Глава 2. Защита от вредоносного ПО

Статья
12/21/2009

Вредоносная программа — это любая программа или файл, которые могут нанести вред пользователю компьютера. Например, вредоносными являются компьютерные вирусы, черви, троянские программы, комплекты программ rootkit и шпионское ПО, собирающее информацию о пользователе без его разрешения.

Операционная система Windows® 7 развивает технологии, появившиеся в Windows Vista®. Среди этих технологий есть и те, что помогут защитить от вредоносного ПО компьютеры под управлением этой ОС. Эти компоненты и службы можно использовать в связке с параметрами, рекомендуемыми для объектов GPO в предыдущей главе, некоторые из которых также обеспечивают защиту от вредоносного ПО.

В состав Windows 7 входит обозреватель Windows® Internet Explorer® 8. Эта версия Internet Explorer включает ряд существенных усовершенствований безопасности, позволяющих предотвратить установку нежелательного ПО, и технологии, защищающие от несанкционированной передачи личных данных. Все это значительно повышает безопасность работы в Интернете и обеспечивает лучшую защиту конфиденциальности. Также в этой версии обозревателя предусмотрена возможность при необходимости полностью удалить его из установленной Windows 7. По этим причинам вся информация об использовании новых возможностей обеспечения безопасности Internet Explorer 8 сведена в Набор средств по управлению соответствием требованиям безопасности для Internet Explorer 8.

В этой главе приводится обзор технологий безопасности Windows 7 и рекомендации по их необходимой настройке. Эти параметры можно указать в подходящих объектах GPO, описанных в главе 1, «Создание базовой конфигурации безопасности». Однако, необходимо отметить, что многие из них требуют сбора определенной информации о рабочей среде. Поэтому большинство рекомендуемых значений для этих дополнительных параметров не включены в объекты GPO, описанные ранее.

Все эти технологии по умолчанию настроены на обеспечение повышенной защиты компьютеров под управлением Windows 7 в среде EC. Однако, с помощью ряда новых параметров групповой политики можно еще больше повысить степень защиты от вредоносного ПО.

Примечание В каждом большом разделе этой главы некоторые параметры групповой политики выделены с целью показать конфигурацию новой установки Windows 7 по умолчанию. Необходимые изменения или рекомендации отмечены знаком ‡. Подробнее о значениях этих параметров можно узнать из файла «Windows 7 Security Baseline Settings.xls», прилагаемого к настоящему руководству.

Защитные технологии Windows 7

ОС Windows 7 содержит следующие новые и усовершенствованные технологии, обеспечивающие повышенную защиту от вредоносных программ:

центр поддержки;
контроль учетных записей (UAC);
средства биометрической защиты;
защитник Windows;
средство удаления вредоносных программ (MSRT);
брандмауэр Windows;
технология AppLocker.

Необходимо также помнить, что вход в систему в качестве обычного пользователя по прежнему является настоятельно рекомендуемой мерой обеспечения безопасности.

Настоятельно рекомендуется также установить антивирусное решение, обеспечивающее защиту в реальном времени, например Forefront Client Security. Это позволит защитить компьютер от новых угроз по мере их появления. Если на предприятии используется стратегия глубокой обороны (defense-in-depth), возможно также использование других средств сканирования, доступных либо как часть Windows 7, либо в виде отдельных загрузок.

Следует помнить, что если возможность получения административных привилегий не оберегается должным образом, то даже при использовании всех этих технологий все компьютеры сети оказываются под угрозой.

Центр поддержки

В ОС Windows Vista параметры безопасности собраны в центре обеспечения безопасности, расположенном в панели управления. В Windows 7 центр обеспечения безопасности стал частью нового центра поддержки (Action Center). В нем сведены как параметры безопасности, так и настройки других административных задач, например резервного копирования, разрешения проблем, диагностики и обновления Windows Update. Категории уведомлений, которые можно включить или выключить в центре поддержки, перечислены в диалоговом окне Change Action Center settings (настройка центра поддержки), показанном на рис. 2.1.

Рисунок 2.1 Диалоговое окно настройки центра поддержки

Помимо выдачи пользователю уведомлений о возможных проблемах, центр поддержки также контролирует способ передачи этой информации в Майкрософт для поиска решений. Возможные варианты показаны на рис. 2.2.

Рисунок 2.2 Диалоговое окно параметров отчетов о проблемах центра поддержки

Информацию, отправляемую при этом в Майкрософт, можно просмотреть следующим образом.

1. Откройте главное окно Центра поддержки.

2. Нажмите кнопку Maintenance (обслуживание).

3. В разделе Check for solutions to problem reports (поиск решений для указанных в отчетах проблем) щелкните View reliability history (показать журнал стабильности работы).

4. Дважды щелкните любую запись журнала, чтобы просмотреть технические подробности.

Записи категории Informational events (информационные события) обычно описывают изменения в программной и аппаратной конфигурации компьютера.

Подробнее об отправлении информации и обеспечении конфиденциальности см. Заявление о конфиденциальности службы отчетов об ошибках.

Использование групповой политики для снижения рисков, связанных с центром поддержки

Доступные в этой категории параметры находятся в двух расположениях редактора объектов GPO:

Computer Configuration\Windows Components\Windows Error Reporting (Конфигурация компьютера\Компоненты Windows\Отчеты об ошибках Windows)

В следующей таблице приведены параметры этой технологии, применимые к Windows 7.

Таблица 2.1 Параметры центра поддержки Windows

Объект политики	Описание	По умолчанию в Windows 7
Disable Windows Error Reporting (отключить отчеты об ошибках Windows)	Если включить этот параметр, служба отчетов об ошибках не станет отправлять в Майкрософт никакой информации. Кроме того, не будет доступа к информации о возможных решениях проблем в панели управления центра поддержки.	Не задано

User Configuration\Start Menu and Taskbar\ (Конфигурация пользователя\Меню «Пуск» и панель задач\)

В следующей таблице приведены параметры этой технологии, применимые к Windows 7.

Таблица 2.2 Параметры центра поддержки Windows

Объект политики	Описание	По умолчанию в Windows 7
Remove the Action Center icon (удалить значок центра поддержки)	Удаляет значок центра поддержки из области уведомлений. Если включить этот параметр, значок центра поддержки не будет отображаться в системной области уведомлений. Если отключить этот параметр или не настраивать его, значок центра поддержки будет отображаться.	Не задано

Контроль учетных записей

Контроль учетных записей (UAC) появился в ОС Windows Vista с целью упрощения использования учетных записей, не обладающих административными привилегиями. В состав UAC входят несколько технологий: учетная запись защищенного администратора (PA), запросы на повышение прав, виртуализация реестра, виртуализация файловой системы и уровни целостности Windows. Хотя использование защищенной учетной записи администратора более безопасно, чем использование незащищенной, все же безопаснее всего для повседневных задач выбирать учетную запись обычного пользователя. Многое из того, что в предыдущих версиях Windows требовало административных привилегий, в Windows Vista доступно обычным пользователям. Благодаря использованию для повседневных задач учетной записи со стандартными правами снижается риск, что вредоносное ПО установит нежелательную программу или внесет опасные изменения в систему.

В ОС Windows 7 можно выбрать тип уведомлений UAC и частоту их появления. Имеется четыре основных уровня, настроить которые можно в соответствующем разделе центра поддержки.

• Always notify me when: (всегда уведомлять в следующих случаях). При выборе этого варианта UAC будет запрашивать подтверждение при установке программ и внесении любых изменений в параметры Windows.

• Default – Notify me only when programs try to make changes to my computer (По умолчанию — уведомлять только при попытках программ внести изменения в компьютер). В этом случае UAC выдает предупреждения, только когда программы вносят изменения в компьютер, но не когда это делает пользователь. Этот уровень в Windows 7 используется по умолчанию.

• Notify me only when programs try to make changes to my computer (do not dim my desktop) (Уведомлять только при попытках программ внести изменения в компьютер (не затемнять рабочий стол). На этом уровне подтверждение запрашивается только при внесении изменений программами, но безопасный рабочий стол для этого не используется, так что текущий рабочий стол не затемняется при выдаче запроса.

• Never notify me when: (никогда не уведомлять в следующих случаях:). При этом значении UAC не выдает никаких запросов, когда программы устанавливают ПО или вносят изменения в систему, а также когда пользователь пытается внести в параметры Windows изменения административного уровня. Использовать его не рекомендуется.

Когда технология UAC только появилась, частая выдача запросов приводила к тому, что ее отключали. В Windows 7 количество запросов на повышение прав сократилось, поскольку обычным пользователям разрешено выполнять больший круг действий. А при использовании учетной записи защищенного администратора некоторые программы из состава Windows 7 самостоятельно могут выполнить повышение, не выдавая запроса.

Мы рекомендуем как минимум оставить значение по умолчанию — Уведомлять только при попытках программ внести изменения в компьютер, а также рассмотреть вопрос о его повышении до Всегда уведомлять в тех средах, где клиентские компьютеры часто подключаются к публичным сетям или где безопасность имеет высокий приоритет. Меньшая частота выдачи запросов повышает шансы вредоносного ПО внести нежелательные изменения в компьютер.

Режим одобрения администратором в UAC обеспечивает ограниченную защиту компьютеров с ОС Windows 7 и Windows Vista с пакетом обновления 1 (SP1) от некоторых типов вредоносных программ. Большинство программ и задач из состава Windows 7 работают как должно со стандартными правами пользователя. Когда пользователь пытается выполнить административную задачу, например установить новую программу или изменить некоторые параметры системы, сначала производится запрос подтверждения этого действия. Однако, этот режим не обеспечивает того же уровня защиты, что работа со стандартными правами. Он не гарантирует, что вредоносное ПО, уже проникшее на клиентский компьютер, не сможет внедриться в программу, работающую с повышенными правами. Он также не гарантирует, что программа с повышенными правами не попытается совершить вредоносных действий после повышения.

Оценка рисков

Пользователи с правами администратора при входе в систему обладают административными привилегиями. Это позволяет им случайно выполнить или неосознанно разрешить выполнение какой-либо административной задачи, как в следующих примерах.

Пользователь, не сознавая того, загружает и устанавливает вредоносную программу с зараженного или специально сфабрикованного веб-сайта.
Пользователя хитростью убеждают открыть приложение к электронному письму. Вирус, содержащийся в нем, запускается и, возможно, внедряется на компьютер.
В компьютер вставляется съемный диск. Функция автозапуска немедленно запускает программу с него, которая оказывается вредоносной.
Пользователь устанавливает неподдерживаемое приложение, что отражается на производительности или стабильности работы.

Снижение риска

Для выполнения повседневных задач пользователям рекомендуется использовать учетную запись со стандартными правами. Хотя контроль учетных записей и может использоваться для повышения прав путем запроса учетных данных администратора, нужно вместо этого начать новый сеанс с правами администратора, используя быстрое переключение пользователей. Следует также убедиться, что контроль учетных записей запрашивает подтверждение при выполнении задачи, требующей административных привилегий.

Анализ мер по снижению риска

Риски, описанные в предыдущем разделе, «Оценка рисков», могут быть снижены благодаря использованию UAC. При этом, однако, необходимо учитывать следующее.

• Если на предприятии есть собственные разработчики, им рекомендуется изучить статью «Требования к разработке приложений для Windows Vista, совместимых с контролем учетных записей». В этом документе описывается проектирование и разработка UAC-совместимых приложений.

• Приложения, не соответствующие требованиям UAC, могут вызывать проблемы на уровнях защиты по умолчанию. По этой причине перед развертыванием необходимо тестировать приложения на совместимость с UAC. Подробнее о тестировании совместимости приложений см. главу 4, «Совместимость приложений с Windows 7».

• Запросы UAC на ввод учетных данных администратора и повышение прав увеличивают число шагов, необходимых для выполнения многих административных задач. Необходимо установить, представляет ли это проблему для штата администраторов. Если дополнительные запросы UAC существенно сказываются на них, можно установить для параметра политики Behavior of the elevation prompt for administrators in Admin Approval Mode (поведение запроса на повышение прав для администраторов в режиме одобрения администратором) значение Elevate without prompting (повышать без запроса). Это, однако, ослабит степень защищенности компьютера и повысит риск, исходящий от более старых вредоносных программ.

• Пользователь, обладающий административными привилегиями и работающий от имени учетной записи защищенного администратора (PA), может отключить режим одобрения администратором, запретить выдачу запросов учетных данных администратора при установке приложений и изменить способ выдачи запросов на повышение прав. Поэтому, если пользователи обладают правами администратора, то нельзя гарантировать, что политики UAC выполняются.

• Администраторам предприятия рекомендуется иметь две учетные записи. Для повседневных задач следует использовать учетную запись обычного пользователя. При необходимости выполнить административное действие следует войти в систему от имени учетной записи с правами администратора, выполнить это действие, выйти из системы и вернуться к работе от имени обычного пользователя.

• Параметры групповой политики, рекомендуемые в этом руководстве, отключают возможность обычных пользователей повышать права. Обратите внимание, что это поведение по умолчанию для компьютеров, входящих в домен Active Directory. Это рекомендуемый подход, поскольку так административные задачи могут выполняться только пользователями, чьи учетные записи были специально отнесены к группе администраторов.

• Если приложение неверно отнесено к группе административных или пользовательских, Windows может запустить его в неверном контексте безопасности, например с маркером «администратор» или «обычный пользователь».

Процесс снижения рисков

Процесс снижения рисков начинается с изучения всех возможностей контроля учетных записей. Подробнее об этом см. Контроль учетных записей в Windows Vista: общие сведения и настройка и Введение в контроль учетных записей Windows Vista.

Ход процесса снижения рисков

Определить количество пользователей, способных выполнять административные задачи.
Определить, насколько часто административные задачи требуется выполнять.
Установить, могут ли администраторы выполнять административные задачи, просто соглашаясь с запросом UAC, или для этого им необходимо вводить учетные данные.
Определить, следует ли обычным пользователям иметь возможность повышать права для выполнения административных задач. Параметры политики, рекомендуемые в рамках этого руководства, блокируют эту возможность для обычных пользователей.
Определить, как часто требуется устанавливать приложения.
Настроить групповую политику UAC в соответствии с вашими требованиями.

Использование групповой политики для снижения рисков, связанных с UAC

Доступные в этой категории параметры находятся в следующем расположении редактора объектов GPO:

Computer Configuration\Windows Settings\Security Settings\Local Policy\Security Options\ (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\)

В следующей таблице приведены параметры этой технологии, применимые к Windows 7.

Таблица 2.3 Параметры контроля учетных записей Windows

Объект политики	Описание	По умолчанию в Windows 7
User Account Control: Admin Approval Mode for the built-in Administrator account (Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора)	Этот параметр политики контролирует поведение режима одобрения администратором для встроенной учетной записи администратора.	Отключено
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop (Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол)	Этот параметр определяет, могут ли UIAccess-приложения, или UIA-приложения, автоматически отключать безопасный рабочий стол при выдаче обычному пользователю запросов на повышение прав.	Отключено
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode (Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором)	Этот параметр политики определяет поведение запроса на повышение прав для администраторов.	Запрос для исполняемых файлов не из состава Windows
User Account Control: Behavior of the elevation prompt for standard users (Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей)	Этот параметр политики определяет поведение запроса на повышение прав для обычных пользователей.	Запрос учетных данных на безопасном рабочем столе
User Account Control: Detect application installations and prompt for elevation (Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав)	Этот параметр политики определяет, следует ли пытаться распознать факт установки приложения.	Включено
User Account Control: Only elevate executable that are signed and validated (Контроль учетных записей: повышать права только для подписанных и проверенных исполняемых файлов)	Этот параметр политики вводит принудительную проверку подписей инфраструктуры открытых ключей (PKI) для любых интерактивных приложений, требующих повышения прав. Добавляя сертификаты в хранилище доверенных издателей на локальных компьютерах, можно контролировать, какие приложения разрешено запускать.	Отключено
User Account Control: Only elevate UIAccess applications that are installed in secure locations (Контроль учетных записей: повышать права для UIAccess-приложений только при установке в безопасных местах)	Этот параметр политики определяет, обязано ли приложение, запрашивающее уровень целостности UIAccess, находиться в безопасном расположении файловой системы.	Включено
User Account Control:Run all Administrators in Admin approval Mode (Контроль учетных записей: все администраторы работают в режиме одобрения администратором)	Этот параметр политики определяет поведение всех параметров политики UAC на компьютере. При его изменении компьютер нужно перезапустить.	Включено
User Account Control:Switch to the secure desktop when prompting for elevation (Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав)	Этот параметр политики определяет, на каком рабочем столе выдавать запрос — на безопасном или на текущем.	Включено
User Account Control: Virtualize file and registry write failures to per-user locations (Контроль учетных записей: при отказе в праве на запись использовать виртуализацию файловой системы и реестра для перенаправления в расположение пользователя)	Этот параметр политики определяет, следует ли при отказе в праве на запись перенаправлять вывод в определенные расположения реестра и файловой системы.	Включено

В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.

Средства биометрической защиты

В состав Windows 7 входит биометрическая платформа Windows (Windows Biometric Framework), которая обеспечивает единообразное представление сканеров отпечатков пальцев и других биометрических устройств в форме, удобной высокоуровневым приложениям, а также позволяет в единой манере использовать приложения по анализу отпечатков пальцев. В предыдущих версиях Windows сканеры отпечатков пальцев поддерживались как средство входа в систему. Такими сканерами сейчас оборудованы многие переносные компьютеры, но для их работы требовались драйверы и специальное программное обеспечение. Теперь поддержка таких устройств является частью Windows 7, и для их работы ничего кроме драйвера не требуется.

Оценка рисков

Общепринятые методики проверки паролей имеют ряд недостатков, из которых произрастают риски для безопасности. Если вся система проверки подлинности построена исключительно на паролях, то их могут записывать на бумажках, подслушивать, забывать, а если пароль несложен, его можно просто подобрать.

Для усиления защиты паролей можно использовать многофакторную проверку подлинности, добавив в процесс проверки дополнительное устройство, например смарт-карту. Тогда пользователь должен будет и доказать, что знает (пароль), и доказать, что обладает (смарт-картой). По сравнению с проверкой только на основе пароля это шаг вперед. Однако, смарт-карты и устройства их чтения могут украсть, потерять и даже внести в них какие-то изменения.

Снижение риска

Появление в ОС Windows 7 поддержки биометрии позволяет создать дополнительный уровень проверки, в рамках которого пользователь должен предъявить что-то, что является его частью. Этот подход снижает риски, связанные с недостатками паролей и смарт-карт. Хотя Windows 7 поддерживает много различных способов биометрической проверки подлинности, распространенность и доступность сканеров отпечатков пальцев делает именно эту технологию наиболее часто встречающейся.

Проверка отпечатков пальцев обладает следующими преимуществами.

Обычно отпечатки пальцев не меняются в течение всей жизни.
За всю историю не было обнаружено ни одной пары одинаковых отпечатков (даже у однояйцевых близнецов).
Сканеры отпечатков пальцев теперь более доступны.
Процесс сканирования прост и занимает мало времени.
Высокая надежность сканирования, т.е. более низкий коэффициент ложного пропуска по сравнению с другими формами биометрического анализа, например распознавания лица или голоса.
У этой формы установления личности есть и следующие недостатки.
При повреждении пальца становится невозможным пройти проверку.
Исследования показали, что некоторые системы распознавания отпечатков пальцев можно обойти, представив «обманку».
Возраст или характер работы пользователя могут не позволить ему успешно проходить проверки.

Анализ мер по снижению риска

Если на предприятии вместе с Windows 7 планируется внедрение биометрического механизма проверки, например сканирования отпечатков пальцев, следует заранее учесть следующие соображения.

• Биометрические системы обычно требуют хранения на компьютере информации, которая может использоваться для установления личности. По этой причине предприятию придется заниматься обеспечением конфиденциальности.

• Многие современные переносные компьютеры обладают встроенными сканерами отпечатков пальцев, что может упростить внедрение биометрического решения, однако по функциональности и качеству распознавания такие встроенные устройства могут уступать специализированному оборудованию. Следует сравнить относительное качество по таким показателям, как коэффициент ложного пропуска, коэффициент ложного отказа, коэффициент ошибок кроссовера, коэффициент ошибок регистрации и пропускная способность.

• Если по характеру работы пользователи или компьютеры оказываются в загрязненных помещениях, где сложно поддерживать чистоту рук или требуются перчатки, сканеры отпечатков использовать не удастся. Эту проблему можно преодолеть за счет использования систем анализа других физиологических параметров, например геометрии лица, радужной оболочки глаза или ладони.

• Наряду с биометрическим подтверждением пользователю необходимо представлять какое-либо иное свидетельство, например ключевую фразу, ПИН-код или смарт-карту, поскольку биометрические устройства можно обмануть. Например, группа японских исследователей показала, как с помощью искусственных желатиновых пальцев обойти некоторые системы. Подробнее см. Результаты применения искусственных желатиновых пальцев в системах распознавания отпечатков.

Процесс снижения рисков

Особенности внедрения биометрических средств сильно разнятся от предприятия к предприятию. Однако, можно выделить ряд шагов, которые следует пройти для надлежащего его выполнения. Они приведены ниже.

Ход процесса снижения рисков

Установить, какие из имеющихся механизмов проверки биометрических данных больше подходят нуждам предприятия.
Проанализировать внутреннюю документацию по обеспечению конфиденциальности, чтобы убедиться в возможности управления конфиденциальными биометрическими данными.
Определить требования к оборудованию, используемому при биометрическом сканировании, и наметить сроки выполнения этих требований.
Определить элементы инфраструктуры, необходимые для биометрического сканирования, как то инфраструктура публичных ключей или требования к клиентскому программному обеспечению.
Установить, у каких сотрудников могут возникнуть проблемы с использованием биометрической системы, и подобрать для них альтернативные варианты, например проверку по имени пользователя и паролю или смарт-карте с ПИН-кодом.
Заранее обучить пользователей обращению с системой биометрической проверки подлинности, а тех, кто не сможет ею пользоваться, — альтернативным методам проверки.
Провести масштабный пилотный запуск в целях выявления и разрешения проблем до начала повсеместного внедрения.
Следуя инструкциям производителя по сканированию и проверке, ввести данные о пользователях в биометрическую систему.
Обучить пользователей обращению с системой, обеспечить помощь для тех, кто испытывает трудности.
Учесть, что некоторые пользователи могут категорически отказаться использовать биометрическую систему. Предусмотреть для таких пользователей альтернативный способ проверки подлинности.

Использование групповой политики для снижения рисков, связанных с биометрической проверкой

Доступные в этой категории параметры находятся в следующем расположении редактора объектов GPO:

Computer Configuration\Administrative Templates\Windows Components\Biometrics (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Биометрия)

В следующей таблице приведены параметры этой технологии, применимые к Windows 7.

Таблица 2.4 Параметры биометрического контроля

Объект политики	Описание	По умолчанию в Windows 7
Allow the use of biometrics (Разрешить использование биометрии)	Если включить (или не задавать) этот параметр политики, разрешается запуск приложений, использующих средства Windows по проверке биометрии.	Не задано
Allow users to log on using biometrics (Разрешить пользователям выполнять вход в систему с использованием биометрии)	Этот параметр политики определяет, можно ли пользователям осуществлять вход в систему или производить повышение прав с помощью биометрии. По умолчанию локальным пользователям разрешен такой вход в систему локального компьютера.	Не задано
Allow domain users to log on using biometrics (Разрешить пользователям домена выполнять вход в систему с использованием биометрии)	Этот параметр политики определяет, можно ли пользователям домена осуществлять вход в систему или производить повышение прав с помощью биометрии. По умолчанию пользователи домена не могут использовать такой способ входа в систему.	Не задано
Timeout for fast user switching events (Время ожидания для событий функции быстрого переключения пользователей)	Этот параметр политики задает количество секунд, которое остается активным событие быстрого переключения пользователей перед тем, как переключение произойдет. По умолчанию событие быстрого переключения остается активным 10 секунд, затем переходит в неактивное состояние.	Не задано

Защитник Windows

Защитник Windows — это служба защиты от шпионского ПО, впервые появившаяся в качестве необязательного загружаемого компонента Windows® XP. Теперь эта служба интегрирована в Windows® и по умолчанию запускается автоматически, помогая в защите от шпионских программ и другого нежелательного ПО. Шпионские программы могут незаметно попасть на компьютер в любой момент при подключении к Интернету, а также при установке какой-либо программы со съемного диска. Защитник Windows обеспечивает и защиту в реальном времени, и полное сканирование по расписанию.

Диалоговое окно, показанное на рис. 2.3, отображает рекомендуемые параметры защитника Windows для компьютера под управлением Windows 7.

Windows Defender Settings.PNG

Рисунок 2.3 Диалоговое окно параметров отчетов о проблемах центра поддержки

Когда программа пытается внести изменения в защищенную часть Windows 7, защитник Windows запрашивает у пользователя согласие на эти изменения, чтобы предотвратить возможную установку шпионской программы.

Различные аспекты поведения защитника Windows контролируются параметрами групповой политики ОС Windows 7. Приведенные в следующих разделах значения этих параметров не изменяют поведения этой программы по умолчанию. Это сделано потому, что желательные значения сильно зависят от конкретных условий.

Сообщество Microsoft SpyNet

Microsoft® SpyNet — это сетевое сообщество, призванное научить пользователей адекватно реагировать на угрозы, исходящие от шпионских программ. Оно также борется с распространением новых видов этих программ.

Если защитник Windows обнаруживает программу или изменение, внесенное ею, которые еще не получили оценки степени опасности, можно просмотреть, как другие участники сообщества отреагировали на такое же предупреждение. И наоборот, действия, предпринимаемые вами, помогают другим пользователям определиться с решением. Они также позволяют корпорации Майкрософт выявить программы, степень риска использования которых следует проверить. Об обнаруженном ПО можно отправить как базовую, так и расширенную информацию. Расширенная информация используется для улучшения работы защитника Windows. Например, можно включить данные о расположении обнаруженных и удаленных компонентов вредоносного ПО, и эта информация будет автоматически отправлена сообществу. Подробнее о том, какая информация отправляется в рамках отчетов Microsoft SpyNet, см. Политика обеспечения конфиденциальности защитника Windows.

Оценка рисков

Шпионские программы представляют серьезную опасность для предприятия. Необходимо принять соответствующие меры защиты данных и компьютеров. Чаще всего риски, исходящие от такого ПО, сводятся к следующему.

Несанкционированное разглашение конфиденциальной деловой информации.
Несанкционированное разглашение личных данных о сотрудниках.
Захват контроля над компьютерами со стороны неустановленных лиц.
Потери производительности из-за негативного эффекта, оказываемого шпионским ПО на стабильность и скорость работы компьютеров.
Рост стоимости поддержки, вызванный заражением.
Потенциальный риск шантажа, связанного с попавшей не в те руки конфиденциальной информацией.

Снижение риска

Защитник Windows предназначен для снижения рисков, связанных со шпионским ПО. Эта технология постоянно обновляется через веб-сайт Windows Update или службы Microsoft Windows Server Update Services (WSUS).

В дополнение к защите от шпионских программ, обеспечиваемой защитником Windows, Майкрософт настоятельно рекомендует установить антивирусное решение, чтобы получить возможность обнаруживать вирусы, троянские программы и черви. Например, таким продуктом является Microsoft Forefront™ Client Security, обеспечивающий единообразную защиту настольных, переносных и серверных компьютеров.

Анализ мер по снижению риска

В ОС Windows 7 по умолчанию защитник Windows включен. Этот компонент спроектирован так, чтобы в нормальных условиях оказывать наименьшее влияние на работу пользователя. Несмотря на это, в рамках стратегии развертывания Windows 7 следует учитывать следующие рекомендации.

Протестируйте совместимость помощника Windows с другими используемыми антивирусными программами, работающими в реальном времени.
Если число компьютеров на предприятии велико, спроектируйте систему управления развертыванием обновлений сигнатур.
Обучите пользователей распознавать типичные приемы социальной инженерии, с помощью которых людей убеждают запустить вредоносную программу.
Задайте желаемое расписание сканирования. По умолчанию оно происходит в 2 часа ночи каждый день. Если компьютер в это время оказывается не в состоянии выполнить сканирование, позднее пользователю будет предложено запустить его вручную. Если в течение следующих двух дней сканирование так и не произойдет, оно автоматически будет запущено примерно через 10 минут после следующего запуска компьютера. В ОС Windows 7 процессу сканирования назначается низкий приоритет, чтобы его влияние на работу пользователя было минимальным. Степень такого влияния существенно ниже, чем было в ОС Windows XP.
Защитник Windows не является антишпионским приложением корпоративного класса. Он не обеспечивает возможностей по централизованному мониторингу, созданию отчетности и контролю. Если подобные средства необходимы, следует обратить внимание на другие продукты, например Microsoft Forefront Client Security.
Определитесь с политикой предприятия в части отправки отчетов о возможно шпионском ПО в сообщество Microsoft SpyNet.

Процесс снижения рисков

Защитник Windows изначально входит в состав ОС Windows 7, поэтому для его активации никаких дополнительных шагов не требуется. Однако, в целях обеспечения должной защиты рекомендуется предпринять следующие шаги.

Ход процесса снижения рисков

Изучите антишпионские возможности Windows 7 и защитника Windows.
Изучите параметры групповой политики, относящиеся к защитнику Windows.
Оцените дополнительные средства защиты от вирусов и установите, обеспечивают ли они также защиту от шпионских программ.
Составьте оптимальный план по обновлению компьютеров предприятия. Для переносных компьютеров могут потребоваться иные действия по обновлению, чем для настольных.
Обучите пользователей замечать подозрительное поведение компьютера.
Обучите сотрудников службы поддержки использовать средства защитника Windows для разрешения поступивших вопросов.

Использование групповой политики для снижения рисков, связанных с защитником Windows

Доступные в этой категории параметры находятся в следующем расположении редактора объектов GPO:

Computer Configuration\Administrative Templates\Windows Components\Windows Defender (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Защитник Windows)

В следующей таблице приведены параметры этой технологии, применимые к Windows 7.

Таблица 2.5 Параметры защитника Windows

Объект политики	Описание	По умолчанию в Windows 7
Turn on definition updates through both WSUS and Windows Update (Включить обновление определений с помощью WSUS и Windows Update)	Этот параметр позволяет помощнику Windows проверять наличие обновленных определений и загружать их с веб-узла Windows Update, если локальный сервер служб WSUS оказывается недоступен.	Не задано
Turn on definition updates through both WSUS and the Microsoft Malware Protection Center (Включить обновление определений через WSUS и Центр Майкрософт по защите от вредоносных программ)	Этот параметр позволяет помощнику Windows проверять наличие обновленных определений и загружать их и с веб-узла Windows Update, и из центра Майкрософт по защите от вредоносных программ, если локальный сервер служб WSUS оказывается недоступен.	Не задано
Check for New Signatures Before Scheduled Scans (Проверять новые подписи перед запланированным сканированием)	Если этот параметр включен, перед сканированием по расписанию будет проверяться наличие обновленных сигнатур. Если параметру задано значение Disabled (отключено) или Not configured (не задано), перед сканированием по расписанию наличие обновлений проверяться не будет.	Не задано
Turn off Windows Defender (Отключить защитник Windows)	Если оставить этот параметр со значением по умолчанию, защита реального времени будет включена.	Не задано
Turn off Real-Time Monitoring (Отключить мониторинг в реальном времени)	Этот параметр отключает запросы защиты реального времени при обнаружении вредоносной программы.	Не задано
Turn off Routinely Taking Action (Отключить постоянные действия)	Этот параметр определяет, будет ли защитник Windows автоматически предпринимать действия при обнаружении угроз. Характер действия для каждой угрозы определяется индивидуально на основе того, что предписано политикой, пользовательскими настройками и базой сигнатур. Если включить этот параметр, защитник Windows не станет автоматически предпринимать действий при обнаружении угрозы, вместо этого предлагая пользователю выбрать один из возможных вариантов. Если отключить или не настраивать этот параметр, защитник Windows будет автоматически предпринимать действия в отношении всех обнаруженных угроз по истечении примерно 10 минут (эта задержка не настраивается),	Не задано
Configure Microsoft SpyNet Reporting (Настроить отчеты Microsoft SpyNet)	Этот параметр отвечает за участие в сетевом сообществе Microsoft SpyNet.	Не задано

Средство удаления вредоносных программ

Средство удаления вредоносных программ (MSRT) — это небольшая исполняемая программа, разработанная для обнаружения и устранения отдельных особо опасных видов вредоносных программ с компьютеров под управлением Windows. Каждый месяц на веб-сайтах Microsoft Update, Windows Update, WSUS и центра загрузок Майкрософт появляется новая версия этого средства. Будучи запущенным, средство MSRT в фоновом режиме сканирует компьютер и создает отчет по обнаруженным заражениям. Эта программа не устанавливается в операционной системе и не имеет параметров групповой политики. Журнал отчета MSRT хранится в папке %SystemRoot%\Debug\mrt.log.

Средство MSRT не является антивирусным приложением корпоративного класса. Оно не обеспечивает возможностей по централизованному мониторингу, созданию отчетности и контролю. Если подобные средства необходимы, следует обратить внимание на другие продукты, например Microsoft Forefront Client Security.

Оценка рисков

В дополнение к средствам защиты ОС Windows 7 рекомендуется использовать на всех компьютерах антивирусную защиту реального времени. Но даже это не позволит полностью избежать рисков, перечисленных ниже.

Установленному средству обеспечения антивирусной защиты реального времени не удается распознать вредоносную программу.
Вредоносной программе удается отключить используемую защиту реального времени.

В этих ситуациях средство MSRT может использоваться как дополнительный способ обнаружения и устранения часто встречающихся вредоносных программ. Полный список таких программ, распознаваемых этим средством, см. на странице Группы вредоносных программ, удаляемых средством MSRT.

Снижение риска

Для снижения перечисленных рисков рекомендуется включить на клиентских компьютерах автоматическое обновление, чтобы средство MSRT загружалось на них по мере выхода новых версий. Это средство предназначено для обнаружения угроз, исходящих от особенно часто встречающихся или особо опасных вредоносных программ.

Анализ мер по снижению риска

При рассмотрении вопроса об использовании средства MSRT на предприятии стоит учитывать следующие соображения.

• Средство удаления вредоносных программ (MSRT) имеет размер примерно 9 МБ. Если большое число клиентских компьютеров попытаются загрузить его в одно и то же время, пропускная способность подключения к Интернету может оказаться недостаточной.

• Средство MSRT в основном предназначено для некорпоративных пользователей, у которых не установлено актуальное антивирусное ПО. Однако, ничто не мешает развернуть это средство в корпоративной среде для усиления существующих мер защиты и в качестве составной части стратегии глубокой обороны. Для подобного развертывания можно использовать любые из следующих способов:

службы Windows Server Update Services;
программные пакеты SMS;
задаваемый групповой политикой сценарий запуска компьютера;
задаваемый групповой политикой сценарий входа в систему.

О развертывании в корпоративной среде можно подробнее узнать из статьи базы знаний номер 891716 «Развертывание средства удаления вредоносных программ для Microsoft Windows в среде организации».

• Средство MSRT не обеспечивает никакой защиты реального времени, поэтому настоятельно рекомендуется использовать антивирусную программу, способную в реальном времени обнаруживать вирусы, троянские программы и черви. Например, таким продуктом является Microsoft Forefront Client Security, обеспечивающий единообразную защиту настольных, переносных и серверных компьютеров.

• Обычно при запуске средства удаления вредоносных программ для Windows в корне диска с наибольшим свободным местом создается временная папка со случайным именем. Обычно это оказывается корневой каталог системного диска. В эту папку помещается несколько файлов, среди которых есть файл Mrtstub.exe. Чаще всего папка автоматически удаляется по завершении работы средства или при следующем перезапуске компьютера. Но иногда удаления не происходит. В этом случае папку можно удалить вручную. Это никак не скажется на работе компьютера.

Процесс снижения рисков

Использовать средство MSRT более эффективно позволит следующий процесс.

Ход процесса снижения рисков

1. Изучить возможности средства удаления вредоносных программ.
Подробнее см. Средство удаления вредоносных программ.

2. Определить степень необходимости средства MSRT в текущих условиях.

3. Выбрать наиболее подходящий метод развертывания средства MSRT в организации.

4. Выявить компьютеры, использование на которых средства MSRT является желательным.

5. Развернуть средство MSRT выбранным способом.

Брандмауэр Windows

Личный брандмауэр — это исключительно важная линия обороны от многих типов вредоносных программ. Как и брандмауэр, появившийся в ОС Windows XP Professional с пактом обновления 2 (SP2), брандмауэр ОС Windows 7 по умолчанию включен и обеспечивает защиту компьютера сразу после установки операционной системы.

Брандмауэр из состава Windows 7 использует тот же подход, что брандмауэр ОС Windows Vista, фильтруя как входящий, так и исходящий трафик, что обеспечивает защиту на случай непредвиденного поведения компонентов системы. Интерфейс консоли брандмауэра Windows в режиме повышенной безопасности также не изменился. В нем для упрощения настройки и уменьшения числа конфликтов с политиками сведены средства фильтровки входящего и исходящего трафика, а также параметры IPsec-сервера и изоляции домена.

Брандмауэр Windows в режиме повышенной безопасности поддерживает следующие профили.

• Профиль домена. Этот профиль вступает в силу, когда компьютер подключается к сети и проходит проверку подлинности на контроллере домена, которому принадлежит компьютер.

• Общий профиль. Этот профиль по умолчанию применяется для компьютера, не подключенного к домену. Его параметры должны накладывать самые сильные ограничения, поскольку компьютер подключается к публичной сети, где безопасность нельзя гарантировать в той степени, что в контролируемой ИТ-среде.

• Частный профиль. Этот профиль будет использоваться, только если пользователь с правами локального администратора назначит его сети, ранее использовавшей общий профиль. Делать это рекомендуется только для доверенных сетей.

В ОС Windows Vista в каждый момент времени может быть активным только один сетевой профиль. В Windows 7 же может быть несколько активных профилей, по одному на сетевой адаптер. Если разные сетевые адаптеры подключены к разным сетям, для каждого из них выбирается тип профиля, подходящий этой сети — частный, общий или доменный. Допустим, сидя в кафе, где есть беспроводная точка доступа, вы устанавливаете VPN-подключение к корпоративной сети. Тогда общий профиль будет продолжать защищать сетевой трафик, не относящийся к VPN-туннелю, а профиль домена — трафик, проходящий по нему. Это также позволяет разрешить проблему сетевых адаптеров, не подключенных к сетям — им будет назначаться общий профиль, поскольку сеть подключения неизвестна, а остальные сетевые адаптеры компьютера будут продолжать использовать тот профиль, который соответствует их сети.

Оценка рисков

Возможность работы в сети — непреложное условие успешности современного предприятия. И в то же время она — основная цель различных атак. В целях обеспечения сохранности компьютеров и данных необходимо использовать средства защиты от связанных с сетевой работой угроз. Наиболее часто встречающиеся из этих угроз перечислены ниже.

Неизвестное лицо проводит успешную атаку на компьютер и получает административные привилегии на нем.
Атакующий с помощью сканеров сети удаленно находит открытые порты и проводит атаку на них.
Троянская программа устанавливает неразрешенное подключение к компьютеру атакующего и передает закрытую деловую информацию.
Переносной компьютер подвергается сетевой атаке в то время, когда находится вне корпоративного брандмауэра.
Компьютеры внутренней сети подвергаются сетевой атаке со стороны зараженного компьютера, у которого есть доступ ко внутренней сети.
Потенциальный риск шантажа, связанного с успешным проникновением на внутренние компьютеры.

Снижение риска

Брандмауэр Windows 7 обеспечивает защиту клиентского компьютера сразу после установки ОС. Он блокирует большую часть незапрошенного сетевого трафика, пока иные правила не будут установлены администратором или групповой политикой.

Брандмауэр Windows также позволяет фильтровать исходящий трафик, причем по умолчанию весь такой трафик разрешен. Для обеспечения единообразия настроек соответствующие правила можно описать с помощью групповой политики.

Анализ мер по снижению риска

Планируя использование брандмауэра Windows 7, следует принимать во внимание следующие соображения.

Необходимо убедиться в надлежащей работе бизнес-приложений. Для каждого из приложений нужно знать используемые им порты, чтобы только они оставались открытыми в брандмауэре.
Как и в Windows Vista, брандмауэр Windows 7 поддерживает доменный, частный и общий профили, что обеспечивает точный контроль уровня защиты при работе вне средств сетевой защиты предприятия.
Необходимо изучить возможности брандмауэра Windows по ведению журнала и рассмотреть способы включения их в корпоративные решения по отчетности и мониторингу.
По умолчанию брандмауэр Windows блокирует удаленный контроль и удаленное управление компьютерами с ОС Windows 7. Для поддержки этих задач в брандмауэре имеется ряд правил. Те из них, что отвечают необходимым задачам, можно включить для каждого из требуемых профилей. Например, можно включить правило удаленного рабочего стола для профиля домена, чтобы в рамках сети предприятия можно было оказывать пользователям поддержку. А вот для общего и частного профиля это правило стоит оставить выключенным, поскольку так снижается контактная зона компьютеров, когда они не в сети.

Процесс снижения рисков

Параметры групповой политики Windows 7 и пользовательский интерфейс управления помогут настроить возможности брандмауэра Windows. Расширенные параметры безопасности ОС Windows 7 также действуют и для Windows Vista, но не действуют для компьютеров под управлением Windows XP или виртуальных машин в режиме Windows XP.

Если планируется вносить изменения в настройки брандмауэра по умолчанию, рекомендуется для клиентских компьютеров на основе Windows Vista или Windows 7 использовать параметры групповой политики брандмауэра Windows в режиме повышенной безопасности.

Новая оснастка брандмауэра Windows, содержащая средства управления и параметры групповой политики, расположена в редакторе объектов GPO по следующему пути:

Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности)

Брандмауэр Windows в режиме повышенной безопасности рекомендуется включить для всех трех профилей. В дополнение к расширенным правилам, брандмауэр также поддерживает правила обеспечения безопасности подключений. В рамках этих правил перед началом коммуникации проводится проверка подлинности компьютеров, а передаваемая информация защищается. Для обмена ключами, проверки подлинности, обеспечения целостности данных и (необязательно) шифрования используется технология IPsec.

Подробнее см. раздел «IPsec» на веб-сайте Microsoft TechNet.

В файле «Windows 7 Security Baseline Settings.xls», который прилагается к настоящему руководству, объяснено рекомендуемое значение каждого параметра брандмауэра Windows в режиме повышенной безопасности, а также отмечено, где для выбора верного значения нужна дополнительная информация.

Технология AppLocker

Windows 7 включает в себя обновленную и улучшенную версию политик ограниченного использования программ — технологию AppLocker. Она проще в использовании, а ее новые возможности и расширяемость снижают затраты на управление и позволяют контролировать доступ к таким файлам, как сценарии, файлы установщика Windows, исполняемые файлы и файлы DLL. AppLocker настраивается в рамках домена с помощью групповой политики или на локальном компьютере в оснастке локальных политик безопасности.

Оценка рисков

Когда пользователь устанавливает неодобренное приложение на рабочий компьютер, он подвергает его определенным рискам. Как минимум, это изменяет контактную зону компьютера и создает вероятность запуска дополнительных служб или открытия портов брандмауэра. Но даже если ничего этого не происходит, все равно теперь на компьютере на одно приложение больше, и оно может сыграть на руку злоумышленнику, который обнаружит уязвимость, внесенную этим приложением.

Наконец, есть вероятность того, что приложение по сути своей вредоносно, и было установлено либо по ошибке, либо с умыслом провести атаку на другие компьютеры, как только этот компьютер подключится к корпоративной сети.

Снижение риска

Технология AppLocker позволяет задать набор политик контроля использования приложений, которые существенно сокращают риск подвергнуться атаке со стороны программ, установленных на компьютерах без разрешения. В этом помогают следующие возможности данной технологии.

Определение правил, основанных на атрибутах файлов, получаемых из цифровых подписей, как то издатель, название продукта, имя файла и версия. Например, можно создать правило, проверяющее имя издателя, которое остается неизменным при выходе обновлений, а можно — правила, зависящие от конкретной версии файла.
Назначение правил группам или отдельным пользователям.
Возможность создавать исключения. Например, можно создать правило, разрешающее запуск любых процессов Windows, кроме редактора реестра (Regedit.exe).
Режим «Только аудит», позволяющий развернуть политику и понять, что произойдет, когда запреты вступят в силу.
Импорт и экспорт правил. Импортировать и экспортировать можно только политику целиком. Если политику экспортировать, будут экспортированы все правила из всех наборов, в том числе параметры введения политики в силу. Если импортировать политику, существующая политика будет полностью заменена.
Простота создания и управления правилами AppLocker с помощью командлетов AppLocker оболочки PowerShell.

Анализ мер по снижению риска

При рассмотрении вопроса об использовании этого средства на предприятии стоит учитывать следующие соображения.

Необходимо тщательно протестировать все политики контроля приложений до того, как развертывать их. Ошибки в проектировании или реализации могут серьезно сказаться на продуктивности труда.
Отведите время на оценку модели использования приложений на предприятии с помощью режима «только аудит». Это позволит составить полный список необходимых программ, прежде чем вводить ограничения.
Рассмотрите возможность поэтапного внедрения, начиная с пользователей, создающих наибольшие риски в связи с установками приложений, или компьютеров, содержащих закрытую информацию.

Процесс снижения рисков

Технология AppLocker представлена в узле «Политики управления приложениями» редактора групповой политики. Политики ограниченного использования программ в Windows 7 также поддерживаются, как и раньше.

Примечание. Технология AppLocker недоступна в потребительских редакциях Windows 7.

Использование групповой политики для снижения рисков, связанных с технологий AppLocker

Доступные в этой категории параметры находятся в следующем расположении редактора объектов GPO:

Computer Configuration\Windows Settings\Security Settings\Application Control Policies (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями)

В этом руководстве нет рекомендаций блокировать те или иные приложения на клиентских компьютерах, поскольку это, со всей очевидностью, определяется конкретными условиями работы. Подробнее о планировании и развертывании политик AppLocker см. Техническую документацию технологии AppLocker для Windows 7 и Windows Server 2008 R2.

Политики ограниченного использования программ

Политики ограниченного использования программ, входящие в состав ОС Windows Vista, Windows XP, Windows Server 2003 и Windows Server 2008, доступны и поддерживаются и в Windows 7. Их по-прежнему можно использовать для обнаружения программ и управления возможностью запускать их на локальных компьютерах. Однако, поскольку технология AppLocker из состава Windows 7 значительно удобнее в использовании, рекомендуется заменить на нее эти политики. По этой причине в настоящем руководстве они не рассматриваются. Подробнее о проектировании и внедрении этих политик см. статью «Применение политик ограниченного использования программ для защиты от неразрешенного ПО» на веб-сайте TechNet.