10 лучших конфигураций безопасности Windows: где и как! (Часть 3)

Опубликовано: 9 Апреля, 2023
10 лучших конфигураций безопасности Windows: где и как! (Часть 3)

  • 10 лучших конфигураций безопасности Windows: где и как! (Часть 1)

Введение

В моем последнем выпуске этой серии статей я расскажу о трех дополнительных настройках, о которых многие из вас, возможно, не знают. Если вы знаете о них, есть вероятность, что вы не знаете об удивительных преимуществах безопасности, которые дает их реализация в вашей среде Windows. Сначала я расскажу, как защищенный режим в Internet Explorer 7/8 помогает защитить ваш компьютер и, по сути, всю сеть. Затем мы рассмотрим перечисление на основе доступа (ABE) — технологию, которая помогла более чем одной компании соблюдать нормативные требования. Наконец, эти надоедливые анонимные подключения должны быть защищены, особенно для ваших старых систем, но всегда полезно проверить и убедиться, что они не разрешены и для ваших новых систем. Чтобы прочитать первые две части этой серии, все, что вам нужно сделать, это нажать здесь для первой части и здесь для второй части!

8. Настройте безопасность IE для защищенного режима

Windows Internet Explorer версий 7 и 8 поставляется с отличной функцией безопасности, которая называется защищенным режимом. Защищенный режим — это больше, чем просто настройка, которая «надеется» на самом деле защитить вас во время работы в Интернете, он работает хорошо, и я — живое тому доказательство!

Чтобы настроить IE 7/8 для защищенного режима, вам потребуется Windows Vista или Windows 7. Windows XP не может использовать защищенный режим из-за того, что UAC (контроль учетных записей) не работает в этой операционной системе.. Если вы откроете «Свойства обозревателя» в IE и выберите вкладку «Безопасность», вы сможете включать и выключать защищенный режим, как показано на рисунке 1.

Изображение 23698
Рисунок 1. Защищенный режим — это флажок на вкладке «Безопасность» в настройках Internet Explorer.

Как я только что сказал, это справедливо только для Windows Vista и 7, поскольку они являются единственными версиями Windows, поддерживающими UAC. Здесь возобладает логика, в том, что UAC тоже нужно настроить! Все большие преимущества, которые UAC обеспечивает для локальных приложений и функций ОС, будут применяться для защиты вас в Интернете.

Защищенный режим также обеспечивает безопасность с использованием уровней целостности. Уровни целостности впервые появились в Vista (и более поздних версиях) и определяют, на каком уровне ОС работает приложение. Есть 4 уровня: низкий, средний, высокий, системный. IE 7/8 работает на низком уровне, что означает, что он может взаимодействовать только с другими приложениями, работающими на низком уровне. Почти все другие приложения работают в среде! Таким образом, всякая гадость из Интернета не может перейти к другому приложению, потому что низкие приложения не могут общаться со средними приложениями.

9. Используйте ABE для общих папок

Перечисление на основе доступа (ABE) — это технология, которую Microsoft выпустила вместе с Windows Server 2003 R2. Чтобы понять, что ABE делает для вас, позвольте мне представить вам сценарий.

Представьте, что у вас есть папка на сервере, скажем, папка называется «Пациенты». Конечно, в папке «Пациенты» у вас есть дополнительные папки с именами пациентов. Это будет основной источник документов, используемых для управления информацией о пациентах для вашего кабинета врача. Папка «Пациенты» является общей, поэтому, когда кто-либо вводит \server1patients в команду «Выполнить», он видит полный список папок пациентов. Проблема здесь в том, что это нарушает соответствие HIPAA!

ABE — это технология, которая позволит администратору настроить безопасность для каждого из этих типов папок, просто используя стандартный список управления доступом к безопасности NTFS, но с ABE наверху только те пользователи, у которых есть доступ к содержимому. содержание. В нашем примере теперь имена папок пациентов не будут видны никому, кроме тех, у кого есть на них права!

Самый простой способ настроить ABE — использовать групповую политику. Если для вашего предприятия настроены предпочтения групповой политики, вы просто войдете в объект групповой политики и развернете следующий путь: Конфигурация компьютераПолитикиПараметры WindowsСетевые ресурсы. Щелкните правой кнопкой мыши сетевые ресурсы и создайте новый сетевой ресурс. (Если у вас еще нет предпочтений групповой политики, они бесплатны, и вы можете прочитать здесь, как добавить их в свою среду). Появится диалоговое окно, подобное показанному на рис. 2.

Изображение 23699
Рис. 2. ABE настраивается с помощью объекта групповой политики

Все, что вам нужно сделать здесь, это настроить политику для общего доступа к вашей папке, а затем в нижней части диалогового окна для политики включить ABE! Это все, что вам нужно сделать.

10. Убедитесь, что анонимные подключения запрещены

Анонимные подключения — это то, о чем вам нужно беспокоиться, особенно для старых операционных систем. Для более новых систем Windows XP/2003 и более поздних версий вам просто нужно убедиться, что настроены правильные параметры групповой политики. Это быстрая проверка и еще более простая настройка.

Чтобы убедиться, что ваши компьютеры (да, это нужно проверять на каждом компьютере отдельно) настроены на защиту от анонимных подключений, вы запустите secpol.msc либо из меню «Пуск-Выполнить», либо из командной строки. В любом случае, как только у вас откроется окно, запускающее secpol.msc (см. рис. 3), вы развернете следующие узлы: Local PoliciesSecurity Options.

Изображение 23700
Рисунок 3: Secpol.msc открывает локальные настройки безопасности на вашем компьютере

Обратите внимание, что у меня выделены ключевые анонимные настройки и правильные, оптимальные настройки, настроенные для каждой из них на рисунке. Эти настройки помогут защитить ваш компьютер от анонимных подключений, пользователи не смогут получить SID для учетных записей пользователей, перечислить список пользователей в базе данных (локальной SAM или Active Directory) и не смогут получить список общие ресурсы (обычные, скрытые и скрытые административные ресурсы) на компьютере.

Резюме

В этом выпуске наших настроек безопасности для вашей среды Windows мы познакомимся с полным кругом замечательных настроек безопасности, которые вам необходимо включить для всех ваших компьютеров с Windows. В этой статье мы рассмотрели, как защитить Internet Explorer, помочь защитить ваши общие папки и, наконец, анонимный доступ. При работе с IE вам необходимо использовать последнюю версию, 7 или 8. Вам также необходимо использовать Windows Vista или 7, чтобы защищенный режим (с UAC) работал эффективно. С помощью ABE вы теперь можете ограничить то, что пользователь может видеть в списке просмотра, полностью на основе разрешений NTFS, которые уже настроены для ресурса. Это поможет вам соответствовать требованиям HIPAA, SOX, FDCC и любым другим требованиям, требующим, чтобы ресурсы не были видны пользователям, не имеющим к ним доступа. Наконец, мы рассмотрели анонимные соединения. Анонимным соединениям были даны отличные настройки управления, но вы должны убедиться, что они установлены правильно. Конечно, прежде чем установить для них наивысший уровень безопасности, необходимо протестировать, чтобы убедиться, что «вещи» не ломаются в вашей сети с ними на самых высоких уровнях. Если вы воспользуетесь всеми настройками, описанными во всех трех статьях этой серии, вы будете двигаться в правильном направлении, делая вашу сеть Windows более безопасной.

  • 10 лучших конфигураций безопасности Windows: где и как! (Часть 1)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023