Параметри безпеки Windows
Щоб відкрити "Центр забезпечення безпеки Windows", натисніть кнопку "Пуск", виберіть команду "Панель управління", потім двічі клацніть на значок "Центр забезпечення безпеки".
Вікно Центру безпеки Windows можна умовно розділити на три частини:
Центр забезпечення безпеки
1. Ресурси. Тут розташовуються посилання для переходу до Інтернет-ресурсів, до вбудованої в Windows довідковій службі і до вікна налаштування параметрів оповіщень.
2. Компоненти безпеки. Тут розташовуються інформаційні елементи трьох основних компонентів безпеки: брандмауер, автоматичне оновлення, антивірусний захист.
3. Параметри безпеки. Тут розташовуються кнопки переходу до налаштувань безпеки наступних компонентів: браузер Internet Explorer, автоматичне оновлення, брандмауер Windows.
Розглянемо ці частини більш докладно.
Ресурси
У розділі 1 перші три посилання призначені для переходу на відповідні сторінки на сайті Microsoft. Передостання посилання призначена для відкриття довідкової служби Windows на сторінці "Загальні відомості про центр забезпечення безпеки Windows". Остання посилання призначена для відкриття вікна "Параметри оповіщень".
Якщо на комп'ютері встановлений брандмауер і антивірусне ПЗ, не визначуване Центром забезпечення безпеки, ви можете відключити відповідні оповіщення.
Компоненти безпеки
У розділі 2 кожне інформаційне табло повідомляє про стан відповідного компонента.
Стани A C зрозумілі без коментарів. Стан D - "Не знайдено" - відповідає неможливості визначити присутність відповідного ПЗ (наприклад, антивірус або брандмауер). Стан E - "Термін закінчився" - можливо для антивірусного захисту, коли оновлення антивірусних баз застаріли. Стан F - "Не спостерігається" - відповідає відключеному контролю над відповідним компонентом.
Центром забезпечення безпеки застосовується дворівневий підхід до визначення стану компонентів:
1. Перевірка вмісту реєстру і файлів з відомостями про стан ПО (Microsoft отримує перелік файлів і параметрів реєстру від виробників ПО).
2. Відомості про стан ПО передаються від встановлених програм засобами інструментарію WMI (Windows Management Instrumentation - Інструментарій управління Windows).
Параметри безпеки
Як вже було зазначено раніше, в розділі 3 розташовані кнопки переходу до налаштувань безпеки наступних компонентів: браузер Internet Explorer, автоматичне оновлення, брандмауер Windows.
У Windows XP SP2 для позначення налаштувань, що стосуються безпеки, а також при оповіщення про стан безпеки комп'ютера використовуються такі індикатори:
1. - Означає важливі відомості та параметри безпеки.
2. - Попереджає про потенційний ризик порушення безпеки.
3. - Ситуація більш безпечна. На комп'ютері використовуються рекомендовані настройки безпеки.
4. - Попередження: ситуація потенційно небезпечна. Змініть налаштування параметрів безпеки, щоб підвищити безпеку комп'ютера.
5. - Використовувати поточні настройки параметрів безпеки не рекомендується.
Властивості оглядача
Як вже зазначалося раніше, натиснувши кнопку в "Центрі забезпечення безпеки Windows", ви потрапите у вікно налаштувань браузера Internet Explorer на закладку "Безпека".
Налаштування безпеки Internet Explorer
Розглянемо параметри, доступні на цій закладці. У верхній частині розташовані чотири зони: Інтернет, Місцева інтрамережа, Надійні вузли, Обмежені вузли.
Автоматичне оновлення
Як вже зазначалося раніше, натиснувши кнопку в "Центрі забезпечення безпеки Windows", ви відкриєте вікно налаштувань "Автоматичного оновлення".
Параметри автоматичного оновлення
Вбудована в Windows XP довідкова система дуже докладно описує систему автоматичного оновлення. Для того щоб скористатися цією довідкою, клацніть по напису "Як працює автоматичне оновлення?". Зупинимося лише на деяких моментах.
По-перше, необхідно розрізняти поняття "завантаження" і "установка" оновлень. Завантаження означає процес передачі файлів оновлень з сервера Microsoft (або з внутрішнього сервера оновлень в організації) на комп'ютер користувача. Установка позначає власне процес інсталяції оновлень на комп'ютері користувача. Можлива ситуація, коли оновлення завантажені на комп'ютер користувача, але ще не встановлені.
По-друге, якщо ви вибрали варіант "Автоматично", то оновлення будуть завантажуватися і встановлюватися у вказаний вами час. Якщо комп'ютер у вказаний час завжди вимкнений, то установка оновлень ніколи не виконається. При реєстрації на комп'ютері користувач з правами локального адміністратора може запустити установку вручну, не чекаючи запланованого часу. При настанні запланованого часу користувачеві буде видане відповідне попередження про початок встановлення оновлень. Якщо в цей момент у системі працює адміністратор, у нього буде можливість відкласти установку до наступного запланованого часу. У інших користувачів (без прав адміністратора) можливості скасувати заплановану установку оновлень не буде.
У всіх інших випадках (крім варіанту "відключити автоматичне оновлення") повідомлення про існуючі оновленнях для вашого комп'ютера (готових до завантаження чи до установки) будуть з'являтися тільки при реєстрації на вашому комп'ютері користувача з правами локального адміністратора. Таким чином, якщо на комп'ютері ви постійно працюєте з обліковим записом, що не входить у групу локальних адміністраторів, то установка оновлень ніколи не виконається.
Описані вище настройки автоматичного оновлення також доступні для налаштування через групову політику (Конфігурація комп'ютера, Адміністративні шаблони, Компоненти Windows, Windows Update). Крім того, тільки через групову політику можна задати додаткові параметри. Наприклад, можна вказати адресу внутрішнього сервера оновлень, який централізовано отримує оновлення з серверів Microsoft і віддає їх внутрішнім комп'ютерам організації. Як приклад такого сервера можна привести Microsoft ® Windows Server ™ Update Services (WSUS).
Брандмауер Windows
Як вже зазначалося раніше, натиснувши кнопку в "Центрі забезпечення безпеки Windows", ви відкриєте вікно налаштувань "Брандмауер Windows".
Рис. 4.23. Налаштування брандмауера Windows
Якщо ви клацніть по напису "Детальніше про брандмауер Windows", то зможете прочитати коротку інформацію про можливості брандмауера (міжмережевого екрану), що входить до складу Windows XP SP2. Немає необхідності повторювати цю інформацію тут.
Відзначимо лише, що, на відміну від продуктів інших виробників, вбудований брандмауер Windows призначений тільки для контролю вхідного трафіку, тобто він захищає комп'ютер тільки від зовнішніх вторгнень. Він не контролює вихідний трафік вашого комп'ютера. Таким чином, якщо на ваш комп'ютер вже потрапив троянський кінь або вірус, які самі встановлюють з'єднання з іншими комп'ютерами, брандмауер Windows не буде блокувати їх мережеву активність.
Крім того, за замовчуванням брандмауер захищає всі мережеві з'єднання, і запит входить луни по протоколу ICMP заборонений. Це означає, що якщо на комп'ютері включений брандмауер Windows, то перевіряти наявність такого комп'ютера в мережі за допомогою команди PING - безглузде заняття.
Дуже часто в організаціях, де використовується програмне забезпечення, що вимагає дозволу вхідних з'єднань на комп'ютери користувачів, виникає необхідність відкрити деякі порти на комп'ютерах з встановленою Windows XP SP2. Для вирішення цього завдання необхідно задати виключення в настройках брандмауера Windows. Існує два способи вирішити цю задачу:
1. Можна задати виключення, вказавши програму, що вимагає вхідні з'єднання. У цьому випадку брандмауер сам визначить, які порти необхідно відкрити, і відкриє їх тільки на час виконання зазначеної програми (точніше, на час, коли програма буде прослуховувати цей порт).
2. Можна задати виключення, вказавши конкретний порт, по якому програма очікує вхідні з'єднання. У цьому випадку порт буде відкритий завжди, навіть коли ця програма не буде запущена. З точки зору безпеки цей варіант менш кращий.
Існує декілька способів задати виключення в настройках брандмауера Windows. Можна скористатися графічним інтерфейсом. Цей варіант досить докладно висвітлений в Центрі довідки й підтримки Windows XP SP2. Можна використовувати доменну групову політику. Цей варіант кращий при великій кількості комп'ютерів в організації. Розглянемо його детальніше.
Закладка Винятки
Параметри брандмауера Windows у груповій політиці розміщуються у вузлі "Конфігурація комп'ютера, Адміністративні шаблони, Мережа, Мережеві підключення, Брандмауер Windows".
При налаштуванні через групову політику вам необхідно налаштувати два профілі:
1. Профіль домену. Налаштування цього профілю використовуються, коли комп'ютер підключений до мережі, що містить контролер домену організації.
2. Стандартний профіль. Налаштування цього профілю застосовуються, коли комп'ютер не підключений до мережі, що містить контролер домену організації. Наприклад, якщо ноутбук організації використовується у відрядженні і приєднаний до Інтернету через Інтернет-провайдера. У цьому випадку настройки брандмауера повинні бути більш суворими у порівнянні з настройками доменного профілю, так як комп'ютер підключається до публічної мережі, минаючи міжмережеві екрани своєї організації.
Розглянемо, як задати виключення для програми і для заданого порту. В якості конкретного прикладу візьмемо звернення Сервера адміністрування Kaspersky Administration Kit до комп'ютера, на якому встановлений Агент адміністрування, для отримання інформації про стан антивірусного захисту.
- Конспект лекцій
- Лекція 1. Вступ Основні поняття інформаційної безпеки
- Базова модель безпеки інформації
- Системний підхід до опису безпеки
- Класифікація засобів захисту інформації
- Модель мережевої безпеки
- Лекція 2. Безпека мережевої інфраструктури
- Метод дублювання дисків з використанням утиліти Sysprep
- Метод віддаленої установки
- Попередні вимоги для проведення методу
- Встановлення та налаштування ris
- Створення файлів відповідей для автоматизації процесів розгортання
- Використання диспетчера установки Windows
- Лекція 3. Безпека зберігання даних в ос Microsoft
- Технологія тіньового копіювання даних
- Обмеження тіньового копіювання томів
- Установка і використання технології тіньового копіювання томів
- Архівація даних
- Робота з програмою архівації Backup
- Стратегії архівації
- Створення відмовостійких томів для зберігання даних
- Робота з дзеркальними томами
- Робота з томами raid-5
- Лекція 4. Центр обеспечения безопасности
- Введення
- Параметри безпеки Windows
- Створення виключення для програми
- Створення винятків для портів
- Лекція 5. Системи аналізу захищеності мережі
- Принципи роботи систем аналізу захищеності
- Опис перевірок, виконуваних mbsa
- Сканер безпеки xSpider
- Лекція 6. Windows Defender
- Введення
- Вимоги до системи
- Завантаження Захисника Windows
- Оновлення служби Windows Update
- Майстер установки Захисника Windows
- Налаштування Windows Defender
- Автоматична перевірка (Automatic scanning)
- Дії за замовчуванням (Default actions)
- Установки захисту в реальному часі
- Додаткові параметри (Advanced options)
- Адміністративні параметри (Administrator options)
- Оновлення Windows Defender
- Перевірка комп'ютера
- Виявлення підозрілих дій
- Виявлення програм-шпигунів
- Робота з карантином
- Лекція 6. Des (Data Encryption Standard)
- Історія
- Блоковий шифр
- Перетворення Мережею Фейстеля
- Початкова перестановка
- Цикли шифрування
- Основна функція шифрування (функція Фейстеля)
- Генерування ключів ki
- Режими використання des
- Криптостійкість алгоритму des
- Збільшення криптостійкості des
- Лекція 7. Rsa - алгоритм з відкритим ключем
- Історія
- Опис алгоритму Введення
- Алгоритм створення відкритого і секретного ключів
- Шифрування і розшифрування
- Цифровий підпис
- Швидкість роботи алгоритму rsa
- Криптоаналіз rsa
- Елементарні атаки
- Генерація простих чисел
- Атака на підпис rsa в схемі з нотаріусом
- Малі значення секретної експоненти
- Малі значення відкритої експоненти
- Лекція 8. Pgp
- Цифрові підписи
- Цифрові сертифікати
- Поширення сертифікатів
- Сервери-депозитарії
- Інфраструктури відкритих ключів (pki)
- Формат сертифікатів
- Справжність і довіра
- Перевірка справжності
- Встановлення довіри
- Моделі відносин довіри
- Ступені довіри в pgp
- Анулювання сертифіката
- Повідомлення про анулювання сертифіката
- Що таке ключова фраза
- Поділ ключа
- Література