выполнять резервное копирование данных для восстановления для защиты автономных хранилищ.
модуля в Active Directory.
(альтернативного) метода восстановления.
регулярно по расписанию.
для запрета доступа.
Шифрованная файловая система
Шифрованную файловую систему (EFS) можно использовать для шифрования файлов и папок, чтобы
обеспечить защиту данных от несанкционированного доступа. Файловая система EFS интегрируется с
файловой системой NTFS, а ее работа полностью прозрачна для приложений. Когда пользователь или
программа пытается получить доступ к зашифрованному файлу, операционная система автоматически
получает ключ для расшифровки содержимого, а затем без подтверждения выполняет шифрование и
расшифровку от лица пользователя. Пользователи, имеющие разрешенные ключи, смогут получать
доступ к зашифрованным файлам и работать с ними точно так же, как с любыми другими файлами, при
этом другим пользователям отказывается в доступе. Windows Vista включает множество новых
возможностей для файловой системы EFS, связанных с безопасностью, производительностью и
управляемостью. Ниже представлены новые возможности Windows Vista для EFS.
•
•
Можно хранить ключи пользователей на смарт-картах.
Можно хранить ключи восстановления на смарт-картах, что дает возможность восстанавливать
защищенные данные без выделенного компьютера для восстановления (даже в сеансах удаленного
рабочего стола).
•
Можно шифровать файл подкачки Windows с помощью EFS, используя ключ, создаваемый при
•
Можно шифровать кэш автономных файлов с помощью EFS. В Windows Vista для этой возможности
запуске системы. Этот ключ удаляется при завершении работы системы.
шифрования используется ключ пользователя, а не системы. Поэтому к файлам в кэше автономных
файлов может получать доступ только тот пользователь, от лица которого выполнялось их
кэширование.
•
Групповая политика включает множество новых параметров конфигурации, которые помогают
•
EFS поддерживает более широкий ряд сертификатов пользователей и ключей.
применять политики предприятия.
В Windows Vista было добавлено несколько новых параметров групповой политики, которые помогают
администраторам определять и внедрять политики организации для EFS. К ним относятся возможность
требования смарт-карт для EFS, принудительного шифрования файла подкачки, задания минимальной
длины ключа для EFS и принудительного шифрования папки "Документы" пользователя.
Примечание.
Корпорация Майкрософт рекомендует использовать BitLocker в сочетании с EFS для
максимальной защиты данных.
Оценка риска
Несанкционированный доступ к данным может поставить под угрозу бизнес-процессы и снизить
рентабельность. Данные особенно подвержены такому риску, если мобильные пользователи имеют
доступ к одной и той же системе или применяются мобильные компьютеры. Область риска, которую
должна устранять файловая система EFS, связана с хищением и компрометацией данных при потере
или краже мобильных компьютеров или при их несанкционированном использовании сотрудниками
компании. Такому риску также могут быть подвержены данные на компьютерах с общим доступом.
Если злоумышленник получит физический доступ к компьютеру с незашифрованными данными, это
может иметь следующие последствия.
•
Злоумышленник может перезагрузить компьютер и повысить свои привилегии до уровня локального
администратора, чтобы получить доступ к данным пользователя. Злоумышленник также может
загрузить средства для атаки путем перебора для получения пароля пользователя, что даст ему
возможность войти в систему с учетной записью пользователя и получить доступ к его данным.
•
Злоумышленник может попытаться войти в систему Windows Vista и скопировать все данные,
доступные пользователю, на съемный носитель, отправить их по электронной почте, скопировать их
по сети или передать их по протоколу FTP на удаленный сервер.
•
Злоумышленник может запустить на компьютере другую операционную систему и скопировать
•
Злоумышленник может подключить компьютер к другой сети, запустить похищенный компьютер, а
•
Если пользователь кэширует сетевые файлы в папке "Автономные файлы", злоумышленник может
файлы напрямую с жесткого диска.
затем удаленно войти в его систему.
повысить привилегии до уровня "Администратор/Локальный компьютер" и просмотреть содержимое
кэша автономных файлов.
•
Любопытный коллега может открыть конфиденциальные файлы, принадлежащие другому
•
Злоумышленник может запустить на компьютере другую операционную систем, просмотреть
пользователю компьютера с общим доступом.
содержимое файла подкачки и найти копии обрабатываемых документов в виде открытого текста.
Снижение рисков
Чтобы уменьшить риск потенциальной компрометации данных, можно использовать шифрование
данных при их сохранении на жестком диске. Улучшения технологий EFS в Windows Vista позволяют
снизить риск в следующих ситуациях.
•
Можно использовать EFS, чтобы предотвратить чтение злоумышленником зашифрованных файлов с
помощью другой операционной системы, потребовав предоставить ключ для расшифровки
содержимого. Для обеспечения повышенной безопасности можно хранить такой ключ на смарткарте.
•
•
Можно применять степень шифрования, используемую EFS, с помощью групповой политики.
Можно отклонять атаки злоумышленников, которые пытаются получить доступ к данным
пользователя, используя перебор паролей, храня ключи EFS пользователя на смарт-карте или
используя BitLocker в сочетании с EFS, чтобы запретить злоумышленнику доступ к хэшам паролей
пользователя и кэшированным учетным данным.
•
Можно предотвратить получение злоумышленником доступа к конфиденциальным данным
пользователя путем шифрования папки "Документы" пользователя с помощью групповой политики.
Кроме того, можно использовать шифрование других папок или всего раздела данных пользователя
с помощью сценария входа.
•
Можно использовать EFS для шифрования нескольких дисков и сетевых общих папок.
•
Можно использовать EFS для защиты содержимого системного файла подкачки и кэша автономных
файлов.
Сведения о снижении рисков
Файловую систему EFS можно использовать в Windows Vista для снижения рисков, описанных в
предыдущем разделе "Оценка риска". Тем не менее перед развертыванием EFS обратите внимание на
следующие сведения.
•
Необходимо внедрить протестированные процедуры управления ключами и восстановления данных.
Если отсутствуют надежные и четко определенные процедуры, при потере ключей важные данные
могут стать недоступными.
•
При нормальной работе использование ресурсов, связанное с EFS, незаметно. Тем не менее если
производительность системы является очень важной, необходимо выполнить тщательное
тестирование, чтобы гарантировать, что EFS не снижает производительность.
•
Если для тома включена файловая система EFS, на нем нельзя выполнять сжатие файлов.
•
Если необходимо, разверните и протестируйте дополнительные сценарии для шифрования папок с
•
Необходимо провести обучение пользователей и ИТ-специалистов, чтобы избежать таких проблем,
•
конфиденциальными файлами.
как:
•
копирование и перемещение файлов из зашифрованного расположения в незашифрованное,
•
отсутствие шифрования скрытых папок, в которых приложения хранят резервные копии
которое может привести к тому, что информация в файлах будет иметь формат открытого текста;
обрабатываемых файлов.
Тщательно протестируйте конфигурацию EFS, чтобы обеспечить шифрование всех папок с
конфиденциальными файлами, включая папку "Документы", рабочий стол и временные папки.
Примечание.
EFS можно развернуть только в следующих выпусках Windows Vista: Business,
Enterprise и Ultimate.
Процесс снижения риска
Используйте следующий процесс снижения риска, чтобы определить наилучший способ настройки EFS
для защиты конфиденциальных данных на клиентских компьютерах.
Чтобы использовать этот процесс снижения риска
1.
Изучите технологию и возможности EFS.
2.
Оцените потребность в EFS в существующей среде.
3.
Проанализируйте конфигурацию EFS с использованием групповой политики.
4.
Определите компьютеры и пользователей, которым требуется EFS.
5.
Определите необходимый уровень защиты. Например, необходимо ли организации использовать
смарт-карты для EFS?
6.
Настройте EFS в соответствии с требованиями среды, используя групповую политику.
Конкретные действия по снижению риска для EFS
Чтобы применять групповую политику для управления EFS, необходимо использовать параметры
безопасности в следующем разделе:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики
открытого ключа\Шифрующая файловая система (EFS)
Чтобы добавить или создать агент восстановления данных (DRA), щелкните правой кнопкой мыши
пункт Шифрующая файловая система (EFS) и выберите команду Свойства. Откроется диалоговое
окно Свойства: Шифрующая файловая система (EFS).
Рисунок 3.1. Диалоговое окно "Свойства: Шифрующая файловая система (EFS)"
Кроме того, существуют четыре шаблона групповой политики, которые включают параметры EFS. Они
перечислены в следующей таблице.
Таблица 3.4. Параметры групповой политики EFS
Шаблон и параметр
Путь и описание
Значение по умолчанию
Windows Vista
GroupPolicy.admx
Конфигурация компьютера\
Не задан
Обработка политики
Административные шаблоны\
восстановления EFS
Система\Групповая политика
Определяет, когда обновляются
политики шифрования.
EncryptFilesonMove.admx
Конфигурация компьютера\
Не выполнять автоматическое
Административные шаблоны\
шифрование файлов,
Система\
перемещаемых в зашифрованные
Предотвращает шифрование
папки
проводником Windows файлов,
Не задан
которые перемещаются в
зашифрованную папку.
OfflineFiles.admx
Конфигурация компьютера\
Encrypt the Offline Files cache
Административные шаблоны\
Сеть\Автономные файлы\
Этот параметр определяет, будут
ли шифроваться автономные
файлы.
Примечание.
В Windows XP эти
файлы шифруются с помощью
системного ключа, тогда как в
Windows Vista — с помощью
ключа пользователя.
Не задан
Search.admx
Конфигурация компьютера\
Allow indexing of encrypted files
Административные шаблоны\
Не задан
Компоненты Windows\
Поиск\
Этот параметр разрешает
индексацию зашифрованных
элементов службой поиска
Windows.
Примечание.
Если
зашифрованные файлы
индексируются и индекс не
защищается с помощью EFS или
других средств, могут возникать
проблемы с безопасностью
данных.
В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о
конкретном параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой
политики.
Служба управления правами
Служба управления правами (RMS) обеспечивает применение политик использования и безопасности к
конфиденциальным сообщениям электронной почты, документам, веб-содержимому и другим типам
данных. RMS обеспечивает защиту данных благодаря постоянному шифрованию информации. Если
файл или сообщение электронной почты передается внутри предприятия или через Интернет, к ним
могут получать доступ только прошедшие проверку подлинности пользователи, которым
предоставлены соответствующие права. RMS включает три компонента:
•
RMS-сервер. Для Windows Vista требуется служба управления правами Windows для Windows
•
RMS-клиент. Входит в состав Windows Vista.
•
Платформа и приложение RMS. Это платформа и приложение, которые предназначены для
Server 2003 или более поздней версии.
шифрования и контроля использования управляемых данных.
Оценка риска
Риск для организации, которого можно избежать с помощью RMS, заключается в том, что
неуполномоченные сотрудники могут просматривать конфиденциальные данные. Пользователи могут
получать доступ к таким данным по ошибке или злоумышленно. Ниже приведено несколько примеров
такого типа риска.
•
Неавторизованные пользователи просматривают различные сетевые папки, получают доступ к
флэш-накопителям USB и переносным жестким дискам, а также к недостаточно защищенным общим
папкам и хранилищам на сервере.
•
Авторизованные пользователи отправляют конфиденциальные данные неуполномоченным
•
Авторизованные пользователи копируют или перемещают конфиденциальные данные в
получателям в организации или за ее пределами.
запрещенные места или приложения либо с разрешенного устройства на запрещенное (например на
съемный диск).
•
Авторизованные пользователи случайно предоставляют доступ к конфиденциальным данным
неуполномоченным получателям с помощью одноранговой технологии или обмена мгновенными
сообщениями.
•
Авторизованные пользователи печатают конфиденциальные файлы, а неавторизованные
пользователи находят отпечатанные документы и распространяют, копируют их, отправляют по
факсу или электронной почте.
Снижение рисков
Чтобы эффективно защитить данные, которыми обмениваются пользователи и с которыми они
совместно работают, независимо от применяемого механизма, корпорация Майкрософт рекомендует
защищать сведения напрямую с помощью RMS, чтобы они были постоянно защищены при передаче
между узлами, устройствами и общими папками.
Сведения о снижении рисков
Файловую систему RMS можно использовать для снижения рисков, описанных в предыдущем разделе
"Оценка риска". Тем не менее перед развертыванием RMS обратите внимание на следующие сведения.
•
В качестве RMS-сервера должен использоваться Windows Server 2003 или более поздней версии со
службой управления правами Windows, а на клиентском компьютере должны быть установлены
приложения с включенными правами.
•
Для интеграции SharePoint и RMS требуется Microsoft SharePoint® Server (при такой интеграции RMS
•
Для использования необязательной интеграции решения RMS со смарт-картами каждый клиентский
защищает документы и данные, которые находятся на узлах SharePoint).
компьютер, применяемый для получения доступа к содержимому, должен поддерживать смарткарты.
•
Чтобы использовать с RMS веб-приложения, такие как веб-клиент Outlook, требуется
•
Для успешного развертывания, поддержки и устранения неполадок RMS потребуется обучение ИТ-
дополнительный компонент управления правами для Internet Explorer.
специалистов.
Процесс снижения риска
Используйте следующий процесс снижения риска, чтобы определить наилучший способ настройки RMS
для защиты конфиденциальных данных на клиентских компьютерах.
Чтобы использовать этот процесс снижения риска
1.
Изучите технологию и возможности службы управления правами.
Примечание.
Дополнительные сведения о службе управления правами (RMS) см. на веб-узле
центра технологий «Служба управления правами Windows» (на английском языке).
2.
Оцените необходимость службы управления правами в существующей среде.
3.
Определите поддержку приложений и служб для службы управления правами.
4.
Оцените возможные схемы развертывания RMS, такие как:
•
один сервер (или один кластер);
•
один сертификат, одна лицензия;
•
один сертификат, несколько лицензий;
•
несколько сертификатов, одна лицензия;
•
несколько сертификатов, несколько лицензий.
5.
Определите данные, которые необходимо защищать с помощью службы управления правами.
6.
Определите пользователей и группы, которым требуется доступ к определенной информации.
7.
Настройте службу управления правами, чтобы разрешить только требуемый доступ к данным.
Управление RMS с помощью групповой политики
Параметры групповой политики для настройки RMS не относятся к Windows Vista. RMS — это прежде
всего серверное решение, потому настройку поведения служб необходимо выполнять на RMS-сервере.
Кроме того, приложения, поддерживающие RMS, могут иметь индивидуальные параметры, которые
определяют их работу с содержимым, защищенным RMS. Например, параметры, связанные с RMS,
существуют у пакета Microsoft Office 2003 или более поздней версии и таких приложений, как Microsoft
Outlook® и Microsoft Word.
Управление устройствами
Способность пользователей добавлять новые самонастраиваемые устройства на клиентские
компьютеры, такие как флэш-накопители USB или другие съемные носители, создает для
администраторов значительные проблемы, связанные с безопасностью. Такие типы устройств не
только усложняют обслуживание клиентских компьютеров, когда пользователи устанавливают
неподдерживаемое оборудование, но и могут ставить под угрозу безопасность данных.
Злоумышленник потенциально может использовать съемные носители для хищения интеллектуальной
собственности организации. Он также может использовать съемный носитель с настроенной
вредоносной программой, которая включает сценарий автозапуска для автономной установки
вредоносной программы на клиентском компьютере.
Windows Vista позволяет администраторам использовать групповую политику для управления
неподдерживаемыми или запрещенными устройствами. Например, можно разрешить пользователям
устанавливать целые классы устройств (таких как принтеры), но запретить все виды съемных
носителей. Администратор может иметь право переопределить эти политики и установить
оборудование.
Тем не менее важно понимать, что устройство на компьютере устанавливается не для отдельного
пользователя. После установки устройства пользователем оно обычно доступно всем пользователям
данного компьютера. Windows Vista теперь поддерживает управление доступом к установленным
устройствам на чтение и запись на уровне пользователя. Например, можно разрешить полный доступ
на чтение и запись к установленным устройствам, таким как флэш-накопитель USB, одной учетной
записи пользователя, но предоставить только доступ на чтение другой учетной записи пользователя на
том же компьютере.
Оценка риска
Несанкционированное добавление и удаление устройств создает высокий риск для безопасности, так
как это может позволить злоумышленнику выполнить вредоносную программу, удалить сведения или
добавить нежелательные данные. Ниже представлены некоторые примеры риска.
•
Авторизованный пользователь может скопировать конфиденциальные файлы с разрешенного
устройства на запрещенный съемный носитель (намеренно или нет), в том числе скопировать
файлы из зашифрованной папки в незашифрованную папку на съемном носителе.
•
•
Злоумышленник может войти в систему Windows Vista и скопировать данные на съемный носитель.
Злоумышленник может использовать съемный носитель с вредоносной программой и применить
сценарий автозапуска для автоматической установки вредоносной программы на клиентском
компьютере.
•
Злоумышленник может установить запрещенное устройство регистрации ключей и использовать его
для записи данных учетной записи пользователя для последующей атаки.
Снижение рисков
Чтобы уменьшить эти риски, корпорация Майкрософт рекомендует защищать компьютеры от установки
и использования запрещенных устройств. Можно применять параметры групповой политики для
управления использованием самонастраиваемых устройств, такие как флэш-накопители USB и другие
съемные носители.
Сведения о снижении рисков
В Windows Vista для снижения рисков, описанных в предыдущем разделе "Оценка риска", можно
использовать групповую политику, задавая параметры установки устройств. Тем не менее при
развертывании управления устройствами на клиентских компьютерах среды учитывайте следующие
сведения о снижении рисков.
•
Ограничение устройств может блокировать законный обмен файлами или препятствовать
•
Ограничение устройств может предотвратить использование ключей USB для шифрования диска
эффективной работе мобильных пользователей.
BitLocker. Например, если параметр политики Removable Disks: Deny write access включен для
пользователя, даже если он является администратором, программа установки BitLocker не сможет
записать свой ключ запуска на флэш-накопитель USB.
•
Некоторые устройства, например загрузочные флэш-накопители USB, имеют два идентификатора
("сменный диск" и "локальный диск"). Поэтому важно тщательно протестировать объекты групповой
политики, чтобы обеспечить надлежащее разрешение и запрет устройств.
Процесс снижения риска
Используйте следующий процесс снижения риска, чтобы определить наилучший способ настройки
управления устройствами для защиты конфиденциальных данных на клиентских компьютерах.
Чтобы использовать этот процесс снижения риска
1.
Изучите возможности управления устройствами системы Windows Vista.
2.
Оцените потребность в управлении устройствами в существующей среде.
3.
Изучите параметры групповой политики для управления устройствами.
4.
Определите съемные носители, необходимые в среде, и запишите их идентификаторы
оборудования или совместимости.
5.
Определите компьютеры и пользователей, которым требуются съемные устройства.
6.
Настройте групповую политику, чтобы разрешить установку требуемых классов устройств.
7.
Настройте групповую политику, чтобы разрешить установку устройств на отдельных
компьютерах, которым требуется такая возможность.
Управление установкой устройств с помощью групповой политики
Для управления установкой устройств корпорация Майкрософт рекомендует использовать шаблон
групповой политики DeviceInstallation.admx. В таблице 3.5 указаны параметры групповой политики,
доступные в этом шаблоне. Эти параметры можно настроить в следующем разделе редактора объектов
групповой политики:
Конфигурация компьютера\Административные шаблоны\Система\Device Installation\Device
Installation Restrictions
Таблица 3.5. Параметры управления устройствами USB
Параметр политики
Описание
Значение по умолчанию
Windows Vista
Allow administrators to
Позволяет членам группы "Администраторы"
Не задан
override Device
устанавливать и обновлять драйверы для
Installation policies
любого устройства независимо от других
параметров политики. В противном случае к
администраторам применяются все
политики, ограничивающие установку
устройств.
Allow installation of
Задает список GUID класса установки
devices using drivers that
устройств путем описания устройств,
match these device setup
которые пользователи могут устанавливать,
classes
если это отдельно не запрещено
Не задан
следующими параметрами политики:
Prevent installation of devices that match
these device IDs
Prevent installation of devices for these
device classes
Prevent installation of removable devices.
Используйте этот параметр только в том
случае, если включен параметр Prevent
installation of devices not described by
other policy settings.
Prevent installation of
Задает настраиваемое сообщение, которое
devices using drivers that
отображается в заголовке всплывающей
match these device setup
подсказки, если установка устройства
classes
запрещена этой политикой.
Display a custom
Этот параметр задает настраиваемое
Не задан
Не задан
message when installation сообщение, которое отображается в
is prevented by policy
заголовке всплывающей подсказки, если
(balloon title)
установка устройства запрещена политикой.
Display a custom
Задает настраиваемое сообщение, которое
Не задан
message when installation отображается в тексте всплывающей
is prevented by policy
подсказки, если установка устройства
(balloon text)
запрещена политикой.
Allow installation of
Задает список идентификаторов
devices that match any of
оборудования и совместимости
these device IDs
самонастраиваемых устройств,
Не задан
описывающий устройства, которые можно
устанавливать, если это отдельно не
запрещено следующими параметрами
политики:
Prevent installation of devices that match
these device IDs
Prevent installation of devices for these
device classes
Prevent installation of removable devices.
Используйте этот параметр только в том
случае, если включен параметр Prevent
installation of devices not described by
other policy settings.
Prevent installation of
Задает список идентификаторов
Не задан
devices that match any of
оборудования и совместимости
these device IDs
самонастраиваемых устройств, которые
пользователи не могут устанавливать.
Примечание.
Этот параметр политики
имеет приоритет над любым другим
параметром политики, разрешающим
установку устройства.
Prevent installation of
Если включен этот параметр, пользователи
removable devices
не смогут устанавливать съемные
Не задан
устройства, а существующие съемные
устройства не будут получать обновления
драйверов.
Примечание.
Этот параметр политики
имеет приоритет над любым другим
параметром политики, разрешающим
установку устройства.
Для применения это политики драйверы
устройства должны правильно определять,
что оно является съемным. Дополнительные
сведения см. в пошаговом руководстве по
управлению установкой и использованием
устройств с помощью групповой политики
(на английском языке).
Prevent installation of
Если включить этот параметр, драйверы
devices not described by
устройств, не описанных следующими
other policy settings
параметрами, не будут обновляться:
Не задан
Allow installation of devices that match
these device IDs
Allow installation of devices for these
device classes.
В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о
конкретном параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой
политики.
Управление использованием устройств с помощью групповой политики
Кроме управления установкой устройств, Windows Vista позволяет контролировать уровень доступа
пользователей к отдельным классам устройств после их установки. Существуют еще два шаблона,
описанных в следующих таблицах, которые содержат параметры, влияющие на поведение устройств.
Шаблон RemovableStorage.admx, включающий перечисленные ниже параметры для съемных
носителей, находится в следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Система\Removable Storage Access
Таблица 3.6. Параметры устройства
Параметр политики
Описание
Значение по умолчанию
Windows Vista
All Removable Storage
Настраивает доступ ко всем классам
Не задан
classes: Deny all access
съемных носителей.
All Removable Storage:
Этот параметр предоставляет обычным
Allow direct access in
учетным записям пользователей доступ к
remote sessions
съемным носителям в удаленных сеансах.
Не задан
По умолчанию такой доступ в удаленных
сеансах запрещен.
CD и DVD: Deny read
Этот параметр запрещает доступ на чтение к Не задан
access
классу съемных носителей "компакт- и DVDдиски". По умолчанию доступ на чтение
разрешен.
CD и DVD: Deny write
Этот параметр запрещает доступ на запись к
access
классу съемных носителей "компакт- и DVD-
Не задан
диски". По умолчанию доступ на запись к
этому классу устройств разрешен.
Custom Classes: Deny
Этот параметр запрещает доступ на чтение к Не задан
read access
настраиваемым классам устройств. По
умолчанию доступ на чтение разрешен.
Custom Classes: Deny
Этот параметр запрещает доступ на запись к
write access
настраиваемым классам устройств. По
Не задан
умолчанию доступ на запись к этим классам
устройств разрешен.
Floppy Drives: Deny
Этот параметр запрещает доступ на чтение к Не задан
read access
дискетам. По умолчанию доступ на чтение
разрешен.
Floppy Drives: Deny
Этот параметр запрещает доступ на запись к
write access
дискетам. По умолчанию доступ на запись к
Не задан
этим классам устройств разрешен.
Removable Disks: Deny
Этот параметр запрещает доступ на чтение к Не задан
read access
съемным носителям. По умолчанию доступ
на чтение разрешен.
Removable Disk: Deny
Этот параметр запрещает доступ на запись к
write access
съемным носителям. По умолчанию доступ
Не задан
на запись к этим классам устройств
разрешен.
Tape Drives: Deny read
Этот параметр запрещает доступ на чтение к Не задан
access
ленточным накопителям. По умолчанию
доступ на чтение разрешен.
Tape Drives: Deny write
Этот параметр запрещает доступ на запись к
access
ленточным накопителям. По умолчанию
Не задан
доступ на запись к этим классам устройств
разрешен.
WPD Devices: Deny read
Этот параметр запрещает доступ на чтение к Не задан
access
переносным устройствам Windows, таким
как мультимедийные проигрыватели или
мобильные телефоны. По умолчанию доступ
на чтение разрешен.
WPD Devices: Deny
Этот параметр запрещает доступ на запись к
write access
переносным устройствам Windows, таким
Не задан
как мультимедийные проигрыватели,
мобильные телефоны и т. д. По умолчанию
доступ на запись к этим классам устройств
разрешен.
В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о
конкретном параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой
политики.
Управление автозапуском с помощью групповой политики
Шаблон Autoplay.admx содержит указанные ниже параметры, которые влияют на поведение
автозапуска для съемных носителей в Windows Vista. Параметры этого шаблона находятся в
следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\AutoPlay
Policies
Таблица 3.7. Параметры политики для автозапуска
Параметр политики
Описание
Значение по умолчанию
Windows Vista
Отключить автозапуск
Позволяет отключить возможность
Не задан ‡
автозапуска для компакт-дисков, DVDROM и съемных носителей или всех
дисков.
Default behavior for AutoRun
Этот параметр определяет поведение
Не задан
по умолчанию для команд автозапуска.
По умолчанию Windows Vista
запрашивает подтверждение
выполнения команды автозапуска.
В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о
конкретном параметре см. на вкладке Объяснение для параметра в редакторе объектов групповой
политики.
Эти параметры также находятся в конфигурации пользователя в следующем разделе редактора
объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows\AutoPlay
Policies
При конфликте параметров управления устройствами параметры конфигурации компьютера имеют
приоритет над параметрами конфигурации пользователя.
Примечание.
Некоторые параметры политики определяют использование GUID классов установки
устройств, а другие используют GUID классов установки самонастраиваемых устройств.
Дополнительные сведения
Дополнительные сведения о новых и расширенных возможностях и технологиях безопасности для
защиты конфиденциальных данных в Windows Vista см. в следующих ресурсах:
•
Лучшие решения: шифрованная файловая система на веб-узле Microsoft.com (на английском
языке).
•
•
Шифрование диска BitLocker на веб-узле TechNet (на английском языке).
Раздел "Управление устройствами" в пошаговом руководстве по управлению установкой и
использованием устройств с помощью групповой политики на веб-узле TechNet (на английском
языке).
•
Раздел "Установка устройств и управление ими" в пошаговом руководстве по управлению
установкой и использованием устройств с помощью групповой политики на веб-узле TechNet (на
английском языке).
•
Статья Первое знакомство: новые возможности обеспечения безопасности в Windows Vista на вебузле TechNet содержит общие сведения о функциях безопасности в Windows Vista (на английском
языке).
•
Раздел Защита данных на странице "Улучшения системы безопасности и защиты данных в
•
Статья Шифрованная файловая система на веб-узле TechNet (на английском языке).
•
Веб-узел Trusted Computing Group.
•
Файлы шаблонов политик и средства планирования развертывания для Office 2003 на веб-узле
•
Центр технологий Службы управления правами Windows.
Windows Vista" веб-узла TechNet (на английском языке).
Microsoft.com (на английском языке).
Глава 4. Совместимость приложений
Обеспечение совместимости приложений — это всегда критически важная задача, которую должны
решать организации при развертывании новой операционной системы. При разработке Windows Vista™
большое внимание уделялось обеспечению высокого уровня функциональности новых возможностей и
служб операционной системы, а также их совместимости с программами предыдущих версий. Во время
разработки группа Microsoft Application Experience Team протестировала большое количество
приложений различных сторонних поставщиков.
Параметры безопасности, рекомендуемые в этом руководстве для усиления безопасности
Windows Vista, были тщательно протестированы на совместимость с основной операционной системой,
а также с набором приложений Microsoft® Office. Приложения, которые работают в Windows Vista,
должны правильно работать на клиентских компьютерах, к которым применены рекомендуемые
параметры этого руководства.
Тем не менее существует возможность, что более ранние приложения не будут правильно
поддерживаться новыми технологиями безопасности Windows Vista. Такие технологии, как контроль
учетных записей и защита ресурсов Windows, могут мешать работе более старых приложений.
Решение Microsoft Solution Accelerator for Business Desktop Deployment (BDD) 2007 содержит полные
рекомендации по обеспечению совместимости приложений, которые позволяют ИТ-специалистам
протестировать приложения на совместимость с Windows Vista и устранить обнаруженные при этом
проблемы.
В этой главе рассмотрены простые процедуры, которые можно использовать для тестирования уровня
совместимости приложений с Windows Vista, описаны наиболее распространенные причины проблем с
совместимостью приложений, а также приведены ссылки на доступные ресурсы, которые помогут в
решении этих проблем.
Проверка совместимости за 30 минут
В этом разделе приведены рекомендации по тестированию и оценке совместимости приложений с
Windows Vista. Он включает два сценария, которые можно использовать для тестирования
совместимости приложений с операционной системой. Сценарии позволяют выполнить следующие
задачи:
•
протестировать приложение при чистой установке Windows Vista;
•
протестировать приложение при обновлении Microsoft Windows® XP с пакетом обновления 2 (SP2)
до Windows Vista.
Тестирование приложения при чистой установке Windows Vista
1.
Установите Windows Vista на тестовый компьютер.
2.
Войдите в систему тестового компьютера под управлением Windows Vista с учетной записью
администратора.
3.
Установите приложение, которое необходимо протестировать в Windows Vista. Если появится
запрос разрешения на установку приложения, нажмите кнопку Разрешить для продолжения
установки. Если установка завершится успешно, перейдите к действию 6.
4.
Если при установке приложения происходит сбой и не выводится запрос разрешения на
установку, щелкните правой кнопкой мыши EXE-файл установщика, выберите пункт Запуск от
имени администратора и переустановите приложение. Если установка завершится успешно,
перейдите к действию 7.
Примечание.
Это действие не является обязательным, если для установки приложения
используется MSI-файл установщика Microsoft.
5.
При возникновении ошибок, связанных с версией операционной системы, регистрацией
приложения или копированием файлов, щелкните правой кнопкой мыши EXE-файл
установщика Совместимость и выберите режим совместимости с Windows XP с пакетом
обновления 2 (SP2).
6.
Повторите действие 2. Если приложение все же не удается установить, перейдите к действию
8.
7.
Войдите в систему тестового компьютера под управлением Windows Vista с учетной записью
пользователя без административных привилегий.
8.
Запустите приложение. Если приложение не запускается или выводятся ошибки, включите
режим совместимости Windows XP с пакетом обновления 2 (SP2) для EXE-файла приложения, а
затем повторите попытку его установки в операционной системе.
9.
Если приложение запускается успешно, выполните все тесты, которые используются для его
проверки на компьютере под управлением Windows XP. Проверьте функциональность
приложения, чтобы убедиться в том, что оно правильно работает. Если приложение успешно
пройдет все основные тесты функциональности, оно успешно работает в Windows Vista.
10.
Если приложение не устанавливается или не запускается, перестает отвечать на запросы,
вызывает любые ошибки или не проходит любой их основных тестов функциональности,
возможно, оно является одним из небольшого числа приложений, несовместимых с
Windows Vista. Для дополнительного анализа и тестирования приложения просмотрите другие
справочные ресурсы, указанные в этой главе.
Тестирование приложения при обновлении Windows XP с пакетом обновления 2 (SP2) до
Windows Vista
1.
Установите Windows XP с пакетом обновления 2 (SP2) на тестовый компьютер, а затем
установите приложение, которое необходимо протестировать. Перед продолжением проверьте
все функции приложения.
2.
Обновите систему тестового компьютера до Windows Vista. Выполните инструкции по установке
и обновлению для Windows Vista. После завершения обновления войдите в систему тестового
компьютера так же, как при работе с Windows XP.
3.
Запустите приложение. Если приложение не запускается или выводятся ошибки, включите
режим совместимости с Windows XP с пакетом обновления 2 (SP2) для EXE-файла приложения и
повторите установку.
4.
Если приложение запускается успешно, выполните все тесты, которые используются для его
проверки на компьютере под управлением Windows XP. Проверьте функциональность
приложения, чтобы убедиться в том, что оно правильно работает. Если приложение успешно
пройдет все основные тесты функциональности, оно успешно работает в Windows Vista.
5.
Если приложение не устанавливается или не запускается, перестает отвечать на запросы,
вызывает любые ошибки или не проходит любой их основных тестов функциональности,
возможно, оно является одним из небольшого числа приложений, несовместимых с
Windows Vista. Для дополнительного анализа и тестирования приложения просмотрите другие
справочные ресурсы, указанные в этой главе.
Если приложение правильно работает в этих сценариях, можно утверждать, что оно поддерживается
Windows Vista.
Известные проблемы с совместимостью приложений
В этом разделе описаны некоторые наиболее распространенные новые технологии, улучшения и
изменения в Windows Vista, которые приводят к проблемам с совместимостью приложений. В разделе
также указаны способы устранения таких проблем (если это возможно).
Внимание!
Протестируйте все приложения сторонних производителей, которые планируется
использовать в среде с Windows Vista, чтобы гарантировать, что они правильно поддерживаются этой
операционной системой.
Улучшения системы безопасности
Следующие новые улучшения системы безопасности в Windows Vista могут вызывать проблемы
совместимости с приложениями сторонних производителей:
•
Контроль учетных записей. Эта новая возможность позволяет отделить обычные привилегии
пользователей и задачи от задач, которые требуют доступа с правами администратора. Контроль
учетных записей повышает безопасность и при этом улучшает работу с компьютером для
пользователей с обычными учетными записями. Пользователи клиентских компьютеров могут
выполнять больше задач и использовать преимущества улучшенной совместимости приложений без
необходимости входить в систему с административными привилегиями. Это позволяет снизить
воздействие вредоносных программ, несанкционированной установки программного обеспечения и
неразрешенных изменений системы.
Контроль учетных записей может вызвать проблемы с приложениями, которые не соответствуют
этому усовершенствованию технологии. По этой причине важно протестировать приложения с
включенным контролем учетных записей до их развертывания.
•
Защита ресурсов Windows. Эта новая возможность Windows Vista позволяет защитить системные
файлы и защищенные местоположения реестра для улучшения общей безопасности и стабильности
операционной системы. Большинство приложений, которые ранее получали доступ к этим
местоположениям, автоматически перенаправляются во временные местоположения, при работе с
которыми не будут возникать проблемы.
Тем не менее приложения, которым необходим полный доступ к этим защищенным областям и
которые не поддерживают автоматическое перенаправление, не будут правильно работать в
Windows Vista. В таком случае потребуется изменить приложения таким образом, чтобы они
работали, как предусмотрено.
•
Защищенный режим. Эта новая возможность обозревателя Microsoft Internet Explorer® 7
позволяет защитить компьютеры под управлением Windows Vista от установки вредоносных
программ и другого нежелательного программного обеспечения благодаря использованию более
низких и безопасных прав для работы с операционной системой. Когда Internet Explorer находится в
защищенном режиме, обозреватель может взаимодействовать только с определенными областями
файловой системы и реестра.
Хотя защищенный режим позволяет обеспечить целостность систем клиентских компьютеров под
управлением Windows Vista, он может влиять на работу более старых веб-приложений для
Интернета и интрасети. Возможно, придется изменить такие веб-приложения для работы в более
ограниченной среде.
Изменения и новшества в операционной системе
Следующие изменения и новшества в операционной системе Windows Vista могут вызывать проблемы
совместимости с приложениями сторонних производителей.
•
Новые системные API. Прикладные программные интерфейсы (API) предоставляют уровни
операционной системы Windows Vista иначе, чем в предыдущих версиях Windows. Примерами
приложений, которые используют новые API для отслеживания и защиты Windows Vista, являются
антивирусные программы и брандмауэры. Необходимо обновить приложения, которые выполняют
эти функции, до версий, совместимых с Windows Vista.
•
64-разрядная система Windows Vista. В 64-разрядной среде Windows Vista не поддерживаются
16-разрядные приложения и 32-разрядные драйверы. Автоматическое перенаправление для
реестра и системных файлов недоступно в 64-разрядной среде. По этой причине новые 64разрядные приложения должны соответствовать всем стандартам приложений для Windows Vista.
•
Версии операционной системы. Многие более старые приложения проверяют наличие
определенной версии Windows. Когда приложения сторонних производителей не могут определить
нужную версию операционной системы, многие из них перестают отвечать на запросы.
Большинство проблем совместимости, связанных с требованиями к версиям операционной системы,
устраняются благодаря новым функциям Windows Vista. Такие возможности, как помощник по
совместимости программ, обычно разрешают проблемы данного типа автоматически.
Дополнительные сведения о помощнике по совместимости программ, а также о других средствах и
ресурсах см. в следующем разделе этой главы.
Статья История разработчика Windows Vista: секреты совместимости приложений (на английском
языке) на веб-узле MSDN содержит дополнительные сведения об этих улучшениях безопасности, а
также изменениях и новшествах в Windows Vista. Кроме того, в статье перечислены подходы к
тестированию и возможные методы исправления большинства проблем с совместимостью.
Средства и ресурсы
В этом разделе представлены обзоры некоторых возможностей и технологий Windows Vista, которые
разработаны для устранения проблем совместимости приложений, а также соответствующие ссылки.
Помощник по совместимости программ
Автоматически задает надлежащий "режим совместимости" для приложений, разработанных для
предыдущих версий Windows. Когда Windows Vista обнаруживает приложения, которые должны
запускаться в режиме совместимости с Windows XP, Windows 2000 или более поздними версиями
Windows, операционная система требует автоматического обновления приложений для работы в
Windows Vista без дальнейшего вмешательства пользователя.
Мастер совместимости программ
Мастер совместимости программ, который входит в состав Windows Vista, используется в случаях, когда
программа, созданная для предыдущей версии Windows, не работает надлежащим образом. Мастер
поможет установить параметры совместимости для программы, что устранит проблему совместимости
для многих старых программ.
Чтобы получить доступ к мастеру совместимости программ, дважды щелкните значок Мастер
совместимости программ на рабочем столе.
Предупреждение.
Не запускайте мастер совместимости программ для более старых антивирусных программ, программ
для дисков или других системных программ, так как это может привести к потере данных или создать
угрозу безопасности. Используйте только те версии таких программ, которые разработаны специально
для Windows Vista.
Microsoft Standard User Analyzer
Это средство для обеспечения совместимости приложений позволяет разработчикам и ИТ-специалистам
диагностировать проблемы, которые будут препятствовать надлежащей работе программы без
административных привилегий. При тестировании приложения с помощью Standard User Analyzer
можно определить проблемы с доступом к файлам и реестру, маркерами и другими защищенными
областями операционной системы.
В Windows Vista даже администраторы по умолчанию запускают большинство программ с обычными
привилегиями пользователя. Это средство позволяет гарантировать, что административный доступ не
будет являться обязательным для приложения. Результаты проверки отображаются в простом
графическом интерфейсе.
Это средство можно загрузить со страницы Microsoft Standard User Analyzer центра загрузки Microsoft
(на английском языке).
Набор средств для обеспечения совместимости приложений
Корпорация Майкрософт разработала набор средств и документации, который помогает организациям
определять свой комплект приложений и управлять им. Набор средств для обеспечения совместимости
приложений Windows (ACT) предназначен для снижения затрат средств и времени на разрешение
проблем с совместимостью приложений. Он обеспечивает быстрое развертывание Windows Vista.
Набор ACT позволяет подготовиться к использованию Windows Vista благодаря инвентаризации
существующих приложений, управлению критически важными приложениями и определению той части
среды приложений, которой следует уделить особое внимание при подготовке к развертыванию
Windows Vista.
В настоящее время доступен набор ACT 4.1, который предназначен для облегчения развертывания
Windows XP с пакетом обновления 2 (SP2). ACT 4.1 анализирует интерфейсы DCOM, параметры
брандмауэра и проблемы с Internet Explorer. ACT определяет приложения, которые требуют
дополнительного тестирования, устарели или уже совместимы с пакетом обновления 2 (SP2), что дает
возможность расставить приоритеты.
Обновленный набор ACT 5.0 поддерживает функции безопасности Windows Vista.
К улучшениям этого набора средств относятся:
•
новые средства оценки совместимости с Windows Vista;
•
обновленный интерфейс пользователя, который позволяет централизованно управлять параметрами
•
новые возможности упорядочения данных, которые позволяют классифицировать приложения и
•
возможности анализа данных, позволяющие просматривать полные отчеты о совместимости;
средства оценки;
расставлять приоритеты;
•
Интернет-сообщество, которое дает клиентам и независимым поставщикам программных продуктов
возможность обмениваться информацией о собственных результатах тестирования совместимости
приложений.
Временные решения
Кроме средств и ресурсов для обеспечения совместимости приложений, для решения проблем с
совместимостью приложений, полное устранение которых займет значительное время, можно
использовать дополнительные технологии Майкрософт. Эти технологии разработаны для обеспечения
миграции на Windows Vista и поддержки важных приложений, несовместимых с Windows Vista. Эти
возможности перечислены ниже.
•
Virtual PC. Virtual PC можно использовать для запуска в Windows Vista приложений, которые
правильно работают только в предыдущих версиях Windows. Virtual PC позволяет использовать
предыдущую версию Windows для запуска несовместимых приложений в среде Windows Vista до
разработки их обновленных версий.
•
Службы терминалов для размещения приложений. Размещение более старых приложений с
помощью служб терминалов позволяет использовать приложения для системы Windows или сам
рабочий стол Windows практически на всех вычислительных устройствах в сети. Для доступа к
старым приложениям клиенты Windows Vista могут подключаться к средам, в которых они
размещены, с помощью удаленного рабочего стола.
•
Виртуальный сервер для размещения приложений. Среда виртуального сервера позволяет
размещать приложения прежних версий и поддерживает удаленные подключения конечных
пользователей, которым требуется доступ к этим приложениям. В сочетании с Windows Server 2003
виртуальный сервер Virtual Server 2005 R2 предоставляет платформу виртуализации, которая
позволяет выполнять большинство основных операционных систем x86 в гостевой среде и
поддерживается корпорацией Майкрософт для размещения операционных систем Windows Server и
приложений Microsoft Windows Server System™.
Дополнительные сведения
Ниже приведены ссылки на дополнительные сведения по вопросам, связанным с совместимостью
приложений.
•
Защита ресурсов Windows на веб-узле Microsoft MSDN® (на английском языке).
•
Руководство по совместимости приложений на веб-узле TechNet (на английском языке).
•
Введение в API защищенного режима на веб-узле MSDN (на английском языке).
•
Запуск более старых программ в данной версии Windows на веб-узле Центра справки и поддержки
•
Набор средств для обеспечения совместимости приложений 5.0 на веб-узле TechNet (на английском
•
Microsoft Standard User Analyzer на веб-узле центра загрузки Microsoft (на английском языке).
•
Решения Майкрософт для виртуализации на веб-узле Microsoft.com (на английском языке).
•
Помощник по совместимости программ: вопросы и ответы на веб-узле Центра справки и поддержки
•
Технический обзор служб терминала Windows Server 2003 на веб-узле Microsoft.com (на английском
•
Статья История разработчика Windows Vista: секреты совместимости приложений на веб-узле MSDN
Windows Vista (на английском языке).
языке).
Windows Vista (на английском языке).
языке).
(на английском языке).
•
Совместимость приложений Windows на веб-узле TechNet (на английском языке).
Глава 5. Specialized Security – Limited Functionality
Набор базовых показателей Specialized Security – Limited Functionality (SSLF), описанный в этом
руководстве, позволяет создать среду с повышенной безопасностью для компьютеров под управлением
системы Windows Vista™. Безопасность этой среды настолько важна, что существенное уменьшение
функциональности и возможностей управления считается приемлемым. Набор базовых показателей
Enterprise Client (EC) обеспечивает расширенную безопасность и достаточную функциональность
операционной системы и приложений для большинства организаций.
Предупреждение.
Параметры безопасности SSLF не предназначены для большинства предприятий. Эта конфигурация
разработана для организаций, в которых безопасность важнее функциональности.
При тестировании и развертывании параметров конфигурации SSLF на клиентские компьютеры ИТперсоналу организации, возможно, придется обрабатывать больше звонков в службу поддержки из-за
ограничений функциональности, вызванных этими параметрами. Хотя конфигурация такой среды
повышает уровень защиты данных и сети, она также препятствует запуску некоторых служб, которые
могут требоваться организации. К таким службам относятся службы терминалов, которые позволяют
нескольким пользователям интерактивно подключаться к рабочим столам и приложениям на
удаленных компьютерах, а также служба факсов, которая дает пользователям возможность отправлять
и принимать факсы по сети с помощью компьютеров. Полный список служб, которые нельзя запустить
в среде SSLF, см. в разделе "Ограниченные службы" этой главы.
Необходимо заметить, что набор базовых показателей SSLF не является дополнением к набору базовых
показателей EC: он обеспечивает совершенно другой уровень безопасности. По этой причине не
применяйте одновременно наборы базовых показателей SSLF и EC к одним и тем же компьютерам под
управлением системы Windows Vista. Необходимо сначала определить требуемый уровень безопасности
среды, а затем решить, какой набор базовых показателей применять — EC или SSLF. Различия между
наборами базовых показателей EC и SSLF указаны в приложении A "Параметры групповой политики,
связанные с безопасностью". Другим ресурсом для сравнения значений параметров является файл
Windows Vista Security Guide Settings.xls, который также прилагается к этому руководству.
Внимание!
Если планируется использовать в среде набор базовых показателей SSLF, необходимо
выполнить тщательное тестирование компьютеров в среде после применения параметров безопасности
SSLF, чтобы убедиться в том, что они не ограничивают необходимые функции.
На этой странице
Среда со специализированной безопасностью
Среда с ограниченной функциональностью
Средство GPOAccelerator
Дополнительные сведения
Среда со специализированной безопасностью
Организациям, в которых используются компьютеры и сети, особенно если они подключаются к
внешним ресурсам, таким как Интернет, необходимо учитывать вопросы безопасности при
планировании систем и сети, а также настройке и развертывании компьютеров. Такие возможности,
как автоматизация процессов, удаленное управление, удаленный доступ, круглосуточная доступность,
доступ из любой точки мира, а также независимость программного обеспечения от устройств
позволяют предприятиям работать более эффективно и рационально в условиях жесткой конкуренции.
Тем не менее из-за них возможно нарушение безопасности компьютеров организации.
В большинстве случаев администраторы принимают необходимые меры, чтобы предотвратить
несанкционированный доступ к данным, прерывание обслуживания и ненадлежащее использование
компьютеров. Некоторые организации, такие как военные, государственные, финансовые или местные
правительственные учреждения обязаны защищать все или некоторые из своих служб, систем и
данных, для которых назначен специальный уровень безопасности. Набор базовых показателей SSLF
предназначен для обеспечения такого уровня безопасности для этих организаций. Сведения о
параметрах SSLF см. в приложении A "Параметры групповой политики, связанные с безопасностью".
Среда с ограниченной функциональностью
Специализированная безопасность, которая реализуется при использовании набора базовых
показателей SSLF, может ограничивать функциональность среды, так как она позволяет использовать
только те функции, которые необходимы для выполнения требуемых задач. Доступ можно получать
только к утвержденным приложениям, службам и средам инфраструктуры. Сокращаются возможности
настройки, так как набор базовых показателей отключает многие страницы свойств, с которыми могут
быть знакомы пользователи.
В следующих разделах рассмотрены примеры ограничения функциональности и повышения
безопасности, к которому приводит использование базовых показателей SSLF:
•
Ограниченные службы и доступ к данным
•
Ограниченный доступ к сети
•
Надежная защита сети
•
Ограниченные службы
Ограниченные службы и доступ к данным
Некоторые параметры набора базовых показателей SSLF могут не позволять действительным
пользователям получать доступ к службам или данным, если они забудут пароль или введут его
неверно. Кроме того, при использовании этих параметров может увеличиться количество обращений в
службу поддержки. Тем не менее повышенная безопасность, которая обеспечивается благодаря этим
параметрам, усложняет атаки злоумышленников на компьютеры под управлением Windows Vista в этой
среде. К параметрам набора базовых показателей SSLF, которые потенциально препятствуют доступу
пользователей к службам и данным, относятся:
•
параметры, отключающие учетные записи администратора;
•
параметры, ужесточающие требования к паролям;
•
параметры, требующие более строгой блокировки учетных записей;
•
параметры, требующие более строгой политики для следующих параметров Назначение прав
пользователя:
Вход в качестве службы и Вход в качестве пакетного задания.
Примечание.
Сведения о параметрах наборов базовых показателей EC и SSLF см. в приложении A
"Параметры групповой политики, связанные с безопасностью". Другим ресурсом для сравнения
значений параметров является файл Windows Vista Security Guide Settings.xls, который также
прилагается к этому руководству.
Ограниченный доступ к сети
Надежность сети и возможность подключения систем очень важны для успешного ведения бизнеса.
Операционные системы Майкрософт обеспечивают расширенные возможности работы в сети, которые
позволяют подключать системы, поддерживать подключение и восстанавливать разорванные
подключения. Хотя эта возможность позволяет поддерживать подключение к сети, злоумышленники
могут с помощью нее нарушить работу компьютеров в сети или поставить под угрозу их систему
безопасности.
Администраторы обычно приветствуют возможности, которые помогают поддерживать сетевую связь.
Тем не менее в некоторых случаях основной задачей может быть обеспечение безопасности данных и
служб. В таких специализированных средах допускается ухудшение связи для обеспечения защиты
данных. К параметрам набора базовых показателей SSLF, которые повышают защиту сети, но могут
потенциально препятствовать доступу пользователей к ней, относятся:
•
параметры, ограничивающие доступ к клиентским системам в сети;
•
параметры, скрывающие системы из списков обзора;
•
параметры, управляющие исключениями брандмауэра Windows;
•
параметры, реализующие безопасность подключения (например подпись пакетов).
Надежная защита сети
Обычной стратегией атаки сетевых служб является использование атаки типа "отказ в обслуживании".
Такая атака делает невозможным подключение к данным или службам либо перегружает системные
ресурсы и ухудшает производительность. Набор базовых показателей SSLF защищает доступ к
системным объектам и назначению ресурсов, обеспечивая защиту от этого типа атаки. К параметрам
набора базовых показателей SSLF, которые позволяют предотвратить атаки типа "отказ в
обслуживании", относятся:
•
параметры, контролирующие назначение квоты памяти для процессов;
•
параметры, управляющие созданием объектов;
•
параметры, контролирующие возможность отладки программ;
•
параметры, управляющие профилированием процессов.
Все эти меры безопасности повышают вероятность того, что параметры безопасности набора базовых
показателей SSLF будут препятствовать выполнению приложений или ожидаемому доступу
пользователей к службам и данным. По этой причине необходимо тщательно протестировать набор
параметров базовых показателей SSLF после его внедрения и до его развертывания в рабочей среде.
Ограниченные службы
Набор базовых показателей SSLF также предотвращает автоматический запуск некоторых приложений
и программ. Кроме того, не выполняется обработка областей реестра Run и Run Once. Набор базовых
показателей SSLF также отключает автоматическое воспроизведение компакт-дисков.
Службы, которые отключаются набором базовых показателей SSLF, перечислены ниже.
•
Обозреватель компьютеров (Browser). Эта служба обновляет список компьютеров в сети и
предоставляет его компьютерам, назначенным в качестве обозревателей. Если служба отключена,
этот список не будет обновляться. Все службы, явным образом зависящие от данной службы,
перестанут работать.
•
Служба факсов (Fax). Эта служба позволяет пользователям отправлять и получать факсы,
•
Служба FTP-публикации (MSFtpsvc). Эта служба обеспечивает поддержку подключения по
•
Служба индексирования (CiSvc). Эта служба индексирует содержимое файлов и свойства на
используя ресурсы факса на своих компьютерах или в сети.
протоколу FTP и администрирования через оснастку IIS.
локальных и удаленных компьютерах. Она также обеспечивает быстрый доступ к файлам с
помощью гибкого языка запросов.
•
Служба IIS Admin (IISADMIN). Эта служба позволяет выполнять администрирование веб- и FTP-
•
Служба диспетчера сеанса справки для удаленного рабочего стола (RDSessMgr). Эта
служб с помощью оснастки IIS.
служба управляет службой удаленного помощника и контролирует ее. Если эта служба отключена,
удаленный помощник недоступен.
•
Служба маршрутизации и удаленного доступа (RemoteAccess). Эта служба обеспечивает
•
Служба SNMP-ловушек (SNMPTRAP). Эта служба получает ловушки, создаваемые локальными
маршрутизацию в локальной и глобальной сети.
или удаленными агентами SNMP, и пересылает эти сообщения программам управления SNMP,
запущенным на клиентских компьютерах.
•
Служба SNMP (SNMP). Эта служба включает агенты, которые отслуживают активность сетевых
•
Служба обнаружения SSDP (SSDPSRV). Эта служба позволяет выполнять обнаружение устройств
•
Служба планировщика заданий (Schedule). Эта служба позволяет пользователям настраивать
устройств и передают сведения о ней консоли сетевого управления.
UPnP в домашней сети.
автоматические задачи и устанавливать расписание их выполнения на компьютере. Если эта служба
отключена, запланированные задачи не будут выполняться. Все службы, явным образом зависящие
от данной службы, перестанут работать.
•
Служба Telnet (TlntSvr). Эта служба позволяет удаленным пользователям входить в систему
других компьютеров и запускать программы. Служба поддерживает различные клиенты TCP/IP
Telnet, в том числе компьютеры на базе ОС UNIX и Windows. Если эта служба отключена, удаленный
доступ пользователей к программам может оказаться невозможным. Все службы, явным образом
зависящие от данной службы, перестанут работать.
•
Служба служб терминала (TermService). Эта служба позволяет нескольким пользователям
интерактивно подключаться к рабочим столам или приложениям на удаленных компьютерах.
Служба предоставляет фоновое программное обеспечение для удаленного рабочего стола (включая
удаленный рабочий стол для администраторов), быстрое переключение пользователей, службу
удаленного помощника и сервер терминалов.
•
Служба узла универсальных PnP-устройств (Upnphost). Эта служба обеспечивает поддержку
•
Служба веб-публикации (W3SVC). Эта служба поддерживает веб-подключения и
UPnP-устройств.
администрирование через оснастку IIS.
Функциональность системы Windows Vista, работающей на клиентских компьютерах, контролируется
набором базовых показателей SSLF таким образом, что все функции, которые не требуются для
работы, отключаются. Это отражает существенное изменение предыдущих политик безопасности:
данный подход позволяет отключить все службы и программы, которые могут нанести вред
операционной системе, вместо того чтобы определять, какие функции требуются пользователям, и
отключать все другие функции.
Внедрение политик безопасности
Решение SSLF, описанное в этом руководстве, использует консоль управления групповыми политиками
и ее сценарии. Консоль управления групповыми политиками интегрирована в операционную систему,
поэтому не требуется загружать и устанавливать ее каждый раз, когда требуется управлять объектами
групповой политики на другом компьютере.
Внимание!
Все процедуры, указанные в этом руководстве, необходимо выполнять на клиентском
компьютере под управлением Windows Vista, который подключен к домену со службой каталогов Active
Directory®. Кроме того, пользователь, выполняющий эти процедуры, должен иметь привилегии
администратора домена. При использовании операционных систем Microsoft Windows® XP или
Windows Server® 2003 параметры безопасности, относящиеся к Windows Vista, не будут отображаться
в консоли управления групповыми политиками.
Чтобы внедрить схему безопасности, необходимо выполнить три основные задачи:
1.
создать среду SSLF;
2.
использовать консоль управления групповыми политиками для связи политики VSG SSLF Domain
Policy с доменом;
3.
использовать консоль управления групповыми политиками для проверки результата.
В этом разделе главы описаны данные задачи и процедуры, а также функции сценария
GPOAccelerator.wsf, который автоматически создает рекомендуемые объекты групповой политики.
Сценарий GPOAccelerator.wsf
Сценарий GPOAccelerator.wsf, который распространяется с этим руководством, создает необходимые
объекты групповой политики. При этом не требуется тратить время на редактирование параметров
политики вручную или на применение шаблонов. Чтобы установить среду SSLF, сценарий создает
следующие четыре объекта групповой политики:
•
VSG SSLF Domain Policy для домена;
•
VSG SSLF Users Policy для пользователей;
•
VSG SSLF Desktop Policy для настольных компьютеров;
•
VSG SSLF Laptop Policy для переносных компьютеров.
Внимание!
Чтобы успешно внедрить схему безопасности для среды SSLF, тщательно протестируйте
ее перед развертыванием в рабочей среде.
Сценарий GPOAccelerator.wsf можно использовать для выполнения описанных ниже задач.
•
Проверка схемы в лабораторной среде. Используйте сценарий GPOAccelerator.wsf в тестовой
среде для создания структуры подразделений, создания объектов групповой политики и их
автоматической связи с подразделениями. После завершения тестирования можно использовать
сценарий в рабочей среде.
•
Развертывание схемы в рабочей среде. При внедрении решения в рабочей среде необходимо
сначала создать подходящую структуру подразделений или изменить существующий набор
подразделений. После этого можно использовать сценарий GPOAccelerator.wsf для создания
объектов групповой политики и затем связать их с соответствующими подразделениями в среде.
Проверка схемы в лабораторной среде
Объекты групповой политики для данного руководства были тщательно протестированы. Тем не менее
важно выполнить собственное тестирование в существующей среде. Чтобы сэкономить время, можно
использовать сценарий GPOAccelerator.wsf для создания рекомендуемых объектов групповой политики
и образца структуры подразделений, а затем автоматически связать объекты групповой политики с
подразделениями.
Задача 1: создание среды SSLF
Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool,
которую создает MSI-файл установщика Microsoft Windows.
Примечание.
Чтобы выполнить сценарий, как описано в следующей процедуре, папка
GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.
Чтобы создать объекты групповой политики и связать их с соответствующими
подразделениями в среде
1.
Войдите с учетной записью администратора домена в систему компьютера под управлением
Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться
объекты групповой политики.
2.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
3.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора домена.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите клавишу ВВОД.
5.
В командной строке введите cscript GPOAccelerator.wsf /SSLF /LAB и нажмите клавишу
ВВОД.
6.
В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да",
чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).
Примечание.
7.
Это действие может занять несколько минут.
В окне с сообщением The SSLF Lab Environment is created (Создана лабораторная среда
SSLF) нажмите кнопку ОК.
8.
В окне с сообщением Make sure to link the SSLF Domain GPO to your domain (Свяжите
объект групповой политики домена SSLF с доменом) нажмите кнопку OK и выполните
следующую задачу для связи политики VSG SSLF Domain Policy.
Примечание.
Групповая политика уровня домена включает параметры, которые применяются
ко всем компьютерам и пользователям в этом домене. Важно уметь определять необходимость
связи объекта групповой политики домена, так как он применяется ко всем пользователям и
компьютерам. По этой причине сценарий GPOAccelerator.wsf не выполняет автоматическую связь
объекта групповой политики домена с доменом.
Задача 2: использование консоли управления групповыми политиками для связи политики
VSG SSLF Domain Policy с доменом
Теперь можно выполнить связь объекта групповой политики домена с доменом. Ниже приведены
инструкции по использованию консоли управления групповыми политиками на клиентском компьютере
под управлением Windows Vista для связи политики VSG SSLF Domain Policy с доменом.
Чтобы связать политику VSG SSLF Domain Policy
1.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные
и Выполнить. (Или нажмите клавишу с эмблемой Windows + R.)
2.
В поле Открыть введите gpmc.msc и нажмите кнопку ОК.
3.
В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an
existing GPO (Связать существующий объект групповой политики).
4.
В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой
политики VSG SSLF Domain Policy (Политика домена VSG SSLF) и нажмите кнопку OK.
5.
В области сведений выберите пункт VSG SSLF Domain Policy (Политика домена VSG SSLF) и
нажмите кнопку Move link to top (Переместить ссылку наверх).
Внимание!
Установите для параметра Link Order (Порядок ссылок) объекта VSG SSLF Domain
Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики,
такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет
к переопределению параметров руководства по безопасности Windows Vista.
Задача 3: использование консоли управления групповыми политиками для проверки
результата
Консоль управления групповыми политиками можно использовать для проверки результатов
выполнения сценария. Ниже описана процедура использования консоли управления групповыми
политиками на клиентском компьютере под управлением Windows Vista для проверки объектов
групповой политики и структуры подразделений, которые создает сценарий GPOAccelerator.wsf.
Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf
1.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные
и Выполнить.
2.
В поле Открыть введите gpmc.msc и нажмите кнопку ОК.
3.
Щелкните нужный лес, выберите пункт Domains (Домены) и домен.
4.
Щелкните и разверните узел Vista Security Guide SSLF Client OU (Подразделение клиентов
Vista Security Guide SSLF) и откройте каждое из пяти подразделений, указанных ниже.
5.
Убедитесь в том, что структура подразделений и связи объекта групповой политики
соответствуют изображенным на следующем рисунке.
Рисунок 5.1. Структура подразделений и связи объектов групповой политики, созданные
сценарием GPOAccelerator.wsf, в консоли управления групповыми политиками
Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются
параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство "Active
Directory — пользователи и компьютеры", чтобы проверить схему путем перемещения пользователей и
компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом
объекте групповой политики, см. в приложении A "Параметры групповой политики, связанные с
безопасностью".
Развертывание схемы в рабочей среде
Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания объектов
групповой политики для среды SSLF. После этого можно связать объекты групповой политики с
соответствующими подразделениями в существующей структуре. В крупных доменах с большим
количеством подразделений необходимо продумать использование существующей структуры
подразделений для развертывания объектов групповой политики.
В крупных доменах с большим количеством подразделений необходимо продумать использование
существующей структуры подразделений для развертывания объектов групповой политики. По
возможности необходимо разделять подразделения компьютеров и пользователей. Кроме того,
требуются отдельные подразделения для настольных и переносных компьютеров. Если такая структура
невозможна в существующей среде, вероятно, потребуется изменить объекты групповой политики.
Чтобы определить необходимые изменения, используйте сведения о параметрах в приложении A
"Параметры групповой политики, связанные с безопасностью".
Примечание.
Как указано в предыдущем разделе, можно использовать сценарий GPOAccelerator.wsf
с
параметром /LAB в тестовой среде для создания образца структуры подразделений. Тем не менее при
гибкой структуре подразделений можно также использовать этот параметр в рабочей среде, чтобы
создать базовую структуру подразделений и автоматически связать объекты групповой политики.
После этого можно изменить структуру подразделений вручную в соответствии с требованиями среды.
Задача 1: создание объектов групповой политики
Объекты групповой политики SSLF, описанные в этом руководстве, создаются с помощью сценария
GPOAccelerator.wsf. Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security
Guide\GPOAccelerator Tool, которую создает MSI-файл установщика Microsoft Windows.
Примечание.
Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено
это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий,
как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны
находиться на локальном компьютере.
Чтобы создать объекты групповой политики в производственной среде
1.
Войдите с учетной записью администратора домена в систему компьютера под управлением
Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться
объекты групповой политики.
2.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
3.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора домена.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите клавишу ВВОД.
5.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
6.
В командной строке введите cscript GPOAccelerator.wsf /SSLF и нажмите клавишу ВВОД.
7.
В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да",
чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).
Примечание.
8.
Это действие может занять несколько минут.
В окне с сообщением The SSLF GPOs are created (Объекты групповой политики SSLF созданы)
нажмите кнопку OK.
9.
В окне с сообщением Make sure to link the SSLF GPOs to the appropriate OUs (Свяжите
объекты групповой политики SSLF с соответствующими подразделениями) нажмите кнопку OK.
Задача 2: использование консоли управления групповыми политиками для проверки
результата
Можно использовать консоль управления групповыми политиками, чтобы убедиться в том, что
сценарий успешно создал все объекты групповой политики. Ниже описана процедура использования
консоли управления групповыми политиками на клиентском компьютере под управлением
Windows Vista для проверки объектов групповой политики, которые создает сценарий
GPOAccelerator.wsf.
Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf
1.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные
и Выполнить.
2.
В поле Открыть введите gpmc.msc и нажмите кнопку ОК.
3.
Щелкните нужный лес, выберите пункт Domains (Домены) и домен.
4.
Щелкните и разверните узел Group Policy Objects (Объекты групповой политики), а затем
проверьте, соответствуют ли четыре объекта групповой политики VSG SSLF изображенным на
следующем рисунке.
Рисунок 5.2. Объекты групповой политики SSLF, созданные сценарием GPOAccelerator.wsf, в
консоли управления групповыми политиками
После этого можно использовать консоль управления групповыми политиками для связи каждого
объекта групповой политики с соответствующим подразделением. Последняя задача в процессе
описывает, как это сделать.
Задача 3: использование консоли управления групповыми политиками для связи объектов
групповой политики с подразделениями
Следующая процедура описывает, как использовать консоль управления групповыми политиками на
клиентском компьютере под управлением Windows Vista для выполнения этой задачи.
Чтобы связать объекты групповой политики в производственной среде
1.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы,
Стандартные и Выполнить.
2.
В поле Открыть введите gpmc.msc и нажмите кнопку ОК.
3.
В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an
existing GPO (Связать существующий объект групповой политики).
4.
В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект
групповой политики VSG SSLF Domain Policy (Политика домена VSG SSLF) и нажмите кнопку
OK.
5.
В области сведений выберите пункт VSG SSLF Domain Policy (Политика домена VSG SSLF) и
нажмите кнопку Move link to top (Переместить ссылку наверх).
Внимание!
Установите для параметра Link Order (Порядок ссылок) объекта VSG SSLF
Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты
групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена
по умолчанию), что приведет к переопределению параметров руководства по безопасности
Windows Vista.
6.
Щелкните правой кнопкой мыши узел Windows Vista Users OU (Подразделение
пользователей Windows Vista) и выберите пункт Link an existing GPO (Связать существующий
объект групповой политики).
7.
В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект
групповой политики VSG SSLF Users Policy (Политика пользователей VSG SSLF) и нажмите
кнопку OK.
8.
Щелкните правой кнопкой мыши узел Desktop OU (Подразделение настольных компьютеров)
и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).
9.
В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект
групповой политики VSG SSLF Desktop Policy (Политика настольных компьютеров VSG SSLF)
и нажмите кнопку OK.
10.
Щелкните правой кнопкой мыши узел Laptop OU (Подразделение переносных компьютеров) и
выберите пункт Link an existing GPO (Связать существующий объект групповой политики).
11.
В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект
групповой политики VSG SSLF Laptop Policy (Политика переносных компьютеров VSG SSLF) и
нажмите кнопку OK.
12.
Повторите эти действия для всех других созданных подразделений пользователей или
компьютеров, чтобы связать их с соответствующими объектами групповой политики.
Примечание.
Можно также перетащить объект групповой политики из узла Group Policy Objects
(Объекты групповой политики) в подразделение. Тем не менее операция перетаскивания
поддерживается только для объектов в том же домене.
Чтобы подтвердить связи объектов групповой политики с помощью консоли управления
групповыми политиками
•
Разверните узел Group Policy Objects (Объекты групповой политики) и выберите объект групповой
политики. В области сведений откройте вкладку Scope (Область) и просмотрите сведения в
столбцах Link Enabled (Связь включена) и Path (Путь).
— Или —
•
Выберите подразделение и затем в области сведений откройте вкладку Linked Group Policy
Objects (Связанные объекты групповой политики) и просмотрите сведения в столбцах Link
Enabled (Связь включена) и GPO (Объект групповой политики).
Примечание.
Консоль управления групповыми политиками можно использовать для отмены связи
объектов групповой политики или их удаления. После этого можно удалить ненужные подразделения с
помощью консоли управления групповыми политиками или консоли "Active Directory — пользователи и
компьютеры". Чтобы полностью отменить все изменения, внесенные сценарием GPOAccelerator.wsf,
необходимо вручную удалить файлы SSLF-VSGAuditPolicy.cmd, SSLF-ApplyAuditPolicy.cmd и SSLFAuditPolicy.txt из общей папки NETLOGON одного из контроллеров домена. Дополнительные сведения
об этих файлах см. в разделе "Политика аудита" приложения A "Параметры групповой политики,
связанные с безопасностью".
Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются
параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство "Active
Directory — пользователи и компьютеры", чтобы проверить схему путем перемещения пользователей и
компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом
объекте групповой политики, см. в приложении A "Параметры групповой политики, связанные с
безопасностью".
Миграция объектов групповой политики в другой домен (необязательно)
При изменении объектов групповой политики в этом решении или создании собственных объектов
групповой политики и необходимости использовать их в нескольких доменах требуется выполнить
миграцию объектов групповой политики. Для миграции объекта групповой политики из одного домена
в другой необходимо планирование, но основная процедура достаточно проста. Во время
планирования следует обратить внимание на две важных особенности данных объектов групповой
политики.
•
Сложность данных. Данные, составляющие объект групповой политики, имеют сложную
структуры и хранятся в нескольких местах. При использовании консоли управления групповыми
политиками для миграции объекта групповой политики обеспечивается надлежащая миграция всех
нужных данных.
•
Данные, относящиеся к домену. Некоторые данные в объекте групповой политики могут
относиться к конкретному домену и стать недопустимыми при прямом копировании в другой домен.
Чтобы решить эту проблему, таблицы миграции консоли управления групповыми политиками
позволяют изменять относящиеся к домену данные в объекте групповой политики на новые
значения во время миграции. Это требуется делать только в том случае, если объект групповой
политики содержит идентификатор (ИД) безопасности или пути UNC, которые относятся только к
конкретному домену.
Дополнительные сведения о миграции объектов групповой политики см. в справке консоли управления
групповыми политиками.
Средство GPOAccelerator
С данным руководством распространяются сценарии и шаблоны безопасности. В этом разделе
приводятся общие сведения о данных ресурсах. Важнейшим средством, которое выполняет основной
сценарий для этого руководства по безопасности, является GPOAccelerator.wsf, расположенное в папке
Windows Vista Security Guide\GPOAccelerator Tool\Security Group Policy Objects. В этом разделе
рассказывается, как изменить консоль управления групповыми политиками для просмотра параметров
объекта групповой политики, а также описываются структура подкаталогов и типы файлов, которые
распространяются с руководством. Другим ресурсом для сравнения значений параметров является
файл Windows Vista Security Guide Settings.xls, который также прилагается к этому руководству.
Консоль управления групповыми политиками и расширения SCE
Решение, представленное в этом руководстве, использует параметры объекта групповой политики,
которые не отображаются в стандартном пользовательском интерфейсе консоли управления
групповыми политиками в Windows Vista или редакторе конфигураций безопасности (SCE). Эти
параметры с префиксом MSS: были разработаны группой Microsoft Solutions for Security для
предыдущего руководства о безопасности.
Внимание!
Расширения SCE и сценарий GPOAccelerator.wsf предназначены только для запуска на
компьютерах под управлением Windows Vista. Эти средства не будут правильно работать при запуске
на компьютере под управлением системы Windows XP или Windows Server 2003.
По этой причине необходимо расширить эти средства, чтобы просматривать параметры безопасности и
при необходимости редактировать их. Для этого сценарий GPOAccelerator.wsf автоматически обновляет
компьютер при создании объектов групповой политики. Чтобы администрировать объекты групповой
политики руководства по безопасности Windows Vista с другого компьютера под управлением
Windows Vista, используйте следующую процедуру для обновления SCE на этом компьютере.
Чтобы изменить SCE для вывода параметров MSS
1.
Убедитесь в том, что выполнены указанные ниже условия.
•
Используемый компьютер присоединен к домену с Active Directory, в котором созданы
•
Установлен каталог Windows Vista Security Guide\GPOAccelerator Tool.
объекты групповой политики.
Примечание.
Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором
установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы
выполнить сценарий, как описано в этой процедуре, папка GPOAccelerator Tool и ее вложенные
папки должны находиться на локальном компьютере.
2.
Войдите на компьютер с учетной записью администратора.
3.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
4.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
5.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите клавишу ВВОД.
6.
В командной строке введите cscript GPOAccelerator.wsf /ConfigSCE и нажмите клавишу
ВВОД.
7.
В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да",
чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).
8.
В окне с сообщением The Security Configuration Editor is updated (Редактор конфигураций
безопасности обновлен) нажмите кнопку OK.
Внимание!
Это сценарий только изменяет SCE так, чтобы отображались параметры MSS, он не
создает объекты групповой политики или подразделения.
Следующая процедура удаляет дополнительные параметры безопасности MSS, а затем устанавливает
для параметров средства SCE значения по умолчанию для Windows Vista.
Чтобы присвоить параметрам средства SCE значения по умолчанию для Windows Vista
1.
Войдите на компьютер с учетной записью администратора.
2.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
3.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите клавишу ВВОД.
5.
В командной строке введите cscript GPOAccelerator.wsf /ResetSCE и нажмите клавишу ВВОД.
6.
В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да",
чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).
Примечание.
При выполнении этой процедуры параметрам редактора конфигураций
безопасности назначаются значения по умолчанию для Windows Vista. Все параметры,
добавленные в редактор конфигураций безопасности, будут удалены. Это повлияет только на
отображение этих параметров в редакторе конфигураций безопасности. Настроенные параметры
групповых политик не удаляются.
7.
В окне с сообщением The Security Configuration Editor is updated (Редактор конфигураций
безопасности обновлен) нажмите кнопку OK.
Предыдущие параметры безопасности
Если необходимо создать собственную политику безопасности, а не использовать или изменить
политики, предоставляемые с данным руководством, можно импортировать нужные параметры
безопасности с помощью шаблонов безопасности. Шаблоны безопасности — это текстовые файлы,
содержащие значения параметров безопасности. Они являются подкомпонентами объектов групповой
политики. Параметры политики, содержащиеся в шаблонах безопасности, можно изменять в оснастке
"Редактор объектов групповой политики" консоли управления (MMC). В отличие от предыдущих версий
операционной системы Windows, ОС Windows Vista не включает предварительно заданные шаблоны
безопасности, хотя при необходимости можно использовать существующие шаблоны.
Шаблоны безопасности входят в MSI-файл установщика Windows, который распространяется с этим
руководством. В папке GPOAccelerator Tool\Security Templates находятся следующие шаблоны для
среды EC:
•
VSG SSLF Desktop.inf
•
VSG SSLF Domain.inf
•
VSG SSLF Laptop.inf
Внимание!
Для развертывания решения, описанного в этом руководстве, не требуются шаблоны
безопасности. Шаблоны являются альтернативой решению на основе консоли управления групповыми
политиками и включают только параметры безопасности компьютера из раздела Конфигурация
компьютера\Конфигурация Windows\Параметры безопасности. Например, с помощью шаблона
безопасности нельзя управлять параметрами Internet Explorer или брандмауэра Windows в объектах
групповой политики, а также параметрами пользователя.
Работа с шаблонами безопасности
Чтобы использовать шаблоны безопасности, необходимо сначала расширить SCE таким образом, чтобы
настраиваемые параметры безопасности MSS отображались в пользовательском интерфейсе .
Дополнительные сведения см. в предыдущем разделе данной главы "Консоль управления групповыми
политиками и расширения SCE". Если шаблоны можно просматривать, для их импорта в созданные
объекты групповой политики при необходимости можно использовать следующую процедуру.
Чтобы импортировать шаблон безопасности в объект групповой политики
1.
Откройте редактор объектов групповой политики для объекта групповой политики, который
требуется изменить. Для этого в консоли управления групповыми политиками щелкните правой
кнопкой мыши объект групповой политики и выберите пункт Изменить.
2.
В редакторе объектов групповой политики перейдете к папке Конфигурация Windows.
3.
Разверните папку Конфигурация Windows и выберите пункт Параметры безопасности.
4.
Щелкните правой кнопкой мыши папку Параметры безопасности и выберите пункт
Импортировать политику.
5.
Откройте папку Security Templates в папке Windows Vista Security Guide.
6.
Выберите шаблон безопасности, который необходимо импортировать, и нажмите кнопку
Открыть.
После выполнения последнего действия этой процедуры параметры из файла копируются в
объект групповой политики.
Можно также использовать шаблоны безопасности, которые распространяются с руководством, чтобы
изменить локальную политику безопасности на автономных клиентских компьютерах под управлением
Windows Vista. Сценарий GPOAccelerator.wsf упрощает применение шаблонов.
Чтобы применить шаблоны безопасности для создания локальной групповой политики на
автономных клиентских компьютерах под управлением Windows Vista
1.
Войдите в систему компьютера под управлением Windows Vista с учетной записью
администратора.
2.
Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows
Vista Security Guide.
3.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4.
Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от
имени администратора, чтобы открыть командную строку со всеми привилегиями
администратора.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите клавишу ВВОД.
5.
В командной строке введите cscript GPOAccelerator.wsf /SSLF /Desktop или cscript
GPOAccelerator.wsf /SSLF /Laptop и нажмите клавишу ВВОД.
Эта процедура изменяет параметры локальной политики безопасности, используя значения в
шаблонах безопасности для среды EC.
Чтобы восстановить значения параметров по умолчанию для локальной групповой политики
в Windows Vista
1.
Войдите в систему клиентского компьютера под управлением Windows Vista с учетной записью
администратора.
2.
Нажмите кнопку "Пуск" Windows Vista, выберите пункты Все программы, Стандартные,
щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от
имени администратора.
Примечание.
Если появится запрос на ввод учетных данных для входа в систему, введите
свое имя пользователя и пароль и нажмите клавишу ВВОД.
3.
Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4.
В командной строке введите cscript GPOAccelerator.wsf /Restore и нажмите клавишу ВВОД.
Эта процедура восстанавливает значения по умолчанию для параметров локальной политики
безопасности в Windows Vista.
Дополнительные сведения
Ниже приведены ссылки на дополнительные сведения по вопросам, связанным с безопасностью
Windows Vista.
•
Администрирование групповых политик с помощью консоли управления групповыми политиками на
•
Управление средой предприятия с помощью консоли управления групповыми политиками на веб-
•
Миграция объектов групповой политики между доменами с помощью консоли управления
•
Пошаговое руководство для знакомства с возможностями групповой политики на веб-узле Microsoft
•
Пошаговое руководство по мастеру делегирования управления на веб-узле TechNet (на английском
•
Обзор новых и расширенных параметров групповой политики на веб-узле TechNet (на английском
•
Центр справки и поддержки Windows Vista на веб-узле Microsoft.com (на английском языке).
•
Технический документ Улучшения безопасности Windows Vista и видеоматериал на эту тему,
веб-узле Microsoft.com (на английском языке).
узле Microsoft.com (на английском языке).
групповыми политиками на веб-узле Microsoft.com (на английском языке).
TechNet® (на английском языке).
языке).
языке).
предоставляемый по запросу, на веб-узле Microsoft.com (на английском языке).
Приложение A. Параметры групповой политики, связанные с безопасностью
Обзор
В данном приложении указаны параметры политики безопасности для сред Enterprise Client (EC) и
Specialized Security — Limited Functionality (SSLF). В приложении также указаны рекомендуемые
параметры, которые устанавливаются с помощью автоматического процесса, описанного в главе 1
"Внедрение базовых показателей безопасности" и главе 5 "Specialized Security — Limited Functionality"
руководства по безопасности Windows Vista . Другим ресурсом для сравнения значений параметров
является файл Windows Vista Security Guide Settings.xls, который прилагается к этому руководству.
Параметры приведены в приложении в том порядке, в котором они представлены в интерфейсе
пользователя редактора объектов групповой политики в операционной системе Windows Vista™.
Примечание.
Параметры групповой политики, которые появились в Windows Vista, отмечены
символом §.
Параметры безопасности, описанные в этом руководстве, разделены на следующие три основных
раздела:
•
Политика домена. Параметры в этом разделе применяются к домену.
•
Политика компьютера. Параметры в этом разделе применяются к настольным и переносным
•
Политика пользователей. Параметры в этом разделе применяются к пользователям в домене.
компьютерам в домене.
В таблицах этих основных разделов перечислены имена параметров и указаны значения базовых
показателей, разработанных инженерной группой для конфигураций EC и SSLF, рекомендуемых в
руководстве.
Возможные значения разных параметров существенно различаются. Для большинства параметров
можно установить значения Включен и Отключен или другое значение, указанное в редакторе
объектов групповой политики. Тем не менее для многих параметров необходимо указывать числовые
значения или группы безопасности.
Для параметров политики прав пользователей требуется указывать имена конкретных пользователей и
групп. Если какое-либо право не предоставляется никакому пользователю или группе, в редакторе
объектов групповой политики указывается, что параметр включен, но пользователи или группы не
перечисляются. Для параметров, настроенных таким образом, в таблицах этого приложения указано
значение Никто.
На параметры, имеющие значения Не определен или Не задан, не влияют объекты групповой
политики этого руководства. Эти значения существенно отличаются от значения Никто, описанного
выше. Параметры, которые не изменяются с помощью объектов групповой политики руководства,
могут легко изменять администраторы локальных компьютеров, если они уже не настроены с помощью
другого объекта групповой политики среды. Это может привести к несоответствию конфигураций в
среде и снизить безопасность. По этой причине многие рекомендуемые параметры применяют
значения параметра по умолчанию для Windows Vista.
В следующей таблице приведено несколько примеров, которые позволяют понять различные
конфигурации.
Таблица A1. Примеры назначения прав пользователей
Значение
Значение по умолчанию
для Windows Vista
Объект групповой
политики
"Компьютеры VSG
EC"
Объект групповой
политики
"Компьютеры VSG
SSLF"
Разрешать вход в систему
"Администраторы",
Не определен
Никто
через службу терминалов
"Пользователи удаленного
Не определен
"Администраторы",
рабочего стола"
Настраивать квоты
"Администраторы",
памяти для процесса
"Локальная служба",
"Локальная служба",
"Сетевая служба"
"Сетевая служба"
Обратите внимание на значение по умолчанию для параметра Разрешать вход в систему через
службу терминалов. Этот параметр имеет значение Не определен в объекте групповой политики
"Компьютеры EC", что означает, что значение по умолчанию не изменено. С другой стороны,
значение параметра Никто (включенный параметр, для которого не указано значение в редакторе
объектов групповой политики) в объекте групповой политики "Компьютеры SSLF" означает, что
никакие пользователи или группы не имеют права входить в систему через службу терминалов. Более
того, администратор локального компьютера не может изменить этот параметр, так как он применяется
с помощью групповой политики.
Кроме того, обратите внимание на значение по умолчанию для параметра Настраивать квоты
памяти для процесса. Значение по умолчанию для объекта групповой политики "Компьютеры
EC" также не изменено. При такой конфигурации администратор локального компьютера может легко
изменить параметр. Тем не менее в среде SSLF это невозможно, так как объект групповой политики
"Компьютеры SSLF" применяет значение параметра по умолчанию.
Наконец, для правильной работы некоторых параметров, рекомендуемых в руководстве, необходимо
указать сведения о конкретной среде. Так как эти параметры невозможно включить в объекты
групповой политики данного руководства, в таблицах для них указано значение Рекомендуется.
Необходимо изучить эти параметры более подробно для определения надлежащей конфигурации.
Предупреждение.
Работа многих параметров, указанных в этом приложении, зависит от других параметров, и такие
зависимости определены при разработке системы. Кроме того, для правильной работы некоторых
параметров их значения необходимо настроить с учетом конкретных требований среды. Поэтому при
изменении любых рекомендуемых значений параметров в среде EC или SSLF тщательно протестируйте
клиентские компьютеры, чтобы гарантировать их полную функциональность.
Политика домена
Параметры безопасности, указанные в этом разделе приложения, относятся к домену. Они
применяются с помощью узла Конфигурация компьютера редактора объектов групповой политики.
В узле Конфигурация Windows этого узла находятся следующие группы параметров:
•
Параметры политики паролей
•
Параметры блокировки учетных записей
Параметры политики паролей
Регулярно изменяемые сложные пароли сокращают вероятность атак с использованием пароля.
Параметры политики паролей устанавливают сложность и время жизни паролей. Они настраиваются
только с помощью групповой политики на уровне домена.
Параметры политики паролей можно настроить в следующем разделе редактора объектов групповой
политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики
учетных записей\Политика паролей
В следующей таблице указаны рекомендуемые значения параметров политики паролей для двух типов
безопасных сред, определенных в этом руководстве. Каждый из параметров описан в следующих
подразделах.
Таблица A2. Рекомендуемые значения параметров политики паролей
Значение
Значение по
умолчанию для
Windows Vista
Значение по
умолчанию для
контроллера
домена
Объект
групповой
политики
"Домен VSG
EC"
Объект
групповой
политики
"Домен VSG
SSLF"
Принудительно
хранить 0 паролей
хранить 24 пароля
хранить 24
хранить 24
пароля
пароля
установить журнал
паролей
Максимальный
42 дня
42 дня
90 дней
90 дней
0 дней
1 день
1 день
1 день
0 знаков
7 знаков
8 знаков
12 знаков
Отключен
Включен
Включен
Включен
Отключен
Отключен
Отключен
Отключен
срок действия
пароля
Минимальный срок
действия пароля
Минимальная
длина пароля
Пароль должен
отвечать
требованиям
сложности
Хранить пароли,
используя
обратимое
шифрование
Принудительно установить журнал паролей
Этот параметр политики определяет количество новых уникальных паролей, которые необходимо
назначить учетной записи пользователя, перед тем как можно будет использовать старый пароль.
Значение этого параметра политики — от 0 до 24 паролей. Значение по умолчанию для Windows Vista
— 0 паролей, но значение параметра по умолчанию для домена — 24 пароля. Чтобы обеспечить
эффективность этого параметра политики, используйте параметр Минимальный срок действия
пароля для запрета частой смены паролей.
Для двух сред безопасности этого руководства установите для параметра Принудительно установить
журнал паролей значение 24 паролей.
Максимальный срок действия пароля
Этот параметр политики может принимать значение от 1 до 999 дней. (Можно также установить
значение 0, чтобы указать, что пароли не устаревают.) Этот параметр политики определяет, как скоро
истекает срок действия пароля. Значение параметра по умолчанию — 42 дня. Так как злоумышленники
могут подбирать пароли, чем чаще меняется пароль, тем меньше у злоумышленников возможностей его
использовать. Тем не менее чем ниже значение этого параметра, тем выше вероятность увеличения
количества звонков в службу поддержки от пользователей, которым необходимо сменить пароль или
которые забыли действующий пароль.
Для двух сред безопасности этого руководства установите для параметра Максимальный срок
действия пароля значение 90 дней.
Минимальный срок действия пароля
Этот параметр политики определяет количество дней, в течение которых необходимо использовать
пароль перед его изменением. Диапазон значений этого параметра политики — от 1 до 999 дней.
(Можно также установить значение 0, чтобы разрешить немедленную смену пароля.) Значение этого
параметра по умолчанию — 0 дней.
Значение параметра Минимальный срок действия пароля должно быть меньше значения
Максимальный срок действия пароля, если только для параметра Максимальный срок действия
пароля не задано значение 0, при котором срок действия паролей неограничен. Если параметр
Максимальный срок действия пароля имеет значение 0, для этого параметра политики можно
установить любое значение от 0 до 999.
Чтобы параметр Принудительно установить журнал паролей был эффективным, не
устанавливайте для этого параметра значение 0. Если значение параметра Минимальный срок
действия пароля равно 0, пользователи могут сменить пароли несколько раз и повторно
использовать старый привычный пароль.
Для двух сред безопасности этого руководства установите для параметра Минимальный срок
действия пароля значение 1 день. Это значение затрудняет повторное использование одного и того
же пароля, так как для смены пароля необходимо подождать день. Оно также поощряет запоминание
новых паролей, так как пользователи должны использовать их по крайней мере один день до сброса.
Наконец, это значение не позволяет обходить ограничения, определяемые параметром
Принудительно установить журнал паролей.
Минимальная длина пароля
Этот параметр политики определяет наименьшее количество знаков пароля для учетной записи
пользователя. Существует множество различных теорий о том, как определить наилучшую длину
пароля для организации. Вероятно, более уместно использовать термин "парольная фраза", а не
"пароль". В Microsoft® Windows 2000 и более поздних версиях парольные фразы могут быть
достаточно длинными и включать пробелы. Такое предложение, как "Мне молочный коктейль за сто
рублей" является допустимой парольной фразой; это значительно более надежный пароль, чем строка,
состоящая из 8 или 10 случайных цифр и букв, тем не менее его проще запомнить. Необходимо
научить пользователей правильному выбору и применению паролей (особенно с точки зрения их
длины).
В среде EC установите для параметра Минимальная длина пароля значение 8 знаков. Это
достаточно большая длина для обеспечения надлежащей безопасности. В среде SSLF установите
значение 12 знаков.
Пароль должен отвечать требованиям сложности
Этот параметр политики проверяет все новые пароли на предмет соответствия основным требованиям к
надежным паролям. По умолчанию для этого параметра политики в Windows Vista установлено
значение Отключен, но он имеет значение Включен в домене Microsoft Windows Server® 2003 для
сред, описанных в этом руководстве.
Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:
•
не должны содержать имя учетной записи пользователя или части полного имени пользователя
•
должны быть длиной не менее шести знаков;
•
длиной более двух последовательных знаков;
должны включать знаки четырех следующих категорий:
•
латинские буквы в верхнем регистре (A — Z);
•
латинские буквы в нижнем регистре (a — z);
•
10 цифр (0—9);
•
знаки, которые не являются буквами (например: !, $, #, %).
Каждый дополнительный знак в пароле экспоненциально увеличивает его сложность. Например, для
пароля из семи букв в нижнем регистре возможно 267 (около 8 x 109, или 8 миллиардов) комбинаций.
При 1 000 000 попыток в секунду (такая производительность свойственна многим программам для
подбора паролей) для взлома пароля потребуется всего 133 минуты. Количество комбинаций для
пароля из семи букв различного регистра — 527. Для пароля из семи букв различного регистра и цифр
без знаков пунктуации существует 627 комбинаций. Количество возможных комбинаций для пароля из
восьми знаков — 268 (или 2 x 1011). Хотя это число кажется большим, при скорости 1 000 000 попыток
в секунду для перебора всех возможных паролей потребуется всего 59 часов. Помните, что это время
значительно увеличивается при использовании знаков, которые вводятся с помощью клавиши ALT, и
других специальных знаков клавиатуры, например "!" или "@". Надлежащее применение параметров
паролей затрудняет атаки методом перебора паролей.
Хранить пароли, используя обратимое шифрование
Этот параметр политики определяет, используется ли при хранении паролей операционной системой
обратимое шифрование, обеспечивающее поддержку протоколов приложений, которым требуются
сведения о пароле пользователя для проверки подлинности. Пароли, которые хранятся с
использованием обратимого шифрования, аналогичны паролям в виде открытого текста. По этой
причине этот параметр политики следует включать только в том случае, если требования приложений
более важны, чем защита сведений о пароле. Значение этого параметра политики по умолчанию —
Отключен.
Этот параметр политики необходимо включить при использовании протокола проверки пароля (CHAP)
через удаленный доступ или службу проверки подлинности в Интернете (IAS). Он также требуется при
использовании дайджест-проверки подлинности в службах IIS.
Убедитесь в том, что параметр Хранить пароли всех пользователей в домене, используя
обратимое шифрование имеет значение Отключен (как в объекте групповой политики домена по
умолчанию Windows Server 2003 и в локальной политике безопасности рабочих станций и серверов).
Этот параметр политики также имеет значение Отключен в двух средах, описываемых в этом
руководстве.
Конфигурация, при которой пользователи меняют пароли только тогда, когда это
необходимо
Кроме этих политик паролей, в некоторых организациях требуется централизованный контроль над
всеми пользователями. В данном разделе рассказывается, как разрешить пользователям изменять
пароли только тогда, когда это необходимо.
Централизованный контроль над паролями пользователей является основой продуманной схемы
безопасности Windows Vista. Можно использовать групповую политику, чтобы задать минимальный и
максимальный срок действия пароля, как описано выше. Тем не менее необходимость частой смены
пароля может привести к тому, что пользователи будут обходить требования, определяемые
параметром Принудительно установить журнал паролей. Слишком большая длина паролей может
также привести к увеличению количества звонков в службу поддержки от пользователей, забывших
свои пароли.
Пользователи могут изменять пароли в период, определяемый значениями минимального и
максимального срока действия пароля. Тем не менее схема безопасности SSLF требует, чтобы
пользователи меняли пароли только при запросе операционной системы после истечения
максимального срока действия пароля (42 дня). Чтобы добиться такого уровня контроля,
администраторы могут отключить кнопку Сменить пароль в диалоговом окне Безопасность
Windows, которое выводится при нажатии сочетания клавиш CTRL+ALT+DEL.
Можно применить эту конфигурацию для целого домена с помощью групповой политики или изменить
реестр, чтобы применить ее для одного или нескольких отдельных пользователей.
Параметры блокировки учетных записей
Политика блокировки учетных записей — это функция безопасности службы каталогов
Active Directory®, которая блокирует учетные записи пользователей. Блокировка предотвращает вход
в систему после указанного количества неудачных попыток входа в заданный период времени.
Попытки входа отслеживаются контроллерами домена, а количество допустимых попыток и период
определяются на основе заданных значений параметров блокировки учетных записей. Кроме того,
можно определить продолжительность блокировки.
Эти параметры политики препятствуют угадыванию паролей пользователей злоумышленниками и
снижают вероятность успешных атак на сетевую среду. Тем не менее при включении политики
блокировки учетных записей, вероятно, увеличится количество обращений пользователей сети в
службу поддержки. Перед тем как включить следующие параметры, убедитесь в том, что организация
готова нести такие дополнительные расходы на управление. Для многих организаций более
эффективным и менее дорогим решением будет автоматическая проверка журналов событий
безопасности контроллеров домена и создание административных предупреждений при попытке
подбора паролей для учетной записи пользователя.
Параметры блокировки учетных записей можно настроить в следующем разделе редактора объектов
групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности
\Политики учетных записей\Политика блокировки учетной записи
В следующей таблице перечислены рекомендуемые значения параметров политики блокировки
учетных записей для двух сред безопасности, описанных в этом руководстве. Каждый из параметров
описан в следующих подразделах.
Таблица A3. Рекомендуемые значения параметров политики блокировки учетных записей
Значение
Значение по
умолчанию для
Windows Vista
Значение по
умолчанию для
контроллера
домена
Объект
групповой
политики
"Домен VSG
EC"
Объект
групповой
политики
"Домен VSG
SSLF"
Длительность
Не определен
Не определен
15 минут
15 минут
0 неудачных
0 неудачных попыток
50 неудачных
10 неудачных
блокировки
учетных записей
Пороговое
значение
попыток входа в
блокировки
систему
входа в систему
попыток входа в
попыток входа в
систему
систему
15 минут
15 минут
учетных записей
Сброс счетчика
Не определен
Не определен
блокировки через
Длительность блокировки учетных записей
Этот параметр политики определяет период времени перед разблокировкой заблокированной учетной
записи и входом пользователя в систему. Параметр задает количество минут, в течение которого
заблокированная учетная запись будет недоступна. Если для этого параметра политики установлено
значение 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее
вручную. Значение Windows Vista по умолчанию для этого параметра политики — Не определен.
Чтобы уменьшить количество обращений в службу поддержки и обеспечить безопасность
инфраструктуры, установите в средах EC и SSLF, описанных в этом руководстве, значение 15 минут
для параметра Длительность блокировки учетных записей.
Хотя кажется, что желательно задать для этого параметра политики более высокое значение, это,
скорее всего, приведет к увеличению количества обращений в службу поддержки для
разблокирования учетных записей, заблокированных по ошибке. Рекомендуемое значение параметра
(15 минут) является разумным временем ожидания для повторной попытки входа в систему, которое
обеспечивает дополнительную защиту от атак методом перебора паролей. Пользователи должны знать
о продолжительности действия блокировки и понимать, что им требуется обращаться в службу
поддержки только в случае крайней необходимости срочного доступа к компьютеру.
Пороговое значение блокировки учетных записей
Этот параметр политики определяет количество неудачных попыток входа в систему перед
блокировкой. Полномочные пользователи могут заблокировать свою учетную запись при ошибке ввода
пароля или его неправильном запоминании. Учетная запись также блокируется, если пользователь
вошел в систему одного компьютера и сменил пароль своей учетной записи на другом компьютере.
Компьютер с неверным паролем будет постоянно пытаться выполнить проверку подлинности
пользователя, а так как используемый им для проверки подлинности пароль неверен, произойдет
блокировка. Чтобы избежать случайной блокировки полномочных пользователей, установите для
порогового значения блокировки учетных записей высокое значение. Значение по умолчанию для
этого параметра политики — 0 неудачных попыток входа в систему (функция блокировки учетной
записи отключена).
Установите для параметра Пороговое значение блокировки учетных записей значение
50 неудачных попыток входа в систему для среды EC и 10 неудачных попыток входа в
систему для среды SSLF.
Так как злоумышленники могут использовать это состояние блокировки для атак типа "отказ в
обслуживании", вызывая блокировку большого количества учетных записей, организация должна
определить необходимость использования этого параметра политики на основе обнаруженных угроз и
рисков, которые необходимо уменьшить. Рекомендуется рассмотреть следующие два варианта
настройки этого параметра политики.
•
Установите для параметра Пороговое значение блокировки учетных записей значение 0,
чтобы запретить блокировку учетных записей. Это значение параметра предотвратит атаку типа
"отказ в обслуживании", направленную на блокирование учетных записей в организации. Оно
также сократит количество обращений в службу поддержки, так как пользователи не смогут
случайно блокировать свои учетные записи. Тем не менее это значение параметра не будет
препятствовать атакам методом перебора паролей. Также рассмотрите следующие методы защиты:
•
политика паролей, которая требует, чтобы все пользователи имели сложные пароли, состоящие
не менее чем из 8 знаков;
•
надежный механизм аудита, который будет извещать администраторов о серии блокировок
учетных записей в среде. Например, решение для аудита должно отслеживать событие
безопасности 539 (ошибка входа в систему). Это событие указывает на то, что при попытке
входа в систему учетная запись была заблокирована.
Кроме того, можно настроить параметр следующим образом.
•
Установите для параметра Пороговое значение блокировки учетных записей значение,
которое позволит пользователям неверно ввести пароль несколько раз, но приведет к блокировке
учетной записи при атаке методом перебора паролей. Значение параметра, равное 50 неудачным
попыткам входа в систему для среды EC и 10 — для среды SSLF, обеспечивает достаточную
безопасность и приемлемое удобство использования. Эта конфигурация предотвращает случайную
блокировку учетной записи и сокращает количество обращений в службу поддержки, но не
защищает от атак типа "отказ в обслуживании".
Сброс счетчика блокировки через
Этот параметр политики определяет период времени до сброса значения параметра Пороговое
значение блокировки учетных записей. Значение по умолчанию для этого параметра политики —
Не определен. Если параметр Пороговое значение блокировки учетных записей определен,
время сброса не должно превышать значение параметра Длительность блокировки учетных
записей.
Установите для параметра Сброс счетчика блокировки через значение 15 минут для сред EC и
SSLF, описанных в этом руководстве.
Если использовать для данного параметра политики значение по умолчанию или установить слишком
большой интервал, среда будет уязвима для атак типа "отказ в обслуживании". Злоумышленник может
злонамеренно выполнить несколько неудачных попыток входа в систему для всех пользователей в
организации, что приведет к блокировке их учетных записей, как описано ранее в этом приложении.
Если политика для сброса блокировки учетных записей не определена, администраторам придется
выполнять эту задачу вручную. С другой стороны, если для этого параметра политики задано разумное
значение, учетные записи пользователей будут заблокированы в течение установленного времени до
автоматической разблокировки всех учетных записей. Рекомендуемое значение параметра (15 минут)
является разумным периодом времени, которое, скорее всего, будет приемлемо для пользователей, что
позволит сократить количество обращений в службу поддержки. Пользователи должны знать о
продолжительности ожидания до повторной попытки входа в систему и понимать, что им требуется
обращаться в службу поддержки только в случае крайней необходимости срочного доступа к
компьютеру.
Политика компьютера
Параметры безопасности в этом разделе приложения относятся к настольным и переносным
компьютерам в домене. Они применяются с помощью узла Конфигурация компьютера редактора
объектов групповой политики. Эти параметры отображаются в узлах Конфигурация Windows и
Административные шаблоны этого узла.
Конфигурация компьютера\Конфигурация Windows
Следующие группы параметров содержатся в подкаталоге "Конфигурация компьютера\Конфигурация
Windows\Параметры безопасности\Локальные политики":
•
Параметры политики аудита
•
Параметры назначения прав пользователя
•
Параметры безопасности
Следующие группы параметров содержатся в подкаталоге "Конфигурация компьютера\Конфигурация
Windows\Параметры безопасности":
•
Параметры безопасности журнала событий
•
Параметры брандмауэра Windows в режиме повышенной безопасности
Параметры политики аудита
Политика аудита определяет события безопасности, о которых уведомляются администраторы, что
позволяет регистрировать активность пользователей или системы для указанных категорий событий.
Администратор может наблюдать за действиями, связанными с безопасностью, например за тем, кто
получает доступ к объекту, когда пользователи входят в систему или завершают с ней работу или
когда изменяются параметры политики аудита. Для всех этих целей корпорация Майкрософт
рекомендует создать политику аудита для применения в среде.
Тем не менее перед применением политики аудита необходимо определить, аудит каких категорий
событий требуется выполнять. Параметры аудита, выбранные для категорий событий, определяют
политику аудита. При определении параметров аудита для конкретных категорий событий
администратор может создать политику аудита, которая будет соответствовать потребностям
организации в безопасности.
Если не определить параметры аудита, будет трудно или невозможно установить, что произошло во
время нарушения системы безопасности. Тем не менее если параметры аудита настроены таким
образом, что слишком многие разрешенные действия создают события, журнал событий безопасности
будет содержать слишком большое количество данных. Сведения в следующих разделах позволят
определить, за какими действиями следует наблюдать для упрощения сбора нужных данных аудита
для организации.
Windows Vista включает те же девять категорий политики аудита, что и предыдущие версии Windows:
•
Система
•
Вход/выход
•
Доступ к объекту
•
Использование привилегии
•
Подробные сведения
•
Изменение политики
•
Управление учетными записями
•
Доступ к службе каталогов
•
Вход под учетной записью
Тем не менее Windows Vista позволяет управлять политикой аудита более точно, предоставляя
пятьдесят подкатегорий политики аудита. Хотя не все подкатегории относятся к компьютерам с
Windows Vista, многие из них можно настроить для записи конкретных событий и получения ценных
данных.
В прошлом любая из девяти категорий аудита легко настраивалась с помощью групповой политики.
Хотя эта возможность поддерживается в Windows Vista, новые подкатегории аудита нельзя настроить
индивидуально с помощью редактора объектов групповой политики, так как они не отображаются в
нем. При настройке категории аудита в Windows Vista с помощью параметров редактора объектов
групповой политики будут также настроены все подкатегории. Это, скорее всего, приведет к
излишнему ведению журнала аудита и быстрому заполнению журналов событий.
Рекомендуется настраивать только необходимые подкатегории аудита. Для настройки каждой
подкатегории необходимо использовать средство командной строки AuditPol.exe, которое входит в
состав Windows Vista.
Необходимость использования средства командной строки существенно затрудняет внедрение
рекомендуемой политики аудита на большом количестве компьютеров. Корпорация Майкрософт
разработала решение для настройки подкатегорий аудита с помощью групповой политики. Это
решение автоматически внедряется сценариями и объектами групповой политики этого руководства.
При выполнении сценария GPOAccelerator.wsf (см. главы 1 и 5 данного руководства) он автоматически
копирует следующие файлы в общую папку NETLOGON одного из контроллеров домена.
Для среды EC:
•
EC-VSGAuditPolicy.cmd
•
EC-VSGApplyAuditPolicy.cmd
•
EC-VSGAuditPolicy.txt
Для среды SSLF:
•
SSLF-VSGAuditPolicy.cmd
•
SSLF-VSGApplyAuditPolicy.cmd
•
SSLF-VSGAuditPolicy.txt
Эти файлы затем автоматически реплицируются в общую папку NETLOGON контроллеров домена в
домене Active Directory. Объекты групповой политики, относящиеся к компьютеру, которые создает
сценарий GPOAccelerator.wsf, включают сценарий загрузки компьютера, который запускает эти файлы
для настройки рекомендуемых параметров политики аудита. При первом запуске этих файлов на
компьютере создается назначенная задача VSGAudit. Эта задача будет выполняться каждый час, чтобы
обеспечить обновление параметров политики аудита.
Дополнительные сведения о решении для настройки новых параметров политики аудита в Windows
Vista в домене Windows Server 2003 см. в статье 921469 базы знаний Использование групповой
политики для настройки подробных параметров аудита безопасности на клиентских компьютерах с
системой Windows Vista в домене Windows Server 2003 или домене Windows 2000.
В следующей таблице приведены рекомендуемые значения параметров политики аудита для
настольных и переносных клиентских компьютеров в двух видах безопасных сред, описанных в этом
руководстве. Необходимо проанализировать эти рекомендуемые значения и изменить их в
соответствии с требованиями организации. Сведения об изменении параметров политики аудита,
настраиваемых объектами групповой политики этого руководства, см. в конце данного раздела.
Тем не менее рекомендуется очень внимательно относиться к параметрам аудита, которые могут
создавать большое количество трафика. Например, при включении аудита успеха или сбоя для всех
подкатегорий использования привилегии большое количество создаваемых событий аудита
затруднит поиск записей другого типа в журнале событий безопасности. Такая конфигурация также
может значительно повлиять на производительность.
В следующих разделах кратко описаны все политики аудита. В таблицах каждого раздела приведены
рекомендации для настольных и переносных клиентских компьютеров в двух видах безопасных сред,
описанных в этом руководстве.
Примечание.
Из-за ограничений времени в этом руководстве не представлены описания каждой
подкатегории политики аудита. В руководстве Угрозы и меры противодействия, которое готовится к
выпуску, будут содержаться подробные описания всех 50 подкатегорий политики аудита.
Система
Категория аудита "Система" позволяет наблюдать за успешным выполнением и сбоями системных
событий и регистрировать их, что помогает определить несанкционированный доступ к системе. К
системным событиям относится запуск и завершение работы компьютеров в среде, заполнение
журналов событий, а также другие связанные с безопасностью события, которые влияют на всю
систему.
В Windows Vista категория аудита "Система" содержит подкатегории, перечисленные в следующей
таблице.
Таблица A4. Рекомендуемые значения для подкатегорий политики аудита "Система"
Подкатегория
Значение по
умолчанию для
Windows Vista
Объекты групповой
политики
"Компьютеры VSG
EC"
Объекты
групповой
политики
"Компьютеры VSG
SSLF"
§ Расширение системы
Нет аудита
Успех и сбой
Успех и сбой
§ Целостность системы
Успех и сбой
Успех и сбой
Успех и сбой
§ Драйвер IPsec
Нет аудита
Успех и сбой
Успех и сбой
§ Другие системные события
Успех и сбой
Нет аудита
Нет аудита
§ Изменение состояния
Успех
Успех и сбой
Успех и сбой
безопасности
безопасности
§ означает параметры групповой политики, которые были добавлены в Windows Vista.
Вход/выход
Эта категория аудита создает события, которые регистрируют создание и удаление сеансов входа в
систему. Эти события возникают на компьютере, к которому выполняется доступ. Для интерактивного
входа в систему эти события создаются на компьютере, в систему которого выполняется вход. Если
выполняется вход в сеть для доступа к общему ресурсу, события создаются на компьютере, на котором
размещен этот ресурс.
Если для параметра Аудит входа в систему установлено значение Нет аудита, трудно или
невозможно определить, какой пользователь получил доступ или пытался получить доступ к
компьютерам организации.
В Windows Vista категория аудита "Вход/выход" содержит подкатегории, перечисленные в следующей
таблице.
Таблица A5. Рекомендуемые значения для подкатегорий политики аудита "Вход/выход"
Подкатегория
Значение по
умолчанию для
Windows Vista
Объекты групповой
политики
"Компьютеры VSG
EC"
Объекты
групповой
политики
"Компьютеры VSG
SSLF"
§ Вход
Успех
Успех
Успех и сбой
§ Выход
Успех
Успех
Успех
§ Блокировка учетной записи
Успех
Нет аудита
Нет аудита
Примечание.
Этой
подкатегории не соответствуют
события.
§ Основной режим IPsec
Нет аудита
Нет аудита
Нет аудита
§ Быстрый режим IPsec
Нет аудита
Нет аудита
Нет аудита
§ Расширенный режим IPsec
Нет аудита
Нет аудита
Нет аудита
§ Специальный вход
Успех
Успех
Успех
§ Другие события входа и выхода
Нет аудита
Нет аудита
Нет аудита
§ означает параметры групповой политики, которые были добавлены в Windows Vista.
Доступ к объекту
Сам по себе этот параметр политики не приводит к аудиту событий. Он определяет необходимость
аудита событий для пользователя, который получает доступ к объекту (например файлу, папке,
разделу реестра или принтеру), для которого задан системный список управления доступом, что
позволяет выполнять аудит.
Системный список управления доступом состоит из записей управления доступом. Каждая запись
управления доступом включает сведения трех типов:
•
участник безопасности (пользователь, компьютер или группа), для которого будет выполняться
•
определенный тип доступа, для которого будет выполняться аудит (маска доступа);.
•
флаг, указывающий на необходимость аудита событий сбоя доступа, успешного доступа или того и
аудит;
другого вида событий.
Если для параметра Аудит доступа к объектам установлено значение Успех, запись аудита
создается каждый раз, когда пользователь успешно получает доступ к объекту с заданным системным
списком управления доступом. Если для этого параметра политики установлено значение Сбой, запись
аудита создается при каждом сбое доступа к объекту с заданным системным списком управления
доступом.
При настройке системных списков управления доступом организации должны определить только
действия, которые необходимо включить. Например, может потребоваться включить параметр Аудит
записи и добавления данных для EXE-файлов, чтобы отслеживать их изменение или замену, так как
вирусы, вирусы-черви и вредоносные программы типа "Троянский конь" обычно воздействуют на EXEфайлы. Кроме того, может потребоваться отслеживание доступа к конфиденциальным документам и их
изменения.
Категория аудита событий "Доступ к объекту" включает подкатегории, перечисленные в следующей
таблице.
Таблица A6. Рекомендуемые значения для подкатегорий политики аудита "Доступ к объекту"
Подкатегория
Значение по
умолчанию для
Windows Vista
Объекты групповой
политики
"Компьютеры VSG
EC"
Объекты групповой
политики
"Компьютеры VSG
SSLF"
§ Файловая система
Нет аудита
Нет аудита
Сбой
§ Реестр
Нет аудита
Нет аудита
Сбой
§ Объект ядра
Нет аудита
Нет аудита
Нет аудита
§ SAM
Нет аудита
Нет аудита
Нет аудита
§ Службы сертификатов
Нет аудита
Нет аудита
Нет аудита
§ Создано приложением
Нет аудита
Нет аудита
Нет аудита
§ Использование дескриптора
Нет аудита
Нет аудита
Нет аудита
§ Общая папка
Нет аудита
Нет аудита
Нет аудита
§ Отбрасывание пакетов
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
платформой фильтрации
§ Подключение платформы
фильтрации
§ Другие события доступа к
объекту
§ означает параметры групповой политики, которые были добавлены в Windows Vista.
Следующие процедуры описывают настройку правил аудита для файла или папки и тестирование
каждого правила аудита для всех объектов в указанном файле или папке.
Примечание.
Чтобы при выполнении следующих действий события регистрировались в журнале
событий безопасности, необходимо настроить подкатегорию "Файловая система" для аудита событий
Успех и сбой с помощью файла Auditpol.exe.
Чтобы определить правило аудита для файла или папки
1.
Найдите файл (папку) с помощью проводника и выберите его.
2.
В меню Файл выберите пункт Свойства.
3.
Откройте вкладку Безопасность и нажмите кнопку Дополнительно.
4.
Откройте вкладку Аудит.
5.
Если появится запрос на ввод учетных данных администратора, нажмите кнопку Продолжить,
введите имя пользователя и пароль, а затем нажмите клавишу ВВОД.
6.
Нажмите кнопку Добавить. Откроется диалоговое окно Выбор пользователя,
компьютераили группы.
7.
Нажмите кнопку Типы объектов и в диалоговом окне Типы объектов выберите типы
объектов, которые необходимо найти.
Примечание.
По умолчанию выбраны типы объектов Пользователь, Группа и Встроенный
объект участника безопасности.
8.
Нажмите кнопку Размещение и в диалоговом окне Размещение выберите свой домен или
локальный компьютер.
9.
В диалоговом окне Выбор пользователя или группы введите имя группы или пользователя,
для которого необходимо выполнять аудит. Затем в диалоговом окне Введите имена
выбираемых объектов укажите Прошедшие проверку (чтобы выполнять аудит доступа для
всех пользователей, прошедших проверку) и нажмите кнопку ОК. Откроется диалоговое окно
Элемент аудита.
10.
Определите тип доступа к файлу или папке, для которого необходимо выполнять аудит, в
диалоговом окне Элемент аудита.
Примечание.
Учитывайте то, что при каждом доступе могут создаваться несколько событий в
журнале событий, что приведет к его быстрому росту.
11.
В диалоговом окне Элемент аудита в разделе Содержание папки / Чтение данных
выберите значение Успех и сбой и нажмите кнопку ОК.
12.
Включенные записи аудита появятся на вкладке Аудит диалогового окна Дополнительные
параметры безопасности.
13.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.
Чтобы проверить правило аудита для файла или папки
1.
Откройте файл или папку.
2.
Закройте файл или папку.
3.
Запустите средство "Просмотр событий". В журнале событий безопасности появятся несколько
событий "Доступ к объекту" с ИД события 4663.
4.
При необходимости дважды щелкните события, чтобы просмотреть их сведения.
Использование привилегии
Категория аудита "Использование привилегии" определяет, необходимо ли вести аудит всех случаев
применения прав пользователя. Если для этого параметра установлено значение Успех, запись аудита
создается каждый раз, когда успешно используется право пользователя. Если для этого параметра
установлено значение Сбой, запись аудита создается каждый раз, когда происходит сбой при
использовании права пользователя. Этот параметр политики может создавать очень большое
количество записей событий.
Категория аудита событий Использование привилегии включает подкатегории, перечисленные в
следующей таблице.
Таблица A7. Рекомендуемые значения для подкатегорий политики аудита "Использование
привилегии"
Подкатегория
Значение по
умолчанию для
Windows Vista
Объекты групповой
политики
"Компьютеры VSG
EC"
Объекты
групповой
политики
"Компьютеры VSG
SSLF"
§ Использование прав,
Нет аудита
Нет аудита
Успех и сбой
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
затрагивающее
конфиденциальные данные
§ Использование прав, не
затрагивающее
конфиденциальные данные
§ Другие события, связанные с
использованием привилегии
Примечание. Этой
подкатегории не соответствуют
события.
§ означает параметры групповой политики, которые были добавлены в Windows Vista.
Подробные сведения
Категория аудита "Подробные сведения" определяет, требуется ли выполнять аудит подробных
сведений для отслеживания событий, таких как активация программ, завершение процессов,
дублирование дескрипторов и косвенный доступ к объектам. При включении параметра Аудит
отслеживания процессов создается большое количество событий, поэтому он обычно имеет
значение Нет аудита. Тем не менее этот параметр может быть полезен при реагировании на
нарушения системы безопасности, так как он позволяет создать журнал, содержащий подробные
сведения о запущенных процессах и времени их запуска.
Категория аудита событий "Подробные сведения" включает подкатегории, перечисленные в следующей
таблице.
Таблица A8. Рекомендуемые значения для подкатегорий политики аудита "Подробные
сведения"
Подкатегория
Значение по
умолчанию для
Windows Vista
Объект групповой
политики
"Компьютеры VSG
EC"
Объект групповой
политики
"Компьютеры VSG
SSLF"
§ Завершение процесса
Нет аудита
Нет аудита
Нет аудита
§ Действие DPAPI
Нет аудита
Нет аудита
Нет аудита
§ События RPC
Нет аудита
Нет аудита
Нет аудита
§ Создание процессов
Нет аудита
Успех
Успех
§ означает параметры групповой политики, которые были добавлены в Windows Vista.
Изменение политики
Категория аудита "Изменение политики" определяет, требуется ли выполнять аудит всех изменений
политик назначения прав пользователя, брандмауэра Windows, политик доверия или самой политики
аудита. Рекомендуемые параметры позволяют увидеть все привилегии учетной записи, которые
пытается повысить злоумышленник, например, добавляя привилегии Отладка программ или
Архивация файлов и каталогов.
Категория аудита событий Изменение политики включает подкатегории, перечисленные в
следующей таблице.
Таблица A9. Рекомендуемые значения для подкатегорий политики аудита "Изменение
политики"
Подкатегория
Значение по
умолчанию для
Windows Vista
Объекты
групповой
политики
"Компьютеры VSG
EC"
Объекты групповой
политики
"Компьютеры VSG
SSLF"
§ Изменение политики аудита
Успех
Успех и сбой
Успех и сбой
§ Изменение политики проверки
Успех
Успех
Успех
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
подлинности
§ Изменение политики
авторизации
§ Изменение политики на
уровне правила MPSSVC
§ Изменение политики
платформы фильтрации
§ Другие события изменения
Нет аудита
Нет аудита
Нет аудита
политики
§ означает параметры групповой политики, которые были добавлены в Windows Vista.
Управление учетными записями
Категория аудита "Управление учетными записями" позволяет отслеживать попытки создания
пользователей или групп, переименования пользователей или групп, включения или отключения
учетных записей пользователей, изменения паролей учетных записей и включения аудита для событий
управления учетными записями. Если этот параметр политики аудита включен, администраторы могут
отслеживать события, чтобы определять злонамеренное, случайное или разрешенное создание
учетных записей пользователей и групп.
Категория аудита событий Управление учетными записями включает подкатегории, перечисленные
в следующей таблице.
Таблица A10. Рекомендуемые значения для подкатегорий политики аудита "Управление
учетными записями"
Подкатегория
Значение по
умолчанию для
Windows Vista
Объекты групповой
политики
"Компьютеры VSG
EC"
Объекты
групповой
политики
"Компьютеры VSG
SSLF"
§ Управление учетными записями
Успех
Успех
Успех и сбой
§ Управление учетными записями
Нет аудита
Успех
Успех и сбой
Успех
Успех
Успех и сбой
§ Управление группами рассылки
Нет аудита
Нет аудита
Нет аудита
§ Управление группами
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Успех
Успех и сбой
компьютера
§ Управление группами
безопасности
пользователей приложения
§ Другие события управления
учетными записями
§ означает параметры групповой политики, которые были добавлены в Windows Vista.
Доступ к службе каталогов
Категория аудита "Доступ к службе каталогов" относится только к контроллерам домена. По этой
причине для параметров категории аудита "Доступ к службе каталогов" и всех связанных подкатегорий
в двух средах, описанных в этом руководстве, устанавливается значение Нет аудита.
Категория аудита событий "Доступ к службе каталогов" включает подкатегории, перечисленные в
следующей таблице.
Таблица A11. Рекомендуемые значения для подкатегорий политики аудита "Доступ к службе
каталогов"
Подкатегория
Значение по
умолчанию для
Windows Vista
Объекты групповой
политики
"Компьютеры VSG
EC"
Объекты
групповой
политики
"Компьютеры VSG
SSLF"
§ Изменения службы каталогов
Нет аудита
Нет аудита
Нет аудита
§ Репликация службы каталогов
Нет аудита
Нет аудита
Нет аудита
§ Подробная репликация службы
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Нет аудита
каталогов
§ Доступ к службе каталогов
§ означает параметры групповой политики, которые были добавлены в Windows Vista.
Вход под учетной записью
Категория аудита "Вход под учетной записью" создает события, связанные с проверкой учетных
данных. Эти события происходят на компьютере, который является полномочным для учетных данных.
Для учетных записей домена полномочным является контроллер домена, в то время как для локальных
учетных записей полномочным является локальный компьютер. В среде домена большинство событий
входа под учетной записью регистрируются в журналах безопасности контроллеров домена, которые
являются полномочными для учетных записей домена. Тем не менее эти события могут возникать на
других компьютерах в организации, когда для входа в систему используются локальные учетные
записи.
Категория аудита событий Вход под учетной записью включает подкатегории, перечисленные в
следующей таблице.
Таблица A12. Рекомендуемые значения для подкатегорий политики аудита "Вход под
учетной запись"
Подкатегория
Значение по
умолчанию для
Windows Vista
Объекты групповой
политики
"Компьютеры VSG
EC"
Объекты
групповой
политики
"Компьютеры VSG
SSLF"
§ Проверка учетных данных
Нет аудита
Успех
Успех и сбой
§ События билетов
Нет аудита
Нет аудита
Нет аудита
§ Другие события входа под
Нет аудита
Нет аудита
Нет аудита
учетной записью
Примечание. Этой
подкатегории не соответствуют
события.
§ означает параметры групповой политики, которые были добавлены в Windows Vista.
Изменение параметров политики аудита
Чтобы изменить подкатегории и параметры политики аудита, настроенные объектами групповой
политики этого руководства, необходимо изменить конфигурацию одного компьютера в среде с
помощью Auditpol.exe и создать файл, который содержит параметры политики аудита для среды. После
этого объекты групповой политики данного руководства применят измененную политику аудита к
компьютерам в среде.
Чтобы изменить конфигурацию политики аудита
1.
Войдите с учетной записью администратора домена в систему компьютера под управлением
Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться
объекты групповой политики.
2.
Нажмите кнопку "Пуск" Windows Vista, выберите пункты Все программы, Стандартные,
щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от
имени администратора.
3.
Очистите текущие параметры политики аудита. Для этого введите следующую команду в
командной строке и нажмите клавишу ВВОД:
auditpol /clear
4.
Создайте пользовательские параметры политики аудита с помощью средства командной строки
Auditpol.exe. Например, введите в командной строке следующие команды. Нажмите клавишу
ВВОД после каждой строки.
Примечание.
Некоторые части следующего фрагмента кода разбиты на строки исключительно
ради удобства чтения. Их нужно вводить как одну строку.
auditpol /set /subcategory:"user account management"
/success:enable /failure:enable
auditpol /set /subcategory:"logon" /success:enable /failure:enable
auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
Примечание. Чтобы просмотреть все возможные категории и подкатегории, введите
следующую команду в командной строке и нажмите клавишу ВВОД:
auditpol /list /subcategory:*
Введите следующую команду в командной строке и нажмите клавишу ВВОД:
auditpol /backup /file:EC-AuditPolicy.txt (или SSLF-AuditPolicy.txt)
5.
Скопируйте новый файл EC-AuditPolicy.txt (или SSLF-AuditPolicy.txt) в общую папку
NETLOGON одного из контроллеров домена в среде и перезапишите существующую версию.
Объекты групповой политики компьютера этого руководства будут использовать новый файл ECAuditPolicy.txt (или SSLF-AuditPolicy.txt) для изменения и настройки параметров политики аудита
компьютеров.
Удаление конфигурации политики аудита
Как указано ранее, решение, которое внедряется объектами групповой политики этого руководства
для настройки подкатегорий политики аудита, создает назначенную задачу VSGAudit на всех
компьютерах в среде. При удалении объектов групповой политики этого руководства из среды,
вероятно, потребуется удалить назначенную задачу VSGAudit. Назначенная задача VSGAudit не должна
влиять на производительность компьютеров под управлением Windows Vista, даже если объекты
групповой политики этого руководства были удалены из среды.
Чтобы удалить назначенную задачу VSGAudit с компьютеров в среде
1.
Удалите следующие три файла из общей папки NETLOGON одного из контроллеров домена в
среде.
Для среды EC:
•
EC-VSGAuditPolicy.cmd
•
EC-VSGApplyAuditPolicy.cmd
•
EC-VSGAuditPolicy.txt
Для среды SSLF:
2.
•
SSLF-VSGAuditPolicy.cmd
•
SSLF-VSGApplyAuditPolicy.cmd
•
SSLF-VSGAuditPolicy.txt
Создайте пустой текстовый файл, присвойте ему имя DeleteVSGAudit.txt и скопируйте его в
общую папку NETLOGON одного из контроллеров домена в среде. Текстовый файл
автоматически реплицируется на все контроллеры домена в среде.
Назначенная задача VSGAudit проверяет наличие файла DeleteVSGAudit.txt при каждом запуске и при
обнаружении файла удаляет себя. Так как назначенная задача VSGAudit настроена на запуск каждый
час, она достаточно быстро удалится со всех компьютеров среды.
Политики аудита для компьютеров под управлением Windows XP в среде EC
Объекты групповой политики этого руководства включают параметры для настройки категорий аудита
предыдущих версий Windows. При использовании сценария и объектов групповой политики этого
руководства такие параметры не будут применяться к компьютерам под управлением Windows Vista.
Объекты групповой политики, предназначенные для использования в среде EC, поддерживают
компьютеры с системой Windows XP. Параметры для категорий аудита включены в данные объекты
групповой политики, поэтому компьютеры под управлением Windows XP в среде получают
рекомендуемые параметры политики аудита для компьютеров с системой Windows XP.
Параметры политики аудита в Windows Vista можно настроить в следующем разделе редактора
объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности
\Локальные политики\Политика аудита
В следующей таблице приведены рекомендуемые значения параметров политики аудита для
настольных и переносных клиентских компьютеров в двух видах безопасных сред, описанных в этом
руководстве.
Таблица A13. Рекомендуемые значения параметров политики аудита
Значение
Значение по
умолчанию для
Windows Vista
Объекты групповой
политики
"Компьютеры VSG
EC"
Объекты
групповой
политики
"Компьютеры VSG
SSLF"
Аудит событий входа в систему
Нет аудита
Успех
Не определен
Аудит управления учетными
Нет аудита
Успех
Не определен
Нет аудита
Не определен
Не определен
Аудит входа в систему
Нет аудита
Успех
Не определен
Аудит доступа к объектам
Нет аудита
Нет аудита
Не определен
Аудит изменения политики
Нет аудита
Успех
Не определен
Аудит использования привилегий
Нет аудита
Нет аудита
Не определен
записями
Аудит доступа к службе
каталогов
Аудит отслеживания процессов
Нет аудита
Нет аудита
Не определен
Аудит системных событий
Нет аудита
Успех
Не определен
Примечание.
Так как объекты групповой политики для среды EC поддерживают компьютеры под
управлением Windows XP, рекомендуемые параметры политики аудита входят в эти объекты групповой
политики. Тем не менее эти параметры политики аудита не входят в объекты групповой политики SSLF,
так как такие объекты поддерживают только компьютеры под управлением Windows Vista.
Параметры назначения прав пользователя
В системе Windows Vista, в которой существуют различные привилегированные группы, можно
назначать определенным пользователям или группам некоторые права пользователей, которых не
имеют обычные пользователи.
Чтобы установить для права пользователя значение Никто, включите параметр, но не добавляйте для
него пользователей или группы. Чтобы установить для права пользователя значение Не определен,
не включайте параметр.
Параметры назначения прав пользователя в Windows Vista можно настроить в следующем разделе
редактора объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные
политики\Назначение прав пользователя
В следующей таблице указаны рекомендуемые значения для первой группы параметров назначение
прав пользователя. Рекомендации приведены для настольных и переносных клиентских компьютеров в
двух видах безопасных сред, описанных в этом руководстве. Более подробные сведения о каждом из
параметров представлены в последующих подразделах.
Рекомендации для других прав пользователей представлены в таблице A5, а дополнительные сведения
о них указаны в подразделах после таблицы.
Примечание.
Для многих функций IIS, таких как IIS_WPG, IIS IUSR_<имя_компьютера>
и IWAM_<имя_компьютера>, требуются определенные привилегии учетных записей. Дополнительные
сведения о том, какие права пользователей необходимы учетным записям, связанным с IIS, см. в
статье IIS и встроенные учетные записи (IIS 6.0) (на английском языке).
Права пользователей, часть 1
В следующей таблице указаны рекомендуемые значения для первой группы параметров назначения
прав пользователя. Более подробные сведения о каждом из параметров представлены в последующих
подразделах.
Таблица A14. Рекомендуемые значения параметров назначения прав пользователя, часть 1
Значение
Значение по умолчанию
для Windows Vista
Объекты
групповой
политики
"Компьютеры VSG
EC"
Объекты
групповой
политики
"Компьютеры VSG
SSLF"
Доступ к компьютеру из
"Все", "Администраторы",
"Администраторы",
"Администраторы"
сети
"Пользователи", "Операторы
"Пользователи"
архива"
Работать в режиме
Никто
Никто
Никто
Настраивать квоты
"Администраторы",
Не определен
"Администраторы",
памяти для процесса
"Локальная служба",
"Локальная служба",
"Сетевая служба"
"Сетевая служба"
операционной системы
Локальный вход в
"Гость", "Администраторы",
"Администраторы",
"Администраторы",
систему
"Пользователи", "Операторы
"Пользователи"
"Пользователи"
Не определен
Никто
Не определен
"Администраторы"
Не определен
"Администраторы",
архива"
Разрешать вход в
"Администраторы",
систему через службу
"Пользователи удаленного
терминалов
рабочего стола"
Архивация файлов и
"Администраторы",
каталогов
"Операторы архива"
Обход перекрестной
"Все", "Администраторы",
проверки
"Пользователи", "Операторы
"Пользователи",
архива", "Локальная
"Локальная служба",
служба", "Сетевая служба"
"Сетевая служба"
Изменение системного
"Локальная служба",
"Локальная служба",
"Локальная служба",
времени
"Администраторы"
"Администраторы"
"Администраторы"
§ Изменение часового
"Локальная служба",
Не определен
"Локальная служба",
пояса
"Администраторы",
"Администраторы",
"Пользователи"
"Пользователи"
Создание файла
"Администраторы"
"Администраторы"
"Администраторы"
Никто
Не определен
Никто
Никто
Не определен
Никто
Создание глобальных
"Администраторы",
Не определен
"Администраторы",
объектов
"Служба", "Локальная
"Служба",
служба", "Сетевая служба"
"Локальная служба",
подкачки
Создание постоянных
общих объектов
Создание маркерного
объекта
"Сетевая служба"
§ Создание
"Администраторы"
Не определен
"Администраторы"
Отладка программ
"Администраторы"
"Администраторы"
Никто
Отказ в доступе к
"Гость"
"Гости"
"Гости"
Никто
Не определен
"Гости"
"Гость"
"Гости"
"Гости"
Никто
Не определен
"Все"
символических ссылок
компьютеру из сети
Отказ во входе в
качестве пакетного
задания
Отклонить локальный
вход
Запретить вход в
систему через службу
терминалов
Разрешить
Никто
Не определен
Никто
делегирование для
учетных записей
компьютеров и
пользователей
§ означает параметры групповой политики, которые были добавлены в Windows Vista.
Сетевой доступ к этому компьютеру
Этот параметр политики позволяет другим пользователям в сети подключаться к компьютеру. Он
требуется различным протоколам сети, включая протоколы на базе SMB, NetBIOS, CIFS и COM+.
Для параметра Сетевой доступ к этому компьютеру установлено значение Администраторы и
Пользователи в среде EC и Администраторы в среде SSLF.
Работать в режиме операционной системы
Этот параметр политики позволяет процессу принимать удостоверение любого пользователя и таким
образом получать доступ к ресурсам, для которых разрешен доступ пользователю.
По этой причине для параметра Работать в режиме операционной системы установлено значение
Никто в обеих средах, описанных в этом руководстве.
Настраивать квоты памяти для процесса
Этот параметр политики позволяет пользователю настраивать максимальное количество памяти,
доступное процессу. Возможность настройки квот памяти полезна для настройки системы, но ею можно
злоупотребить. Злоумышленники могут использовать ее для атаки типа "отказ в обслуживании".
По этой причине для параметра Настраивать квоты памяти для процесса установлены значения
Администраторы, Локальная служба и Сетевая служба в среде SSLF и значение Не определен в
среде EC.
Локальный вход в систему
Этот параметр политики определяет, какие пользователи могут интерактивно входить в систему
компьютеров в среде. Этот право требуется для входа в систему с использованием сочетания клавиш
CTRL+ALT+DEL на клавиатуре клиентского компьютера. Пользователям, которые пытаются войти в
систему с помощью служб терминалов или IIS, также требуется это право.
По умолчанию для этого права пользователя назначена учетная запись Гость. Хотя эта учетная запись
по умолчанию отключена, корпорация Майкрософт рекомендует включить этот параметр с помощью
групповой политики. Это право пользователя должно в большинстве случаев назначаться только
группам Администраторы и Пользователи. Назначьте это право пользователя группе Операторы
архива, если это требуется организации.
В двух средах, описанных в этом руководстве, для параметра Локальный вход в систему назначены
группы Пользователи и Администраторы.
Разрешать вход в систему через службу терминалов
Этот параметр политики определяет, какие пользователи или группы имеют право входить в систему в
качестве клиента службы терминалов. Это право требуется пользователям удаленного рабочего стола.
Если служба поддержки организации использует удаленный помощник, создайте группу и назначьте ей
это право пользователя с помощью групповой политики. В противном случае назначьте это право
пользователя только группе Администраторы или используйте группы с ограниченным доступом,
чтобы гарантировать, что никакие учетные записи пользователей не входят в группу Пользователи
удаленного рабочего стола.
Назначьте это право только пользователям в группе Администраторы (и, возможно, группе
Пользователи удаленного рабочего стола), чтобы предотвратить нежелательный доступ к
компьютерам в сети с помощью функции удаленного помощника.
Для параметра Разрешать вход в систему через службу терминалов в среде EC установлено
значение Не определен. В среде SSLF для усиления безопасности для этого параметра политики
установлено значение Никто.
Архивация файлов и каталогов
Этот параметр политики позволяет пользователям обходить разрешения для файлов и каталогов на
архивацию. Это право пользователя включено только в том случае, если приложение (такое как
NTBACKUP) пытается получить доступ к файлу или каталогу через прикладной программный интерфейс
(API) архивации файловой системы NTFS. В противном случае применяются назначенные разрешения
для файлов и каталогов.
Для параметра Архивация файлов и каталогов в среде EC установлено значение Не определен, в
среде SSLF — значение Администраторы.
Обход перекрестной проверки
Этот параметр политики позволяет пользователям, которые не имеют специального разрешения на
доступ "Обзор папок", "обходить" папки при обзоре пути объекта в файловой системе NTFS или
реестре. Это право пользователя не разрешает пользователям выводить список содержимого папки, а
только выполнять обзор каталогов.
Для компьютеров в среде EC параметр Обход перекрестной проверки имеет значение Не
определен. В среде SSLF для него назначены группы и учетные записи
Администраторы, Пользователи, Локальная служба и Сетевая служба.
Изменение системного времени
Этот параметр политики определяет, какие пользователи и группы могут изменять время и дату на
внутренних часах компьютеров в среде. Пользователи, которым назначено это право, могут влиять на
отображение журналов событий. При изменении параметра времени компьютера записи события
отражают новое время, а не действительное время возникновения событий.
Для параметра Изменение системного времени назначены группы Локальная служба и
Администраторы в обеих средах, описанных в этом руководстве.
Примечание.
Несоответствие времени на локальном компьютере и на контроллерах домена в среде
может вызвать проблемы с протоколом проверки подлинности Kerberos, что сделает невозможным вход
пользователей в домен или получение авторизации на доступ к ресурсам домена после входа. Кроме
того, если системное время не синхронизировано со временем контроллеров домена, возникнут
проблемы при применении групповой политики к клиентским компьютерам.
Изменение часового пояса
Этот параметр определяет, какие пользователи могут изменять часовой пояс на компьютере. Эта
возможность не представляет опасности для компьютера и может быть полезна мобильным
сотрудникам.
Для параметра Изменение часового пояса установлено значение Не определен в среде EC и
значения Администраторы, Локальная служба и Пользователи для среды SSLF.
Создание файла подкачки
Этот параметр политики позволяет пользователям изменять размер файла подкачки. Чрезмерно
увеличив или уменьшив размер файла подкачки, злоумышленник может легко воздействовать на
производительность атакуемого компьютера.
Для параметра Создание файла подкачки установлено значение Администраторы в средах EC и
SSLF.
Создание постоянных общих объектов
Этот параметр политики позволяет пользователям создавать объекты каталогов в диспетчере объектов.
Это право пользователя является полезным для компонентов режима ядра, которые расширяют
пространство имен объекта. Тем не менее компоненты, которые выполняются в режиме ядра,
изначально имеют это право, поэтому обычно не требуется назначать его отдельно.
Для параметра Создание постоянных общих объектов в среде EC установлено значение Не
определен, в среде SSLF — Никто.
Создание маркерного объекта
Этот параметр политики позволяет процессу создавать маркер доступа, который может предоставлять
повышенные права для доступа к конфиденциальным данным. В средах, в которых безопасность очень
важна, нельзя назначать это право никаким пользователям. Все процессы, которым требуется эта
возможность, должны использовать учетную запись "Локальная система", которой это право
пользователя назначено по умолчанию.
Для параметра Создание маркерного объекта в среде EC установлено значение Не определен, в
среде SSLF — Никто.
Создание глобальных объектов
Этот параметр политики определяет, могут ли пользователи создавать глобальные объекты, доступные
во всех сеансах. Пользователи, не имеющие этого права, могут создавать объекты для своих сеансов.
Пользователи, имеющие право на создание глобальных объектов, могут влиять на процессы, которые
запускаются в сеансах других пользователей. Эта возможность может привести к различным
проблемам, таким как сбои приложений или повреждение данных.
Для параметра Создание глобальных объектов в среде EC установлено значение Не определен, в
среде SSLF — Администраторы, Служба, Локальная службаи Сетевая служба.
Создание символических ссылок
Этот параметр политики определяет, какие пользователи могут создавать символические ссылки. В
Windows Vista к объектам файловой системы NTFS, таким как файлы и папки, можно получить доступ с
помощью нового типа объектов файловой системы — символических ссылок. Символическая ссылка —
это указатель (как ярлык или LNK-файл) на другой объект файловой системы, которым может быть
файл, папка, ярлык или другая символическая ссылка. Различие между ярлыком и символической
ссылкой заключается в том, что ярлык работает только в оболочке Windows. Для других программ и
приложений ярлыки являются обычными файлами, тогда как символическая ссылка — это возможность
файловой системы NTFS.
Символические ссылки потенциально могут открывать доступ к уязвимостям в приложениях, которые
не рассчитаны на их использование. По этой причине привилегию создания символических ссылок
можно назначать только доверенным пользователям. По умолчанию создавать символические ссылки
могут только члены группы "Администраторы".
Для параметра Создание глобальных объектов в среде EC установлено значение Не определен, в
среде SSLF — значение Администраторы (чтобы использовать конфигурацию по умолчанию).
Отладка программ
Этот параметр политики определяет, какие учетные записи пользователей будет иметь право
применять отладчик к любому процессу или ядру, что обеспечивает полный доступ к уязвимым или
критически важным компонентам операционной системы. Разработчикам, которые выполняют отладку
собственных приложений, не требуется это право пользователя; тем не менее оно необходимо
разработчикам, которые выполняют отладку новых системных компонентов.
Примечание.
Корпорация Майкрософт выпустила в октябре 2003 г. несколько обновлений для
системы безопасности, в которых использовалась версия Update.exe, требующая права пользователя
Отладка программ. Администраторы, которые не имели этого права пользователя, не могли
установить данные обновления для системы безопасности до изменения прав. Это поведение
нетипично для обновлений операционной системы. Дополнительные сведения см. в статье 830846 базы
знаний Обновления продуктов Windows перестают отвечать на запросы или полностью занимают
ресурсы процессора.
Так как злоумышленники могут использовать это право пользователя, по умолчанию оно назначается
только группе "Администраторы". Для параметра политики Отладка программ установлено значение
Администраторы в среде EC и значение Никто в среде SSLF.
Отказ в доступе к компьютеру из сети
Этот параметр политики запрещает пользователям выполнять подключение к компьютеру из сети, при
котором возможен удаленный доступ к данным и их изменение. В среде SSLF удаленным
пользователям не требуется получать доступ к данным на компьютере. Для общего доступа к файлам
должны использоваться сетевые серверы.
Для параметра Отказ в доступе к компьютеру из сети установлено значение Гости в обеих средах,
описанных в этом руководстве.
Отказ во входе в качестве пакетного задания
Этот параметр политики запрещает вход пользователей в систему с помощью средства пакетной
очереди — возможности Windows Server 2003, которая используется для задания расписания
автоматического однократного или многократного выполнения задач.
Для параметра Отказ во входе в качестве пакетного задания установлено значение Не
определен для среды EC и Гости — для среды SSLF.
Отклонить локальный вход
Этот параметр политики запрещает пользователям локальный вход в консоль компьютера. Если
пользователи, не имеющие соответствующих полномочий, войдут локально в систему, они могут
загрузить вредоносные программы или повысить свои привилегии на компьютере. (Если
злоумышленники имеют физический доступ к консоли, возможны и другие риски.) Это право
пользователя не должно назначаться пользователям, которым требуется физический доступ к консоли
компьютера.
Для параметра Отклонить локальный вход установлено значение Гости в обеих средах, описанных
в этом руководстве. В среде SSLF всем учетным записям служб, добавляемым на компьютер,
необходимо назначить это право, чтобы предотвратить их злоумышленное использование.
Запретить вход в систему через службу терминалов
Этот параметр политики запрещает пользователям входить в систему своих компьютеров с помощью
подключения к удаленному рабочему столу. Если назначить это право пользователя группе Все, члены
стандартной группы Администраторы не смогут использовать службу терминалов для входа в систему
компьютеров в среде.
Для параметра Запретить вход в систему через службу терминалов установлено значение Не
определен для среды EC и Все — для среды SSLF.
Разрешить делегирование для учетных записей компьютеров и пользователей
Этот параметр политики позволяет пользователям изменять значение параметра Делегирование
разрешено для объекта компьютера в Active Directory. Несанкционированное использование этой
привилегии может позволить пользователям, не имеющим соответствующих полномочий, олицетворять
других пользователей в сети.
По этой причине для параметра Разрешить делегирование для учетных записей компьютеров и
пользователей установлено значение Не определен для среды EC и Никто — для среды SSLF.
Права пользователей, часть 2
В следующей таблице указаны рекомендуемые значения для второй группы параметров назначения
прав пользователя. Более подробные сведения о каждом из параметров представлены в последующих
подразделах.
Таблица A15. Рекомендуемые значения параметров назначения прав пользователя, часть 2
Значение
Значение по
умолчанию для
Windows Vista
Объекты групповой
политики
"Компьютеры EC
VSG"
Объекты
групповой
политики
"Компьютеры
SSLF VSG"
Принудительное завершение
"Администраторы"
"Администраторы"
"Администраторы"
Ведение аудита
"Локальная служба",
"Локальная служба",
"Локальная служба",
безопасности
"Сетевая служба"
"Сетевая служба"
"Сетевая служба"
Олицетворять клиент после
"Администраторы",
Не определен
"Администраторы",
проверки подлинности
"Служба", "Локальная
работы из удаленной
системы
"Служба",
§ Увеличение рабочего
служба", "Сетевая
"Локальная служба",
служба"
"Сетевая служба"
"Пользователи"
Не определен
Администраторы
Администраторы
Администраторы
Администраторы
Администраторы
Администраторы
Администраторы
Никто
Никто
Никто
Вход в систему в качестве
Администраторы,
Не определен
Никто
пакетного задания
операторы архива
Вход в качестве службы
Никто
Не определен
Никто
Управление журналом
Администраторы
Администраторы
Администраторы
Администраторы
Администраторы
Администраторы
Администраторы
Администраторы
Администраторы
Администраторы
Не определен
Администраторы
Администраторы
Администраторы
Администраторы
Удаление компьютера из
Администрация,
Администрация,
Администрация,
стыковочного узла
пользователи
пользователи
пользователи
Замена маркера уровня
Локальная служба,
Локальная служба,
Локальная служба,
процесса
сетевая служба
сетевая служба
сетевая служба
Восстановление файлов и
Администраторы,
Не определен
Администраторы
каталогов
операторы архива
Завершение работы системы
Администраторы,
Администрация,
Администрация,
операторы архива,
пользователи
пользователи
Администраторы
Администраторы
множества процесса
Увеличение приоритета
процесса
Загрузка и выгрузка
драйверов устройств
Блокировка страниц в
памяти
аудита и безопасности
Изменение переменных
окружения, заданных
изготовителем
Выполнение задач
обслуживания томов
Конфигурация отдельного
процесса
Конфигурация
производительности системы
пользователи
Стать владельцем файлов
Администраторы
или других объектов
§ — Обозначает новые параметры групповой политики в системе Windows Vista.
Принудительное завершение работы с удаленного компьютера
Этот параметр политики позволяет пользователям отключать компьютеры с операционной системой
Windows Vista с удаленных компьютеров в сети. Любой обладающий этим правом пользователя может
вызвать отказ в обслуживании, что приведет к тому, что компьютер не сможет обрабатывать запросы
пользователей. Поэтому корпорация Майкрософт рекомендует предоставлять это право только
доверенным администраторам.
Параметру Принудительное завершение работы с удаленного компьютера присваивается
значение Администраторы для обеих сред, обсуждаемых в данном руководстве.
Создание записей аудита безопасности
Этот параметр политики определяет, какие пользователи или процессы могут создавать записи аудита
в журнале безопасности. Злоумышленник может воспользоваться этой возможностью для создания
большого количества подлежащих аудиту событий, что затруднит системному администратору
обнаружение противоправных действий. Кроме того, если журнал событий настроен на перезапись
событий при необходимости, все свидетельства несанкционированных действий могут быть
перезаписаны большим количеством событий, не имеющих отношения к этим действиям.
По этой причине параметру Создание записей аудита безопасности присваивается значение
Локальная служба и Сетевая служба для обеих сред, обсуждаемых в данном руководстве.
Олицетворять клиент после проверки подлинности
Этот параметр политики позволяет программам, запущенным от имени какого-либо пользователя,
олицетворять этого пользователя (или другую указанную учетную запись), что позволит им
действовать от имени этого пользователя. Если это право пользователя необходимо для такого типа
олицетворения, не прошедший проверку пользователь не сможет заставить клиента подключиться —
например, через удаленный вызов процедур (RPC) или именованные каналы — к службе, созданной
для олицетворения этого клиента, которая может повысить разрешения пользователя, не прошедшего
проверку, до уровня администратора или системы.
Службы, запускаемые диспетчером управления службами, имеют встроенную группу "Служба",
добавленную по умолчанию к их маркерам доступа. COM-серверы, запускаемые инфраструктурой COM
и настроенные на запуск с определенной учетной записью, также имеют группу "Служба",
добавленную к их маркерам доступа. В результате данное право пользователя назначается этим
процессам при их запуске.
Кроме того, пользователь может олицетворять маркер доступа в случае выполнения следующих
условий:
•
Олицетворяемый маркер доступа предназначен для этого пользователя.
•
Пользователь в данном сеансе входа в систему вошел в сеть с явно заданными учетными данными
•
Запрошенный уровень меньше уровня "Олицетворять", например "Анонимный вход" или
для создания маркера доступа.
"Идентификация".
Злоумышленник, имеющий право Олицетворять клиент после проверки подлинности, может
создать службу, обманным путем заставить клиента подключиться к этой службе, а затем олицетворить
этот клиент для повышения уровня доступа злоумышленника до уровня доступа клиента.
По этой причине параметру Олицетворять клиент после проверки подлинности присвоено
значение Не определен для среды EC и Администраторы, Служба, Локальная службаи Сетевая
служба для среды SSLF.
Увеличение рабочего множества процесса
Эта привилегия определяет, какие учетные записи пользователей могут увеличивать или уменьшать
размер рабочего множества процесса. Рабочее множество процесса — это множество страниц памяти,
видимых в текущий момент процессу в физической оперативной памяти. Эти страницы являются
резидентными, и их использование приложением не приведет к ошибке доступа. Минимальный и
максимальный размеры рабочего множества влияют на характер использования процессом страниц
виртуальной памяти.
Это право предоставлено по умолчанию всем пользователям. Тем не менее, увеличение размера
рабочего множества сокращает объем физической памяти, доступный остальным компонентам системы.
Вредоносный программный код может увеличить рабочее множество до такого уровня, который может
привести к существенному снижению производительности системы и даже к отказу в обслуживании. В
определенных средах можно избежать этой опасности путем ограничения количества пользователей,
которые могут увеличивать рабочее множество процесса.
По этой причине праву пользователя "Увеличение рабочего множества процесса" присвоено значение
Не определен для среды EC и Администраторы для среды SSLF.
Увеличение приоритета процесса
Этот параметр политики позволяет пользователям изменять количество времени процессора,
используемое процессом. Злоумышленник может воспользоваться данной возможностью для
увеличения приоритета процесса до уровня реального времени, что может привести к отказу в
обслуживании.
По этой причине параметру Увеличение приоритета процесса присвоено значение
Администраторы для обеих сред, обсуждаемых в данном руководстве.
Загрузка и выгрузка драйверов устройств
Этот параметр политики позволяет пользователям динамически загружать в системе новый драйвер
устройства. Злоумышленник может потенциально воспользоваться данной возможностью для установки
вредоносного кода под видом драйвера устройства. Данное право пользователя необходимо
пользователям для добавления локальных принтеров или драйверов принтеров в системе
Windows Vista.
Поскольку данное право пользователя может использоваться злоумышленником, параметру Загрузка
и выгрузка драйверов устройств присвоено значение Администраторы для обеих сред,
обсуждаемых в данном руководстве.
Блокировка страниц в памяти
Этот параметр политики позволяет процессу хранить данные в физической памяти, что предотвращает
сброс данных в страницы виртуальной памяти на диск. Предоставление данного права пользователя
может привести к существенному снижению производительности системы.
По этой причине параметру Блокировка страниц в памяти присвоено значение Никто для обеих
сред, обсуждаемых в данном руководстве.
Вход в систему в качестве пакетного задания
Этот параметр политики позволяет учетным записям входить в систему, используя службу
планировщика заданий. Поскольку планировщик заданий часто используется в административных
целях, это может быть необходимо в среде EC. Тем не менее, использование этого параметра в среде
SSLF должно быть ограничено в целях предотвращения неправильного использования системных
ресурсов или для предотвращения использования данного права злоумышленниками для запуска
вредоносного кода после получения уровня доступа пользователя к компьютеру.
Таким образом, праву Вход в систему в качестве пакетного задания присвоено значение Не
определен для среды EC и Никто для среды SSLF.
Вход в качестве службы
Этот параметр политики позволяет учетным записям запускать сетевые службы или регистрировать
процесс как службу, запускаемую в системе. Это право пользователя должно быть ограничено на
любом компьютере в среде SSLF, но, поскольку многим приложениям требуется эта привилегия, ее
следует тщательно оценить и протестировать перед настройкой в среде EC. На компьютерах с
операционной системой Windows Vista эта привилегия не предоставлена по умолчанию ни одному
пользователю или группе.
Таким образом, праву Вход в качестве службы присвоено значение Не определен для среды EC и
Никто для среды SSLF.
Управление журналом аудита и безопасности
Этот параметр политики определяет, какие пользователи могут изменять параметры аудита для файлов
и каталогов и очищать журнал безопасности.
Поскольку эта возможность представляет относительно небольшую угрозу, параметру Управление
журналом аудита и безопасности принудительно присвоено значение по умолчанию
Администраторы для обеих сред, обсуждаемых в данном руководстве.
Изменение переменных окружения, заданных изготовителем
Этот параметр политики позволяет пользователям настраивать системные переменные окружения,
влияющие на конфигурацию оборудования. Эти данные обычно хранятся в последней удачной
конфигурации. Изменение этих значений может привести к сбою оборудования, который может
привести к отказу в обслуживании.
Поскольку эта возможность представляет относительно небольшую угрозу, параметру Изменение
переменных окружения, заданных изготовителем принудительно присвоено значение по
умолчанию Администраторы для обеих сред, обсуждаемых в данном руководстве.
Выполнение задач обслуживания томов
Этот параметр политики позволяет пользователям управлять конфигурацией системного тома или
диска, что позволяет пользователю удалить том и может привести к потере данных, а также к отказу в
обслуживании.
Параметру Выполнение задач обслуживания томов принудительно присвоено значение по
умолчанию Администраторы для обеих сред, обсуждаемых в данном руководстве.
Конфигурация отдельного процесса
Этот параметр политики определяет, каким пользователям разрешено использовать средства для
наблюдения за производительностью несистемных процессов. Как правило, не требуется настраивать
это право пользователя на использование оснастки "Производительность" консоли управления (MMC).
Тем не менее, это право необходимо использовать в случае, если системный монитор настроен на сбор
данных с помощью инструментария управления Windows (WMI). Ограничение права пользователя
Конфигурация отдельного процесса не позволяет злоумышленникам осуществлять сбор
дополнительных сведений, которые можно использовать для атаки на систему.
Параметру Конфигурация отдельного процесса присвоено значение Не определен для
компьютеров в среде EC и Администраторы для среды SSLF.
Конфигурация производительности системы
Этот параметр политики позволяет пользователям использовать средства для просмотра
производительности различных системных процессов, а эти сведения могут быть использованы
злоумышленниками для определения активных системных процессов и подготовки площадки для атаки
на компьютер.
Параметру Конфигурация производительности системы принудительно присвоено значение по
умолчанию Администраторы для обеих сред, обсуждаемых в данном руководстве.
Удаление компьютера из стыковочного узла
Этот параметр политики позволяет пользователю портативного компьютера выбрать пункт Извлечь
компьютер в меню Пуск, чтобы отстыковать компьютер.
Параметру Удаление компьютера из стыковочного узла присвоено значение Администраторыи
Пользователи для обеих сред, обсуждаемых в данном руководстве.
Замена маркера уровня процесса
Этот параметр политики позволяет одному процессу или службе запускать другую службу или процесс
с другим маркером доступа к системе безопасности, который можно использовать для изменения
маркера доступа к системе безопасности этого дочернего процесса и повышения полномочий.
Параметру Замена маркера уровня процесса по умолчанию присвоены значения Локальная
служба и Сетевая служба для обеих сред, обсуждаемых в данном руководстве.
Восстановление файлов и каталогов
Этот параметр политики определяет, каким пользователям разрешено обходить разрешения для
файлов, каталогов, реестра и других постоянных объектов при восстановлении из резервных копий
файлов и каталогов на компьютере с операционной системой Windows Vista. Это право пользователя
также определяет, каким пользователям разрешено устанавливать допустимых участников
безопасности в качестве владельцев объектов; это право подобно праву Резервное копирование
файлов и каталогов.
Параметру Восстановление файлов и каталогов присвоено значение Не определен для
компьютеров в среде EC и Администраторы для среды SSLF.
Завершение работы системы
Этот параметр политики определяет, каким пользователям, локально вошедшим в систему на
компьютерах в данной среде, разрешено завершать работу операционной системы с помощью команды
"Завершить работу". Неправильное использование этого права пользователя может привести к отказу в
обслуживании. Для сред SSLF корпорация Майкрософт рекомендует, чтобы это право предоставлялось
только группам Администраторы и Пользователи.
Параметру Завершение работы системы присвоено значение Администраторы и Пользователи
для обеих сред, обсуждаемых в данном руководстве.
Стать владельцем файлов или других объектов
Этот параметр политики позволяет пользователям становиться владельцами файлов, папок, разделов
реестра, процессов или потоков. Это право пользователя обходит все разрешения, действующие для
защиты объектов, и назначает владельцем указанного пользователя.
Параметру Стать владельцем файлов или других объектов по умолчанию присвоено значение
Администраторы для обеих сред, обсуждаемых в данном руководстве.
Параметры безопасности
Параметры безопасности, применяемые с помощью групповой политики на компьютерах с
операционной системой Windows Vista в данной среде, используются для включения и отключения
таких возможностей и функций как доступ к дисководу гибких дисков, доступ к устройству компактдисков и приглашения для входа в систему. Эти параметры также используются для настройки
множества других параметров, таких как параметры цифровой подписи данных, имена учетных
записей администратора и гостя и процесс установки драйверов.
Параметры безопасности можно настроить в следующем местоположении редактора объектов
групповой политики:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные
политики\Параметры безопасности
Не все параметры, включенные в этот раздел, имеются на всех типах систем. Таким образом,
параметры в части "Параметры безопасности" групповой политики, определенные в этом разделе,
может потребоваться вручную изменить в тех системах, в которых эти параметры имеются, чтобы
полностью их задействовать. Кроме того, шаблоны групповой политики можно изменить по
отдельности для включения подходящих параметров, чтобы полностью задействовать установленные
параметры.
В следующих разделах приведены рекомендации по настройке параметров безопасности, которые
сгруппированы по типу объекта. Каждый раздел включает таблицу, в которую сведены параметры, а в
подразделах за каждой таблицей приведены подробные сведения. Рекомендации приведены как для
настольных, так и для портативных клиентских компьютеров для двух сред безопасности,
обсуждаемых в этом руководстве: среда корпоративных клиентов (EC) и среда специализированной
безопасности с ограниченной функциональностью (SSLF).
Этот раздел приложения включает таблицы и рекомендации следующим параметрам типа объекта,
расположенным в подкаталоге Параметры безопасности:
•
Учетные записи
•
Аудит
•
Устройства
•
Член домена
•
Интерактивный вход в систему
•
Клиент сети Microsoft
•
Параметры MSS
•
Сервер сети Microsoft
•
Доступ к сети
•
Сетевая безопасность
•
Консоль восстановления
•
Завершения работы
•
Системная криптография
•
Системные объекты
•
Управление учетной записью пользователя
Учетные записи
В следующей таблице сведены рекомендуемые значения параметров безопасности для учетных
записей. Дополнительные сведения приведены в подразделах, следующих за таблицей.
Таблица П16. Рекомендации для параметров безопасности — учетные записи
Значение
Значение по
умолчанию в
системе Windows
Vista
Объекты
групповой
политики
компьютера в
среде EC VSG
Объекты
групповой
политики
компьютера в
среде SSLF VSG
Учетные записи: состояние
Отключена
Не определен
Отключена
Отключена
Отключена
Отключена
Включен
Включен
Включен
Администратор
Рекомендуется
Рекомендуется
Гость
Рекомендуется
Рекомендуется
учетной записи администратора
Учетные записи: состояние
учетной записи гостя
Учетные записи: ограничить
использование пустых паролей
только для консольного входа
Учетные записи: переименование
учетной записи администратора
Учетные записи: переименование
учетной записи гостя
Учетные записи: состояние учетной записи администратора
Этот параметр политики включает или отключает учетную запись администратора в процессе обычной
работы. При загрузке компьютера в безопасном режиме учетная запись администратора всегда
включена в независимости от значения этого параметра.
Параметру Учетные записи: состояние учетной записи администратора присвоено значение Не
определен для среды EC и Отключен для среды SSLF.
Учетные записи: состояние учетной записи гостя
Этот параметр политики определяет, включена или отключена учетная запись гостя. Учетная запись
гостя позволяет пользователям сети получить доступ к компьютеру без проверки подлинности.
Параметру безопасности Учетные записи: Состояние учетной записи гостя присвоено значение
Отключен для обеих сред, обсуждаемых в данном руководстве.
Учетные записи: ограничить использование пустых паролей только для консольного входа
Этот параметр политики определяет, можно ли использовать не защищенные паролем локальные
учетные записи для входа в систему из местоположений, отличных от физической консоли
компьютера. Если этот параметр политики включен, локальные учетные записи с пустыми паролями не
смогут входить в сеть с удаленных клиентских компьютеров. Такие учетные записи смогут входить в
систему только с клавиатуры компьютера.
Параметру Учетные записи: ограничить использование пустых паролей только для
консольного входа присвоено значение Включен для обеих сред, обсуждаемых в данном
руководстве.
Учетные записи: переименование учетной записи администратора
Встроенная учетная запись администратора имеет известное имя, которое может стать целью для атаки
злоумышленниками. Корпорация Майкрософт рекомендует выбрать для этой учетной записи другое
имя и избегать использования имен, которые обозначают административные учетные записи или
учетные записи с повышенным уровнем доступа. Также необходимо изменить описание по умолчанию
для локального администратора (через консоль управления компьютером).
Рекомендации по использованию параметра Учетные записи: переименование учетной записи
администратора применимы для обеих сред, обсуждаемых в данном руководстве.
Примечание.
Этот параметр политики не задан в шаблонах безопасности, а это руководство не
предлагает свой вариант имени пользователя для этой учетной записи. Имена пользователей не
предлагаются, чтобы организации, следующие рекомендациям данного руководства, не использовали
такое же имя пользователя в своих средах.
Учетные записи: переименование учетной записи гостя
Имя встроенной учетной записи гостя также хорошо известно злоумышленникам. Корпорация
Майкрософт также рекомендует переименовать эту учетную запись таким образом, чтобы новое имя не
отражало назначение этой учетной записи. Даже при отключении этой учетной записи
(рекомендуется), в целях дополнительной безопасности убедитесь в том, что она переименована.
Рекомендации по использованию параметра Учетные записи: переименование учетной записи
гостя применимы для обеих сред, обсуждаемых в данном руководстве.
Примечание.
Этот параметр политики не задан в шаблонах безопасности, а это руководство не
предлагает свой вариант имени пользователя для этой учетной записи. Имена пользователей не
предлагаются, чтобы организации, следующие рекомендациям данного руководства, не использовали
такое же имя пользователя в своих средах.
Аудит
В следующей таблице сведены рекомендованные значения параметров аудита. Дополнительные
сведения приведены в подразделах, следующих за таблицей.
Таблица П17. Рекомендации для параметров безопасности — аудит
Значение
Значение по
умолчанию в
системе Windows
Vista
Аудит: аудит доступа к Отключен
глобальным системным
Объекты групповой
политики
компьютера в среде
EC VSG
Объекты групповой
политики компьютера
в среде SSLF VSG
Не определен
Отключен
объектам
Аудит: аудит
Отключен
Не определен
Отключен
Не определен
Включен
Включен
Отключен
Не определен
Отключен
использования права
резервного
копирования и
восстановления
§ Аудит:
принудительная
установка параметров
подкатегорий
политики аудита
(Windows Vista или
более поздняя версия)
для переопределения
параметров категории
политики аудита
Аудит: немедленное
отключение
компьютера, если
невозможно внести в
журнал записи об
аудите безопасности
§ — Обозначает новые параметры групповой политики в системе Windows Vista.
Аудит: аудит доступа к глобальным системным объектам
Этот параметр политики создает системный список управления доступом по умолчанию (SACL) для
таких системных объектов как мьютексы (взаимно исключающие), события, семафоры и устройства
MS-DOS® и включает аудит доступа к этим объектам.
Если параметр Аудит: аудит доступа к глобальным системным объектам включен, большое
количество событий безопасности может привести к быстрому заполнению журнала событий
безопасности. Таким образом, данному параметру политики присвоено значение Не определен для
среды EC и Отключен для среды SSLF.
Аудит: аудит использования права резервного копирования и восстановления
Этот параметр политики определяет, следует ли проводить аудит всех привилегий пользователя,
включая право на резервное копирование и восстановление, при включенном параметре Аудит
использования привилегий. Если обе политики включены, событие аудита будет создаваться для
каждого файла, для которого выполняется резервное копирование или восстановление.
Если параметр Аудит: аудит использования права резервного копирования и восстановления
большое количество событий безопасности может привести к быстрому заполнению журнала событий
безопасности. Таким образом, данному параметру политики присвоено значение Не определен для
среды EC и Отключен для среды SSLF.
Аудит: принудительная установка параметров подкатегорий политики аудита (Windows Vista
или более поздняя версия) для переопределения параметров категории политики аудита
Этот параметр политики позволяет администраторам использовать более подробные возможности
аудита, имеющиеся в системе Windows Vista.
Параметры политики аудита, доступные в Active Directory Windows Server 2003, пока не содержат
параметров для управления новыми подкатегориями аудита. Для надлежащего применения политик
аудита, описанных в данном руководстве, параметру Аудит: принудительная установка
параметров подкатегорий политики аудита (Windows Vista или более поздняя версия) для
переопределения параметров категории политики аудита присвоено значение Включен для
обеих сред, обсуждаемых в данном руководстве.
Аудит: немедленное отключение компьютера, если невозможно внести в журнал записи об
аудите безопасности
Этот параметр политики определяет, следует ли отключать компьютер, если невозможно записать в
журнал события безопасности. Требование для сертификации по критериям оценки безопасности
защищенных вычислительных систем (TCSEC)-C2 и общим критериям заключается в том, чтобы
предотвратить возникновение подлежащих аудиту событий в случае, если система аудита не сможет
записать их в журнал. Корпорация Майкрософт выбрала способ соответствия этому требованию,
который заключается в завершении работы компьютера и выводе сообщения об ошибке в случае сбоя
системы аудита. Если этот параметр политики включен, компьютер будет завершать работу каждый
раз, когда по какой-либо причине не удастся записать в журнал событие аудита безопасности.
Если параметр Аудит: немедленное отключение компьютера, если невозможно внести в
журнал записи об аудите безопасности могут происходить незапланированные системные сбои.
Таким образом, данному параметру политики присвоено значение Не определен для среды EC и
Отключен для среды SSLF.
Устройства
В следующей таблице сведены рекомендуемые значения параметров безопасности для устройств.
Дополнительные сведения приведены в подразделах, следующих за таблицей.
Таблица П18. Рекомендации для параметров безопасности — устройства
Значение
Значение по
умолчанию в
системе Windows
Vista
Объекты
групповой
политики
компьютера в
среде EC VSG
Объекты
групповой
политики
компьютера в
среде SSLF VSG
Устройства: разрешать
Включен
Не определен
Отключен
Устройства: разрешено
Не определен
Администраторы,
Администраторы
форматировать и извлекать
(значение реестра по
интерактивные
съемные носители
умолчанию не
пользователи
отстыковку без входа в систему
существует)
Устройства: запретить
Отключен
Включен
Включен
Отключен
Отключен
Отключен
Устройства: разрешить доступ к
Не определен
Не определен
Отключен
дисководам компакт-дисков
(значение реестра по
только локальным
умолчанию не
пользователям
существует)
Устройства: разрешить доступ к
Не определен
Не определен
Отключен
дисководам гибких дисков
(значение реестра по
только локальным
умолчанию не
пользователям установку
драйверов принтера
(для настольных компьютеров)
Устройства: запретить
пользователям установку
драйверов принтера
(для переносных компьютеров)
пользователям
существует)
Устройства: разрешать отстыковку без входа в систему
Этот параметр политики определяет, разрешено ли отстыковывать переносной компьютер, если
пользователь не выполнил вход в систему. Включите этот параметр политики, чтобы не требовать
входа в систему и разрешить использовать кнопку извлечения на внешнем устройстве для отстыковки
компьютера. Если этот параметр политики отключен, для отстыковки компьютера пользователь должен
войти в систему, а также обладать правом Удаление компьютера из стыковочного узла.
Параметру Устройства: разрешать отстыковку без входа в систему присвоено значение Не
определен для среды EC и Отключен для среды SSLF.
Устройства: разрешено форматировать и извлекать съемные носители
Этот параметр политики определяет, кому разрешено форматировать и извлекать съемные носители.
Этот параметр политики можно использовать, чтобы запретить не прошедшим проверку пользователям
переносить данные с одного компьютера на другой, на котором они имеют привилегии локального
администратора.
Параметр Устройства: разрешено форматировать и извлекать съемные носители ограничен
группами Администраторы и Интерактивные пользователи для среды EC и только группой
Администраторы для среды SSLF в целях дополнительной безопасности.
Устройства: запретить пользователям установку драйверов принтера
Злоумышленник может замаскировать троянскую программу под драйвер принтера. Программа может
сообщать пользователям, что ее необходимо использовать для печати, а на самом деле выполнять
вредоносный программный код в компьютерной сети. Для уменьшения вероятности такого события
установка драйверов принтера должна быть разрешена только администраторам. Тем не менее,
поскольку переносные компьютеры являются мобильными устройствами, им иногда требуется
установить драйвер принтера из удаленного источника, чтобы продолжить работу. Таким образом, этот
параметр политики должен быть отключен для пользователей переносных компьютеров и включен для
пользователей настольных компьютеров.
Параметру Устройства: запретить пользователям установку драйверов принтера присвоено
значение Включен для настольных компьютеров в обеих средах, обсуждаемых в данном руководстве,
и Отключен для пользователей переносных компьютеров в обеих средах.
Устройства: разрешить доступ к дисководам компакт-дисков только локальным
пользователям
Этот параметр политики определяет, доступен ли дисковод компакт-дисков одновременно локальным и
удаленным пользователям. Если этот параметр политики включен, доступ к носителям в дисководе
компакт-дисков разрешен только пользователям, вошедшим в систему интерактивно. Если этот
параметр политики включен, и ни один пользователь не вошел в систему, доступ к дисководу компактдисков по сети получить нельзя. Если этот параметр включен, служебная программа архивации данных
не сможет работать, если для задания архивации были указаны теневые копии тома. Все программные
продукты для архивации, разработанные сторонними производителями, использующие теневые копии
тома, также не смогут работать.
Параметру Устройства: разрешить доступ к дисководам компакт-дисков только локальным
пользователям присвоено значение Не определен для среды EC и Отключен для среды SSLF.
Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям
Этот параметр политики определяет, доступен ли дисковод гибких дисков одновременно локальным и
удаленным пользователям. Если этот параметр политики включен, доступ к носителям в дисководе
гибких дисков разрешен только пользователям, вошедшим в систему интерактивно. Если этот параметр
политики включен, и ни один пользователь не вошел в систему, доступ к дисководу гибких дисков по
сети получить нельзя. Если этот параметр включен, служебная программа архивации данных не сможет
работать, если для задания архивации были указаны теневые копии тома. Все программные продукты
для архивации, разработанные сторонними производителями, использующие теневые копии тома,
также не смогут работать.
Параметру Устройства: разрешить доступ к дисководам гибких дисков только локальным
пользователям присвоено значение Не определен для среды EC и Отключен для среды SSLF.
Член домена
В следующей таблице сведены рекомендуемые значения параметров безопасности для членов домена.
Дополнительные сведения приведены в подразделах, следующих за таблицей.
Таблица П19. Рекомендации для параметров безопасности — члены домена
Значение
Значение по
умолчанию в
системе Windows
Vista
Объекты
групповой
политики
компьютера в
среде EC VSG
Объекты
групповой
политики
компьютера в
среде SSLF VSG
Член домена: всегда требуется
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Отключен
Отключен
Отключен
30 дней
30 дней
30 дней
Отключен
Включен
Включен
цифровая подпись или
шифрование потока данных
безопасного канала
Член домена: шифрование
данных безопасного канала,
когда это возможно
Член домена: цифровая подпись
данных безопасного канала,
когда это возможно
Член домена: отключить
изменение пароля учетных
записей компьютера
Член домена: максимальный
срок действия пароля учетных
записей компьютера
Член домена: требовать стойкий
(Windows 2000 или более
поздней версии) ключ сеанса
Член домена: всегда требуется цифровая подпись или шифрование потока данных
безопасного канала
Этот параметр политики определяет, следует ли подписывать или шифровать весь трафик безопасного
канала, инициированный членом домена. Если система настроена на постоянное шифрование или
подписывание данных безопасного канала, она не сможет установить безопасное соединение с
контроллером домена, который не может подписывать или шифровать весь трафик безопасного
канала, поскольку все данные безопасного канала подписаны или зашифрованы.
Параметру Член домена: всегда требуется цифровая подпись или шифрование потока данных
безопасного канала присвоено значение Включен для обеих сред, обсуждаемых в данном
руководстве.
Член домена: шифрование данных безопасного канала, когда это возможно
Этот параметр политики определяет, следует ли члену домена предпринимать попытку шифрования
всего инициированного им трафика безопасного канала. Если этот параметр политики включен, член
домена будет запрашивать шифрование всего трафика безопасного канала. Если этот параметр
политики отключен, член домена не будет осуществлять шифрование безопасного канала.
Параметру Член домена: шифрование данных безопасного канала, когда это возможно
присвоено значение Включен для обеих сред, обсуждаемых в данном руководстве.
Член домена: цифровая подпись данных безопасного канала, когда это возможно
Этот параметр политики определяет, следует ли члену домена предпринимать попытку подписывать
весь инициированный им трафик безопасного канала. Цифровые подписи защищают трафик от
изменений любым лицом, перехватившим данные при их передаче по сети.
Параметру Член домена: цифровая подпись данных безопасного канала, когда это возможно
присвоено значение Включен для обеих сред, обсуждаемых в данном руководстве.
Член домена: отключить изменение пароля учетных записей компьютера
Этот параметр политики определяет, следует ли члену домена периодически изменять пароль учетной
записи своего компьютера. Если этот параметр политики включен, член домена не сможет изменять
пароль учетной записи своего компьютера. Если этот параметр политики отключен, член домена
сможет изменять пароль учетной записи своего компьютера, как указано в параметре Член домена:
максимальный срок действия пароля учетных записей компьютера, значение по умолчанию
которого составляет каждые 30 дней. Компьютеры, которые не могут автоматически менять пароли
своих учетных записей, потенциально уязвимы, поскольку злоумышленник может подобрать пароль
системной учетной записи домена.
Таким образом, параметру Член домена: отключить изменение пароля учетных записей
компьютера присвоено значение Отключен для обеих сред, обсуждаемых в данном руководстве.
Член домена: максимальный срок действия пароля учетных записей компьютера
Этот параметр политики определяет максимально допустимый срок действия пароля учетной записи
компьютера. По умолчанию члены домена автоматически меняют свои доменные пароли каждые 30
дней. При значительном увеличении этого интервала или присвоении ему значения 0, которое не
позволяет компьютерам менять свои пароли, в распоряжении злоумышленника будет больше времени
для атаки одной из учетных записей компьютера методом подбора пароля.
Таким образом, параметру Член домена: максимальный срок действия пароля учетных записей
компьютера присвоено значение 30 дней для обеих сред, обсуждаемых в данном руководстве.
Член домена: требовать стойкий (Windows 2000 или более поздней версии) ключ сеанса
Если этот параметр политики включен, безопасное соединение можно устанавливать только с теми
контроллерами домена, которые позволяют шифровать данные безопасного канала с помощью
стойкого (128-битного) ключа сеанса.
Чтобы включить этот параметр политики, необходимо, чтобы все контроллеры домена в домене были
способны шифровать данные безопасного канала с помощью стойкого ключа, что означает, что на всех
контроллерах домена была установлена операционная система Microsoft Windows 2000 или более
поздняя версия. Если требуется взаимодействие с доменами не на основе Windows 2000, корпорация
Майкрософт рекомендует отключить этот параметр политики.
Параметру Член домена: требовать стойкий (Windows 2000 или более поздней версии) ключ
сеанса присвоено значение Включен для обеих сред, обсуждаемых в данном руководстве.
Интерактивный вход в систему
В следующей таблице сведены рекомендуемые значения параметров безопасности для интерактивного
входа в систему. Дополнительные сведения приведены в подразделах, следующих за таблицей.
Таблица П20. Рекомендации для параметров безопасности — интерактивный вход в систему
Значение
Значение по
умолчанию в
системе
Windows Vista
Объекты
групповой
политики
компьютера в
среде EC VSG
Объекты
групповой
политики
компьютера в
среде SSLF VSG
Интерактивный вход в систему: не
Отключен
Включен
Включен
отображать последнего имени
пользователя
Интерактивный вход в систему: не
Не определен
Отключен
Отключен
Пусто
Рекомендуется
Рекомендуется
Пусто
Рекомендуется
Рекомендуется
10
2
0
10
2
2
14 дней
14 дней
14 дней
Отключен
Включен
Включен
Отключен
Отключен
Отключен
Интерактивный вход в систему:
Никаких
Блокировка
Блокировка
поведение при извлечении смарт-
действий
рабочей станции
рабочей станции
требовать нажатия CTRL+ALT+DEL
Интерактивный вход в систему: текст
сообщения для пользователей при
входе в систему
Интерактивный вход в систему:
заголовок сообщения для
пользователей при входе в систему
Интерактивный вход в систему:
количество предыдущих подключений
к кэшу (в случае отсутствия доступа к
контроллеру домена)
(для настольных компьютеров)
Интерактивный вход в систему:
количество предыдущих подключений
к кэшу (в случае отсутствия доступа к
контроллеру домена)
(для переносных компьютеров)
Интерактивный вход в систему:
напоминать пользователям об
истечении срока действия пароля
заранее
Интерактивный вход в систему:
требовать проверки на контроллере
домена для отмены блокировки
компьютера (для настольных
компьютеров)
Интерактивный вход в систему:
требовать проверки на контроллере
домена для отмены блокировки
компьютера (для переносных
компьютеров)
карты
Интерактивный вход в систему: не отображать последнего имени пользователя
Этот параметр политики определяет, будет ли отображаться имя учетной записи последнего
пользователя для входа в систему на экране входа в систему Windows клиентских компьютеров
организации. Включите этот параметр политики, чтобы воспрепятствовать визуальному сбору данных
об учетных данных с экранов настольных или переносных компьютеров организации
злоумышленниками.
Параметру Интерактивный вход в систему: не отображать последнего имени пользователя
присвоено значение Включен для обеих сред, обсуждаемых в данном руководстве.
Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL
Сочетание клавиш CTRL+ALT+DEL представляет собой надежный способ доступа к операционной
системе при вводе пользователем имени пользователя и пароля. Если этот параметр политики
включен, пользователям не требуется использовать это сочетание клавиш для входа в сеть. Тем не
менее, подобная конфигурация представляет угрозу безопасности, поскольку предоставляет
пользователям возможность входа в систему с ослабленными учетными данными.
Параметру Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL присвоено
значение Отключен для обеих сред, обсуждаемых в данном руководстве.
Интерактивный вход в систему: текст сообщения для пользователей при входе в систему
Этот параметр политики задает текстовое сообщение, отображаемое при входе пользователя в систему.
Этот текст часто используется в целях соблюдения законодательных норм — например, для
предупреждения пользователей о последствиях неправильного использования данных компании или
для предупреждения о том, что действия пользователя могут быть подвержены аудиту.
Примечание.
Любое отображаемое предупреждение должно быть сначала утверждено
представителями юридического отдела или отдела кадров организации. Кроме того, параметры
Интерактивный вход в систему: текст сообщения для пользователей при входе в систему и
Интерактивный вход в систему: заголовок сообщения для пользователей при входе в
систему должны быть одновременно включены для правильного функционирования.
Интерактивный вход в систему: заголовок сообщения для пользователей при входе в
систему
Этот параметр политики позволяет указать текст в заголовке окна, которое пользователи видят при
входе в систему. Причины использования этого параметра политики такие же, как и для предыдущего
параметра. Организации, не использующие этот параметр политики, более уязвимы юридически для
злоумышленников, атакующих систему.
Примечание.
Любое отображаемое предупреждение должно быть сначала утверждено
представителями юридического отдела или отдела кадров организации. Кроме того, параметры
Интерактивный вход в систему: текст сообщения для пользователей при входе в систему и
Интерактивный вход в систему: заголовок сообщения для пользователей при входе в
систему должны быть одновременно включены для правильного функционирования.
Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае
отсутствия доступа к контроллеру домена)
Этот параметр политики определяет, разрешено ли пользователю входить в домен Windows, используя
кэшированные данные об учетной записи. Данные о входе в систему можно локально кэшировать,
чтобы позволить пользователям входить в систему даже в том случае, когда не удается соединиться с
контроллером домена. Этот параметр политики определяет количество уникальных пользователей, для
которых данные о входе в систему локально кэшируются. Значение по умолчанию для этого параметра
политики составляет 10. Если это значение установить равным 0, возможность кэширования данных
для входа в систему будет отключена. Злоумышленник, имеющий возможность получить доступ к
файловой системе сервера, сможет найти эти кэшированные данные и осуществить атаку методом
прямого перебора для определения паролей пользователей.
Параметру Интерактивный вход в систему: количество предыдущих подключений к кэшу (в
случае отсутствия доступа к контроллеру домена) присвоено значение 2 для настольных и
переносных компьютеров в среде EC и для переносных компьютеров в среде SSLF. Тем не менее, этому
параметру политики присвоено значение 0 для настольных компьютеров в среде SSLF, поскольку
такие компьютеры всегда должны быть безопасным образом подключены к сети организации.
Интерактивный вход в систему: напоминать пользователям об истечении срока действия
пароля заранее
Этот параметр политики определяет, когда пользователям выдается предупреждение о том, что их
пароль устареет. Корпорация Майкрософт рекомендует присвоить этому параметру политики значение,
равно 14 дням, что достаточно для того, чтобы предупредить пользователей о том, что их пароль
устареет.
Параметру Интерактивный вход в систему: напоминать пользователям об истечении срока
действия пароля заранее присвоено значение 14 дней для обеих сред, обсуждаемых в данном
руководстве.
Интерактивный вход в систему: требовать проверки на контроллере домена для отмены
блокировки компьютера
Если этот параметр политики включен, контроллер домена должен проверить подлинность учетной
записи домена, используемой для отмены блокировки компьютера. Если этот параметр политики
отключен, для отмены блокировки компьютера можно использовать кэшированные учетные данные.
Корпорация Майкрософт рекомендует отключить этот параметр политики для пользователей
переносных компьютеров в обеих средах, поскольку мобильные пользователи не имеют доступа по
сети к контроллерам домена.
Параметру Интерактивный вход в систему: требовать проверки на контроллере домена для
отмены блокировки компьютера присвоено значение Включен для настольных компьютеров в
обеих средах EC и SSLF. Тем не менее, этому параметру политики присвоено значение Отключен для
переносных компьютеров в обеих средах, что позволяет пользователям таких компьютеров работать за
пределами офиса.
Интерактивный вход в систему: поведение при извлечении смарт-карты
Этот параметр политики определяет, что происходит при извлечении из устройства для чтения смарткарт смарт-карты вошедшего в систему пользователя. Если этому параметру политики присвоено
значение Блокировка рабочей станции, при удалении смарт-карты рабочая станция будет
заблокирована, что позволяет пользователям покинуть свое рабочее место, взяв с собой смарт-карту и
автоматически заблокировав рабочую станцию. Если этому параметру политики присвоено значение
Принудительный выход из системы, при извлечении смарт-карты будет автоматически произведен
выход пользователя из системы.
Параметру Интерактивный вход в систему: поведение при извлечении смарт-карты присвоено
значение Блокировка рабочей станции для обеих сред, обсуждаемых в данном руководстве.
Клиент сети Microsoft
В следующей таблице сведены рекомендуемые значения параметров безопасности для клиентских
компьютеров сети Microsoft. Дополнительные сведения приведены в подразделах, следующих за
таблицей.
Таблица П21. Рекомендации для параметров безопасности — клиенты сети Microsoft
Значение
Значение по
умолчанию в
системе
Windows Vista
Объекты
групповой
политики
компьютера в
среде EC VSG
Объекты
групповой
политики
компьютера в
среде SSLF VSG
Клиент сети Microsoft:
Отключен
Включен
Включен
Включен
Включен
Включен
Отключен
Отключен
Отключен
использовать цифровую подпись
(всегда)
Клиент сети Microsoft:
использовать цифровую подпись (с
согласия сервера)
Клиент сети Microsoft: посылать
незашифрованный пароль
сторонним SMB-серверам
Клиент сети Microsoft: использовать цифровую подпись (всегда)
Этот параметр политики определяет, требуется ли для клиентского компонента SMB цифровая подпись
пакетов. Если этот параметр политики включен, клиентский компьютер сети Microsoft не сможет
взаимодействовать с сервером сети Microsoft, пока сервер не начнет подписывать пакеты SMB. В
смешанных средах с устаревшими клиентскими компьютерами необходимо присвоить этому параметру
значение Отключен, поскольку эти компьютеры не смогут выполнить проверку подлинности или
получить доступ к контроллерам домена. Тем не менее, этот параметр политики можно использовать в
средах на основе Windows 2000 или более поздней версии.
Параметру Клиент сети Microsoft: использовать цифровую подпись (всегда) присвоено значение
Включен для компьютеров обеих сред, обсуждаемых в данном руководстве.
Примечание.
Если этот параметр политики включен на компьютерах с операционной системой
Windows Vista, и эти компьютеры подключаются общим файлам или принтерам на удаленных серверах,
важно, чтобы этот параметр был синхронизирован со своим дополнительным параметром, Сервер сети
Microsoft: использовать цифровую подпись (всегда), на этих серверах. Дополнительные
сведения об этих параметрах см. в разделе "Клиент и сервер сети: использование цифровой подписи
(четыре параметра)" главы 5 руководства Угрозы и меры противодействия.
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)
Этот параметр политики определяет, следует ли клиенту SMB предпринять попытку подписывать
пакеты SMB. Реализация цифровой подписи в сетях на основе Windows помогает защититься от
перехвата сеансов. Если этот параметр политики включен, клиент сети Microsoft будет использовать
цифровую подпись только в том случае, если сервер, с которым взаимодействует этот клиент,
принимает взаимодействия с цифровой подписью.
Параметру Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)
присвоено значение Включен для обеих сред, обсуждаемых в данном руководстве.
Примечание.
Включите этот параметр политики для клиентов SMB в своей сети для наиболее
эффективного использования ими цифровой подписи пакетов при взаимодействии со всеми клиентами
и серверами в данной среде.
Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам
Отключите этот параметр политики, чтобы запретить отправку перенаправителем SMB в процессе
проверки подлинности открытых паролей сторонним SMB-серверам, которые не поддерживают
шифрование паролей. Корпорация Майкрософт рекомендует отключить этот параметр политики, если
только это не является бизнес-необходимостью. Если этот параметр политики включен, будет
разрешена отправка незашифрованных паролей по сети.
Параметру Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMBсерверам присвоено значение Отключен для обеих сред, обсуждаемых в данном руководстве.
Сервер сети Microsoft
В следующей таблице сведены рекомендуемые значения параметров безопасности для серверов сети
Microsoft. Дополнительные сведения приведены в подразделах, следующих за таблицей.
Таблица П22. Рекомендации для параметров безопасности — серверы сети Microsoft
Значение
Значение по
умолчанию в
системе
Windows Vista
Объекты
групповой
политики
компьютера в
среде EC VSG
Объекты
групповой
политики
компьютера в
среде SSLF VSG
Сервер сети Microsoft:
15 минут
15 минут
15 минут
Отключен
Включен
Включен
Отключен
Включен
Включен
длительность простоя перед
отключением сеанса
Сервер сети Microsoft:
использовать цифровую подпись
(всегда)
Сервер сети Microsoft:
использовать цифровую подпись (с
согласия клиента)
Сервер сети Microsoft: отключать
Включен
Включен
Включен
клиентов по истечении
разрешенных часов входа
Сервер сети Microsoft: длительность простоя перед отключением сеанса
Этот параметр политики позволяет указать количество времени непрерывного простоя, которое должно
пройти в сеансе SMB, перед тем как сеанс будет отключен из-за бездействия. Администраторы могут
использовать этот параметр политики для контроля отключения компьютером неактивного сеанса SMB.
Если активность клиента возобновляется, сеанс автоматически восстанавливается.
Параметру Сервер сети Microsoft: длительность простоя перед отключением сеанса присвоено
значение 15 минут в обеих средах, обсуждаемых в данном руководстве.
Сервер сети Microsoft: использовать цифровую подпись (всегда)
Этот параметр политики определяет, требуется ли службе SMB на стороне сервера выполнять
подписывание пакетов SMB. Включите этот параметр политики в смешанной среде, чтобы запретить
подчиненным клиентам использовать рабочую станцию в качестве сервера сети.
Параметру Сервер сети Microsoft: использовать цифровую подпись (всегда) присвоено значение
Включен для компьютеров обеих сред, обсуждаемых в данном руководстве.
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)
Этот параметр политики определяет, может ли служба SMB на стороне сервера подписывать пакеты
SMB, если это требуется клиенту, который пытается установить соединение. Если от клиента не
поступает запрос на использование цифровой подписи, соединение будет разрешено установить без
использования цифровой подписи, если параметр Сервер сети Microsoft: использовать цифровую
подпись (всегда) отключен.
Параметру Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)
присвоено значение Включен для обеих сред, обсуждаемых в данном руководстве.
Примечание.
Включите этот параметр политики для клиентов SMB в своей сети для наиболее
эффективного использования ими цифровой подписи пакетов при взаимодействии со всеми клиентами
и серверами в данной среде.
Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа
Этот параметр политики определяет, следует ли отключать пользователей, подключившихся к
локальному компьютеру вне разрешенных часов для входа в систему. Этот параметр влияет на
компонент SMB. Если этот параметр политики включен, клиентские сеансы со службой SMB будут
принудительно прерваны по истечении разрешенных часов для входа клиента в систему. Если этот
параметр политики отключен, установленные клиентские сеансы будут поддерживаться и по истечении
разрешенных часов для входа клиента в систему. Если этот параметр политики включен, необходимо
также включить параметр Сетевая безопасность: принудительный вывод из сеанса по
истечении допустимых часов работы.
Если в организации установлены часы входа в систему для пользователей, имеет смысл включить этот
параметр политики.
Параметру Клиент сети Microsoft: отключать клиентов по истечении разрешенных часов входа
присвоено значение Включен для обеих сред, обсуждаемых в данном руководстве.
Параметры MSS
Следующие параметры включают записи реестра, которые не отображаются по умолчанию в редакторе
конфигураций безопасности (SCE). Эти параметры, начинающиеся с MSS:, были разработаны в рамках
решений корпорации Майкрософт для группы безопасности для предыдущего руководства по
безопасности. Сценарий GPOAccelerator.wsf, обсуждаемый в главе 1 "Реализация основы
безопасности", изменяет редактор конфигураций безопасности таким образом, чтобы он правильно
отображал параметры MSS.
В следующей таблице сведены значения параметров MSS, рекомендованные для обеих сред,
обсуждаемых в данном руководстве. Дополнительные сведения о каждом параметре приведены после
таблицы.
Таблица П23. Рекомендации для параметров безопасности — параметры MSS
Значение
Объекты
групповой
политики
компьютера в
среде EC VSG
Объекты
групповой
политики
компьютера в
среде SSLF VSG
MSS: (AutoAdminLogon) включить автоматический вход в
Не определен
Отключен
Не определен
Самый высокий
систему
(не рекомендуется)
MSS: (DisableIPSourceRouting) уровень защиты
маршрутизации IP-источника (защищает от подмены
уровень защиты,
пакетов)
маршрутизация
источников
полностью
отключена.
MSS: (EnableDeadGWDetect) разрешить автоматическое
Не определен
Отключен
Не определен
Отключен
Не определен
Включен
Не определен
300000, или 5
обнаружение нерабочих сетевых шлюзов (может
привести к отказу в обслуживании)
MSS: (EnableICMPRedirect) разрешить переадресацию
ICMP для переопределения созданных маршрутов OSPF
MSS: (Скрыто) скрыть компьютер из списка обзора (не
рекомендуется, за исключением случая сред с высоким
уровнем безопасности)
MSS: (KeepAliveTime) интервал отправки пакетов для
поддержания активности соединения (в миллисекундах)
минут
(рекомендуется)
MSS: (NoDefaultExempt) настроить исключения IPSec для
Исключениями
Исключениями
различных типов сетевого трафика
являются
являются
многоадресная
многоадресная
рассылка,
рассылка,
широковещательная широковещательная
рассылка и ISAKMP
рассылка и ISAKMP
(лучше всего
(лучше всего
подходит для
подходит для
Windows XP)
Windows XP)
MSS: (NoDriveTypeAutoRun) отключить автозапуск для
255, отключить
255, отключить
всех дисков (рекомендуется)
автозапуск для всех
автозапуск для всех
дисков
дисков
Не определен
Включен
Не определен
Включен
MSS: (NoNameReleaseOnDemand) разрешить компьютеру
пропускать запросы на освобождение имени NetBIOS за
исключением запросов от WINS-серверов
MSS: (NtfsDisable8dot3NameCreation) разрешить
компьютеру не создавать имена файлов в формате 8.3
(рекомендуется)
MSS: (PerformRouterDiscovery) разрешить IRDP
Не определен
Отключен
Включен
Включен
0
0
Не определен
Время ожидания
обнаруживать и настраивать адреса шлюзов по
умолчанию (может привести к отказу в обслуживании)
MSS: (SafeDllSearchMode) включить безопасный режим
поиска DLL (рекомендуется)
MSS: (ScreenSaverGracePeriod) время в секундах до
истечения периода отсрочки для экранной заставки
(0 рекомендуется)
MSS: (SynAttackProtect) уровень защиты от SYN-атак
(защищает от отказа в обслуживании)
подключения
истекает быстрее
после обнаружения
SYN-атаки
MSS: (TCPMaxConnectResponseRetransmissions)
Не определен
3 и 6 секунд,
количество повторных передач SYN-ACK в случае, если
полуоткрытые
запрос на подключение не подтвержден
соединения
сбрасываются через
21 секунду
MSS: (TCPMaxDataRetransmissions) количество
Не определен
3
Не определен
90
повторных передач неподтвержденных данных
(3 рекомендуется, 5 по умолчанию)
MSS: (WarningLevel) пороговое значение (в процентах)
для журнала событий безопасности, при котором система
выдаст предупреждение
MSS: (AutoAdminLogon) включить автоматический вход в систему
В раздел реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\ в файл шаблона добавлена запись значения реестра
AutoAdminLogon. В редакторе конфигураций безопасности эта запись выглядит следующим образом:
MSS: (AutoAdminLogon) включить автоматический вход в систему (не рекомендуется).
Этот параметр не зависит от экрана приветствия в Windows XP и Windows Vista; если эта возможность
отключена, параметр не отключается. Если на компьютере настроен автоматический вход в систему,
любое лицо, имеющее физический доступ к компьютеру, также сможет получить доступ ко всем
хранящимся на компьютере данным, а также доступ к одной или нескольким сетям, к которым
подключен компьютер. Кроме того, при включенном автоматическом входе в систему пароль хранится
в реестре в открытом виде, а конкретный раздел реестра, в котором хранится пароль, доступен для
чтения с удаленных компьютеров членам группы "Прошедшие проверку". По этим причинам данному
параметру присвоено значение Не определен для среды EC, а для среды SSLF параметру
принудительно явным образом присвоено значение Отключен.
Дополнительные сведения см. в статье 315231 базы знаний Майкрософт Автоматизация входа в
систему на компьютере под управлением Windows XP.
MSS: (DisableIPSourceRouting) уровень защиты маршрутизации IP-источника
В раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ в файл шаблона
добавлена запись значения реестра DisableIPSourceRouting. В редакторе конфигураций
безопасности эта запись выглядит следующим образом: MSS: (DisableIPSourceRouting) уровень
защиты маршрутизации IP-источника (защищает от подмены пакетов).
Маршрутизация IP-источника — это механизм, позволяющий отправителю определить маршрут IP,
который датаграмме необходимо пройти по сети. Этому параметру присвоено значение Не определен
для среды EC и Самый высокий уровень защиты, маршрутизация источников полностью
отключена для среды SSLF.
MSS: (EnableDeadGWDetect) разрешить автоматическое обнаружение нерабочих сетевых
шлюзов
В раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ в файл шаблона
добавлена запись значения реестра EnableDeadGWDetect. В редакторе конфигураций безопасности
эта запись выглядит следующим образом: MSS: (EnableDeadGWDetect) разрешить
автоматическое обнаружение нерабочих сетевых шлюзов (может привести к отказу в
обслуживании).
Если обнаружение нерабочих шлюзов включено, IP-адрес шлюза может быть заменен на IP-адрес
резервного шлюза, если возникают проблемы с большим количеством подключений. Этому параметру
присвоено значение Не определен для среды EC и Отключен для среды SSLF.
MSS: (EnableICMPRedirect) разрешить переадресацию ICMP для переопределения созданных
маршрутов OSPF
В раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ в файл шаблона
добавлена запись значения реестра EnableICMPRedirect. В редакторе конфигураций безопасности
эта запись выглядит следующим образом: MSS: (EnableICMPRedirect) разрешить переадресацию
ICMP для переопределения созданных маршрутов OSPF.
Протокол ICMP (Internet Control Message Protocol) выполняет переадресацию, чтобы заставить стек
подключить узловые маршруты. Эти маршруты переопределяют маршруты, созданные по протоколу
OSPF (Open Shortest Path First). Этому параметру присвоено значение Не определен для среды EC и
Отключен для среды SSLF.
MSS: (Скрыто) скрыть компьютер из списка обзора
В раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ в файл шаблона
добавлена запись значения реестра Hidden. В редакторе конфигураций безопасности эта запись
выглядит следующим образом: MSS: (Скрыто) скрыть компьютер из списка обзора (не
рекомендуется, за исключением случая сред с высоким уровнем безопасности).
Компьютер можно настроить таким образом, чтобы он не отправлял извещения обозревателям домена.
При это компьютер не будет отображаться в списке обзора, что означает, что компьютер не будет
виден другим компьютерам в той же сети. Злоумышленнику, знающему имя компьютера, проще
собрать дополнительные сведения о системе. Этот параметр можно включить, чтобы устранить один из
способов, с помощью которых злоумышленник может собирать данные о компьютерах в сети. Кроме
того, включение этого параметра может сократить сетевой трафик. Тем не менее, преимущества от
использования этого параметра для безопасности незначительны, поскольку злоумышленники могут
использовать альтернативные методы для идентификации и поиска возможных целей. По этой причине
корпорация Майкрософт рекомендует включать этот параметр только в средах SSLF.
Этому параметру присвоено значение Не определен для среды EC и Включен для среды SSLF.
Дополнительные сведения см. в статье 321710 базы знаний Майкрософт РЕКОМЕНДАЦИИ: Сокрытие
компьютера с операционной системой Windows 2000 из списка обзора (на английском языке).
MSS: (KeepAliveTime) интервал отправки пакетов для поддержания активности соединения
(в миллисекундах)
В раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ в файл шаблона
добавлена запись значения реестра KeepAliveTime. В редакторе конфигураций безопасности эта
запись выглядит следующим образом: MSS: (KeepAliveTime) интервал отправки пакетов для
поддержания активности соединения (в миллисекундах) (300000 рекомендуется).
Это значение контролирует частоту проверок протоколом TCP работоспособности неактивного
соединения путем отправки пакета проверки активности. Если удаленный компьютер всё еще
доступен, он высылает подтверждение пакета проверки активности. Этому параметру присвоено
значение Не определен для среды EC и 300000, или 5 минут для среды SSLF.
MSS: (NoDefaultExempt) настроить исключения IPSec для различных типов сетевого трафика
В раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\ в файл
шаблона добавлена запись значения реестра NoDefaultExempt. В редакторе конфигураций
безопасности эта запись выглядит следующим образом: MSS: (NoDefaultExempt) настроить
исключения IPSec для различных типов сетевого трафика.
Исключения по умолчанию для фильтров политики IPsec документированы в интерактивной справке
для конкретной операционной системы. Эти фильтры позволяют функционировать протоколам IKE
(Internet Key Exchange) и Kerberos. Эти фильтры также позволяют сигнализировать о качестве
обслуживания (RSVP), когда безопасность трафика обеспечивается IPsec, и о трафике, безопасность
которого не может обеспечиваться IPsec, таком как трафик многоадресной и широковещательной
рассылок.
IPsec всё чаще используют для основной фильтрации пакетов между узлом и брандмауэром, в
частности в сценариях, включающих взаимодействие с Интернетом, не полностью изучив влияние этих
исключений по умолчанию. Таким образом, некоторые администраторы IPsec могут создавать политики
IPsec, которые, как они думают, безопасны, но фактически они небезопасны против атак,
использующих исключения по умолчанию. Корпорация Майкрософт рекомендует принудительно
установить в Windows XP с пакетом обновления 2 (SP2) исключения по умолчанию для
многоадресной рассылки, широковещательной рассылки и ISAKMP для обеих сред,
обсуждаемых в данном руководстве.
Дополнительные сведения см. в статье 811832 базы знаний Майкрософт Исключения IPSec по
умолчанию можно в некоторых случаях использовать для обхода защиты IPsec (на английском языке).
MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех дисков
Запись значения реестра NoDriveTypeAutoRun добавлена в раздел реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Policies\Explorer\ в файл шаблона. В редакторе конфигураций безопасности эта запись выглядит
следующим образом: MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех дисков
(рекомендуется).
При автозапуске чтение данных с диска на компьютере начинается сразу же после вставки носителя. В
результате может немедленно начаться установка программ или воспроизведение звука с
аудионосителей. Этому параметру присвоено значение 255, отключить автозапуск для всех дисков
для обеих сред, обсуждаемых в данном руководстве.
MSS: (NoNameReleaseOnDemand) разрешить компьютеру пропускать запросы на
освобождение имени NetBIOS за исключением запросов от WINS-серверов
Запись значения реестра NoNameReleaseOnDemand добавлена в раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\
Parameters\ в файл шаблона. В редакторе конфигураций безопасности эта запись выглядит
следующим образом: MSS: (NoNameReleaseOnDemand) разрешить компьютеру пропускать
запросы на освобождение имени NetBIOS за исключением запросов от WINS-серверов.
NetBIOS поверх TCP/IP — это сетевой протокол, который, помимо других возможностей, позволяет
простым образом разрешать имена NetBIOS, зарегистрированные на компьютерах с операционной
системой Windows, в IP-адреса, заданные на этих компьютерах. Этот параметр определяет,
освобождает ли компьютер имя NetBIOS при получении запроса на освобождение имени. Этому
параметру присвоено значение Не определен для среды EC и Включен для среды SSLF.
MSS: (NtfsDisable8dot3NameCreation) разрешить компьютеру не создавать имена файлов в
формате 8.3 (рекомендуется)
В раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\FileSystem\ в
файл шаблона добавлена запись значения реестра NtfsDisable8dot3NameCreation. В редакторе
конфигураций безопасности эта запись выглядит следующим образом: MSS:
(NtfsDisable8dot3NameCreation) разрешить компьютеру не создавать имена файлов в
формате 8.3 (рекомендуется).
Windows Server 2003 поддерживает формат имени файла 8.3 для обратной совместимости с 16разрядными приложениями. Соглашение об именах файлов вида 8.3 — это формат именования,
который позволяет использовать имена фалов до восьми знаков в длину. Этому параметру присвоено
значение Не определен для среды EC и Включен для среды SSLF.
MSS: (PerformRouterDiscovery) разрешить IRDP обнаруживать и настраивать адреса шлюзов
по умолчанию
В раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ в файл шаблона
добавлена запись значения реестра PerformRouterDiscovery. В редакторе конфигураций
безопасности эта запись выглядит следующим образом: MSS: (PerformRouterDiscovery) разрешить
IRDP обнаруживать и настраивать адреса шлюзов по умолчанию (может привести к отказу в
обслуживании).
Этот параметр используется для включения или отключения протокола IRDP (Internet Router Discovery
Protocol), который позволяет системе автоматически обнаруживать и настраивать адреса шлюзов по
умолчанию на основе интерфейсов, как описано в документе RFC 1256. Этому параметру присвоено
значение Не определен для среды EC и Отключен для среды SSLF.
MSS: (SafeDllSearchMode) включить безопасный режим поиска DLL
В раздел реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\
в файл шаблона добавлена запись значения реестра SafeDllSearchMode. В редакторе конфигураций
безопасности эта запись выглядит следующим образом: MSS: (SafeDllSearchMode) включить
безопасный режим поиска DLL (рекомендуется).
Порядок поиска DLL, необходимых запущенным процессам, можно задать одним из двух способов:
•
Сначала производится поиск по системному пути, затем — в текущей рабочей папке.
•
Сначала производится поиск в текущей рабочей папке, затем — по системному пути.
Если этот параметр включен, значение реестра равно 1. При значении, равном 1 система сначала
выполняет поиск в папках, указанных в системном пути, а затем — в текущей рабочей папке. Если этот
параметр включен, значение реестра равно 0, а система сначала выполняет поиск в текущей рабочей
папке, а затем — в папках, указанных в системном пути. Этому параметру присвоено значение
Включен для обеих сред, обсуждаемых в данном руководстве.
MSS: (ScreenSaverGracePeriod) время в секундах до истечения периода отсрочки для
экранной заставки
Запись значения реестра ScreenSaverGracePeriod добавлена в раздел реестра
HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\ в файл шаблона. В редакторе конфигураций безопасности
эта запись выглядит следующим образом: MSS: (ScreenSaverGracePeriod) время в секундах до
истечения периода отсрочки для экранной заставки (рекомендуется 0).
Windows включает период отсрочки между запуском экранной заставки и фактической автоматической
блокировкой консоли, если включена блокировка при запуске экранной заставки. Этому параметру
присвоено значение 0 секунд для обеих сред, обсуждаемых в данном руководстве.
MSS: (SynAttackProtect) уровень защиты от SYN-атак
В раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ в файл шаблона
добавлена запись значения реестра SynAttackProtect. В редакторе конфигураций безопасности эта
запись выглядит следующим образом: MSS: (SynAttackProtect) уровень защиты от SYN-атак
(защищает от отказа в обслуживании).
Этот параметр приводит к повторной передаче протоколом TCP SYN-ACK. При задании этого значения
время ожидания отклика подключения истекает быстрее при обнаружении атаки методом запроса на
подключение (SYN). Этому параметру присвоено значение Не определен для среды EC и Время
ожидания подключения истекает быстрее после обнаружения SYN-атаки для среды SSLF.
MSS: (TCPMaxConnectResponseRetransmissions) количество повторных передач SYN-ACK в
случае, если запрос на подключение не подтвержден
Запись значения реестра TCPMaxConnectResponseRetransmissions добавлена в раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\Tcpip\Parameters\ в файл шаблона. В редакторе конфигураций безопасности эта запись
выглядит следующим образом: MSS: (TcpMaxConnectResponseRetransmissions) количество
повторных передач SYN-ACK в случае, если запрос на подключение не подтвержден.
Этот параметр задает количество попыток повторной передачи протоколом TCP SYN до разрыва
соединения. Время ожидания повторной передачи удваивается после каждой последующей повторной
передачи в данной попытке подключения. Изначально время ожидания составляет три секунды. Этому
параметру присвоено значение Не определен для среды EC и 3 и 6 секунд, полуоткрытые
соединения сбрасываются через 21 секунду для среды SSLF.
MSS: (TCPMaxDataRetransmissions) количество повторных передач неподтвержденных
данных
Запись значения реестра TCPMaxDataRetransmissions добавлена в раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip
\Parameters\ в файл шаблона. В редакторе конфигураций безопасности эта запись выглядит
следующим образом: MSS: (TCPMaxDataRetransmissions) количество повторных передач
неподтвержденных данных (3 рекомендуется, 5 по умолчанию).
Этот параметр контролирует количество попыток повторной передачи протоколом TCP отдельного
сегмента данных (сегмента, не связанного с подключением) до разрыва соединения. Время ожидания
повторной передачи удваивается после каждой последующей повторной передачи для соединения. Он
сбрасывается при возобновлении откликов. Базовое значение времени ожидания определяется
динамически по измеренному времени приема-передачи для соединения. Этому параметру присвоено
значение Не определен для среды EC и 300000, или 5 минут для среды SSLF.
MSS: (WarningLevel) пороговое значение (в процентах) для журнала событий безопасности,
при котором система выдаст предупреждение
В раздел реестра HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\Eventlog\Security\ в файл шаблона добавлена запись
значения реестра WarningLevel. В редакторе конфигураций безопасности эта запись выглядит
следующим образом: MSS: (WarningLevel) пороговое значение (в процентах) для журнала
событий безопасности, при котором система выдаст предупреждение.
Этот параметр может привести к созданию записей аудита безопасности в журнале событий
безопасности по достижении журналом размера, установленного пользователем. Этому параметру
присвоено значение Не определен для среды EC и 90 для среды SSLF.
Примечание.
Если журнал настроен на Затирать старые события по необходимости или
Затирать события старее x дней, это событие создано не будет.
Доступ к сети
В следующей таблице сведены рекомендуемые значения параметров безопасности для доступа к сети.
Дополнительные сведения приведены в подразделах, следующих за таблицей.
Таблица П24. Рекомендации для параметров безопасности — доступ к сети
Значение
Значение по умолчанию
в системе Windows Vista
Объекты
групповой
политики
компьютера в
среде EC VSG
Объекты групповой
политики компьютера в
среде SSLF VSG
Доступ к сети:
Отключен
Отключен
Отключен
Включен
Включен
Включен
Отключен
Включен
Включен
Отключен
Включен
Включен
Отключен
Отключен
Отключен
Доступ к сети:
netlogon, lsarpc, samr,
Не определен
netlogon, lsarpc, samr,
разрешать
обозреватель
разрешить
трансляцию
анонимного SID в
имя
Доступ к сети: не
разрешать
перечисление
учетных записей
SAM анонимными
пользователями
Доступ к сети: не
разрешать
перечисление
учетных записей
SAM и общих
ресурсов
анонимными
пользователями
Доступ к сети: не
разрешать
сохранение учетных
данных или
цифровых паспортов
.NET для сетевой
проверки
подлинности
пользователя
Доступ к сети:
разрешать
применение
разрешений для
всех к анонимным
пользователям
обозреватель
анонимный доступ к
именованным
каналам
Доступ к сети: пути
System\CurrentControlSet\
Не определен
System\CurrentControlSet\
в реестре,
Control\ProductOptions
Control\ProductOptions
доступные через
System\CurrentControlSet\
System\CurrentControlSet\
удаленное
Control\Server Applications
Control\Server Applications
подключение
Software\Microsoft\Windows
Software\Microsoft\Windows
NT\CurrentVersion
NT\CurrentVersion
§ Доступ к сети:
System\CurrentControlSet\
пути и вложенные
Control\Print\Printers
Control\Print\Printers
пути в реестре,
System\CurrentControlSet\
System\CurrentControlSet\
доступные через
Services\Eventlog
Services\Eventlog
удаленное
Software\Microsoft\OLAP
Software\Microsoft\OLAP
подключение
Server
Server
Software\Microsoft\Windows
Software\Microsoft\Windows
NT\CurrentVersion\Print
NT\CurrentVersion\Print
Software\Microsoft\Windows
Software\Microsoft\Windows
NT\CurrentVersion\Windows
NT\CurrentVersion\Windows
System\CurrentControlSet\
System\CurrentControlSet\
ContentIndex
ContentIndex
System\CurrentControlSet\
System\CurrentControlSet\
Control\Terminal Server
Control\Terminal Server
System\CurrentControlSet\
System\CurrentControlSet\
Control\Terminal
Control\Terminal
Server\User Config
Server\User Config
System\CurrentControlSet\
System\CurrentControlSet\
Control\Terminal
Control\Terminal
Server\Default User Config
Server\Default User Config
Software\Microsoft\Windows
Software\Microsoft\Windows
NT\CurrentVersion\perflib
NT\CurrentVersion\perflib
System\CurrentControlSet\
System\CurrentControlSet\
Services\SysmonLog
Services\SysmonLog
Доступ к сети:
Не определен
System\CurrentControlSet\
Включен
Не определен
Включен
Отсутствует
Не определен
Отсутствует
Доступ к сети:
Обычная — локальные
Обычная —
Обычная — локальные
модель совместного
пользователи
локальные
пользователи
доступа и
удостоверяются как они
пользователи
удостоверяются как они
безопасности для
сами
удостоверяются как
сами
запретить
анонимный доступ к
именованным
каналам и общим
ресурсам
Доступ к сети:
разрешать
анонимный доступ к
общим ресурсам
локальных учетных
они сами
записей
§ — Означает, что параметр групповой политики появился только в Windows Vista.
Доступ к сети: разрешить трансляцию анонимного SID в имя
Этот параметр политики определяет, разрешено ли анонимному пользователю запрашивать атрибуты
идентификатора безопасности (SID) для другого пользователя или использовать ИД безопасности для
получения соответствующего ему имени пользователя. Отключите этот параметр политики, чтобы
запретить не прошедшим проверку подлинности пользователям получать имена пользователей,
связанные с соответствующими ИД безопасности.
Параметру Доступ к сети: разрешить трансляцию анонимного SID в имя присвоено значение
Отключен для обеих сред, обсуждаемых в данном руководстве.
Доступ к сети: не разрешать перечисление учетных записей SAM анонимными
пользователями
Этот параметр политики контролирует возможность перечисления анонимными пользователями
учетных записей SAM. Если этот параметр политики включен, пользователи с анонимными
подключениями не смогут перечислять имена пользователей учетной записи домена на рабочих
станциях в данной среде. Этот параметр политики также позволяет накладывать дополнительные
ограничения на анонимные подключения.
Параметру Доступ к сети: не разрешать перечисление учетных записей SAM анонимными
пользователями присвоено значение Включен для обеих сред, описанных в данном руководстве.
Доступ к сети: не разрешать перечисление учетных записей SAM и общих ресурсов
анонимными пользователями
Этот параметр политики контролирует возможность перечисления анонимными пользователями
учетных записей SAM, а также общих ресурсов. Если этот параметр политики включен, анонимные
пользователи не смогут перечислять имена пользователей учетной записи домена и имена общих
сетевых ресурсов на рабочих станциях в данной среде.
Параметру Доступ к сети: не разрешать перечисление учетных записей SAM и общих ресурсов
анонимными пользователями присвоено значение Включен для обеих сред, описанных в данном
руководстве.
Доступ к сети: не разрешать сохранение учетных данных или цифровых паспортов .NET для
сетевой проверки подлинности пользователя
Этот параметр политики контролирует хранилище учетных данных для проверки подлинности и пароли
на локальной системе.
Параметру Доступ к сети: не разрешать сохранение учетных данных или цифровых паспортов
.NET для сетевой проверки подлинности пользователя присвоено значение Включен для обеих
сред, описанных в данном руководстве.
Доступ к сети: разрешать применение разрешений для всех к анонимным пользователям
Этот параметр политики определяет, какие дополнительные разрешения будут предоставлены
анонимным подключениям к компьютеру. Если этот параметр политики включен, анонимным
пользователям Windows будет разрешено выполнять определенные действия, например, перечислять
имена учетных записей домена и общих сетевых ресурсов. Злоумышленник может анонимно получить
список имен учетных записей и общих ресурсов, а затем использовать эти данные для подбора
паролей или осуществления атак методами социотехники.
Поэтому параметру Доступ к сети: разрешать применение разрешений для всех к анонимным
пользователям присвоено значение Отключен для обеих сред, описанных в данном руководстве.
Доступ к сети: разрешать анонимный доступ к именованным каналам
Этот параметр политики определяет, какие сеансы связи или каналы будут иметь атрибуты и
разрешения на анонимный доступ.
Для среды EC параметру Доступ к сети: разрешать анонимный доступ к именованным каналам
присвоено значение Не определен. Однако для среды SSLF принудительно установлены следующие
значения по умолчанию:
•
Netlogon
•
Isarpc
•
Samr
•
Обозреватель
Доступ к сети: пути в реестре, доступные через удаленное подключение
Этот параметр политики определяет, какие пути в реестре будут доступны после обращения к разделу
реестра WinReg для определения разрешений на доступ к путям реестра.
Для среды EC параметру Доступ к сети: пути в реестре, доступные через удаленное
подключение присвоено значение Не определен. Однако для среды SSLF принудительно
установлены следующие значения по умолчанию:
•
System\CurrentControlSet\Control\ProductOptions
•
System\CurrentControlSet\Control\Server Applications
•
Software\Microsoft\Windows NT\CurrentVersion
Доступ к сети: пути и вложенные пути в реестре, доступные через удаленное подключение
Этот параметр политики определяет, какие пути и вложенные пути в реестре будут доступны при
обращении приложения или процесса к разделу реестра WinReg для определения разрешений на
доступ.
Параметру Доступ к сети: пути и вложенные пути в реестре, доступные через удаленное
подключение присвоено значение Не определен для среды EC. Для среды SSLF данный параметр
имеет следующие значения:
•
System\CurrentControlSet\Control\Print\Printers
•
System\CurrentControlSet\Services\Eventlog
•
Software\Microsoft\OLAP Server
•
Software\Microsoft\Windows NT\CurrentVersion\Print
•
Software\Microsoft\Windows NT\CurrentVersion\Windows
•
System\CurrentControlSet\ContentIndex
•
System\CurrentControlSet\Control\Terminal Server
•
System\CurrentControlSet\Control\Terminal Server\User Config
•
System\CurrentControlSet\Control\Terminal Server\Default User Config
•
Software\Microsoft\Windows NT\CurrentVersion\perflib
•
System\CurrentControlSet\Services\SysmonLog
Доступ к сети: запретить анонимный доступ к именованным каналам и общим ресурсам
Если этот параметр политики включен, анонимный доступ разрешен только к тем общим ресурсам и
каналам, которые перечислены в параметрах Доступ к сети: разрешать анонимный доступ к
именованным каналам и Доступ к сети: разрешать анонимный доступ к общим ресурсам. Этот
параметр политики контролирует доступ к общим ресурсам на компьютерах через пустые сеансы путем
добавления параметра RestrictNullSessAccess со значением 1 в раздел реестра HKLM\System
\CurrentControlSet\Services\LanManServer\Parameters. Это значение реестра разрешает или
запрещает доступ к общим ресурсам через пустые сеансы и позволяет контролировать ограничение
службой сервера доступа не прошедших проверку подлинности клиентов к именованным ресурсам.
Пустые сеансы являются уязвимостью, которой можно воспользоваться через общие ресурсы (включая
общие ресурсы по умолчанию) на компьютерах в данной среде.
Параметру Доступ к сети: запретить анонимный доступ к именованным каналам и общим
ресурсам присвоено значение Не определен для среды EC и Включен для среды SSLF.
Доступ к сети: разрешать анонимный доступ к общим ресурсам
Этот параметр политики определяет, к каким сетевым папкам общего доступа разрешен анонимный
доступ. Конфигурация по умолчанию для этого параметра политики практически не имеет значения,
поскольку всем пользователям необходимо пройти проверку подлинности, прежде чем они смогут
получить доступ к общим ресурсам на сервере.
Параметру Доступ к сети: разрешать анонимный доступ к общим ресурсам присвоено значение
Не определен для среды EC. Тем не менее, убедитесь в том, что этому параметру присвоено значение
Отсутствует для среды SSLF.
Примечание.
Добавление других общих ресурсов в этот параметр групповой политики может быть
крайне опасным. Любой пользователь сети сможет получить доступ к любому из перечисленных общих
ресурсов, что может привести к раскрытию или повреждению важных данных.
Доступ к сети: модель совместного доступа и безопасности для локальных учетных записей
Этот параметр политики определяет, каким образом выполняется проверка подлинности при входе в
сеть с использованием локальных учетных записей. Значение Обычная позволяет точно
контролировать доступ к ресурсам, включая возможность устанавливать различные типы доступа
различным пользователям для одного и того же ресурса. Значение Гостевая позволяет обращаться со
всеми пользователями одинаково. В данном контексте все пользователи проходят проверку
подлинности по модели Гостевая, чтобы получить одинаковый уровень доступа к данному ресурсу.
Таким образом, параметр Модель совместного доступа и безопасности для локальных учетных
записей использует значение по умолчанию Обычная для обеих сред, описанных в данном
руководстве.
Сетевая безопасность
В таблице ниже перечислены рекомендуемые значения параметров безопасности для сетевой
безопасности. Дополнительные сведения приведены в подразделах, следующих за таблицей.
Таблица П25. Рекомендуемые параметры безопасности — сетевая безопасность
Параметр
По умолчанию в
Windows Vista
Объекты GPO
компьютера в
среде EC VSG
Объекты GPO
компьютера в
среде SSLF VSG
Сетевая безопасность: не хранить
Включен
Включен
Включен
Отключен
Не определен
Не определен
Отправлять только
Отправлять только
Отправлять только
хеш-значения LAN Manager при
следующей смене пароля
Сетевая безопасность:
принудительный выход из системы
по истечении допустимых часов
работы
Сетевая безопасность: уровень
проверки подлинности LAN
отклик NTLMv2
Manager
отклик NTLMv2.
отклик NTLMv2.
Отказывать LM
Отказывать LM и
NTLM
Сетевая безопасность: требования
Согласование
Согласование
Согласование
подписывания для LDAP клиента
подписывания
подписывания
подписывания
Сетевая безопасность:
Минимума нет
Требовать
Требовать
минимальная сеансовая
сеансовую
сеансовую
безопасность для клиентов на базе
безопасность
безопасность
NTLM SSP (включая безопасный
NTLMv2, требовать
NTLMv2, требовать
RPC)
128-разрядного
128-разрядного
шифрования
шифрования
Требовать
Требовать
минимальная сеансовая
сеансовую
сеансовую
безопасность для серверов на базе
безопасность
безопасность
NTLM SSP (включая безопасный
NTLMv2, требовать
NTLMv2, требовать
RPC)
128-разрядного
128-разрядного
шифрования
шифрования
Сетевая безопасность:
Минимума нет
Сетевая безопасность: не хранить хеш-значения LAN Manager при следующей смене пароля
Этот параметр политики определяет, будут ли храниться хеш-значения LAN Manager (LM) для новых
паролей при изменении пароля. Хеш LM относительно ненадежен и уязвим для атак в сравнении с
криптографически надежным хешем Microsoft Windows NT®.
По этой причине параметру Сетевая безопасность: не хранить хеш-значения LAN Manager при
следующей смене пароля присвоено значение Включен для обеих сред, описанных в данном
руководстве.
Примечание.
В старых версиях операционных систем и некоторых сторонних приложениях при
включении этого параметра политики могут возникнуть сбои. Кроме того, после включения этого
параметра необходимо изменить пароли всех учетных записей.
Сетевая безопасность: принудительный выход из системы по истечении допустимых часов
работы
Этот параметр политики, который определяет, следует ли отключать пользователей, подключившихся
к локальному компьютеру вне отведенных для их учетных записей часов входа в систему, влияет на
компонент SMB. Если этот параметр политики включен, клиентские сеансы с сервером SMB будут
разорваны по истечении разрешенных часов входа клиента в систему. Если этот параметр политики
отключен, установленные клиентские сеансы будут поддерживаться и по истечении разрешенных
часов для входа клиента в систему.
Параметру Сетевая безопасность: принудительный выход из системы по истечении
допустимых часов работы присвоено значение Не определен для обеих сред, обсуждаемых в
приложении.
Сетевая безопасность: уровень проверки подлинности LAN Manager
Этот параметр политики указывает тип проверки подлинности по схеме запрос-ответ для входа в сеть.
Проверка подлинности LAN Manager (LM) является наименее безопасным методом: зашифрованные
пароли могут быть взломаны, поскольку их можно легко перехватить в сети. NT LAN Manager (NTLM)
несколько более безопасен. NTLMv2 является более надежной версией NTLM, доступной в
Windows Vista, Windows XP Professional, Windows Server 2003, Windows 2000 и Windows NT 4.0 с
пакетом обновления 4 (SP4) или более поздних версиях. Также возможно использование NTLMv2 в
Windows 95 и Windows 98 при условии установки дополнительного клиентского пакета служб
каталогов.
Корпорация Майкрософт рекомендует настроить этот параметр политики на наиболее надежный из
возможных в данной среде уровень проверки подлинности. В средах, где используются только серверы
Windows 2000 Server или Windows Server 2003 и рабочие станции с Windows Vista или Windows XP
Professional этому параметру политики следует присвоить значение Отправлять только отклик
NTLMv2. Отказывать LM и NTLM для обеспечения самого высокого уровня безопасности.
Параметру Сетевая безопасность: уровень проверки подлинности LAN Manager присвоено
значение Отправлять только отклик NTLMv2. Отказывать LM для среды EC. Однако в среде SSLF
этому параметру присвоено более строгое значение Отправлять только отклик NTLMv2.
Отказывать LM и NTLM.
Сетевая безопасность: требования подписывания для LDAP клиента
Этот параметр политики определяет уровень подписывания данных, запрашиваемый от имени
клиентов, выполняющих запросы LDAP BIND. Поскольку неподписанный сетевой трафик уязвим для
атак вида "злоумышленник в середине", злоумышленник может заставить сервер LDAP принимать
решения, основанные на ложных запросах от клиента LDAP.
Таким образом, параметру Сетевая безопасность: требования подписывания для LDAP клиента
присвоено значение Согласование подписывания для обеих сред, описанных в данном руководстве.
Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP
(включая безопасный RPC)
Этот параметр политики определяет минимальные стандарты безопасности взаимодействия между
приложениями для клиентов. Этот параметр политики может принимать следующие значения:
•
Требовать сеансовую безопасность NTLMv2
•
Требовать 128-разрядного шифрования
Если все компьютеры в сети поддерживают NTLMv2 и 128-разрядное шифрование (например,
Windows Vista, Windows XP Professional с пакетом обновления 2 и Windows Server 2003 с пакетом
обновления 1), для обеспечения максимального уровня безопасности следует выбрать все четыре
значения.
Значения Требовать сеансовую безопасность NTLMv2 и Требовать 128-разрядного
шифрования включены для параметра Сетевая безопасность: минимальная сеансовая
безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) в обеих средах,
описанных в данном руководстве.
Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP
(включая безопасный RPC)
Этот параметр политики подобен предыдущему параметру, но влияет на взаимодействие с
приложениями со стороны сервера. Значения для этого параметра такие же:
•
Требовать сеансовую безопасность NTLMv2
•
Требовать 128-разрядного шифрования
Если все компьютеры в сети поддерживают NTLMv2 и 128-разрядное шифрование (например,
Windows Vista, Windows XP Professional с пакетом обновления 2 и Windows Server 2003 с пакетом
обновления 1), для обеспечения максимального уровня безопасности следует выбрать все четыре
значения.
Значения Требовать сеансовую безопасность NTLMv2 и Требовать 128-разрядного
шифрования включены для параметра Сетевая безопасность: минимальная сеансовая
безопасность для серверов на базе NTLM SSP (включая безопасный RPC) в обеих средах,
описанных в данном руководстве.
Консоль восстановления
В таблице ниже содержатся рекомендуемые значения параметров безопасности для консоли
восстановления. Дополнительные сведения приведены в подразделах, следующих за таблицей.
Таблица П26. Рекомендации для параметров безопасности — консоль восстановления
Параметр
По умолчанию в
Windows Vista
Объекты GPO
компьютера в
среде EC VSG
Объекты GPO
компьютера в
среде SSLF VSG
Консоль восстановления:
Отключен
Отключен
Отключен
Отключен
Не определен
Отключен
разрешить автоматический вход
администратора
Консоль восстановления:
разрешить копирование дискет и
доступ ко всем дискам и папкам
Консоль восстановления: разрешить автоматический вход администратора
Консоль восстановления — это среда командной строки, используемая для восстановления после
системных сбоев. Если этот параметр политики включен, учетная запись администратора
автоматически входит в консоль восстановления, если она вызывается в процессе загрузки.
Корпорация Майкрософт рекомендует отключить этот параметр политики, что приведет к
необходимости ввода администраторами пароля для получения доступа к консоли восстановления.
Параметру Консоль восстановления: разрешить автоматический вход администратора
присвоено значение Отключен для обеих сред, описанных в данном руководстве.
Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам
Этот параметр политики делает доступной команду консоли восстановления SET, что позволяет
присваивать значения следующим переменным окружения консоли восстановления:
•
AllowWildCards. Включает поддержку подстановочных знаков для некоторых команд (таких как
•
AllowAllPaths. Разрешает доступ ко всем файлам и папкам на компьютере.
•
AllowRemovableMedia. Разрешает копирование файлов на съемные носители, например, на гибкие
•
NoCopyPrompt. Не выводит предупреждения при перезаписи существующего файла.
команда DEL).
диски.
Параметру Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам
и папкам присвоено значение Не определен для среды EC. Однако для среды SSLF этому параметру
в целях максимальной безопасности присвоено значение Отключен.
Завершение работы
В таблице ниже содержатся рекомендованные значения параметров безопасности, связанных с
завершением работы компьютера. Дополнительные сведения приведены в подразделах, следующих за
таблицей.
Таблица П27. Рекомендации для параметров безопасности — завершение работы
Параметр
По умолчанию в
Windows Vista
Объекты GPO
компьютера в
среде EC VSG
Объекты GPO
компьютера в
среде SSLF VSG
Завершение работы: разрешить
Включен
Не определен
Отключен
Отключен
Отключен
Отключен
завершение работы системы без
выполнения входа в систему
Завершение работы: очистка
файла подкачки виртуальной
памяти (настольные компьютеры)
Завершение работы: очистка
Отключен
Отключен
Включен
файла подкачки виртуальной
памяти (переносные компьютеры)
Завершение работы: разрешить завершение работы системы без выполнения входа в
систему
Этот параметр политики определяет, можно ли завершить работу компьютера, если пользователь не
выполнил вход в систему. Если этот параметр политики включен, команда завершения работы будет
доступна на экране входа в систему Windows. Корпорация Майкрософт рекомендует отключить этот
параметр политики, чтобы завершать работу компьютера могли только пользователи, имеющие в
системе учетные данные.
Параметру Завершение работы: разрешить завершение работы системы без выполнения
входа в систему присвоено значение Не определен для среды EC и Отключен для среды SSLF.
Завершение работы: очистка файла подкачки виртуальной памяти
Этот параметр политики определяет, следует ли очищать файл подкачки виртуальной памяти при
завершении работы системы. Если этот параметр политики включен, системный файл подкачки будет
очищаться каждый раз при надлежащем завершении работы системы. При включении данного
параметра безопасности на переносном компьютере обнуляется файл спящего режима (Hiberfil.sys),
если спящий режим отключен. Это приведет к увеличению времени завершения работы и перезапуска
компьютера (особенно на компьютерах с файлами подкачки большого размера).
По этим причинам параметру Завершение работы: очистка файла подкачки виртуальной памяти
присвоено значение Включен для переносных компьютеров в среде SSLF и Отключен для всех
остальных компьютеров в обеих средах, описанных в данном руководстве.
Системная криптография
В таблице ниже перечислены рекомендуемые значения параметров безопасности для системной
криптографии. Дополнительные сведения приведены после таблицы.
Таблица П28. Рекомендации для параметров безопасности — системная криптография
Параметр
По умолчанию в
Windows Vista
Объекты GPO
компьютера в
среде EC VSG
Объекты GPO
компьютера в
среде SSLF VSG
Системная криптография:
Отключен
Не определен
Отключен
использовать FIPS-совместимые
алгоритмы для шифрования,
хеширования и подписывания
Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования,
хеширования и подписывания
Этот параметр политики определяет, поддерживает ли поставщик безопасности TLS/SSL только набор
шифров TLS_RSA_WITH_3DES_EDE_CBC_SHA. Хотя этот параметр политики повышает уровень
безопасности, большинство публичных Web-узлов, использующих протоколы TLS и SSL, не
поддерживают эти алгоритмы. Клиентские компьютеры, на которых включен этот параметр политики,
также не смогут подключаться к службам терминала на серверах, которые не настроены на
использование FIPS-совместимых алгоритмов.
Параметру Системная криптография: использовать FIPS-совместимые алгоритмы для
шифрования, хешированияи подписывания присвоено значение Не определен для среды EC и
Отключен для среды SSLF.
Примечание.
Если этот параметр политики включен, производительность компьютера может
снизиться, поскольку процесс 3DES выполняется для каждого блока данных файла три раза. Этот
параметр политики следует включить только при наличии требования о поддержке FIPS в организации.
Системные объекты
В таблице ниже перечислены рекомендуемые значения параметров безопасности для системных
объектов. Дополнительные сведения приведены в подразделах, следующих за таблицей.
Таблица П29. Рекомендации для параметров безопасности — системные объекты
Параметр
По умолчанию в
Windows Vista
Объекты GPO
компьютера в
среде EC VSG
Объекты GPO
компьютера в
среде SSLF VSG
Системные объекты: не учитывать
Включен
Не определен
Включен
Включен
Включен
Включен
регистр для подсистем, отличных
от Windows
Системные объекты: усилить
разрешения по умолчанию для
внутренних системных объектов
Системные объекты: не учитывать регистр для подсистем, отличных от Windows
Этот параметр политики определяет, будет ли для всех подсистем принудительно установлена
нечувствительность к регистру. Подсистема Microsoft Win32® нечувствительна к регистру. Тем не
менее, ядро поддерживает чувствительность к регистру для других подсистем, например, для POSIX
(Portable Operating System Interface for UNIX). Поскольку Windows нечувствительна к регистру (но
подсистема POSIX поддерживает чувствительность к регистру), отключение этого параметра политики
позволяет пользователю подсистемы POSIX создать файл с таким же именем, как у другого файла,
используя смешанный регистр. Такая ситуация может привести к блокировке доступа к этим файлам
другого пользователя, использующего обычные средства Win32, поскольку будет доступен только один
из файлов.
Для обеспечения согласованности имен файлов параметру Системные объекты: не учитывать
регистр для подсистем, отличных от Windows присвоено значение Не определен для среды EC и
Включен для среды SSLF.
Системные объекты: усилить разрешения по умолчанию для внутренних системных
объектов
Этот параметр политики определяет степень влияния списка управления доступом на уровне
пользователей (DACL) по умолчанию на объекты. Этот параметр позволяет защитить объекты, которые
могут быть найдены и совместно использованы несколькими процессами, а его конфигурация по
умолчанию усиливает DACL, поскольку он позволяет пользователям, не являющимся
администраторами, считывать общие объекты, но не позволяет им изменять объекты, которые они не
создавали.
Поэтому параметру Системные объекты: усилить разрешения по умолчанию для внутренних
системных объектов (например, символических ссылок) присвоено значение по умолчанию
Включен для обеих сред, описанных в данном руководстве.
Контроль учетных записей
Контроль учетных записей снижает риск раскрытия данных и проведения атаки на операционную
систему благодаря требованию того, чтобы все пользователи работали в стандартном
пользовательском режиме, даже в случае входа в систему с учетными данными администратора. Это
ограничение позволяет минимизировать возможность внесения пользователями изменений, которые
могут привести к нестабильной работе их компьютеров или непреднамеренному заражению сети
вирусами из-за необнаруженной вредоносной программы, заразившей компьютер.
При попытке пользователя выполнить административную задачу, операционная система должна
повысить уровень безопасности, чтобы разрешить выполнение этой задачи. Параметры контроля
учетных записей в объектах групповой политики (GPO) определяют реакцию операционной системы на
запрос о повышении привилегий безопасности.
В таблице ниже перечислены рекомендуемые значения параметров безопасности для контроля
учетных записей. Дополнительные сведения приведены в подразделах, следующих за таблицей.
Таблица П30. Рекомендации для параметров безопасности — контроль учетных записей
Параметр
По умолчанию
в Windows
Vista
Объекты GPO
компьютера в
среде EC VSG
Объекты GPO
компьютера в
среде SSLF VSG
§ User Account Control: Admin
Отключен
Включен
Включен
Запрос согласия
Запрос учетных
Запрос учетных
данных
данных
Approval Mode for the Built-in
Administrator account (Контроль
учетных записей: режим одобрения
администратором для встроенной
учетной записи администратора)
§ User Account Control: Behavior of
the elevation prompt for administrators
in Admin Approval Mode (Контроль
учетных записей: поведение запроса
повышения привилегий для
администраторов в режиме
одобрения администратором)
§ User Account Control: Behavior of
Запрос учетных
Автоматически
Автоматически
the elevation prompt for standard
данных
отклонять запросы
отклонять запросы
users (Контроль учетных записей:
на повышение
на повышение
поведение запроса повышения
привилегий
привилегий
Включен
Включен
Включен
Отключен
Отключен
Отключен
Включен
Включен
Включен
Включен
Включен
Включен
привилегий для обычных
пользователей)
§ User Account Control: Detect
application installations and prompt for
elevation (Контроль учетных записей:
обнаруживать попытки установки
приложений и запросы повышения
привилегий)
§ User Account Control: Only elevate
executables that are signed and
validated (Контроль учетных записей:
повышать привилегии только для
подписанных и проверенных EXEфайлов)
§ User Account Control: Only elevate
UIAccess applications that are installed
in secure locations (Контроль учетных
записей: повышать привилегии
только для приложений UIAccess,
установленных в безопасные
местоположения)
§ User Account Control: Run all
administrators in Admin Approval Mode
(Контроль учетных записей:
запускать все учетные записи
администраторов в режиме
одобрения администратором)
§ User Account Control: Switch to the
Включен
Включен
Включен
Включен
Включен
Включен
secure desktop when prompting for
elevation (Контроль учетных записей:
при запросе повышения привилегий
переключаться на безопасный
рабочий стол)
§ User Account Control: Virtualize file
and registry write failures to per-user
locations (Контроль учетных записей:
виртуализировать ошибки записи в
файл и реестр в местоположения для
каждого пользователя)
§ — Означает, что параметр групповой политики появился только в Windows Vista.
User Account Control: Admin Approval Mode for the Built-in Administrator account (Контроль
учетных записей: режим одобрения администратором для встроенной учетной записи администратора)
Этот параметр политики определяет, следует ли запускать встроенную учетную запись администратора
в режиме одобрения администратором. Поведение по умолчанию данного параметра меняется,
поскольку система Windows Vista настраивает встроенную учетную запись администратора в
зависимости от определенных критериев установки.
Система Windows Vista присваивает данному параметру значение Отключен по умолчанию для новой
установки и для обновлений, при которых встроенная учетная запись администратора не является
единственной активной учетной записью администратора на компьютере. Система Windows Vista
отключает встроенную учетную запись администратора по умолчанию при установке и обновлении
системы на компьютерах, входящих в домен.
Система Windows Vista по умолчанию присваивает данному параметру значение Включен при
обновлении системы, если обнаруживает, что встроенная учетная запись администратора является
единственной активной локальной учетной записью администратора на компьютере. В этом случае
система Windows Vista включает встроенную учетную запись администратора после обновления.
Параметру Контроль учетных записей: режим одобрения администратором для встроенной
учетной записи администратора присвоено значение Включен для обеих сред, описанных в
данном руководстве.
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval
Mode (Контроль учетных записей: поведение запроса повышения привилегий для администраторов в
режиме одобрения администратором)
Этот параметр определяет поведение системы Windows Vista в том случае, если вошедший в систему
администратор пытается выполнить задачу, требующую повышенных привилегий. Для этого параметра
имеется три значения:
•
Без запроса. При использовании этого значения привилегии повышаются автоматически без
•
Запрос согласия. При использовании этого значения функция контроля учетных записей
•
Запрос учетных данных. При использовании этого значения функция контроля учетных записей
каких-либо сообщений.
спрашивает согласия перед тем, как повысить привилегии, но не требует ввода учетных данных.
требует от администратора ввода допустимых учетных данных администратора перед тем, как
повысить привилегии.
Параметру User Account Control: Behavior of the elevation prompt for administrators in Admin
Approval Mode (Контроль учетных записей: поведение запроса повышения привилегий для
администраторов в режиме одобрения администратором) присвоено значение Запрос учетных
данных для обеих сред, описанных в данном руководстве.
User Account Control: Behavior of the elevation prompt for standard users (Контроль учетных
записей: поведение запроса повышения привилегий для обычных пользователей)
Этот параметр определяет поведение системы Windows Vista в случае, если вошедший в систему
пользователь пытается выполнить задачу, требующую повышенных привилегий. Для этого параметра
имеется два значения.
•
Автоматически отклонять запросы на повышение привилегий. При использовании этого
значения запрос на повышение привилегий не выводится, и пользователь не может выполнять
административные задачи, если только он не использует команду Выполнить в качестве
администратора или не войдет в систему с учетной записью администратора.
•
Запрос учетных данных. При использовании этого значения функция контроля учетных записей
требует от администратора ввода допустимых учетных данных администратора перед тем, как
повысить привилегии.
Параметру User Account Control: Behavior of the elevation prompt for standard users (Контроль
учетных записей: поведение запроса повышения привилегий для обычных пользователей) присвоено
значение Автоматически отклонять запросы на повышение привилегий для обеих сред,
описанных в данном руководстве.
Этот параметр не позволяет обычным пользователям повышать свои привилегии. Другими словами,
обычный пользователь не сможет предоставить учетные данные администратора для выполнения
административной задачи. Возможность щелкнуть правой кнопкой мыши файл программы и выбрать
команду Запустить от имени администратора не сработает для обычного пользователя. Обычным
пользователям, желающим выполнить административные задачи, следует для этого выйти из системы и
войти снова с учетной записью администратора. Хотя этот процесс в некоторой степени неудобен, он
обеспечивает большую безопасность среды.
User Account Control: Detect application installations and prompt for elevation (Контроль учетных
записей: обнаруживать попытки установки приложений и запросы повышения привилегий)
Этот параметр определяет реакцию системы Windows Vista на запросы на установку приложений.
Установка приложения требует повышения привилегий. Для этого параметра имеется два значения.
•
Включен. При использовании этого значения система Windows Vista при обнаружении установщика
запросит согласие или учетные данные пользователя, в зависимости от настройки поведения при
запросе повышения привилегий.
•
Отключен. При использовании этого значения установка приложений будет прерываться без
вывода каких-либо сообщений или неопределенным образом.
Параметру User Account Control: Detect application installations and prompt for elevation
(Контроль учетных записей: обнаруживать попытки установки приложений и запросы повышения
привилегий) присвоено значение Включен для обеих сред, описанных в данном руководстве.
User Account Control: Only elevate executables that are signed and validated (Контроль учетных
записей: повышать привилегии только для подписанных и проверенных EXE-файлов)
Этот параметр запрещает выполнение неподписанных или непроверенных приложений. Перед
включением этого параметра администраторы должны быть уверены в том, что все необходимые
приложения подписаны и проверены. Для этого параметра имеется два значения.
•
Включен. При использовании этого значения разрешено запускать только подписанные EXE-
•
Отключен. При использовании этого значения разрешено запускать как подписанные, так и
файлы. Этот параметр блокирует запуск неподписанных приложений.
неподписанные EXE-файлы.
Параметру User Account Control: Only elevate executables that are signed and validated
(Контроль учетных записей: повышать привилегии только для подписанных и проверенных EXEфайлов) присвоено значение Отключен для обеих сред, описанных в данном руководстве.
User Account Control: Only elevate UIAccess applications that are installed in secure locations
(Контроль учетных записей: повышать привилегии только для приложений UIAccess, установленных в
безопасные местоположения)
Этот параметр помогает защитить компьютер с операционной системой Windows Vista, разрешая запуск
с повышенными привилегиями только тех приложений, которые установлены в безопасное
местоположение в файловой системе, например, в папки Program Files или Windows\System32.
Параметру User Account Control: Only elevate UIAccess applications that are installed in secure
locations (Контроль учетных записей: повышать привилегии только для приложений UIAccess,
установленных в безопасные местоположения) присвоено значение Включен для обеих сред,
описанных в данном руководстве.
User Account Control: Run all administrators in Admin Approval Mode (Контроль учетных записей:
запускать все учетные записи администраторов в режиме одобрения администратором)
Этот параметр отключает функцию контроля учетных записей (UAC). Для этого параметра имеется два
значения.
•
Включен. При использовании этого значения при попытке выполнения административных
операций запрос выводится как для обычных пользователей, так и для администраторов. Стиль
запроса зависит от политики.
•
Отключен. При использовании этого значения отключается режим одобрения администратором и
все относящиеся к нему политики контроля учетных записей. При использовании этого значения
центр обеспечения безопасности выведет сообщение о том, что общий уровень безопасности
операционной системы снизился.
Параметру User Account Control: Run all administrators in Admin Approval Mode (Контроль
учетных записей: запускать все учетные записи администраторов в режиме одобрения
администратором) присвоено значение Включен для обеих сред, описанных в данном руководстве.
User Account Control: Switch to the secure desktop when prompting for elevation (Контроль
учетных записей: при запросе повышения привилегий переключаться на безопасный рабочий стол)
Этот параметр помогает защитить компьютер и пользователя от злоупотребления запросом повышения
привилегий. Безопасный рабочий стол системы Windows Vista позволяет запускать только СИСТЕМНЫЕ
процессы, что, как правило, приводит к блокировке сообщений от вредоносного программного
обеспечения. В результате ввод данных в ответ на запросы согласия и учетных данных на безопасном
рабочем столе, как правило, подменить нельзя. Кроме того, запрос согласия защищен от подмены
вывода. Использование запроса учетных данных все еще опасно, поскольку вредоносная программа
может его подменить. Для этого параметра имеется два значения.
•
Включен. При использовании этого значения запрос повышения привилегий функции контроля
•
Отключен. При использовании этого значения запрос повышения привилегий функции контроля
учетных записей выводится на безопасном рабочем столе.
учетных записей выводится на рабочем столе пользователя.
Параметру User Account Control: Switch to the secure desktop when prompting for elevation
(Контроль учетных записей: при запросе повышения привилегий переключаться на безопасный
рабочий стол) присвоено значение Включен для обеих сред, описанных в данном руководстве.
User Account Control: Virtualize file and registry write failures to per-user locations (Контроль
учетных записей: виртуализировать ошибки записи в файл и реестр в местоположения для каждого
пользователя)
Приложения, для которых в базе данных совместимости приложений отсутствует запись или в
манифесте приложения отсутствует маркировка запрошенного уровня выполнения, не являются
совместимыми с функцией контроля учетных записей. Приложения, не совместимые с функцией
контроля учетных записей, пытаются выполнить запись в защищенные области, включая папки
Program Files и %systemroot%. Если этим приложениям не удается завершить процесс записи,
происходит сбой без вывода каких-либо сообщений об ошибках. Если этот параметр включен, системе
Windows Vista разрешено виртуализировать операции записи в файл и реестр в пользовательские
местоположения, что позволяет приложению нормально функционировать.
Приложения, совместимые с функцией контроля учетных записей не должны выполнять запись в
защищенные местоположения и вызывать ошибки записи. Таким образом, в средах, использующих
только приложения, совместимые с функцией контроля учетных записей, этот параметр следует
отключить.
Для этого параметра имеется два значения.
•
Включен. В средах, использующих программное обеспечение, не совместимое с функцией
•
Отключен. В средах, использующих программное обеспечение, совместимое с функцией контроля
контроля учетных записей следует присвоить этому параметру значение Включен.
учетных записей следует присвоить этому параметру значение Отключен.
При отсутствии уверенности в совместимости всех используемых в среде приложений с функцией
контроля учетных записей, следует присвоить этому параметру значение Включен.
По этой причине параметру User Account Control: Virtualize file and registry write failures to peruser locations (Контроль учетных записей: виртуализировать ошибки записи в файл и реестр в
местоположения для каждого пользователя) присвоено значение Включен для обеих сред, описанных
в данном руководстве.
Параметры безопасности журнала событий
В журнал событий записываются системные события, а в журнал безопасности записываются события
аудита. Контейнер журнала событий групповой политики используется для определения атрибутов,
относящихся к журналам событий приложений, безопасности и системы, таких как максимальный
размер журнала, права доступа для каждого журнала, а также параметры и методы сохранения.
Параметры журнала событий можно настроить в следующем местоположении редактора объектов
групповой политики:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Журнал событий
В этом разделе содержатся сведения о рекомендованных параметрах для сред, описанных в данном
руководстве. Сводку по рекомендованным параметрам, описанным в данном разделе см. в файле
Windows Vista Security Guide Settings.xls Сведения о значениях по умолчанию и подробное объяснение
для каждого параметра, рассматриваемого в данном разделе см. в руководстве Угрозы и меры
противодействия. Это руководство также содержит подробные сведения о возможности потери данных
журнала событий при установке очень большого размера для файлов журнала.
В следующей таблице сведены рекомендуемые значения параметров безопасности журнала событий
для клиентов, использующих настольные и переносные компьютеры в обеих средах, описанных в
данном руководстве. В следующих подразделах содержатся подробные сведения о каждом параметре.
Таблица П31. Рекомендации для параметров безопасности — параметры безопасности
журнала событий
Параметр
По умолчанию в
Windows Vista
Объекты GPO
компьютера в
среде EC VSG
Объекты GPO
компьютера в
среде SSLF VSG
Максимальный размер
Неприменимо
32 768 КБ
32 768 КБ
журнала приложений
(значение по
81 920 КБ
81 920 КБ
умолчанию = 20 480)
Максимальный размер
Неприменимо
журнала безопасности
(значение по
умолчанию = 20 480)
Максимальный размер
Неприменимо
системного журнала
(значение по
32 768 КБ
32 768 КБ
По необходимости
По необходимости
По необходимости
По необходимости
По необходимости
По необходимости
умолчанию = 20 480)
Сохранение событий в
Неприменимо (по
журнале приложений
умолчанию "Затирать
по необходимости")
Сохранение событий в
Неприменимо (по
журнале безопасности
умолчанию "Затирать
по необходимости")
Сохранение событий в
Неприменимо (по
системном журнале
умолчанию "Затирать
по необходимости")
Максимальный размер журнала приложений
Этот параметр политики задает максимальный размер журнала событий приложений, который не может
превышать 4 ГБ. Однако использовать такой размер не рекомендуется из-за возможной фрагментации
памяти, которая приводит к снижению производительности системы и снижению надежности
регистрации событий. Требования к размеру журнала приложений зависят от назначения платформы и
от необходимости накопления записей журнала о событиях приложений.
Параметр Максимальный размер журнала приложений имеет значение 32 768 КБ для всех
компьютеров обеих сред, которые описываются в данном руководстве.
Максимальный размер журнала безопасности
Этот параметр политики задает максимальный размер журнала событий безопасности, который не
может превышать 4 ГБ. Однако использовать такой размер не рекомендуется из-за возможной
фрагментации памяти, которая приводит к снижению производительности системы и снижению
надежности регистрации событий. Требования к размеру журнала безопасности зависят от назначения
платформы и от необходимости накопления записей журнала о событиях приложений.
Параметр Максимальный размер журнала приложений имеет значение 81 920 КБ для всех
компьютеров обеих сред, которые описываются в данном руководстве.
Максимальный размер системного журнала
Этот параметр политики задает максимальный размер журнала системных событий, который не может
превышать 4 ГБ. Однако использовать такой размер не рекомендуется из-за возможной фрагментации
памяти, которая приводит к снижению производительности системы и снижению надежности
регистрации событий. Требования к размеру журнала приложений зависят от назначения платформы и
от необходимости накопления записей журнала о событиях приложений.
Параметр Максимальный размер системного журнала имеет значение 32 768 КБ для всех
компьютеров обеих сред, которые описываются в данном руководстве.
Сохранение событий в журнале приложений
Этот параметр политики определяет метод "упаковки" журнала приложений. Необходимо регулярно
архивировать журнал приложений, если события, хранящиеся в журнале, могут быть полезны для
использования в суде или для устранения неполадок. Затирание событий по необходимости
обеспечивает хранение в журнале последних событий, хотя это и может привести к потере
накопленных данных.
Параметр Сохранение событий в журнале приложений установлен в значение По
необходимости для обеих сред, описанных в данном руководстве.
Сохранение событий в журнале безопасности
Этот параметр политики определяет метод "упаковки" журнала безопасности. Необходимо регулярно
архивировать журнал безопасности, если события, хранящиеся в журнале, могут быть полезны для
использования в суде или для устранения неполадок. Затирание событий по необходимости
обеспечивает хранение в журнале последних событий, хотя это и может привести к потере
накопленных данных.
Параметр Сохранение событий в журнале безопасности установлен в значение По
необходимости для обеих сред, описанных в данном руководстве.
Сохранение событий в системном журнале
Этот параметр политики определяет метод "упаковки" системного журнала. Необходимо регулярно
архивировать системный журнал, если события, хранящиеся в журнале, могут быть полезны для
использования в суде или для устранения неполадок. Затирание событий по необходимости
обеспечивает хранение в журнале последних событий, хотя это и может привести к потере
накопленных данных.
Параметр Сохранение событий в системном журнале установлен в значение По необходимости
для обеих сред, описанных в данном руководстве.
Параметры брандмауэра Windows с улучшенной безопасностью
Брандмауэр, входящий в состав Windows Vista, имеет возможность более тонкой настройки.
Можно настроить дополнительные параметры безопасности брандмауэра Windows в редакторе
объектов групповой политики в следующем месте:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности
\Брандмауэр Windows с улучшенной безопасностью
Для управления этими параметрами в разделе "Брандмауэр Windows с улучшенной безопасностью"
редактора объектов групповой политики щелкните ссылку Свойства брандмауэра Windows. В
диалоговом окне Брандмауэр Windows с улучшенной безопасностью можно задать параметры для
профиля домена, личного и общего профилей. Для каждого профиля можно задать общие настройки в
разделе Состояние, а в разделе Настройки можно нажать кнопку Настройка и задать
дополнительные настройки. Данный раздел приложения содержит таблицы и рекомендации для
каждого из профилей, которые можно настроить в диалоговом окне Брандмауэр Windows с
улучшенной безопасностью.
Профиль домена
Этот профиль применяется, если компьютер подключен к сети и проходит проверку подлинности на
контроллере домена, которому принадлежит компьютер.
Таблица A32. Рекомендуемые настройки профиля домена
Параметр
По умолчанию в
Windows Vista
Объекты GPO
компьютера в
среде EC VSG
Объекты GPO
компьютера в среде
SSLF VSG
§ Состояние брандмауэра
Не задан
Включен
Включен
(рекомендуется)
(рекомендуется)
Блокировать (по
Блокировать (по
умолчанию)
умолчанию)
Разрешать (по
Разрешать (по
умолчанию)
умолчанию)
§ Входящие подключения
§ Исходящие подключения
Не задан
Не задан
Дополнительные настройки
§ Отображать уведомление
Не задан
Да (по умолчанию)
Нет
§ Разрешать одноадресный ответ
Не задан
Нет
Нет
§ Применять локальные правила
Не задан
Да (по умолчанию)
Нет
брандмауэра
§ Применять локальные правила
Не задан
Да (по умолчанию)
Нет
безопасности подключения
§ — Означает, что параметр групповой политики появился только в Windows Vista.
Рекомендуемые настройки брандмауэра Windows с улучшенной безопасностью для среды EC включают
правила брандмауэра, которые разрешают работу с помощью удаленного рабочего стола и удаленного
помощника. Кроме того, локальные администраторы компьютеров в среде EC могут разрешать
дополнительный доступ к компьютеру с помощью локальных правил брандмауэра.
В среде SSLF все входящие подключения по умолчанию блокируются, и компьютеры игнорируют
локальные правила брандмауэра. Дополнения или изменения правил брандмауэра вносятся с помощью
редактора объектов групповой политики.
Важно
Предписанные настройки брандмауэра для среды SSLF значительно ограничивают входящие
подключения к компьютеру. Необходимо тщательно протестировать брандмауэр с такими настройками
в среде, чтобы убедиться в том, что все приложения работают корректно.
Чтобы просмотреть правила, определенные для профиля домена, в разделе "Брандмауэр Windows с
улучшенной безопасностью" редактора объектов групповой политики щелкните ссылку Правила для
входящих подключений.
Личный профиль
Этот профиль применяется только в том случае, если пользователь с правами локального
администратора назначает его сети, которая ранее использовала общий профиль. Корпорация
Майкрософт рекомендует использовать личный профиль только для безопасной сети.
Таблица A33. Рекомендуемые настройки профиля домена
Параметр
По умолчанию в
Windows Vista
Объекты GPO
компьютера в
среде EC VSG
Объекты GPO
компьютера в среде
SSLF VSG
§ Состояние брандмауэра
Не задан
Включен
Включен
(рекомендуется)
(рекомендуется)
Блокировать (по
Блокировать (по
умолчанию)
умолчанию)
Разрешать (по
Разрешать (по
умолчанию)
умолчанию)
§ Входящие подключения
§ Исходящие подключения
Не задан
Не задан
Дополнительные настройки
§ Отображать уведомление
Не задан
Да (по умолчанию)
Нет
§ Разрешать одноадресный
Не задан
Нет
Нет
Не задан
Да (по умолчанию)
Нет
Не задан
Да (по умолчанию)
Нет
ответ
§ Применять локальные
правила брандмауэра
§ Применять локальные
правила безопасности
подключения
§ — Означает, что параметр групповой политики появился только в Windows Vista.
Рекомендуемые настройки брандмауэра Windows с улучшенной безопасностью для среды EC включают
правила брандмауэра, которые разрешают работу с помощью удаленного рабочего стола и удаленного
помощника. Кроме того, локальные администраторы компьютеров в среде EC могут разрешать
дополнительный доступ к компьютеру с помощью локальных правил брандмауэра.
В среде SSLF все входящие подключения по умолчанию блокируются, и компьютеры игнорируют
локальные правила брандмауэра. Дополнения или изменения правил брандмауэра вносятся с помощью
редактора объектов групповой политики.
Чтобы просмотреть правила, определенные для личного профиля, в разделе "Брандмауэр Windows с
улучшенной безопасностью" редактора объектов групповой политики щелкните ссылку Правила для
входящих подключений.
Общий профиль
Данный профиль является типом сетевого местоположения по умолчанию в случае, если компьютер не
подключен к домену. Параметры общего профиля должны максимально ограничивать доступ,
поскольку компьютер подключен к общедоступной сети, безопасность которой нельзя контролировать
так же жестко, как в ИТ-среде.
Таблица A34. Рекомендуемые настройки общего профиля
Параметр
По умолчанию в
Windows Vista
Объекты GPO
компьютера в
среде EC VSG
Объекты GPO
компьютера в среде
SSLF VSG
§ Состояние брандмауэра
Не задан
Включен
Включен
(рекомендуется)
(рекомендуется)
Блокировать (по
Блокировать (по
умолчанию)
умолчанию)
Разрешать (по
Разрешать (по
умолчанию)
умолчанию)
§ Входящие подключения
§ Исходящие подключения
Не задан
Не задан
Дополнительные настройки
§ Отображать уведомление
Не задан
Нет
Нет
§ Разрешать одноадресный
Не задан
Нет
Нет
Не задан
Нет
Нет
Не задан
Нет
Нет
ответ
§ Применять локальные
правила брандмауэра
§ Применять локальные
правила безопасности
подключения
§ — Означает, что параметр групповой политики появился только в Windows Vista.
В средах EC и SSLF все входящие подключения блокируются по умолчанию и не существует правил
брандмауэра, которые разрешают дополнительный доступ к компьютеру. Кроме того, компьютеры
обеих сред, описанных в данном руководстве, игнорируют локальные правила брандмауэра.
Дополнения или изменения правил брандмауэра, которые применяются к общему профилю, вносятся с
помощью редактора объектов групповой политики.
В следующих разделах коротко описаны настройки каждого из профилей брандмауэра.
Состояние брандмауэра
Выберите значение Включен (рекомендуется), чтобы брандмауэр Windows с улучшенной
безопасностью использовал настройки данного профиля для фильтрации сетевого трафика. Если
выбрать значение Выключен, брандмауэр Windows с улучшенной безопасностью не будет
использовать правила брандмауэра или правила безопасности подключения данного профиля.
Входящие подключения
Этот параметр определяет поведение для входящих подключений, которые не соответствуют правилу
брандмауэра для входящих подключений. По умолчанию такие подключения блокируются, если только
нет правил брандмауэра, которые разрешают подключение.
Исходящие подключения
Этот параметр определяет поведение для исходящих подключений, которые не соответствуют правилу
брандмауэра для исходящих подключений. По умолчанию такие подключения разрешены, если только
нет правил брандмауэра, которые блокируют подключение.
Важно
Если для параметра Исходящие подключения выбрать значение Блокировать и
развернуть политику брандмауэра с помощью объекта GPO, компьютеры, получающие настройки
объекта GPO, не смогут получить последующие обновления групповой политики, если не создать и не
развернуть правило для исходящего подключения, которое обеспечивает работу групповой политики.
Предопределенные правила для основы сетей включают правила для исходящих подключений,
которые обеспечивают работу групповой политики. Включите эти правила для исходящих
подключений и тщательно протестируйте профили брандмауэра перед развертыванием.
Отображать уведомление
Если включить данный параметр, брандмауэр Windows с улучшенной безопасностью будет выводить
пользователю уведомления при блокировке получения программой входящего подключения.
Примечание.
Если параметр Правила локального брандмауэра установлено в значение Нет,
корпорация Майкрософт рекомендует также установить значение параметра Отображать
уведомление в значение Нет. В противном случае пользователи будут получать сообщения с
вопросом о разблокировке ограниченного входящего подключения, однако ответы пользователя будут
игнорироваться.
Разрешать одноадресный ответ
Этот параметр полезен в случаях, когда нужно управлять получением компьютером одноадресных
ответов на исходящие многоадресные передачи или широковещательные сообщения. Если данный
параметр включен и компьютер отправляет многоадресные или широковещательные сообщения другим
компьютерам, брандмауэр Windows с улучшенной безопасностью ожидает одноадресный ответ от
других компьютеров в течение трех секунд, по истечении которых блокирует все последующие ответы.
Если данный параметр отключен и компьютер отправляет многоадресные или широковещательные
сообщения другим компьютерам, брандмауэр Windows с улучшенной безопасностью блокирует
одноадресные ответы других компьютеров.
Применять локальные правила брандмауэра
Этот параметр контролирует возможность создания локальными администраторами локальных правил
брандмауэра, которые применяются вместе с правилами брандмауэра, заданными групповой
политикой. Если установить данный параметр в значение Нет, администраторы все так же смогут
создавать правила брандмауэра, но они не будут применяться. Этот параметр доступен только при
настройке политики через групповую политику.
Применять локальные правила безопасности подключения
Этот параметр контролирует возможность создания локальными администраторами правил
безопасности подключения, которые применяются вместе с правилами безопасности подключения,
заданными групповой политикой. Если установить данный параметр в значение Нет, администраторы
все так же смогут создавать правила брандмауэра, но они не будут применяться. Этот параметр
доступен только при настройке политики через групповую политику.
Конфигурация компьютера\Административные шаблоны
Следующие группы настроек политики компьютера содержат параметры, предписываемые данным
руководством. Настройки отображаются в подузле Конфигурация компьютера\Административные
шаблоны редактора объектов групповой политики.
•
Сетевые подключения
•
Система
•
•
Вход в систему
•
Групповая политика
•
Удаленный помощник
•
Удаленный вызов процедур
•
Управление связью через Интернет\Параметры связи через Интернет
Компоненты Windows
•
Политики автозапуска
•
Интерфейс учетных данных
•
Internet Explorer
•
NetMeeting
•
Службы терминалов
•
Windows Messenger
•
Веб-узел Центра обновления Windows
Сетевые подключения
В контейнере "Сеть" групповой политики нет особых конфигураций, связанных с безопасностью.
Однако имеется несколько очень важных настроек в контейнере Сетевые
подключения\Брандмауэр Windows.
Корпорация Майкрософт рекомендует при настройке брандмауэра Windows использовать параметры
брандмауэра Windows с улучшенной безопасностью, имеющиеся в редакторе объектов групповой
политики. Однако рекомендуемые настройки для брандмауэра Windows с улучшенной безопасностью
изменяют значения некоторых параметров в этой области групповой политики. Кроме того, несколько
рекомендуемых настроек обеспечивают совместимость с компьютерами под управлением системы
Windows XP в среде EC, описанной в данном руководстве.
В Windows XP параметры брандмауэра Windows настраиваются в двух профилях: профиле домена и
стандартном профиле. При обнаружении доменной среды используется профиль домена, а при
отсутствии доменной среды — стандартный профиль.
В случаях, когда в одной из приведенных ниже таблиц выбран параметр брандмауэра Windows
Рекомендуется, используемое значение может быть различным для разных организаций. Поскольку
каждая организация обладает уникальным набором приложений, для которых нужно задать
исключения для брандмауэра Windows, невозможно в данном руководстве привести универсальный
список, который подошел бы всем.
Если нужно определить, для каких приложений или портов необходимо исключение, можно включить
ведение журнала брандмауэра Windows, аудит брандмауэра Windows и трассировку сети.
Дополнительные сведения см. в статье Настройка компьютера для устранения неполадок брандмауэра
Windows (на английском языке).
Обычно профиль домена содержит меньше ограничений, чем стандартный профиль, поскольку
доменная среда часто обеспечивает дополнительные уровни защиты. Имена параметров политики
одинаковы в обоих профилях. В следующих двух таблицах приводятся обобщенные сведения о
параметрах политики для различных профилей, а более подробные объяснения приводятся в
подразделах, следующих за таблицами.
Сетевые подключения\Брандмауэр Windows\Профиль домена
Параметры, приведенные в этом разделе, определяют профиль домена брандмауэра Windows. Эти
параметры можно настроить в следующем разделе редактора объектов групповой политики:
Административные шаблоны\Сеть\Сетевые подключения
\Брандмауэр Windows\Профиль домена
Таблица A35. Рекомендуемые настройки профиля домена брандмауэра Windows
Параметр
Настольный
компьютер EC
Портативный
компьютер EC
Настольный
компьютер SSLF
Портативный
компьютер SSLF
Брандмауэр
Не рекомендуется
Не рекомендуется
Не задан
Не задан
Отключен
Отключен
Не задан
Не задан
Не задан
Не задан
Не задан
Не задан
Включен
Включен
Не задан
Не задан
Не рекомендуется
Не рекомендуется
Не задан
Не задан
Отключен
Отключен
Отключен
Отключен
Windows: Разрешать
исключения ICMP
Брандмауэр
Windows: Разрешать
исключения для
входящих
подключений к
общим файлам и
принтерам
Брандмауэр
Windows: Разрешать
исключения для
входящих
подключений
удаленного
администрирования
Брандмауэр
Windows: Разрешать
исключения для
входящих
подключений к
удаленному
рабочему столу
Брандмауэр
Windows: Разрешать
исключения для
входящей UPnPинфраструктуры
Брандмауэр
Windows: Разрешать
локальные
исключения для
портов
Брандмауэр
Не рекомендуется
Не рекомендуется
Отключен
Отключен
Не рекомендуется
Не рекомендуется
Не задан
Не задан
Рекомендуется
Рекомендуется
Не задан
Не задан
Не рекомендуется
Не рекомендуется
Не задан
Не задан
Отключен
Отключен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Windows: Разрешать
локальные
исключения для
программ
Брандмауэр
Windows: Задать
исключения для
входящих портов
Брандмауэр
Windows: Задать
исключения для
входящих программ
Брандмауэр
Windows: Не
разрешать
исключения
Брандмауэр
Windows: Запретить
уведомления
Брандмауэр
Windows: Запретить
одноадресный ответ
на многоадресные
или
широковещательные
сообщения
Брандмауэр
Windows: Защищать
все сетевые
подключения
Примечание.
Если в данной таблице выбраны настройки брандмауэра Windows Рекомендуется,
используемое значение может быть различным для разных организаций. Например, каждая
организация обладает уникальным набором приложений, для которых нужно задать исключения для
брандмауэра Windows. Поэтому в данном руководстве невозможно привести список, который подошел
бы всем.
Сетевые подключения\Брандмауэр Windows\Стандартный профиль
Параметры, приведенные в этом разделе, определяют стандартный профиль брандмауэра Windows.
Этот профиль чаще всего содержит больше ограничений, чем профиль домена, поскольку
предполагается, что доменная среда обеспечивает определенный базовый уровень безопасности.
Стандартный профиль следует использовать, если компьютер находится в ненадежной сети, например
в сети гостиницы или подключен к публичной точке беспроводного доступа. Такие среды несут в себе
неизвестные угрозы и требуют принятия дополнительных мер по обеспечению безопасности.
Примечание.
Стандартный профиль применяется только к компьютерам с системой Windows XP.
Следующие рекомендации применяются только к описанной в данном руководстве среде EC для
обеспечения совместимости с Windows XP.
Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе
объектов групповой политики:
Административные шаблоны\Сеть\Сетевые подключения
\Брандмауэр Windows\Стандартный профиль
Таблица A36. Рекомендуемые настройки стандартного профиля брандмауэра Windows
Параметр
Настольный
компьютер EC
Портативный
компьютер EC
Настольный
компьютер SSLF
Портативный
компьютер
SSLF
Брандмауэр Windows:
Отключен
Отключен
Не задан
Не задан
Отключен
Отключен
Не задан
Не задан
Отключен
Отключен
Не задан
Не задан
Включен
Включен
Не задан
Не задан
Отключен
Отключен
Не задан
Не задан
Отключен
Отключен
Не задан
Не задан
Не рекомендуется
Не
Не задан
Не задан
Разрешать
исключения ICMP
Брандмауэр Windows:
Разрешать
исключения для
входящих
подключений к
общим файлам и
принтерам
Брандмауэр Windows:
Разрешать
исключения для
входящих
подключений
удаленного
администрирования
Брандмауэр Windows:
Разрешать
исключения для
входящих
подключений к
удаленному рабочему
столу
Брандмауэр Windows:
Разрешать
исключения для
входящей UPnPинфраструктуры
Брандмауэр Windows:
Разрешать локальные
исключения для
портов
Брандмауэр Windows:
Разрешать локальные
исключения для
программ
рекомендуется
Брандмауэр Windows:
Не рекомендуется
Задать исключения
Не
Не задан
Не задан
рекомендуется
для входящих портов
Брандмауэр Windows:
Рекомендуется
Рекомендуется
Не задан
Не задан
Рекомендуется
Рекомендуется
Не задан
Не задан
Отключен
Отключен
Не задан
Не задан
Включен
Включен
Не задан
Не задан
Включен
Включен
Не задан
Не задан
Задать исключения
для входящих
программ
Брандмауэр Windows:
Не разрешать
исключения
Брандмауэр Windows:
Запретить
уведомления
Брандмауэр Windows:
Запретить
одноадресный ответ
на многоадресные
или
широковещательные
сообщения
Брандмауэр Windows:
Защищать все
сетевые подключения
Примечание.
Если в данной таблице выбраны настройки брандмауэра Windows Рекомендуется,
используемое значение может быть различным для разных организаций. Например, каждая
организация обладает уникальным набором приложений, для которых нужно задать исключения для
брандмауэра Windows. Поэтому в данном руководстве невозможно привести список, который подошел
бы всем.
Брандмауэр Windows: Разрешать исключения ICMP
Этот параметр политики определяет набор типов сообщений протокола ICMP, которые разрешены
брандмауэром Windows. Служебные программы могут использовать сообщения протокола ICMP для
определения состояния других компьютеров. Например, команда Ping использует сообщения с
запросом эха.
Если установить параметр Брандмауэр Windows: Разрешать исключения ICMP в значение
Включен, нужно указать какие типы сообщений протокола ICMP брандмауэр Windows разрешает
компьютеру отправлять и получать. Если установить этот параметр политики в значение Отключен,
брандмауэр Windows будет блокировать незапрошенные входящие сообщения протокола ICMP всех
типов и перечисленные типы исходящих сообщений протокола ICMP. Поэтому работа служебных
программ, использующих протокол ICMP, может быть нарушена.
Многие вредоносные программы обнаруживают компьютеры, принимающие определенные типы
сообщений протокола ICMP, и используют эти сообщения для проведения различных атак. Однако для
правильной работы некоторых приложений необходимы некоторые из сообщений протокола ICMP.
Кроме того, сообщения ICMP используются для оценки производительности сети при загрузке и
обработке групповой политики. Если сообщения ICMP блокируются, невозможно применить групповую
политику. По этой причине корпорация Майкрософт рекомендует по возможности устанавливать
параметр Брандмауэр Windows: Разрешать исключения ICMP в значение Отключен. Если для
работы среды необходимо, чтобы некоторые из сообщений ICMP пропускались брандмауэром Windows,
укажите в данном параметре политики соответствующие типы сообщений.
Если компьютер находится в ненадежной сети, параметр Брандмауэр Windows: Разрешать
исключения ICMP необходимо установить в значение Отключен.
Примечание.
Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр
Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной
программой Ping), даже если параметр политики Брандмауэр Windows: Разрешать исключения
ICMP блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам
и принтерам, Брандмауэр Windows: Разрешать исключения для входящих подключений
удаленного администрирования и Брандмауэр Windows: Задать исключения для входящих
портов.
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам
и принтерам
Этот параметр политики создает исключение, разрешающее общий доступ к файлам и принтерам. При
этом брандмауэр Windows открывает порты UDP 137, 138 и порты TCP 139 и 445. Если включить
данный параметр политики, брандмауэр Windows откроет эти порты, чтобы компьютер мог получать
задания печати и запросы на доступ к общим файлам. Необходимо задать IP-адреса или подсети, от
которых разрешено получение таких сообщений.
Если отключить параметр Брандмауэр Windows: Разрешать исключения для входящих
подключений к общим файлам и принтерам, брандмауэр Windows будет блокировать эти порты и
запрещать общий доступ к файлам и принтерам.
Поскольку компьютеры в среде под управлением системы Windows Vista обычно не будут совместно
использовать файлы и принтеры, корпорация Майкрософт рекомендует установить параметр
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам
и принтерам в значение Отключен.
Примечание.
Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр
Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной
программой Ping), даже если параметр политики Брандмауэр Windows: Разрешать исключения
ICMP блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам
и принтерам, Брандмауэр Windows: Разрешать исключения для входящих подключений
удаленного администрирования и Брандмауэр Windows: Задать исключения для входящих
портов.
Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного
администрирования
Многие организации используют в своей повседневной деятельности преимущества удаленного
управления компьютерами. Однако некоторые атаки используют уязвимость портов, которые обычно
используются программами удаленного управления. Брандмауэр Windows может обеспечить
блокировку этих портов.
Для обеспечения гибкости удаленного управления используется параметр Брандмауэр Windows:
Разрешать исключения для входящих подключений удаленного администрирования (Allow
inbound remote administration exception). Если этот параметр политики включен, компьютер может
получать через порты TCP 135 и 445 незапрошенные входящие сообщения, связанные с удаленным
управлением. Этот параметр политики также разрешает Svchost.exe и Lsass.exe получать
незапрошенные входящие сообщения, что позволяет службам открывать дополнительные,
динамически назначаемые порты, номер которых обычно находится в диапазоне от 1024 до 1034, но
теоретически может быть любым от 1024 до 65535. Если данный параметр политики включен,
необходимо указать IP-адреса или подсети, от которых разрешается получение этих входящих
сообщений.
Если установить параметр Брандмауэр Windows: Разрешать исключения для входящих
подключений удаленного администрирования в значение Отключен, брандмауэр Windows не
делает описанные выше исключения. Установка этого параметра политики в значение Отключен
может привести к неприемлемым для многих организаций результатам, поскольку использование
многих средств удаленного управления и средств, выполняющих сканирование на предмет
уязвимостей, станет невозможным. Поэтому корпорация Майкрософт рекомендует задействовать
данный параметр политики только организациям, которым необходим наивысший уровень
безопасности.
Для профиля домена компьютеров, находящихся в среде EC, корпорация Майкрософт рекомендует
устанавливать параметр Брандмауэр Windows: Разрешать исключения для входящих
подключений удаленного администрирования в значение Включен только в случае
необходимости. Если включить этот параметр, компьютеры среды будут принимать запросы удаленного
управления от минимально возможного числа компьютеров. Чтобы максимально использовать
возможности брандмауэра Windows, укажите только необходимые IP-адреса, используемые для
удаленного управления.
Корпорация Майкрософт рекомендует устанавливать параметр Брандмауэр Windows: Разрешать
исключения для входящих подключений удаленного администрирования в значение
Отключен для всех компьютеров, использующих стандартный профиль, для предотвращения
известных атак, направленных именно на использование уязвимости портов TCP 135 и 445.
Примечание.
Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр
Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной
программой Ping), даже если параметр политики Брандмауэр Windows: Разрешать исключения
ICMP блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам
и принтерам, Брандмауэр Windows: Разрешать исключения для входящих подключений
удаленного администрирования и Брандмауэр Windows: Задать исключения для входящих
портов.
Брандмауэр Windows: Разрешать исключения для входящих подключений к удаленному
рабочему столу
Многие организации используют подключения к удаленному рабочему столу в повседневной
деятельности и при устранении неполадок. Однако некоторые атаки используют уязвимости портов,
которые обычно используются удаленным рабочим столом.
Для обеспечения гибкости удаленного управления используется параметр Брандмауэр Windows:
Разрешать исключения для входящих подключений к удаленному рабочему столу. Если
включить этот параметр политики, брандмауэр Windows откроет порт TCP 3389 для входящих
подключений. Необходимо также указать IP-адреса или подсети, от которых разрешено получение
входящих сообщений.
Если отключить этот параметр политики, брандмауэр Windows будет блокировать этот порт и
препятствовать получению компьютером запросов на запуск удаленного рабочего стола. Если
администратор добавит этот порт в список локальных исключений для портов, пытаясь открыть его,
брандмауэр Windows не откроет порт.
Для поддержки расширенных функций управления, предоставляемых удаленным рабочим столом,
необходимо установить этот параметр политики в значение Включен для среды EC. Необходимо
указать IP-адреса или подсети компьютеров, используемых для удаленного управления. Компьютеры в
вашей среде должны принимать запросы на запуск удаленного рабочего стола от минимально
возможного числа компьютеров.
Брандмауэр Windows: Разрешать исключения для входящей UPnP-инфраструктуры
Этот параметр политики разрешает компьютеру получать незапрошенные сообщения Plug and Play,
отправляемые сетевыми устройствами, например маршрутизаторами со встроенным брандмауэром. Для
получения этих сообщений брандмауэр Windows открывает порт TCP 2869 и порт UDP 1900.
Если установить параметр Брандмауэр Windows: Разрешать исключения для входящей UPnP-
инфраструктуры, брандмауэр Windows откроет эти порты, чтобы компьютер мог получать сообщения
Plug and Play. Необходимо указать IP-адреса или подсети, от которых разрешено получение входящих
сообщений. Если отключить этот параметр политики, брандмауэр Windows будет блокировать эти
порты и препятствовать получению компьютером сообщений Plug and Play.
Блокирование сетевого трафика UPnP значительно уменьшает число уязвимых мест компьютеров в
среде. В безопасных сетях корпорация Майкрософт рекомендует устанавливать параметр Брандмауэр
Windows: Разрешать исключения для входящей UPnP-инфраструктуры в значение Отключен,
если в сети не используются устройства UPnP. Этот параметр политики всегда должен иметь значение
Отключен в ненадежных сетях.
Брандмауэр Windows: Разрешать локальные исключения для портов
Этот параметр политики позволяет администраторам использовать компонент панели управления
"Брандмауэр Windows" для определения списка локальных исключений для портов. Брандмауэр
Windows может использовать два списка исключений для портов. Второй из них определяется
параметром Брандмауэр Windows: Задать исключения для портов.
Если установить параметр Брандмауэр Windows: Разрешать локальные исключения для портов,
то администратор сможет задавать список локальных исключений для портов с помощью компонента
панели управления "Брандмауэр Windows". Если отключить этот параметр политики, администратор не
сможет задавать такой список с помощью компонента панели управления "Брандмауэр Windows".
Обычно локальные администраторы не обладают правом переопределять принятые в организации
политики и задавать собственный список исключений для портов. По этой причине корпорация
Майкрософт рекомендует устанавливать параметр Брандмауэр Windows: Разрешать локальные
исключения для портов в значение Отключен.
Брандмауэр Windows: Разрешать локальные исключения для программ
Этот параметр политики управляет возможностью администраторов использовать компонент панели
управления "Брандмауэр Windows" для определения списка локальных исключений для программ. Если
отключить этот параметр политики, администраторы не смогут задавать список локальных исключений
для программ. Кроме того, это обеспечивает использование исключений для программ только на
основе групповой политики. Если этот параметр политики включен, локальные администраторы могут
использовать панель управления для задания локальных исключений для программ.
Для компьютеров среды EC могут существовать условия, оправдывающие использование локальных
исключений для программ. Такие условия могут включать приложения, которые не были
проанализированы при создании политики брандмауэра организации, или новые приложения, для
работы которых необходима нестандартная настройка портов. Следует иметь в виду, что если
включить параметр Брандмауэр Windows: Разрешать локальные исключения для программ для
таких ситуаций, количество уязвимых компьютеров увеличится.
Брандмауэр Windows: Задать исключения для входящих портов
Список исключений для портов брандмауэра Windows должен задаваться групповой политикой,
которая позволяет централизованно управлять исключениями для портов и развертывать их,
обеспечивая невозможность создания локальными администраторами менее безопасных настроек.
Если установить параметр Брандмауэр Windows: Задать исключения для входящих портов,
станет возможным просматривать и редактировать список исключений для портов, заданный групповой
политикой. Чтобы просмотреть или отредактировать список исключений для портов, установите
параметр в значение Включен и нажмите кнопку Показать. Если ввести неправильную строку
определения, брандмауэр Windows добавит ее в список, не выполнив проверку на наличие ошибок.
Это означает, что можно случайно создать несколько записей для одного и того же порта с
конфликтующими значениями области или состояния.
Если отключить параметр Брандмауэр Windows: Задать исключения для входящих портов, это
приведет к удалению списка исключений для портов, определенного групповой политикой, но другие
настройки все так же будут открывать или блокировать порты. Кроме того, если имеется список
локальных исключений для портов, он игнорируется, пока не будет включен параметр Брандмауэр
Windows: Разрешать локальные исключения для портов.
В средах с нестандартными приложениями, для работы которых необходимо открыть определенные
порты, рекомендуется использовать исключения для программ, а не исключения для портов.
Корпорация Майкрософт рекомендует устанавливать параметр Брандмауэр Windows: Задать
исключения для входящих портов в значение Включен и создавать список исключений для портов
только в том случае, если невозможно задать исключения для программ. Исключения для программ
разрешают брандмауэру Windows принимать незапрошенный сетевой трафик только во время работы
указанной программы, а исключения для портов открывают их всегда.
Примечание.
Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр
Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной
программой Ping), даже если параметр политики Брандмауэр Windows: Разрешать исключения
ICMP блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам
и принтерам, Брандмауэр Windows: Разрешать исключения для входящих подключений
удаленного администрирования и Брандмауэр Windows: Задать исключения для входящих
портов.
Брандмауэр Windows: Задать исключения для входящих программ
Для работы некоторых приложений может потребоваться открыть и использовать сетевые порты,
которые обычно закрыты брандмауэром Windows. Параметр Брандмауэр Windows: Задать
исключения для входящих программ позволяет просматривать и редактировать список
исключений для портов, заданный групповой политикой.
Если этот параметр политики имеет значение Включен, можно просматривать и редактировать список
исключений для программ. Если добавить программу в список и установить ее состояние в значение
Включен, то эта программа сможет получать незапрошенные входящие сообщения через любой порт,
открываемый брандмауэром Windows по ее запросу, даже в том случае, если порт блокирован другим
параметром. Если установить этот параметр политики в значение Отключен, то список исключений
для программ, определяемый групповой политикой, будет удален.
Примечание.
Если ввести неправильную строку определения, брандмауэр Windows добавит ее в
список, не выполнив проверку на наличие ошибок. Поскольку запись не проверяется, в список можно
добавлять еще не установленные программы. Также можно случайно создать несколько исключений
для одной и той же программы с конфликтующими значениями области или состояния.
Брандмауэр Windows: Не разрешать исключения
Этот параметр политики приводит к блокированию брандмауэром Windows всех незапрошенных
входящих сообщений. Он имеет приоритет над всеми остальными параметрами брандмауэра Windows,
которые разрешают прием таких сообщений. Если включить этот параметр в элементе панели
управления "Брандмауэр Windows", будет установлен флажок Не разрешать исключения, и
администраторы не смогут снять его.
Во многих средах имеются приложения и службы, которые для нормальной работы должны получать
входящие незапрошенные сообщения. В таких средах нужно установить параметр Брандмауэр
Windows: Не разрешать исключения в значение Отключен, чтобы эти приложения и службы
работали правильно. Однако перед настройкой данного параметра политики необходимо проверить
среду на предмет того, какие сообщения следует разрешить.
Примечание.
Этот параметр политики обеспечивает надежную защиту против внешних атак и
должен быть установлен в значение Включен в ситуациях, когда необходима полная защита от
внешних атак, например от заражения новым сетевым червем. Если установить этот параметр политики
в значение Отключен, брандмауэр Windows будет применять другие параметры политики, которые
разрешают прием незапрошенных входящих сообщений.
Брандмауэр Windows: Запретить уведомления
Брандмауэр Windows может уведомлять пользователя при получении от программ запросов на
добавление их в список исключений для программ. Это происходит, когда программа пытается открыть
порт, закрытый текущими правилами брандмауэра Windows.
Параметр Брандмауэр Windows: Запретить уведомления определяет, показывать ли эти настройки
пользователю. Если установить этот параметр политики в значение Включен, брандмауэр Windows не
будет выводить эти уведомления. Если установить его в значение Отключен, брандмауэр Windows
будет показывать эти уведомления.
Брандмауэр Windows: Запретить одноадресный ответ на многоадресные или
широковещательные сообщения
Этот параметр политики предотвращает получение компьютером одноадресных ответов на исходящие
многоадресные или широковещательные сообщения. Если этот параметр политики включен, и
компьютер отправляет многоадресные или широковещательные сообщения другим компьютерам,
брандмауэр Windows блокирует отправленные ими одноадресные ответы. Если данный параметр
отключен и компьютер отправляет многоадресные или широковещательные сообщения другим
компьютерам, брандмауэр Windows ожидает одноадресные ответы от других компьютеров в течение
трех секунд, по истечении которых блокирует все последующие ответы.
Обычно необходимость в получении одноадресных ответов на многоадресные или широковещательные
сообщения отсутствует. Такие ответы могут свидетельствовать об атаке типа "отказ в обслуживании"
(DoS) или о попытке прощупать компьютер. Корпорация Майкрософт рекомендует устанавливать
параметр Брандмауэр Windows: Запретить одноадресный ответ на многоадресные или
широковещательные сообщения в значение Включен.
Примечание.
Этот параметр политики не влияет на одноадресные сообщения, которые являются
ответом на широковещательное сообщение DHCP, отправленное компьютером. Брандмауэр Windows
всегда разрешает такие ответы DHCP. Однако этот параметр политики может мешать сообщениям
NetBIOS, которые обнаруживают конфликты имен.
Брандмауэр Windows: Защищать все сетевые подключения
Этот параметр политики включает брандмауэр Windows, который заменяет брандмауэр подключения к
Интернету на всех компьютерах под управлением Windows Vista. Рекомендуется установить этот
параметр политики в значение Включен, чтобы защищать все сетевые подключения компьютеров во
всех средах, рассматриваемых в данном руководстве.
Если параметр Брандмауэр Windows: Защищать все сетевые подключения установлен в
значение Отключен, брандмауэр Windows отключается и все его настройки игнорируются.
Примечание.
Если включить этот параметр политики, запускается брандмауэр Windows, а настройки
параметра Конфигурация компьютера\Административные шаблоны\Сеть\Сетевые
подключения
\Запретить использование брандмауэра подключения к Интернету в сети DNS-домена
игнорируются.
Система
В разделе "Конфигурация компьютера\Административные шаблоны\Система" можно настроить
следующие дополнительные разделы:
•
Вход в систему
•
Групповая политика
•
Удаленный помощник
•
Удаленный вызов процедур
•
Управление связью через Интернет\Параметры связи через Интернет
Вход в систему
Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Система\Вход в систему
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах входа в систему.
Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей.
Таблица A37. Рекомендуемые параметры входа в систему
Параметр
Настольный
компьютер
EC
Портативный Настольный
компьютер
компьютер SSLF
EC
Портативный
компьютер
SSLF
Не обрабатывать список
Не задан
Не задан
Включен
Включен
Не задан
Не задан
Включен
Включен
автозапуска для старых
версий
Не обрабатывать список
автозапуска программ,
выполняемых однажды
Не обрабатывать список автозапуска для старых версий
Этот параметр политики управляет использованием списка автозапуска, который представляет собой
список программ, автоматически запускаемых при запуске Windows Vista. Пользовательские списки
автозапуска Windows Vista хранятся в следующих разделах реестра:
•
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
•
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Можно включить параметр Не обрабатывать список автозапуска для старых версий, чтобы
предотвратить загрузку при каждом запуске Windows Vista вредоносных программ, с помощью которых
можно получить доступ к данным, хранящимся на компьютере, или нанести другой ущерб. Если этот
параметр политики включен, невозможно запустить некоторые системные программы, например
антивирусные программы и программы для распространения и наблюдения за ПО. Корпорация
Майкрософт рекомендует оценить степень угрозы, которую этот параметр политики представляет для
среды, перед его использованием в организации.
Параметр Не обрабатывать список автозапуска для старых версий имеет значение Не задан для
среды EC и Включен для среды SSLF.
Не обрабатывать список автозапуска программ, выполняемых однажды
Этот параметр политики управляет использованием списка автозапуска программ, выполняемых
однажды, который представляет собой список программ, автоматически запускаемых при запуске
Windows Vista. Этот параметр политики отличается от параметра Не обрабатывать список
автозапуска для старых версий тем, что программы этого списка запускаются только один раз при
следующей перезагрузке компьютера. Иногда в этот список добавляются программы установки для
завершения установки после перезагрузки компьютера. Если этот параметр политики включен,
злоумышленники не смогут воспользоваться списком автозапуска программ, выполняемых однажды,
для запуска вредоносных приложений. Раньше это был один из наиболее распространенных способов
атаки. Злоумышленник может использовать список автозапуска программ, выполняемых однажды, для
установки программы, которая поставит под угрозу безопасность компьютеров под управлением
Windows Vista.
Примечание.
Пользовательские списки автозапуска программ, выполняемых однажды, хранятся в
следующих разделах реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Использование параметра Не обрабатывать список автозапуска программ, выполняемых
однажды не приводит к заметным потерям функциональности в среде, особенно если все стандартные
программы организации на клиентском компьютере установлены и настроены до применения этого
параметра политики с помощью групповой политики. В среде EC параметр Не обрабатывать список
автозапуска программ, выполняемых однажды имеет значение Не задан, а в среде SSLF —
Включен.
Групповая политика
Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов
групповой политики:
Конфигурация компьютера\Административные шаблоны\Система\Групповая политика
Таблица A38. Рекомендуемые параметры групповой политики
Параметр
Настольный
компьютер
EC
Портативный Настольный
компьютер
компьютер SSLF
EC
Портативный
компьютер
SSLF
Обработка политики реестра
Включен
Включен
Включен
Включен
Обработка политики реестра
Этот параметр политики определяет обновление политики реестра. Он влияет на все политики папки
"Административные шаблоны" и на все другие политики хранения значений в реестре. Если этот
параметр политики включен, можно выбрать один из следующих вариантов.
•
Не применять во время периодической фоновой обработки.
•
Обрабатывать, даже если объекты групповой политики не изменились.
Некоторые параметры, настраиваемые в папке "Административные шаблоны", создаются в разделах
реестра, доступных пользователям. Изменения этих параметров, внесенные пользователем,
перезаписываются, если данный параметр политики включен.
Параметр Обработка политики реестра установлен в значение Включен для обеих сред,
рассматриваемых в данном руководстве.
Удаленный помощник
Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Система\Удаленный помощник
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах удаленного
помощника. Дополнительные сведения по каждой строке приводятся в последующих подразделах.
Таблица A39. Рекомендуемые параметры удаленного помощника
Параметр
Настольный
компьютер
EC
Портативный Настольный
компьютер
компьютер SSLF
EC
Портативный
компьютер
SSLF
Предложение удаленной
Не задан
Не задан
Отключен
Отключен
Не задан
Не задан
Отключен
Отключен
помощи
Запрос удаленной помощи
Предложение удаленной помощи
Этот параметр политики определяет, может ли технический персонал или ИТ-специалист
(администратор) предлагать удаленную помощь компьютерам среды, если пользователь явно не
просил помощи посредством средств связи, например по электронной почте или с помощью средства
обмена мгновенными сообщениями.
Примечание.
Специалист не может подключиться к компьютеру без ведома пользователя и не может
управлять им без разрешения пользователя. Когда специалист пытается подключиться, пользователь
может отказать в подключении или предоставить ему только право наблюдения. Пользователь должен
нажать кнопку Да, чтобы разрешить удаленное управление рабочей станцией. Перед этим следует
установить параметр Предложение удаленной помощи в значение Включен.
Если этот параметр политики включен, можно выбрать один из следующих вариантов.
•
Помощники могут только наблюдать.
•
Помощники могут управлять компьютером.
При настройке этого параметра политики можно задать список пользователей или групп
пользователей, так называемых "помощников", которые могут предлагать удаленную помощь.
Настройка списка помощников
1.
В окне настройки параметра Предложение удаленной помощи нажмите кнопку Показать.
При этом откроется новое окно, где можно ввести имена помощников.
2.
Добавьте пользователя или группу в список Помощник в одном из следующих форматов:
•
<Домен>\<Имя пользователя>
•
<Домен>\<Имя группы>
Если этот параметр политики отключен или не настроен, пользователи и группы не смогут предлагать
удаленную помощь пользователям компьютеров среды без предварительного запроса.
Параметр Предложение удаленной помощи имеет значение Не задан для среды EC. Однако этот
параметр политики имеет значение Отключен для среды SSLF, чтобы предотвратить доступ к
клиентским компьютерам под управлением Windows Vista по сети.
Запрос удаленной помощи
Этот параметр политики определяет, можно ли запросить удаленную помощь с компьютеров среды под
управлением Windows Vista. Можно включить этот параметр политики, чтобы разрешить пользователям
запрашивать удаленную помощь ИТ-специалистов.
Примечание.
Специалист не может подключиться к компьютеру без ведома пользователя и не может
управлять им без разрешения пользователя. Когда специалист пытается подключиться, пользователь
может отказать в подключении или предоставить ему только право наблюдения. Пользователь должен
нажать кнопку Да, чтобы разрешить специалисту удаленно управлять рабочей станцией.
Если параметр Запрос удаленной помощи включен, можно выбрать один из следующих вариантов.
•
Помощники могут управлять компьютером.
•
Помощники могут только наблюдать.
Кроме того, можно задать время, на протяжении которого запрос будет действителен.
•
Максимальное время приглашения (значение):
•
Максимальное время приглашения (единиц): часов, минут или дней
Когда срок действия приглашения (запрос помощи) истекает, пользователь должен отправить другой
запрос, чтобы специалист смог подключиться к компьютеру. Если отключить параметр Запрос
удаленной помощи, пользователи не смогут отправлять запросы помощи и специалист не сможет
подключаться к компьютеру.
Если параметр Запрос удаленной помощи не настроен, пользователи имеют возможность настроить
запросы удаленной помощи в панели управления. По умолчанию в панели управления включены
следующие параметры: Запрос удаленной помощи, Помощь друга и Удаленное управление.
Значение параметра Максимальное время приглашения составляет 30 дней. Если этот параметр
политики отключен, никто не сможет получить доступ к клиентскому компьютеру под управлением
Windows Vista по сети.
Параметр Запрос удаленной помощи имеет значение Не задан для среды EC и значение Отключен
для среды SSLF.
Удаленный вызов процедур
Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе
объектов групповой политики:
Административные шаблоны\Система\Удаленный вызов процедур
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах удаленного
вызова процедур. Дополнительные сведения по каждой строке приводятся в подразделах, следующих
за таблицей.
Таблица A40. Рекомендуемые параметры удаленного вызова процедур
Параметр
Настольный
компьютер EC
Портативный
компьютер EC
Настольный
компьютер
SSLF
Портативный
компьютер
SSLF
Ограничения для не
Включен —
Включен —
Включен —
Включен —
прошедших проверку
Прошедшие
Прошедшие
Прошедшие
Прошедшие
подлинности RPC-
проверку
проверку
проверку
проверку
Отключен
Отключен
Включен
Включен
клиентов
Проверка подлинности
клиентов системы
сопоставления
конечных точек RPC
Ограничения для не прошедших проверку подлинности RPC-клиентов
Этот параметр политики используется для настройки ограничений исполняемого модуля RPC RPCсервера на подключение не прошедших проверку подлинности RPC-клиентов к RPC-серверу. Клиент
считается прошедшим проверку подлинности, если он использует именованный канал для связи с
сервером или если он использует RPC-безопасность. RPC-интерфейсы, которые явно указывают, что
они должны быть доступны для не прошедших проверку клиентов, могут быть исключены из этих
ограничений, в зависимости от значения параметра, выбранного для этой политики. Если эта политика
включена, используются следующие значения:
•
Отсутствует. Разрешает любым RPC-клиентам подключаться к RPC- серверам на компьютере с этой
•
Прошедшие проверку. Разрешает только прошедшим проверку RPC-клиентам подключаться к
политикой.
RPC-серверам на компьютере с этой политикой. Интерфейсы, запрашивающие исключение из этого
ограничения, получают его.
•
Прошедшие проверку без исключений. Разрешает только прошедшим проверку RPC-клиентам
подключаться к RPC-серверам на компьютере с этой политикой. В этом случае никакие исключения
не допускаются.
Поскольку обмен данными с не прошедшим проверку подлинности RPC-клиентом может создать угрозу
безопасности, параметр Ограничения для не прошедших проверку подлинности RPC-клиентов
имеет значение Включен и параметр Применяемое ограничение для не прошедших проверку
подлинности RPC-клиентов имеет значение Прошедшие проверку для обеих сред,
рассматриваемых в данном руководстве.
Примечание.
При такой настройке RPC-приложения будут работать неправильно, если
незапрошенные входящие запросы на подключение не прошли проверку подлинности. Обязательно
проверьте работу приложений перед развертыванием в среде этого параметра политики. Хотя для
данного параметра политики значение "Прошедшие проверку" не обеспечивает полную безопасность,
его можно использовать для обеспечения совместимости приложений в среде.
Проверка подлинности клиентов системы сопоставления конечных точек RPC
Если этот параметр политики включен, клиентские компьютеры, осуществляющие обмен данными с
этим компьютером, обязательно должны проходить проверку подлинности перед установкой
подключения RPC. По умолчанию, RPC-клиенты не используют проверку подлинности для связи со
службой сопоставления конечных точек, когда они запрашивают конечную точку сервера. Однако эта
стандартная настройка изменяется для среды SSLF, что приводит к обязательной проверке
подлинности клиентских компьютеров перед установкой подключения RPC.
Управление связью через Интернет\Параметры связи через Интернет
В группе "Параметры связи через Интернет" имеется несколько параметров настройки. Рекомендуется
ограничить большинство этих параметров, чтобы усилить секретность данных, хранящихся в системах
компьютеров. Если не ограничить эти параметры, информация может быть перехвачена и
использована злоумышленником. Хотя в действительности атаки такого типа сегодня происходят
редко, надлежащая настройка этих параметров улучшает защиту среды от будущих атак.
Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе
объектов групповой политики:
Административные шаблоны\Система\Управление связью через Интернет\Параметры связи
через Интернет
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах связи через
Интернет. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за
таблицей.
Таблица A41. Рекомендуемые настройки связи через Интернет
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Отключить веб-публикацию в списке
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Отключен
Отключен
Включен
Включен
задач для файлов и папок
Отключить загрузку из Интернета для
мастеров веб-публикаций и заказа
отпечатков
Отключить участие в программе
улучшения поддержки пользователей
Windows Messenger
Отключить обновление
информационных файлов помощника
по поиску
Отключить выполнение печати через
протокол HTTP
Отключить загрузку драйверов печати
через протокол HTTP
Отключить использование Windows
Update при поиске драйверов
устройств
Отключить веб-публикацию в списке задач для файлов и папок
С помощью данного параметра можно указать, отображаются ли задачи Опубликовать файл в вебе,
Опубликовать папку в вебе и Опубликовать выделенные объекты в вебе в разделе задач для
файлов и папок в окне Проводника. Мастер веб-публикаций используется для загрузки списка
поставщиков услуг и позволяет публиковать информацию на веб-узлах.
Если установить параметр Отключить веб-публикацию в списке задач для файлов и папок в
значение Включен, соответствующие команды не появляются в списке задач для файлов и папок в
окнах Проводника. По умолчанию функция публикации в вебе доступна. Поскольку с помощью этой
возможности не прошедший проверку подлинности клиентский компьютер из Интернета может
получить доступ к защищенным данным, данный параметр имеет значение Включен и для среды EC, и
для среды SSLF.
Отключить загрузку из Интернета для мастеров веб-публикаций и заказа отпечатков
Этот параметр политики указывает, будет ли Windows загружать список поставщиков для мастеров
веб-публикаций и заказа отпечатков. Если данный параметр политики включен, загрузка поставщиков
в Windows отключается и выводятся только поставщики услуг, записанные в кэш локального реестра.
Поскольку параметр Отключитьвеб-публикацию в списке задач для файлов и папок включен
для сред EC и SSLF (см. предыдущий параметр), необходимость в данном параметре отпадает. Однако
параметр Отключить загрузку из Интернета для мастеров веб-публикаций и заказа
отпечатков установлен в значение Включен, чтобы уменьшить количество уязвимых мест клиентских
компьютеров и обеспечить защиту от других способов злоупотребления данной возможностью.
Отключить участие в программе улучшения поддержки пользователей Windows Messenger
Этот параметр политики указывает, может ли Windows Messenger собирать анонимные сведения об
использовании программы и службы Windows Messenger. Если включить этот параметр политики,
Windows Messenger не будет собирать сведения об использовании, а настройки пользователя,
включающие сбор сведений об использовании, не будут отображаться.
Во многих крупных корпоративных системах сбор данных с управляемых клиентских компьютеров
может быть нежелательным. Чтобы данные не собирались, параметр Отключить участие в
программе улучшения поддержки пользователей Windows Messenger имеет значение
Включен для обеих сред, рассматриваемых в данном руководстве.
Отключить обновление информационных файлов помощника по поиску
Данный параметр указывает, может ли помощник по поиску автоматически загружать обновления
информации во время локального поиска или поиска в Интернете. Если установить этот параметр
политики в значение Включен, помощник по поиску не будет загружать обновления информации во
время поиска.
Параметр Отключить обновление информационных файлов помощника по поиску имеет
значение Включен и для среды EC, и для среды SSLF, чтобы обеспечить возможность контроля
ненужного обмена данными по сети для каждого управляемого клиентского компьютера.
Примечание.
При поиске по Интернету искомый текст и информация о поиске все так же будут
отправляться корпорации Майкрософт и выбранной поисковой системе. Выбор классического поиска
полностью отключает функции помощника по поиску. Можно выбрать классический поиск, выбрав в
меню Пуск, пункт Поиск, затем пункт Изменить параметры, а затем пункт Изменить
характеристики поиска в Интернете.
Отключить выполнение печати через протокол HTTP
Этот параметр политики позволяет отключить возможность клиентского компьютера печатать через
протокол HTTP, которая позволяет компьютеру выполнять печать на принтерах, находящихся в
интрасети или в Интернете. Если этот параметр политики включен, клиентский компьютер не может
выполнять печать на принтерах в Интернете через протокол HTTP.
Данные, передаваемые через протокол HTTP при использовании этой возможности, не защищены и
могут быть перехвачены злоумышленниками. Поэтому данную возможность редко используют в
корпоративных сетях. Параметр Отключить выполнение печати через протокол HTTP имеет
значение Включен и для среды EC, и для среды SSLF, что устраняет потенциальные угрозы
безопасности со стороны незащищенного задания печати.
Примечание.
Этот параметр политики влияет только на клиентскую сторону печати через Интернет.
Независимо от того, какое значение имеет этот параметр, компьютер может выступать в роли сервера
печати через Интернет и открывать доступ через протокол HTTP к подключенным к нему принтерам.
Отключить загрузку драйверов печати через протокол HTTP
Данный параметр управляет возможностью загрузки пакетов драйверов печати через протокол HTTP.
Чтобы настроить печать через протокол HTTP, может потребоваться загрузить через протокол HTTP
драйвера принтеров, которые отсутствуют в стандартной установке операционной системы.
Параметр Отключить загрузку драйверов печати через протокол HTTP имеет значение
Включен, что запрещает загрузку драйверов печати через протокол HTTP.
Примечание.
Этот параметр политики не запрещает клиентскому компьютеру выполнять печать
через протокол HTTP на принтерах, находящихся в интрасети или в Интернете. Он запрещает только
загрузку драйверов, которые не были установлены локально.
Отключить использование Windows Update при поиске драйверов устройств
Этот параметр политики указывает, будет ли Windows выполнять поиск драйверов устройств в центре
обновлений Windows, в случае их отсутствия в системе.
Поскольку загрузка драйверов устройств из Интернета связана с определенным риском, параметр
Отключить использование Windows Update при поиске драйверов имеет значение Включен
для среды SSLF и значение Отключен для среды EC. Такая настройка объясняется тем, что
защититься от атак, которые используют загрузку драйверов, можно с помощью надлежащего
управления ресурсами предприятия и управления конфигурацией. Это также поможет обеспечить
совместимость и стабильность компьютеров среды.
Примечание.
См. также параметр Отключить запрос на использование Windows Update при
поиске драйверов в разделе Административные шаблоны/Система, который указывает,
выводится ли администратору предложение выполнить поиск драйверов устройств в Центре
обновлений Windows, если драйвер отсутствует в системе.
Компоненты Windows
Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
В разделе Административные шаблоны\Компоненты Windows можно настроить следующие параметры:
•
Политики автозапуска
•
Интерфейс учетных данных
•
Internet Explorer
•
NetMeeting
•
Службы терминалов
•
Windows Messenger
•
Веб-узел Центр обновления Windows
Политики автозапуска
Автозапуск — это функция Windows, которая используется для автоматического открытия или запуска
файлов мультимедиа или программ установки сразу же после их обнаружения на компьютере. Можно
настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\
Политики автозапуска
Таблица A42. Рекомендуемые настройки автозапуска
Параметр
Настольный
компьютер EC
Портативный
компьютер EC
Настольный
компьютер SSLF
Портативный
компьютер
SSLF
Отключить
Не задан
Не задан
Включен —
Включен —
Все устройства
Все устройства
автозапуск
Отключить автозапуск
Автозапуск начинает чтение с устройства сразу же после вставки носителя в устройство, что приводит
к запуску программы установки ПО или к воспроизведению аудиоданных. Злоумышленник может
использовать эту возможность для запуска вредоносной программы, повреждающей данные или сам
компьютер. Включите параметр Отключить автозапуск, чтобы отключить функцию автозапуска. По
умолчанию автозапуск отключен для некоторых съемных дисков, например, для дискет и для сетевых
дисков, но не для дисковода для компакт-дисков.
Параметр Отключить автозапуск имеет значение Не задан для среды EC и значение Включен —
Все устройства только для среды SSLF.
Примечание.
Нельзя использовать этот параметр политики для включения автозапуска на
устройствах, для которых он по умолчанию отключен, например для дискет и сетевых дисков.
Интерфейс учетных данных
Параметры интерфейса учетных данных управляют пользовательским интерфейсом ввода имени и
пароля учетной записи для авторизации требующих повышенных привилегий задач, для выполнения
которых необходимо подтверждение через защищенный рабочий стол. Указанные ниже
рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов
групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Интерфейс
учетных данных
Таблица A43. Рекомендуемые настройки интерфейса учетных данных контроля учетных
записей
Параметр
Настольный
компьютер EC
Портативный
компьютер EC
Настольный Портативный
компьютер
компьютер
SSLF
SSLF
§ Выводить список
Не задан
Не задан
Отключен
Отключен
Не задан
Не задан
Включен
Включен
учетных записей
администраторов при
повышении привилегий
§ Требовать безопасный
путь при вводе учетных
данных
§ — Означает, что параметр групповой политики появился только в Windows Vista.
Выводить список учетных записей администраторов при повышении привилегий
По умолчанию при попытке повышения привилегий работающего приложения выводится список
учетных записей администраторов. Если этот параметр политики включен, пользователь всегда должен
вводить имя пользователя и пароль для повышения привилегий. Если отключить эту политику, будет
выводиться список всех учетных записей локальных администраторов компьютера, чтобы пользователь
мог выбрать нужную и ввести правильный пароль.
Параметр Выводить список учетных записей администраторов при повышении привилегий
имеет значение Не задан для среды EC и значение Отключен для среды SSLF.
Требовать безопасный путь при вводе учетных данных
Если включить этот параметр политики, пользователи должны будут вводить учетные данные Windows
через защищенный рабочий стол с использованием механизма безопасного пути. Это значит, что перед
вводом имени и пароля учетной записи для авторизации запроса на повышение привилегий,
пользователь должен нажать комбинацию клавиш CTRL+ALT+DEL. Использование безопасного пути
защищает от кражи учетных данных Windows троянской программой или другими типами вредоносного
кода.
Если отключить или не настраивать этот параметр политики, пользователи будут вводить учетные
данные Windows непосредственно в сеансе рабочего стола пользователя, что может дать вредоносному
коду доступ к учетным данным пользователя Windows.
Параметр Требовать безопасный путь при вводе учетных данных имеет значение Не задан для
среды EC и значение Включен для среды SSLF.
Internet Explorer
Групповая политика Microsoft Internet Explorer® помогает реализовывать требования к безопасности
для компьютеров под управлением Windows Vista и предотвращает обмен нежелательными данными
через Internet Explorer. Используйте следующие критерии для обеспечения безопасности Internet
Explorer на рабочих станциях среды.
•
Убедитесь в том, что запросы отправляются в Интернет только непосредственно после
•
Убедитесь в том, что данные, отправляемые определенным веб-узлам, принимаются только этими
соответствующих действий пользователя.
веб-узлами, если только пользователь своими действиями не разрешает передавать данные на
другие узлы назначения.
•
Убедитесь в том, что безопасные каналы к серверам или узлам четко определены, а также известны
•
Убедитесь в том, что все сценарии или программы, запускаемые вместе с Internet Explorer,
владельцы серверов или узлов на каждом канале.
выполняются в ограниченной среде. Программам, передаваемым по безопасным каналам, можно
разрешить работать вне пределов ограниченной среды.
Важно
Перед применением объектов GPO, включенных в данное руководство, необходимо убедиться
в том, что Internet Explorer надлежащим образом настроен для доступа к Интернету. Во многих средах
необходимо специально настроить параметры прокси-сервера, чтобы обеспечить соответствующий
доступ в Интернет. Рекомендуемые настройки, которые приводятся в данном руководстве, запрещают
пользователю изменять настройки параметров прокси-сервера Internet Explorer.
Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet
Explorer
В следующей таблице приводятся обобщенные сведения о рекомендуемой настройке параметров
Internet Explorer. Дополнительные сведения по каждой строке приводятся в подразделах, следующих
за таблицей.
Таблица A44. Рекомендуемые настройки Internet Explorer
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Отключить автоматическую установку
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
компонентов Internet Explorer
Отключить периодическую проверку
обновлений компонентов Internet
Explorer
Отключить уведомления оболочки
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Отключен
Включен
Отключен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
обновления программ при запуске
программ
Не разрешать пользователям
включать и отключать надстройки
Задать параметры прокси для
компьютера (а не для пользователя)
Зоны безопасности: Не разрешать
пользователям добавлять или удалять
узлы
Зоны безопасности: Не разрешать
пользователям изменять политики
Зоны безопасности: Использовать
только параметры компьютера
Отключить обнаружение аварийных
сбоев
Отключить автоматическую установку компонентов Internet Explorer
Если включить этот параметр политики, Internet Explorer не будет загружать компоненты при
просмотре пользователем веб-узлов, для обеспечения полной функциональности которых нужны эти
компоненты. Если этот параметр отключен или не настроен, пользователи будут получать предложение
загрузить и установить компоненты при каждом посещении использующего их веб-узла.
Параметр Отключить автоматическую установку компонентов Internet Explorer имеет значение
Включен для обеих сред, описанных в данном приложении.
Примечание.
Перед включением этого параметра политики корпорация Майкрософт рекомендует
продумать альтернативную стратегию обновления Internet Explorer через центр обновления
Майкрософт или аналогичную службу.
Отключить периодическую проверку обновлений компонентов Internet Explorer
Если включить этот параметр политики, Internet Explorer не будет узнавать о наличии более новой
версии обозревателя и сообщать об этом пользователям. Если этот параметр отключен или не
настроен, то Internet Explorer выполняет проверку наличия обновлений каждые 30 дней (по
умолчанию) и сообщает пользователям о появлении новой версии.
Параметр Отключить периодическую проверку обновлений компонентов Internet Explorer
имеет значение Включен для обеих сред, рассматриваемых в данном руководстве.
Примечание.
Перед включением этого параметра корпорация Майкрософт рекомендует
администраторам организации продумать альтернативную стратегию периодического обновления
Internet Explorer на клиентских компьютерах среды.
Отключить уведомления оболочки обновления программ при запуске программ
Данный параметр политики указывает, что программы, использующие каналы распространения
программного обеспечения корпорации Майкрософт, не будут сообщать пользователям об установке
новых компонентов. Каналы распространения программного обеспечения используются для
динамического обновления программ на компьютерах пользователей. В основе этой функции лежит
технология Open Software Distribution (.osd).
Параметр Отключить уведомления оболочки обновления программ при запуске программ
имеет значение Включен для обеих сред, рассматриваемых в данном руководстве.
Не разрешать пользователям включать и отключать надстройки
Этот параметр политики позволяет управлять способностью пользователей включать или отключать
надстройки с помощью диалогового окна "Управление надстройками". Если установить данный
параметр в значение Включен, пользователи не смогут включать и отключать надстройки с помощью
диалогового окна "Управление надстройками". Единственным исключением является случай, если
надстройки были специально добавлены в параметр политики Список надстроек таким образом,
который позволяет пользователям управлять данной надстройкой. В таком случае пользователь может
управлять надстройкой через диалоговое окно "Управление надстройками". Если установить этот
параметр в значение Отключен, пользователь сможет включать и отключать надстройки.
Часто пользователи устанавливают надстройки, запрещенные политикой безопасности организации.
Такие надстройки могут представлять серьезную угрозу безопасности и конфиденциальности сети.
Поэтому данный параметр политики установлен в значение Включен для обеих сред,
рассматриваемых в данном руководстве.
Примечание.
Необходимо просмотреть параметры объекта GPO в разделе Internet Explorer\Средства
безопасности\Управление надстройками, чтобы убедится в том, что необходимые авторизированные
надстройки все так же выполняются в среде. Например, может понадобиться прочитать статью 555235
базы знаний Веб-клиент и рабочее место в Интернете сервера Small Business Server не работают, если
в Windows XP с пакетом обновления 2 с помощью групповой политики включена блокировка надстроек
(на английском языке).
Задать параметры прокси для компьютера (а не для пользователя)
Если включить этот параметр политики, пользователи не смогут изменять пользовательские параметры
прокси-сервера. Им придется использовать зоны, созданные для всех пользователей компьютеров, с
которыми они работают.
Параметр Задать параметры прокси для компьютера (а не для пользователя) имеет значение
Включен для настольных клиентских компьютеров для обеих сред, рассматриваемых в данном
руководстве. Однако данный параметр политики имеет значение Отключен для портативных
клиентских компьютеров, поскольку пользователям мобильных компьютеров может понадобиться
изменить параметры прокси-сервера во время путешествия.
Зоны безопасности: Не разрешать пользователям добавлять или удалять узлы
Включите этот параметр политики, чтобы отключить параметры управления веб-узлами для зон
безопасности. (Чтобы просмотреть параметр управления веб-узлами для зон безопасности, откройте
Internet Explorer, в меню Сервис выберите пункт Свойства обозревателя и откройте вкладку
Безопасность, на которой нажмите кнопку Узлы.) Если этот параметр политики отключен или не
настроен, пользователи могут добавлять и удалять веб-узлы в зоны Надежные узлы и
Ограниченные узлы, а также изменять настройки зоны Местная интрасеть.
Параметр Зоны безопасности: Не разрешать пользователям добавлять и удалять узлы имеет
значение Включен для обеих сред, рассматриваемых в данном руководстве.
Примечание.
Если включить параметр Отключить вкладку "Безопасность" (в разделе
\Конфигурация пользователя\
Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления
обозревателем), то вкладка Безопасность не отображается и для данного параметра Зоны
безопасности: устанавливается значение Отключен.
Зоны безопасности: Не разрешать пользователям изменять политики
Если включить этот параметр, кнопка Другой и ползунок Уровень безопасности для этой зоны на
вкладке Безопасность диалогового окна Свойства обозревателя становятся недоступными. Если
этот параметр политики отключен или не настроен, пользователи могут изменять настройки для зон
безопасности. Данный параметр не дает пользователям изменять параметры политики зоны
безопасности, установленные администратором.
Параметр Зоны безопасности: Не разрешать пользователям изменять политики имеет значение
Включен для обеих сред, рассматриваемых в данном руководстве.
Примечание.
Если включить параметр Отключить вкладку "Безопасность" (в разделе
\Конфигурация пользователя\
Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления
обозревателем), то вкладка Безопасность не отображается в Internet Explorer на панели управления и
для данного параметра Зоны безопасности: устанавливается значение Отключен .
Зоны безопасности: Использовать только параметры компьютера
Этот параметр политики влияет на то, как изменения в зонах безопасности сказываются на различных
пользователях. Он предназначен для сохранения единообразия настроек зон безопасности на
компьютере, чтобы они не различались для разных пользователей. Если включить этот параметр
политики, внесенные одним пользователем изменения зоны безопасности повлияют на всех
пользователей этого компьютера. Если этот параметр политики отключен или не настроен,
пользователи одного и того же компьютера могут задавать собственные настройки зон безопасности.
Параметр Зоны безопасности: Использовать только параметры компьютера имеет значение
Включен для обеих сред, рассматриваемых в данном руководстве.
Отключить обнаружение аварийных сбоев
Этот параметр политики позволяет управлять функцией обнаружения аварийных сбоев управления
надстройками в Internet Explorer. Если включить этот параметр политики, то аварийный сбой,
произошедший в Internet Explorer, будет аналогичен аварийному сбою компьютера под управлением
Windows XP Professional с пакетом обновления 1 (SP1) или более ранней версии: Будет задействована
служба регистрации ошибок Windows. Если отключить этот параметр политики, функция обнаружения
аварийных сбоев в управлении надстройками будет работать.
Поскольку сведения в отчете об аварийном сбое Internet Explorer могут содержать секретные данные
из памяти компьютера, параметр Отключить обнаружение аварийных сбоев установлен в
значение Включен для обеих сред, рассматриваемых в данном руководстве. Если аварийные сбои
часто повторяются и необходимо сообщить о них для последующего устранения неполадок, можно
временно установить параметр политики в значение Отключен.
В разделе Конфигурация компьютера\Административные шаблоны\Компоненты
Windows\Internet Explorer можно настроить следующие дополнительные разделы параметров:
•
Панель управления обозревателем\Вкладка "Дополнительно"
•
Средства безопасности\Ограничение безопасности для MK-протокола
•
Средства безопасности\Соответствие при обработке MIME
•
Средства безопасности\Возможности пробной проверки MIME
•
Средства безопасности\Ограничения безопасности для обрабатываемых сценариями окон
•
Средства безопасности\Защита от повышения уровня зоны
•
Средства безопасности\Ограничение установки элементов ActiveX
•
Средства безопасности\Ограничение загрузки файлов
•
Средства безопасности\Управление надстройками
•
Настройки списка надстроек Internet Explorer
Значения по умолчанию этих параметров обеспечивают повышенную безопасность, по сравнению с
более ранними версиями Windows. Однако может понадобиться просмотреть эти настройки, чтобы
определить, необходимы ли они в среде с точки зрения удобства использования и совместимости
приложений или их можно ослабить.
Например, теперь можно установить блокировку всплывающих окон в Internet Explorer для всех зон
Интернета по умолчанию. Может понадобиться обеспечить использование этого параметра политики на
всех компьютерах среды для устранения всплывающих окон и снижения вероятности установки
вредоносных и шпионских программ, которые зачастую попадают в систему с веб-узлов в Интернете.
Однако в среде могут быть приложения, которым для нормальной работы необходимо использовать
всплывающие окна. В этом случае, можно разрешить всплывающие окна для веб-узлов интрасети с
помощью данной политики.
Internet Explorer\Панель управления обозревателем\Вкладка "Дополнительно"
Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов
групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet
Explorer\Панель управления обозревателем\Вкладка "Дополнительно"
Таблица A45. Рекомендуемые настройки вкладки "Дополнительно"
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Разрешить запуск или установку
Отключен
Отключен
Отключен
Отключен
программ, даже если подпись
недопустима
Разрешить запуск или установку программ, даже если подпись недопустима
Элементы управления Microsoft ActiveX® и загрузки файлов часто содержат цифровые подписи,
которые свидетельствуют о целостности файлов и удостоверяют личность подписавшего (создавшего)
программу. Такие подписи гарантируют загрузку неизмененных программ и предоставляют сведения о
тех, кто поставил свои подписи, которые позволяют принять решение о доверии к ним и к их
программам.
Параметр Разрешить запуск или установку программ, даже если подпись недопустима
позволяет управлять установкой и запуском загруженных программ, даже если подпись недопустима.
Недопустимая подпись может свидетельствовать о том, что файл был изменен. Если включить этот
параметр политики, пользователи будут получать предложение установить или запустить файлы с
недопустимыми подписями. Если отключить этот параметр политики, пользователи не смогут
устанавливать или запускать файлы с недопустимыми подписями.
Поскольку неподписанные программы могут создать брешь в безопасности, этот параметр политики
установлен в значение Отключен для обеих сред, рассматриваемых в данном руководстве.
Примечание.
Некоторые надежные программы и элементы управления могут иметь недопустимую
подпись и при этом быть безопасными. Необходимо тщательно проверить такие программы в
изолированной системе, прежде чем разрешить использовать их в сети организации.
Internet Explorer\Средства безопасности\Ограничение безопасности для MK-протокола
Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов
групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Internet Explorer\Средства безопасности\Ограничение безопасности для MK-протокола
Таблица A46. Рекомендуемые настройки MK-протокола
Параметр
Настольный Портативный Настольный
компьютер
компьютер
компьютер
EC
EC
SSLF
Портативный
компьютер
SSLF
Процессы Internet Explorer (MK-
Включен
Включен
Включен
Включен
протокол)
Процессы Internet Explorer (MK-протокол)
Этот параметр политики уменьшает количество уязвимых мест путем блокировки редко используемого
MK-протокола. Некоторые относительно старые веб-приложения используют MK-протокол для
извлечения данных из сжатых файлов. Если этот параметр политики имеет значение Включен, MKпротокол блокируется для Проводника и для Internet Explorer, что приводит к сбою в работе ресурсов,
использующих MK-протокол. Если отключить этот параметр политики, другие приложения смогут
использовать API MK-протокола.
Поскольку MK-протокол редко используется, его необходимо блокировать, когда он не нужен. Этот
параметр политики имеет значение Включен для обеих сред, рассматриваемых в данном руководстве.
Корпорация Майкрософт рекомендует блокировать MK-протокол, пока он не понадобится в вашей
среде.
Примечание.
Поскольку ресурсы, использующие MK-протокол, не смогут работать, если установлен
этот параметр политики, необходимо убедиться в том, что ни одно из приложений не использует этот
протокол.
Internet Explorer\Средства безопасности\Соответствие при обработке MIME
Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов
групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Internet Explorer\Средства безопасности\Соответствие при обработке MIME
Таблица A47. Рекомендуемые настройки соответствия при обработке MIME
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Процессы Internet Explorer
Включен
Включен
Включен
Включен
(Соответствие при обработке MIME)
Процессы Internet Explorer (Соответствие при обработке MIME)
Internet Explorer использует данные MIME (Multipurpose Internet Mail Extensions) для определения
процедур обработки файлов, полученных через веб-сервер. Параметр Соответствие при обработке
MIME определяет, будет ли Internet Explorer требовать, чтобы все сведения о файлах всех типов,
полученные от веб-сервера, соответствовали друг другу. Например, если тип MIME файла указан как
"text/plain", но данные MIME указывают, что в действительности это EXE-файл, Internet Explorer
изменяет расширение имени файла на соответствующее EXE-файлу. Эта возможность не позволяет
маскировать исполняемый код под другие типы данных, которые считаются безопасными.
Если этот параметр политики включен, Internet Explorer проверяет все полученные файлы и
обеспечивает для них соответствие данных MIME. Если этот параметр политики отключен или не
настроен, Internet Explorer не требует соответствия данных MIME для всех получаемых файлов и
использует данные MIME, получаемые вместе с файлом.
Подмена типа файла MIME представляет потенциальную угрозу организации. Для предотвращения
загрузки вредоносных файлов, которые могут заразить сеть, необходимо обеспечить соответствие и
надлежащее обозначение таких файлов. Этот параметр политики имеет значение Включен для обеих
сред, рассматриваемых в данном руководстве.
Примечание.
Этот параметр политики работает в сочетании с настройками параметра Возможности
пробной проверки MIME, но не заменяет их.
Internet Explorer\Средства безопасности\Возможности пробной проверки MIME
Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов
групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Internet Explorer\Средства безопасности\Возможности пробной проверки MIME
Таблица A48. Рекомендуемые настройки пробной проверки MIME
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Процессы Internet Explorer (Пробная
Включен
Включен
Включен
Включен
проверка MIME)
Процессы Internet Explorer (Пробная проверка MIME)
Пробная проверка MIME — это процесс проверки содержимого файла MIME для определения его
контекста: является ли он файлом данных, EXE-файлом или файлом другого типа. Этот параметр
политики определяет, будет ли пробная проверка MIME обозревателя Internet Explorer предотвращать
обработку файла одного типа как файла другого, более опасного, типа. Если он имеет значение
Включен, пробная проверка MIME не будет обрабатывать файл одного типа как файл более опасного
типа. Если этот параметр политики отключен, пробная проверка MIME настраивает процессы Internet
Explorer таким образом, чтобы разрешать обработку файлов одного типа как файлов более опасного
типа. Например, текстовый файл может быть обработан как EXE-файл, что представляет опасность,
поскольку любой код, содержащийся в предполагаемом текстовом файле, будет выполнен.
Подмена типа файла MIME представляет потенциальную угрозу организации. Для предотвращения
загрузки вредоносных файлов, которые могут заразить сеть, корпорация Майкрософт рекомендует
обеспечить соответствующую обработку таких файлов.
Параметр Процессы Internet Explorer (Пробная проверка MIME) установлен в значение Включен
для обеих сред, рассматриваемых в данном руководстве.
Примечание.
Этот параметр политики работает в сочетании с настройками параметра Соответствие
при обработке MIME, но не заменяет их.
Internet Explorer\Средства безопасности\Ограничения безопасности для обрабатываемых
сценариями окон
Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов
групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Internet Explorer\Средства безопасности\Ограничения безопасности для обрабатываемых
сценариями окон
Таблица A49. Рекомендуемые настройки ограничений для обрабатываемых сценариями
окон
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Процессы Internet Explorer
Включен
Включен
Включен
Включен
(Ограничения безопасности для
обрабатываемых сценариями окон)
Процессы Internet Explorer (Ограничения безопасности для обрабатываемых сценариями
окон)
Internet Explorer разрешает программно открывать, изменять размер и перемещать различные типы
окон с помощью сценариев. Мошеннические веб-узлы часто изменяют размеры окон, чтобы скрыть
другие окна или заставить пользователя взаимодействовать с окном, содержащим вредоносный код.
Параметр Процессы Internet Explorer (Ограничения безопасности для обрабатываемых
сценариями окон) ограничивает всплывающие окна и не разрешает сценариям открывать окна с
невидимыми пользователю строками заголовка и строками состояния или скрывать строки заголовка и
строки состояния других окон. Если этот параметр политики включен, всплывающие окна не будут
открываться в процессах Проводника и Internet Explorer. Если этот параметр отключен или не
настроен, сценарии смогут создавать всплывающие окна и окна, скрывающие другие окна.
Параметр Процессы Internet Explorer (Ограничения безопасности для обрабатываемых
сценариями окон) имеет значение Включен для обеих сред, рассматриваемых в данном
руководстве. Во включенном состоянии этот параметр политики затрудняет вредоносным веб-узлам
управление окнами Internet Explorer и обман пользователей с целью заставить их щелкнуть другое
окно.
Internet Explorer\Средства безопасности\Защита от повышения уровня зоны
Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Internet Explorer\Средства безопасности\Защита от повышения уровня зоны
Таблица A50. Рекомендуемые настройки для защиты от повышения уровня зоны
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Процессы Internet Explorer (Защита от
Включен
Включен
Включен
Включен
повышения уровня зоны)
Процессы Internet Explorer (Защита от повышения уровня зоны)
Internet Explorer накладывает ограничения на каждую открываемую веб-страницу. Эти ограничения
зависят от размещения веб-страницы (Интернет, интрасеть, зона локального компьютера и т. д.). Вебстраницы на локальном компьютере находятся в зоне безопасности локального компьютера, и для них
применяются минимальные ограничения безопасности. Это делает зону локального компьютера
основной мишенью для атак со стороны злоумышленников.
Если параметр Процессы Internet Explorer (Защита от повышения уровня зоны) включен, любая
зона может быть защищена от повышения зоны с помощью процессов Internet Explorer. Такой подход
предотвращает получение содержимым, которое запускается в одной зоне, повышенных привилегий
другой зоны. Если отключить этот параметр политики, ни одна из зон не получает такой защиты
процессов Internet Explorer.
Из-за уровня опасности и относительно частого использования атак повышения уровня зоны, параметр
Процессы Internet Explorer (Защита от повышения уровня зоны) имеет значение Включен для
обеих сред, рассматриваемых в данном руководстве.
Internet Explorer\Средства безопасности\Ограничение установки элементов ActiveX
Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Internet Explorer\Средства безопасности\Ограничение установки элементов ActiveX
Таблица A51. Ограничение установки элементов ActiveX
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Процессы Internet Explorer
Включен
Включен
Включен
Включен
(Ограничение установки элементов
ActiveX)
Процессы Internet Explorer (Ограничение установки элементов ActiveX)
Этот параметр политики предоставляет возможность блокировать запросы на установку элементов
управления ActiveX для процессов Internet Explorer. Если этот параметр политики включен, запросы на
установку элементов управления ActiveX для процессов Internet Explorer будут блокироваться. Если
этот параметр политики отключен или не настроен, запросы на установку элементов управления
ActiveX не блокируются и показываются пользователю.
Пользователи нередко устанавливают элементы управления ActiveX, которые запрещены политикой
безопасности организации. Такие программы могут создать значительную угрозу безопасности сети и
конфиденциальности данных. Поэтому параметр Процессы Internet Explorer (Ограничение
установки элементов ActiveX) установлен в значение Включен для обеих сред, рассматриваемых в
данном руководстве.
Примечание.
Этот параметр политики также не позволяет пользователям устанавливать
разрешенные надежные элементы управления ActiveX, которые влияют на важные компоненты
системы, например Windows Update. Если этот параметр политики включен, необходимо реализовать
некий альтернативный способ развертывания обновлений безопасности, например, с помощью служб
Windows Server Update Services (WSUS). Дополнительные сведения о службах WSUS см. в статье
Общая информация о службах обновления Windows (на английском языке).
Internet Explorer\Средства безопасности\Ограничение загрузки файлов
Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Internet Explorer\Средства безопасности\Ограничение загрузки файлов
Таблица A52. Рекомендуемые настройки ограничения загрузки файлов
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Процессы Internet Explorer
Включен
Включен
Включен
Включен
(Ограничение загрузки файлов)
Процессы Internet Explorer (Ограничение загрузки файлов)
При определенных условиях веб-узлы могут инициировать запросы на загрузку файлов без
вмешательства пользователей. Эта технология позволяет веб-узлам загружать несанкционированные
файлы на жесткий диск пользователя, если последний нажмет не ту кнопку и примет предложение о
загрузке.
Если установить параметр Процессы Internet Explorer (Ограничение загрузки файлов) в
значение Включен, для процессов Internet Explorer будут блокироваться запросы на загрузку файлов,
не инициированные пользователем. Если этот параметр политики установлен в значение Отключен,
для процессов Internet Explorer будут возникать запросы на загрузку файлов, не инициированные
пользователем.
Параметр Процессы Internet Explorer (Ограничение загрузки файлов) имеет значение Включен
для обеих сред, рассматриваемых в данном руководстве для предотвращения размещения
злоумышленником произвольного кода на компьютерах пользователей.
Internet Explorer\Средства безопасности\Управление надстройками
Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Internet Explorer\Средства безопасности\Управление надстройками
Таблица A53. Настройки управления надстройками
Параметр
Настольный
компьютер EC
Портативный
компьютер EC
Настольный
компьютер
SSLF
Портативный
компьютер
SSLF
Отключать все надстройки,
Рекомендуется
Рекомендуется
Рекомендуется
Рекомендуется
кроме заданных в списке
надстроек
Список надстроек
Рекомендуется
Рекомендуется
Рекомендуется
Рекомендуется
Отключать все надстройки, кроме заданных в списке надстроек
Этот параметр политики, вместе с параметром Список надстроек, позволяет управлять надстройками
Internet Explorer. По умолчанию параметр Список надстроек задает список надстроек, включенных
или отключенных посредством групповой политики. При включенном параметре Отключать все
надстройки, кроме заданных в списке надстроек все надстройки считаются отключенными, если
они специально не внесены в параметр Список надстроек.
Если этот параметр политики включен, Internet Explorer включает только надстройки, специально
указанные (и разрешенные) в списке надстроек. Если отключить этот параметр политики,
пользователи смогут использовать для включения и отключения любых надстроек диспетчер
надстроек.
Необходимо рассмотреть вопрос об одновременном использовании параметров Отключать все
надстройки, кроме заданных в списке надстроек и Список надстроек для управления
надстройками, используемыми в среде. Такой подход обеспечивает использование только
авторизованных надстроек.
Список надстроек
Этот параметр политики вместе с параметром Отключать все надстройки, кроме заданных в
списке надстроек позволяет управлять надстройками Internet Explorer. По умолчанию параметр
Список надстроек задает список надстроек, включенных или отключенных посредством групповой
политики. При включенном параметре Отключать все надстройки, кроме заданных в списке
надстроек все надстройки считаются отключенными, если они специально не внесены в параметр
Список надстроек.
Если параметр Список надстроек включен, нужно перечислить включенные и отключенные
надстройки Internet Explorer. Поскольку надстройки, включаемые в этот список, различны для разных
организаций, в данном руководстве не приводится подробный список. Для каждой записи списка
нужно задать следующие сведения:
•
Имя значения. CLSID (идентификатор класса) добавляемой надстройки. Идентификатор CLSID
должен быть заключен в фигурные скобки, например {000000000-0000-0000-00000000000000000}. Идентификатор CLSID надстройки можно получить из тега OBJECT на вебстранице со ссылкой на надстройку.
•
Значение. Число, указывающее действие Internet Explorer: разрешить или запретить загрузку
надстройки. Допустимы следующие значения:
•
0 Отключить эту настройку
•
1 Включить эту настройку
•
2 Включить эту настройку и разрешить пользователю управлять ею с помощью диалогового окна
"Управление надстройками"
Если параметр Список надстроек отключен, то список удаляется. Необходимо рассмотреть вопрос об
одновременном использовании параметров Отключать все надстройки, кроме заданных в списке
надстроек и Список надстроек для управления надстройками, используемыми в среде. Такой подход
обеспечивает использование только авторизованных надстроек.
NetMeeting
Microsoft NetMeeting® позволяет пользователям проводить виртуальные встречи через сеть
организации. Можно настроить следующие рекомендованные параметры компьютера в следующем
узле в редакторе объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\
NetMeeting
Таблица A54. Рекомендуемые настройки NetMeeting
Параметр
Настольный
компьютер
EC
Портативный Настольный Портативный
компьютер
компьютер
компьютер
EC
SSLF
SSLF
Запретить общий доступ к рабочему
Не задан
Не задан
Включен
Включен
столу
Запретить общий доступ к рабочему столу
Этот параметр политики отключает имеющуюся в NetMeeting возможность общего доступа к рабочему
столу. Если этот параметр политики включен, пользователи не смогут включить в NetMeeting
возможность удаленного управления локальным рабочим столом.
Параметр Запретить общий доступ к рабочему столу имеет значение Не задан для среды EC.
Однако для среды SSLF он имеет значение Включен, чтобы запретить пользователям использовать
общий доступ к рабочему столу через NetMeeting.
Службы терминалов
Настройки службы терминалов обеспечивают возможность перенаправления ресурсов клиентских
компьютеров на серверы, доступ к которым осуществляется с помощью служб терминалов. В данном
разделе описаны настройки для следующих параметров:
•
Клиентское подключение к удаленному рабочему столу
•
Сервер терминалов\Подключения
•
Сервер терминалов\Перенаправление устройств и ресурсов
•
Сервер терминалов\Безопасность
Службы терминалов\Клиентское подключение к удаленному рабочему столу
Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе
объектов групповой политики:
Административные шаблоны\Компоненты Windows \Службы терминалов
\Клиентское подключение к удаленному рабочему столу
Таблица A55. Рекомендуемая настройка параметра "Запретить сохранение паролей"
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Запретить сохранение паролей
Включен
Включен
Включен
Включен
Запретить сохранение паролей
Этот параметр политики запрещает клиентам служб терминалов сохранять пароли на компьютере. Если
этот параметр политики включен, флажок сохранения пароля недоступен для клиентов служб
терминалов и пользователи не могут сохранять пароли.
Поскольку сохраненные пароли могут создать дополнительную угрозу безопасности, параметр
Запретить сохранение паролей имеет значение Включен для обеих сред, рассматриваемых в
данном руководстве.
Примечание.
Если перед включением этот параметр политики имел значение Отключен или Не
задан, все ранее сохраненные пароли удаляются после первого отключения клиента служб
терминалов от любого сервера.
Службы терминалов\Сервер терминалов\Подключения
Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Службы терминалов\Сервер терминалов\Подключения
Таблица A56. Рекомендуемая настройка для подключений
Параметр
Настольный
компьютер
EC
Портативный Настольный Портативный
компьютер
компьютер
компьютер
EC
SSLF
SSLF
Разрешать удаленное подключение с
Не задан
Не задан
Отключен
Отключен
использованием служб терминалов
Разрешать удаленное подключение с использованием служб терминалов
Этот параметр политики позволяет управлять способностью пользователей подключаться к компьютеру
с помощью служб терминалов или удаленного рабочего стола.
В среде SSLF пользователи должны входить непосредственно через консоль физического компьютера.
Поэтому параметр Разрешать удаленное подключение с использованием служб терминалов
имеет для среды SSLF значение Отключен. Однако для среды EC этот параметр политики имеет
значение Не задан.
Службы терминалов\Сервер терминалов\Перенаправление устройств и ресурсов
Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Службы терминалов\Сервер терминалов\Перенаправление устройств и ресурсов
Таблица A57. Рекомендуемая настройка перенаправления устройств и ресурсов
Параметр
Настольный
компьютер EC
Портативный
компьютер EC
Настольный
компьютер
SSLF
Портативный
компьютер
SSLF
Запретить перенаправление
Не задан
Не задан
Включен
Включен
дисков
Запретить перенаправление дисков
Этот параметр политики запрещает пользователям открывать используемым серверам терминалов
общий доступ к дискам клиентских компьютеров. Присоединенные диски показываются в дереве папок
Проводника в следующем формате:
\\TSClient\<буква_диска>$
Общие локальные диски уязвимы к атакам злоумышленников, которые хотят получить доступ к
данным, хранящимся на них. Поэтому параметр Запретить перенаправление дисков имеет
значение Включен для среды SSLF. Однако для среды EC этот параметр политики имеет значение Не
задан.
Службы терминалов\Сервер терминалов\Безопасность
Указанные ниже рекомендованные параметры компьютера можно настроить в следующем узле в
редакторе объектов групповой политики:
Конфигурация компьютера\Административные шаблоны
\Компоненты Windows\Службы терминалов\Сервер терминалов\Безопасность
Таблица A58. Рекомендуемые настройки безопасности сервера терминалов
Параметр
Настольный
компьютер EC
EC переносной
компьютер
Настольный
Портативный
компьютер SSLF компьютер SSLF
Всегда запрашивать у
Включен
Включен
Включен
клиента пароль при
подключении
Включен
Установить уровень
Включен:Высокий Включен:Высокий Включен:Высокий Включен:Высокий
шифрования для
уровень
уровень
уровень
уровень
клиентских
подключений
Всегда запрашивать у клиента пароль при подключении
Этот параметр политики указывает, всегда ли службы терминалов должны запрашивать у клиентского
компьютера пароль при подключении. Можно использовать этот параметр политики для запроса у
пользователей пароля при входе в службы терминалов, даже если они уже вводили пароль для
клиентского подключения к удаленному рабочему столу. По умолчанию службы терминалов разрешают
пользователям входить автоматически, если они уже ввели пароль для клиентского подключения к
удаленному рабочему столу.
Параметр Всегда запрашивать у клиента пароль при подключении установлен в значение
Включен для обеих сред, рассматриваемых в данном руководстве.
Примечание.
Если этот параметр политики не настроен, администратор локального компьютера
может воспользоваться средством настройки служб терминалов, чтобы разрешить или запретить
автоматическую отправку паролей.
Установить уровень шифрования для клиентских подключений
Этот параметр политики определяет, будет ли компьютер, к которому выполняется удаленное
подключение, устанавливать уровень шифрования данных, передаваемых между ним и клиентским
компьютером, для удаленного сеанса.
Уровень шифрования имеет значение Включен:Высокий уровень, что обеспечивает 128-битное
шифрование для обеих сред, рассматриваемых в данном руководстве.
Windows Messenger
Windows Messenger используется для отправки мгновенных сообщений другим пользователям сети.
Сообщение может содержать файлы и другие вложения.
Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе
объектов групповой политики:
Конфигурация компьютера\Административные шаблоны
\Компоненты Windows\Windows Messenger
Таблица A59. Рекомендуемая настройка Windows Messenger
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Запретить запуск Windows Messenger
Включен
Включен
Включен
Включен
Запретить запуск Windows Messenger
Можно включить параметр Запретить запуск Windows Messenger, чтобы отключить Windows
Messenger и запретить запуск программы. Поскольку известно, что это приложение может
использоваться злоумышленниками для рассылки спама, распространения вредоносных программ и
раскрытия важных данных, корпорация Майкрософт рекомендует установить параметр Запретить
выполнение Windows Messenger в значение Включен для сред EC и SSLF.
Примечание.
Этот параметр влияет только на программу Windows Messenger, включенную в Windows
XP. Этот параметр не запрещает запускать MSN® Messenger или Windows Live™ Messenger.
Веб-узел Центра обновления Windows
Администраторы используют настройки Центра обновления Windows для управления обновлениями и
исправлениями, которые применяются на рабочих станциях под управлением Windows Vista.
Обновления доступны на веб-узле Центра обновления Windows. Кроме того, можно настроить веб-узел
интрасети для распространения обновлений и исправлений аналогичным образом, но под
дополнительным контролем администратора.
Службы Windows Server Update Services (WSUS) представляют собой инфраструктурную службу,
которая основана на технологиях Microsoft Windows Update и Software Update Services (SUS). Службы
WSUS контролируют и распространяют важные обновления Windows, которые исправляют известные
уязвимости безопасности и другие проблемы, связанные со стабильностью работы операционных
систем Windows.
Использование служб WSUS избавляет от необходимости в выполнении действий по обновлению в
ручном режиме. Для этого используется динамическая система уведомлений о важных обновлениях,
доступных компьютерам под управлением Windows на сервере интрасети. Для использования этой
службы клиентским компьютерам не нужен доступ в Интернет. Эта технология также выступает в
качестве простого способа автоматического распространения обновлений для рабочих станций и
серверов под управлением Windows.
Службы WSUS также предоставляют следующие возможности.
•
Управление синхронизацией содержимого в интрасети. Эта служба синхронизации является
серверным компонентом, который загружает последние важные обновления из Центра обновления
Windows. По мере появления новых обновлений в Центре обновления Windows сервер с
установленными службами WSUS автоматически загружает и хранит их согласно расписанию,
определенному администратором.
•
Сервер Windows Update, размещенный в интрасети. Этот простой в использовании сервер
исполняет для клиентских компьютеров роль виртуального сервера Центра обновления Windows. На
нем имеется служба синхронизации и средства администрирования для управления обновлениями.
Он обрабатывает запросы на одобренные для установки обновления от клиентских компьютеров,
которые подключаются к нему по протоколу HTTP. Этот сервер также может хранить важные
обновления, загруженные из службы синхронизации, и указывать на эти обновления клиентским
компьютерам.
•
Возможности администратора по управлению обновлениями. Администратор может
проверять и одобрять для установки обновления с общедоступного веб-узла Центра обновления
Windows перед их развертыванием в интрасети организации. Развертывание происходит согласно
составленному администратором расписанию. Если службы WSUS запущены на нескольких
серверах, администратор может управлять тем, какие компьютеры обращаются к отдельным
серверам, на которых запущена служба. Администраторы могут активировать такой уровень
управления с помощью групповой политики в среде Active Directory или с помощью разделов
реестра.
•
Автоматическое обновление на компьютерах (рабочих станциях или серверах).
Автоматическое обновление — это функция Windows, которая позволяет настроить автоматическую
проверку наличия обновлений в центре обновления Windows. Служба WSUS использует эту
функцию Windows для публикации одобренных администратором обновлений в интрасети.
Примечание.
Если распространять обновления другим методом, например с помощью сервера
Microsoft Systems Management Server, рекомендуется отключить параметр Настройка
автоматического обновления.
Имеется несколько параметров Windows Update. Для работы Windows Update необходимы как минимум
три параметра: Настройка автоматического обновления, Не выполнять автоматический
повторный запуск для автоматических установок обновлений и Перенос запланированных
автоматических установок обновлений. Четвертый параметр не является обязательным и его
использование зависит от требований, выдвигаемых организацией: Укажите расположение службы
Windows Update в интрасети.
Указанные ниже рекомендованные параметры компьютера можно настроить в следующем узле в
редакторе объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows
\Windows Update
Параметры, описанные в данном разделе, не рассчитаны на устранение конкретных угроз
безопасности, а больше связаны с предпочтениями администратора. Однако для обеспечения
безопасности среды необходимо настроить службу Windows Update, поскольку она обеспечивает
получение клиентскими компьютерами обновлений безопасности от корпорации Майкрософт вскоре
после их появления.
Примечание.
Работа Windows Update зависит от нескольких служб, включая службу удаленного
реестра и фоновую интеллектуальную службу передачи.
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах Windows Update.
Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей.
Таблица A60. Рекомендуемые параметры Windows Update
Параметр
Настольный Портативный Настольный Портативный
компьютер
компьютер
компьютер
компьютер
EC
EC
SSLF
SSLF
Не отображать параметр "Установить
Отключен
Отключен
Отключен
Отключен
Отключен
Отключен
Отключен
Отключен
Включен
Включен
Включен
Включен
Отключен
Отключен
Отключен
Отключен
Включен
Включен
Включен
Включен
обновления и завершить работу" в
диалоговом окне завершения работы
Windows
Не настраивать параметр "Установить
обновления и завершить работу" в
диалоговом окне завершения работы
Windows в качестве параметра по
умолчанию
Настройка автоматического
обновления
Не выполнять автоматический
повторный запуск для автоматических
установок обновлений
Перенос запланированных
автоматических установок
обновлений
Не отображать параметр "Установить обновления и завершить работу" в диалоговом окне
завершения работы Windows
Этот параметр политики позволяет управлять отображением пункта Установить обновления и
завершить работу в диалоговом окне Завершение работы Windows. Если этот параметр отключен,
пункт Установить обновления и завершить работу отображается в диалоговом окне Завершение
работы Windows, если при наличии доступных обновлений пользователь выбирает команду
Завершение работы в меню Пуск.
Поскольку обновления являются важной частью обеспечения общего уровня безопасности всех
компьютеров, параметр Не отображать пункт "Установить обновления и завершить работу" в
диалоговом окне завершения работы Windows имеет значение Отключен для обеих сред,
описанных в данном руководстве. Этот параметр политики работает в сочетании с параметром Не
настраивать пункт "Установить обновления и завершить работу" в диалоговом окне
завершения работы Windows в качестве параметра по умолчанию.
Не настраивать пункт "Установить обновления и завершить работу" в диалоговом окне
завершения работы Windows в качестве параметра по умолчанию
Этот параметр политики позволяет управлять возможностью выбрать пункт Установить обновления
и завершить работу в диалоговом окне Завершение работы Windows в качестве пункта по
умолчанию. Если этот параметр отключен, пункт Установить обновления и завершить работу
будет выбран по умолчанию в диалоговом окне Завершение работы Windows, если при наличии
доступных обновлений пользователь выбирает команду Завершение работы в меню Пуск.
Поскольку обновления являются важной частью обеспечения общего уровня безопасности всех
компьютеров, параметр Не настраивать пункт "Установить обновления и завершить работу" в
диалоговом окне завершения работы Windows в качестве параметра по умолчанию имеет
значение Отключен для обеих сред, описанных в данном руководстве.
Примечание.
Этот параметр политики не действует, если параметр Конфигурация
компьютера\Административные шаблоны\Компоненты Windows\Windows Update\Не
отображать пункт "Установить обновления и завершить работу" в диалоговом окне
завершения работы Windows имеет значение Включен.
Настройка автоматического обновления
Этот параметр политики указывает, будут ли компьютеры среды получать обновления безопасности из
Центра обновления Windows или через службы WSUS. Если этот параметр имеет значение Включен,
операционная система будет распознавать наличие сетевого подключения и через него выполнять
поиск подходящих обновлений в Центре обновления Windows или на специальном узле интрасети.
После установки этого параметра политики в значение Включен нужно выбрать один из трех
следующих вариантов в диалоговом окне Настройка свойств автоматического обновления, чтобы
указать режим работы службы.
•
Уведомлять перед загрузкой обновлений и уведомлять повторно перед их установкой.
•
Загружать обновления автоматически и уведомлять о том, что они готовы к установке.
•
Автоматически загружать обновления и устанавливать их по заданному ниже
(Принято по умолчанию)
расписанию.
Если этот параметр политики отключен, необходимо загружать все доступные обновления с веб-узла
Windows Update и устанавливать их вручную.
Параметр Настройка автоматического обновления установлен в значение Включен для обеих
сред, описанных в данном руководстве.
Не выполнять автоматический повторный запуск для автоматических установок обновлений
Если этот параметр политики включен, компьютер ожидает от вошедшего в систему пользователя
перезагрузки для завершения запланированной установки. В противном случае, компьютер
перезагрузится автоматически. Данный параметр, если он включен, также запрещает службе
автоматического обновления автоматически перезагружать компьютер в ходе запланированной
установки. Если пользователь вошел в систему, которую нужно перезагрузить, чтобы служба
автоматического обновления могла завершить установку обновления, пользователь получит
уведомление и сможет отложить перезагрузку. Служба автоматического обновления не обнаруживает
будущие обновления до следующей перезагрузки.
Если параметр Не выполнять автоматический повторный запуск для автоматических
установок обновлений имеет значение Отключен или Не задан, служба автоматического
обновления уведомит пользователя о том, что компьютер будет автоматически перезагружен через 5
минут для завершения установки. Если автоматические перезагрузки создают проблемы, можно
установить параметр Не выполнять автоматический повторный запуск для автоматических
установок обновлений в значение Включен. Если этот параметр политики включен, необходимо
запланировать перезагрузку клиентских компьютеров по завершении рабочего дня, чтобы обеспечить
завершение установки.
Параметр Не выполнять автоматический повторный запуск для автоматических установок
обновлений установлен в значение Отключен для обеих сред, описанных в данном руководстве.
Примечание.
Этот параметр политики работает только в том случае, если служба автоматического
обновления выполняет запланированные установки обновлений. Если параметр Настройка
автоматического обновления имеет значение Отключен, он не будет работать.
Перенос запланированных автоматических установок обновлений
Этот параметр политики определяет время, которое должно пройти перед тем, как начнутся ранее
запланированные установки автоматических обновлений после запуска системы. Если установить этот
параметр в значение Включен, ранее запланированная установка начнется по истечении указанного
количества минут после следующего запуска системы. Если этот параметр политики имеет значение
Отключен или Не задан, ранее запланированные установки будут выполняться во время следующей
запланированной установки.
Параметр Перенос запланированных автоматических установок обновлений установлен в
значение Включен для обеих сред, описанных в данном руководстве. После включения этого
параметра политики можно изменить период ожидания по умолчанию на более подходящий для
конкретной среды.
Примечание.
Этот параметр политики работает только в том случае, если служба автоматического
обновления выполняет запланированные установки обновлений. Если параметр Настройка
автоматического обновления имеет значение Отключен, параметр Перенос запланированных
автоматических установок обновлений не действует. Можно включить два последних параметра,
чтобы планировать установку ранее пропущенных установок при каждой перезагрузке компьютера.
Политика пользователя
В оставшихся разделах данного приложения описываются рекомендуемые параметры конфигурации
пользователя. Эти параметры применяются к пользователям, а не к компьютерам. Они реализуются в
групповой политике, связанной с подразделением, в которое входят пользователи, параметры которых
подлежат настройке. Эти параметры применяются посредством объекта GPO, связанного с
подразделением, содержащим учетные записями пользователей.
Примечание.
Параметры конфигурации пользователя применимы к любому компьютеру под
управлением Windows Vista в домене Active Directory, на котором пользователь входит в систему.
Однако параметры конфигурации компьютера применяются ко всем клиентским компьютерам в Active
Directory, которые управляются объектом GPO, независимо от того, какой пользователь входит в
систему.
Конфигурация пользователя\Административные шаблоны
Параметры, описанные в данном руководстве, входят в следующие группы параметров политики
пользователя. Эти параметры отображаются в подузле Конфигурация
пользователя\Административные шаблоны редактора объектов групповой политики.
•
•
Система
•
Управление электропитанием
Компоненты Windows
•
Диспетчер вложений
•
Internet Explorer
•
Проводник
Система
Указанный ниже рекомендованный параметр можно настроить в следующем узле в редакторе объектов
групповой политики:
Конфигурация пользователя\Административные шаблоны\Система
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для редактора реестра.
Таблица A61. Рекомендуемые параметры конфигурации пользователя для системы
Параметр
Компьютер EC
Компьютер SSLF
Запретить доступ к средствам редактирования реестра
Не задан
Включен
Запретить доступ к средствам редактирования реестра
Этот параметр политики отключает редакторы реестра Windows Regedit.exe и Regedt32.exe. Если этот
параметр политики включен, при попытке использовать редактор реестра выводится сообщение о том,
что использовать любой из этих редакторов невозможно. Этот параметр политики запрещает
пользователям и злоумышленникам работать с реестром с помощью этих средств, но не запрещает
доступ к реестру как таковой.
Параметр Запретить доступ к средствам редактирования реестра имеет значение Не задан для
среды EC. Однако для среды SSLF этот параметр политики имеет значение Включен.
Управление электропитанием
Указанный ниже рекомендованный параметр можно настроить в следующем узле в редакторе объектов
групповой политики:
Конфигурация пользователя\Административные шаблоны\Система\Управление
электропитанием
В следующей таблице приводятся обобщенные сведения о рекомендуемой конфигурации параметров
Запрашивать пароль при выходе из спящего или ждущего режима.
Таблица A62. Рекомендуемые параметры конфигурации пользователя для системы и
управления электропитанием
Параметр
Компьютер EC
Компьютер SSLF
Запрашивать пароль при выходе из спящего или ждущего
Включен
Включен
режима
Запрашивать пароль при выходе из спящего или ждущего режима
Этот параметр политики управляет блокировкой клиентских компьютеров среды при выходе из
спящего или ждущего режима. Если этот параметр политики включен, клиентские компьютеры
блокируются при возврате в рабочий режим и пользователи должны ввести пароль, чтобы их
разблокировать. Если этот параметр политики отключен или не настроен, могут возникнуть серьезные
бреши в защите, поскольку кто угодно сможет получить доступ к клиентскому компьютеру.
Поэтому параметр Запрашивать пароль при выходе из спящего или ждущего режима имеет
значение Включен для обеих сред, описанных в данном руководстве.
Компоненты Windows
Указанный ниже рекомендованный параметр можно настроить в следующем узле в редакторе объектов
групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для редактора реестра.
Диспетчер вложений
Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows
\Диспетчер вложений
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для диспетчера вложений. Дополнительные сведения по каждой строке приводятся в
подразделах, следующих за таблицей.
Таблица A63. Рекомендуемые параметры конфигурации пользователя для диспетчера
вложений
Параметр
Компьютер EC
Компьютер SSLF
Не сохранять сведения о зоне во вложенных файлах
Отключен
Отключен
Скрыть возможности для удаления сведений о зоне
Включен
Включен
Уведомлять антивирусную программу при открытии
Включен
Включен
вложений
Не сохранять сведения о зоне во вложенных файлах
Этот параметр политики позволяет выбрать, будут ли записываться сведения о зоне происхождения
вложенных файлов (например, ограниченная зона, Интернет, интрасеть, локальная зона). Для
правильной работы этого параметра политики необходимо загружать файлы на разделы диска с
файловой системой NTFS. Если сведения о зоне не сохраняются, Windows не сможет произвести
правильную оценку степени риска на основании сведений о зоне происхождения вложенного файла.
Если параметр Не сохранять сведения о зоне во вложенных файлах включен, сведения о зоне
происхождения вложенных файлов не записываются. Если этот параметр политики отключен, Windows
хранит сведения о зоне происхождения вложенных файлов. Поскольку опасные вложенные файлы
чаще всего загружаются с узлов из ненадежных зон обозревателя Internet Explorer, например из зоны
"Интернет", корпорация Майкрософт рекомендует установить этот параметр политики в значение
Отключен, чтобы обеспечить наличие в каждом файле более полных сведений о безопасности.
Параметр Не сохранять сведения о зоне во вложенных файлах установлен в значение Отключен
для обеих сред, описанных в данном руководстве.
Скрыть возможности для удаления сведений о зоне
Этот параметр политики позволяет управлять наличием у пользователей возможности вручную удалять
сведения о зоне происхождения из сохраненных вложенных файлов. Пользователи могут либо нажать
кнопку Разблокировать на странице Свойства файла или установить флажок в диалоговом окне
Предостережение системы безопасности. Если сведения о зоне отсутствуют, пользователи могут
открыть потенциально опасный вложенный файл, что было запрещено Windows.
Если параметр Скрыть возможности для удаления сведений о зоне включен, Windows скрывает
флажок и кнопку Разблокировать. Если этот параметр политики отключен, Windows показывает
флажок и кнопку Разблокировать. Поскольку опасные вложенные файлы чаще всего загружаются с
узлов из ненадежных зон обозревателя Internet Explorer, например из зоны "Интернет", корпорация
Майкрософт рекомендует установить этот параметр политики в значение Включен, чтобы обеспечить
наличие в каждом файле более полных сведений о безопасности.
Параметр Скрыть возможности для удаления сведений о зоне установлен в значение Включен
для обеих сред, описанных в данном руководстве.
Примечание.
Для настройки сохранения сведений о зоне происхождения файлов, см. предыдущий
параметр Не сохранять сведения о зоне во вложенных файлах.
Уведомлять антивирусную программу при открытии вложений
Антивирусные программы являются обязательными к использованию во многих средах и обеспечивают
надежную защиту от атак.
Параметр Уведомлять антивирусную программу при открытии вложений позволяет управлять
процессом уведомления зарегистрированных антивирусных программ. Если этот параметр включен,
Windows вызывает зарегистрированную антивирусную программу, которая проверяет вложенные
файлы, открываемые пользователем, на наличие вирусов. Если антивирусная программа находит
вирусы, открытие вложенного файла запрещается. Если этот параметр политики отключен, Windows не
вызывает зарегистрированную антивирусную программу при открытии вложенных файлов. Чтобы
обеспечить сканирование на наличие вирусов каждого файла перед его открытием, корпорация
Майкрософт рекомендует установить этот параметр политики в значение Включен для всех сред.
Параметр Уведомлять антивирусную программу при открытии вложений установлен в значение
Включен для обеих сред, описанных в данном руководстве.
Примечание.
Для правильной работы этого параметра политики необходимо установить последнюю
версию антивирусной программы.
Internet Explorer
Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows\
Internet Explorer
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в
подразделах, следующих за таблицей.
Таблица A64. Рекомендуемые параметры конфигурации пользователя для Internet Explorer
Параметр
Пользователь EC
Пользователь
SSLF
Настройка Outlook Express
Включен
Не задан
Отключить функцию "Настройка журнала"
Не задан
Включен:40
Отключить автозаполнение для форм
Не задан
Включен
Отключить изменение параметров автонастройки
Не задан
Включен
Отключить изменение параметров сертификатов
Не задан
Включен
Отключить изменение параметров подключений
Не задан
Включен
Отключить изменение параметров прокси
Не задан
Включен
Не разрешать пользователям включать и отключать
Не задан
Включен
§ Запретить исправление параметров
Не задан
Отключен
Запретить удаление временных файлов Интернета и файлов
Не задан
Включен
§ Отключить функцию "Удалить журнал обозревателя"
Не задан
Включен
§ Отключить функцию проверки параметров безопасности
Не задан
Отключен
Включить автозаполнение имен пользователей и паролей
Отключен
Отключен
надстройки
"cookie"
для форм
§ — Означает, что параметр групповой политики появился только в Windows Vista.
Настройка Outlook Express
Этот параметр политики позволяет администраторам включать и отключать возможность пользователей
Microsoft Outlook® Express сохранять или открывать вложенные файлы, которые могут содержать
вирус. Пользователи не могут отключить параметр Настройка Outlook Express, чтобы снять
блокировку с вложенных файлов. Чтобы использовать этот параметр политики, нажмите кнопку
Включить и выберите Блокировать вложения, которые могут содержать вирусы.
Параметр Настройка Outlook Express имеет значение Включен с вариантом Блокировать
вложения, которые могут содержать вирусы для среды EC, описанной в данном руководстве.
Отключить функцию "Настройка журнала"
Этот параметр политики задает количество дней хранения просмотренных страниц в списке журнала
Internet Explorer. Кнопка Удалить журнал обозревателя находится на вкладке Сервис-Свойства
обозревателя-Общие. Также можно воспользоваться кнопкой Удалить историю непосредственно в
меню Сервис-Свойства обозревателя-Удаление истории обзора обозревателя Internet Explorer 7.
Если этот параметр политики включен, пользователь может задавать количество дней, в течение
которых просмотренные страницы будут храниться в журнале обозревателя Internet Explorer.
Необходимо указать количество дней хранения просмотренных страниц в журнале обозревателя
Internet Explorer. Пользователи не смогут удалить журнал обозревателя. Если этот параметр политики
отключен или не настроен, пользователь может задавать количество дней, в течение которых
просмотренные страницы будут храниться в журнале обозревателя Internet Explorer, и будет иметь
возможность пользоваться кнопкой Удалить журнал обозревателя.
Параметр Отключить функцию "Настройка журнала" имеет значение Не задан для среды EC и
значение Включен:40 для среды SSLF.
Отключить автозаполнение для форм
Этот параметр политики управляет автоматическим заполнением полей на формах веб-страниц. Если
этот параметр политики включен, функция автозаполнения не предлагает возможные варианты
заполнения формы. Это помогает защитить важные данные в некоторых средах.
Параметр Отключить автозаполнение для форм имеет значение Не задан для среды EC и
Включен для среды SSLF.
Отключить изменение параметров автонастройки
Этот параметр политики запрещает пользователям изменять автоматически настроенные параметры.
Администраторы используют автонастройку для периодического обновления параметров обозревателя.
Если этот параметр политики включен, параметры автонастройки недоступны в Internet Explorer. (Эти
параметры находятся в области Автоматическая настройка диалогового окна Настройка LAN.) Этот
параметр политики также запрещает пользователю изменять параметры, настроенные посредством
групповой политики.
Открытие диалогового окна "Настройка LAN"
1.
В диалоговом окне Свойства обозревателя откройте вкладку Подключения.
2.
Нажмите кнопку Настройка LAN для просмотра параметров.
Параметр Отключить изменение параметров автонастройки имеет значение Включен только для
среды SSLF. Для среды EC этот параметр политики имеет значение Не задан.
Примечание.
Параметр Отключить вкладку "Подключения" скрывает вкладку Подключения в
Internet Explorer на панели управления и устанавливает значение для параметра Отключить
изменение параметров автонастройки. Если первый параметр включен, второй параметр
игнорируется. Параметр Отключить страницу "Подключения" находится в разделе "\Конфигурация
пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления
обозревателем" в редакторе объектов групповой политики.
Отключить изменение параметров сертификатов
Этот параметр политики запрещает пользователям изменять параметры сертификатов в Internet
Explorer. Сертификаты используются для проверки подлинности издателей программного обеспечения.
Если этот параметр включен, параметры сертификатов в области Сертификаты на вкладке
Содержание диалогового окна Свойства обозревателя недоступны. Этот параметр политики также
запрещает пользователю изменять параметры, настроенные посредством групповой политики.
Параметр Отключить изменение параметров сертификатов имеет значение Включен только для
среды SSLF. Для среды EC этот параметр политики имеет значение Не задан.
Примечание.
Если этот параметр политики включен, пользователи могут запустить мастер импорта
сертификатов, дважды щелкнув файл сертификата издателя программного обеспечения (.spc). Этот
мастер позволяет импортировать и настраивать параметры новых сертификатов издателей
программного обеспечения, не заданных для Internet Explorer.
Примечание.
Параметр Отключить вкладку "Содержание" скрывает вкладку Содержание в
Internet Explorer на панели управления и имеет преимущество перед параметром Отключить
изменение параметров сертификатов. Если первый параметр включен, второй параметр
игнорируется. Параметр Отключить вкладку "Содержание" находится в разделе "\Конфигурация
пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления
обозревателем" в редакторе объектов групповой политики.
Отключить изменение параметров подключений
Этот параметр политики запрещает пользователям изменять параметры удаленного доступа. Если
включить этот параметр политики, кнопка Настройка на вкладке Подключения диалогового окна
Свойства обозревателя станет недоступна. Этот параметр политики также запрещает пользователю
изменять параметры, настроенные посредством групповой политики. Можно отключить этот параметр
политики для пользователей портативных компьютеров, если во время поездок им нужно менять
параметры подключения.
Параметр Отключить изменение параметров подключений имеет значение Включен только для
среды SSLF. Для среды EC этот параметр политики имеет значение Не задан.
Примечание.
Если настроить параметр Отключить вкладку "Подключения", необходимость в
настройке этого параметра политики отпадает. Параметр Отключить вкладку "Подключения"
скрывает вкладку Подключения. Параметр Отключить страницу "Подключения" находится в
разделе "\Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Internet
Explorer\Панель управления обозревателем" в редакторе объектов групповой политики.
Отключить изменение параметров прокси
Этот параметр политики запрещает пользователям изменять параметры прокси-сервера. Если эта
политика включена, параметры прокси-сервера недоступны. (Параметры прокси-сервера находятся в
области Прокси-сервер диалогового окна Настройка LAN, которое открывается при нажатии кнопки
Настройка LAN на вкладке Подключения диалогового окна Свойства обозревателя.) Этот
параметр политики также запрещает пользователю изменять параметры, настроенные посредством
групповой политики. Можно отключить этот параметр политики для пользователей портативных
компьютеров, если во время поездок им нужно менять параметры подключения.
Параметр Отключить изменение параметров прокси имеет значение Включен только для среды
SSLF. Для среды EC этот параметр политики имеет значение Не задан.
Примечание.
Если настроить параметр Отключить вкладку "Подключения", необходимость в
настройке этого параметра политики отпадает. Параметр Отключить вкладку "Подключения"
скрывает вкладку Подключения. Этот параметр находится в разделе "\Конфигурация
пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления
обозревателем" в редакторе объектов групповой политики.
Не разрешать пользователям включать и отключать надстройки
Этот параметр политики позволяет управлять наличием у пользователей возможности включать или
отключать надстройки с помощью Диспетчера надстроек. Если данный параметр политики включен,
пользователи не могут включать и отключать надстройки с помощью Диспетчера надстроек.
Единственным исключением является случай, если надстройки были специально добавлены в параметр
политики Список надстроек таким образом, который позволяет пользователям управлять данной
надстройкой. В этом случае пользователь может управлять надстройкой с помощью Диспетчера
надстроек .Если этот параметр политики отключен или не настроен, пользователю доступны
соответствующие элементы управления Диспетчера надстроек.
Параметр Не разрешать пользователям включать и отключать надстройки имеет значение Не
задан для среды EC и значение Включен для среды SSLF.
Запретить исправление параметров
Этот параметр политики запрещает использовать функцию "Исправить параметры", связанную с
проверкой параметров безопасности в обозревателе Internet Explorer. Если этот параметр
включен, пользователи не могут выбрать пункт Исправить настройки в контекстном меню панели
информации, которое открывается, если Internet Explorer считает свои настройки небезопасными.
Параметр Запретить исправление параметров имеет значение Не задан для среды EC и Отключен
для среды SSLF.
Запретить удаление временных файлов Интернета и файлов "cookie"
Этот параметр политики используется для управления временными файлами Интернета и файлами
"cookie", связанными с журналом просмотра Интернета, который можно увидеть, выбрав пункт
Сервис-Свойства обозревателя-Удаление истории обзора в меню обозревателя Internet Explorer
7. Если этот параметр включен, пользователи не смогут удалять временные файлы Интернета и файлы
"cookie". Если этот параметр отключен или не настроен, пользователи могут удалять временные файлы
Интернета и файлы "cookie".
Параметр Запретить удаление временных файлов Интернета и файлов "cookie" имеет значение
Не задан для среды EC и значение Включен для среды SSLF.
Отключить функцию "Удалить журнал обозревателя"
Этот параметр политики запрещает выполнять команду Удалить журнал обозревателя в Internet
Explorer. Если этот параметр включен, пользователи не смогут выполнять команду Удалить журнал
обозревателя в диалоговом окне Свойства обозревателя в Internet Explorer 7. Если этот параметр
отключен или не настроен, пользователи смогут выполнять команду "Удалить журнал
обозревателя" в диалоговом окне Свойства обозревателя в Internet Explorer 7.
Параметр Отключить функцию "Удалить журнал обозревателя" имеет значение Не задан для
среды EC и Включен для среды SSLF.
Отключить функцию проверки параметров безопасности
Этот параметр политики отключает функцию Проверка параметров безопасности, которая
проверяет параметры безопасности обозревателя Internet Explorer, чтобы определить степень
уязвимости Internet Explorer. Если этот параметр включен, проверка параметров безопасности не
выполняется. Если этот параметр отключен, проверка параметров безопасности выполняется. Если этот
параметр политики не настроен, пользователь может изменять параметр Отключить проверку
параметров безопасности.
Параметр Отключить функцию проверки параметров безопасности имеет значение Не задан
для среды EC и Отключен для среды SSLF.
Включить автозаполнение имен пользователей и паролей для форм
Этот параметр политики управляет автоматическим заполнением имен пользователей и паролей в
формах на веб-страницах и запрещает запросы на сохранение паролей. Если этот параметр политики
отключен, флажки Имен пользователей и паролей в формах и Запрос на сохранение пароля
недоступны, а пользователи не могут сохранять пароли локально.
Параметр Включить автозаполнение имен пользователей и паролей для форм имеет значение
Отключен для обеих сред, описанных в данном руководстве.
В разделе Конфигурация компьютера\Административные шаблоны\Компоненты
Windows\Internet Explorer можно настроить следующие дополнительные разделы параметров:
•
Меню обозревателя
•
Панель управления обозревателем
•
Панель управления обозревателем\Вкладка "Дополнительно"
•
Панель управления обозревателем\Вкладка "Безопасность"
•
Панель управления обозревателем\Вкладка "Безопасность"\Зона Интернета
•
Панель управления обозревателем\Вкладка "Безопасность"\Зона ограниченных узлов
•
Автономные страницы
Меню обозревателя
Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows
\Internet Explorer\Меню обозревателя
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в
подразделах, следующих за таблицей.
Таблица A65. Рекомендуемые параметры меню обозревателя
Параметр
Пользователь
EC
Пользователь
SSLF
Отключить параметр "Сохранить эту программу на диске"
Не задан
Включен
Отключить параметр "Сохранить эту программу на диске"
Этот параметр политики запрещает сохранять на жесткий диск программы или файлы, загруженные
обозревателем Internet Explorer. Если этот параметр политики включен, пользователи не смогут
сохранять программы на диск с помощью команды Сохранить эту программу на диске. Файл
программы не загружается, а пользователю сообщается, что команда недоступна. Этот параметр
политики улучшает защиту сред SSLF, поскольку запрещает загружать с помощью Internet Explorer и
сохранять на диск потенциально опасные программы.
Параметр Отключить параметр "Сохранить эту программу на диске" имеет значение Включен
только для среды SSLF. Для среды EC этот параметр политики имеет значение Не задан.
Панель управления обозревателем
Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows
\Internet Explorer\Панель управления обозревателем
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в
подразделах, следующих за таблицей.
Таблица A66. Рекомендуемые параметры конфигурации пользователя для панели
управления обозревателем
Параметр
Пользователь
EC
Пользователь
SSLF
Отключить вкладку "Дополнительно"
Не задан
Включен
Отключить вкладку "Безопасность"
Не задан
Включен
§ Не пропускать ошибки сертификатов
Не задан
Включен
§ — Означает, что параметр групповой политики появился только в Windows Vista.
Отключить вкладку "Дополнительно"
Этот параметр политики работает совместно с другими параметрами, предназначенными для запрета
изменения настроек вкладки Дополнительно в Internet Explorer.
Параметр Отключить вкладку "Дополнительно" имеет значение Включен только для среды SSLF.
Для среды EC этот параметр политики имеет значение Не задан.
Отключить вкладку "Безопасность"
Этот параметр политики работает совместно с другими параметрами, предназначенными для запрета
изменения параметров, настроенных посредством групповой политики. Этот параметр политики
скрывает вкладку Безопасность диалогового окна Свойства обозревателя. Если этот параметр
включен, пользователи не могут просматривать и изменять параметры зон безопасности, например
сценарии, загрузки и проверку подлинности пользователя. Корпорация Майкрософт рекомендует
включать этот параметр политики, чтобы пользователи не могли изменять параметры, которые могут
ослабить другие параметры безопасности в обозревателе Internet Explorer.
Параметр Отключить вкладку "Безопасность" имеет значение Включен только для среды SSLF.
Для среды EC этот параметр политики имеет значение Не задан.
Не пропускать ошибки сертификатов
При возникновении ошибок сертификатов SSL или TLS, например, если сертификат устарел,
аннулирован или если обнаружено несовпадение имени, Internet Explorer блокирует дальнейший
просмотр веб-узла. Если этот параметр политики включен, пользователь не сможет продолжать работу
с веб-узлом. Если этот параметр отключен или не настроен, пользователь может игнорировать ошибки
сертификата и продолжить работу с веб-узлом.
Параметр Не пропускать ошибки сертификатов имеет значение Не задан для среды EC и
Включен для среды SSLF.
Панель управления обозревателем\Вкладка "Дополнительно"
Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows
\Internet Explorer\Панель управления обозревателем\Вкладка "Дополнительно"
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в
подразделах, следующих за таблицей.
Таблица A67. Рекомендуемые параметры вкладки "Дополнительно"
Параметр
Пользователь
EC
Пользователь
SSLF
§ Разрешить установку по запросу (Internet Explorer)
Не задан
Отключен
Разрешить запуск или установку программ, даже если подпись
Не задан
Отключен
Автоматически проверять обновления Internet Explorer
Не задан
Отключен
Проверка аннулированных сертификатов серверов
Не задан
Включен
недопустима
§ — Означает, что параметр групповой политики появился только в Windows Vista.
Разрешить установку по запросу (Internet Explorer)
Этот параметр политики позволяет управлять наличием у пользователей возможности автоматически
загружать и устанавливать веб-компоненты (например, шрифты), которые могут устанавливаться с
помощью программы активной установки Internet Explorer. Например, если открыть вебстраницу, которая требует поддержки отображения японского текста, Internet Explorer может
предложить пользователю загрузить пакет поддержки японского языка, если он еще не
установлен.
Если этот параметр политики включен, веб-компоненты , например шрифты, будут автоматически
устанавливаться при необходимости. Если этот параметр политики отключен, пользователи будут
получать предложение загрузить веб-компоненты, например шрифты. Если этот параметр политики
не настроен, пользователи будут получать предложение загрузить веб-компоненты, например
шрифты.
Параметр Разрешить установку по запросу (Internet Explorer) имеет значение Не задан для
среды EC и значение Отключен для среды SSLF.
Разрешить запуск или установку программ, даже если подпись недопустима
Этот параметр политики позволяет управлять наличием у пользователя возможности устанавливать и
запускать программы, например элементы управления ActiveX и загруженные файлы, даже если они
имеют недопустимую подпись. Недопустимая подпись может свидетельствовать о том, что файл был
изменен.
Если включить этот параметр политики, пользователи будут получать запросы об установке или
запуске файлов с недопустимыми подписями. Если отключить этот параметр политики, пользователи
не смогут устанавливать или запускать файлы с недопустимыми подписями. Если этот параметр
политики не настроен, пользователи смогут сами выбирать, хотят ли они устанавливать или запускать
файлы с недопустимыми подписями.
Параметр Разрешить запуск или установку программ, даже если подпись недопустима имеет
значение Не задан для среды EC и значение Отключен для среды SSLF.
Автоматически проверять обновления Internet Explorer
Этот параметр политики позволяет выбрать, будет ли Internet Explorer проверять наличие новых
версий в Интернете. Internet Explorer проверяет наличие новых версий примерно каждые 30 дней.
Пользователь получает предложение установить новые версии сразу после их появления.
Если этот параметр включен, Internet Explorer проверяет наличие новых версий примерно каждые 30
дней. Пользователь получает предложение установить новые версии сразу после их появления. Если
этот параметр отключен, Internet Explorer не проверяет наличие новых версий обозревателя в
Интернете, а значит и не предлагает пользователю установить их. Если этот параметр не настроен,
Internet Explorer не проверяет наличие новых версий обозревателя в Интернете, а значит и не
предлагает пользователю установить их.
Параметр Автоматически проверять обновления Internet Explorer имеет значение Не задан для
среды EC и значение Отключен для среды SSLF.
Проверка аннулированных сертификатов серверов
Этот параметр политики позволяет выбирать, будет ли Internet Explorer проверять состояние отзыва
сертификатов серверов. Сертификаты аннулируются, если они скомпрометированы или более не
являются действительными. Этот параметр защищает пользователей от передачи конфиденциальных
данных мошенническому или небезопасному узлу.
Если этот параметр политики включен, Internet Explorer проверяет, не аннулированы ли сертификаты
сервера. Если этот параметр политики отключен, Internet Explorer не проверяет, не аннулированы ли
сертификаты сервера. Если этот параметр политики не настроен, Internet Explorer не проверяет, не
аннулированы ли сертификаты сервера.
Параметр Проверка аннулированных сертификатов серверов имеет значение Не задан для
среды EC и Включен для среды SSLF.
Панель управления обозревателем\Вкладка "Безопасность"
Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows
\Internet Explorer\Панель управления обозревателем\Вкладка "Безопасность"
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в
подразделах, следующих за таблицей.
Таблица A68. Рекомендуемые параметры вкладки "Безопасность"
Параметр
Пользователь
EC
Пользователь
SSLF
Узлы интрасети: Все сетевые пути (UNC)
Не задан
Отключен
Узлы интрасети: Все сетевые пути (UNC)
Этот параметр политики определяет, будут ли URL-адреса в формате UNC сопоставляться зоне
безопасности местной интрасети. Если данный параметр политики включен, то все сетевые пути
сопоставляются зоне интрасети. Если данный параметр политики отключен, то сетевые пути могут не
сопоставляться зоне интрасети (в зависимости от других правил).
Если данный параметр политики не настроен, то пользователи решают сами, следует ли сопоставлять
сетевые пути зоне интрасети.
Параметр Узлы интрасети: Все сетевые пути (UNC) имеет значение Отключен для среды SSLF и
значение Не задан для среды EC.
Панель управления обозревателем\Вкладка "Безопасность"\Зона Интернета
Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows
\Internet Explorer\Панель управления обозревателем\Вкладка "Безопасность"\Зона
Интернета
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в
подразделах, следующих за таблицей.
Примечание.
Параметры зоны Интернета и зоны ограниченных узлов очень похожи. Описания
параметров обеих зон приведены ниже.
Таблица A69. Рекомендуемые параметры зоны Интернета
Параметр
Пользователь
EC
Пользователь SSLF
Зона Интернета\Доступ к источникам данных за
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Зона Интернета\Разрешать загрузку шрифтов
Не задан
Включен:Отключить
Зона Интернета\Разрешать установку элементов рабочего
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Отключен
Не задан
Включен:Включить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
пределами домена
Зона Интернета\Разрешать перетаскивание или
копирование и вставку файлов
стола
Зона Интернета\Разрешать операции вырезания,
копирования или вставки из буфера обмена в сценарии
Зона Интернета\Разрешать запущенные сценарием окна
без ограничений на размеры и положение
§ Зона Интернета\Разрешать обновление строки состояния
в сценарии
Зона Интернета\Автоматические запросы на загрузку
файлов
Зона Интернета\Загрузка подписанных элементов
управления ActiveX
Зона Интернета\Загрузка неподписанных элементов
управления ActiveX
Зона Интернета\Использование элементов управления
ActiveX, не помеченных как безопасные для
использования
Зона Интернета\Разрешения Java
Не задан
Включен:Отключить
Java
Зона Интернета\Запуск приложений и файлов в окне
Не задан
Включен:Отключить
Не задан
Включен:Запрашивать
IFRAME
Зона Интернета\Параметр входа в систему
имя пользователя и
пароль
Зона Интернета\Переход между кадрами через разные
Не задан
Отключен
Не задан
Включен:Отключить
Не задан
Включен:Высокая
домены
Зона Интернета\Открывать файл согласно его
содержанию, а не расширению
Зона Интернета\Разрешения канала программного
обеспечения
безопасность
Зона Интернета\Блокировать всплывающие окна
Не задан
Включен:Включить
Зона Интернета\Веб-узлы из зон Интернета с
Не задан
Включен:Отключить
наименьшими правами могут открываться из этой зоны
§ — Означает, что параметр групповой политики появился только в Windows Vista.
Панель управления обозревателем\Вкладка "Безопасность"\Зона ограниченных узлов
Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows
\Internet Explorer\Панель управления обозревателем\Вкладка "Безопасность"\Зона
ограниченных узлов
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в
подразделах, следующих за таблицей.
Примечание.
Параметры зоны Интернета и зоны ограниченных узлов очень похожи. Описания
параметров обеих зон приведены ниже.
Таблица A70. Рекомендуемые параметры зоны ограниченных узлов
Параметр
Пользователь
EC
Пользователь SSLF
Зона ограниченных узлов\Доступ к источникам данных
Не задан
Включен:Отключить
Зона ограниченных узлов\Разрешать активные сценарии Не задан
Включен:Отключить
Зона ограниченных узлов\Разрешать поведение
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
за пределами домена
двоичного кода и сценариев
Зона ограниченных узлов\Разрешать операции
вырезания, копирования или вставки из буфера обмена
в сценарии
Зона ограниченных узлов\Разрешать перетаскивание
или копирование и вставку файлов
Зона ограниченных узлов\Разрешать загрузку файлов
Не задан
Включен:Отключить
Зона ограниченных узлов\Разрешать загрузку шрифтов
Не задан
Включен:Отключить
Зона ограниченных узлов\Разрешать установку
Не задан
Включен:Отключить
Зона ограниченных узлов\Разрешить метаобновление
Не задан
Включен:Отключить
Зона ограниченных узлов\Разрешать запущенные
Не задан
Включен:Отключить
Не задан
Отключен
Не задан
Включен:Включить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
элементов рабочего стола
сценарием окна без ограничений на размеры и
положение
§ Зона ограниченных узлов\Разрешать обновление
строки состояния в сценарии
Зона ограниченных узлов\Автоматические запросы на
загрузку файлов
Зона ограниченных узлов\Загрузка подписанных
элементов управления ActiveX
Зона ограниченных узлов\Загрузка неподписанных
элементов управления ActiveX
Зона ограниченных узлов\Использование элементов
управления ActiveX, не помеченных как безопасные для
использования
Зона ограниченных узлов\Разрешения Java
Java
Зона ограниченных узлов\Запуск приложений и файлов
Не задан
Включен:Отключить
Не задан
Включен:Анонимный
в окне IFRAME
Зона ограниченных узлов\Параметры входа в систему
вход
Зона ограниченных узлов\Переход между кадрами через
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
Не задан
Включен:Отключить
разные домены
Зона ограниченных узлов\Открывать файл согласно его
содержанию, а не расширению
Зона ограниченных узлов\Запускать компоненты .NET
Framework, не подписанные с помощью Authenticode
Зона ограниченных узлов\Запускать компоненты .NET
Framework, подписанные с помощью Authenticode
Зона ограниченных узлов\Запуск элементов ActiveX и
модулей подключения
Зона ограниченных узлов\Выполнять сценарии
элементов ActiveX, помеченных как безопасные
Зона ограниченных узлов\Выполнять сценарии
приложений Java
Зона ограниченных узлов\Разрешения канала
Не задан
программного обеспечения
Зона ограниченных узлов\Блокировать всплывающие
Включен:Высокая
безопасность
Не задан
Включен:Включить
Не задан
Включен:Отключить
окна
Зона ограниченных узлов\Веб-узлы из зон Интернета с
наименьшими правами могут открываться из этой зоны
§ — Означает, что параметр групповой политики появился только в Windows Vista.
Доступ к источникам данных за пределами домена
Этот параметр политики указывает, может ли Internet Explorer получать доступ к данным другой зоны
безопасности с помощью анализатора Microsoft XML Parser (MSXML) или объектов данных ActiveX
(ADO).
Если этот параметр политики включен, пользователи могут загружать страницу в зоне, использующей
MSXML или ADO для получения доступа к данным с другого узла зоны. Если выбрать в
раскрывающемся списке пункт Предлагать, пользователи должны будут сами выбирать, разрешать ли
загрузку страниц в зоне, использующей MSXML или ADO для доступа к данным другого узла зоны.
Если этот параметр политики отключен, пользователи не смогут загружать страницы в зоне,
использующей MSXML или ADO для получения доступа к данным с другого узла зоны.
Если этот параметр политики не настроен, пользователи не смогут загружать страницы в зоне,
использующей MSXML или ADO для получения доступа к данным с другого узла зоны.
Параметр Доступ к источникам данных за пределами домена имеет значение
Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны Интернета и для
Зоны ограниченных узлов.
Разрешать активные сценарии
Этот параметр политики позволяет выбрать, будет ли запускаться код сценария на страницах зоны.
Если этот параметр политики включен, код сценария на страницах зоны запускается автоматически.
Если в выпадающем списке выбран пункт Предлагать, пользователи должны сами выбирать,
разрешать ли выполнение кода сценария на страницах зоны. Если этот параметр политики отключен,
код сценария на страницах зоны не запускается. Если этот параметр политики не настроен, код
сценария на страницах зоны не запускается.
Параметр Разрешать активные сценарии имеет значение Включен:Отключить для среды SSLF и
значение Не задан для среды EC для Зоны ограниченных узлов.
Разрешать поведение двоичного кода и сценариев
Этот параметр политики позволяет управлять поведением динамического двоичного кода и сценариев:
компонентов, содержащих специальные функции для элементов HTML, к которым они прикреплены.
Если этот параметр политики включен, доступно поведение двоичного кода и сценариев. Если выбрать
в раскрывающемся списке пункт Одобренные администратором, то доступными будут только
поведения, перечисленные в списке Поведения, одобренные администратором политики
Ограничения безопасности поведения двоичного кода.
Если этот параметр политики отключен, поведение двоичного кода и сценариев будет доступно только
тогда, когда у приложений имеется внедренный диспетчер безопасности. Если этот параметр политики
не настроен, поведение двоичного кода и сценариев будет доступно только тогда, когда у приложений
имеется внедренный диспетчер безопасности.
Параметр Разрешать поведение двоичного кода и сценариев имеет значение
Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны ограниченных
узлов.
Разрешать операции вырезания, копирования или вставки из буфера обмена в сценарии
Этот параметр политики позволяет выбирать, могут ли выполняться в сценариях операции с буфером
обмена (например, вырезание, копирование и вставка) в указанной области. Если этот параметр
политики включен, можно выполнять в сценарии операции с буфером обмена. Если выбрать в
раскрывающемся списке пункт Предлагать, пользователи должны будут сами выбирать, выполнять ли
операции с буфером обмена. Если этот параметр политики отключен, сценарии не смогут выполнять
операции с буфером обмена. Если этот параметр политики не настроен, сценарии не смогут выполнять
операции с буфером обмена.
Параметр Доступ к источникам данных за пределами домена имеет значение
Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны Интернета и для
Зоны ограниченных узлов.
Разрешать перетаскивание или копирование и вставку файлов
Этот параметр политики позволят выбирать, могут ли пользователи перетаскивать или копировать и
вставлять файлы из источника в пределах зоны. Если этот параметр политики включен, пользователи
могут перетаскивать или копировать и вставлять файлы из данной зоны автоматически. Если выбрать в
выпадающем списке пункт Предлагать, пользователям необходимо будет самим выбирать, будут ли
они перетаскивать (или копировать и вставлять) файлы из данной зоны. Если этот параметр политики
отключен, пользователи не смогут перетаскивать или копировать и вставлять файлы из данной зоны.
Если этот параметр политики не настроен, пользователям необходимо будет самим выбирать, будут ли
они перетаскивать (или копировать и вставлять) файлы из данной зоны.
Параметр Разрешать перетаскивание или копирование и вставку файлов имеет значение
Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны Интернета и для
Зоны ограниченных узлов.
Разрешать загрузку файлов
Этот параметр политики позволяет выбирать, разрешена ли загрузка файлов из данной зоны. Этот
параметр определяется зоной страницы, содержащей ссылка на загрузку, а не зоной, из которой
доставляется файл. Если этот параметр политики включен, можно загружать файлы из данной зоны.
Если этот параметр политики отключен, запрещается загружать файлы из данной зоны. Если этот
параметр политики не настроен, запрещается загружать файлы из данной зоны.
Параметр Разрешать загрузку файлов имеет значение Включен:Отключить для среды SSLF и
значение Не задан для среды EC для Зоны ограниченных узлов.
Разрешать загрузку шрифтов
Этот параметр политики позволяет указывать, могут ли страницы зоны загружать шрифты HTML.
Если этот параметр включен, можно загружать шрифты HTML автоматически. Если этот параметр
включен и в раскрывающемся списке выбран пункт "Предлагать", пользователи должны сами
выбирать, разрешать ли загрузку шрифтов HTML. Если этот параметр отключен, загружать шрифты
HTML запрещено. Если этот параметр политики не настроен, пользователи должны сами выбирать,
разрешать ли загрузку шрифтов HTML.
Параметр Разрешать загрузку шрифтов имеет значение Включен:Отключить для среды SSLF и
значение Не задан для среды EC для Зоны Интернета и для Зоны ограниченных узлов.
Разрешать установку элементов рабочего стола
Этот параметр политики позволяет выбирать, могут ли пользователи устанавливать элементы Active
Desktop из данной зоны. Для данного параметра существуют следующие варианты.
Включить пользователи могут устанавливать элементы рабочего стола из данной зоны автоматически.
Предлагать пользователи сами выбирают, устанавливать ли элементы рабочего стола из этой зоны.
Отключить пользователям запрещено устанавливать элементы рабочего стола из этой зоны.
Если этот параметр политики не настроен, запрещается устанавливать элементы рабочего стола из
данной зоны.
Параметр Разрешать установку элементов рабочего стола имеет значение Включен:Отключить
для среды SSLF и значение Не задан для среды EC для Зоны Интернета и для Зоны ограниченных
узлов.
Разрешать метаобновление
Этот параметр политики позволяет выбирать, может ли обозреватель пользователя быть
перенаправлен на другую веб-страницу, если автор веб-страницы использует тег Метаобновление
для перенаправления обозревателя на другую веб-страницу. Если этот параметр политики включен,
обозреватель пользователя при загрузке страницы, содержащей активный тег Метаобновление,
может быть перенаправлен на другую веб-страницу. Если этот параметр политики отключен,
обозреватель пользователя при загрузке страницы, содержащей активный тег Метаобновление, не
может быть перенаправлен на другую веб-страницу. Если этот параметр политики не настроен,
обозреватель пользователя при загрузке страницы, содержащей активный тег Метаобновление, не
может быть перенаправлен на другую веб-страницу.
Параметр Разрешать метаобновление имеет значение Включен:Отключить для среды SSLF и
значение Не задан для среды EC для Зоны ограниченных узлов.
Разрешать запущенные сценарием окна без ограничений на размеры и положение
Этот параметр политики позволяет управлять ограничениями для запускаемых сценариями
всплывающих окон и окон, имеющих панель заголовка и строку состояния. Если этот параметр
политики включен, возможность ограничения безопасности для окон не применяется в этой зоне.
Зона безопасности будет запускаться без добавленного уровня безопасности, предоставляемого этой
возможностью. Если этот параметр политики отключен, потенциально опасные действия,
содержащиеся в запускаемых сценариями всплывающих окнах и окнах, имеющих панель заголовка и
строку состояния, запускаться не будут. Средство безопасности Internet Explorer будет включено для
этой зоны, как это задано элементом управления Ограничения безопасности для обрабатываемых
сценариями окон для процесса. Если этот параметр политики не настроен, потенциально опасные
действия, содержащиеся в запускаемых сценариями всплывающих окнах и окнах, имеющих панель
заголовка и строку состояния, запускаться не будут. Средство безопасности Internet Explorer будет
включено для этой зоны, как это задано элементом управления Ограничения безопасности для
обрабатываемых сценариями окон для процесса.
Параметр Разрешать запущенные сценарием окна без ограничений на размеры и положение
имеет значение Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны
Интернета и для Зоны ограниченных узлов.
Разрешать обновление строки состояния в сценарии
Этот параметр политики позволяет выбирать, можно ли обновлять строку состояния в сценарии в
пределах данной зоны. Если этот параметр политики включен, сценарий может обновлять строку
состояния. Если этот параметр политики отключен, сценарий не может обновлять строку состояния.
Если этот параметр политики не настроен, обновление строки состояния в сценариях запрещено.
Параметр Разрешать обновление строки состояния в сценарии имеет значение
Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны Интернета и для
Зоны ограниченных узлов.
Автоматические запросы на загрузку файлов
Этот параметр политики определяет, будет ли предлагаться выполнять не инициированные
пользователем загрузки файлов. Независимо от значения этого параметра, пользователям выводится
диалоговое окно загрузки файла, которую они инициируют. Если этот параметр политики включен,
пользователям выводится диалоговое окно загрузки файла при попытке автоматической загрузки.
Если этот параметр политики отключен или не настроен, не инициированные пользователем загрузки
файлов блокируются, а пользователи видят Панель информации вместо диалогового окна загрузки
файла. Пользователи могут щелкнуть Панель информации, чтобы разрешить загрузку файла.
Параметр Автоматические запросы на загрузку файлов имеет значение Включен:Отключить для
среды SSLF и значение Не задан для среды EC для Зоны Интернета и для Зоны ограниченных
узлов.
Загрузка подписанных элементов управления ActiveX
Этот параметр политики позволяет выбирать, могут ли пользователи загружать подписанные элементы
управления ActiveX со страницы зоны. Если этот параметр включен, подписанные элементы
управления загружаются без вмешательства пользователя. Если в раскрывающемся списке выбрать
пункт Предлагать, пользователи должны будут сами выбирать, загружать ли элементы управления,
подписанные ненадежными издателями. Код, подписанный надежными издателями, загружается без
каких-либо сообщений. Если Отключить данный параметр политики, подписанные элементы
управления не загружаются.
Если этот параметр политики не настроен, пользователи должны будут сами выбирать, загружать ли
элементы управления, подписанные ненадежными издателями. Код, подписанный надежными
издателями, загружается без каких-либо сообщений.
Параметр Загрузка подписанных элементов управления ActiveX имеет значение
Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны Интернета и для
Зоны ограниченных узлов.
Загрузка неподписанных элементов управления ActiveX
Этот параметр политики позволяет выбирать, могут ли пользователи загружать неподписанные
элементы управления ActiveX со страниц зоны. Такой код является потенциально опасным, особенно
если находится в ненадежной зоне.
Если этот параметр включен, неподписанные элементы управления запускаются без вмешательства
пользователя. Если выбрать в выпадающем списке пункт Предлагать, пользователи должны будут
сами выбирать, запускать ли неподписанные элементы управления. Если этот параметр политики
отключен, запускать неподписанные элементы управления запрещено. Если этот параметр политики не
настроен, запускать неподписанные элементы управления запрещено.
Параметр Загрузка неподписанных элементов управления ActiveX имеет значение
Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны Интернета и для
Зоны ограниченных узлов.
Использование элементов управления ActiveX, не помеченных как безопасные для
использования
Этот параметр политики позволяет управлять элементами управления ActiveX, не помеченными как
безопасные для использования. Если этот параметр политики включен, элементы управления ActiveX
запускаются с загруженными параметрами и сценариями, не настроенными для безопасного
использования. Не рекомендуется использовать этот параметр нигде, кроме безопасных и
администрируемых зон. При использовании этого параметра инициализируются и запускаются по
сценарию и надежные, и ненадежные элементы управления, вне зависимости от значения параметра
Выполнять сценарии элементов ActiveX, помеченных как безопасные.
Если этот параметр политики включен и в раскрывающемся списке выбран пункт Предлагать,
пользователи получат запрос о том, следует ли разрешить загрузку элементов управления с
параметрами или сценариями.
Если этот параметр политики отключен, элементы управления ActiveX, которые не удается
обезопасить, не будут загружаться с параметрами или сценариями. Если этот параметр политики не
настроен, элементы управления ActiveX, которые не удается обезопасить, не будут загружаться с
параметрами или сценариями.
Параметр Использование элементов управления ActiveX, не помеченных как безопасные для
использования имеет значение Включен:Отключить для среды SSLF и значение Не задан для
среды EC для Зоны Интернета и для Зоны ограниченных узлов.
Разрешения Java
Этот параметр политики позволяет управлять разрешениями для приложений Java. Если этот параметр
политики включен, можно выбрать параметры из раскрывающегося списка. Особая безопасность:
управление отдельными разрешениями. Низкая безопасность: разрешение приложениям выполнять
все действия. Средняя безопасность: запуск приложений в "песочнице" (участок памяти, за
переделами которого программа не выполняется), а также использовать временное безопасное
хранилище на клиентском компьютере и управляемый пользователем ввод / вывод файлов. Высокая
безопасность: запуск приложений в "песочнице". Запрещается запуск всех приложений путем
отключения Java. Если этот параметр политики отключен, то приложения Java не запускаются. Если
этот параметр политики не настроен, устанавливается разрешение Высокая безопасность.
Параметр Разрешения Java имеет значение Включен:Отключить для среды SSLF и значение Не
задан для среды EC для Зоны Интернета и для Зоны ограниченных узлов.
Запуск приложений и файлов в окне IFRAME
Этот параметр политики позволяет управлять тем, могут ли пользователи запускать приложения и
загружать файлы по ссылкам в окнах IFRAME на HTML-страницах в этой зоне. Если этот параметр
политики включен, пользователи могут запускать приложения и загружать файлы в окнах IFRAME на
страницах в этой зоне без вмешательства пользователя. Если в раскрывающемся списке выбран
вариант Предлагать, пользователи будут получать запросы на разрешение запуска приложений и
загрузки файлов в окнах IFRAME на страницах в этой зоне.
Если этот параметр политики отключен, пользователи не смогут запускать приложения и загружать
файлы в окнах IFRAME на страницах в этой зоне. Если этот параметр политики не настроен,
пользователи не могут запускать приложения и загружать файлы в окнах IFRAME на страницах в этой
зоне.
Параметр Запуск приложений и файлов в окне IFRAME имеет значение Включен:Отключить для
среды SSLF и значение Не задан для среды EC для Зоны Интернета и для Зоны ограниченных
узлов.
Параметры входа в систему
Этот параметр политики позволяет управлять настройкой параметров входа. Если этот параметр
политики включен, можно выбрать один из следующих параметров входа.
Анонимный вход отключает проверку подлинности HTTP и использует учетную запись гостя только
для протокола CIFS (Common Internet File System).
Запрос имени пользователя и пароля предлагает пользователю ввести учетную запись и пароль.
После выдачи запроса эти значения могут автоматически использоваться в течение текущего сеанса.
Автоматический вход только в зону интрасети предлагает пользователю ввести учетную запись и
пароль для остальных зон. После выдачи запроса эти значения могут автоматически использоваться в
течение текущего сеанса.
Автоматический вход с текущим именем пользователя и паролем для входа с использованием
аутентификации с запросом и подтверждением Windows NT (проверки подлинности NTLM). Если
аутентификация с запросом и подтверждением Windows NT поддерживается сервером, для входа
используется сетевое имя пользователя и пароль. Если аутентификация с запросом и подтверждением
Windows NT не поддерживается сервером, пользователь получает запрос на ввод имени пользователя и
пароля.
Если этот параметр политики отключен, параметр входа имеет значение Автоматический вход
только в зону интрасети. Если этот параметр политики не задан, параметр входа имеет значение
Автоматический вход только в зону интрасети.
Параметр Параметры входа в систему имеет значение Включен:Запрос имени пользователя и
пароля для среды SSLF для Зоны Интернета и значение Включен:Анонимный вход для Зоны
ограниченных узлов. Параметр имеет значение Не задан для среды EC как для Зоны Интернета,
так и для Зоны ограниченных узлов.
Переход между кадрами через разные домены
Этот параметр политики позволяет управлять открытием суб-кадров и доступом приложений в
различных доменах. Если этот параметр политики включен, пользователи могут открывать суб-кадры
из других доменов и получать доступ к приложениям из других доменов. Если в раскрывающемся
списке выбран вариант Предлагать, то пользователи получат запрос на разрешение открытия субкадров и получение доступа к приложениям из других доменов.
Если этот параметр политики отключен, пользователи не смогут открывать суб-кадры и получать
доступ к приложениям из других доменов. Если этот параметр политики не настроен, пользователи
смогут открывать суб-кадры из других доменов и получать доступ к приложениям из других доменов.
Параметр Переход между кадрами через разные домены имеет значение Отключен для среды
SSLF в Зоне Интернета и значение Включен:Отключить в Зоне ограниченных узлов .Параметр
имеет значение Не задан для среды EC как для Зоны Интернета, так и для Зоны ограниченных
узлов.
Открывать файл согласно его содержанию, а не расширению
Этот параметр политики позволяет управлять пробной проверкой MIME, разрешая замену одного типа
файла другим по результатам проверки MIME. При выполнении пробной проверки MIME обозреватель
Internet Explorer опознает определенные битовые сигнатуры конкретных типов файлов. Если этот
параметр политики включен, Возможность пробной проверки MIME не применяется в этой зоне.
Зона безопасности будет запускаться без добавленного уровня безопасности, предоставляемого этой
возможностью. Если этот параметр политики отключен, потенциально опасные действия не будут
выполняться. Эта защитная функция Internet Explorer будет включена в зоне, согласно значению
параметра управления функцией для процесса. Если этот параметр политики не настроен,
Возможность пробной проверки MIME не применяется в данной зоне.
Параметр Открывать файл согласно его содержанию, а не расширению имеет значение
Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны Интернета и для
Зоны ограниченных узлов.
Запускать компоненты .NET Framework, не подписанные с помощью Authenticode
Этот параметр политики позволяет управлять выполнением из Internet Explorer компонентов .NET
Framework, не подписанных с помощью Authenticode®. Эти компоненты содержат управляемые
элементы из тега объекта и управляемые EXE-файлы, обращение к которым производится через
ссылку.
Если этот параметр политики включен, Internet Explorer будет выполнять неподписанные управляемые
компоненты. Если в раскрывающемся списке выбран вариант Предлагать, то пользователи получат
запрос на выполнение неподписанных управляемых компонентов. Если этот параметр политики
отключен, Internet Explorer не будет выполнять неподписанные управляемые компоненты. Если этот
параметр политики не настроен, Internet Explorer не будет выполнять неподписанные управляемые
компоненты.
Параметр Запускать компоненты .NET Framework, не подписанные с помощью Authenticode
имеет значение Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны
ограниченных узлов.
Запускать компоненты .NET Framework, подписанные с помощью Authenticode
Этот параметр политики позволяет управлять выполнением из Internet Explorer компонентов .NET
Framework, подписанных с помощью Authenticode®. Эти компоненты содержат управляемые элементы
из тега объекта и управляемые EXE-файлы, обращение к которым производится через ссылку.
Если этот параметр политики включен, Internet Explorer будет выполнять подписанные управляемые
компоненты. Если в раскрывающемся списке выбран вариант Предлагать, то пользователи получат
запрос на выполнение подписанных управляемых компонентов. Если этот параметр политики
отключен, Internet Explorer не будет выполнять подписанные управляемые компоненты. Если этот
параметр политики не настроен, Internet Explorer не будет выполнять подписанные управляемые
компоненты.
Параметр Запускать компоненты .NET Framework, подписанные с помощью Authenticode имеет
значение Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны
ограниченных узлов.
Запуск элементов ActiveX и модулей подключения
Этот параметр политики позволяет управлять запуском элементов управления ActiveX и подключаемых
модулей на страницах указанной зоны. Если этот параметр политики включен, элементы управления и
подключаемые модули могут запускаться без вмешательства пользователя. Если в раскрывающемся
списке выбран вариант Запросить, то пользователи получат запрос на разрешение запуска элементов
управления или подключаемого модуля. Если этот параметр политики отключен, элементы управления
и подключаемые модули не будут запускаться. Если этот параметр политики не настроен, элементы
управления и подключаемые модули не будут запускаться.
Параметр Запуск элементов ActiveX и модулей подключения имеет значение
Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны ограниченных
узлов.
Выполнять сценарии элементов ActiveX, помеченных как безопасные
Этот параметр политики позволяет управлять взаимодействием сценариев и элементов управления
ActiveX, помеченных как безопасных для выполнения сценариев. Если этот параметр политики
включен, взаимодействие со сценарием может происходить автоматически, без вмешательства
пользователя. Если в выпадающем списке выбран вариант Предлагать, то пользователи получат
запрос на разрешение взаимодействия со сценарием. Если этот параметр политики отключен или не
настроен, взаимодействие со сценарием запрещено.
Параметр Выполнять сценарии элементов ActiveX, помеченных как безопасные имеет значение
Включен:Отключить для среды SSLF и значение Не задан для среды EC для Зоны ограниченных
узлов.
Выполнять сценарии приложений Java
Этот параметр политики позволяет управлять доступом сценариев к приложениям в пределах зоны.
Если этот параметр политики включен, приложения доступны для сценариев автоматически, без
вмешательства пользователя. Если в выпадающем списке выбран вариант Предлагать, то
пользователи получат запрос на разрешение доступа к приложениям для сценариев. Если этот
параметр политики отключен или не настроен, приложения недоступны для сценариев.
Параметр Выполнять сценарии приложений Java имеет значение Включен:Отключить для среды
SSLF и значение Не задан для среды EC для Зоны ограниченных узлов.
Разрешения канала программного обеспечения
Этот параметр политики позволяет управлять разрешениями канала программного обеспечения. Если
этот параметр политики включен, можно выбрать следующие параметры из раскрывающегося списка.
Низкая безопасность — пользователь получает уведомления о наличии обновлений программ по
электронной почте, программы автоматически загружаются на компьютер пользователя и
автоматически устанавливаются на него.
Средняя безопасность — пользователь получает уведомления о наличии обновлений программ по
электронной почте, программы автоматически загружаются (но не устанавливаются) на компьютер
пользователя.
Высокая безопасность — пользователь не получает уведомлений о наличии обновлений программ по
электронной почте, программы не загружаются автоматически на компьютер пользователя и не
устанавливаются на него автоматически.
Если этот параметр политики отключен, устанавливается разрешение Высокая безопасность.
Параметр Разрешения канала программного обеспечения имеет значение Включен:Высокая
безопасность для среды SSLF и значение Не задан для среды EC для Зоны Интернета и для Зоны
ограниченных узлов.
Блокирование всплывающих окон
Этот параметр политики позволяет управлять появлением нежелательных всплывающих окон.
Всплывающие окна, которые открываются, когда пользователь щелкает ссылку, не блокируются. Если
этот параметр политики включен, многие нежелательные всплывающие окна не появляются. Если этот
параметр политики отключен, ничто не препятствует появлению всплывающих окон. Если этот
параметр политики не настроен, многие нежелательные всплывающие окна не появляются.
Параметр Блокирование всплывающих окон имеет значение Включен:Включить для среды SSLF
и значение Не задан для среды EC для Зоны Интернета и для Зоны ограниченных узлов.
Веб-узлы из зон Интернета с наименьшими правами могут открываться из этой зоны
Этот параметр политики позволяет управлять тем, могут ли веб-узлы из менее привилегированных зон,
например, из Зоны ограниченных узлов, перенаправлять пользователя в эту зону. Если этот
параметр политики включен, то веб-узлы из менее привилегированных зон могут открывать новые
окна и перенаправлять пользователя в эту зону. Зона безопасности будет запускаться без
добавленного уровня безопасности, предоставляемого функцией защиты от повышения уровня
зоны. Если в раскрывающемся списке выбран пункт Предлагать, то выдается предупреждение о
потенциально опасном перенаправлении.
Если этот параметр политики отключен, потенциально опасные перенаправления блокируются. Данная
защитная функция Internet Explorer будет включена для этой зоны, как это задано элементом
управления Защита от повышения уровня зоны. Если данный параметр политики не настроен, то
веб-узлы из менее привилегированных зон смогут открывать новые окна и перенаправлять
пользователя в эту зону.
Параметр Веб-узлы из зон Интернета с наименьшими правами могут открываться из этой
зоны имеет значение Включен:Отключить для среды SSLF и значение Не задан для среды EC для
Зоны Интернета и для Зоны ограниченных узлов.
Автономные страницы
Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе
объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows
\Internet Explorer\Автономные страницы
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в
подразделах, следующих за таблицей.
Примечание.
Эти параметры не применяются к Internet Explorer 7. Они настраиваются только для
среды EC, поскольку в таких средах могут присутствовать компьютеры под управлением Windows XP с
Internet Explorer 6.0.
Таблица A71. Рекомендуемые параметры автономных страниц
Параметр
Пользователь
EC
Пользователь
SSLF
Отключить добавление каналов
Включен
Не задан
Отключить добавление расписаний для автономных страниц
Включен
Не задан
Отключить все расписания для автономных страниц
Включен
Не задан
Полное отключение пользовательского интерфейса каналов
Включен
Не задан
Отключить загрузку содержимого подписки
Включен
Не задан
Отключить редактирование и создание новых групп
Включен
Не задан
Отключить изменение расписаний для автономных страниц
Включен
Не задан
Отключить протоколирование обращений к автономным
Включен
Не задан
Отключить удаление каналов
Включен
Не задан
Отключить удаление расписаний для автономных страниц
Включен
Не задан
расписаний
страницам
Отключить добавление каналов
Этот параметр политики запрещает добавление каналов в Internet Explorer. Каналы — это веб-узлы,
которые автоматически обновляются на компьютере, на котором запущен Internet Explorer, в
соответствии с расписанием, указанным поставщиком канала. Этот параметр политики относится к
параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer. Рекомендуется
разрешать загрузку страниц из Интернета только в том случае, если пользователь делает запросы
непосредственно с компьютера.
Поэтому параметр Отключить добавление каналов имеет значение Включен для среды EC и
значение Не задан для среды SSLF.
Отключить добавление расписаний для автономных страниц
Этот параметр политики запрещает указывать веб-страницы, которые можно загрузить и
просматривать в автономном режиме. Эта возможность позволяет пользователям просматривать вебстраницы, если компьютер не подключен к Интернету.
Параметр Отключить добавление расписаний для автономных страниц имеет значение
Включен для среды EC и значение Не задан для среды SSLF.
Отключить все расписания для автономных страниц
Этот параметр политики отключает все имеющиеся расписания, согласно которым должны загружаться
веб-страницы для просмотра в автономном режиме. Если эта политика включена, флажки для
расписаний на вкладке Расписание диалогового окна Свойства веб-страницы снимаются, и
пользователи больше не смогут установить их. Чтобы открыть эту вкладку, нужно выбрать в меню
Сервис пункт Синхронизировать, выбрать веб-страницу и нажать кнопку Свойства, а затем открыть
вкладку Расписание. Этот параметр политики относится к параметрам, блокирующим автоматическую
загрузку содержимого Internet Explorer.
Параметр Отключить все расписания для автономных страниц имеет значение Включен для
среды EC и значение Не задан для среды SSLF.
Полное отключение пользовательского интерфейса каналов
Этот параметр политики запрещает просмотр интерфейса панели каналов. Каналы — это веб-узлы,
которые автоматически обновляются на компьютере, в соответствии с расписанием, указанным
поставщиком канала. Если этот параметр политики включен, пользователи не смогут получить доступ к
интерфейсу панели каналов и установить флажок Панель каналов Internet Explorer на вкладке Веб
диалогового окна Свойства экрана. Этот параметр политики относится к параметрам, блокирующим
автоматическую загрузку содержимого Internet Explorer.
Параметр Полное отключение пользовательского интерфейса каналов имеет значение
Включен для среды EC и значение Не задан для среды SSLF.
Отключить загрузку содержимого подписки
Этот параметр политики запрещает загружать содержимое подписки с веб-узлов. Однако при возврате
на ранее открывавшуюся страницу с целью поиска обновленного содержания будет по-прежнему
выполняться синхронизация содержимого веб-страницы. Этот параметр политики относится к
параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer.
Параметр Отключить загрузку содержимого подписки имеет значение Включен для среды EC и
значение Не задан для среды SSLF.
Отключить редактирование и создание новых групп расписаний
Запрещает пользователям добавление, изменение или удаление расписаний загрузки для автономного
просмотра содержимого отдельных веб-страниц или их групп, на которые подписаны пользователи.
Группа подписки веб-страниц — это избранная веб-страница и те страницы, на которые она ссылается.
Если эта политика включена, то кнопки Добавить, Удалить и Изменить на вкладке Расписание
диалогового окна Свойства веб-страницы становятся неактивными. Чтобы открыть эту вкладку,
нужно выбрать в меню Сервис пункт Синхронизировать, выбрать веб-страницу и нажать кнопку
Свойства, а затем открыть вкладку Расписание. Этот параметр политики относится к параметрам,
блокирующим автоматическую загрузку содержимого Internet Explorer.
Поэтому параметр Отключить редактирование и создание новых групп расписаний имеет
значение Включен для среды EC и значение Не задан для среды SSLF.
Отключить изменение расписаний для автономных страниц
Этот параметр политики запрещает изменять любые имеющиеся расписания загрузки веб-страниц для
просмотра в автономном режиме. Если этот параметр включен, пользователи не могут увидеть свойства
расписания для страниц, предназначенных для просмотра в автономном режиме. Если в меню Сервис
Internet Explorer выбрать пункт Синхронизировать, затем выбрать веб-страницу и нажать кнопку
Свойства, свойства не будут отображены. Пользователи не получают сообщений о недоступности
команды. Этот параметр политики относится к параметрам, блокирующим автоматическую загрузку
содержимого Internet Explorer.
Параметр Отключить изменение расписаний для автономных страниц имеет значение Включен
для среды EC и значение Не задан для среды SSLF.
Отключить протоколирование обращений к автономным страницам
Этот параметр политики запрещает поставщикам каналов записывать, насколько часто их страницы
каналов просматриваются пользователями в автономном режиме. Этот параметр политики относится к
параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer.
Параметр Отключить протоколирование обращений к автономным страницам имеет значение
Включен для среды EC и значение Не задан для среды SSLF.
Отключить удаление каналов
Этот параметр политики запрещает отключать синхронизацию каналов в Internet Explorer.
Рекомендуется разрешать загрузку страниц из Интернета только в том случае, если пользователь
делает запросы непосредственно с компьютера.
Поэтому параметр Отключить удаление каналов имеет значение Включен для среды EC и значение
Не задан для среды SSLF.
Отключить удаление расписаний для автономных страниц
Этот параметр политики запрещает очищать предварительно установленные параметры загрузки вебстраниц для просмотра в автономном режиме. Если этот параметр политики включен, предварительные
настройки веб-страницы защищены. Этот параметр политики относится к параметрам, блокирующим
автоматическую загрузку содержимого Internet Explorer.
Параметр Отключить удаление расписаний для автономных страниц имеет значение Включен
для среды EC и значение Не задан для среды SSLF.
Проводник
Проводник используется для работы с файловой системой на клиентских компьютерах под
управлением Windows Vista.
Указанные ниже рекомендованные параметры пользователя можно настроить в следующем узле в
редакторе объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Компоненты Windows
\Проводник
В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации
пользователя для Проводника. Дополнительные сведения по каждой строке приводятся в подразделах,
следующих за таблицей.
Таблица A72. Рекомендуемые параметры конфигурации пользователя для Проводника
Параметр
Компьютер EC
Компьютер
SSLF
Удалить возможности записи компакт-дисков
Не задан
Включен
Удалить вкладку "Безопасность"
Не задан
Включен
Удалить возможности записи компакт-дисков
Этот параметр политики удаляет встроенные возможности Windows Vista, позволяющие записывать
компакт-диски через Проводник. Windows Vista позволяет создавать и изменять перезаписываемые
компакт-диски при наличии подключенного к компьютеру дисковода для чтения и записи компактдисков. Эту функцию можно использовать для копирования большого количества данных с жесткого
диска на компакт-диск, который после этого можно извлечь из компьютера.
Параметр Удалить возможности записи компакт-диско имеет значение Не задан для среды EC и
значение Включен для среды SSLF.
Примечание.
Этот параметр политики не препятствует изменению и созданию компакт-дисков с
помощью сторонних приложений, использующих устройство записи компакт-дисков. Для запрета
создания и изменения компакт-дисков сторонними приложениями рекомендуется использовать
политики ограничения запуска программ.
Чтобы запретить запись компакт-дисков, можно также извлечь устройства для записи компакт-дисков
из клиентских компьютеров среды или заменить их устройствами для чтения компакт-дисков.
Удалить вкладку "Безопасность"
Этот параметр политики отключает вкладку Безопасность в диалоговых окнах свойств файлов и
папок в Проводнике. Если этот параметр политики включен, пользователи не смогут открыть вкладку
Безопасность диалогового окна Свойства для любых объектов файловой системы, включая папки,
файлы, ярлыки и диски. Поскольку вкладка Безопасность недоступна, пользователи не могут
изменять параметры или просматривать список пользователей.
Поэтому параметр Удалить вкладку "Безопасность" имеет значение Не задан для среды EC и
значение Включен для среды SSLF.
Дополнительные сведения
Дополнительные сведения о безопасности и более детальное описание принципов и рекомендаций по
обеспечению безопасности, приведенных в данном руководстве для Windows Vista, см. в
перечисленных ниже материалах.
•
Раздел Настройка компьютера для устранения неполадок с брандмауэром Windows на веб-узле
•
Статья 321710 базы знаний Майкрософт ИНСТРУКЦИИ: Удаление компьютера под управлением
•
Статья 324744 базы знаний Майкрософт Запретить пользователям изменять пароль, кроме тех
•
Статья 321710 базы знаний Майкрософт ИНСТРУКЦИИ: Запретить пользователям изменять пароль,
•
Статья 315231 базы знаний Майкрософт Автоматизация входа в систему на компьютере под
•
Статья 921469 базы знаний Майкрософт Использование групповой политики для настройки
Microsoft TechNet® (на английском языке).
Windows 2000 из списка обозревателей (на английском языке).
случаев, когда это необходимо, в Windows Server 2003 (на английском языке).
кроме тех случаев, когда это необходимо, в Windows 2000 (на английском языке).
управлением Windows XP.
подробных параметров аудита безопасности на клиентских компьютерах с системой Windows Vista в
домене Windows Server 2003 или домене Windows 2000.
•
Раздел Службы IIS и встроенные учетные записи (IIS 6.0) на веб-узле TechNet (на английском
•
Статья 811832 базы знаний Майкрософт В некоторых случаях стандартные исключения IPSec могут
•
Статья 555235 базы знаний Майкрософт Веб-клиент и рабочее место в Интернете сервера Small
языке).
использоваться для обхода защиты IPSec.
Business Server не работают, если в Windows XP с пакетом обновления 2 с помощью групповой
политики включена блокировка надстроек (на английском языке).
•
Раздел Установщик пакетов (старое имя файла Update.exe) для операционных систем Microsoft
•
Руководство Угрозы и меры противодействия, глава 5 "Параметры безопасности" (на английском
•
Раздел Брандмауэр Windows на TechNet (на английском языке).
•
Обзор служб Windows Server Update Services на веб-узле Microsoft.com (на английском языке).
•
Центр обновлений Microsoft на веб-узле Microsoft.com.
Windows и компонентов Windows на веб-узле TechNet (на английском языке).
языке).
Поддержка и обратная связь
Группа "Ускорение решений — безопасность и соответствие стандартам" (SASC) будет рада
познакомиться с вашим мнением об этом и других решениях.
Направляйте свои комментарии через группу новостей Discussions in Security на веб-узле Центра
справки и поддержки Windows Vista.
Или напишите, что вы думаете об этом руководстве, на следующий адрес: [email protected].
Мы будем рады узнать ваше мнение.
Скачать