Windows 7 предоставляет усовершенствованные возможности аудита, упрощающие соблюдение нормативных и производственных требований: в том числе реализован упрощенный подход к управлению конфигурациями аудита, а выполняемые в организации задачи описаны с большей наглядностью. Например, Windows 7 помогает получить четкое представление о том, кто может получить доступ к конкретной информации, почему пользователю было отказано в доступе к определенным данным, а также узнать обо всех изменениях, внесенных пользователем или группой.

Контроль учетных записей пользователей (UAC) был представлен в Windows Vista для усиления безопасности и снижения совокупной стоимости владения за счет развертывания операционной системы без привилегий администратора. Windows 7 продолжает вносить в функцию контроля учетных записей определенные изменения для более эффективной работы пользователей — от сокращения числа приложений и задач для ОС, требующих прав администратора, до гибкой работы с запросами для пользователей, продолжающих пользоваться этими правами. В результате обычные пользователи теперь могут выполнить больше задач с меньшим числом выводимых запросов.

Рис. 1. Управление доступом пользователей

Windows 7 упрощает процесс подключения устройств безопасности к ПК и управления ими, а также предоставляет легкий доступ к общим задачам, связанным с использованием устройств. Еще никогда использование устройств безопасности не было настолько простым: при первоначальной установке и при ежедневной работе.

Устройства хранения с усиленной безопасностью

Широкое использование USB-устройств флэш-памяти и других личных устройств хранения влечет за собой сомнения в безопасности данных на этих устройствах. Однако некоторым пользователям не требуются возможности полного шифрования данных BitLocker To Go™. Windows 7 поддерживает защиту с помощью паролей и проверку подлинности на основе сертификатов для USB-устройств хранения, соответствующих стандарту IEEE 1667. Для сохранения конфиденциальности данных можно использовать возможность защиты паролей, реализованную в устройствах защиты, поддерживающих стандарт IEEE 1667.

Интегрированные устройства считывания отпечатков пальцев и вход в систему

Устройства считывания отпечатков пальцев все чаще становятся частью стандартной конфигурации переносных компьютеров, а Windows 7 гарантирует их надлежащее функционирование. Установка и использование такого устройства не представляет сложностей, а различные поставщики оборудования повышают надежность входа в систему Windows с помощью отпечатков пальцев. Конфигурацию устройств считывания отпечатков легко изменить, что позволяет контролировать способ входа в ОС Windows 7 и управлять данными отпечатков пальцев, хранящимися на компьютере.

Улучшенная поддержка смарт-карт

Проверка подлинности на основе паролей имеет определенные ограничения безопасности, но развертывание надежных технологий проверки подлинности остается проблемой для многих организаций. Опираясь на улучшения инфраструктуры смарт-карт, введенные в Windows Vista, Windows 7 упрощает развертывание смарт-карт благодаря поддержке технологии Plug and Play. Драйверы, необходимые для поддержки смарт-карт и устройства считывания смарт-карт, устанавливаются автоматически без использования прав администратора и без вмешательства пользователя, что облегчает развертывание в организации эффективной, двухуровневой проверки подлинности. Кром того, Windows 7 расширяет платформенную поддержку PKINIT (RFC 5349) для включения смарт-карт на основе ECC и допускает использование сертификатов с поддержкой эллиптических кривых на смарт-картах для входа в систему Windows.

DNS — это основной протокол, поддерживающий большинство ежедневных выполняемых в Интернете задач, включая доставку электронной почты, просмотр веб-страниц и обмен сообщениями. Однако следует отметить, что система DNS была разработана более трех десятков лет назад без учета современных угроз безопасности. Расширения безопасности DNS (DNSSEC) — это набор расширений DNS, предоставляющих службы безопасности, необходимые для работы в Интернете. В соответствии с требованиями документов RFC 4033, 4034 и 4035 система Windows 7 поддерживает DNSSEC, обеспечивая уверенность организаций в подлинности записей имен доменов и предоставляя защиту от вредоносных манипуляций.

Политика межсетевого экрана в системе Windows Vista основана на типе установленного сетевого подключения: домашнем, рабочем, общем или доменном (этот тип является скрытым). Однако, если пользователь, подключенный к Интернету через «домашнюю» сеть, использует виртуальную частную сеть для доступа в корпоративную, то это может создать серьезные проблемы безопасности. В таком случае соответствующие настройки брандмауэра для доступа к корпоративной сети не могут быть применены, поскольку тип сети (и, следовательно, параметры брандмауэра) уже был задан на основе первой сети, к которой подключен пользователь.

Windows 7 устраняет эту проблему за счет поддержки нескольких политик активного брандмауэра, позволяющих пользователям ПК получать и применять сведения о профиле брандмауэра домена вне зависимости от других сетей, к которым может быть подключен ПК. Благодаря этим возможностям, которые относятся к числу основных функций, запрашиваемых корпоративными клиентами, ИТ-специалисты могут упростить политики подключения и безопасности, поддерживая единый набор правил для удаленных клиентов и для клиентов, физически подключенных к корпоративной сети.

Рис. 2. Брандмауэр Windows

Благодаря Windows 7 работать вне офиса становится все проще. С помощью DirectAccess удаленные пользователи могут обращаться к корпоративной сети в любое время при наличии интернет-соединения, без необходимости выполнения дополнительных действий по установке VPN-подключения. Это увеличивает производительность сотрудников. DirectAccess предоставляет ИТ-специалистам более защищенную и гибкую инфраструктуру корпоративной сети для удаленного обновления пользовательских ПК и управления ими. DirectAccess упрощает управление ИТ-ресурсами за счет ввода постоянно управляемой инфраструктуры, в которой компьютеры, находящиеся в сети и вне ее, поддерживаются в работоспособном и обновленном состоянии.

С помощью DirectAccess ИТ-специалисты могут более точно контролировать сетевые ресурсы, к которым обращаются пользователи. Например, для управления доступом удаленных пользователей к приложениям предприятия можно использовать параметры групповой политики. DirectAccess отделяет интернет-трафик от доступа к ресурсам внутренней сети, поэтому пользователи могут обращаться на общедоступные веб-сайты, не создавая дополнительный трафик в сети предприятия.

Кроме того, компонент DirectAccess поддерживает отраслевые стандарты (например, протоколы IPv6 и IPsec), обеспечивая защиту и безопасность корпоративного обмена данными.

Политики управления приложениями в системе Windows 7 используются совместно со средством AppLocker — гибким и простым в управлении механизмом, позволяющим ИТ-специалистам указывать программы и компоненты, которые могут выполняться на настольных системах. Кроме того, пользователи получают возможность работать с приложениями, установочными программами и сценариями, повышающими их производительность. В итоге ИТ-специалисты могут провести в организации стандартизацию приложений, что обеспечивает безопасность и совместимость, а также улучшает производительность.

Рис. 3. AppLocker

AppLocker предоставляет простые и эффективные структуры правил и вводит правила издателя: правила на основе цифровых подписей приложений. Правила издателя позволяют создавать правила, которые сохраняются после обновления приложений за счет возможности указания версии приложения в качестве атрибута. Например, в организации можно создать правило, разрешающее выполнение программы Acrobat Reader всех версий позднее 9.0, если они подписаны издателем ПО Adobe. Когда компания Adobe выпустит обновление программы Acrobat, его можно будет безопасно развернуть, не создавая еще одно правило для новой версии приложения.

Internet Explorer 8 обеспечивает улучшенную защиту от угроз безопасности и конфиденциальности, включая возможность определения ненадежных веб-сайтов и блокировку загрузки вредоносных программ. Защита усилена благодаря возможности просматривать веб-страницы без сохранения данных на общедоступном компьютере, а также за счет расширенной настройки параметров и контроля того, каким образом веб-сайты могут отслеживать действия пользователя. В Internet Explorer 8 улучшена систему ограничений для элементов управления ActiveX ® и усовершенствовано управление надстройками. Веб-браузер обладает повышенной надежностью, которая обеспечивается функцией автоматизированного восстановления после сбоя и восстановления вкладок, а также расширенной поддержкой специальных возможностей.

Windows 7 решает все более актуальную проблему утечки данных с помощью возможностей управления и обновлений развертывания технологии шифрования диска BitLocker и вводом нового средства BitLocker To Go, обеспечивающего улучшенную защиту от раскрытия и кражи данных за счет расширения поддержки BitLocker на съемные устройства хранения. Расширенная поддержка BitLocker для томов данных FAT затрагивает широкий диапазон устройств и форматов дисков, включая USB-устройства флэш-памяти и съемные диски. Это позволяет пользователям развертывать BitLocker при необходимости обеспечения защиты данных.

Во время поездок с переносным компьютером, обмена большими файлами с надежным партнером или работы дома защита устройств с помощью BitLocker гарантирует, что данные смогут прочесть только авторизованные пользователи даже в том случае, если носитель украден, потерян или неправильно используется. Защита BitLocker проста в развертывании, интуитивно понятна конечному пользователю, соответствует нормативным требованиям и обеспечивает должную безопасность данных.

С помощью BitLocker To Go администраторы могут контролировать использование съемных устройств хранения, а также устанавливать необходимый уровень защиты. Администраторы сделать защиту данных обязательной на любом съемном устройстве хранения, в которое пользователи будут записывать данные, разрешив использование незащищенных устройств в режиме с доступом только для чтения. Кроме того, существуют специальные политики, требующие использования соответствующих паролей, смарт-карт или учетных данных пользователя домена для работы с защищенным съемным устройством хранения. Кроме того, BitLocker To Go обеспечивает настраиваемую поддержку съемных устройств с возможностью чтения в старых версиях Windows, позволяя более безопасно обмениваться файлами с пользователями, по-прежнему работающими с ОС Windows Vista и Windows XP.

Рис. 4. Шифрование диска BitLocker