Руководство по безопасности для системы Windows Vista

Глава 2: Защита от вредоносных программ

Опубликовано 7 февраля 2007 г.

Вредоносное программное обеспечение, или вредоносные программы, — это любые программы или файлы, причиняющие вред пользователю компьютера. Примерами вредоносных программ являются компьютерные вирусы, вирусы-черви, программы типа "Троянский конь" и программы-шпионы, собирающие сведения о пользователе компьютера без разрешения.

Система Windows Vista™ включает в себя несколько новых технологий, которые можно использовать для повышения уровня защиты от вредоносных программ на компьютерах с операционной системой Windows Vista в среде предприятия. Эти возможности и службы можно использовать в дополнение к объектам групповой политики, описанным в предыдущей главе. Некоторые из которых также обеспечивают защиту от вредоносных программ.

Обозреватель Microsoft® Internet Explorer® 7 в системе Windows Vista также включает в себя несколько усовершенствований, позволяющих защититься от вредоносных программ. Технологии, позволяющие предотвратить установку нежелательного программного обеспечения, и технологии, позволяющие защититься от несанкционированной передачи личных данных, значительно повышают уровень безопасности и конфиденциальности обозревателя.

Данная глава содержит обзор этих технологий и рекомендации по их настройке, если это необходимо. Эти рекомендации можно реализовать в соответствующих объектах групповой политики, описанных в главе 1 "Реализация основы системы безопасности". Тем не менее, необходимо отметить, что для настройки многих параметров этих технологий нужны данные о конкретной среде. По этой причине большинство рекомендованных значений для этих дополнительных параметров не включены в объекты групповой политики, описанные в предыдущей главе.

Все эти технологии по умолчанию настроены на обеспечение повышенного уровня защиты для компьютеров с операционной системой Windows Vista в среде клиента предприятия (EC). Тем не менее, имеется ряд новых параметров групповой политики, которые можно использовать для настройки поведения и работы этих технологий, чтобы обеспечить лучшую защиту от вредоносных программ в своей среде.

Эта глава состоит из следующих разделов, посвященных новым и усовершенствованным технологиям безопасности в системе Windows Vista и обозревателе Internet Explorer 7:

• Технологии защиты системы Windows Vista.

• Технологии защиты обозревателя Internet Explorer 7.

Примечание.   Чтобы описать конфигурацию по умолчанию для новой установки системы Windows Vista, для каждой из этих областей в главе выделены конкретные параметры групповой политики. Конкретные изменения параметров или рекомендации обозначены символом ‡. Дополнительные сведения о значениях этих параметров см. в приложении А "Параметры групповой политики, связанные с безопасностью".

На этой странице

Технологии защиты системы Windows Vista Технологии защиты обозревателя Internet Explorer 7 Дополнительные сведения

Технологии защиты системы Windows Vista

Система Windows Vista включает в себя несколько новых и усовершенствованных технологий, которые обеспечивают повышенный уровень защиты от вредоносных программ. Вот список этих технологий.

• Контроль учетных записей (UAC).

• Защитник Windows.

• Брандмауэр Windows

• Центр обеспечения безопасности Windows

• Средство удаления вредоносных программ

• Политики ограниченного использования программ

Помимо использования этих технологий защиты необходимо помнить, что для обеспечения безопасности настоятельно рекомендуется входить в систему с учетной записью обычного пользователя. Даже при использовании всех этих технологий, если не защитить пользователей с правами администратора, компьютеры подвергаются риску.

Контроль учетных записей

Система Windows Vista включает в себя функцию контроля учетных записей (UAC), которая предоставляет способ разделить привилегии и задачи обычного пользователя и администратора. Функция контроля учетных записей повышает уровень безопасности, улучшая работу пользователя при использовании учетной записи обычного пользователя. Теперь пользователи могут выполнять больше задач и пользоваться повышенной совместимостью приложений без необходимости входить в систему с привилегиями администратора. Это помогает снизить влияние вредоносных программ, а также предотвратить установку несанкционированного программного обеспечения и внесение в систему несанкционированных изменений.

Примечание.   В предыдущих версиях операционной системы Windows существовала группа "Опытные пользователи", членам которой было разрешено выполнять системные задачи, такие как установка приложений, не имея разрешений администратора. В функции контроля учетных записей группа "Опытные пользователи" не предусмотрена, а разрешения, предоставленные этой группе в системе Windows Vista, удалены. Тем не менее, группу "Опытные пользователи" все еще можно использовать в целях обратной совместимости с другими версиями операционной системы. Для работы с группой "Опытные пользователи" в системе Windows Vista необходимо применить новый шаблон безопасности для изменения разрешений по умолчанию на системные папки и реестр, чтобы предоставить группе "Опытные пользователи" разрешения, эквивалентные разрешениям для этой группы в Windows XP.

В системе Windows Vista обычные пользователи могут теперь выполнять множество задач, которые ранее требовали прав администратора, но не влияли на безопасность отрицательным образом. Примеры задач, которые теперь могут выполнять обычные пользователи: изменение параметров часового пояса, подключение к защищенной беспроводной сети и установка одобренных устройств и элементов управления Microsoft ActiveX®.

Более того, режим одобрения администратором в технологии контроля учетных записей также позволяет защитить компьютеры с операционной системой Windows Vista от некоторых типов вредоносных программ. По умолчанию администраторы могут запускать большинство программ и задач с привилегиями обычного пользователя. Когда пользователям требуется выполнить административные задачи, такие как установка нового программного обеспечения или изменение определенных системных параметров, система запрашивает их согласие на выполнение подобных задач. Тем не менее, этот режим не обеспечивает такой же уровень защиты, как использование учетной записи обычного пользователя и не гарантирует, что вредоносная программа, уже находящаяся на клиентском компьютере, не сможет замаскироваться под программное обеспечение, требующее повышенных привилегий. Этот режим также не гарантирует, что программное обеспечение с повышенными привилегиями само по себе не начнет выполнять вредоносные действия после повышения привилегий.

Чтобы воспользоваться преимуществами этой технологии, необходимо настроить новые параметры групповой политики в системе Windows Vista для управления поведением функции контроля учетных записей. Параметры групповой политики, описанные в предыдущей главе, настраиваются для обеспечения предписанного поведения функции контроля учетных записей. Тем не менее, корпорация Майкрософт рекомендует пересмотреть предписанные значения для этих параметров, описанные в приложении А "Параметры групповой политики, связанные с безопасностью", чтобы убедиться в том, что они оптимально настроены для удовлетворения потребностей среды.

Оценка риска

Пользователи с привилегиями администратора входят в систему с включенными административными возможностями. Это может привести к случайному или злонамеренному выполнению административных задач без ведома пользователя. Пример.

• Пользователь неосознанно загружает и устанавливает вредоносную программу с вредоносного или зараженного веб-узла.

• Пользователя обманным путем заставляют открыть вложение сообщения электронной почты, содержащее вредоносную программу, которая запускается и, возможно, устанавливает себя на компьютер.

• В компьютер вставляется съемный диск, а функция автоматического воспроизведения автоматически пытается запустить вредоносную программу.

• Пользователь устанавливает неподдерживаемые приложения, которые могут оказать влияние на производительность или надежность компьютеров.

Снижение рисков

Рекомендуемый подход к снижению рисков заключается в том, чтобы все пользователи входили в систему, используя для повседневных задач учетную запись обычного пользователя. Пользователям следует повышать уровень привилегий до уровня учетной записи администратора только для задач, которые требуют такого уровня доступа. Также убедитесь в том, что функция контроля учетных записей включена и выводит запрос при попытке выполнить пользователем задачу, которая требует привилегий администратора.

Сведения о снижении рисков

Функция контроля учетных записей позволяет снизить риски, описанные в предыдущем разделе "Оценка риска". Тем не менее, необходимо учитывать следующее:

• Если в компании есть собственные разработчики приложений, корпорация Майкрософт рекомендует им загрузить и прочитать статью Требования к разработке приложений для системы Windows для обеспечения совместимости с функцией контроля учетных записей (на английском языке). В этом документе описывается процесс проектирования и разработки приложений для системы Windows Vista, совместимых с функцией контроля учетных записей.

• Функция контроля учетных записей может создавать проблемы при работе несовместимых с ней приложений. По этой причине перед развертыванием приложений необходимо протестировать их с функцией контроля учетных записей. Дополнительные сведения о тестировании совместимости приложений см. на веб-узле Развертывание настольных приложений в сети Microsoft TechNet®.

• Функция контроля учетных записей запрашивает учетные данные администратора и согласие пользователя на повышение привилегий. Это увеличивает количество действий, которые необходимо выполнить для завершения многих стандартных задач администрирования. Следует оценить влияние увеличения количества действий на работу административного персонала. Дополнительные запросы функции контроля учетных записей оказывают значительное влияние на работу этих пользователей, поэтому параметру политики контроля учетных записей Behavior of the elevation prompt for administrators in Admin Approval Mode (Поведение запроса повышения привилегий для администраторов в режиме одобрения администратором) можно присвоить значение Elevate without prompting (Повышать привилегии без запроса). Тем не менее, изменение этой политики может повысить риск для среды, и центр обеспечения безопасности Windows сообщит об этом.

• Пользователь с привилегиями администратора может отключить режим одобрения администратором, отключить вывод функцией контроля учетных записей запроса на ввод учетных данных для установки приложений и изменить поведение запроса на повышение привилегий. По этой причине важно контролировать количество пользователей, имеющих доступ к привилегиям администратора на компьютерах в организации.

• Корпорация Майкрософт рекомендует назначить две учетных записи для административного персонала. Для повседневных задач эти сотрудники должны использовать учетную запись обычного пользователя. При необходимости выполнить специфические задачи администрирования этим сотрудникам следует войти в систему с учетной записью уровня администратора, выполнить задачи и выйти из системы, чтобы вернуться к учетной записи обычного пользователя.

• Параметры групповой политики в этом руководстве запрещают обычному пользователю повышать привилегии. Такой подход является рекомендуемым, поскольку гарантирует, что задачи администрирования могут выполняться только с учетными записями, которые специально были настроены на уровень администратора.

• Если приложение неправильно определено как приложение администратора или пользователя (например, с помощью маркера "администратор" или "обычный"), система Windows Vista может запустить приложение в неверном контексте безопасности.

Процедура снижения рисков

Начните процесс снижения рисков с изучения всех возможностей функции контроля учетных записей. Дополнительные сведения см. в Пошаговом руководстве по функции контроля учетных записей в системе Windows Vista и в руководстве Приступая к работе с функцией контроля учетных записей в системе Windows Vista.

Использование процедуры снижения рисков

1. Определите количество пользователей, способных выполнять задачи администрирования.

2. Определите, как часто необходимо выполнять задачи администрирования.

3. Определите, следует ли администраторам выполнять задачи администрирования путем простого согласия в ответ на запрос функции контроля учетных записей или для выполнения задач администрирования им необходимо будет вводить определенные учетные данные.

4. Определите, следует ли обычным пользователям иметь возможность повышения привилегий для выполнения задач администрирования. Параметры политики, описанные в данном руководстве, блокируют возможность повышения своих привилегий обычными пользователями.

5. Определите, каким образом будет проходить процесс установки приложений.

6. Настройте параметры групповой политики контроля учетных записей в соответствии со своими требованиями.

Использование групповой политики, чтобы снизить риски для функции контроля учетных записей

Параметры контроля учетных записей можно настроить в следующем местоположении редактора объектов групповой политики:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии, в системе Windows Vista.

Таблица 2.1. Параметры контроля учетных записей

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
Admin Approval Mode for the Built-in Administrator account (Режим одобрения администратором для встроенной учетной записи администратора)	Этот параметр безопасности определяет поведение режима одобрения администратором для встроенной учетной записи администратора.	Отключен ‡
Behavior of the elevation prompt for administrators in Admin Approval Mode (Поведение запроса повышения привилегий для администраторов в режиме одобрения администратором)	Этот параметр безопасности определяет, выводится ли запрос повышения привилегий для администраторов.	Запрос согласия ‡
Behavior of the elevation prompt for standard users (Поведение запроса повышения привилегий для обычных пользователей)	Этот параметр безопасности определяет, выводится ли запрос повышения привилегий для обычных пользователей.	Запрос учетных данных ‡
Detect application installations and prompt for elevation (Обнаруживать попытки установки приложений и запросы повышения привилегий)	Этот параметр безопасности определяет поведение функции обнаружения установки приложений для всей системы.	Включен
Only elevate executables that are signed and validated (Повышать привилегии только для подписанных и проверенных EXE-файлов)	Этот параметр безопасности принудительно включает проверку подписи инфраструктуры открытых ключей (PKI) для любого интерактивного приложения, которое требует повышения привилегий. Администраторы предприятия могут контролировать список приложений, разрешенных администратором, с помощью сертификатов в хранилище надежных издателей локальных компьютеров.	Отключен
Only elevate UIAccess applications that are installed in secure locations (Повышать привилегии только для приложений UIAccess, установленных в безопасные местоположения)	Этот параметр безопасности принудительно устанавливает требование, согласно которому приложения, требующие выполнения с уровнем целостности UIAccess, должны находиться в безопасном местоположении файловой системы.	Включен
Run all administrators in Admin Approval Mode (Запускать все учетные записи администраторов в режиме одобрения администратором)	Этот параметр безопасности определяет поведение политик контроля учетных записей для всей системы.	Включен
Switch to the secure desktop when prompting for elevation (При запросе повышения привилегий переключаться на безопасный рабочий стол)	Этот параметр безопасности определяет, будет ли запрос на повышение полномочий отображаться на интерактивном рабочем столе пользователей или на безопасном рабочем столе.	Включен
Virtualize file and registry write failures to per-user locations (Виртуализировать ошибки записи в файл и реестр в местоположения для каждого пользователя)	Этот параметр безопасности включает перенаправление ошибок записи устаревших приложений в определенные местоположения как в реестре, так и в файловой системе.	Включен

В данной таблице приведено краткое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. Пользовательский интерфейс учетных данных контроля учетной записи можно настроить в следующем местоположении в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Интерфейс учетных данных** В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии, в системе Windows Vista. **Таблица 2.2. Параметры пользовательского интерфейса учетных данных функции контроля учетных записей**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
Enumerate administrator accounts on elevation (Перечислить учетные записи администраторов при повышении привилегий)	При попытке пользователей повысить привилегии запущенного приложения по умолчанию отображаются все учетные записи администраторов. Если этот параметр включен, пользователям необходимо всегда вводить имя пользователя и пароль для повышения их привилегий.	Не задан ‡
Require trusted path for credential entry (Требовать надежный путь для записи учетных данных)	Если этот параметр включен, система Windows Vista требует, чтобы пользователь вводил учетные данные, используя надежный путь, чтобы программа типа "Троянский конь" или другие типы вредоносного кода не смогли получить учетные данные пользователя Windows. Эта политика влияет только на задачи администрирования, не связанные со входом в систему. В целях безопасности эту политику следует включить.	Не задан ‡

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. Параметры службы установщика ActiveX можно настроить в следующем местоположении редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Служба установщика ActiveX** В следующей таблице приведены сведения по параметрам безопасности, относящимся к службе установщика ActiveX в системе Windows Vista. **Таблица 2.3. Служба установщика ActiveX**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
Approved Installation Sites for ActiveX Controls (Веб-узлы, одобренные для установки элементов управления ActiveX)	Этот параметр позволяет администратору разрешить учетной записи обычного пользователя устанавливать элементы управления ActiveX из списка веб-узлов, одобренных для установки элементов управления ActiveX.	Не задан

В данной таблице приведено простое описание для этого параметра. Дополнительные сведения об этом параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. #### Защитник Windows. Защитник Windows — это программа, входящая в систему Windows Vista, также доступная для загрузки в системе Windows XP. Она позволяет защитить компьютеры от всплывающих окон, низкой производительности и угроз безопасности, вызванных программами-шпионами и иным нежелательным программным обеспечением. Защитник Windows осуществляет наблюдение в режиме реального времени за важными контрольными точками операционной системы Windows Vista, которые являются целью подобного нежелательного программного обеспечения, например, за папкой "Автозагрузка" и записями автозагрузки в реестре. Защитник Windows позволяет обнаружить и удалить нежелательные приложения, такие как программы для показа рекламы, клавиатурные шпионы и программы-шпионы. Если программа пытается изменить защищенную область в системе Windows Vista, Защитник Windows предложит пользователю либо принять, либо отклонить изменение, чтобы защититься от установки программы-шпиона. Подобное наблюдение повышает надежность компьютеров с операционной системой Windows Vista и обеспечивает дополнительную защиту конфиденциальности пользователя. Защитник Windows включен по умолчанию в системе Windows Vista, и хотя данная технология обеспечивает улучшенную защиту от программ-шпионов, ее также можно использовать совместно с продуктами сторонних производителей для защиты компьютера. Для обеспечения лучшей защиты от вредоносного программного обеспечения корпорация Майкрософт настоятельно рекомендует клиентам также развернуть совместно с Защитником Windows полноценное антивирусное решение. Чтобы управлять поведением Защитника Windows, можно настроить в системе Windows Vista новые параметры групповой политики. Среди параметров групповой политики, описанных в предыдущей главе, нет параметров, изменяющих поведение Защитника Windows по умолчанию, поскольку значения этих параметров зависят от требований конкретной среды. ##### Сообщество Microsoft SpyNet Microsoft SpyNet — это интернет-сообщество, помогающее пользователю компьютера выбрать способ реакции на потенциальные угрозы со стороны программ-шпионов. Сообщество также позволяет остановить распространение заражения новыми программами-шпионами. При обнаружении Защитником Windows программ, еще не классифицированных по степени риска, или изменений, внесенных такими программами, можно посмотреть, как другие члены сообщества реагируют на эту угрозу. В свою очередь, предпринимаемые вами действия помогают другим членам сообщества выбрать способ реагирования. Ваши действия также помогают корпорации Майкрософт выбрать, какое программное обеспечение необходимо исследовать на наличие потенциальных угроз. Можно выбрать отправку базовых или дополнительных сведений об обнаруженном программном обеспечении. Дополнительные сведения позволяют улучшить работу Защитника Windows. Например, технология может включать поиск обнаруженных элементов на компьютере при удалении вредоносного программного обеспечения. В этих случаях, Защитник Windows будет автоматически собирать и отправлять сведения сообществу. ##### Оценка риска Программы-шпионы представляют ряд серьезных угроз организации, которые необходимо устранить, чтобы гарантировать безопасность данных и компьютеров. Наиболее общие риски, которые программы-шпионы представляют для организации, включают в себя следующее. - Конфиденциальные бизнес-данные, которые могут попасть в руки неавторизованных пользователей. - Личные данные сотрудников, которые могут попасть в руки неавторизованных пользователей. - Использование уязвимости компьютера злоумышленником. - Потеря производительности из-за влияния программ-шпионов на стабильность работы компьютера. - Увеличение стоимости технической поддержки вследствие заражения программами-шпионами. - Потенциальный риск шантажа компании в случае раскрытия конфиденциальных данных в результате заражения. ##### Снижение рисков Защитник Windows разработан для снижения рисков, связанных с программами-шпионами. Постоянные обновления данной технологии выполняются автоматически через Центр обновления Windows или службы Microsoft Windows Server Update Services (WSUS). В дополнение к защите от программ-шпионов, обеспечиваемой Защитником Windows, корпорация Майкрософт настоятельно рекомендует установить антивирусный пакет, позволяющий улучшить защиту, обнаруживая помимо программ-шпионов также вирусы, программы типа "Троянский конь" и вирусы-черви. Например, такие продукты как Microsoft Forefront Client Security, обеспечивают универсальную защиту от вредоносных программ для настольных компьютеров, переносных компьютеров и серверных операционных систем организации. ##### Условия для снижения рисков Защитник Windows включен по умолчанию в системе Windows Vista. Эта технология разработана с учетом потребления минимума системных ресурсов для работы на компьютерах, аппаратные возможности которых ниже среднего уровня. Тем не менее, в процессе развертывания системы Windows Vista организациям следует принять во внимание следующие рекомендации. - Протестируйте взаимодействие со всеми антивирусными и антишпионскими сканерами сторонних производителей, которые предполагается использовать в организации. - Создайте систему управления развертыванием обновлений с определением подписей в случае, если в организации имеется большое количество компьютеров. - Дайте пользователям представление о наиболее распространенных способах, используемых программами-шпионами, для того чтобы обманным путем заставить запустить вредоносную программу. - Запланируйте время сканирования, соответствующее потребностям организации. Значение по умолчанию — ежедневно, в 2:00. Если невозможно выполнить сканирование компьютера в это время, пользователь получит уведомление и запрос на запуск сканирования. Если сканирование не выполнялось за последние два дня, оно начнется приблизительно через 10 минут после следующего запуска компьютера. Это сканирование выполняется с низким приоритетом и практически не оказывает влияния на клиентскую систему. Благодаря улучшению производительности операций ввода-вывода в системе Windows Vista, это сканирование с низким приоритетом значительно меньше влияет на систему, чем в системе Windows XP. - Защитник Windows не является антишпионским приложением для крупных организаций. В нем отсутствуют механизмы централизованного создания отчетов, наблюдения и управления бизнес-класса. Если требуются дополнительные возможности создания отчетов или контроля, необходимо изучить другие продукты, такие как Microsoft Forefront Client Security. - Определите политику своей организации в отношении отправки отчетов о возможных программах-шпионах в интернет-сообщество Microsoft SpyNet. ##### Процедура снижения рисков Поскольку Защитник Windows является компонентом системы по умолчанию, для его включения не требуется никаких дополнительных действий. Тем не менее, корпорация Майкрософт рекомендует выполнить ряд дополнительных действий, гарантирующих безопасность организации. **Использование процедуры снижения рисков** 1. Изучите возможности системы Windows Vista и Защитника Windows, связанные с защитой от программ-шпионов. 2. Изучите параметры групповой политики для Защитника Windows. 3. Проанализируйте необходимость дополнительной защиты организации от вирусов. 4. Составьте план оптимального процесса обновления для компьютеров в организации. Возможно, что для переносных компьютеров потребуется иная конфигурация обновлений, чем для настольных компьютеров. 5. Научите пользователей самостоятельно определять подозрительные действия компьютера. 6. Обучите сотрудников службы поддержки использовать средства Защитника Windows для оказания помощи при обращениях в службу. ###### Использование групповой политики для снижения рисков для Защитника Windows Доступные параметры Защитника Windows можно просмотреть и настроить в следующем местоположении редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Защитник Windows** **Таблица 2.4. Параметры управления Защитником Windows**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
Включить обновление определений через WSUS и Центр обновления Windows	Этот параметр позволяет настроить Защитник Windows на проверку и установку обновлений определений через Центр обновлений Windows, если локально управляемый сервер Windows Server Update Services (WSUS) недоступен.	Не задан
Проверить наличие обновлений подписей перед выполнением запланированного сканирования	Если этот параметр включен, перед запланированным сканированием компьютера будет выполнена проверка на наличие новых подписей. Если этому параметру присвоено значение Отключен или Не задан, запланированное сканирование начнется без загрузки новых подписей.	Не задан
Отключить Защитник Windows	Значение данного параметра по умолчанию обеспечивает защиту системы Защитником Windows в режиме реального времени.	Не задан
Отключить запросы защиты в режиме реального времени при обнаружении неизвестной активности	Этот параметр определяет, будет ли Защитник Windows предлагать пользователям разрешить или заблокировать неизвестную активность.	Не задан
Включить ведение журнала известных надежных программ	Этот параметр позволяет записывать в журнал данные обнаружения в процессе защиты в режиме реального времени при обнаружении Защитником Windows известных надежных файлов. Ведение журнала обнаружений обеспечивает подробные сведения о программах, запущенных на наблюдаемых компьютерах.	Не задан
Включить ведение журнала неизвестных программ	Этот параметр позволяет записывать в журнал обнаружения в процессе защиты в режиме реального времени при обнаружении Защитником Windows неизвестных файлов. Ведение журнала обнаружений обеспечивает подробные сведения о программах, запущенных на наблюдаемых компьютерах.	Не задан
Загружать полный набор подписей	Этот параметр включает загрузку полного набора подписей, а не только подписей, обновленных с момента последней загрузки. Загрузка полного набора подписей может помочь решить проблемы с их установкой, но большой размер файла может потребовать больше времени для загрузки.	Не задан
Настроить создание отчетов для Microsoft SpyNet	Этот параметр позволяет настроить членство в интернет-сообществе Microsoft SpyNet.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. #### Брандмауэр Windows Персональный брандмауэр является важнейшей линией защиты от многих видов вредоносных программ. Как и брандмауэр в ОС Windows XP с пакетом обновления 2 (SP2) брандмауэр в системе Windows Vista включен по умолчанию для защиты компьютера пользователя сразу после запуска операционной системы. Брандмауэр Windows в системе Windows Vista включает фильтрацию входящего и исходящего трафика для защиты пользователей путем ограничения ресурсов операционной системы, ведущих себя непредусмотренным образом. Брандмауэр также интегрируется с функцией осведомленности о состоянии сети системы Windows Vista, что позволяет применять специализированные правила в зависимости от местонахождения клиентского компьютера. Например, если переносной компьютер расположен в сети организации, правила брандмауэра могут быть определены администратором доменной сетевой среды в соответствии с требованиями к безопасности этой сети. Тем не менее, если пользователь пытается подключить тот же самый переносной компьютер к Интернету через публичную сеть, например, бесплатную точку подключения к беспроводной сети, автоматически будет использован другой набор правил брандмауэра, гарантирующий, что компьютер будет защищен от атаки. Кроме того, впервые для операционной системы Windows система Windows Vista интегрирует управление брандмауэром с IPsec (Internet Protocol security). В системе Windows Vista IPsec и управление брандмауэром интегрированы в одну консоль — консоль брандмауэра Windows в режиме повышенной безопасности. Эта консоль позволяет централизованно управлять фильтрацией входящего и исходящего трафика и параметрами изоляции сервера и домена IPsec с помощью пользовательского интерфейса для упрощения настройки и уменьшения количества конфликтов политик. ##### Оценка риска Подключение к сети является жизненно важным требованием в современном бизнесе. Тем не менее, такое подключение также является основной целью злоумышленников. Угрозы, связанные с подключением, необходимо устранить, чтобы гарантировать безопасность данных и компьютеров. Наиболее известные угрозы для организации, связанные с сетевыми атаками, включают в себя следующее. - Компьютер, используемый злоумышленником, который может впоследствии получить к этому компьютеру доступ с правами администратора. - Приложения для сканирования сети, которые злоумышленник может использовать для обнаружения открытых сетевых портов, позволяющих провести атаку. - Конфиденциальные бизнес-данные, которые могут стать доступными неавторизованным пользователям, если программа типа "Троянский конь" сможет открыть несанкционированное сетевое подключение между клиентским компьютером и компьютером злоумышленника. - Переносные компьютеры, которые могут подвергнуться сетевым атакам при нахождении за пределами сетевого брандмауэра организации. - Компьютеры во внутренней сети, которые могут подвергнуться сетевой атаке с уязвимого компьютера, подключенного напрямую к внутренней сети. - Потенциальный риск шантажа организации в случае успешного использования злоумышленником внутренних компьютеров. ##### Снижение рисков Брандмауэр в системе Windows Vista обеспечивает защиту клиентского компьютера с момента установки операционной системы. Брандмауэр блокирует большую часть нежелательного входящего трафика, если администратором или параметрами групповой политики не были внесены изменения. Брандмауэр Windows также включает фильтрацию исходящего сетевого трафика, и изначально это правило установлено на значение "Разрешить" для всего исходящего сетевого трафика. Параметры групповой политики можно использовать для настройки этих правил в брандмауэре Windows Vista, чтобы гарантировать, что параметры безопасности клиента останутся постоянными. ##### Условия для снижения рисков Имеется ряд вопросов, которые следует учесть, если планируется использовать брандмауэр в системе Windows Vista. - Протестируйте взаимодействие с приложениями, которые необходимо использовать на компьютерах в организации. Для каждого приложения необходимо составить список требований к сетевым портам, чтобы гарантировать, что в брандмауэре Windows будут открыты только необходимые порты. - Брандмауэр Windows XP поддерживает доменный и стандартный профили. Профиль домена активен, если клиент подключен к сети, которая содержит контроллеры домена для домена, в котором находится учетная запись компьютера. Это позволяет создавать правила в соответствии с требованиями внутренней сети организации. Брандмауэр Windows Vista включает частный и общий профили, обеспечивающие более точное управление защитой клиентского компьютера при работе пользователя за пределами сетевой защиты организации. - Оцените возможности ведения журнала брандмауэра Windows для определения возможности его интеграции в существующие решения предприятия по созданию отчетов и наблюдению. - По умолчанию брандмауэр Windows блокирует удаленный контроль или удаленное управление компьютерами с операционной системой Windows Vista. Корпорация Майкрософт создала ряд правил для брандмауэра Windows, предназначенных специально для выполнения подобных удаленных задач. Для того чтобы компьютеры организации поддерживали выполнение подобных задач, необходимо включить соответствующие правила для каждого профиля, в котором требуется выполнение этих задач. Например, можно включить правило удаленного рабочего стола для профиля домена, чтобы позволить своей справочной службе поддерживать пользователей в сети организации, но отключить его для частного и общего профилей, чтобы сократить возможности для атаки на компьютеры, когда они находятся за пределами сети организации. ###### Снижение рисков с помощью брандмауэра Windows в режиме повышенной безопасности Система Windows Vista включает новые параметры групповой политики и пользовательский интерфейс управления, которые помогают настраивать новые функции в брандмауэре Windows Vista. Расширенные параметры безопасности для системы Windows Vista не применяются к клиентскому компьютеру с операционной системой Windows XP. Корпорация Майкрософт рекомендует тщательно изучить эти новые возможности, чтобы определить, смогут ли они обеспечить лучшую безопасность среды. Если планируется изменить действия брандмауэра Windows Vista, выполняемые по умолчанию, корпорация Майкрософт рекомендует использовать для управления клиентскими компьютерами с операционной системой Windows Vista параметры групповой политики брандмауэра Windows в режиме повышенной безопасности. Новые параметры групповой политики и оснастку управления, доступные для брандмауэра Windows, можно изучить и настроить в следующем местоположении редактора объектов групповой политики: **Конфигурация компьютера\\Параметры Windows\\Параметры безопасности\\Брандмауэр Windows в режиме повышенной безопасности** Брандмауэр Windows в режиме повышенной безопасности поддерживает следующие профили среды. - **Профиль домена**. Этот профиль применяется, если компьютер подключен к сети и проходит проверку подлинности на контроллере домена, которому принадлежит компьютер. - **Общий профиль**. Данный профиль является типом сетевого местоположения по умолчанию в случае, если компьютер не подключен к домену. Параметры общего профиля должны максимально ограничивать доступ, поскольку компьютер подключен к общедоступной сети, безопасность которой нельзя контролировать так же жестко, как в ИТ-среде. - **Частный профиль**. Этот профиль применяется только в случае, если пользователь с привилегиями локального администратора назначает его сети, которая до этого была общей. Корпорация Майкрософт рекомендует делать это только при работе в надежной сети. Важно понимать, что одновременно активен только один профиль. Если на компьютере установлено несколько сетевых плат, и они подключены к разным сетям, выбор применяемого профиля осуществляется следующим образом. 1. Если все сетевые платы подключены к сети с доменами, примените профиль домена. 2. Если все сетевые платы подключены к частной сети, примените частный профиль. 3. Если одна из плат подключена к общей сети, примените общий профиль. Корпорация Майкрософт рекомендует включить брандмауэр Windows в режиме повышенной безопасности для всех трех профилей. Помимо расширенных правил брандмауэра Windows, он также поддерживает правила безопасности подключения. Безопасность подключения включает проверку подлинности двух компьютеров перед началом их взаимодействия и обеспечение безопасности данных, пересылаемых между двумя компьютерами. Брандмауэр Windows в режиме повышенной безопасности включает технологию IPsec для поддержки обмена ключами, проверки подлинности, целостности данных, а также шифрования данных (дополнительно). Дополнительные сведения см. на ресурсе [IPsec](http://www.microsoft.com/technet/itsolutions/network/ipsec/) веб-узла Microsoft TechNet. В приложении А "Параметры групповой политики, связанные с безопасностью" описываются все исходные параметры брандмауэра Windows в режиме повышенной безопасности и поясняется, какие параметры требуют специфичные для среды сведения. #### Центр обеспечения безопасности Windows Центр обеспечения безопасности Windows (WSC) работает в фоновом режиме на клиентских компьютерах с операционными системами Windows Vista и Windows XP с пакетом обновления 2 (SP2). В системе Windows Vista эта функция постоянно проверяет и отображает состояние четырех важных категорий безопасности. - Брандмауэр - Функция автоматического обновления - Защита от вредоносных программ - Другие параметры безопасности Центр обеспечения безопасности Windows также служит отправной точкой для доступа к другим областям компьютера, относящимся к безопасности, и обеспечивает единое место для поиска связанных с безопасностью ресурсов и поддержки. Например, центр обеспечения безопасности Windows содержит ссылку, позволяющую пользователям, не имеющим антивирусного программного обеспечения, просмотреть предложения поставщиков антивирусных решений, совместимых с центром обеспечения безопасности Windows. Корпорация Майкрософт улучшила центр обеспечения безопасности Windows в системе Windows Vista, включив в него категорию "Другие параметры безопасности". Эта категория отображает состояние параметров безопасности обозревателя Internet Explorer и функции управления учетными записями пользователей. Другая новая категория в системе Windows Vista — это "Защита от вредоносных программ", которая включает наблюдение за антивирусным и антишпионским программным обеспечением. Помимо защиты, обеспечиваемой системой Windows Vista по умолчанию, центр обеспечения безопасности Windows позволяет осуществлять наблюдение за решениями различных производителей по обеспечению безопасности для брандмауэра Windows, а также антивирусным и антишпионским программным обеспечением, запущенном на клиентском компьютере, и отображать, какие из решений включены и обновлены. Для клиентских компьютеров с операционной системой Windows Vista центр обеспечения безопасности Windows предоставляет прямые ссылки на ПО поставщиков, которое можно использовать для устранения возникающих проблем с компьютером. Например, если антивирусное или антишпионское решение стороннего производителя отключено или устарело, в центре обеспечения безопасности Windows имеется кнопка, нажав на которую, можно запустить на компьютере решение производителя для устранения проблемы. Кроме того, центр обеспечения безопасности Windows содержит ссылки на веб-узел производителя, которые можно использовать для запуска или обновления подписки или получения обновлений. Осведомленность об отключении или устаревании программ для обеспечения безопасности и возможность легко загрузить обновления может означать разницу между максимально возможной защитой и уязвимостью для вредоносных программ. Центр обеспечения безопасности Windows запускается по умолчанию на компьютерах с операционной системой Windows Vista. Параметры групповой политики, описанные в предыдущей главе, не содержат параметров, изменяющих поведение центра обеспечения безопасности Windows по умолчанию. Тем не менее, администраторы могут использовать групповую политику для включения или отключения клиентского пользовательского интерфейса центра обеспечения безопасности Windows на компьютерах, подключенных к домену. Доступные параметры групповой политики центра обеспечения безопасности Windows можно просмотреть и настроить в следующем местоположении редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Центр обеспечения безопасности** Файл шаблона Securitycenter.admx содержит сведения о настройке XML для этого параметра политики. В следующей таблице содержится описание этой настройки. **Таблица 2.5. Настройка центра обеспечения безопасности Windows**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
Включить центр обеспечения безопасности Windows (только для компьютеров, входящих в домен)	Этот параметр указывает, включен ли или отключен центр обеспечения безопасности на компьютерах пользователей, входящих в домен, использующий Active Directory. Если для этого параметра оставить значение по умолчанию "Не задан", центр обеспечения безопасности будет отключен для компьютеров, являющихся членами домена.	Не задан

В данной таблице приведено простое описание для этого параметра. Дополнительные сведения об этом параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. #### Средство удаления вредоносных программ Средство удаления вредоносных программ Microsoft Windows предназначено для удаления вредоносных программ с зараженных компьютеров. Каждый месяц корпорация Майкрософт выпускает новую версию данного средства через Центр обновления Microsoft, Центр обновления Windows, WSUS и Центр загрузки Microsoft. Поскольку средство удаления вредоносных программ не является полнофункциональным антивирусным продуктом, корпорация Майкрософт настоятельно рекомендует пользователям установить антивирусное программное обеспечение, которое будет постоянно обнаруживать и удалять вирусы. Это средство сканирует компьютер в фоновом режиме и создает отчет, если находит какое-либо заражение. Оно не устанавливается в проверяемую операционную систему. Средство удаления вредоносных программ не имеет параметров групповой политики в системе Windows Vista. ##### Оценка риска В дополнение к службам защиты, входящим в систему Windows Vista корпорация Майкрософт рекомендует установить на всех компьютерах антивирусные программы, работающие в режиме реального времени. Тем не менее, даже после принятия этих мер защиты для организации существуют два вида опасности. - Отдельные виды вредоносных программ могут не обнаруживаться установленной антивирусной программой, работающей в режиме реального времени. - Вредоносная программа может отключить установленную антивирусную программу, работающую в режиме реального времени. В этих случаях средство удаления вредоносных программ обеспечивает дополнительную защиту, обнаруживая и удаляя наиболее распространенные вредоносные программы. ##### Снижение рисков Чтобы уменьшить опасность возникновения описанных выше ситуаций, корпорация Майкрософт рекомендует включить на клиентских компьютерах службу автоматических обновлений, чтобы средство удаления вредоносных программ автоматически загружалось и запускалось по мере выпуска. Перед использованием этого средства в своей среде ознакомьтесь со следующими рекомендациями для его успешного развертывания. - Средство удаления вредоносных программ имеет размер около 4 МБ. Это может повлиять на скорость соединения с Интернетом в организации, если большое количество клиентских компьютеров будет загружать его одновременно. - Средство первоначально предназначалось для индивидуальных пользователей, на компьютерах которых не установлено новейшее антивирусное программное обеспечение. Однако его можно также использовать и на предприятии как часть стратегии всесторонней защиты, чтобы усовершенствовать существующую политику обеспечения безопасности. Для развертывания средства на предприятии можно применить один или несколько из следующих методов. - Службы обновления Windows Server Update Services. - Пакет программного обеспечения SMS. - Сценарий для запуска компьютера на основе групповой политики. - Сценарий входа пользователей в систему на основе групповой политики. Корпорация Майкрософт рекомендует ознакомиться со статьей 891716 базы знаний Майкрософт [Развертывание средства удаления вредоносных программ Microsoft Windows в среде предприятия](http://support.microsoft.com/default.aspx?kbid=891716). - Как правило, при запуске средства удаления вредоносных программ Microsoft Windows на корневом диске компьютера создается временная папка со случайно выбранным названием. В нее будут помещены несколько файлов, включая файл Mrtstub.exe. В большинстве случаев папка автоматически удаляется после окончания работы средства или после следующей перезагрузки компьютера. Но иногда этого не происходит. В этом случае можно удалить данную папку вручную без каких-либо последствий для компьютера. - Пользователь может войти в систему во время работы средства удаления вредоносных программ в фоновом режиме. (Средство может быть запущено в ходе процедуры развертывания, при которой используются службы Windows Server Update Services.) В этом случае система Windows может сообщить, что текущий профиль пользователя поврежден, в связи с чем создается новый профиль. Чтобы решить эту проблему, можно удалить новый профиль. Пользователь может еще раз войти в систему в то время, когда средство не будет запущено. Подобная проблема чаще всего возникает на компьютерах под управлением системы Windows 2000. ##### Процедура снижения рисков Для эффективной работы средства удаления вредоносных программ используйте следующую процедуру. **Использование процедуры снижения рисков** 1. Изучите возможности средства удаления вредоносных программ. Дополнительные сведения см. на веб-странице [средства удаления вредоносных программ](http://www.microsoft.com/security/malwareremove/default.mspx). 2. Оцените необходимость использования средства в вашей среде. 3. Определите наиболее подходящий способ развертывания средства в вашей организации. 4. Выделите компьютеры в организации, которые получат преимущества от защиты, предлагаемой данным средством. 5. Проведите развертывание средства выбранным способом. #### Политики ограниченного использования программ Политики ограниченного использования программ дают возможность администраторам определять приложения и контролировать возможность их запуска на локальных компьютерах. Эта функция способствует защите компьютеров под управлением систем Windows Vista и Windows XP Professional от известных конфликтов, а также помогает обезопасить их от вредоносного программного обеспечения, например, от вирусов и программ типа "Троянский конь". Политики ограниченного использования программ полностью интегрируются со службой каталогов Active Directory и групповой политикой. Эту функцию также можно использовать и на автономных компьютерах. С помощью политик ограниченного использования программ можно выполнять следующие действия: - контролировать, какое программное обеспечение может быть запущено на клиентских компьютерах в конкретной среде; - ограничивать доступ к определенным файлам на многопользовательских компьютерах; - решать, кто именно может пополнять список заслуживающих доверия издателей на клиентских компьютерах; - определять, действуют ли политики для всех пользователей клиентских компьютеров или только для некоторых из них; - предотвратить запуск EXE-файлов на локальных компьютерах на основании политик, установленных на уровне компьютера, подразделения организации (OU), узла и домена. **Важно.**   Необходимо тщательно проверить все параметры политик, упомянутые в данном руководстве, перед развертыванием их в производственной среде. Особое внимание этому нужно уделить при настройке параметров политик ограниченного использования программ. Ошибки, допущенные при планировании или внедрении этой функции, могут привести к значительному ухудшению качества работы пользователей. Политики ограниченного использования программ не подверглись существенным изменениям в системе Windows Vista. Поэтому они не описываются отдельно в данном руководстве. Дополнительные сведения о разработке и внедрении данных политик см. на странице [Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения](http://www.microsoft.com/technet/windowsvista/security/rstrplcy.mspx) на веб-узле TechNet. [](#mainsection)[К началу страницы](#mainsection) ### Технологии защиты обозревателя Internet Explorer 7 Вредоносные веб-узлы способны нарушить работу компьютеров. Технологии обозревателя Internet Explorer 7 позволяют предотвратить установку нежелательного программного обеспечения, а также защитить компьютер от несанкционированной передачи личных данных, что позволяет значительно повысить безопасность работы в обозревателе и обеспечить конфиденциальность. Новые технологии безопасности обозревателя Internet Explorer 7 включают в себя следующие функции. - Защищенный режим обозревателя Internet Explorer. - Функция ActiveX Opt-in. - Защита от атак с применением междоменных сценариев. - Строка состояния системы безопасности. - Антифишинг. - Дополнительные функции безопасности. Обозреватель Internet Explorer 7 может работать в системах Windows Vista и Windows XP. При этом в системе Windows Vista у обозревателя Internet Explorer больше возможностей. Например, некоторые функции обозревателя Internet Explorer 7, такие как функция защищенного режима или функция родительского контроля, недоступны на компьютере под управлением системы Windows XP. Кроме того, пользовательский интерфейс Aero в обозревателе Internet Explorer 7 нельзя использовать на компьютерах с ОС Windows XP. #### Защищенный режим обозревателя Internet Explorer. Защищенный режим обозревателя Internet Explorer в ОС Windows Vista обеспечивает дополнительную защиту и более безопасную работу в Интернете. Кроме того, он позволяет предотвратить захват обозревателя злоумышленниками и возможность использования повышенных прав для запуска кода. Благодаря функции защищенного режима уменьшается количество уязвимостей в предыдущих версиях программного обеспечения за счет невозможности автоматической установки вредоносного кода. В защищенном режиме обозревателя в системе Windows Vista используются механизмы с более высоким уровнем целостности, которые ограничивают доступ к процессам, файлам и разделам реестра. Прикладной программный интерфейс защищенного режима позволяет разработчикам программного обеспечения выпускать такие расширения и надстройки, которые могут взаимодействовать с файловой системой и реестром при работе обозревателя в защищенном режиме. В защищенном режиме обозреватель Internet Explorer 7 работает с ограниченными разрешениями, чтобы не допустить внесение изменений в файлы или параметры пользователя или системы без явного согласия пользователя. В новой архитектуре обозревателя также представлен процесс "брокер", позволяющий существующим приложениям выходить из защищенного режима более безопасным способом. Благодаря этому загружаемые данные можно сохранять только в каталогах обозревателя с ограниченными правами, например в папке временных файлов Интернета. Защищенный режим по умолчанию доступен в обозревателе Internet Explorer 7 для всех зон безопасности, кроме зоны надежных узлов. Однако можно отключить этот режим, что понизит уровень общей безопасности. По этой причине параметры групповой политики, описанные в предыдущей главе, включают защищенный режим обозревателя во всех зонах Интернета, за исключением зоны надежных узлов, и предотвращают его отключение пользователями. Посмотреть и изменить параметры групповой политики для защищенного режима обозревателя Internet Explorer 7 можно в следующем разделе в редакторе объектов групповой политики. **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Internet Explorer\\Панель управления обозревателем\\Страница безопасности\\<** ***Зона*>** В следующей таблице содержится описание этой настройки. **Таблица 2.6. Параметр защищенного режима**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
Turn on Protected Mode (Включить защищенный режим) *	Включение этого параметра означает включение защищенного режима, который пользователи отключить не смогут. Отключение этого параметра означает отключение защищенного режима, который пользователи не смогут включить. Если для этого параметра установлено значение Не задано, пользователи смогут его включать и отключать.	Не задан

\* Данная функция работает только в обозревателе Internet Explorer 7 на компьютере под управлением системы Windows Vista. В данной таблице приведено простое описание для этого параметра. Дополнительные сведения об этом параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. Функция защищенного режима доступна в следующих зонах безопасности обозревателя Internet Explorer 7. - Зона "Интернет". - Зона "Интранет". - Зона "Локальный компьютер". - Защищенная зона Интернета. - Защищенная зона интранета. - Защищенная зона локального компьютера. - Защищенная зона ограниченных узлов. - Защищенная зона надежных узлов. - Зона "Ограниченные узлы". - Зона "Надежные узлы". #### Функция ActiveX Opt-in. Обозреватель Internet Explorer 7 в системе Windows Vista предлагает новый мощный механизм обеспечения безопасности для платформы ActiveX, улучшающий защиту пользовательских данных и компьютерных систем. Функция ActiveX Opt-in автоматически отключает все элементы управления, которые пользователь не разрешил явным образом. Это снижает опасность неправильного использования предварительно установленных элементов управления. В системе Windows Vista панель информации запрашивает согласие пользователя перед использованием элементов управления ActiveX, которые были предварительно установлены на компьютере, но еще не включались. Этот механизм оповещения позволяет пользователю разрешать или запрещать применение каждого элемента, что еще более уменьшает область, доступную для атак. Злоумышленники не могут использовать веб-узлы для автоматического запуска атак с помощью элементов ActiveX, не предназначенных для использования в Интернете. #### Защита от атак с применением междоменных сценариев Новые барьеры для междоменных сценариев ограничивают возможности вредоносных веб-узлов использовать уязвимости других узлов. Так, до появления защиты от атак с применением междоменных сценариев во время посещения вредоносного веб-узла могло открыться новое окно обозревателя с надежной веб-страницей (например, с веб-узла банка), на которой пользователя просили ввести данные о счете. Эти данные могли быть извлечены с помощью сценария и впоследствии поступить в распоряжение злоумышленника. С обозревателем Internet Explorer 7 этого не произойдет благодаря защите от атак с применением междоменных сценариев. #### Строка состояния системы безопасности. Новая строка состояния системы безопасности в обозревателе Internet Explorer 7 позволяет быстро отличать подлинные веб-узлы от подозрительных и вредоносных. Чтобы предоставить эти сведения, строка состояния системы безопасности использует расширенные возможности доступа к сведениям о цифровом сертификате, позволяющим определить безопасные веб-узлы (HTTPS). Строка состояния системы безопасности предоставляет более понятные и ясные визуальные сведения, позволяющие определить безопасность и подлинность веб-узлов. Эта технология также поддерживает сведения о сертификатах высокой надежности, чтобы точно определять безопасные веб-узлы (HTTPS), на которых применяются более строгие меры для подтверждения подлинности. #### Антифишинг. Фишинг — это метод, используемый многими злоумышленниками для обмана пользователей с целью раскрытия их личных или финансовых данных посредством сообщения электронной почты или веб-узла. Злоумышленники маскируются под законное лицо или организацию, чтобы получить конфиденциальные сведения, такие как пароль счета или номера кредитных карт. С функцией антифишинга в обозревателе Internet Explorer 7 работа в Интернете становится более безопасной, т. к. пользователь получает сведения о подозрительных и известных поддельных веб-узлах. Содержимое веб-узлов анализируется с целью выявления известных методов фишинга; при этом для определения уровня безопасности веб-узлов используется глобальная сеть источников данных. Создатели мошеннических сообщений электронной почты, рекламных объявлений в Интернете и веб-узлов пользуются такими недостатками современных веб-узлов, как недостаточное взаимодействие и ограниченный обмен данными. Новая функция антифишинга в обозревателе Internet Explorer 7, получающая обновления несколько раз в час с помощью интернет-службы, объединяет новейшие сведения о поддельных веб-узлах и предоставляет их пользователям обозревателя, чтобы заблаговременно предупредить их об опасности и защитить от нее. Функция антифишинга объединяет клиентский поиск характерных особенностей вредоносных веб-узлов и Интернет-службу, запрашивающую подтверждение пользователя. Таким образом, пользователь защищается от фишинг-атак тремя способами. - Во-первых, адреса веб-узлов, которые пользователь намеревается посетить, сверяются с хранящимся на компьютере списком известных надежных узлов. - Во-вторых, веб-узлы проверяются на наличие характерных черт поддельных веб-узлов. - В-третьих, адрес веб-узла, который собирается посетить пользователь, отправляется в Интернет-службу корпорации Майкрософт, которая мгновенно сверяет его с часто обновляемым списком поддельных узлов. Список этих узлов составляется с помощью надежных источников, сообщающих корпорации Майкрософт о том, что эти веб-узлы являются мошенническими. Даже если веб-узел неизвестен службе антифишинга, обозреватель Internet Explorer 7 может проверить деятельность веб-узла и сообщить пользователю о подозрительных действиях (например, о сборе сведений о пользователе при отсутствии сертификата безопасного соединения (SSL). В этом случае с помощью функции антифишинга сбор сведений будет предотвращен прежде, чем веб-узел появится в официальном списке мошеннических веб-узлов. При работе в обозревателе Internet Explorer 7 функция антифишинга по умолчанию настроена таким образом, чтобы пользователь мог включить или отключить ее. В параметрах групповой политики, описанных в предыдущей главе, нельзя изменить это поведение по умолчанию. Тем не менее, администраторы могут контролировать действие функции антифишинга с помощью групповой политики. Просмотреть и настроить параметры групповой политики, касающиеся функции антифишинга, можно в следующем разделе в редакторе объектов групповой политики. **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Internet Explorer** В следующей таблице содержится описание этой настройки. **Таблица 2.7. Настройка параметра антифишинга**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
Turn off Managing Phishing filter (Отключить управление функцией антифишинга)*	Этот параметр позволяет пользователям включить функцию антифишинга, которая будет выдавать предупреждение при попытке посетить мошеннический веб-узел, собирающий личные данные с помощью фишинга. По умолчанию пользователю будет предложено выбрать режим работы функции антифишинга.	Не задан

\* Воспользоваться этим параметром можно, если на компьютере установлен обозреватель Internet Explorer 7 и одна из следующих операционных систем: Windows Vista, Windows XP с пакетом обновления 2 (SP2) или Windows Server 2003 с пакетом обновления 1 (SP1). В данной таблице приведено простое описание для этого параметра. Дополнительные сведения об этом параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. Корпорация Майкрософт рекомендует установить для параметра значение **Включен** и перевести его в **Автоматический** режим работы. Однако администраторы должны знать, что при такой настройке обозреватель автоматически отправляет данные в корпорацию Майкрософт, не запрашивая подтверждения пользователя. #### Дополнительные функции безопасности В обозревателе Internet Explorer имеется набор специальных функций обеспечения безопасности, которые укрепляют защиту от вредоносного программного обеспечения. Всеми этими параметрами можно управлять при помощи групповой политики. Посмотреть и изменить параметры групповой политики для обозревателя Internet Explorer 7 можно в следующем разделе в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Internet Explorer/Средства безопасности** В данном разделе дается обзор этих параметров обозревателя Internet Explorer 7. Полный список параметров групповой политики для обозревателя Internet Explorer 7 см. в редакторе объектов групповой политики. **Примечание**   Все функции, описанные в данном разделе, также работают в обозревателе Internet Explorer 6.0 или более поздней версии на компьютере под управлением следующих операционных систем: Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 1(SP1). ##### Управление надстройками С помощью параметров политики, описанных в данном разделе, можно ограничить количество используемых обозревателем Internet Explorer 7 надстроек. В следующей ниже таблице приведены параметры, отвечающие за управление надстройками. **Таблица 2.8. Параметры управления надстройками**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
Add-on List (Список надстроек)	Этот параметр позволяет управлять списком надстроек	Не задан ‡
Отключать все надстройки, кроме заданных в списке надстроек	Этот параметр политики позволяет запускать только разрешенные надстройки в обозревателе Internet Explorer 7.	Не задан ‡
All Processes (Все процессы)	Этот параметр определяет, что влияет на процессы: пользовательские настройки (отраженные в диспетчере надстроек) или параметры политики.	Не задан
Process List (Список процессов)	Этот параметр определяет, что влияет на процессы в списке: пользовательские настройки (отраженные в диспетчере надстроек) или параметры политики.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Ограничение безопасности для обработки двоичного кода Обозреватель Internet Explorer включает динамическую обработку двоичного кода: компоненты, включающие в себя специфические возможности для элементов HTML, к которым они присоединены. Чтобы ограничить эти возможности, настройте параметры, описанные в таблице. **Таблица 2.9. Параметры ограничения безопасности для обработки двоичного кода**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Этот параметр разрешает или запрещает политику "Ограничение безопасности для обработки двоичного кода".	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Если для этого параметра установлено значение Не задано или Включен, обработка двоичного кода будет запрещена для всех процессов проводника Windows и обозревателя Internet Explorer.	Не задан
Process List (Список процессов)	Этот параметр позволяет администраторам определить приложения, для которых эта функция безопасности будет разрешена или запрещена.	Не задан
Admin-approved behaviors (Поведение, утвержденное администратором)	Если для этого параметра установлено значение Включен, то в каждой зоне будет доступно только поведение, перечисленные в разделе "Допущенных администратором" политики ограничения безопасности поведения двоичного кода.	Не задан

В таблице выше приведено краткое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Соответствие при обработке MIME Обозреватель Internet Explorer использует сведения MIME, чтобы определить, как следует обрабатывать файлы, полученные с веб-сервера. В следующей таблице представлены данные о параметрах групповой политики для MIME-данных, которые доступны в обозревателе Internet Explorer 7. **Таблица 2.10. Параметры соответствия при обработке MIME**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Этот параметр определяет, будет ли обозреватель Internet Explorer требовать, чтобы все данные о файлах, полученные от веб-сервера, соответствовали друг другу.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Этот параметр определяет, будет ли обозреватель Internet Explorer требовать соответствия MIME-данных для всех полученных файлов. Если для этого параметра установлено значение Не задано или включено, обозреватель Internet Explorer требует соответствия MIME-данных для всех полученных файлов.	Не задан ‡
Process List (Список процессов)	Этот параметр позволяет администраторам определить приложения, для которых эта функция безопасности будет разрешена или запрещена.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Панель информации Этот раздел параметров политики позволяет указывать, отображается ли панель информации для процессов, не являющихся процессами обозревателя Internet Explorer, когда установка файлов или кодов ограничена. По умолчанию, панель информации отображается для процессов обозревателя Internet Explorer, но не отображается для каких-либо процессов, если установка файлов или кодов ограничена. В следующей таблице представлены сведения о параметрах, с помощью которых можно изменить данное поведение. **Таблица 2.11. Параметры панели информации**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Если этот параметр включен, панель информации будет отображаться для всех процессов.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Если этот параметр отключен, панель информации не будет отображаться для процессов обозревателя Internet Explorer.	Не задан
Process List (Список процессов)	Этот параметр политики позволяет управлять отображением панели информации для отдельных процессов, когда установка файлов или кодов ограничена.	Не задан

##### Безопасность заблокированной зоны локального компьютера Обозреватель Internet Explorer накладывает ограничения зоны на каждую открываемую веб-страницу. Ограничения зависят от размещения веб-страницы (Интернет, интрасеть, зона локального компьютера и т. д.). Веб-страницы на локальном компьютере находятся в зоне безопасности локального компьютера, и для них применяются минимальные ограничения безопасности. Параметры безопасности зоны локального компьютера применяются ко всем локальным файлам и содержимому. Это позволяет справляться с атаками, при которых зона локального компьютера используется как основное направление атаки с целью загрузки вредоносного HTML-кода. **Таблица 2.12. Параметры безопасности заблокированной зоны локального компьютера**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Если для этого параметра установлено значение Включен, параметры безопасности зоны локального компьютера применяются ко всем локальным файлам и содержимому, обрабатываемым любыми процессами, кроме процессов обозревателя Internet Explorer или процессов из списка. По умолчанию параметры безопасности зоны локального компьютера не применяются к локальным файлам и содержимому, обрабатываемым любыми процессами, кроме процессов обозревателя Internet Explorer или процессов из списка.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Если для этого параметра установлено значение Не задано или Включен, параметры безопасности зоны локального компьютера применяются ко всем локальным файлам и содержимому, обрабатываемым обозревателем Internet Explorer.	Не задан
Process List (Список процессов)	Если для этого параметра установлено значение Включен, а имени процесса присвоено значение 1, к нему будут применены параметры безопасности зоны локального компьютера. Если имени процесса присвоено значение 0, параметры безопасности зоны локального компьютера применятся не будут.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Функция пробной проверки MIME С помощью этой функции можно предотвратить обработку файла как файла потенциально более опасного типа. В следующей таблице перечислены параметры этой функции. **Таблица 2.13. Параметры функции пробной проверки MIME**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Если для этого параметра установлено значение Включен, возможность пробной проверки MIME доступна для всех процессов.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Если для этого параметра установлено значение Отключен, процессы обозревателя Internet Explorer будут разрешать пробной проверке MIME обработку файла как файла более опасного типа. По умолчанию (Не задано) обработка файла как файла более опасного типа запрещена.	Не задан ‡
Process List (Список процессов)	Этот параметр политики позволяет администраторам определить приложения, для которых эта функция безопасности будет запрещена.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Ограничение безопасности для протокола MK Параметр "Ограничение безопасности для протокола MK" уменьшает возможности для атаки, блокируя трафик по протоколу MK. Если этот параметр политики включен, то ресурсы, размещенные на протоколе MK, будут недоступны. **Таблица 2.14. Параметры ограничения безопасности для MK-протокола**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	По умолчанию это ограничение отключено для всех процессов. Но если для этого параметра установлено значение Включен, протокол MK будет отключен для всех процессов, а любое его использование запрещено.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Если для этого параметра установлено значение Отключен, приложения могут использовать интерфейс API протокола MK. Ресурсы, размещенные в протоколе MK, будут работать для процессов проводника Windows и обозревателя Internet Explorer. По умолчанию протокол МК не используется в проводнике Windows и обозревателе Internet Explorer; ресурсы, размещенные в протоколе МК, блокируются.	Не задан ‡
Process List (Список процессов)	Этот параметр политики позволяет администраторам определить приложения, для которых эта функция безопасности будет разрешена или запрещена.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Блокирование сетевого протокола Можно настроить обозреватель Internet Explorer 7 так, чтобы предотвращать небезопасный запуск активного содержимого, полученного через ограниченные протоколы. Этот параметр политики разрешает или запрещает ограниченное содержимое, полученное через ограниченные протоколы. **Таблица 2.15. Параметры блокирования сетевого протокола**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Если для этого параметра установлено значение Включен, то ограничение содержимого, полученного через ограниченные протоколы, разрешено для всех процессов, кроме процессов проводника Windows и обозревателя Internet Explorer. Если для этого параметра установлено значение Включен, то ограничение содержимого, полученного через ограниченные протоколы, запрещено для всех процессов, кроме процессов проводника Windows и обозревателя Internet Explorer. По умолчанию (значение Не задано) эта политика не применяется для каких-либо процессов, кроме процессов проводника Windows и обозревателя Internet Explorer.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Если для этого параметра установлено значение Включен, то ограничение содержимого, полученного через ограниченные протоколы, разрешено для процессов проводника Windows и обозревателя Internet Explorer. Если для этого параметра установлено значение Отключен, то ограничение содержимого, полученного через ограниченные протоколы, запрещено для процессов проводника Windows и обозревателя Internet Explorer. По умолчанию (значение Не задан) обозреватель Internet Explorer пропускает этот параметр.	Не задан
Process List (Список процессов)	Этот параметр позволяет администраторам определить приложения, для которых ограничение содержимого, полученного через ограниченные протоколы, будет разрешено или запрещено.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. Для каждой зоны можно настроить ограничение безопасности "Блокирование сетевых протоколов" для предотвращения небезопасного запуска активного содержимого, полученного через ограниченные протоколы, либо путем отправки запроса пользователю при попытке запуска активного содержимого, либо путем отключения содержимого. **Примечание.**   Если параметр политики для какой-либо зоны установлен как в разделе "Конфигурация компьютера", так и в разделе "Конфигурация пользователя", в этой зоне будут заблокированы оба списка протоколов. **Таблица 2.16. Параметры ограниченных протоколов для каждой зоны безопасности**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
Internet Zone Restricted Protocols (Ограниченные протоколы в зоне "Интернет")	Если этот параметр включен, создается список протоколов, ограниченных в зоне "Интернет".	Не задан
Intranet Zone Restricted Protocols (Ограниченные протоколы в зоне "Интранет")	Если этот параметр включен, создается список протоколов, ограниченных в зоне "Интранет".	Не задан
Local Machine Zone Restricted Protocols (Ограниченные протоколы в зоне "Локальный компьютер")	Если этот параметр включен, создается список протоколов, ограниченных в зоне локального компьютера.	Не задан
Restricted Sites Zone Restricted Protocols (Ограниченные протоколы в зоне "Ограниченные узлы")	Если этот параметр включен, создается список протоколов, ограниченных в зоне "Ограниченные узлы".	Не задан
Trusted Sites Zone Restricted Protocols (Ограниченные протоколы в зоне "Надежные узлы")	Если этот параметр включен, создается список ограниченных протоколов в зоне "Надежные узлы".	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Защита кэшируемых объектов Этот параметр политики определяет, будет ли доступна ссылка на объект при переходе в пределах одного домена или к новому домену. **Таблица 2.17. Параметры защиты кэшируемых объектов**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Если для этого параметра установлено значение Отключен или Незадан, ссылка на объект остается доступной при переходе в пределах одного домена или к новому домену на узлах ограниченной зоны.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Если для этого параметра установлено значение Не задан или Включен, ссылка на объект недоступна для процессов обозревателя Internet Explorer при переходе в пределах одного домена или к новому домену.	Не задан
Process List (Список процессов)	Этот параметр позволяет администраторам определить приложения, для которых эта функция безопасности будет разрешена или запрещена.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Защита от повышения уровня зоны Обозреватель Internet Explorer накладывает ограничения на каждую открываемую страницу. Ограничения зависят от размещения веб-страницы (Интернет, интрасеть, зона локального компьютера и т. д.) Например, веб-страницы на локальном компьютере находятся в зоне безопасности локального компьютера, и для них применяются минимальные ограничения безопасности. Это делает зону локального компьютера основной мишенью для атак со стороны злоумышленников. **Таблица 2.18. Параметры защиты от повышения уровня зоны**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Если для этого параметра установлено значение Включен, любая зона может быть защищена от повышения зоны для всех процессов. Если для этого параметра установлено значение Не  задано или Отключен, никакие процессы, кроме процессов обозревателя Internet Explorer и перечисленных в списке процессов, не получают такую защиту.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Если для этого параметра установлено значение Не  задано или Включен, любая зона может быть защищена от повышения зоны для всех процессов. Если для этого параметра установлено значение Включен, данная защита не применяется к процессам обозревателя Internet Explorer.	Не задан ‡
Process List (Список процессов)	Этот параметр политики позволяет администраторам определить приложения, для которых эта функция безопасности будет разрешена или запрещена.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Ограничение установки элементов ActiveX Эти параметры политики накладывают ограничения на установку элементов управления ActiveX. **Таблица 2.19. Параметры ограничения установки элементов ActiveX**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Этот параметр позволяет приложениям, использующим элемент управления обозревателя, блокировать выдачу автоматических запросов на установку элементов управления ActiveX.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Этот параметр позволяет блокировать запросы на установку элементов управления ActiveX для всех процессов обозревателя Internet Explorer.	Не задан ‡
Process List (Список процессов)	Этот параметр позволяет администраторам определить список EXE-файлов, для которых автоматические запросы на установку элементов управления ActiveX будут разрешены или запрещены. По умолчанию данная функция безопасности включена.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Ограничение загрузки файлов Эти параметры политики накладывают ограничения на автоматическую загрузку файлов, не запущенную пользователем. **Таблица 2.20. Параметры ограничения загрузки файлов**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Этот параметр позволяет приложениям, использующим элемент управления обозревателя, блокировать выдачу автоматических запросов на загрузку файлов, не инициированную пользователем.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Этот параметр позволяет блокировать запросы на загрузку файлов, не инициированные пользователем.	Не задан ‡
Process List (Список процессов)	Этот параметр позволяет администраторам создать список EXE-файлов, для которых будет разрешено или запрещено блокирование автоматических запросов на загрузку файлов, не запущенных пользователем.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. ##### Ограничения безопасности для окон, обрабатываемых сценариями Обозреватель Internet Explorer позволяет сценариям программно открывать окна различного типа, изменять их размеры и положение. Функция ограничений безопасности для окон ограничивает работу всплывающих окон и запрещает сценариям отображение окон, в которых заголовок и строка состояния не видны пользователю или закрывают заголовок и строку состояния других окон. **Таблица 2.21. Параметры ограничения безопасности для обрабатываемых сценариями окон**

Объект политики	Описание	Значение по умолчанию в ОС Windows Vista
All Processes (Все процессы)	Если для этого параметра установлено значение Незадан или Отключен, то ограничений на запущенные сценариями окна нет. Если для этого параметра установлено значение Включен, то инициированные сценариями окна ограничены для всех процессов.	Не задан
Internet Explorer Processes (Процессы обозревателя Internet Explorer)	Если для этого параметра установлено значение Не задано или Включен, блокирование всплывающих окон будет применяться для процессов проводника Windows и обозревателя Internet Explorer. Если для этого параметра установлено значение Отключен, сценарии смогут продолжить создавать всплывающие окна и окна, которые могут закрывать заголовок и панель состояния других окон.	Не задан ‡
Process List (Список процессов)	Этот параметр политики позволяет администраторам определить приложения, для которых эта функция безопасности будет разрешена или запрещена.	Не задан

В данной таблице приведено простое описание каждого параметра. Дополнительные сведения о конкретном параметре см. на вкладке **Объяснение** для параметра в редакторе объектов групповой политики. [](#mainsection)[К началу страницы](#mainsection) ### Дополнительные сведения Дополнительные сведения о новых усовершенствованных функциях безопасности в системе Windows Vista см. на следующих ресурсах. - [Средство удаления вредоносных программ](http://www.microsoft.com/security/malwareremove/default.mspx) на веб-узле Microsoft.com. - Глава [Политика ограниченного использования программ для клиентских компьютеров под управлением системы Windows XP](http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/xpsgch06.mspx) в *Руководстве по безопасности для системы Windows XP* на веб-узле Microsoft TechNet. - [Контроль учетных записей](http://www.microsoft.com/technet/windowsvista/security/uacppr.mspx) на веб-узле TechNet. - [Работа с политиками ограниченного использования программ для защиты от несанкционированного программного обеспечения](http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx) на веб-узле TechNet. - [Защитник Windows](http://www.microsoft.com/windowsdefender) на веб-узле TechNet. - Раздел [Брандмауэр Windows](http://www.microsoft.com/windowsfirewall) на TechNet (на английском языке). - [Групповая политика](http://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx) в системе Windows Server 2003 на веб-узле Microsoft.com. - [Усовершенствования систем защиты данных и безопасности в системе Windows Vista](http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx) на веб-узле TechNet. - [Обзор командной оболочки для системы Windows XP](http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/ntcmds_shelloverview.mspx) на веб-узле Microsoft.com. **Загрузить** [Получите руководство по безопасности системы Windows Vista](http://go.microsoft.com/fwlink/?linkid=74028) **Уведомления об обновлении** [Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках](http://go.microsoft.com/fwlink/?linkid=54982) **Обратная связь** [Отправляйте свои комментарии и предложения](mailto:secwish@microsoft.com?subject=windows%20vista%20security%20guide) [](#mainsection)[К началу страницы](#mainsection)