Защита перенесенного рабочего стола Windows 7
Введение
Когда вы решите перейти на Windows 7, у вас будет прекрасная возможность защитить свои рабочие столы, чтобы вы могли сократить TOC, уменьшить количество обращений в службу поддержки, повысить производительность и т. д. Существует множество настроек, которые рабочие столы Windows, особенно Windows 7, предоставляют для помочь вам достичь ваших целей. Ниже приведен список параметров с указателями, где вы можете найти полную информацию о реализации, которую вы хотите установить для защиты Windows 7.
Контроль учетных записей пользователей (UAC)
Эта функция была впервые представлена в Windows Vista и до сих пор используется в Windows 7. При настройке контроля учетных записей необходимо учитывать два фактора. К ним относится, является ли пользователь администратором или обычным пользователем.
Администраторам я настоятельно рекомендую настроить UAC таким образом, чтобы он всегда запрашивал, а когда запрашивал, запрашивал учетные данные. Эта конфигурация не очень желательна для пользователя, но она обеспечивает отличный уровень безопасности. Это создает мир, в котором, если пользователь-администратор оставит компьютер без присмотра, потенциальному злоумышленнику, получившему доступ к компьютеру, все равно понадобятся учетные данные администратора для взлома инструментов, сети и т. д.
Для обычных пользователей я бы предложил настроить UAC таким образом, чтобы он не разрешал повышение прав и запрещал доступ к приложениям, функциям и т. д., требующим прав администратора. Если вам нужно разрешить пользователям запускать такие приложения, функции и т. д., вы можете изучить другие сторонние продукты, поддерживающие эти параметры.
В этой статье я описываю правильные настройки, параметры и возможности UAC.
Интернет-проводник
Версия IE, поставляемая с Windows 7, обеспечивает невероятную безопасность при работе в Интернете. Параметр защищенного режима в IE 8 (также в IE 7, который поставляется с Windows Vista) может помочь защитить вас от вредоносных программ, рекламного ПО, вирусов и т. д., когда вы работаете в Интернете. Это не только ограничено для ваших обычных пользователей, но также и для администраторов, которые хотят войти в систему с учетными данными, имеющими права администратора, но при этом оставаться в Интернете защищенными.
Защищенный режим защищает вашу систему, используя преимущества UAC, а также добавляя элементы управления целостностью и изолируя IE от других запущенных приложений. Чтобы настроить защищенный режим IE, просто установите флажок, показанный на рисунке 1.
Рисунок 1: Защищенный режим IE для IE 7 и 8
Подробнее о защищенном режиме можно прочитать здесь.
В IE есть и другие замечательные настройки безопасности, к которым трудно получить доступ, если вы не находитесь в диалоговом окне IE Internet Options. Настройки безопасности, доступные на вкладке «Дополнительно», труднодоступны, но с помощью настроек групповой политики вы можете использовать централизованное администрирование с помощью AD и GP для их установки. Вот эти детали.
Брандмауэр Windows
Одной из замечательных особенностей Windows 7 является брандмауэр. Я знаю, это звучит странно, но брандмауэр Windows вырос и по умолчанию уже настроен и настроен с помощью правил. Чтобы вы могли централизовать, настраивать и определять дополнительные правила для своих рабочих столов Windows 7, вы можете использовать групповую политику. Следующие две статьи помогут вам найти и определить параметры брандмауэра Windows с помощью групповой политики, даже локально. Вы можете найти их здесь и здесь
Группа локальных администраторов
Чтобы заблокировать рабочие столы Windows 7, необходимо убедиться, что только утвержденные пользователи и группы домена имеют членство в локальной группе администраторов на каждом рабочем столе. Чтобы контролировать это, вы можете использовать настройки групповой политики. Вот шаги и подробности для управления группой локальных администраторов.
Локальные пользователи
Большинству корпораций выгодно, если на настольных компьютерах не настроены локальные учетные записи пользователей. Теперь, когда вы переходите на Windows 7, вы можете убедиться, что локальные учетные записи пользователей отсутствуют. Существует очень мало причин иметь локальные учетные записи пользователей на рабочем столе, обычно зарезервированные для разработчиков и администраторов, поэтому удаление/удаление локальных учетных записей пользователей для обычных пользователей является идеальным. Чтобы выполнить эту задачу, вы просто не добавляете никаких локальных учетных записей пользователей на компьютер с Windows 7, на котором по умолчанию есть только администратор.
Учетная запись локального администратора
Вам нужно будет убедиться, что локальная учетная запись администратора постоянно защищена. Для этого есть несколько вариантов, но в основном вам нужно убедиться, что пароль часто сбрасывается. Это снизит риск атаки на пароль, а также защитит пароль от устаревания и возможной компрометации. Предпочтения групповой политики предоставляют простой, эффективный и детальный метод сброса пароля на каждом рабочем столе Windows 7, когда вы чувствуете в этом необходимость. Перейдите по этой ссылке для получения дополнительной информации.
Услуги
Вы не хотите, чтобы пользователи запускали любую старую службу на своем компьютере с Windows 7. Таким образом, вы можете составить список разрешенных и запрещенных служб с помощью предпочтений групповой политики. Вы можете классифицировать различные рабочие столы, настроить объекты групповой политики для управления их службами, а затем просто использовать политику служб в настройках, чтобы перечислить, что должно работать, а что нет. Для получения дополнительной информации перейдите по следующей ссылке.
AppLocker
AppLocker почти аналогичен политике ограниченного использования программ, доступной в Windows XP и Vista. AppLocker предоставляет некоторые новые детали, но в целом он обеспечивает тот же контроль, что и SRP. Что делает AppLocker, так это создает список одобренных/разрешенных приложений и список запрещенных приложений. Оказавшись в списке приложений, администратор теперь может контролировать, что работает, а что нет на каждом рабочем столе Windows 7. Для получения дополнительной информации перейдите по следующей ссылке.
Установка съемных запоминающих устройств
Многие компании стремятся контролировать использование внешних USB-накопителей. Эти устройства можно отключить от сети, использовать дома, использовать на незащищенных компьютерах, а затем вернуть в компанию, что может привести к заражению сети. Поэтому вы можете рассмотреть возможность ограничения использования этих продуктов. Используя групповую политику, вы можете создать список разрешенных устройств и список запрещенных устройств, тем самым разрешив разрешенные USB-накопители тем пользователям, которые могут взять на себя ответственность. Подробнее здесь.
БитЛокер
BitLocker — это технология шифрования дисков, выпущенная Microsoft в Windows Vista. Технология проста и легка в настройке. В результате весь жесткий диск, включая системные файлы, шифруется на случай, если компьютер попадет в чужие руки. Больше информации здесь.
BitLocker с собой
Windows 7 переносит концепцию шифрования жесткого диска с помощью BitLocker на съемные устройства. Новая технология называется BitLocker To Go, и ее так же легко настроить, как и BitLocker. У вас есть несколько замечательных функций с BitLocker To Go, например, разрешение клиентам нижнего уровня просматривать содержимое съемного диска, даже если клиент нижнего уровня не поддерживает BitLocker To Go. Подробнее здесь.
Разные взломы реестра
Существует также множество потрясающих функций и параметров безопасности, которые находятся в разделе «Административные шаблоны» интерфейса групповой политики. Это поможет вам контролировать множество различных аспектов ваших рабочих столов. Я рекомендую вам ознакомиться с этими параметрами и настроить их для обеспечения максимально возможной безопасности в вашей среде.
- Протоколы аутентификации, разрешаете ли вы функции LM и NTLM
- Доступ анонимных пользователей (это может ограничить имя разрешением SID, перечислением SAM и т. д.)
- Имя последнего входа удалит имя пользователя с экрана входа в систему для следующего пользователя, вошедшего в систему.
- Запретить использование инструментов редактирования реестра
Вы можете найти ссылки на все эти настройки здесь.
Резюме
Windows 7 великолепна, в этом нет сомнений! Существуют некоторые новые и устаревшие функции и параметры безопасности, которые необходимо учитывать. Теперь, когда вы переходите на Windows 7, вам следует подумать о том, чтобы обеспечить безопасность ваших рабочих столов, о которой вы всегда мечтали. Это будет иметь большое значение для того, чтобы ваши новые настольные компьютеры с Windows 7 снизили совокупную стоимость владения, повысили производительность труда сотрудников и сократили время, затрачиваемое службой поддержки на устранение неполадок с неправильно настроенными настройками, выполненными пользователем.