Захист переміщених комп’ютерів Windows 7, Windows, Операційні системи, статті

Коли ви вирішили перейти на Windows 7, У вас з’являється чудова можливість захисту своїх комп’ютерів так, щоб знизити TOC, кількість дзвінків у службу довідки та підтримки, і підвищити продуктивність. Існує безліч налаштувань, які комп’ютери Windows, і Windows 7 в особливості, надають вам для досягнення цієї мети. Далі наведено список параметрів з вказівкою на те, де знайти подробиці про їх застосуванні, щоб можна було захистити свої системи Windows 7.


User Account Control (UAC)


Цей компонент був представлений в Windows Vista і все також надійний в Windows 7. Є два чинники, які необхідно враховувати при налаштуванні UAC. Потрібно враховувати, чи є користувач адміністратором або простим користувачем.


Для адміністраторів я настійно рекомендую налаштовувати UAC так, щоб вона завжди задавала питання і завжди вимагала введення облікових даних. Така установка не вітається користувачами, але вона забезпечує вражаючий рівень безпеки. Вона створює світ, в якому, якщо адміністратор залишає комп’ютер без нагляду, потенційному зломщикові, який намагається отримати доступ до комп’ютера, будуть потрібні облікові дані адміністратора, щоб отримати доступ до інструментів, мережі і т.д.


Для стандартних користувачів я рекомендую налаштовувати UAC так, щоб вона не дозволяла підвищення рівня прав і відмовляла в доступі додаткам, компонентів і т.д., які вимагають адміністративних привілеїв. Якщо потрібно дозволити користувачам виконувати такі додаток, компоненти, і т.д., потрібно звернутися до допомоги продуктів сторонніх виробників, які підтримують ці опції.


Internet Explorer


Версія IE, включена в Windows 7, забезпечує вражаючу безпеку при роботі в інтернеті. Опція захищеного режиму (Protected Mode) в IE 8 (а також в IE 7, який йшов у Windows Vista) Допомагає вам захиститися від шкідливих програм, рекламного ПО, вірусів і т.д., при роботі в інтернеті. Це має обмеження не тільки для ваших користувачів, але і для адміністраторів, які входять з використанням облікових даних з адміністративними привілеями, але при цьому робота в інтернеті захищена.


Режим Protected Mode захищає вашу систему, використовуючи функціональність UAC, додаючи при цьому цілісність управління та ізоляції IE від інших працюючих програм. Щоб налаштувати IE Protected Mode, ви просто відзначаєте прапорцем опцію, показану на малюнку 1.



Малюнок 1: Захищений режим для IE 7 і 8


Є й інші відмінні параметри безпеки в IE, які важко знайти, якщо ви не перебуваєте в діалозі опцій IE Internet Options. Параметри безпеки, наявні в закладці Додатково, важко знайти, але за допомогою переваг групової політики ви можете централізувати адміністрування, використовуючи AD і GP для їх налаштування.


Брандмауер Windows


Одним з вражаючих компонентів в Windows 7 є брандмауер. Я знаю, це звучить дивно, але брандмауер Windows підріс і вже за замовчуванням йде встановленими і настроєними правилами. Щоб централізувати, налаштувати і визначити додаткові правила для своїх комп’ютерів Windows 7, можна використовувати групову політику. Наступні дві статті допоможуть вам знайти і визначити параметри Windows Firewall за допомогою групової політики навіть локально.


Група локальних адміністраторів


Щоб обмежити свої машини Windows 7, необхідно забезпечити присутність тільки довірених користувачів і груп домену в групі локальних адміністраторів на кожній машині. Для управління цією настройкою можна використовувати переваги групової політики.


Локальні користувачі


Більшість підприємств вважають за краще не використовувати локальні облікові записи користувачів на комп’ютерах. При переході на Windows 7 ви можете забезпечити відсутність локальні користувацьких облікових записів. Є лише досить обмежений ряд причин для використання локальних користувацьких облікових записів на комп’ютері, зазвичай резервуються для розробників і адміністраторів, тому видалення локальних користувацьких облікових записів для стандартних користувачів є ідеальним варіантом. Для виконання цього завдання просто не потрібно додавати жодних локальних облікових записів на комп’ютер Windows 7, на якому є лише обліковий запис адміністратора за замовчуванням.


Локальні облікові записи адміністраторів


Необхідно забезпечити безперервний захист локального облікового запису адміністратора. Для цього є кілька варіантів, але за великим рахунком вам необхідно забезпечити частий скидання пароля. Це знизить можливість злому пароля і його старіння. Уподобання групової політики надають простий, ефективний і багатогранний спосіб зміни пароля на кожному комп’ютері Windows 7 при необхідності його зміни.


Служби


Не потрібно, щоб користувачі виконували будь-які ole “служби на машинах Windows 7. Тому ви можете створити список дозволених і заборонених служб за допомогою переваг групової політики. Ви розбивати різні комп’ютери по категоріях, налаштовувати об’єкти групової політики на управління службами, а потім просто використовувати політику служб (Services) у перевагах для створення списку того, що повинно виконуватися, а що ні.


AppLocker


AppLocker являє собою практично те ж саме, що і політики обмеження програм (Software Restriction Policy), що використовуються в Windows XP і Vista. AppLocker не надає нових деталей, але, по суті, він надає ті ж важелі управління, що і SRP. AppLocker створює список схвалених / дозволених додатків і список заборонених програм. Перебуваючи в списку програм, адміністратор може здійснювати контроль того, що виконується і що не виконується на кожній машині Windows 7.


Установка схемних накопичувачів


Багато компаній переходять до контролю використання зовнішніх пристроїв зберігання USB. Ці пристрої можна виносити за межі мережі, використовувати вдома, на незахищених комп’ютерах, і потім приносити назад в компанію, що може призвести до зараження мережі. З цієї причини потрібно обмежувати використання таких продуктів. Використовуючи групову політику, ви можете вказувати список дозволених і заборонених пристроїв, вирішуючи використання USB пристроїв зберігання тільки для тих користувачів, які можуть брати на себе таку відповідальність.


BitLocker


BitLocker є технологією шифрування дисків, яка була випущена компанією Microsoft в Windows Vista. Ця технологія проста і легка в налаштуванні. В результаті ви отримуєте повністю зашифрований жорсткий диск, включаючи системні файли, на випадок попадання комп’ютера в ненадійні руки.


BitLocker To Go


Операційна система Windows 7 переносить концепцію шифрування жорстких дисків BitLocker на знімні носії. Нова технологія під назвою BitLocker To Go так само проста в налаштуванні, як і BitLocker. З BitLocker To Go ви отримуєте такі чудові можливості, як можливість переглянути інформацію на знімних носіях навіть з тих клієнтів, які не підтримують BitLocker To Go.


Різні операції з реєстром


Існує також маса разючих компонентів і налаштувань безпеки, розташованих в розділі адміністративних шаблонів (Administrative Templates) інтерфейсу групової політики. Ці параметри допомагають вам контролювати багато інших аспектів ваших машин. Я рекомендую вам подивитися ці опції і налаштувати їх на максимальний рівень безпеки, який відповідатиме вимогам вашого середовища.



Висновок


Windows 7 є відмінною ОС, в цьому немає сумнівів! Є деякі нові й успадковані компоненти і параметри безпеки, які слід взяти до уваги. Тепер, коли ви переходите на Windows 7, слід приділяти належну увагу створенню того рівня безпеки на ваших машинах, який вам необхідний. Це забезпечить значне зниження навантаження на TCO, поліпшить продуктивність і знизить кількість звернень в службу підтримки з приводу неправильних налаштувань, що вносяться користувачами.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*