Руководство по безопасности для системы Windows Vista

Приложение A. Параметры групповой политики, связанные с безопасностью

Опубликовано 7 февраля 2007 г.

На этой странице

Обзор Политика домена Политика компьютера Политика пользователя Дополнительные сведения

Обзор

В данном приложении указаны параметры политики безопасности для сред Enterprise Client (EC) и Specialized Security — Limited Functionality (SSLF). В приложении также указаны рекомендуемые параметры, которые устанавливаются с помощью автоматического процесса, описанного в главе 1 "Внедрение базовых показателей безопасности" и главе 5 "Specialized Security — Limited Functionality" руководства по безопасности Windows Vista . Другим ресурсом для сравнения значений параметров является файл Windows Vista Security Guide Settings.xls, который прилагается к этому руководству.

Параметры приведены в приложении в том порядке, в котором они представлены в интерфейсе пользователя редактора объектов групповой политики в операционной системе Windows Vista™.

Примечание.   Параметры групповой политики, которые появились в Windows Vista, отмечены символом §.

Параметры безопасности, описанные в этом руководстве, разделены на следующие три основных раздела:

  • Политика домена. Параметры в этом разделе применяются к домену.

  • Политика компьютера. Параметры в этом разделе применяются к настольным и переносным компьютерам в домене.

  • Политика пользователей. Параметры в этом разделе применяются к пользователям в домене.

В таблицах этих основных разделов перечислены имена параметров и указаны значения базовых показателей, разработанных инженерной группой для конфигураций EC и SSLF, рекомендуемых в руководстве.

Возможные значения разных параметров существенно различаются. Для большинства параметров можно установить значения Включен и Отключен или другое значение, указанное в редакторе объектов групповой политики. Тем не менее для многих параметров необходимо указывать числовые значения или группы безопасности.

Для параметров политики прав пользователей требуется указывать имена конкретных пользователей и групп. Если какое-либо право не предоставляется никакому пользователю или группе, в редакторе объектов групповой политики указывается, что параметр включен, но пользователи или группы не перечисляются. Для параметров, настроенных таким образом, в таблицах этого приложения указано значение Никто.

На параметры, имеющие значения Не определен или Не задан, не влияют объекты групповой политики этого руководства. Эти значения существенно отличаются от значения Никто, описанного выше. Параметры, которые не изменяются с помощью объектов групповой политики руководства, могут легко изменять администраторы локальных компьютеров, если они уже не настроены с помощью другого объекта групповой политики среды. Это может привести к несоответствию конфигураций в среде и снизить безопасность. По этой причине многие рекомендуемые параметры применяют значения параметра по умолчанию для Windows Vista.

В следующей таблице приведено несколько примеров, которые позволяют понять различные конфигурации.

Таблица A1. Примеры назначения прав пользователей

Значение Значение по умолчанию для Windows Vista Объект групповой политики "Компьютеры VSG EC" Объект групповой политики "Компьютеры VSG SSLF"
Разрешать вход в систему через службу терминалов "Администраторы", "Пользователи удаленного рабочего стола" Не определен Никто
Настраивать квоты памяти для процесса "Администраторы", "Локальная служба", "Сетевая служба" Не определен "Администраторы", "Локальная служба", "Сетевая служба"
Обратите внимание на значение по умолчанию для параметра **Разрешать вход в систему через службу терминалов**. Этот параметр имеет значение **Не определен** в **объекте групповой политики "Компьютеры EC"**, что означает, что значение по умолчанию не изменено. С другой стороны, значение параметра **Никто** (включенный параметр, для которого не указано значение в редакторе объектов групповой политики) в **объекте групповой политики "Компьютеры SSLF"** означает, что никакие пользователи или группы не имеют права входить в систему через службу терминалов. Более того, администратор локального компьютера не может изменить этот параметр, так как он применяется с помощью групповой политики. Кроме того, обратите внимание на значение по умолчанию для параметра **Настраивать квоты памяти для процесса**. Значение по умолчанию для **объекта групповой политики "Компьютеры EC"** также не изменено. При такой конфигурации администратор локального компьютера может легко изменить параметр. Тем не менее в среде SSLF это невозможно, так как **объект групповой политики "Компьютеры SSLF"** применяет значение параметра по умолчанию. Наконец, для правильной работы некоторых параметров, рекомендуемых в руководстве, необходимо указать сведения о конкретной среде. Так как эти параметры невозможно включить в объекты групповой политики данного руководства, в таблицах для них указано значение **Рекомендуется**. Необходимо изучить эти параметры более подробно для определения надлежащей конфигурации. ![](/security-updates/images/Bb679962.warning(ru-ru,MSDN.10).gif) **Предупреждение.** Работа многих параметров, указанных в этом приложении, зависит от других параметров, и такие зависимости определены при разработке системы. Кроме того, для правильной работы некоторых параметров их значения необходимо настроить с учетом конкретных требований среды. Поэтому при изменении любых рекомендуемых значений параметров в среде EC или SSLF тщательно протестируйте клиентские компьютеры, чтобы гарантировать их полную функциональность. [](#mainsection)[К началу страницы](#mainsection) ### Политика домена Параметры безопасности, указанные в этом разделе приложения, относятся к домену. Они применяются с помощью узла **Конфигурация компьютера** редактора объектов групповой политики. В узле **Конфигурация Windows** этого узла находятся следующие группы параметров: - [Параметры политики паролей](#_password_policy_settings) - [Параметры блокировки учетных записей](#_account_lockout_policy) #### Параметры политики паролей Регулярно изменяемые сложные пароли сокращают вероятность атак с использованием пароля. Параметры политики паролей устанавливают сложность и время жизни паролей. Они настраиваются только с помощью групповой политики на уровне домена. Параметры политики паролей можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\Политики учетных записей\\Политика паролей** В следующей таблице указаны рекомендуемые значения параметров политики паролей для двух типов безопасных сред, определенных в этом руководстве. Каждый из параметров описан в следующих подразделах. **Таблица A2. Рекомендуемые значения параметров политики паролей**
Значение Значение по умолчанию для Windows Vista Значение по умолчанию для контроллера домена Объект групповой политики "Домен VSG EC" Объект групповой политики "Домен VSG SSLF"
Принудительно установить журнал паролей хранить 0 паролей хранить 24 пароля хранить 24 пароля хранить 24 пароля
Максимальный срок действия пароля 42 дня 42 дня 90 дней 90 дней
Минимальный срок действия пароля 0 дней 1 день 1 день 1 день
Минимальная длина пароля 0 знаков 7 знаков 8 знаков 12 знаков
Пароль должен отвечать требованиям сложности Отключен Включен Включен Включен
Хранить пароли, используя обратимое шифрование Отключен Отключен Отключен Отключен
**Принудительно установить журнал паролей** Этот параметр политики определяет количество новых уникальных паролей, которые необходимо назначить учетной записи пользователя, перед тем как можно будет использовать старый пароль. Значение этого параметра политики — от 0 до 24 паролей. Значение по умолчанию для Windows Vista — 0 паролей, но значение параметра по умолчанию для домена — 24 пароля. Чтобы обеспечить эффективность этого параметра политики, используйте параметр **Минимальный срок действия пароля** для запрета частой смены паролей. Для двух сред безопасности этого руководства установите для параметра **Принудительно установить журнал паролей** значение **24 паролей**. **Максимальный срок действия пароля** Этот параметр политики может принимать значение от 1 до 999 дней. (Можно также установить значение 0, чтобы указать, что пароли не устаревают.) Этот параметр политики определяет, как скоро истекает срок действия пароля. Значение параметра по умолчанию — 42 дня. Так как злоумышленники могут подбирать пароли, чем чаще меняется пароль, тем меньше у злоумышленников возможностей его использовать. Тем не менее чем ниже значение этого параметра, тем выше вероятность увеличения количества звонков в службу поддержки от пользователей, которым необходимо сменить пароль или которые забыли действующий пароль. Для двух сред безопасности этого руководства установите для параметра **Максимальный срок действия пароля** значение **90 дней**. **Минимальный срок действия пароля** Этот параметр политики определяет количество дней, в течение которых необходимо использовать пароль перед его изменением. Диапазон значений этого параметра политики — от 1 до 999 дней. (Можно также установить значение 0, чтобы разрешить немедленную смену пароля.) Значение этого параметра по умолчанию — 0 дней. Значение параметра **Минимальный срок действия пароля** должно быть меньше значения **Максимальный срок действия пароля**, если только для параметра **Максимальный срок действия пароля** не задано значение 0, при котором срок действия паролей неограничен. Если параметр **Максимальный срок действия пароля** имеет значение 0, для этого параметра политики можно установить любое значение от 0 до 999. Чтобы параметр **Принудительно установить журнал паролей** был эффективным, не устанавливайте для этого параметра значение 0. Если значение параметра **Минимальный срок действия пароля** равно 0, пользователи могут сменить пароли несколько раз и повторно использовать старый привычный пароль. Для двух сред безопасности этого руководства установите для параметра **Минимальный срок действия пароля** значение **1 день**. Это значение затрудняет повторное использование одного и того же пароля, так как для смены пароля необходимо подождать день. Оно также поощряет запоминание новых паролей, так как пользователи должны использовать их по крайней мере один день до сброса. Наконец, это значение не позволяет обходить ограничения, определяемые параметром **Принудительно установить журнал паролей**. **Минимальная длина пароля** Этот параметр политики определяет наименьшее количество знаков пароля для учетной записи пользователя. Существует множество различных теорий о том, как определить наилучшую длину пароля для организации. Вероятно, более уместно использовать термин "парольная фраза", а не "пароль". В Microsoft® Windows 2000 и более поздних версиях парольные фразы могут быть достаточно длинными и включать пробелы. Такое предложение, как "Мне молочный коктейль за сто рублей" является допустимой парольной фразой; это значительно более надежный пароль, чем строка, состоящая из 8 или 10 случайных цифр и букв, тем не менее его проще запомнить. Необходимо научить пользователей правильному выбору и применению паролей (особенно с точки зрения их длины). В среде EC установите для параметра **Минимальная длина пароля** значение **8 знаков**. Это достаточно большая длина для обеспечения надлежащей безопасности. В среде SSLF установите значение **12 знаков**. **Пароль должен отвечать требованиям сложности** Этот параметр политики проверяет все новые пароли на предмет соответствия основным требованиям к надежным паролям. По умолчанию для этого параметра политики в Windows Vista установлено значение **Отключен**, но он имеет значение **Включен** в домене Microsoft Windows Server® 2003 для сред, описанных в этом руководстве. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям: - не должны содержать имя учетной записи пользователя или части полного имени пользователя длиной более двух последовательных знаков; - должны быть длиной не менее шести знаков; - должны включать знаки четырех следующих категорий: - латинские буквы в верхнем регистре (A — Z); - латинские буквы в нижнем регистре (a — z); - 10 цифр (0—9); - знаки, которые не являются буквами (например: !, $, \#, %). Каждый дополнительный знак в пароле экспоненциально увеличивает его сложность. Например, для пароля из семи букв в нижнем регистре возможно 26(7) (около 8 x 10(9), или 8 миллиардов) комбинаций. При 1 000 000 попыток в секунду (такая производительность свойственна многим программам для подбора паролей) для взлома пароля потребуется всего 133 минуты. Количество комбинаций для пароля из семи букв различного регистра — 52(7). Для пароля из семи букв различного регистра и цифр без знаков пунктуации существует 62(7) комбинаций. Количество возможных комбинаций для пароля из восьми знаков — 26(8) (или 2 x 10(11)). Хотя это число кажется большим, при скорости 1 000 000 попыток в секунду для перебора всех возможных паролей потребуется всего 59 часов. Помните, что это время значительно увеличивается при использовании знаков, которые вводятся с помощью клавиши ALT, и других специальных знаков клавиатуры, например "!" или "@". Надлежащее применение параметров паролей затрудняет атаки методом перебора паролей. **Хранить пароли, используя обратимое шифрование** Этот параметр политики определяет, используется ли при хранении паролей операционной системой обратимое шифрование, обеспечивающее поддержку протоколов приложений, которым требуются сведения о пароле пользователя для проверки подлинности. Пароли, которые хранятся с использованием обратимого шифрования, аналогичны паролям в виде открытого текста. По этой причине этот параметр политики следует включать только в том случае, если требования приложений более важны, чем защита сведений о пароле. Значение этого параметра политики по умолчанию — **Отключен**. Этот параметр политики необходимо включить при использовании протокола проверки пароля (CHAP) через удаленный доступ или службу проверки подлинности в Интернете (IAS). Он также требуется при использовании дайджест-проверки подлинности в службах IIS. Убедитесь в том, что параметр **Хранить пароли всех пользователей в домене, используя обратимое шифрование** имеет значение **Отключен** (как в объекте групповой политики домена по умолчанию Windows Server 2003 и в локальной политике безопасности рабочих станций и серверов). Этот параметр политики также имеет значение **Отключен** в двух средах, описываемых в этом руководстве. ##### Конфигурация, при которой пользователи меняют пароли только тогда, когда это необходимо Кроме этих политик паролей, в некоторых организациях требуется централизованный контроль над всеми пользователями. В данном разделе рассказывается, как разрешить пользователям изменять пароли только тогда, когда это необходимо. Централизованный контроль над паролями пользователей является основой продуманной схемы безопасности Windows Vista. Можно использовать групповую политику, чтобы задать минимальный и максимальный срок действия пароля, как описано выше. Тем не менее необходимость частой смены пароля может привести к тому, что пользователи будут обходить требования, определяемые параметром **Принудительно установить журнал паролей**. Слишком большая длина паролей может также привести к увеличению количества звонков в службу поддержки от пользователей, забывших свои пароли. Пользователи могут изменять пароли в период, определяемый значениями минимального и максимального срока действия пароля. Тем не менее схема безопасности SSLF требует, чтобы пользователи меняли пароли только при запросе операционной системы после истечения максимального срока действия пароля (42 дня). Чтобы добиться такого уровня контроля, администраторы могут отключить кнопку **Сменить пароль** в диалоговом окне **Безопасность Windows**, которое выводится при нажатии сочетания клавиш CTRL+ALT+DEL. Можно применить эту конфигурацию для целого домена с помощью групповой политики или изменить реестр, чтобы применить ее для одного или нескольких отдельных пользователей. Дополнительные сведения об этой конфигурации см. в статье 324744 базы знаний Майкрософт [Запрет изменения паролей пользователями по желанию в Windows Server 2003](http://support.microsoft.com/kb/324744) (на английском языке). Сведения для доменов на базе Windows 2000 см. в статье 309799 базы знаний Майкрософт [Запрет изменения паролей пользователями по желанию в Windows 2000](http://support.microsoft.com/kb/309799) (на английском языке). #### Параметры блокировки учетных записей Политика блокировки учетных записей — это функция безопасности службы каталогов Active Directory®, которая блокирует учетные записи пользователей. Блокировка предотвращает вход в систему после указанного количества неудачных попыток входа в заданный период времени. Попытки входа отслеживаются контроллерами домена, а количество допустимых попыток и период определяются на основе заданных значений параметров блокировки учетных записей. Кроме того, можно определить продолжительность блокировки. Эти параметры политики препятствуют угадыванию паролей пользователей злоумышленниками и снижают вероятность успешных атак на сетевую среду. Тем не менее при включении политики блокировки учетных записей, вероятно, увеличится количество обращений пользователей сети в службу поддержки. Перед тем как включить следующие параметры, убедитесь в том, что организация готова нести такие дополнительные расходы на управление. Для многих организаций более эффективным и менее дорогим решением будет автоматическая проверка журналов событий безопасности контроллеров домена и создание административных предупреждений при попытке подбора паролей для учетной записи пользователя. Параметры блокировки учетных записей можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности** **\\Политики учетных записей\\Политика блокировки учетной записи** В следующей таблице перечислены рекомендуемые значения параметров политики блокировки учетных записей для двух сред безопасности, описанных в этом руководстве. Каждый из параметров описан в следующих подразделах. **Таблица A3. Рекомендуемые значения параметров политики блокировки учетных записей**
Значение Значение по умолчанию для Windows Vista Значение по умолчанию для контроллера домена Объект групповой политики "Домен VSG EC" Объект групповой политики "Домен VSG SSLF"
Длительность блокировки учетных записей Не определен Не определен 15 минут 15 минут
Пороговое значение блокировки учетных записей 0 неудачных попыток входа в систему 0 неудачных попыток входа в систему 50 неудачных попыток входа в систему 10 неудачных попыток входа в систему
Сброс счетчика блокировки через Не определен Не определен 15 минут 15 минут
**Длительность блокировки учетных записей** Этот параметр политики определяет период времени перед разблокировкой заблокированной учетной записи и входом пользователя в систему. Параметр задает количество минут, в течение которого заблокированная учетная запись будет недоступна. Если для этого параметра политики установлено значение 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную. Значение Windows Vista по умолчанию для этого параметра политики — **Не определен**. Чтобы уменьшить количество обращений в службу поддержки и обеспечить безопасность инфраструктуры, установите в средах EC и SSLF, описанных в этом руководстве, значение **15 минут** для параметра **Длительность блокировки учетных записей**. Хотя кажется, что желательно задать для этого параметра политики более высокое значение, это, скорее всего, приведет к увеличению количества обращений в службу поддержки для разблокирования учетных записей, заблокированных по ошибке. Рекомендуемое значение параметра (15 минут) является разумным временем ожидания для повторной попытки входа в систему, которое обеспечивает дополнительную защиту от атак методом перебора паролей. Пользователи должны знать о продолжительности действия блокировки и понимать, что им требуется обращаться в службу поддержки только в случае крайней необходимости срочного доступа к компьютеру. **Пороговое значение блокировки учетных записей** Этот параметр политики определяет количество неудачных попыток входа в систему перед блокировкой. Полномочные пользователи могут заблокировать свою учетную запись при ошибке ввода пароля или его неправильном запоминании. Учетная запись также блокируется, если пользователь вошел в систему одного компьютера и сменил пароль своей учетной записи на другом компьютере. Компьютер с неверным паролем будет постоянно пытаться выполнить проверку подлинности пользователя, а так как используемый им для проверки подлинности пароль неверен, произойдет блокировка. Чтобы избежать случайной блокировки полномочных пользователей, установите для порогового значения блокировки учетных записей высокое значение. Значение по умолчанию для этого параметра политики — 0 неудачных попыток входа в систему (функция блокировки учетной записи отключена). Установите для параметра **Пороговое значение блокировки учетных записей** значение **50** **неудачных попыток входа в систему** для среды EC и **10 неудачных попыток входа в систему** для среды SSLF. Так как злоумышленники могут использовать это состояние блокировки для атак типа "отказ в обслуживании", вызывая блокировку большого количества учетных записей, организация должна определить необходимость использования этого параметра политики на основе обнаруженных угроз и рисков, которые необходимо уменьшить. Рекомендуется рассмотреть следующие два варианта настройки этого параметра политики. - Установите для параметра **Пороговое значение блокировки учетных записей** значение **0**, чтобы запретить блокировку учетных записей. Это значение параметра предотвратит атаку типа "отказ в обслуживании", направленную на блокирование учетных записей в организации. Оно также сократит количество обращений в службу поддержки, так как пользователи не смогут случайно блокировать свои учетные записи. Тем не менее это значение параметра не будет препятствовать атакам методом перебора паролей. Также рассмотрите следующие методы защиты: - политика паролей, которая требует, чтобы все пользователи имели сложные пароли, состоящие не менее чем из 8 знаков; - надежный механизм аудита, который будет извещать администраторов о серии блокировок учетных записей в среде. Например, решение для аудита должно отслеживать событие безопасности 539 (ошибка входа в систему). Это событие указывает на то, что при попытке входа в систему учетная запись была заблокирована. Кроме того, можно настроить параметр следующим образом. - Установите для параметра **Пороговое значение блокировки учетных записей** значение, которое позволит пользователям неверно ввести пароль несколько раз, но приведет к блокировке учетной записи при атаке методом перебора паролей. Значение параметра, равное 50 неудачным попыткам входа в систему для среды EC и 10 — для среды SSLF, обеспечивает достаточную безопасность и приемлемое удобство использования. Эта конфигурация предотвращает случайную блокировку учетной записи и сокращает количество обращений в службу поддержки, но не защищает от атак типа "отказ в обслуживании". **Сброс счетчика блокировки через** Этот параметр политики определяет период времени до сброса значения параметра **Пороговое значение блокировки учетных записей**. Значение по умолчанию для этого параметра политики — **Не определен**. Если параметр **Пороговое значение блокировки учетных записей** определен, время сброса не должно превышать значение параметра **Длительность блокировки учетных записей**. Установите для параметра **Сброс счетчика блокировки через** значение **15** **минут** для сред EC и SSLF, описанных в этом руководстве. Если использовать для данного параметра политики значение по умолчанию или установить слишком большой интервал, среда будет уязвима для атак типа "отказ в обслуживании". Злоумышленник может злонамеренно выполнить несколько неудачных попыток входа в систему для всех пользователей в организации, что приведет к блокировке их учетных записей, как описано ранее в этом приложении. Если политика для сброса блокировки учетных записей не определена, администраторам придется выполнять эту задачу вручную. С другой стороны, если для этого параметра политики задано разумное значение, учетные записи пользователей будут заблокированы в течение установленного времени до автоматической разблокировки всех учетных записей. Рекомендуемое значение параметра (15 минут) является разумным периодом времени, которое, скорее всего, будет приемлемо для пользователей, что позволит сократить количество обращений в службу поддержки. Пользователи должны знать о продолжительности ожидания до повторной попытки входа в систему и понимать, что им требуется обращаться в службу поддержки только в случае крайней необходимости срочного доступа к компьютеру. [](#mainsection)[К началу страницы](#mainsection) ### Политика компьютера Параметры безопасности в этом разделе приложения относятся к настольным и переносным компьютерам в домене. Они применяются с помощью узла **Конфигурация компьютера** редактора объектов групповой политики. Эти параметры отображаются в узлах **Конфигурация Windows** и **Административные шаблоны** этого узла. #### Конфигурация компьютера\\Конфигурация Windows Следующие группы параметров содержатся в подкаталоге "Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\Локальные политики": - [Параметры политики аудита](#_audit_policy_settings_1) - [Параметры назначения прав пользователя](#_user_rights_assignment_1) - [Параметры безопасности](#_security_options_settings) Следующие группы параметров содержатся в подкаталоге "Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности": - [Параметры безопасности журнала событий](#_event_log_security) - [Параметры брандмауэра Windows в режиме повышенной безопасности](#_windows_firewall_with) ##### Параметры политики аудита Политика аудита определяет события безопасности, о которых уведомляются администраторы, что позволяет регистрировать активность пользователей или системы для указанных категорий событий. Администратор может наблюдать за действиями, связанными с безопасностью, например за тем, кто получает доступ к объекту, когда пользователи входят в систему или завершают с ней работу или когда изменяются параметры политики аудита. Для всех этих целей корпорация Майкрософт рекомендует создать политику аудита для применения в среде. Тем не менее перед применением политики аудита необходимо определить, аудит каких категорий событий требуется выполнять. Параметры аудита, выбранные для категорий событий, определяют политику аудита. При определении параметров аудита для конкретных категорий событий администратор может создать политику аудита, которая будет соответствовать потребностям организации в безопасности. Если не определить параметры аудита, будет трудно или невозможно установить, что произошло во время нарушения системы безопасности. Тем не менее если параметры аудита настроены таким образом, что слишком многие разрешенные действия создают события, журнал событий безопасности будет содержать слишком большое количество данных. Сведения в следующих разделах позволят определить, за какими действиями следует наблюдать для упрощения сбора нужных данных аудита для организации. Windows Vista включает те же девять категорий политики аудита, что и предыдущие версии Windows: - [Система](#_system_2) - [Вход/выход](#_logon/logoff_1) - [Доступ к объекту](#_object_access) - [Использование привилегии](#_privilege_use) - [Подробные сведения](#_detailed_tracking_1) - [Изменение политики](#_policy_change) - [Управление учетными записями](#_account_management) - [Доступ к службе каталогов](#_ds_access_1) - [Вход под учетной записью](#_account_logon) Тем не менее Windows Vista позволяет управлять политикой аудита более точно, предоставляя пятьдесят подкатегорий политики аудита. Хотя не все подкатегории относятся к компьютерам с Windows Vista, многие из них можно настроить для записи конкретных событий и получения ценных данных. В прошлом любая из девяти категорий аудита легко настраивалась с помощью групповой политики. Хотя эта возможность поддерживается в Windows Vista, новые подкатегории аудита нельзя настроить индивидуально с помощью редактора объектов групповой политики, так как они не отображаются в нем. При настройке категории аудита в Windows Vista с помощью параметров редактора объектов групповой политики будут также настроены все подкатегории. Это, скорее всего, приведет к излишнему ведению журнала аудита и быстрому заполнению журналов событий. Рекомендуется настраивать только необходимые подкатегории аудита. Для настройки каждой подкатегории необходимо использовать средство командной строки *AuditPol.exe*, которое входит в состав Windows Vista. Необходимость использования средства командной строки существенно затрудняет внедрение рекомендуемой политики аудита на большом количестве компьютеров. Корпорация Майкрософт разработала решение для настройки подкатегорий аудита с помощью групповой политики. Это решение автоматически внедряется сценариями и объектами групповой политики этого руководства. При выполнении сценария GPOAccelerator.wsf (см. главы 1 и 5 данного руководства) он автоматически копирует следующие файлы в общую папку NETLOGON одного из контроллеров домена. Для среды EC: - EC-VSGAuditPolicy.cmd - EC-VSGApplyAuditPolicy.cmd - EC-VSGAuditPolicy.txt Для среды SSLF: - SSLF-VSGAuditPolicy.cmd - SSLF-VSGApplyAuditPolicy.cmd - SSLF-VSGAuditPolicy.txt Эти файлы затем автоматически реплицируются в общую папку NETLOGON контроллеров домена в домене Active Directory. Объекты групповой политики, относящиеся к компьютеру, которые создает сценарий GPOAccelerator.wsf, включают сценарий загрузки компьютера, который запускает эти файлы для настройки рекомендуемых параметров политики аудита. При первом запуске этих файлов на компьютере создается назначенная задача VSGAudit. Эта задача будет выполняться каждый час, чтобы обеспечить обновление параметров политики аудита. Дополнительные сведения о решении для настройки новых параметров политики аудита в Windows Vista в домене Windows Server 2003 см. в статье 921469 базы знаний [Использование групповой политики для настройки подробных параметров аудита безопасности на клиентских компьютерах с системой Windows Vista в домене Windows Server 2003 или домене Windows 2000](http://support.microsoft.com/kb/921469). В следующей таблице приведены рекомендуемые значения параметров политики аудита для настольных и переносных клиентских компьютеров в двух видах безопасных сред, описанных в этом руководстве. Необходимо проанализировать эти рекомендуемые значения и изменить их в соответствии с требованиями организации. Сведения об изменении параметров политики аудита, настраиваемых объектами групповой политики этого руководства, см. в конце данного раздела. Тем не менее рекомендуется очень внимательно относиться к параметрам аудита, которые могут создавать большое количество трафика. Например, при включении аудита успеха или сбоя для всех **подкатегорий использования привилегии** большое количество создаваемых событий аудита затруднит поиск записей другого типа в журнале событий безопасности. Такая конфигурация также может значительно повлиять на производительность. В следующих разделах кратко описаны все политики аудита. В таблицах каждого раздела приведены рекомендации для настольных и переносных клиентских компьютеров в двух видах безопасных сред, описанных в этом руководстве. **Примечание.**   Из-за ограничений времени в этом руководстве не представлены описания каждой подкатегории политики аудита. В руководстве [*Угрозы и меры противодействия*](http://go.microsoft.com/fwlink/?linkid=15159), которое готовится к выпуску, будут содержаться подробные описания всех 50 подкатегорий политики аудита. ###### Система Категория аудита "Система" позволяет наблюдать за успешным выполнением и сбоями системных событий и регистрировать их, что помогает определить несанкционированный доступ к системе. К системным событиям относится запуск и завершение работы компьютеров в среде, заполнение журналов событий, а также другие связанные с безопасностью события, которые влияют на всю систему. В Windows Vista категория аудита "Система" содержит подкатегории, перечисленные в следующей таблице. **Таблица A4. Рекомендуемые значения для подкатегорий политики аудита "Система"**
Подкатегория Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры VSG EC" Объекты групповой политики "Компьютеры VSG SSLF"
§ Расширение системы безопасности Нет аудита Успех и сбой Успех и сбой
§ Целостность системы Успех и сбой Успех и сбой Успех и сбой
§ Драйвер IPsec Нет аудита Успех и сбой Успех и сбой
§ Другие системные события Успех и сбой Нет аудита Нет аудита
§ Изменение состояния безопасности Успех Успех и сбой Успех и сбой
**§** означает параметры групповой политики, которые были добавлены в Windows Vista. ###### Вход/выход Эта категория аудита создает события, которые регистрируют создание и удаление сеансов входа в систему. Эти события возникают на компьютере, к которому выполняется доступ. Для интерактивного входа в систему эти события создаются на компьютере, в систему которого выполняется вход. Если выполняется вход в сеть для доступа к общему ресурсу, события создаются на компьютере, на котором размещен этот ресурс. Если для параметра **Аудит входа в систему** установлено значение **Нет аудита**, трудно или невозможно определить, какой пользователь получил доступ или пытался получить доступ к компьютерам организации. В Windows Vista категория аудита "Вход/выход" содержит подкатегории, перечисленные в следующей таблице. **Таблица A5. Рекомендуемые значения для подкатегорий политики аудита "Вход/выход"**
Подкатегория Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры VSG EC" Объекты групповой политики "Компьютеры VSG SSLF"
§ Вход Успех Успех Успех и сбой
§ Выход Успех Успех Успех
§ Блокировка учетной записи Примечание.   Этой подкатегории не соответствуют события. Успех Нет аудита Нет аудита
§ Основной режим IPsec Нет аудита Нет аудита Нет аудита
§ Быстрый режим IPsec Нет аудита Нет аудита Нет аудита
§ Расширенный режим IPsec Нет аудита Нет аудита Нет аудита
§ Специальный вход Успех Успех Успех
§ Другие события входа и выхода Нет аудита Нет аудита Нет аудита
**§** означает параметры групповой политики, которые были добавлены в Windows Vista. ###### Доступ к объекту Сам по себе этот параметр политики не приводит к аудиту событий. Он определяет необходимость аудита событий для пользователя, который получает доступ к объекту (например файлу, папке, разделу реестра или принтеру), для которого задан системный список управления доступом, что позволяет выполнять аудит. Системный список управления доступом состоит из записей управления доступом. Каждая запись управления доступом включает сведения трех типов: - участник безопасности (пользователь, компьютер или группа), для которого будет выполняться аудит; - определенный тип доступа, для которого будет выполняться аудит (маска доступа);. - флаг, указывающий на необходимость аудита событий сбоя доступа, успешного доступа или того и другого вида событий. Если для параметра **Аудит доступа к объектам** установлено значение **Успех**, запись аудита создается каждый раз, когда пользователь успешно получает доступ к объекту с заданным системным списком управления доступом. Если для этого параметра политики установлено значение **Сбой**, запись аудита создается при каждом сбое доступа к объекту с заданным системным списком управления доступом. При настройке системных списков управления доступом организации должны определить только действия, которые необходимо включить. Например, может потребоваться включить параметр **Аудит записи и добавления данных** для EXE-файлов, чтобы отслеживать их изменение или замену, так как вирусы, вирусы-черви и вредоносные программы типа "Троянский конь" обычно воздействуют на EXE-файлы. Кроме того, может потребоваться отслеживание доступа к конфиденциальным документам и их изменения. Категория аудита событий "Доступ к объекту" включает подкатегории, перечисленные в следующей таблице. **Таблица A6. Рекомендуемые значения для подкатегорий политики аудита "Доступ к объекту"**
Подкатегория Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры VSG EC" Объекты групповой политики "Компьютеры VSG SSLF"
§ Файловая система Нет аудита Нет аудита Сбой
§ Реестр Нет аудита Нет аудита Сбой
§ Объект ядра Нет аудита Нет аудита Нет аудита
§ SAM Нет аудита Нет аудита Нет аудита
§ Службы сертификатов Нет аудита Нет аудита Нет аудита
§ Создано приложением Нет аудита Нет аудита Нет аудита
§ Использование дескриптора Нет аудита Нет аудита Нет аудита
§ Общая папка Нет аудита Нет аудита Нет аудита
§ Отбрасывание пакетов платформой фильтрации Нет аудита Нет аудита Нет аудита
§ Подключение платформы фильтрации Нет аудита Нет аудита Нет аудита
§ Другие события доступа к объекту Нет аудита Нет аудита Нет аудита
**§** означает параметры групповой политики, которые были добавлены в Windows Vista. Следующие процедуры описывают настройку правил аудита для файла или папки и тестирование каждого правила аудита для всех объектов в указанном файле или папке. **Примечание.**   Чтобы при выполнении следующих действий события регистрировались в журнале событий безопасности, необходимо настроить подкатегорию "Файловая система" для аудита событий **Успех и сбой** с помощью файла *Auditpol.exe*. **Чтобы определить правило аудита для файла или папки** 1. Найдите файл (папку) с помощью проводника и выберите его. 2. В меню **Файл** выберите пункт **Свойства**. 3. Откройте вкладку **Безопасность** и нажмите кнопку **Дополнительно**. 4. Откройте вкладку **Аудит**. 5. Если появится запрос на ввод учетных данных администратора, нажмите кнопку **Продолжить**, введите имя пользователя и пароль, а затем нажмите клавишу ВВОД. 6. Нажмите кнопку **Добавить**. Откроется диалоговое окно **Выбор пользователя,** **компьютераили группы**. 7. Нажмите кнопку **Типы объектов** и в диалоговом окне **Типы объектов** выберите типы объектов, которые необходимо найти. **Примечание.**   По умолчанию выбраны типы объектов **Пользователь**, **Группа** и **Встроенный объект участника безопасности**. 8. Нажмите кнопку **Размещение** и в диалоговом окне **Размещение** выберите свой домен или локальный компьютер. 9. В диалоговом окне **Выбор пользователя или группы** введите имя группы или пользователя, для которого необходимо выполнять аудит. Затем в диалоговом окне **Введите имена выбираемых объектов** укажите **Прошедшие проверку** (чтобы выполнять аудит доступа для всех пользователей, прошедших проверку) и нажмите кнопку **ОК**. Откроется диалоговое окно **Элемент аудита**. 10. Определите тип доступа к файлу или папке, для которого необходимо выполнять аудит, в диалоговом окне **Элемент аудита**. **Примечание.**   Учитывайте то, что при каждом доступе могут создаваться несколько событий в журнале событий, что приведет к его быстрому росту. 11. В диалоговом окне **Элемент аудита** в разделе **Содержание папки / Чтение данных** выберите значение **Успех и сбой** и нажмите кнопку **ОК**. 12. Включенные записи аудита появятся на вкладке **Аудит** диалогового окна **Дополнительные параметры безопасности**. 13. Нажмите кнопку **ОК**, чтобы закрыть диалоговое окно **Свойства**. **Чтобы проверить правило аудита для файла или папки** 1. Откройте файл или папку. 2. Закройте файл или папку. 3. Запустите средство "Просмотр событий". В журнале событий безопасности появятся несколько событий "Доступ к объекту" с **ИД события 4663**. 4. При необходимости дважды щелкните события, чтобы просмотреть их сведения. ###### Использование привилегии Категория аудита "Использование привилегии" определяет, необходимо ли вести аудит всех случаев применения прав пользователя. Если для этого параметра установлено значение **Успех**, запись аудита создается каждый раз, когда успешно используется право пользователя. Если для этого параметра установлено значение **Сбой**, запись аудита создается каждый раз, когда происходит сбой при использовании права пользователя. Этот параметр политики может создавать очень большое количество записей событий. Категория аудита событий **Использование привилегии** включает подкатегории, перечисленные в следующей таблице. **Таблица A7. Рекомендуемые значения для подкатегорий политики аудита "Использование привилегии"**
Подкатегория Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры VSG EC" Объекты групповой политики "Компьютеры VSG SSLF"
§ Использование прав, затрагивающее конфиденциальные данные Нет аудита Нет аудита Успех и сбой
§ Использование прав, не затрагивающее конфиденциальные данные Нет аудита Нет аудита Нет аудита
§ Другие события, связанные с использованием привилегии
Примечание.  Этой подкатегории не соответствуют события.
Нет аудита Нет аудита Нет аудита
**§** означает параметры групповой политики, которые были добавлены в Windows Vista. ###### Подробные сведения Категория аудита "Подробные сведения" определяет, требуется ли выполнять аудит подробных сведений для отслеживания событий, таких как активация программ, завершение процессов, дублирование дескрипторов и косвенный доступ к объектам. При включении параметра **Аудит отслеживания процессов** создается большое количество событий, поэтому он обычно имеет значение **Нет аудита**. Тем не менее этот параметр может быть полезен при реагировании на нарушения системы безопасности, так как он позволяет создать журнал, содержащий подробные сведения о запущенных процессах и времени их запуска. Категория аудита событий "Подробные сведения" включает подкатегории, перечисленные в следующей таблице. **Таблица A8. Рекомендуемые значения для подкатегорий политики аудита "Подробные сведения"**
Подкатегория Значение по умолчанию для Windows Vista Объект групповой политики "Компьютеры VSG EC" Объект групповой политики "Компьютеры VSG SSLF"
§ Завершение процесса Нет аудита Нет аудита Нет аудита
§ Действие DPAPI Нет аудита Нет аудита Нет аудита
§ События RPC Нет аудита Нет аудита Нет аудита
§ Создание процессов Нет аудита Успех Успех
**§** означает параметры групповой политики, которые были добавлены в Windows Vista. ###### Изменение политики Категория аудита "Изменение политики" определяет, требуется ли выполнять аудит всех изменений политик назначения прав пользователя, брандмауэра Windows, политик доверия или самой политики аудита. Рекомендуемые параметры позволяют увидеть все привилегии учетной записи, которые пытается повысить злоумышленник, например, добавляя привилегии **Отладка программ** или **Архивация файлов и каталогов**. Категория аудита событий **Изменение политики** включает подкатегории, перечисленные в следующей таблице. **Таблица A9. Рекомендуемые значения для подкатегорий политики аудита "Изменение политики"**
Подкатегория Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры VSG EC" Объекты групповой политики "Компьютеры VSG SSLF"
§ Изменение политики аудита Успех Успех и сбой Успех и сбой
§ Изменение политики проверки подлинности Успех Успех Успех
§ Изменение политики авторизации Нет аудита Нет аудита Нет аудита
§ Изменение политики на уровне правила MPSSVC Нет аудита Нет аудита Нет аудита
§ Изменение политики платформы фильтрации Нет аудита Нет аудита Нет аудита
§ Другие события изменения политики Нет аудита Нет аудита Нет аудита
**§** означает параметры групповой политики, которые были добавлены в Windows Vista. ###### Управление учетными записями Категория аудита "Управление учетными записями" позволяет отслеживать попытки создания пользователей или групп, переименования пользователей или групп, включения или отключения учетных записей пользователей, изменения паролей учетных записей и включения аудита для событий управления учетными записями. Если этот параметр политики аудита включен, администраторы могут отслеживать события, чтобы определять злонамеренное, случайное или разрешенное создание учетных записей пользователей и групп. Категория аудита событий **Управление учетными записями** включает подкатегории, перечисленные в следующей таблице. **Таблица A10. Рекомендуемые значения для подкатегорий политики аудита "Управление учетными записями"**
Подкатегория Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры VSG EC" Объекты групповой политики "Компьютеры VSG SSLF"
§ Управление учетными записями Успех Успех Успех и сбой
§ Управление учетными записями компьютера Нет аудита Успех Успех и сбой
§ Управление группами безопасности Успех Успех Успех и сбой
§ Управление группами рассылки Нет аудита Нет аудита Нет аудита
§ Управление группами пользователей приложения Нет аудита Нет аудита Нет аудита
§ Другие события управления учетными записями Нет аудита Успех Успех и сбой
**§** означает параметры групповой политики, которые были добавлены в Windows Vista. ###### Доступ к службе каталогов Категория аудита "Доступ к службе каталогов" относится только к контроллерам домена. По этой причине для параметров категории аудита "Доступ к службе каталогов" и всех связанных подкатегорий в двух средах, описанных в этом руководстве, устанавливается значение **Нет аудита**. Категория аудита событий "Доступ к службе каталогов" включает подкатегории, перечисленные в следующей таблице. **Таблица A11. Рекомендуемые значения для подкатегорий политики аудита "Доступ к службе каталогов"**
Подкатегория Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры VSG EC" Объекты групповой политики "Компьютеры VSG SSLF"
§ Изменения службы каталогов Нет аудита Нет аудита Нет аудита
§ Репликация службы каталогов Нет аудита Нет аудита Нет аудита
§ Подробная репликация службы каталогов Нет аудита Нет аудита Нет аудита
§ Доступ к службе каталогов Нет аудита Нет аудита Нет аудита
**§** означает параметры групповой политики, которые были добавлены в Windows Vista. ###### Вход под учетной записью Категория аудита "Вход под учетной записью" создает события, связанные с проверкой учетных данных. Эти события происходят на компьютере, который является полномочным для учетных данных. Для учетных записей домена полномочным является контроллер домена, в то время как для локальных учетных записей полномочным является локальный компьютер. В среде домена большинство событий входа под учетной записью регистрируются в журналах безопасности контроллеров домена, которые являются полномочными для учетных записей домена. Тем не менее эти события могут возникать на других компьютерах в организации, когда для входа в систему используются локальные учетные записи. Категория аудита событий **Вход под учетной записью** включает подкатегории, перечисленные в следующей таблице. **Таблица A12. Рекомендуемые значения для подкатегорий политики аудита "Вход под учетной запись"**
Подкатегория Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры VSG EC" Объекты групповой политики "Компьютеры VSG SSLF"
§ Проверка учетных данных Нет аудита Успех Успех и сбой
§ События билетов Нет аудита Нет аудита Нет аудита
§ Другие события входа под учетной записью Примечание.  Этой подкатегории не соответствуют события. Нет аудита Нет аудита Нет аудита
**§** означает параметры групповой политики, которые были добавлены в Windows Vista. ###### Изменение параметров политики аудита Чтобы изменить подкатегории и параметры политики аудита, настроенные объектами групповой политики этого руководства, необходимо изменить конфигурацию одного компьютера в среде с помощью Auditpol.exe и создать файл, который содержит параметры политики аудита для среды. После этого объекты групповой политики данного руководства применят измененную политику аудита к компьютерам в среде. **Чтобы изменить конфигурацию политики аудита** 1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики. 2. Нажмите кнопку "Пуск" Windows Vista, выберите пункты **Все программы**, **Стандартные**, щелкните правой кнопкой мыши пункт **Командная строка** и выберите команду **Запуск от имени администратора**. 3. Очистите текущие параметры политики аудита. Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД: ``` auditpol /clear ``` 4. Создайте пользовательские параметры политики аудита с помощью средства командной строки Auditpol.exe. Например, введите в командной строке следующие команды. Нажмите клавишу ВВОД после каждой строки. **Примечание.**   Некоторые части следующего фрагмента кода разбиты на строки исключительно ради удобства чтения. Их нужно вводить как одну строку. ``` auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable ``` **Примечание.** Чтобы просмотреть все возможные категории и подкатегории, введите следующую команду в командной строке и нажмите клавишу ВВОД: **auditpol /list /subcategory:\*** Введите следующую команду в командной строке и нажмите клавишу ВВОД: ``` auditpol /backup /file:EC-AuditPolicy.txt (или SSLF-AuditPolicy.txt) ``` 5. Скопируйте новый файл **EC-AuditPolicy.txt** **(или SSLF-AuditPolicy.txt)** в общую папку NETLOGON одного из контроллеров домена в среде и перезапишите существующую версию. Объекты групповой политики компьютера этого руководства будут использовать новый файл EC-AuditPolicy.txt (или SSLF-AuditPolicy.txt) для изменения и настройки параметров политики аудита компьютеров. ###### Удаление конфигурации политики аудита Как указано ранее, решение, которое внедряется объектами групповой политики этого руководства для настройки подкатегорий политики аудита, создает назначенную задачу VSGAudit на всех компьютерах в среде. При удалении объектов групповой политики этого руководства из среды, вероятно, потребуется удалить назначенную задачу VSGAudit. Назначенная задача VSGAudit не должна влиять на производительность компьютеров под управлением Windows Vista, даже если объекты групповой политики этого руководства были удалены из среды. **Чтобы удалить назначенную задачу VSGAudit с компьютеров в среде** 1. Удалите следующие три файла из общей папки NETLOGON одного из контроллеров домена в среде. Для среды EC: - EC-VSGAuditPolicy.cmd - EC-VSGApplyAuditPolicy.cmd - EC-VSGAuditPolicy.txt Для среды SSLF: - SSLF-VSGAuditPolicy.cmd - SSLF-VSGApplyAuditPolicy.cmd - SSLF-VSGAuditPolicy.txt 2. Создайте пустой текстовый файл, присвойте ему имя DeleteVSGAudit.txt и скопируйте его в общую папку NETLOGON одного из контроллеров домена в среде. Текстовый файл автоматически реплицируется на все контроллеры домена в среде. Назначенная задача VSGAudit проверяет наличие файла DeleteVSGAudit.txt при каждом запуске и при обнаружении файла удаляет себя. Так как назначенная задача VSGAudit настроена на запуск каждый час, она достаточно быстро удалится со всех компьютеров среды. ###### Политики аудита для компьютеров под управлением Windows XP в среде EC Объекты групповой политики этого руководства включают параметры для настройки категорий аудита предыдущих версий Windows. При использовании сценария и объектов групповой политики этого руководства такие параметры не будут применяться к компьютерам под управлением Windows Vista. Объекты групповой политики, предназначенные для использования в среде EC, поддерживают компьютеры с системой Windows XP. Параметры для категорий аудита включены в данные объекты групповой политики, поэтому компьютеры под управлением Windows XP в среде получают рекомендуемые параметры политики аудита для компьютеров с системой Windows XP. Параметры политики аудита в Windows Vista можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности** **\\Локальные политики\\Политика аудита** В следующей таблице приведены рекомендуемые значения параметров политики аудита для настольных и переносных клиентских компьютеров в двух видах безопасных сред, описанных в этом руководстве. **Таблица A13. Рекомендуемые значения параметров политики аудита**
Значение Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры VSG EC" Объекты групповой политики "Компьютеры VSG SSLF"
Аудит событий входа в систему Нет аудита Успех Не определен
Аудит управления учетными записями Нет аудита Успех Не определен
Аудит доступа к службе каталогов Нет аудита Не определен Не определен
Аудит входа в систему Нет аудита Успех Не определен
Аудит доступа к объектам Нет аудита Нет аудита Не определен
Аудит изменения политики Нет аудита Успех Не определен
Аудит использования привилегий Нет аудита Нет аудита Не определен
Аудит отслеживания процессов Нет аудита Нет аудита Не определен
Аудит системных событий Нет аудита Успех Не определен
**Примечание.**   Так как объекты групповой политики для среды EC поддерживают компьютеры под управлением Windows XP, рекомендуемые параметры политики аудита входят в эти объекты групповой политики. Тем не менее эти параметры политики аудита не входят в объекты групповой политики SSLF, так как такие объекты поддерживают только компьютеры под управлением Windows Vista. ##### Параметры назначения прав пользователя В системе Windows Vista, в которой существуют различные привилегированные группы, можно назначать определенным пользователям или группам некоторые права пользователей, которых не имеют обычные пользователи. Чтобы установить для права пользователя значение **Никто**, включите параметр, но не добавляйте для него пользователей или группы. Чтобы установить для права пользователя значение **Не определен**, не включайте параметр. Параметры назначения прав пользователя в Windows Vista можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\Локальные политики\\Назначение прав пользователя** В следующей таблице указаны рекомендуемые значения для первой группы параметров назначение прав пользователя. Рекомендации приведены для настольных и переносных клиентских компьютеров в двух видах безопасных сред, описанных в этом руководстве. Более подробные сведения о каждом из параметров представлены в последующих подразделах. Рекомендации для других прав пользователей представлены в таблице A5, а дополнительные сведения о них указаны в подразделах после таблицы. **Примечание.**   Для многих функций IIS, таких как IIS\_WPG, IIS IUSR\_*<имя\_компьютера>* и* *IWAM\_*<имя\_компьютера>*, требуются определенные привилегии учетных записей. Дополнительные сведения о том, какие права пользователей необходимы учетным записям, связанным с IIS, см. в статье [IIS и встроенные учетные записи (IIS 6.0)](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx) (на английском языке). ###### Права пользователей, часть 1 В следующей таблице указаны рекомендуемые значения для первой группы параметров назначения прав пользователя. Более подробные сведения о каждом из параметров представлены в последующих подразделах. **Таблица A14. Рекомендуемые значения параметров назначения прав пользователя,** **часть 1**
Значение Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры VSG EC" Объекты групповой политики "Компьютеры VSG SSLF"
Доступ к компьютеру из сети "Все", "Администраторы", "Пользователи", "Операторы архива" "Администраторы", "Пользователи" "Администраторы"
Работать в режиме операционной системы Никто Никто Никто
Настраивать квоты памяти для процесса "Администраторы", "Локальная служба", "Сетевая служба" Не определен "Администраторы", "Локальная служба", "Сетевая служба"
Локальный вход в систему "Гость", "Администраторы", "Пользователи", "Операторы архива" "Администраторы", "Пользователи" "Администраторы", "Пользователи"
Разрешать вход в систему через службу терминалов "Администраторы", "Пользователи удаленного рабочего стола" Не определен Никто
Архивация файлов и каталогов "Администраторы", "Операторы архива" Не определен "Администраторы"
Обход перекрестной проверки "Все", "Администраторы", "Пользователи",  "Операторы архива", "Локальная служба", "Сетевая служба" Не определен "Администраторы", "Пользователи", "Локальная служба", "Сетевая служба"
Изменение системного времени "Локальная служба", "Администраторы" "Локальная служба", "Администраторы" "Локальная служба", "Администраторы"
§ Изменение часового пояса "Локальная служба", "Администраторы", "Пользователи" Не определен "Локальная служба", "Администраторы", "Пользователи"
Создание файла подкачки "Администраторы" "Администраторы" "Администраторы"
Создание постоянных общих объектов Никто Не определен Никто
Создание маркерного объекта Никто Не определен Никто
Создание глобальных объектов "Администраторы", "Служба", "Локальная служба", "Сетевая служба" Не определен "Администраторы", "Служба", "Локальная служба", "Сетевая служба"
§ Создание символических ссылок "Администраторы" Не определен "Администраторы"
Отладка программ "Администраторы" "Администраторы" Никто
Отказ в доступе к компьютеру из сети "Гость" "Гости" "Гости"
Отказ во входе в качестве пакетного задания Никто Не определен "Гости"
Отклонить локальный вход "Гость" "Гости" "Гости"
Запретить вход в систему через службу терминалов Никто Не определен "Все"
Разрешить делегирование для учетных записей компьютеров и пользователей Никто Не определен Никто
**§** означает параметры групповой политики, которые были добавлены в Windows Vista. **Сетевой доступ к этому компьютеру** Этот параметр политики позволяет другим пользователям в сети подключаться к компьютеру. Он требуется различным протоколам сети, включая протоколы на базе SMB, NetBIOS, CIFS и COM+. Для параметра **Сетевой доступ к этому компьютеру** установлено значение **Администраторы** и **Пользователи** в среде EC и **Администраторы** в среде SSLF. **Работать в режиме операционной системы** Этот параметр политики позволяет процессу принимать удостоверение любого пользователя и таким образом получать доступ к ресурсам, для которых разрешен доступ пользователю. По этой причине для параметра **Работать в режиме операционной системы** установлено значение **Никто** в обеих средах, описанных в этом руководстве. **Настраивать квоты памяти для процесса** Этот параметр политики позволяет пользователю настраивать максимальное количество памяти, доступное процессу. Возможность настройки квот памяти полезна для настройки системы, но ею можно злоупотребить. Злоумышленники могут использовать ее для атаки типа "отказ в обслуживании". По этой причине для параметра **Настраивать квоты памяти для процесса** установлены значения **Администраторы**, **Локальная служба** и **Сетевая служба** в среде SSLF и значение **Не определен** в среде EC. **Локальный вход в систему** Этот параметр политики определяет, какие пользователи могут интерактивно входить в систему компьютеров в среде. Этот право требуется для входа в систему с использованием сочетания клавиш CTRL+ALT+DEL на клавиатуре клиентского компьютера. Пользователям, которые пытаются войти в систему с помощью служб терминалов или IIS, также требуется это право. По умолчанию для этого права пользователя назначена учетная запись **Гость**. Хотя эта учетная запись по умолчанию отключена, корпорация Майкрософт рекомендует включить этот параметр с помощью групповой политики. Это право пользователя должно в большинстве случаев назначаться только группам **Администраторы** и **Пользователи**. Назначьте это право пользователя группе **Операторы архива**, если это требуется организации. В двух средах, описанных в этом руководстве, для параметра **Локальный вход в систему** назначены группы **Пользователи** и **Администраторы**. **Разрешать вход в систему через службу терминалов** Этот параметр политики определяет, какие пользователи или группы имеют право входить в систему в качестве клиента службы терминалов. Это право требуется пользователям удаленного рабочего стола. Если служба поддержки организации использует удаленный помощник, создайте группу и назначьте ей это право пользователя с помощью групповой политики. В противном случае назначьте это право пользователя только группе **Администраторы** или используйте группы с ограниченным доступом, чтобы гарантировать, что никакие учетные записи пользователей не входят в группу **Пользователи удаленного рабочего стола**. Назначьте это право только пользователям в группе **Администраторы** (и, возможно, группе **Пользователи удаленного рабочего стола**), чтобы предотвратить нежелательный доступ к компьютерам в сети с помощью функции удаленного помощника. Для параметра **Разрешать вход в систему через службу терминалов** в среде EC установлено значение **Не определен**. В среде SSLF для усиления безопасности для этого параметра политики установлено значение **Никто**. **Архивация файлов и каталогов** Этот параметр политики позволяет пользователям обходить разрешения для файлов и каталогов на архивацию. Это право пользователя включено только в том случае, если приложение (такое как NTBACKUP) пытается получить доступ к файлу или каталогу через прикладной программный интерфейс (API) архивации файловой системы NTFS. В противном случае применяются назначенные разрешения для файлов и каталогов. Для параметра **Архивация файлов и каталогов** в среде EC установлено значение **Не определен**, в среде SSLF — значение **Администраторы**. **Обход перекрестной проверки** Этот параметр политики позволяет пользователям, которые не имеют специального разрешения на доступ "Обзор папок", "обходить" папки при обзоре пути объекта в файловой системе NTFS или реестре. Это право пользователя не разрешает пользователям выводить список содержимого папки, а только выполнять обзор каталогов. Для компьютеров в среде EC параметр **Обход перекрестной проверки** имеет значение **Не определен**. В среде SSLF для него назначены группы и учетные записи **Администраторы,** **Пользователи,** **Локальная служба** **и** **Сетевая служба**. **Изменение системного времени** Этот параметр политики определяет, какие пользователи и группы могут изменять время и дату на внутренних часах компьютеров в среде. Пользователи, которым назначено это право, могут влиять на отображение журналов событий. При изменении параметра времени компьютера записи события отражают новое время, а не действительное время возникновения событий. Для параметра **Изменение системного времени** назначены группы **Локальная служба** и **Администраторы** в обеих средах, описанных в этом руководстве. **Примечание.**   Несоответствие времени на локальном компьютере и на контроллерах домена в среде может вызвать проблемы с протоколом проверки подлинности Kerberos, что сделает невозможным вход пользователей в домен или получение авторизации на доступ к ресурсам домена после входа. Кроме того, если системное время не синхронизировано со временем контроллеров домена, возникнут проблемы при применении групповой политики к клиентским компьютерам. **Изменение часового пояса** Этот параметр определяет, какие пользователи могут изменять часовой пояс на компьютере. Эта возможность не представляет опасности для компьютера и может быть полезна мобильным сотрудникам. Для параметра **Изменение часового пояса** установлено значение **Не определен** в среде EC и значения **Администраторы**, **Локальная служба** и **Пользователи** для среды SSLF. **Создание файла подкачки** Этот параметр политики позволяет пользователям изменять размер файла подкачки. Чрезмерно увеличив или уменьшив размер файла подкачки, злоумышленник может легко воздействовать на производительность атакуемого компьютера. Для параметра **Создание файла подкачки** установлено значение **Администраторы** в средах EC и SSLF. **Создание постоянных общих объектов** Этот параметр политики позволяет пользователям создавать объекты каталогов в диспетчере объектов. Это право пользователя является полезным для компонентов режима ядра, которые расширяют пространство имен объекта. Тем не менее компоненты, которые выполняются в режиме ядра, изначально имеют это право, поэтому обычно не требуется назначать его отдельно. Для параметра **Создание постоянных общих объектов** в среде EC установлено значение **Не определен**, в среде SSLF — **Никто**. **Создание маркерного объекта** Этот параметр политики позволяет процессу создавать маркер доступа, который может предоставлять повышенные права для доступа к конфиденциальным данным. В средах, в которых безопасность очень важна, нельзя назначать это право никаким пользователям. Все процессы, которым требуется эта возможность, должны использовать учетную запись "Локальная система", которой это право пользователя назначено по умолчанию. Для параметра **Создание маркерного объекта** в среде EC установлено значение **Не определен**, в среде SSLF — **Никто**. **Создание глобальных объектов** Этот параметр политики определяет, могут ли пользователи создавать глобальные объекты, доступные во всех сеансах. Пользователи, не имеющие этого права, могут создавать объекты для своих сеансов. Пользователи, имеющие право на создание глобальных объектов, могут влиять на процессы, которые запускаются в сеансах других пользователей. Эта возможность может привести к различным проблемам, таким как сбои приложений или повреждение данных. Для параметра **Создание глобальных объектов** в среде EC установлено значение **Не определен**, в среде SSLF — **Администраторы**, **Служба**, **Локальная службаи Сетевая служба**. **Создание символических ссылок** Этот параметр политики определяет, какие пользователи могут создавать символические ссылки. В Windows Vista к объектам файловой системы NTFS, таким как файлы и папки, можно получить доступ с помощью нового типа объектов файловой системы — символических ссылок. Символическая ссылка — это указатель (как ярлык или LNK-файл) на другой объект файловой системы, которым может быть файл, папка, ярлык или другая символическая ссылка. Различие между ярлыком и символической ссылкой заключается в том, что ярлык работает только в оболочке Windows. Для других программ и приложений ярлыки являются обычными файлами, тогда как символическая ссылка — это возможность файловой системы NTFS. Символические ссылки потенциально могут открывать доступ к уязвимостям в приложениях, которые не рассчитаны на их использование. По этой причине привилегию создания символических ссылок можно назначать только доверенным пользователям. По умолчанию создавать символические ссылки могут только члены группы "Администраторы". Для параметра **Создание глобальных объектов** в среде EC установлено значение **Не определен**, в среде SSLF — значение **Администраторы** (чтобы использовать конфигурацию по умолчанию). **Отладка программ** Этот параметр политики определяет, какие учетные записи пользователей будет иметь право применять отладчик к любому процессу или ядру, что обеспечивает полный доступ к уязвимым или критически важным компонентам операционной системы. Разработчикам, которые выполняют отладку собственных приложений, не требуется это право пользователя; тем не менее оно необходимо разработчикам, которые выполняют отладку новых системных компонентов. **Примечание.   **Корпорация Майкрософт выпустила в октябре 2003 г. несколько обновлений для системы безопасности, в которых использовалась версия Update.exe, требующая права пользователя **Отладка программ**. Администраторы, которые не имели этого права пользователя, не могли установить данные обновления для системы безопасности до изменения прав. Это поведение нетипично для обновлений операционной системы. Дополнительные сведения см. в статье 830846 базы знаний [Обновления продуктов Windows перестают отвечать на запросы или полностью занимают ресурсы процессора](http://support.microsoft.com/default.aspx?kbid=830846). Так как злоумышленники могут использовать это право пользователя, по умолчанию оно назначается только группе "Администраторы". Для параметра политики **Отладка программ** установлено значение **Администраторы** в среде EC и значение **Никто** в среде SSLF. **Отказ в доступе к компьютеру из сети** Этот параметр политики запрещает пользователям выполнять подключение к компьютеру из сети, при котором возможен удаленный доступ к данным и их изменение. В среде SSLF удаленным пользователям не требуется получать доступ к данным на компьютере. Для общего доступа к файлам должны использоваться сетевые серверы. Для параметра **Отказ в доступе к компьютеру из сети** установлено значение **Гости** в обеих средах, описанных в этом руководстве. **Отказ во входе в качестве пакетного задания** Этот параметр политики запрещает вход пользователей в систему с помощью средства пакетной очереди — возможности Windows Server 2003, которая используется для задания расписания автоматического однократного или многократного выполнения задач. Для параметра **Отказ во входе в качестве пакетного задания** установлено значение **Не определен** для среды EC и **Гости** — для среды SSLF. **Отклонить локальный вход** Этот параметр политики запрещает пользователям локальный вход в консоль компьютера. Если пользователи, не имеющие соответствующих полномочий, войдут локально в систему, они могут загрузить вредоносные программы или повысить свои привилегии на компьютере. (Если злоумышленники имеют физический доступ к консоли, возможны и другие риски.) Это право пользователя не должно назначаться пользователям, которым требуется физический доступ к консоли компьютера. Для параметра **Отклонить локальный вход** установлено значение **Гости** в обеих средах, описанных в этом руководстве. В среде SSLF всем учетным записям служб, добавляемым на компьютер, необходимо назначить это право, чтобы предотвратить их злоумышленное использование. **Запретить вход в систему через службу терминалов** Этот параметр политики запрещает пользователям входить в систему своих компьютеров с помощью подключения к удаленному рабочему столу. Если назначить это право пользователя группе **Все**, члены стандартной группы **Администраторы** не смогут использовать службу терминалов для входа в систему компьютеров в среде. Для параметра **Запретить вход в систему через службу терминалов** установлено значение **Не определен** для среды EC и **Все** — для среды SSLF. **Разрешить делегирование для учетных записей компьютеров и пользователей** Этот параметр политики позволяет пользователям изменять значение параметра **Делегирование разрешено** для объекта компьютера в Active Directory. Несанкционированное использование этой привилегии может позволить пользователям, не имеющим соответствующих полномочий, олицетворять других пользователей в сети. По этой причине для параметра **Разрешить делегирование для учетных записей компьютеров и пользователей** установлено значение **Не определен** для среды EC и **Никто** — для среды SSLF. ###### Права пользователей, часть 2 В следующей таблице указаны рекомендуемые значения для второй группы параметров назначения прав пользователя. Более подробные сведения о каждом из параметров представлены в последующих подразделах. **Таблица A15. Рекомендуемые значения параметров назначения прав пользователя,** **часть 2**
Значение Значение по умолчанию для Windows Vista Объекты групповой политики "Компьютеры EC VSG" Объекты групповой политики "Компьютеры SSLF VSG"
Принудительное завершение работы из удаленной системы "Администраторы" "Администраторы" "Администраторы"
Ведение аудита безопасности "Локальная служба", "Сетевая служба" "Локальная служба", "Сетевая служба" "Локальная служба", "Сетевая служба"
Олицетворять клиент после проверки подлинности "Администраторы", "Служба", "Локальная служба", "Сетевая служба" Не определен "Администраторы", "Служба", "Локальная служба", "Сетевая служба"
§ Увеличение рабочего множества процесса "Пользователи" Не определен Администраторы
Увеличение приоритета процесса Администраторы Администраторы Администраторы
Загрузка и выгрузка драйверов устройств Администраторы Администраторы Администраторы
Блокировка страниц в памяти Никто Никто Никто
Вход в систему в качестве пакетного задания Администраторы, операторы архива Не определен Никто
Вход в качестве службы Никто Не определен Никто
Управление журналом аудита и безопасности Администраторы Администраторы Администраторы
Изменение переменных окружения, заданных изготовителем Администраторы Администраторы Администраторы
Выполнение задач обслуживания томов Администраторы Администраторы Администраторы
Конфигурация отдельного процесса Администраторы Не определен Администраторы
Конфигурация производительности системы Администраторы Администраторы Администраторы
Удаление компьютера из стыковочного узла Администрация, пользователи Администрация, пользователи Администрация, пользователи
Замена маркера уровня процесса Локальная служба, сетевая служба Локальная служба, сетевая служба Локальная служба, сетевая служба
Восстановление файлов и каталогов Администраторы, операторы архива Не определен Администраторы
Завершение работы системы Администраторы, операторы архива, пользователи Администрация, пользователи Администрация, пользователи
Стать владельцем файлов или других объектов Администраторы Администраторы Администраторы
**§ —** Обозначает новые параметры групповой политики в системе Windows Vista. **Принудительное завершение работы с удаленного компьютера** Этот параметр политики позволяет пользователям отключать компьютеры с операционной системой Windows Vista с удаленных компьютеров в сети. Любой обладающий этим правом пользователя может вызвать отказ в обслуживании, что приведет к тому, что компьютер не сможет обрабатывать запросы пользователей. Поэтому корпорация Майкрософт рекомендует предоставлять это право только доверенным администраторам. Параметру **Принудительное завершение работы с удаленного компьютера** присваивается значение **Администраторы** для обеих сред, обсуждаемых в данном руководстве. **Создание записей аудита безопасности** Этот параметр политики определяет, какие пользователи или процессы могут создавать записи аудита в журнале безопасности. Злоумышленник может воспользоваться этой возможностью для создания большого количества подлежащих аудиту событий, что затруднит системному администратору обнаружение противоправных действий. Кроме того, если журнал событий настроен на перезапись событий при необходимости, все свидетельства несанкционированных действий могут быть перезаписаны большим количеством событий, не имеющих отношения к этим действиям. По этой причине параметру **Создание записей аудита безопасности** присваивается значение **Локальная служба** и **Сетевая служба** для обеих сред, обсуждаемых в данном руководстве. **Олицетворять клиент после проверки подлинности** Этот параметр политики позволяет программам, запущенным от имени какого-либо пользователя, олицетворять этого пользователя (или другую указанную учетную запись), что позволит им действовать от имени этого пользователя. Если это право пользователя необходимо для такого типа олицетворения, не прошедший проверку пользователь не сможет заставить клиента подключиться — например, через удаленный вызов процедур (RPC) или именованные каналы — к службе, созданной для олицетворения этого клиента, которая может повысить разрешения пользователя, не прошедшего проверку, до уровня администратора или системы. Службы, запускаемые диспетчером управления службами, имеют встроенную группу "Служба", добавленную по умолчанию к их маркерам доступа. COM-серверы, запускаемые инфраструктурой COM и настроенные на запуск с определенной учетной записью, также имеют группу "Служба", добавленную к их маркерам доступа. В результате данное право пользователя назначается этим процессам при их запуске. Кроме того, пользователь может олицетворять маркер доступа в случае выполнения следующих условий: - Олицетворяемый маркер доступа предназначен для этого пользователя. - Пользователь в данном сеансе входа в систему вошел в сеть с явно заданными учетными данными для создания маркера доступа. - Запрошенный уровень меньше уровня "Олицетворять", например "Анонимный вход" или "Идентификация". Злоумышленник, имеющий право **Олицетворять клиент после проверки подлинности**, может создать службу, обманным путем заставить клиента подключиться к этой службе, а затем олицетворить этот клиент для повышения уровня доступа злоумышленника до уровня доступа клиента. По этой причине параметру **Олицетворять клиент после проверки подлинности** присвоено значение **Не определен** для среды EC и **Администраторы,** **Служба,** **Локальная службаи Сетевая служба** для среды SSLF. **Увеличение рабочего множества процесса** Эта привилегия определяет, какие учетные записи пользователей могут увеличивать или уменьшать размер рабочего множества процесса. Рабочее множество процесса — это множество страниц памяти, видимых в текущий момент процессу в физической оперативной памяти. Эти страницы являются резидентными, и их использование приложением не приведет к ошибке доступа. Минимальный и максимальный размеры рабочего множества влияют на характер использования процессом страниц виртуальной памяти. Это право предоставлено по умолчанию всем пользователям. Тем не менее, увеличение размера рабочего множества сокращает объем физической памяти, доступный остальным компонентам системы. Вредоносный программный код может увеличить рабочее множество до такого уровня, который может привести к существенному снижению производительности системы и даже к отказу в обслуживании. В определенных средах можно избежать этой опасности путем ограничения количества пользователей, которые могут увеличивать рабочее множество процесса. По этой причине праву пользователя "Увеличение рабочего множества процесса" присвоено значение **Не определен** для среды EC и **Администраторы** для среды SSLF. **Увеличение приоритета процесса** Этот параметр политики позволяет пользователям изменять количество времени процессора, используемое процессом. Злоумышленник может воспользоваться данной возможностью для увеличения приоритета процесса до уровня реального времени, что может привести к отказу в обслуживании. По этой причине параметру **Увеличение приоритета процесса** присвоено значение **Администраторы** для обеих сред, обсуждаемых в данном руководстве. **Загрузка и выгрузка драйверов устройств** Этот параметр политики позволяет пользователям динамически загружать в системе новый драйвер устройства. Злоумышленник может потенциально воспользоваться данной возможностью для установки вредоносного кода под видом драйвера устройства. Данное право пользователя необходимо пользователям для добавления локальных принтеров или драйверов принтеров в системе Windows Vista. Поскольку данное право пользователя может использоваться злоумышленником, параметру **Загрузка и выгрузка драйверов устройств** присвоено значение **Администраторы** для обеих сред, обсуждаемых в данном руководстве. **Блокировка страниц в памяти** Этот параметр политики позволяет процессу хранить данные в физической памяти, что предотвращает сброс данных в страницы виртуальной памяти на диск. Предоставление данного права пользователя может привести к существенному снижению производительности системы. По этой причине параметру **Блокировка страниц в памяти** присвоено значение **Никто** для обеих сред, обсуждаемых в данном руководстве. **Вход в систему в качестве пакетного задания** Этот параметр политики позволяет учетным записям входить в систему, используя службу планировщика заданий. Поскольку планировщик заданий часто используется в административных целях, это может быть необходимо в среде EC. Тем не менее, использование этого параметра в среде SSLF должно быть ограничено в целях предотвращения неправильного использования системных ресурсов или для предотвращения использования данного права злоумышленниками для запуска вредоносного кода после получения уровня доступа пользователя к компьютеру. Таким образом, праву **Вход в систему в качестве пакетного задания** присвоено значение **Не определен** для среды EC и **Никто** для среды SSLF. **Вход в качестве службы** Этот параметр политики позволяет учетным записям запускать сетевые службы или регистрировать процесс как службу, запускаемую в системе. Это право пользователя должно быть ограничено на любом компьютере в среде SSLF, но, поскольку многим приложениям требуется эта привилегия, ее следует тщательно оценить и протестировать перед настройкой в среде EC. На компьютерах с операционной системой Windows Vista эта привилегия не предоставлена по умолчанию ни одному пользователю или группе. Таким образом, праву **Вход в качестве службы** присвоено значение **Не определен** для среды EC и **Никто** для среды SSLF. **Управление журналом аудита и безопасности** Этот параметр политики определяет, какие пользователи могут изменять параметры аудита для файлов и каталогов и очищать журнал безопасности. Поскольку эта возможность представляет относительно небольшую угрозу, параметру **Управление журналом аудита и безопасности** принудительно присвоено значение по умолчанию **Администраторы** для обеих сред, обсуждаемых в данном руководстве. **Изменение переменных окружения, заданных изготовителем** Этот параметр политики позволяет пользователям настраивать системные переменные окружения, влияющие на конфигурацию оборудования. Эти данные обычно хранятся в последней удачной конфигурации. Изменение этих значений может привести к сбою оборудования, который может привести к отказу в обслуживании. Поскольку эта возможность представляет относительно небольшую угрозу, параметру **Изменение переменных окружения, заданных изготовителем** принудительно присвоено значение по умолчанию **Администраторы** для обеих сред, обсуждаемых в данном руководстве. **Выполнение задач обслуживания томов** Этот параметр политики позволяет пользователям управлять конфигурацией системного тома или диска, что позволяет пользователю удалить том и может привести к потере данных, а также к отказу в обслуживании. Параметру **Выполнение задач обслуживания томов** принудительно присвоено значение по умолчанию **Администраторы** для обеих сред, обсуждаемых в данном руководстве. **Конфигурация отдельного процесса** Этот параметр политики определяет, каким пользователям разрешено использовать средства для наблюдения за производительностью несистемных процессов. Как правило, не требуется настраивать это право пользователя на использование оснастки "Производительность" консоли управления (MMC). Тем не менее, это право необходимо использовать в случае, если системный монитор настроен на сбор данных с помощью инструментария управления Windows (WMI). Ограничение права пользователя **Конфигурация отдельного процесса** не позволяет злоумышленникам осуществлять сбор дополнительных сведений, которые можно использовать для атаки на систему. Параметру **Конфигурация отдельного процесса** присвоено значение **Не определен** для компьютеров в среде EC и **Администраторы** для среды SSLF. **Конфигурация производительности системы** Этот параметр политики позволяет пользователям использовать средства для просмотра производительности различных системных процессов, а эти сведения могут быть использованы злоумышленниками для определения активных системных процессов и подготовки площадки для атаки на компьютер. Параметру **Конфигурация производительности системы** принудительно присвоено значение по умолчанию **Администраторы** для обеих сред, обсуждаемых в данном руководстве. **Удаление компьютера из стыковочного узла** Этот параметр политики позволяет пользователю портативного компьютера выбрать пункт **Извлечь компьютер** в меню **Пуск**, чтобы отстыковать компьютер. Параметру **Удаление компьютера из стыковочного узла** присвоено значение **Администраторы**и **Пользователи** для обеих сред, обсуждаемых в данном руководстве. **Замена маркера уровня процесса** Этот параметр политики позволяет одному процессу или службе запускать другую службу или процесс с другим маркером доступа к системе безопасности, который можно использовать для изменения маркера доступа к системе безопасности этого дочернего процесса и повышения полномочий. Параметру **Замена маркера уровня процесса** по умолчанию присвоены значения **Локальная служба** и **Сетевая служба** для обеих сред, обсуждаемых в данном руководстве. **Восстановление файлов и каталогов** Этот параметр политики определяет, каким пользователям разрешено обходить разрешения для файлов, каталогов, реестра и других постоянных объектов при восстановлении из резервных копий файлов и каталогов на компьютере с операционной системой Windows Vista. Это право пользователя также определяет, каким пользователям разрешено устанавливать допустимых участников безопасности в качестве владельцев объектов; это право подобно праву **Резервное копирование файлов и каталогов**. Параметру **Восстановление файлов и каталогов** присвоено значение **Не определен** для компьютеров в среде EC и **Администраторы** для среды SSLF. **Завершение работы системы** Этот параметр политики определяет, каким пользователям, локально вошедшим в систему на компьютерах в данной среде, разрешено завершать работу операционной системы с помощью команды "Завершить работу". Неправильное использование этого права пользователя может привести к отказу в обслуживании. Для сред SSLF корпорация Майкрософт рекомендует, чтобы это право предоставлялось только группам **Администраторы** и **Пользователи**. Параметру **Завершение работы системы** присвоено значение **Администраторы** и **Пользователи** для обеих сред, обсуждаемых в данном руководстве. **Стать владельцем файлов или других объектов** Этот параметр политики позволяет пользователям становиться владельцами файлов, папок, разделов реестра, процессов или потоков. Это право пользователя обходит все разрешения, действующие для защиты объектов, и назначает владельцем указанного пользователя. Параметру **Стать владельцем файлов или других объектов** по умолчанию присвоено значение **Администраторы** для обеих сред, обсуждаемых в данном руководстве. ##### Параметры безопасности Параметры безопасности, применяемые с помощью групповой политики на компьютерах с операционной системой Windows Vista в данной среде, используются для включения и отключения таких возможностей и функций как доступ к дисководу гибких дисков, доступ к устройству компакт-дисков и приглашения для входа в систему. Эти параметры также используются для настройки множества других параметров, таких как параметры цифровой подписи данных, имена учетных записей администратора и гостя и процесс установки драйверов. Параметры безопасности можно настроить в следующем местоположении редактора объектов групповой политики: **Конфигурация компьютера\\Параметры Windows\\Параметры безопасности\\Локальные политики\\Параметры безопасности** Не все параметры, включенные в этот раздел, имеются на всех типах систем. Таким образом, параметры в части "Параметры безопасности" групповой политики, определенные в этом разделе, может потребоваться вручную изменить в тех системах, в которых эти параметры имеются, чтобы полностью их задействовать. Кроме того, шаблоны групповой политики можно изменить по отдельности для включения подходящих параметров, чтобы полностью задействовать установленные параметры. В следующих разделах приведены рекомендации по настройке параметров безопасности, которые сгруппированы по типу объекта. Каждый раздел включает таблицу, в которую сведены параметры, а в подразделах за каждой таблицей приведены подробные сведения. Рекомендации приведены как для настольных, так и для портативных клиентских компьютеров для двух сред безопасности, обсуждаемых в этом руководстве: среда корпоративных клиентов (EC) и среда специализированной безопасности с ограниченной функциональностью (SSLF). Этот раздел приложения включает таблицы и рекомендации следующим параметрам типа объекта, расположенным в подкаталоге **Параметры** **безопасности**: - [Учетные записи](#_accounts) - [Аудит](#_audit) - [Устройства](#_devices) - [Член домена](#_domain_member) - [Интерактивный вход в систему](#_interactive_logon) - [Клиент сети Microsoft](#_microsoft_network_client) - [Параметры MSS](#_mss_settings_1) - [Сервер сети Microsoft](#_microsoft_network_server) - [Доступ к сети](#_network_access) - [Сетевая безопасность](#_network_security) - [Консоль восстановления](#_recovery_console) - [Завершения работы](#_shutdown) - [Системная криптография](#_system_cryptography) - [Системные объекты](#_system_objects) - [Управление учетной записью пользователя](#_user_account_control) ###### Учетные записи В следующей таблице сведены рекомендуемые значения параметров безопасности для учетных записей. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П16. Рекомендации для параметров безопасности — учетные записи**
Значение Значение по умолчанию в системе Windows Vista Объекты групповой политики компьютера в среде EC VSG Объекты групповой политики компьютера в среде SSLF VSG
Учетные записи: состояние учетной записи администратора Отключена Не определен Отключена
Учетные записи: состояние учетной записи гостя Отключена Отключена Отключена
Учетные записи: ограничить использование пустых паролей только для консольного входа Включен Включен Включен
Учетные записи: переименование учетной записи администратора Администратор Рекомендуется Рекомендуется
Учетные записи: переименование учетной записи гостя Гость Рекомендуется Рекомендуется
**Учетные записи: состояние учетной записи администратора** Этот параметр политики включает или отключает учетную запись администратора в процессе обычной работы. При загрузке компьютера в безопасном режиме учетная запись администратора всегда включена в независимости от значения этого параметра. Параметру **Учетные записи: состояние учетной записи администратора** присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. **Учетные записи: состояние учетной записи гостя** Этот параметр политики определяет, включена или отключена учетная запись гостя. Учетная запись гостя позволяет пользователям сети получить доступ к компьютеру без проверки подлинности. Параметру безопасности **Учетные записи: Состояние учетной записи гостя** присвоено значение **Отключен** для обеих сред, обсуждаемых в данном руководстве. **Учетные записи: ограничить использование пустых паролей только для консольного входа** Этот параметр политики определяет, можно ли использовать не защищенные паролем локальные учетные записи для входа в систему из местоположений, отличных от физической консоли компьютера. Если этот параметр политики включен, локальные учетные записи с пустыми паролями не смогут входить в сеть с удаленных клиентских компьютеров. Такие учетные записи смогут входить в систему только с клавиатуры компьютера. Параметру **Учетные записи: ограничить использование пустых паролей только для консольного входа** присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. **Учетные записи: переименование учетной записи администратора** Встроенная учетная запись администратора имеет известное имя, которое может стать целью для атаки злоумышленниками. Корпорация Майкрософт рекомендует выбрать для этой учетной записи другое имя и избегать использования имен, которые обозначают административные учетные записи или учетные записи с повышенным уровнем доступа. Также необходимо изменить описание по умолчанию для локального администратора (через консоль управления компьютером). Рекомендации по использованию параметра **Учетные записи: переименование учетной записи администратора** применимы для обеих сред, обсуждаемых в данном руководстве. **Примечание.**   Этот параметр политики не задан в шаблонах безопасности, а это руководство не предлагает свой вариант имени пользователя для этой учетной записи. Имена пользователей не предлагаются, чтобы организации, следующие рекомендациям данного руководства, не использовали такое же имя пользователя в своих средах. **Учетные записи: переименование учетной записи гостя** Имя встроенной учетной записи гостя также хорошо известно злоумышленникам. Корпорация Майкрософт также рекомендует переименовать эту учетную запись таким образом, чтобы новое имя не отражало назначение этой учетной записи. Даже при отключении этой учетной записи (рекомендуется), в целях дополнительной безопасности убедитесь в том, что она переименована. Рекомендации по использованию параметра **Учетные записи: переименование учетной записи гостя** применимы для обеих сред, обсуждаемых в данном руководстве. **Примечание.**   Этот параметр политики не задан в шаблонах безопасности, а это руководство не предлагает свой вариант имени пользователя для этой учетной записи. Имена пользователей не предлагаются, чтобы организации, следующие рекомендациям данного руководства, не использовали такое же имя пользователя в своих средах. ###### Аудит В следующей таблице сведены рекомендованные значения параметров аудита. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П17. Рекомендации для параметров безопасности — аудит**
Значение Значение по умолчанию в системе Windows Vista Объекты групповой политики компьютера в среде EC VSG Объекты групповой политики компьютера в среде SSLF VSG
Аудит: аудит доступа к глобальным системным объектам Отключен Не определен Отключен
Аудит: аудит использования права резервного копирования и восстановления Отключен Не определен Отключен
§ Аудит: принудительная установка параметров подкатегорий политики аудита (Windows Vista или более поздняя версия) для переопределения параметров категории политики аудита Не определен Включен Включен
Аудит: немедленное отключение компьютера, если невозможно внести в журнал записи об аудите безопасности Отключен Не определен Отключен
**§ —** Обозначает новые параметры групповой политики в системе Windows Vista. **Аудит: аудит доступа к глобальным системным объектам** Этот параметр политики создает системный список управления доступом по умолчанию (SACL) для таких системных объектов как мьютексы (взаимно исключающие), события, семафоры и устройства MS-DOS® и включает аудит доступа к этим объектам. Если параметр **Аудит: аудит доступа к глобальным системным объектам** включен, большое количество событий безопасности может привести к быстрому заполнению журнала событий безопасности. Таким образом, данному параметру политики присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. **Аудит: аудит использования права резервного копирования и восстановления** Этот параметр политики определяет, следует ли проводить аудит всех привилегий пользователя, включая право на резервное копирование и восстановление, при включенном параметре **Аудит использования привилегий**. Если обе политики включены, событие аудита будет создаваться для каждого файла, для которого выполняется резервное копирование или восстановление. Если параметр **Аудит: аудит использования права резервного копирования и восстановления** большое количество событий безопасности может привести к быстрому заполнению журнала событий безопасности. Таким образом, данному параметру политики присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. **Аудит: принудительная установка параметров подкатегорий политики аудита (Windows Vista или более поздняя версия) для переопределения параметров категории политики аудита** Этот параметр политики позволяет администраторам использовать более подробные возможности аудита, имеющиеся в системе Windows Vista. Параметры политики аудита, доступные в Active Directory Windows Server 2003, пока не содержат параметров для управления новыми подкатегориями аудита. Для надлежащего применения политик аудита, описанных в данном руководстве, параметру **Аудит: принудительная установка параметров подкатегорий политики аудита (Windows Vista или более поздняя версия) для переопределения параметров категории политики аудита** присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. **Аудит: немедленное отключение компьютера, если невозможно внести в журнал записи об аудите безопасности** Этот параметр политики определяет, следует ли отключать компьютер, если невозможно записать в журнал события безопасности. Требование для сертификации по критериям оценки безопасности защищенных вычислительных систем (TCSEC)-C2 и общим критериям заключается в том, чтобы предотвратить возникновение подлежащих аудиту событий в случае, если система аудита не сможет записать их в журнал. Корпорация Майкрософт выбрала способ соответствия этому требованию, который заключается в завершении работы компьютера и выводе сообщения об ошибке в случае сбоя системы аудита. Если этот параметр политики включен, компьютер будет завершать работу каждый раз, когда по какой-либо причине не удастся записать в журнал событие аудита безопасности. Если параметр **Аудит: немедленное отключение компьютера, если невозможно внести в журнал записи об аудите безопасности** могут происходить незапланированные системные сбои. Таким образом, данному параметру политики присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. ###### Устройства В следующей таблице сведены рекомендуемые значения параметров безопасности для устройств. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П18. Рекомендации для параметров безопасности — устройства**
Значение Значение по умолчанию в системе Windows Vista Объекты групповой политики компьютера в среде EC VSG Объекты групповой политики компьютера в среде SSLF VSG
Устройства: разрешать отстыковку без входа в систему Включен Не определен Отключен
Устройства: разрешено форматировать и извлекать съемные носители Не определен (значение реестра по умолчанию не существует) Администраторы, интерактивные пользователи Администраторы
Устройства: запретить пользователям установку драйверов принтера
(для настольных компьютеров)
Отключен Включен Включен
Устройства: запретить пользователям установку драйверов принтера
(для переносных компьютеров)
Отключен Отключен Отключен
Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям Не определен (значение реестра по умолчанию не существует) Не определен Отключен
Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям Не определен (значение реестра по умолчанию не существует) Не определен Отключен
**Устройства: разрешать отстыковку без входа в систему** Этот параметр политики определяет, разрешено ли отстыковывать переносной компьютер, если пользователь не выполнил вход в систему. Включите этот параметр политики, чтобы не требовать входа в систему и разрешить использовать кнопку извлечения на внешнем устройстве для отстыковки компьютера. Если этот параметр политики отключен, для отстыковки компьютера пользователь должен войти в систему, а также обладать правом **Удаление компьютера из стыковочного узла**. Параметру **Устройства:** **разрешать отстыковку без входа в систему** присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. **Устройства: разрешено форматировать и извлекать съемные носители** Этот параметр политики определяет, кому разрешено форматировать и извлекать съемные носители. Этот параметр политики можно использовать, чтобы запретить не прошедшим проверку пользователям переносить данные с одного компьютера на другой, на котором они имеют привилегии локального администратора. Параметр **Устройства:** **разрешено форматировать и извлекать съемные носители** ограничен группами **Администраторы** и **Интерактивные пользователи** для среды EC и только группой **Администраторы** для среды SSLF в целях дополнительной безопасности. **Устройства: запретить пользователям установку драйверов принтера** Злоумышленник может замаскировать троянскую программу под драйвер принтера. Программа может сообщать пользователям, что ее необходимо использовать для печати, а на самом деле выполнять вредоносный программный код в компьютерной сети. Для уменьшения вероятности такого события установка драйверов принтера должна быть разрешена только администраторам. Тем не менее, поскольку переносные компьютеры являются мобильными устройствами, им иногда требуется установить драйвер принтера из удаленного источника, чтобы продолжить работу. Таким образом, этот параметр политики должен быть отключен для пользователей переносных компьютеров и включен для пользователей настольных компьютеров. Параметру **Устройства:** **запретить пользователям установку драйверов принтера** присвоено значение **Включен** для настольных компьютеров в обеих средах, обсуждаемых в данном руководстве, и **Отключен** для пользователей переносных компьютеров в обеих средах. **Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям** Этот параметр политики определяет, доступен ли дисковод компакт-дисков одновременно локальным и удаленным пользователям. Если этот параметр политики включен, доступ к носителям в дисководе компакт-дисков разрешен только пользователям, вошедшим в систему интерактивно. Если этот параметр политики включен, и ни один пользователь не вошел в систему, доступ к дисководу компакт-дисков по сети получить нельзя. Если этот параметр включен, служебная программа архивации данных не сможет работать, если для задания архивации были указаны теневые копии тома. Все программные продукты для архивации, разработанные сторонними производителями, использующие теневые копии тома, также не смогут работать. Параметру **Устройства:** **разрешить доступ к дисководам компакт-дисков только локальным пользователям** присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. **Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям** Этот параметр политики определяет, доступен ли дисковод гибких дисков одновременно локальным и удаленным пользователям. Если этот параметр политики включен, доступ к носителям в дисководе гибких дисков разрешен только пользователям, вошедшим в систему интерактивно. Если этот параметр политики включен, и ни один пользователь не вошел в систему, доступ к дисководу гибких дисков по сети получить нельзя. Если этот параметр включен, служебная программа архивации данных не сможет работать, если для задания архивации были указаны теневые копии тома. Все программные продукты для архивации, разработанные сторонними производителями, использующие теневые копии тома, также не смогут работать. Параметру **Устройства:** **разрешить доступ к дисководам гибких дисков только локальным пользователям** присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. ###### Член домена В следующей таблице сведены рекомендуемые значения параметров безопасности для членов домена. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П19. Рекомендации для параметров безопасности — члены домена**
Значение Значение по умолчанию в системе Windows Vista Объекты групповой политики компьютера в среде EC VSG Объекты групповой политики компьютера в среде SSLF VSG
Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала Включен Включен Включен
Член домена: шифрование данных безопасного канала, когда это возможно Включен Включен Включен
Член домена: цифровая подпись данных безопасного канала, когда это возможно Включен Включен Включен
Член домена: отключить изменение пароля учетных записей компьютера Отключен Отключен Отключен
Член домена: максимальный срок действия пароля учетных записей компьютера 30 дней 30 дней 30 дней
Член домена: требовать стойкий (Windows 2000 или более поздней версии) ключ сеанса Отключен Включен Включен
**Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала** Этот параметр политики определяет, следует ли подписывать или шифровать весь трафик безопасного канала, инициированный членом домена. Если система настроена на постоянное шифрование или подписывание данных безопасного канала, она не сможет установить безопасное соединение с контроллером домена, который не может подписывать или шифровать весь трафик безопасного канала, поскольку все данные безопасного канала подписаны или зашифрованы. Параметру **Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала** присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. **Член домена: шифрование данных безопасного канала, когда это возможно** Этот параметр политики определяет, следует ли члену домена предпринимать попытку шифрования всего инициированного им трафика безопасного канала. Если этот параметр политики включен, член домена будет запрашивать шифрование всего трафика безопасного канала. Если этот параметр политики отключен, член домена не будет осуществлять шифрование безопасного канала. Параметру **Член домена: шифрование данных безопасного канала, когда это возможно** присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. **Член домена: цифровая подпись данных безопасного канала, когда это возможно** Этот параметр политики определяет, следует ли члену домена предпринимать попытку подписывать весь инициированный им трафик безопасного канала. Цифровые подписи защищают трафик от изменений любым лицом, перехватившим данные при их передаче по сети. Параметру **Член домена: цифровая подпись данных безопасного канала, когда это возможно** присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. **Член домена: отключить изменение пароля учетных записей компьютера** Этот параметр политики определяет, следует ли члену домена периодически изменять пароль учетной записи своего компьютера. Если этот параметр политики включен, член домена не сможет изменять пароль учетной записи своего компьютера. Если этот параметр политики отключен, член домена сможет изменять пароль учетной записи своего компьютера, как указано в параметре **Член домена: максимальный срок действия пароля учетных записей компьютера**, значение по умолчанию которого составляет каждые 30 дней. Компьютеры, которые не могут автоматически менять пароли своих учетных записей, потенциально уязвимы, поскольку злоумышленник может подобрать пароль системной учетной записи домена. Таким образом, параметру **Член домена: отключить изменение пароля учетных записей компьютера** присвоено значение **Отключен** для обеих сред, обсуждаемых в данном руководстве. **Член домена: максимальный срок действия пароля учетных записей компьютера** Этот параметр политики определяет максимально допустимый срок действия пароля учетной записи компьютера. По умолчанию члены домена автоматически меняют свои доменные пароли каждые 30 дней. При значительном увеличении этого интервала или присвоении ему значения 0, которое не позволяет компьютерам менять свои пароли, в распоряжении злоумышленника будет больше времени для атаки одной из учетных записей компьютера методом подбора пароля. Таким образом, параметру **Член домена: максимальный срок действия пароля учетных записей компьютера** присвоено значение **30 дней** для обеих сред, обсуждаемых в данном руководстве. **Член домена: требовать стойкий (Windows 2000 или более поздней версии) ключ сеанса** Если этот параметр политики включен, безопасное соединение можно устанавливать только с теми контроллерами домена, которые позволяют шифровать данные безопасного канала с помощью стойкого (128-битного) ключа сеанса. Чтобы включить этот параметр политики, необходимо, чтобы все контроллеры домена в домене были способны шифровать данные безопасного канала с помощью стойкого ключа, что означает, что на всех контроллерах домена была установлена операционная система Microsoft Windows 2000 или более поздняя версия. Если требуется взаимодействие с доменами не на основе Windows 2000, корпорация Майкрософт рекомендует отключить этот параметр политики. Параметру **Член домена: требовать стойкий (Windows** **2000 или более поздней версии)** ключ сеанса присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. ###### Интерактивный вход в систему В следующей таблице сведены рекомендуемые значения параметров безопасности для интерактивного входа в систему. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П20. Рекомендации для параметров безопасности — интерактивный вход в систему**
Значение Значение по умолчанию в системе Windows Vista Объекты групповой политики компьютера в среде EC VSG Объекты групповой политики компьютера в среде SSLF VSG
Интерактивный вход в систему: не отображать последнего имени пользователя Отключен Включен Включен
Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL Не определен Отключен Отключен
Интерактивный вход в систему: текст сообщения для пользователей при входе в систему Пусто Рекомендуется Рекомендуется
Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему Пусто Рекомендуется Рекомендуется
Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
(для настольных компьютеров)
10 2 0
Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
(для переносных компьютеров)
10 2 2
Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее 14 дней 14 дней 14 дней
Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера (для настольных компьютеров) Отключен Включен Включен
Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера (для переносных компьютеров) Отключен Отключен Отключен
Интерактивный вход в систему: поведение при извлечении смарт-карты Никаких действий Блокировка рабочей станции Блокировка рабочей станции
**Интерактивный вход в систему: не отображать последнего имени пользователя** Этот параметр политики определяет, будет ли отображаться имя учетной записи последнего пользователя для входа в систему на экране входа в систему Windows клиентских компьютеров организации. Включите этот параметр политики, чтобы воспрепятствовать визуальному сбору данных об учетных данных с экранов настольных или переносных компьютеров организации злоумышленниками. Параметру **Интерактивный вход в систему: не отображать последнего имени пользователя** присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. **Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL** Сочетание клавиш CTRL+ALT+DEL представляет собой надежный способ доступа к операционной системе при вводе пользователем имени пользователя и пароля. Если этот параметр политики включен, пользователям не требуется использовать это сочетание клавиш для входа в сеть. Тем не менее, подобная конфигурация представляет угрозу безопасности, поскольку предоставляет пользователям возможность входа в систему с ослабленными учетными данными. Параметру **Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL** присвоено значение **Отключен** для обеих сред, обсуждаемых в данном руководстве. **Интерактивный вход в систему: текст сообщения для пользователей при входе в систему** Этот параметр политики задает текстовое сообщение, отображаемое при входе пользователя в систему. Этот текст часто используется в целях соблюдения законодательных норм — например, для предупреждения пользователей о последствиях неправильного использования данных компании или для предупреждения о том, что действия пользователя могут быть подвержены аудиту. **Примечание.**   Любое отображаемое предупреждение должно быть сначала утверждено представителями юридического отдела или отдела кадров организации. Кроме того, параметры **Интерактивный вход в систему: текст сообщения для пользователей при входе в систему** и **Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему** должны быть *одновременно* включены для правильного функционирования. **Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему** Этот параметр политики позволяет указать текст в заголовке окна, которое пользователи видят при входе в систему. Причины использования этого параметра политики такие же, как и для предыдущего параметра. Организации, не использующие этот параметр политики, более уязвимы юридически для злоумышленников, атакующих систему. **Примечание.**   Любое отображаемое предупреждение должно быть сначала утверждено представителями юридического отдела или отдела кадров организации. Кроме того, параметры **Интерактивный вход в систему: текст сообщения для пользователей при входе в систему** и **Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему** должны быть одновременно включены для правильного функционирования. **Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)** Этот параметр политики определяет, разрешено ли пользователю входить в домен Windows, используя кэшированные данные об учетной записи. Данные о входе в систему можно локально кэшировать, чтобы позволить пользователям входить в систему даже в том случае, когда не удается соединиться с контроллером домена. Этот параметр политики определяет количество уникальных пользователей, для которых данные о входе в систему локально кэшируются. Значение по умолчанию для этого параметра политики составляет 10. Если это значение установить равным 0, возможность кэширования данных для входа в систему будет отключена. Злоумышленник, имеющий возможность получить доступ к файловой системе сервера, сможет найти эти кэшированные данные и осуществить атаку методом прямого перебора для определения паролей пользователей. Параметру **Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)** присвоено значение **2** для настольных и переносных компьютеров в среде EC и для переносных компьютеров в среде SSLF. Тем не менее, этому параметру политики присвоено значение **0** для настольных компьютеров в среде SSLF, поскольку такие компьютеры всегда должны быть безопасным образом подключены к сети организации. **Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее** Этот параметр политики определяет, когда пользователям выдается предупреждение о том, что их пароль устареет. Корпорация Майкрософт рекомендует присвоить этому параметру политики значение, равно 14 дням, что достаточно для того, чтобы предупредить пользователей о том, что их пароль устареет. Параметру **Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее** присвоено значение **14 дней** для обеих сред, обсуждаемых в данном руководстве. **Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера** Если этот параметр политики включен, контроллер домена должен проверить подлинность учетной записи домена, используемой для отмены блокировки компьютера. Если этот параметр политики отключен, для отмены блокировки компьютера можно использовать кэшированные учетные данные. Корпорация Майкрософт рекомендует отключить этот параметр политики для пользователей переносных компьютеров в обеих средах, поскольку мобильные пользователи не имеют доступа по сети к контроллерам домена. Параметру **Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера** присвоено значение **Включен** для настольных компьютеров в обеих средах EC и SSLF. Тем не менее, этому параметру политики присвоено значение **Отключен** для переносных компьютеров в обеих средах, что позволяет пользователям таких компьютеров работать за пределами офиса. **Интерактивный вход в систему: поведение при извлечении смарт-карты** Этот параметр политики определяет, что происходит при извлечении из устройства для чтения смарт-карт смарт-карты вошедшего в систему пользователя. Если этому параметру политики присвоено значение **Блокировка рабочей станции**, при удалении смарт-карты рабочая станция будет заблокирована, что позволяет пользователям покинуть свое рабочее место, взяв с собой смарт-карту и автоматически заблокировав рабочую станцию. Если этому параметру политики присвоено значение **Принудительный выход из системы**, при извлечении смарт-карты будет автоматически произведен выход пользователя из системы. Параметру **Интерактивный вход в систему: поведение при извлечении смарт-карты** присвоено значение **Блокировка рабочей станции** для обеих сред, обсуждаемых в данном руководстве. ###### Клиент сети Microsoft В следующей таблице сведены рекомендуемые значения параметров безопасности для клиентских компьютеров сети Microsoft. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П21. Рекомендации для параметров безопасности — клиенты сети Microsoft**
Значение Значение по умолчанию в системе Windows Vista Объекты групповой политики компьютера в среде EC VSG Объекты групповой политики компьютера в среде SSLF VSG
Клиент сети Microsoft: использовать цифровую подпись (всегда) Отключен Включен Включен
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) Включен Включен Включен
Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам Отключен Отключен Отключен
**Клиент сети Microsoft: использовать цифровую подпись (всегда)** Этот параметр политики определяет, требуется ли для клиентского компонента SMB цифровая подпись пакетов. Если этот параметр политики включен, клиентский компьютер сети Microsoft не сможет взаимодействовать с сервером сети Microsoft, пока сервер не начнет подписывать пакеты SMB. В смешанных средах с устаревшими клиентскими компьютерами необходимо присвоить этому параметру значение **Отключен**, поскольку эти компьютеры не смогут выполнить проверку подлинности или получить доступ к контроллерам домена. Тем не менее, этот параметр политики можно использовать в средах на основе Windows 2000 или более поздней версии. Параметру **Клиент сети Microsoft: использовать цифровую подпись (всегда)** присвоено значение **Включен** для компьютеров обеих сред, обсуждаемых в данном руководстве. **Примечание.**   Если этот параметр политики включен на компьютерах с операционной системой Windows Vista, и эти компьютеры подключаются общим файлам или принтерам на удаленных серверах, важно, чтобы этот параметр был синхронизирован со своим дополнительным параметром, **Сервер сети Microsoft: использовать цифровую подпись (всегда)**, на этих серверах. Дополнительные сведения об этих параметрах см. в разделе "Клиент и сервер сети: использование цифровой подписи (четыре параметра)" главы 5 руководства [*Угрозы и меры противодействия*](http://go.microsoft.com/fwlink/?linkid=15159). **Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)** Этот параметр политики определяет, следует ли клиенту SMB предпринять попытку подписывать пакеты SMB. Реализация цифровой подписи в сетях на основе Windows помогает защититься от перехвата сеансов. Если этот параметр политики включен, клиент сети Microsoft будет использовать цифровую подпись только в том случае, если сервер, с которым взаимодействует этот клиент, принимает взаимодействия с цифровой подписью. Параметру **Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)** присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. **Примечание.**   Включите этот параметр политики для клиентов SMB в своей сети для наиболее эффективного использования ими цифровой подписи пакетов при взаимодействии со всеми клиентами и серверами в данной среде. **Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам** Отключите этот параметр политики, чтобы запретить отправку перенаправителем SMB в процессе проверки подлинности открытых паролей сторонним SMB-серверам, которые не поддерживают шифрование паролей. Корпорация Майкрософт рекомендует отключить этот параметр политики, если только это не является бизнес-необходимостью. Если этот параметр политики включен, будет разрешена отправка незашифрованных паролей по сети. Параметру **Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам** присвоено значение **Отключен** для обеих сред, обсуждаемых в данном руководстве. ###### Сервер сети Microsoft В следующей таблице сведены рекомендуемые значения параметров безопасности для серверов сети Microsoft. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П22. Рекомендации для параметров безопасности — серверы сети Microsoft**
Значение Значение по умолчанию в системе Windows Vista Объекты групповой политики компьютера в среде EC VSG Объекты групповой политики компьютера в среде SSLF VSG
Сервер сети Microsoft: длительность простоя перед отключением сеанса 15 минут 15 минут 15 минут
Сервер сети Microsoft: использовать цифровую подпись (всегда) Отключен Включен Включен
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) Отключен Включен Включен
Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа Включен Включен Включен
**Сервер сети Microsoft: длительность простоя перед отключением сеанса** Этот параметр политики позволяет указать количество времени непрерывного простоя, которое должно пройти в сеансе SMB, перед тем как сеанс будет отключен из-за бездействия. Администраторы могут использовать этот параметр политики для контроля отключения компьютером неактивного сеанса SMB. Если активность клиента возобновляется, сеанс автоматически восстанавливается. Параметру **Сервер сети Microsoft: длительность простоя перед отключением сеанса** присвоено значение **15 минут** в обеих средах, обсуждаемых в данном руководстве. **Сервер сети Microsoft: использовать цифровую подпись (всегда)** Этот параметр политики определяет, требуется ли службе SMB на стороне сервера выполнять подписывание пакетов SMB. Включите этот параметр политики в смешанной среде, чтобы запретить подчиненным клиентам использовать рабочую станцию в качестве сервера сети. Параметру **Сервер сети Microsoft: использовать цифровую подпись (всегда)** присвоено значение **Включен** для компьютеров обеих сред, обсуждаемых в данном руководстве. **Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)** Этот параметр политики определяет, может ли служба SMB на стороне сервера подписывать пакеты SMB, если это требуется клиенту, который пытается установить соединение. Если от клиента не поступает запрос на использование цифровой подписи, соединение будет разрешено установить без использования цифровой подписи, если параметр **Сервер сети Microsoft: использовать цифровую подпись (всегда)** отключен. Параметру **Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)** присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. **Примечание.**   Включите этот параметр политики для клиентов SMB в своей сети для наиболее эффективного использования ими цифровой подписи пакетов при взаимодействии со всеми клиентами и серверами в данной среде. **Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа** Этот параметр политики определяет, следует ли отключать пользователей, подключившихся к локальному компьютеру вне разрешенных часов для входа в систему. Этот параметр влияет на компонент SMB. Если этот параметр политики включен, клиентские сеансы со службой SMB будут принудительно прерваны по истечении разрешенных часов для входа клиента в систему. Если этот параметр политики отключен, установленные клиентские сеансы будут поддерживаться и по истечении разрешенных часов для входа клиента в систему. Если этот параметр политики включен, необходимо также включить параметр **Сетевая безопасность:** **принудительный вывод из сеанса по истечении допустимых часов работы**. Если в организации установлены часы входа в систему для пользователей, имеет смысл включить этот параметр политики. Параметру **Клиент сети Microsoft: отключать клиентов по истечении разрешенных часов входа** присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. ###### Параметры MSS Следующие параметры включают записи реестра, которые не отображаются по умолчанию в редакторе конфигураций безопасности (SCE). Эти параметры, начинающиеся с **MSS:**, были разработаны в рамках решений корпорации Майкрософт для группы безопасности для предыдущего руководства по безопасности. Сценарий GPOAccelerator.wsf, обсуждаемый в главе 1 "Реализация основы безопасности", изменяет редактор конфигураций безопасности таким образом, чтобы он правильно отображал параметры MSS. В следующей таблице сведены значения параметров MSS, рекомендованные для обеих сред, обсуждаемых в данном руководстве. Дополнительные сведения о каждом параметре приведены после таблицы. **Таблица П23. Рекомендации для параметров безопасности — параметры MSS**
Значение Объекты групповой политики компьютера в среде EC VSG Объекты групповой политики компьютера в среде SSLF VSG
MSS: (AutoAdminLogon) включить автоматический вход в систему
(не рекомендуется)
Не определен Отключен
MSS: (DisableIPSourceRouting) уровень защиты маршрутизации IP-источника (защищает от подмены пакетов) Не определен Самый высокий уровень защиты, маршрутизация источников полностью отключена.
MSS: (EnableDeadGWDetect) разрешить автоматическое обнаружение нерабочих сетевых шлюзов (может привести к отказу в обслуживании) Не определен Отключен
MSS: (EnableICMPRedirect) разрешить переадресацию ICMP для переопределения созданных маршрутов OSPF Не определен Отключен
MSS: (Скрыто) скрыть компьютер из списка обзора (не рекомендуется, за исключением случая сред с высоким уровнем безопасности) Не определен Включен
MSS: (KeepAliveTime) интервал отправки пакетов для поддержания активности соединения (в миллисекундах) Не определен 300000, или 5 минут (рекомендуется)
MSS: (NoDefaultExempt) настроить исключения IPSec для различных типов сетевого трафика Исключениями являются многоадресная рассылка, широковещательная рассылка и ISAKMP (лучше всего подходит для Windows XP) Исключениями являются многоадресная рассылка, широковещательная рассылка и ISAKMP (лучше всего подходит для Windows XP)
MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех дисков (рекомендуется) 255, отключить автозапуск для всех дисков 255, отключить автозапуск для всех дисков
MSS: (NoNameReleaseOnDemand) разрешить компьютеру пропускать запросы на освобождение имени NetBIOS за исключением запросов от WINS-серверов Не определен Включен
MSS: (NtfsDisable8dot3NameCreation) разрешить компьютеру не создавать имена файлов в формате 8.3 (рекомендуется) Не определен Включен
MSS: (PerformRouterDiscovery) разрешить IRDP обнаруживать и настраивать адреса шлюзов по умолчанию (может привести к отказу в обслуживании) Не определен Отключен
MSS: (SafeDllSearchMode) включить безопасный режим поиска DLL (рекомендуется) Включен Включен
MSS: (ScreenSaverGracePeriod) время в секундах до истечения периода отсрочки для экранной заставки
(0 рекомендуется)
0 0
MSS: (SynAttackProtect) уровень защиты от SYN-атак (защищает от отказа в обслуживании) Не определен Время ожидания подключения истекает быстрее после обнаружения SYN-атаки
MSS: (TCPMaxConnectResponseRetransmissions) количество повторных передач SYN-ACK в случае, если запрос на подключение не подтвержден Не определен 3 и 6 секунд, полуоткрытые соединения сбрасываются через 21 секунду
MSS: (TCPMaxDataRetransmissions) количество повторных передач неподтвержденных данных
(3 рекомендуется, 5 по умолчанию)
Не определен 3
MSS: (WarningLevel) пороговое значение (в процентах) для журнала событий безопасности, при котором система выдаст предупреждение Не определен 90
**MSS: (AutoAdminLogon) включить автоматический вход в систему** В раздел реестра **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\** в файл шаблона добавлена запись значения реестра **AutoAdminLogon**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (AutoAdminLogon) включить автоматический вход в систему (не рекомендуется)**. Этот параметр не зависит от экрана приветствия в Windows XP и Windows Vista; если эта возможность отключена, параметр не отключается. Если на компьютере настроен автоматический вход в систему, любое лицо, имеющее физический доступ к компьютеру, также сможет получить доступ ко всем хранящимся на компьютере данным, а также доступ к одной или нескольким сетям, к которым подключен компьютер. Кроме того, при включенном автоматическом входе в систему пароль хранится в реестре в открытом виде, а конкретный раздел реестра, в котором хранится пароль, доступен для чтения с удаленных компьютеров членам группы "Прошедшие проверку". По этим причинам данному параметру присвоено значение **Не определен** для среды EC, а для среды SSLF параметру принудительно явным образом присвоено значение **Отключен**. Дополнительные сведения см. в статье 315231 базы знаний Майкрософт [Автоматизация входа в систему на компьютере под управлением Windows XP](http://support.microsoft.com/default.aspx?scid=315231). **MSS: (DisableIPSourceRouting) уровень защиты маршрутизации IP-источника** В раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** в файл шаблона добавлена запись значения реестра **DisableIPSourceRouting**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (DisableIPSourceRouting) уровень защиты маршрутизации IP-источника (защищает от подмены пакетов)**. Маршрутизация IP-источника — это механизм, позволяющий отправителю определить маршрут IP, который датаграмме необходимо пройти по сети. Этому параметру присвоено значение **Не определен** для среды EC и **Самый высокий уровень защиты,** **маршрутизация источников полностью отключена** для среды SSLF. **MSS: (EnableDeadGWDetect) разрешить автоматическое обнаружение нерабочих сетевых шлюзов** В раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** в файл шаблона добавлена запись значения реестра **EnableDeadGWDetect**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (EnableDeadGWDetect) разрешить автоматическое обнаружение нерабочих сетевых шлюзов (может привести к отказу в обслуживании)**. Если обнаружение нерабочих шлюзов включено, IP-адрес шлюза может быть заменен на IP-адрес резервного шлюза, если возникают проблемы с большим количеством подключений. Этому параметру присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. **MSS: (EnableICMPRedirect) разрешить переадресацию ICMP для переопределения созданных маршрутов OSPF** В раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** в файл шаблона добавлена запись значения реестра **EnableICMPRedirect**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (EnableICMPRedirect) разрешить переадресацию ICMP для переопределения созданных маршрутов OSPF**. Протокол ICMP (Internet Control Message Protocol) выполняет переадресацию, чтобы заставить стек подключить узловые маршруты. Эти маршруты переопределяют маршруты, созданные по протоколу OSPF (Open Shortest Path First). Этому параметру присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. **MSS: (Скрыто) скрыть компьютер из списка обзора** В раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** в файл шаблона добавлена запись значения реестра **Hidden**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (Скрыто) скрыть компьютер из списка обзора (не рекомендуется, за исключением случая сред с высоким уровнем безопасности)**. Компьютер можно настроить таким образом, чтобы он не отправлял извещения обозревателям домена. При это компьютер не будет отображаться в списке обзора, что означает, что компьютер не будет виден другим компьютерам в той же сети. Злоумышленнику, знающему имя компьютера, проще собрать дополнительные сведения о системе. Этот параметр можно включить, чтобы устранить один из способов, с помощью которых злоумышленник может собирать данные о компьютерах в сети. Кроме того, включение этого параметра может сократить сетевой трафик. Тем не менее, преимущества от использования этого параметра для безопасности незначительны, поскольку злоумышленники могут использовать альтернативные методы для идентификации и поиска возможных целей. По этой причине корпорация Майкрософт рекомендует включать этот параметр только в средах SSLF. Этому параметру присвоено значение **Не определен** для среды EC и **Включен** для среды SSLF. Дополнительные сведения см. в статье 321710 базы знаний Майкрософт [РЕКОМЕНДАЦИИ: Сокрытие компьютера с операционной системой Windows 2000 из списка обзора](http://support.microsoft.com/default.aspx?scid=321710) (на английском языке). **MSS: (KeepAliveTime) интервал отправки пакетов для поддержания активности соединения (в миллисекундах)** В раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** в файл шаблона добавлена запись значения реестра **KeepAliveTime**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (KeepAliveTime) интервал отправки пакетов для поддержания активности соединения (в миллисекундах)** **(300000 рекомендуется)**. Это значение контролирует частоту проверок протоколом TCP работоспособности неактивного соединения путем отправки пакета проверки активности. Если удаленный компьютер всё еще доступен, он высылает подтверждение пакета проверки активности. Этому параметру присвоено значение **Не определен** для среды EC и **300000**, или **5 минут** для среды SSLF. **MSS: (NoDefaultExempt) настроить исключения IPSec для различных типов сетевого трафика** В раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\IPSEC\\** в файл шаблона добавлена запись значения реестра **NoDefaultExempt**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (NoDefaultExempt) настроить исключения IPSec для различных типов сетевого трафика**. Исключения по умолчанию для фильтров политики IPsec документированы в интерактивной справке для конкретной операционной системы. Эти фильтры позволяют функционировать протоколам IKE (Internet Key Exchange) и Kerberos. Эти фильтры также позволяют сигнализировать о качестве обслуживания (RSVP), когда безопасность трафика обеспечивается IPsec, и о трафике, безопасность которого не может обеспечиваться IPsec, таком как трафик многоадресной и широковещательной рассылок. IPsec всё чаще используют для основной фильтрации пакетов между узлом и брандмауэром, в частности в сценариях, включающих взаимодействие с Интернетом, не полностью изучив влияние этих исключений по умолчанию. Таким образом, некоторые администраторы IPsec могут создавать политики IPsec, которые, как они думают, безопасны, но фактически они небезопасны против атак, использующих исключения по умолчанию. Корпорация Майкрософт рекомендует принудительно установить в Windows XP с пакетом обновления 2 (SP2) исключения по умолчанию для **многоадресной рассылки,** **широковещательной рассылки** **и** **ISAKMP** для обеих сред, обсуждаемых в данном руководстве. Дополнительные сведения см. в статье 811832 базы знаний Майкрософт [Исключения IPSec по умолчанию можно в некоторых случаях использовать для обхода защиты IPsec](http://support.microsoft.com/default.aspx?scid=811832) (на английском языке). **MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех дисков** Запись значения реестра **NoDriveTypeAutoRun** добавлена в раздел реестра **HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\** **Policies\\Explorer\\** в файл шаблона. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех дисков (рекомендуется)**. При автозапуске чтение данных с диска на компьютере начинается сразу же после вставки носителя. В результате может немедленно начаться установка программ или воспроизведение звука с аудионосителей. Этому параметру присвоено значение **255,** **отключить автозапуск для всех дисков** для обеих сред, обсуждаемых в данном руководстве. **MSS: (NoNameReleaseOnDemand) разрешить компьютеру пропускать запросы на освобождение имени NetBIOS за исключением запросов от WINS-серверов** Запись значения реестра **NoNameReleaseOnDemand** добавлена в раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Netbt\\** **Parameters\\** в файл шаблона. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (NoNameReleaseOnDemand) разрешить компьютеру пропускать запросы на освобождение имени NetBIOS за исключением запросов от WINS-серверов**. NetBIOS поверх TCP/IP — это сетевой протокол, который, помимо других возможностей, позволяет простым образом разрешать имена NetBIOS, зарегистрированные на компьютерах с операционной системой Windows, в IP-адреса, заданные на этих компьютерах. Этот параметр определяет, освобождает ли компьютер имя NetBIOS при получении запроса на освобождение имени. Этому параметру присвоено значение **Не определен** для среды EC и **Включен** для среды SSLF. **MSS: (NtfsDisable8dot3NameCreation) разрешить компьютеру не создавать имена файлов в формате 8.3 (рекомендуется)** В раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\FileSystem\\** в файл шаблона добавлена запись значения реестра **NtfsDisable8dot3NameCreation**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (NtfsDisable8dot3NameCreation) разрешить компьютеру не создавать имена файлов в формате 8.3 (рекомендуется)**. Windows Server 2003 поддерживает формат имени файла 8.3 для обратной совместимости с 16-разрядными приложениями. Соглашение об именах файлов вида 8.3 — это формат именования, который позволяет использовать имена фалов до восьми знаков в длину. Этому параметру присвоено значение **Не определен** для среды EC и **Включен** для среды SSLF. **MSS: (PerformRouterDiscovery) разрешить IRDP обнаруживать и настраивать адреса шлюзов по умолчанию** В раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** в файл шаблона добавлена запись значения реестра **PerformRouterDiscovery**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (PerformRouterDiscovery) разрешить IRDP обнаруживать и настраивать адреса шлюзов по умолчанию (может привести к отказу в обслуживании)**. Этот параметр используется для включения или отключения протокола IRDP (Internet Router Discovery Protocol), который позволяет системе автоматически обнаруживать и настраивать адреса шлюзов по умолчанию на основе интерфейсов, как описано в документе RFC 1256. Этому параметру присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. **MSS: (SafeDllSearchMode) включить безопасный режим поиска DLL** В раздел реестра **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Control\\Session Manager\\** в файл шаблона добавлена запись значения реестра **SafeDllSearchMode**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (SafeDllSearchMode) включить безопасный режим поиска DLL (рекомендуется)**. Порядок поиска DLL, необходимых запущенным процессам, можно задать одним из двух способов: - Сначала производится поиск по системному пути, затем — в текущей рабочей папке. - Сначала производится поиск в текущей рабочей папке, затем — по системному пути. Если этот параметр включен, значение реестра равно 1. При значении, равном 1 система сначала выполняет поиск в папках, указанных в системном пути, а затем — в текущей рабочей папке. Если этот параметр включен, значение реестра равно 0, а система сначала выполняет поиск в текущей рабочей папке, а затем — в папках, указанных в системном пути. Этому параметру присвоено значение **Включен** для обеих сред, обсуждаемых в данном руководстве. **MSS: (ScreenSaverGracePeriod) время в секундах до истечения периода отсрочки для экранной заставки** Запись значения реестра **ScreenSaverGracePeriod** добавлена в раздел реестра **HKEY\_LOCAL\_MACHINE\\SYSTEM\\Software\\Microsoft\\** **Windows NT\\CurrentVersion\\Winlogon\\** в файл шаблона. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (ScreenSaverGracePeriod) время в секундах до истечения периода отсрочки для экранной заставки (рекомендуется 0)**. Windows включает период отсрочки между запуском экранной заставки и фактической автоматической блокировкой консоли, если включена блокировка при запуске экранной заставки. Этому параметру присвоено значение **0** секунд для обеих сред, обсуждаемых в данном руководстве. **MSS: (SynAttackProtect) уровень защиты от SYN-атак** В раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** в файл шаблона добавлена запись значения реестра **SynAttackProtect**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (SynAttackProtect) уровень защиты от SYN-атак (защищает от отказа в обслуживании)**. Этот параметр приводит к повторной передаче протоколом TCP SYN-ACK. При задании этого значения время ожидания отклика подключения истекает быстрее при обнаружении атаки методом запроса на подключение (SYN). Этому параметру присвоено значение **Не определен** для среды EC и **Время ожидания подключения истекает быстрее после обнаружения SYN-атаки** для среды SSLF. **MSS: (TCPMaxConnectResponseRetransmissions) количество повторных передач SYN-ACK в случае, если запрос на подключение не подтвержден** Запись значения реестра **TCPMaxConnectResponseRetransmissions** добавлена в раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\** **Services\\Tcpip\\Parameters**\\ в файл шаблона. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (TcpMaxConnectResponseRetransmissions) количество повторных передач SYN-ACK в случае, если запрос на подключение не подтвержден**. Этот параметр задает количество попыток повторной передачи протоколом TCP SYN до разрыва соединения. Время ожидания повторной передачи удваивается после каждой последующей повторной передачи в данной попытке подключения. Изначально время ожидания составляет три секунды. Этому параметру присвоено значение **Не определен** для среды EC и **3 и 6 секунд,** **полуоткрытые соединения сбрасываются через 21 секунду** для среды SSLF. **MSS: (TCPMaxDataRetransmissions) количество повторных передач неподтвержденных данных** Запись значения реестра **TCPMaxDataRetransmissions** добавлена в раздел реестра **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip** **\\Parameters\\** в файл шаблона. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (TCPMaxDataRetransmissions) количество повторных передач неподтвержденных данных (3 рекомендуется,** **5 по умолчанию)**. Этот параметр контролирует количество попыток повторной передачи протоколом TCP отдельного сегмента данных (сегмента, не связанного с подключением) до разрыва соединения. Время ожидания повторной передачи удваивается после каждой последующей повторной передачи для соединения. Он сбрасывается при возобновлении откликов. Базовое значение времени ожидания определяется динамически по измеренному времени приема-передачи для соединения. Этому параметру присвоено значение **Не определен** для среды EC и **300000**, или 5 минут для среды SSLF. **MSS: (WarningLevel) пороговое значение (в процентах) для журнала событий безопасности, при котором система выдаст предупреждение** В раздел реестра **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security\\** в файл шаблона добавлена запись значения реестра **WarningLevel**. В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (WarningLevel) пороговое значение (в процентах) для журнала событий безопасности, при котором система выдаст предупреждение**. Этот параметр может привести к созданию записей аудита безопасности в журнале событий безопасности по достижении журналом размера, установленного пользователем. Этому параметру присвоено значение **Не определен** для среды EC и **90** для среды SSLF. **Примечание.**   Если журнал настроен на **Затирать старые события по необходимости** или **Затирать события старее** ***x*** **дней**, это событие создано не будет. ###### Доступ к сети В следующей таблице сведены рекомендуемые значения параметров безопасности для доступа к сети. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П24. Рекомендации для параметров безопасности — доступ к сети**
Значение Значение по умолчанию в системе Windows Vista Объекты групповой политики компьютера в среде EC VSG Объекты групповой политики компьютера в среде SSLF VSG
Доступ к сети: разрешить трансляцию анонимного SID в имя Отключен Отключен Отключен
Доступ к сети: не разрешать перечисление учетных записей SAM анонимными пользователями Включен Включен Включен
Доступ к сети: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями Отключен Включен Включен
Доступ к сети: не разрешать сохранение учетных данных или цифровых паспортов .NET для сетевой проверки подлинности пользователя Отключен Включен Включен
Доступ к сети: разрешать применение разрешений для всех к анонимным пользователям Отключен Отключен Отключен
Доступ к сети: разрешать анонимный доступ к именованным каналам netlogon, lsarpc, samr, обозреватель Не определен netlogon, lsarpc, samr, обозреватель
Доступ к сети: пути в реестре, доступные через удаленное подключение System\CurrentControlSet\
Control\ProductOptions System\CurrentControlSet\
Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion
Не определен System\CurrentControlSet\
Control\ProductOptions System\CurrentControlSet\
Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion
§ Доступ к сети: пути и вложенные пути в реестре, доступные через удаленное подключение System\CurrentControlSet\
Control\Print\Printers System\CurrentControlSet\
Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\
ContentIndex System\CurrentControlSet\
Control\Terminal Server System\CurrentControlSet\
Control\Terminal Server\User Config System\CurrentControlSet\
Control\Terminal Server\Default User Config Software\Microsoft\Windows NT\CurrentVersion\perflib System\CurrentControlSet\
Services\SysmonLog
Не определен System\CurrentControlSet\
Control\Print\Printers System\CurrentControlSet\
Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\
ContentIndex System\CurrentControlSet\
Control\Terminal Server System\CurrentControlSet\
Control\Terminal Server\User Config System\CurrentControlSet\
Control\Terminal Server\Default User Config Software\Microsoft\Windows NT\CurrentVersion\perflib System\CurrentControlSet\
Services\SysmonLog
Доступ к сети: запретить анонимный доступ к именованным каналам и общим ресурсам Включен Не определен Включен
Доступ к сети: разрешать анонимный доступ к общим ресурсам Отсутствует Не определен Отсутствует
Доступ к сети: модель совместного доступа и безопасности для локальных учетных записей Обычная — локальные пользователи удостоверяются как они сами Обычная — локальные пользователи удостоверяются как они сами Обычная — локальные пользователи удостоверяются как они сами
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. **Доступ к сети: разрешить трансляцию анонимного SID в имя** Этот параметр политики определяет, разрешено ли анонимному пользователю запрашивать атрибуты идентификатора безопасности (SID) для другого пользователя или использовать ИД безопасности для получения соответствующего ему имени пользователя. Отключите этот параметр политики, чтобы запретить не прошедшим проверку подлинности пользователям получать имена пользователей, связанные с соответствующими ИД безопасности. Параметру **Доступ к сети: разрешить трансляцию анонимного SID в имя** присвоено значение **Отключен** для обеих сред, обсуждаемых в данном руководстве. **Доступ к сети: не разрешать перечисление учетных записей SAM анонимными пользователями** Этот параметр политики контролирует возможность перечисления анонимными пользователями учетных записей SAM. Если этот параметр политики включен, пользователи с анонимными подключениями не смогут перечислять имена пользователей учетной записи домена на рабочих станциях в данной среде. Этот параметр политики также позволяет накладывать дополнительные ограничения на анонимные подключения. Параметру **Доступ к сети: не разрешать перечисление учетных записей SAM анонимными пользователями** присвоено значение **Включен** для обеих сред, описанных в данном руководстве. **Доступ к сети: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями** Этот параметр политики контролирует возможность перечисления анонимными пользователями учетных записей SAM, а также общих ресурсов. Если этот параметр политики включен, анонимные пользователи не смогут перечислять имена пользователей учетной записи домена и имена общих сетевых ресурсов на рабочих станциях в данной среде. Параметру **Доступ к сети: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями** присвоено значение **Включен** для обеих сред, описанных в данном руководстве. **Доступ к сети: не разрешать сохранение учетных данных или цифровых паспортов .NET для сетевой проверки подлинности пользователя** Этот параметр политики контролирует хранилище учетных данных для проверки подлинности и пароли на локальной системе. Параметру **Доступ к сети: не разрешать сохранение учетных данных или цифровых паспортов .NET для сетевой проверки подлинности пользователя** присвоено значение **Включен** для обеих сред, описанных в данном руководстве. **Доступ к сети: разрешать применение разрешений для всех к анонимным пользователям** Этот параметр политики определяет, какие дополнительные разрешения будут предоставлены анонимным подключениям к компьютеру. Если этот параметр политики включен, анонимным пользователям Windows будет разрешено выполнять определенные действия, например, перечислять имена учетных записей домена и общих сетевых ресурсов. Злоумышленник может анонимно получить список имен учетных записей и общих ресурсов, а затем использовать эти данные для подбора паролей или осуществления атак методами социотехники. Поэтому параметру **Доступ к сети: разрешать применение разрешений для всех к анонимным пользователям** присвоено значение **Отключен** для обеих сред, описанных в данном руководстве. **Доступ к сети: разрешать анонимный доступ к именованным каналам** Этот параметр политики определяет, какие сеансы связи или каналы будут иметь атрибуты и разрешения на анонимный доступ. Для среды EC параметру **Доступ к сети: разрешать анонимный доступ к именованным каналам** присвоено значение **Не определен**. Однако для среды SSLF принудительно установлены следующие значения по умолчанию: - Netlogon - Isarpc - Samr - Обозреватель **Доступ к сети: пути в реестре, доступные через удаленное подключение** Этот параметр политики определяет, какие пути в реестре будут доступны после обращения к разделу реестра WinReg для определения разрешений на доступ к путям реестра. Для среды EC параметру **Доступ к сети: пути в реестре, доступные через удаленное подключение** присвоено значение **Не определен**. Однако для среды SSLF принудительно установлены следующие значения по умолчанию: - System\\CurrentControlSet\\Control\\ProductOptions - System\\CurrentControlSet\\Control\\Server Applications - Software\\Microsoft\\Windows NT\\CurrentVersion **Доступ к сети: пути и вложенные пути в реестре, доступные через удаленное подключение** Этот параметр политики определяет, какие пути и вложенные пути в реестре будут доступны при обращении приложения или процесса к разделу реестра **WinReg** для определения разрешений на доступ. Параметру **Доступ к сети: пути и вложенные пути в реестре, доступные через удаленное подключение** присвоено значение **Не определен** для среды EC. Для среды SSLF данный параметр имеет следующие значения: - System\\CurrentControlSet\\Control\\Print\\Printers - System\\CurrentControlSet\\Services\\Eventlog - Software\\Microsoft\\OLAP Server - Software\\Microsoft\\Windows NT\\CurrentVersion\\Print - Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows - System\\CurrentControlSet\\ContentIndex - System\\CurrentControlSet\\Control\\Terminal Server - System\\CurrentControlSet\\Control\\Terminal Server\\User Config - System\\CurrentControlSet\\Control\\Terminal Server\\Default User Config - Software\\Microsoft\\Windows NT\\CurrentVersion\\perflib - System\\CurrentControlSet\\Services\\SysmonLog **Доступ к сети: запретить анонимный доступ к именованным каналам и общим ресурсам** Если этот параметр политики включен, анонимный доступ разрешен только к тем общим ресурсам и каналам, которые перечислены в параметрах **Доступ к сети: разрешать анонимный доступ к именованным каналам** и **Доступ к сети: разрешать анонимный доступ к общим ресурсам**. Этот параметр политики контролирует доступ к общим ресурсам на компьютерах через пустые сеансы путем добавления параметра **RestrictNullSessAccess** со значением **1** в раздел реестра **HKLM\\System** **\\CurrentControlSet\\Services\\LanManServer\\Parameters**. Это значение реестра разрешает или запрещает доступ к общим ресурсам через пустые сеансы и позволяет контролировать ограничение службой сервера доступа не прошедших проверку подлинности клиентов к именованным ресурсам. Пустые сеансы являются уязвимостью, которой можно воспользоваться через общие ресурсы (включая общие ресурсы по умолчанию) на компьютерах в данной среде. Параметру **Доступ к сети: запретить анонимный доступ к именованным каналам и общим ресурсам** присвоено значение **Не определен** для среды EC и **Включен** для среды SSLF. **Доступ к сети: разрешать анонимный доступ к общим ресурсам** Этот параметр политики определяет, к каким сетевым папкам общего доступа разрешен анонимный доступ. Конфигурация по умолчанию для этого параметра политики практически не имеет значения, поскольку всем пользователям необходимо пройти проверку подлинности, прежде чем они смогут получить доступ к общим ресурсам на сервере. Параметру **Доступ к сети: разрешать анонимный доступ к общим ресурсам** присвоено значение **Не определен** для среды EC. Тем не менее, убедитесь в том, что этому параметру присвоено значение **Отсутствует** для среды SSLF. **Примечание**.   Добавление других общих ресурсов в этот параметр групповой политики может быть крайне опасным. Любой пользователь сети сможет получить доступ к любому из перечисленных общих ресурсов, что может привести к раскрытию или повреждению важных данных. **Доступ к сети: модель совместного доступа и безопасности для локальных учетных записей** Этот параметр политики определяет, каким образом выполняется проверка подлинности при входе в сеть с использованием локальных учетных записей. Значение **Обычная** позволяет точно контролировать доступ к ресурсам, включая возможность устанавливать различные типы доступа различным пользователям для одного и того же ресурса. Значение **Гостевая** позволяет обращаться со всеми пользователями одинаково. В данном контексте все пользователи проходят проверку подлинности по модели **Гостевая**, чтобы получить одинаковый уровень доступа к данному ресурсу. Таким образом, параметр **Модель совместного доступа и безопасности для локальных учетных записей** использует значение по умолчанию **Обычная** для обеих сред, описанных в данном руководстве. ###### Сетевая безопасность В таблице ниже перечислены рекомендуемые значения параметров безопасности для сетевой безопасности. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П25. Рекомендуемые параметры безопасности — сетевая безопасность**
Параметр По умолчанию в Windows Vista Объекты GPO компьютера в среде EC VSG Объекты GPO компьютера в среде SSLF VSG
Сетевая безопасность: не хранить хеш-значения LAN Manager при следующей смене пароля Включен Включен Включен
Сетевая безопасность: принудительный выход из системы по истечении допустимых часов работы Отключен Не определен Не определен
Сетевая безопасность: уровень проверки подлинности LAN Manager Отправлять только отклик NTLMv2 Отправлять только отклик NTLMv2. Отказывать LM Отправлять только отклик NTLMv2. Отказывать LM и NTLM
Сетевая безопасность: требования подписывания для LDAP клиента Согласование подписывания Согласование подписывания Согласование подписывания
Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) Минимума нет Требовать сеансовую безопасность NTLMv2, требовать 128-разрядного шифрования Требовать сеансовую безопасность NTLMv2, требовать 128-разрядного шифрования
Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) Минимума нет Требовать сеансовую безопасность NTLMv2, требовать 128-разрядного шифрования Требовать сеансовую безопасность NTLMv2, требовать 128-разрядного шифрования
**Сетевая безопасность: не хранить хеш-значения LAN Manager при следующей смене пароля** Этот параметр политики определяет, будут ли храниться хеш-значения LAN Manager (LM) для новых паролей при изменении пароля. Хеш LM относительно ненадежен и уязвим для атак в сравнении с криптографически надежным хешем Microsoft Windows NT®. По этой причине параметру **Сетевая безопасность: не хранить хеш-значения LAN Manager при следующей смене пароля** присвоено значение **Включен** для обеих сред, описанных в данном руководстве. **Примечание**.   В старых версиях операционных систем и некоторых сторонних приложениях при включении этого параметра политики могут возникнуть сбои. Кроме того, после включения этого параметра необходимо изменить пароли всех учетных записей. **Сетевая безопасность: принудительный выход из системы по истечении допустимых часов работы** Этот параметр политики, который определяет, следует ли отключать пользователей, подключившихся к локальному компьютеру вне отведенных для их учетных записей часов входа в систему, влияет на компонент SMB. Если этот параметр политики включен, клиентские сеансы с сервером SMB будут разорваны по истечении разрешенных часов входа клиента в систему. Если этот параметр политики отключен, установленные клиентские сеансы будут поддерживаться и по истечении разрешенных часов для входа клиента в систему. Параметру **Сетевая безопасность: принудительный выход из системы по истечении допустимых часов работы** присвоено значение **Не определен для обеих сред, обсуждаемых в приложении.** **Сетевая безопасность: уровень проверки подлинности LAN Manager** Этот параметр политики указывает тип проверки подлинности по схеме запрос-ответ для входа в сеть. Проверка подлинности LAN Manager (LM) является наименее безопасным методом: зашифрованные пароли могут быть взломаны, поскольку их можно легко перехватить в сети. NT LAN Manager (NTLM) несколько более безопасен. NTLMv2 является более надежной версией NTLM, доступной в Windows Vista, Windows XP Professional, Windows Server 2003, Windows 2000 и Windows NT 4.0 с пакетом обновления 4 (SP4) или более поздних версиях. Также возможно использование NTLMv2 в Windows 95 и Windows 98 при условии установки дополнительного клиентского пакета служб каталогов. Корпорация Майкрософт рекомендует настроить этот параметр политики на наиболее надежный из возможных в данной среде уровень проверки подлинности. В средах, где используются только серверы Windows 2000 Server или Windows Server 2003 и рабочие станции с Windows Vista или Windows XP Professional этому параметру политики следует присвоить значение **Отправлять только отклик NTLMv2. Отказывать LM и NTLM** для обеспечения самого высокого уровня безопасности. Параметру **Сетевая безопасность: уровень проверки подлинности LAN Manager** присвоено значение **Отправлять только отклик NTLMv2. Отказывать LM** для среды EC. Однако в среде SSLF этому параметру присвоено более строгое значение **Отправлять только отклик NTLMv2. Отказывать LM и NTLM**. **Сетевая безопасность: требования подписывания для LDAP клиента** Этот параметр политики определяет уровень подписывания данных, запрашиваемый от имени клиентов, выполняющих запросы LDAP BIND. Поскольку неподписанный сетевой трафик уязвим для атак вида "злоумышленник в середине", злоумышленник может заставить сервер LDAP принимать решения, основанные на ложных запросах от клиента LDAP. Таким образом, параметру **Сетевая безопасность: требования подписывания для LDAP клиента** присвоено значение **Согласование подписывания** для обеих сред, описанных в данном руководстве. **Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)** Этот параметр политики определяет минимальные стандарты безопасности взаимодействия между приложениями для клиентов. Этот параметр политики может принимать следующие значения: - Требовать сеансовую безопасность NTLMv2 - Требовать 128-разрядного шифрования Если все компьютеры в сети поддерживают NTLMv2 и 128-разрядное шифрование (например, Windows Vista, Windows XP Professional с пакетом обновления 2 и Windows Server 2003 с пакетом обновления 1), для обеспечения максимального уровня безопасности следует выбрать все четыре значения. Значения **Требовать сеансовую безопасность NTLMv2** и **Требовать 128-разрядного шифрования** включены для параметра **Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)** в обеих средах, описанных в данном руководстве. **Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC)** Этот параметр политики подобен предыдущему параметру, но влияет на взаимодействие с приложениями со стороны сервера. Значения для этого параметра такие же: - Требовать сеансовую безопасность NTLMv2 - Требовать 128-разрядного шифрования Если все компьютеры в сети поддерживают NTLMv2 и 128-разрядное шифрование (например, Windows Vista, Windows XP Professional с пакетом обновления 2 и Windows Server 2003 с пакетом обновления 1), для обеспечения максимального уровня безопасности следует выбрать все четыре значения. Значения **Требовать сеансовую безопасность NTLMv2** и **Требовать 128-разрядного шифрования** включены для параметра **Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC)** в обеих средах, описанных в данном руководстве. ###### Консоль восстановления В таблице ниже содержатся рекомендуемые значения параметров безопасности для консоли восстановления. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П26. Рекомендации для параметров безопасности — консоль восстановления**
Параметр По умолчанию в Windows Vista Объекты GPO компьютера в среде EC VSG Объекты GPO компьютера в среде SSLF VSG
Консоль восстановления: разрешить автоматический вход администратора Отключен Отключен Отключен
Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам Отключен Не определен Отключен
**Консоль восстановления: разрешить автоматический вход администратора** Консоль восстановления — это среда командной строки, используемая для восстановления после системных сбоев. Если этот параметр политики включен, учетная запись администратора автоматически входит в консоль восстановления, если она вызывается в процессе загрузки. Корпорация Майкрософт рекомендует отключить этот параметр политики, что приведет к необходимости ввода администраторами пароля для получения доступа к консоли восстановления. Параметру **Консоль восстановления: разрешить автоматический вход администратора** присвоено значение **Отключен** для обеих сред, описанных в данном руководстве. **Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам** Этот параметр политики делает доступной команду консоли восстановления SET, что позволяет присваивать значения следующим переменным окружения консоли восстановления: - **AllowWildCards**. Включает поддержку подстановочных знаков для некоторых команд (таких как команда DEL). - **AllowAllPaths**. Разрешает доступ ко всем файлам и папкам на компьютере. - **AllowRemovableMedia**. Разрешает копирование файлов на съемные носители, например, на гибкие диски. - **NoCopyPrompt**. Не выводит предупреждения при перезаписи существующего файла. Параметру **Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам** присвоено значение **Не определен** для среды EC. Однако для среды SSLF этому параметру в целях максимальной безопасности присвоено значение **Отключен**. ###### Завершение работы В таблице ниже содержатся рекомендованные значения параметров безопасности, связанных с завершением работы компьютера. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П27. Рекомендации для параметров безопасности — завершение работы**
Параметр По умолчанию в Windows Vista Объекты GPO компьютера в среде EC VSG Объекты GPO компьютера в среде SSLF VSG
Завершение работы: разрешить завершение работы системы без выполнения входа в систему Включен Не определен Отключен
Завершение работы: очистка файла подкачки виртуальной памяти (настольные компьютеры) Отключен Отключен Отключен
Завершение работы: очистка файла подкачки виртуальной памяти (переносные компьютеры) Отключен Отключен Включен
**Завершение работы: разрешить завершение работы системы без выполнения входа в систему** Этот параметр политики определяет, можно ли завершить работу компьютера, если пользователь не выполнил вход в систему. Если этот параметр политики включен, команда завершения работы будет доступна на экране входа в систему Windows. Корпорация Майкрософт рекомендует отключить этот параметр политики, чтобы завершать работу компьютера могли только пользователи, имеющие в системе учетные данные. Параметру **Завершение работы: разрешить завершение работы системы без выполнения входа в систему** присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. **Завершение работы: очистка файла подкачки виртуальной памяти** Этот параметр политики определяет, следует ли очищать файл подкачки виртуальной памяти при завершении работы системы. Если этот параметр политики включен, системный файл подкачки будет очищаться каждый раз при надлежащем завершении работы системы. При включении данного параметра безопасности на переносном компьютере обнуляется файл спящего режима (Hiberfil.sys), если спящий режим отключен. Это приведет к увеличению времени завершения работы и перезапуска компьютера (особенно на компьютерах с файлами подкачки большого размера). По этим причинам параметру **Завершение работы: очистка файла подкачки виртуальной памяти** присвоено значение **Включен** для переносных компьютеров в среде SSLF и **Отключен** для всех остальных компьютеров в обеих средах, описанных в данном руководстве. ###### Системная криптография В таблице ниже перечислены рекомендуемые значения параметров безопасности для системной криптографии. Дополнительные сведения приведены после таблицы. **Таблица П28. Рекомендации для параметров безопасности — системная криптография**
Параметр По умолчанию в Windows Vista Объекты GPO компьютера в среде EC VSG Объекты GPO компьютера в среде SSLF VSG
Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания Отключен Не определен Отключен
**Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания** Этот параметр политики определяет, поддерживает ли поставщик безопасности TLS/SSL только набор шифров TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA. Хотя этот параметр политики повышает уровень безопасности, большинство публичных Web-узлов, использующих протоколы TLS и SSL, не поддерживают эти алгоритмы. Клиентские компьютеры, на которых включен этот параметр политики, также не смогут подключаться к службам терминала на серверах, которые не настроены на использование FIPS-совместимых алгоритмов. Параметру **Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования,** **хешированияи подписывания** присвоено значение **Не определен** для среды EC и **Отключен** для среды SSLF. **Примечание**.   Если этот параметр политики включен, производительность компьютера может снизиться, поскольку процесс 3DES выполняется для каждого блока данных файла три раза. Этот параметр политики следует включить только при наличии требования о поддержке FIPS в организации. ###### Системные объекты В таблице ниже перечислены рекомендуемые значения параметров безопасности для системных объектов. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П29. Рекомендации для параметров безопасности — системные объекты**
Параметр По умолчанию в Windows Vista Объекты GPO компьютера в среде EC VSG Объекты GPO компьютера в среде SSLF VSG
Системные объекты: не учитывать регистр для подсистем, отличных от Windows Включен Не определен Включен
Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов Включен Включен Включен
**Системные объекты: не учитывать регистр для подсистем, отличных от Windows** Этот параметр политики определяет, будет ли для всех подсистем принудительно установлена нечувствительность к регистру. Подсистема Microsoft Win32® нечувствительна к регистру. Тем не менее, ядро поддерживает чувствительность к регистру для других подсистем, например, для POSIX (Portable Operating System Interface for UNIX). Поскольку Windows нечувствительна к регистру (но подсистема POSIX поддерживает чувствительность к регистру), отключение этого параметра политики позволяет пользователю подсистемы POSIX создать файл с таким же именем, как у другого файла, используя смешанный регистр. Такая ситуация может привести к блокировке доступа к этим файлам другого пользователя, использующего обычные средства Win32, поскольку будет доступен только один из файлов. Для обеспечения согласованности имен файлов параметру **Системные объекты: не учитывать регистр для подсистем, отличных от Windows** присвоено значение **Не определен** для среды EC и **Включен** для среды SSLF. **Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов** Этот параметр политики определяет степень влияния списка управления доступом на уровне пользователей (DACL) по умолчанию на объекты. Этот параметр позволяет защитить объекты, которые могут быть найдены и совместно использованы несколькими процессами, а его конфигурация по умолчанию усиливает DACL, поскольку он позволяет пользователям, не являющимся администраторами, считывать общие объекты, но не позволяет им изменять объекты, которые они не создавали. Поэтому параметру **Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов** (например, символических ссылок) присвоено значение по умолчанию **Включен** для обеих сред, описанных в данном руководстве. ###### Контроль учетных записей Контроль учетных записей снижает риск раскрытия данных и проведения атаки на операционную систему благодаря требованию того, чтобы все пользователи работали в стандартном пользовательском режиме, даже в случае входа в систему с учетными данными администратора. Это ограничение позволяет минимизировать возможность внесения пользователями изменений, которые могут привести к нестабильной работе их компьютеров или непреднамеренному заражению сети вирусами из-за необнаруженной вредоносной программы, заразившей компьютер. При попытке пользователя выполнить административную задачу, операционная система должна повысить уровень безопасности, чтобы разрешить выполнение этой задачи. Параметры контроля учетных записей в объектах групповой политики (GPO) определяют реакцию операционной системы на запрос о повышении привилегий безопасности. В таблице ниже перечислены рекомендуемые значения параметров безопасности для контроля учетных записей. Дополнительные сведения приведены в подразделах, следующих за таблицей. **Таблица П30. Рекомендации для параметров безопасности — контроль учетных записей**
Параметр По умолчанию в Windows Vista Объекты GPO компьютера в среде EC VSG Объекты GPO компьютера в среде SSLF VSG
§ User Account Control: Admin Approval Mode for the Built-in Administrator account (Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора) Отключен Включен Включен
§ User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode (Контроль учетных записей: поведение запроса повышения привилегий для администраторов в режиме одобрения администратором) Запрос согласия Запрос учетных данных Запрос учетных данных
§ User Account Control: Behavior of the elevation prompt for standard users (Контроль учетных записей: поведение запроса повышения привилегий для обычных пользователей) Запрос учетных данных Автоматически отклонять запросы на повышение привилегий Автоматически отклонять запросы на повышение привилегий
§ User Account Control: Detect application installations and prompt for elevation (Контроль учетных записей: обнаруживать попытки установки приложений и запросы повышения привилегий) Включен Включен Включен
§ User Account Control: Only elevate executables that are signed and validated (Контроль учетных записей: повышать привилегии только для подписанных и проверенных EXE-файлов) Отключен Отключен Отключен
§ User Account Control: Only elevate UIAccess applications that are installed in secure locations (Контроль учетных записей: повышать привилегии только для приложений UIAccess, установленных в безопасные местоположения) Включен Включен Включен
§ User Account Control: Run all administrators in Admin Approval Mode (Контроль учетных записей: запускать все учетные записи администраторов в режиме одобрения администратором) Включен Включен Включен
§ User Account Control: Switch to the secure desktop when prompting for elevation (Контроль учетных записей: при запросе повышения привилегий переключаться на безопасный рабочий стол) Включен Включен Включен
§ User Account Control: Virtualize file and registry write failures to per-user locations (Контроль учетных записей: виртуализировать ошибки записи в файл и реестр в местоположения для каждого пользователя) Включен Включен Включен
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. **User Account Control: Admin Approval Mode for the Built-in Administrator account** (Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора) Этот параметр политики определяет, следует ли запускать встроенную учетную запись администратора в режиме одобрения администратором. Поведение по умолчанию данного параметра меняется, поскольку система Windows Vista настраивает встроенную учетную запись администратора в зависимости от определенных критериев установки. Система Windows Vista присваивает данному параметру значение **Отключен** по умолчанию для новой установки и для обновлений, при которых встроенная учетная запись администратора *не* является единственной активной учетной записью администратора на компьютере. Система Windows Vista отключает встроенную учетную запись администратора по умолчанию при установке и обновлении системы на компьютерах, входящих в домен. Система Windows Vista по умолчанию присваивает данному параметру значение **Включен** при обновлении системы, если обнаруживает, что встроенная учетная запись администратора является единственной активной локальной учетной записью администратора на компьютере. В этом случае система Windows Vista включает встроенную учетную запись администратора после обновления. Параметру **Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора** присвоено значение **Включен** для обеих сред, описанных в данном руководстве. **User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode** (Контроль учетных записей: поведение запроса повышения привилегий для администраторов в режиме одобрения администратором) Этот параметр определяет поведение системы Windows Vista в том случае, если вошедший в систему администратор пытается выполнить задачу, требующую повышенных привилегий. Для этого параметра имеется три значения: - **Без запроса**. При использовании этого значения привилегии повышаются автоматически без каких-либо сообщений. - **Запрос согласия**. При использовании этого значения функция контроля учетных записей спрашивает согласия перед тем, как повысить привилегии, но не требует ввода учетных данных. - **Запрос учетных данных**. При использовании этого значения функция контроля учетных записей требует от администратора ввода допустимых учетных данных администратора перед тем, как повысить привилегии. Параметру **User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode** (Контроль учетных записей: поведение запроса повышения привилегий для администраторов в режиме одобрения администратором) присвоено значение **Запрос учетных данных** для обеих сред, описанных в данном руководстве. **User Account Control: Behavior of the elevation prompt for standard users** (Контроль учетных записей: поведение запроса повышения привилегий для обычных пользователей) Этот параметр определяет поведение системы Windows Vista в случае, если вошедший в систему пользователь пытается выполнить задачу, требующую повышенных привилегий. Для этого параметра имеется два значения. - **Автоматически отклонять запросы на повышение привилегий**. При использовании этого значения запрос на повышение привилегий не выводится, и пользователь не может выполнять административные задачи, если только он не использует команду **Выполнить** в качестве администратора или не войдет в систему с учетной записью администратора. - **Запрос учетных данных**. При использовании этого значения функция контроля учетных записей требует от администратора ввода допустимых учетных данных администратора перед тем, как повысить привилегии. Параметру **User Account Control: Behavior of the elevation prompt for standard users** (Контроль учетных записей: поведение запроса повышения привилегий для обычных пользователей) присвоено значение **Автоматически отклонять запросы на повышение привилегий** для обеих сред, описанных в данном руководстве. Этот параметр не позволяет обычным пользователям повышать свои привилегии. Другими словами, обычный пользователь не сможет предоставить учетные данные администратора для выполнения административной задачи. Возможность щелкнуть правой кнопкой мыши файл программы и выбрать команду **Запустить от имени администратора** не сработает для обычного пользователя. Обычным пользователям, желающим выполнить административные задачи, следует для этого выйти из системы и войти снова с учетной записью администратора. Хотя этот процесс в некоторой степени неудобен, он обеспечивает большую безопасность среды. **User Account Control: Detect application installations and prompt for elevation** (Контроль учетных записей: обнаруживать попытки установки приложений и запросы повышения привилегий) Этот параметр определяет реакцию системы Windows Vista на запросы на установку приложений. Установка приложения требует повышения привилегий. Для этого параметра имеется два значения. - **Включен**. При использовании этого значения система Windows Vista при обнаружении установщика запросит согласие или учетные данные пользователя, в зависимости от настройки поведения при запросе повышения привилегий. - **Отключен**. При использовании этого значения установка приложений будет прерываться без вывода каких-либо сообщений или неопределенным образом. Параметру **User Account Control: Detect application installations and prompt for elevation** (Контроль учетных записей: обнаруживать попытки установки приложений и запросы повышения привилегий) присвоено значение **Включен** для обеих сред, описанных в данном руководстве. **User Account Control: Only elevate executables that are signed and validated** (Контроль учетных записей: повышать привилегии только для подписанных и проверенных EXE-файлов) Этот параметр запрещает выполнение неподписанных или непроверенных приложений. Перед включением этого параметра администраторы должны быть уверены в том, что все необходимые приложения подписаны и проверены. Для этого параметра имеется два значения. - **Включен**. При использовании этого значения разрешено запускать только подписанные EXE-файлы. Этот параметр блокирует запуск неподписанных приложений. - **Отключен**. При использовании этого значения разрешено запускать как подписанные, так и неподписанные EXE-файлы. Параметру **User Account Control: Only elevate executables that are signed and validated** (Контроль учетных записей: повышать привилегии только для подписанных и проверенных EXE-файлов) присвоено значение **Отключен** для обеих сред, описанных в данном руководстве. **User Account Control: Only elevate UIAccess applications that are installed in secure locations** (Контроль учетных записей: повышать привилегии только для приложений UIAccess, установленных в безопасные местоположения) Этот параметр помогает защитить компьютер с операционной системой Windows Vista, разрешая запуск с повышенными привилегиями только тех приложений, которые установлены в безопасное местоположение в файловой системе, например, в папки Program Files или Windows\\System32. Параметру **User Account Control: Only elevate UIAccess applications that are installed in secure locations** (Контроль учетных записей: повышать привилегии только для приложений UIAccess, установленных в безопасные местоположения) присвоено значение **Включен** для обеих сред, описанных в данном руководстве. **User Account Control: Run all administrators in Admin Approval Mode** (Контроль учетных записей: запускать все учетные записи администраторов в режиме одобрения администратором) Этот параметр отключает функцию контроля учетных записей (UAC). Для этого параметра имеется два значения. - **Включен**. При использовании этого значения при попытке выполнения административных операций запрос выводится как для обычных пользователей, так и для администраторов. Стиль запроса зависит от политики. - **Отключен**. При использовании этого значения отключается режим одобрения администратором и все относящиеся к нему политики контроля учетных записей. При использовании этого значения центр обеспечения безопасности выведет сообщение о том, что общий уровень безопасности операционной системы снизился. Параметру **User Account Control: Run all administrators in Admin Approval Mode** (Контроль учетных записей: запускать все учетные записи администраторов в режиме одобрения администратором) присвоено значение **Включен** для обеих сред, описанных в данном руководстве. **User Account Control: Switch to the secure desktop when prompting for elevation** (Контроль учетных записей: при запросе повышения привилегий переключаться на безопасный рабочий стол) Этот параметр помогает защитить компьютер и пользователя от злоупотребления запросом повышения привилегий. Безопасный рабочий стол системы Windows Vista позволяет запускать только СИСТЕМНЫЕ процессы, что, как правило, приводит к блокировке сообщений от вредоносного программного обеспечения. В результате ввод данных в ответ на запросы согласия и учетных данных на безопасном рабочем столе, как правило, подменить нельзя. Кроме того, запрос согласия защищен от подмены вывода. Использование запроса учетных данных все еще опасно, поскольку вредоносная программа может его подменить. Для этого параметра имеется два значения. - **Включен**. При использовании этого значения запрос повышения привилегий функции контроля учетных записей выводится на безопасном рабочем столе. - **Отключен**. При использовании этого значения запрос повышения привилегий функции контроля учетных записей выводится на рабочем столе пользователя. Параметру **User Account Control: Switch to the secure desktop when prompting for elevation** (Контроль учетных записей: при запросе повышения привилегий переключаться на безопасный рабочий стол) присвоено значение **Включен** для обеих сред, описанных в данном руководстве. **User Account Control: Virtualize file and registry write failures to per-user locations** (Контроль учетных записей: виртуализировать ошибки записи в файл и реестр в местоположения для каждого пользователя) Приложения, для которых в базе данных совместимости приложений отсутствует запись или в манифесте приложения отсутствует маркировка запрошенного уровня выполнения, не являются совместимыми с функцией контроля учетных записей. Приложения, не совместимые с функцией контроля учетных записей, пытаются выполнить запись в защищенные области, включая папки Program Files и %*systemroot*%. Если этим приложениям не удается завершить процесс записи, происходит сбой без вывода каких-либо сообщений об ошибках. Если этот параметр включен, системе Windows Vista разрешено виртуализировать операции записи в файл и реестр в пользовательские местоположения, что позволяет приложению нормально функционировать. Приложения, совместимые с функцией контроля учетных записей не должны выполнять запись в защищенные местоположения и вызывать ошибки записи. Таким образом, в средах, использующих только приложения, совместимые с функцией контроля учетных записей, этот параметр следует отключить. Для этого параметра имеется два значения. - **Включен**. В средах, использующих программное обеспечение, не совместимое с функцией контроля учетных записей следует присвоить этому параметру значение **Включен**. - **Отключен**. В средах, использующих программное обеспечение, совместимое с функцией контроля учетных записей следует присвоить этому параметру значение **Отключен**. При отсутствии уверенности в совместимости всех используемых в среде приложений с функцией контроля учетных записей, следует присвоить этому параметру значение **Включен**. По этой причине параметру **User Account Control: Virtualize file and registry write failures to per-user locations** (Контроль учетных записей: виртуализировать ошибки записи в файл и реестр в местоположения для каждого пользователя) присвоено значение **Включен** для обеих сред, описанных в данном руководстве. ##### Параметры безопасности журнала событий В журнал событий записываются системные события, а в журнал безопасности записываются события аудита. Контейнер журнала событий групповой политики используется для определения атрибутов, относящихся к журналам событий приложений, безопасности и системы, таких как максимальный размер журнала, права доступа для каждого журнала, а также параметры и методы сохранения. Параметры журнала событий можно настроить в следующем местоположении редактора объектов групповой политики: **Конфигурация компьютера\\Параметры Windows\\Параметры безопасности\\Журнал событий** В этом разделе содержатся сведения о рекомендованных параметрах для сред, описанных в данном руководстве. Сводку по рекомендованным параметрам, описанным в данном разделе см. в файле Windows Vista Security Guide Settings.xls Сведения о значениях по умолчанию и подробное объяснение для каждого параметра, рассматриваемого в данном разделе см. в руководстве [*Угрозы и меры противодействия*](http://go.microsoft.com/fwlink/?linkid=15159). Это руководство также содержит подробные сведения о возможности потери данных журнала событий при установке очень большого размера для файлов журнала. В следующей таблице сведены рекомендуемые значения параметров безопасности журнала событий для клиентов, использующих настольные и переносные компьютеры в обеих средах, описанных в данном руководстве. В следующих подразделах содержатся подробные сведения о каждом параметре. **Таблица П31. Рекомендации для параметров безопасности — параметры безопасности журнала событий**
Параметр По умолчанию в Windows Vista Объекты GPO компьютера в среде EC VSG Объекты GPO компьютера в среде SSLF VSG
Максимальный размер журнала приложений Неприменимо
(значение по умолчанию = 20 480)
32 768 КБ 32 768 КБ
Максимальный размер журнала безопасности Неприменимо
(значение по умолчанию = 20 480)
81 920 КБ 81 920 КБ
Максимальный размер системного журнала Неприменимо
(значение по умолчанию = 20 480)
32 768 КБ 32 768 КБ
Сохранение событий в журнале приложений Неприменимо (по умолчанию "Затирать по необходимости") По необходимости По необходимости
Сохранение событий в журнале безопасности Неприменимо (по умолчанию "Затирать по необходимости") По необходимости По необходимости
Сохранение событий в системном журнале Неприменимо (по умолчанию "Затирать по необходимости") По необходимости По необходимости
**Максимальный размер журнала приложений** Этот параметр политики задает максимальный размер журнала событий приложений, который не может превышать 4 ГБ. Однако использовать такой размер не рекомендуется из-за возможной фрагментации памяти, которая приводит к снижению производительности системы и снижению надежности регистрации событий. Требования к размеру журнала приложений зависят от назначения платформы и от необходимости накопления записей журнала о событиях приложений. Параметр **Максимальный размер журнала приложений** имеет значение **32 768** **КБ** для всех компьютеров обеих сред, которые описываются в данном руководстве. **Максимальный размер журнала безопасности** Этот параметр политики задает максимальный размер журнала событий безопасности, который не может превышать 4 ГБ. Однако использовать такой размер не рекомендуется из-за возможной фрагментации памяти, которая приводит к снижению производительности системы и снижению надежности регистрации событий. Требования к размеру журнала безопасности зависят от назначения платформы и от необходимости накопления записей журнала о событиях приложений. Параметр **Максимальный размер журнала приложений** имеет значение **81 920** КБ для всех компьютеров обеих сред, которые описываются в данном руководстве. **Максимальный размер системного журнала** Этот параметр политики задает максимальный размер журнала системных событий, который не может превышать 4 ГБ. Однако использовать такой размер не рекомендуется из-за возможной фрагментации памяти, которая приводит к снижению производительности системы и снижению надежности регистрации событий. Требования к размеру журнала приложений зависят от назначения платформы и от необходимости накопления записей журнала о событиях приложений. Параметр **Максимальный размер системного журнала** имеет значение **32 768 КБ** для всех компьютеров обеих сред, которые описываются в данном руководстве. **Сохранение событий в журнале приложений** Этот параметр политики определяет метод "упаковки" журнала приложений. Необходимо регулярно архивировать журнал приложений, если события, хранящиеся в журнале, могут быть полезны для использования в суде или для устранения неполадок. Затирание событий по необходимости обеспечивает хранение в журнале последних событий, хотя это и может привести к потере накопленных данных. Параметр **Сохранение событий в журнале приложений** установлен в значение **По необходимости** для обеих сред, описанных в данном руководстве. **Сохранение событий в журнале безопасности** Этот параметр политики определяет метод "упаковки" журнала безопасности. Необходимо регулярно архивировать журнал безопасности, если события, хранящиеся в журнале, могут быть полезны для использования в суде или для устранения неполадок. Затирание событий по необходимости обеспечивает хранение в журнале последних событий, хотя это и может привести к потере накопленных данных. Параметр **Сохранение событий в журнале безопасности** установлен в значение **По необходимости** для обеих сред, описанных в данном руководстве. **Сохранение событий в системном журнале** Этот параметр политики определяет метод "упаковки" системного журнала. Необходимо регулярно архивировать системный журнал, если события, хранящиеся в журнале, могут быть полезны для использования в суде или для устранения неполадок. Затирание событий по необходимости обеспечивает хранение в журнале последних событий, хотя это и может привести к потере накопленных данных. Параметр **Сохранение событий в системном журнале** установлен в значение **По необходимости** для обеих сред, описанных в данном руководстве. ##### Параметры брандмауэра Windows с улучшенной безопасностью Брандмауэр, входящий в состав Windows Vista, имеет возможность более тонкой настройки. Можно настроить дополнительные параметры безопасности брандмауэра Windows в редакторе объектов групповой политики в следующем месте: **Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности** **\\Брандмауэр Windows с улучшенной безопасностью** Для управления этими параметрами в разделе "Брандмауэр Windows с улучшенной безопасностью" редактора объектов групповой политики щелкните ссылку **Свойства брандмауэра Windows**. В диалоговом окне **Брандмауэр Windows с улучшенной безопасностью** можно задать параметры для профиля домена, личного и общего профилей. Для каждого профиля можно задать общие настройки в разделе **Состояние**, а в разделе **Настройки** можно нажать кнопку **Настройка** и задать дополнительные настройки. Данный раздел приложения содержит таблицы и рекомендации для каждого из профилей, которые можно настроить в диалоговом окне **Брандмауэр Windows с улучшенной безопасностью**. ###### Профиль домена Этот профиль применяется, если компьютер подключен к сети и проходит проверку подлинности на контроллере домена, которому принадлежит компьютер. **Таблица A32. Рекомендуемые настройки профиля домена**
Параметр По умолчанию в Windows Vista Объекты GPO компьютера в среде EC VSG Объекты GPO компьютера в среде SSLF VSG
§ Состояние брандмауэра Не задан Включен (рекомендуется) Включен (рекомендуется)
§ Входящие подключения Не задан Блокировать (по умолчанию) Блокировать (по умолчанию)
§ Исходящие подключения Не задан Разрешать (по умолчанию) Разрешать (по умолчанию)
Дополнительные настройки      
§ Отображать уведомление Не задан Да (по умолчанию) Нет
§ Разрешать одноадресный ответ Не задан Нет Нет
§ Применять локальные правила брандмауэра Не задан Да (по умолчанию) Нет
§ Применять локальные правила безопасности подключения Не задан Да (по умолчанию) Нет
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. Рекомендуемые настройки брандмауэра Windows с улучшенной безопасностью для среды EC включают правила брандмауэра, которые разрешают работу с помощью удаленного рабочего стола и удаленного помощника. Кроме того, локальные администраторы компьютеров в среде EC могут разрешать дополнительный доступ к компьютеру с помощью локальных правил брандмауэра. В среде SSLF все входящие подключения по умолчанию блокируются, и компьютеры игнорируют локальные правила брандмауэра. Дополнения или изменения правил брандмауэра вносятся с помощью редактора объектов групповой политики. **Важно**   Предписанные настройки брандмауэра для среды SSLF значительно ограничивают входящие подключения к компьютеру. Необходимо тщательно протестировать брандмауэр с такими настройками в среде, чтобы убедиться в том, что все приложения работают корректно. Чтобы просмотреть правила, определенные для профиля домена, в разделе "Брандмауэр Windows с улучшенной безопасностью" редактора объектов групповой политики щелкните ссылку **Правила для входящих подключений**. ###### Личный профиль Этот профиль применяется только в том случае, если пользователь с правами локального администратора назначает его сети, которая ранее использовала общий профиль. Корпорация Майкрософт рекомендует использовать личный профиль только для безопасной сети. **Таблица A33. Рекомендуемые настройки профиля домена**
Параметр По умолчанию в Windows Vista Объекты GPO компьютера в среде EC VSG Объекты GPO компьютера в среде SSLF VSG
§ Состояние брандмауэра Не задан Включен (рекомендуется) Включен (рекомендуется)
§ Входящие подключения Не задан Блокировать (по умолчанию) Блокировать (по умолчанию)
§ Исходящие подключения Не задан Разрешать (по умолчанию) Разрешать (по умолчанию)
Дополнительные настройки      
§ Отображать уведомление Не задан Да (по умолчанию) Нет
§ Разрешать одноадресный ответ Не задан Нет Нет
§ Применять локальные правила брандмауэра Не задан Да (по умолчанию) Нет
§ Применять локальные правила безопасности подключения Не задан Да (по умолчанию) Нет
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. Рекомендуемые настройки брандмауэра Windows с улучшенной безопасностью для среды EC включают правила брандмауэра, которые разрешают работу с помощью удаленного рабочего стола и удаленного помощника. Кроме того, локальные администраторы компьютеров в среде EC могут разрешать дополнительный доступ к компьютеру с помощью локальных правил брандмауэра. В среде SSLF все входящие подключения по умолчанию блокируются, и компьютеры игнорируют локальные правила брандмауэра. Дополнения или изменения правил брандмауэра вносятся с помощью редактора объектов групповой политики. Чтобы просмотреть правила, определенные для личного профиля, в разделе "Брандмауэр Windows с улучшенной безопасностью" редактора объектов групповой политики щелкните ссылку **Правила для входящих подключений**. ###### Общий профиль Данный профиль является типом сетевого местоположения по умолчанию в случае, если компьютер не подключен к домену. Параметры общего профиля должны максимально ограничивать доступ, поскольку компьютер подключен к общедоступной сети, безопасность которой нельзя контролировать так же жестко, как в ИТ-среде. **Таблица A34. Рекомендуемые настройки общего профиля**
Параметр По умолчанию в Windows Vista Объекты GPO компьютера в среде EC VSG Объекты GPO компьютера в среде SSLF VSG
§ Состояние брандмауэра Не задан Включен (рекомендуется) Включен (рекомендуется)
§ Входящие подключения Не задан Блокировать (по умолчанию) Блокировать (по умолчанию)
§ Исходящие подключения Не задан Разрешать (по умолчанию) Разрешать (по умолчанию)
Дополнительные настройки      
§ Отображать уведомление Не задан Нет Нет
§ Разрешать одноадресный ответ Не задан Нет Нет
§ Применять локальные правила брандмауэра Не задан Нет Нет
§ Применять локальные правила безопасности подключения Не задан Нет Нет
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. В средах EC и SSLF все входящие подключения блокируются по умолчанию и не существует правил брандмауэра, которые разрешают дополнительный доступ к компьютеру. Кроме того, компьютеры обеих сред, описанных в данном руководстве, игнорируют локальные правила брандмауэра. Дополнения или изменения правил брандмауэра, которые применяются к общему профилю, вносятся с помощью редактора объектов групповой политики. В следующих разделах коротко описаны настройки каждого из профилей брандмауэра. **Состояние брандмауэра** Выберите значение **Включен (рекомендуется)**, чтобы брандмауэр Windows с улучшенной безопасностью использовал настройки данного профиля для фильтрации сетевого трафика. Если выбрать значение **Выключен**, брандмауэр Windows с улучшенной безопасностью не будет использовать правила брандмауэра или правила безопасности подключения данного профиля. **Входящие подключения** Этот параметр определяет поведение для входящих подключений, которые не соответствуют правилу брандмауэра для входящих подключений. По умолчанию такие подключения блокируются, если только нет правил брандмауэра, которые разрешают подключение. **Исходящие подключения** Этот параметр определяет поведение для исходящих подключений, которые не соответствуют правилу брандмауэра для исходящих подключений. По умолчанию такие подключения разрешены, если только нет правил брандмауэра, которые блокируют подключение. **Важно**   Если для параметра **Исходящие подключения** выбрать значение **Блокировать** и развернуть политику брандмауэра с помощью объекта GPO, компьютеры, получающие настройки объекта GPO, не смогут получить последующие обновления групповой политики, если не создать и не развернуть правило для исходящего подключения, которое обеспечивает работу групповой политики. Предопределенные правила для основы сетей включают правила для исходящих подключений, которые обеспечивают работу групповой политики. Включите эти правила для исходящих подключений и тщательно протестируйте профили брандмауэра перед развертыванием. **Отображать уведомление** Если включить данный параметр, брандмауэр Windows с улучшенной безопасностью будет выводить пользователю уведомления при блокировке получения программой входящего подключения. **Примечание**.   Если параметр **Правила локального брандмауэра** установлено в значение **Нет**, корпорация Майкрософт рекомендует также установить значение параметра **Отображать уведомление** в значение **Нет**. В противном случае пользователи будут получать сообщения с вопросом о разблокировке ограниченного входящего подключения, однако ответы пользователя будут игнорироваться. **Разрешать одноадресный ответ** Этот параметр полезен в случаях, когда нужно управлять получением компьютером одноадресных ответов на исходящие многоадресные передачи или широковещательные сообщения. Если данный параметр включен и компьютер отправляет многоадресные или широковещательные сообщения другим компьютерам, брандмауэр Windows с улучшенной безопасностью ожидает одноадресный ответ от других компьютеров в течение трех секунд, по истечении которых блокирует все последующие ответы. Если данный параметр отключен и компьютер отправляет многоадресные или широковещательные сообщения другим компьютерам, брандмауэр Windows с улучшенной безопасностью блокирует одноадресные ответы других компьютеров. **Применять локальные правила брандмауэра** Этот параметр контролирует возможность создания локальными администраторами локальных правил брандмауэра, которые применяются вместе с правилами брандмауэра, заданными групповой политикой. Если установить данный параметр в значение **Нет**, администраторы все так же смогут создавать правила брандмауэра, но они не будут применяться. Этот параметр доступен только при настройке политики через групповую политику. **Применять локальные правила безопасности подключения** Этот параметр контролирует возможность создания локальными администраторами правил безопасности подключения, которые применяются вместе с правилами безопасности подключения, заданными групповой политикой. Если установить данный параметр в значение **Нет**, администраторы все так же смогут создавать правила брандмауэра, но они не будут применяться. Этот параметр доступен только при настройке политики через групповую политику. #### Конфигурация компьютера\\Административные шаблоны Следующие группы настроек политики компьютера содержат параметры, предписываемые данным руководством. Настройки отображаются в подузле **Конфигурация компьютера\\Административные шаблоны** редактора объектов групповой политики. - [Сетевые подключения](#_network_connections) - [Система](#_system) - [Вход в систему](#_logon) - [Групповая политика](#_group_policy) - [Удаленный помощник](#_remote_assistance) - [Удаленный вызов процедур](#_remote_procedure_call) - [Управление связью через Интернет\\Параметры связи через Интернет](#_internet_communication_management--) - [Компоненты Windows](#_windows_components_2) - [Политики автозапуска](#_autoplay_policies) - [Интерфейс учетных данных](#_credential_user_interface) - [Internet Explorer](#_internet_explorer_2) - [NetMeeting](#_netmeeting) - [Службы терминалов](#_terminal_services) - [Windows Messenger](#_windows_messenger) - [Веб-узел Центра обновления Windows](#_windows_update) ##### Сетевые подключения В контейнере "Сеть" групповой политики нет особых конфигураций, связанных с безопасностью. Однако имеется несколько очень важных настроек в контейнере **Сетевые подключения\\Брандмауэр Windows**. Корпорация Майкрософт рекомендует при настройке брандмауэра Windows использовать параметры брандмауэра Windows с улучшенной безопасностью, имеющиеся в редакторе объектов групповой политики. Однако рекомендуемые настройки для брандмауэра Windows с улучшенной безопасностью изменяют значения некоторых параметров в этой области групповой политики. Кроме того, несколько рекомендуемых настроек обеспечивают совместимость с компьютерами под управлением системы Windows XP в среде EC, описанной в данном руководстве. В Windows XP параметры брандмауэра Windows настраиваются в двух профилях: профиле домена и стандартном профиле. При обнаружении доменной среды используется профиль домена, а при отсутствии доменной среды — стандартный профиль. В случаях, когда в одной из приведенных ниже таблиц выбран параметр брандмауэра Windows **Рекомендуется**, используемое значение может быть различным для разных организаций. Поскольку каждая организация обладает уникальным набором приложений, для которых нужно задать исключения для брандмауэра Windows, невозможно в данном руководстве привести универсальный список, который подошел бы всем. Если нужно определить, для каких приложений или портов необходимо исключение, можно включить ведение журнала брандмауэра Windows, аудит брандмауэра Windows и трассировку сети. Дополнительные сведения см. в статье [Настройка компьютера для устранения неполадок брандмауэра Windows](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/operations/bfdeda55-46fc-4b53-b4cd-c71838ef4b41.mspx) (на английском языке). Обычно профиль домена содержит меньше ограничений, чем стандартный профиль, поскольку доменная среда часто обеспечивает дополнительные уровни защиты. Имена параметров политики одинаковы в обоих профилях. В следующих двух таблицах приводятся обобщенные сведения о параметрах политики для различных профилей, а более подробные объяснения приводятся в подразделах, следующих за таблицами. ###### Сетевые подключения\\Брандмауэр Windows\\Профиль домена Параметры, приведенные в этом разделе, определяют профиль домена брандмауэра Windows. Эти параметры можно настроить в следующем разделе редактора объектов групповой политики: **Административные шаблоны\\Сеть\\Сетевые подключения** **\\Брандмауэр Windows\\Профиль домена** **Таблица A35. Рекомендуемые настройки профиля домена брандмауэра Windows**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Брандмауэр Windows: Разрешать исключения ICMP Не рекомендуется Не рекомендуется Не задан Не задан
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам Отключен Отключен Не задан Не задан
Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования Не задан Не задан Не задан Не задан
Брандмауэр Windows: Разрешать исключения для входящих подключений к удаленному рабочему столу Включен Включен Не задан Не задан
Брандмауэр Windows: Разрешать исключения для входящей UPnP-инфраструктуры Не рекомендуется Не рекомендуется Не задан Не задан
Брандмауэр Windows: Разрешать локальные исключения для портов Отключен Отключен Отключен Отключен
Брандмауэр Windows: Разрешать локальные исключения для программ Не рекомендуется Не рекомендуется Отключен Отключен
Брандмауэр Windows: Задать исключения для входящих портов Не рекомендуется Не рекомендуется Не задан Не задан
Брандмауэр Windows: Задать исключения для входящих программ Рекомендуется Рекомендуется Не задан Не задан
Брандмауэр Windows: Не разрешать исключения Не рекомендуется Не рекомендуется Не задан Не задан
Брандмауэр Windows: Запретить уведомления Отключен Отключен Включен Включен
Брандмауэр Windows: Запретить одноадресный ответ на многоадресные или широковещательные сообщения Включен Включен Включен Включен
Брандмауэр Windows: Защищать все сетевые подключения Включен Включен Включен Включен
**Примечание**.   Если в данной таблице выбраны настройки брандмауэра Windows **Рекомендуется**, используемое значение может быть различным для разных организаций. Например, каждая организация обладает уникальным набором приложений, для которых нужно задать исключения для брандмауэра Windows. Поэтому в данном руководстве невозможно привести список, который подошел бы всем. ###### Сетевые подключения\\Брандмауэр Windows\\Стандартный профиль Параметры, приведенные в этом разделе, определяют стандартный профиль брандмауэра Windows. Этот профиль чаще всего содержит больше ограничений, чем профиль домена, поскольку предполагается, что доменная среда обеспечивает определенный базовый уровень безопасности. Стандартный профиль следует использовать, если компьютер находится в ненадежной сети, например в сети гостиницы или подключен к публичной точке беспроводного доступа. Такие среды несут в себе неизвестные угрозы и требуют принятия дополнительных мер по обеспечению безопасности. **Примечание**.   Стандартный профиль применяется только к компьютерам с системой Windows XP. Следующие рекомендации применяются только к описанной в данном руководстве среде EC для обеспечения совместимости с Windows XP. Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Административные шаблоны\\Сеть\\Сетевые подключения** **\\Брандмауэр Windows\\Стандартный профиль** **Таблица A36. Рекомендуемые настройки стандартного профиля брандмауэра Windows**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Брандмауэр Windows: Разрешать исключения ICMP Отключен Отключен Не задан Не задан
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам Отключен Отключен Не задан Не задан
Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования Отключен Отключен Не задан Не задан
Брандмауэр Windows: Разрешать исключения для входящих подключений к удаленному рабочему столу Включен Включен Не задан Не задан
Брандмауэр Windows: Разрешать исключения для входящей UPnP-инфраструктуры Отключен Отключен Не задан Не задан
Брандмауэр Windows: Разрешать локальные исключения для портов Отключен Отключен Не задан Не задан
Брандмауэр Windows: Разрешать локальные исключения для программ Не рекомендуется Не рекомендуется Не задан Не задан
Брандмауэр Windows: Задать исключения для входящих портов Не рекомендуется Не рекомендуется Не задан Не задан
Брандмауэр Windows: Задать исключения для входящих программ Рекомендуется Рекомендуется Не задан Не задан
Брандмауэр Windows: Не разрешать исключения Рекомендуется Рекомендуется Не задан Не задан
Брандмауэр Windows: Запретить уведомления Отключен Отключен Не задан Не задан
Брандмауэр Windows: Запретить одноадресный ответ на многоадресные или широковещательные сообщения Включен Включен Не задан Не задан
Брандмауэр Windows: Защищать все сетевые подключения Включен Включен Не задан Не задан
**Примечание**.   Если в данной таблице выбраны настройки брандмауэра Windows **Рекомендуется**, используемое значение может быть различным для разных организаций. Например, каждая организация обладает уникальным набором приложений, для которых нужно задать исключения для брандмауэра Windows. Поэтому в данном руководстве невозможно привести список, который подошел бы всем. **Брандмауэр Windows: Разрешать исключения ICMP** Этот параметр политики определяет набор типов сообщений протокола ICMP, которые разрешены брандмауэром Windows. Служебные программы могут использовать сообщения протокола ICMP для определения состояния других компьютеров. Например, команда Ping использует сообщения с запросом эха. Если установить параметр **Брандмауэр Windows: Разрешать исключения ICMP** в значение **Включен**, нужно указать какие типы сообщений протокола ICMP брандмауэр Windows разрешает компьютеру отправлять и получать. Если установить этот параметр политики в значение **Отключен**, брандмауэр Windows будет блокировать незапрошенные входящие сообщения протокола ICMP всех типов и перечисленные типы исходящих сообщений протокола ICMP. Поэтому работа служебных программ, использующих протокол ICMP, может быть нарушена. Многие вредоносные программы обнаруживают компьютеры, принимающие определенные типы сообщений протокола ICMP, и используют эти сообщения для проведения различных атак. Однако для правильной работы некоторых приложений необходимы некоторые из сообщений протокола ICMP. Кроме того, сообщения ICMP используются для оценки производительности сети при загрузке и обработке групповой политики. Если сообщения ICMP блокируются, невозможно применить групповую политику. По этой причине корпорация Майкрософт рекомендует по возможности устанавливать параметр **Брандмауэр Windows: Разрешать исключения ICMP** в значение **Отключен**. Если для работы среды необходимо, чтобы некоторые из сообщений ICMP пропускались брандмауэром Windows, укажите в данном параметре политики соответствующие типы сообщений. Если компьютер находится в ненадежной сети, параметр **Брандмауэр Windows: Разрешать исключения ICMP** необходимо установить в значение **Отключен**. **Примечание**.   Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной программой Ping), даже если параметр политики **Брандмауэр Windows: Разрешать исключения ICMP** блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся **Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам**, **Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования** и **Брандмауэр Windows: Задать исключения для входящих портов**. **Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам** Этот параметр политики создает исключение, разрешающее общий доступ к файлам и принтерам. При этом брандмауэр Windows открывает порты UDP 137, 138 и порты TCP 139 и 445. Если включить данный параметр политики, брандмауэр Windows откроет эти порты, чтобы компьютер мог получать задания печати и запросы на доступ к общим файлам. Необходимо задать IP-адреса или подсети, от которых разрешено получение таких сообщений. Если отключить параметр **Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам**, брандмауэр Windows будет блокировать эти порты и запрещать общий доступ к файлам и принтерам. Поскольку компьютеры в среде под управлением системы Windows Vista обычно не будут совместно использовать файлы и принтеры, корпорация Майкрософт рекомендует установить параметр **Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам** в значение **Отключен**. **Примечание**.   Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной программой Ping), даже если параметр политики **Брандмауэр Windows: Разрешать исключения ICMP** блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся **Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам**, **Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования** и **Брандмауэр Windows: Задать исключения для входящих портов**. **Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования** Многие организации используют в своей повседневной деятельности преимущества удаленного управления компьютерами. Однако некоторые атаки используют уязвимость портов, которые обычно используются программами удаленного управления. Брандмауэр Windows может обеспечить блокировку этих портов. Для обеспечения гибкости удаленного управления используется параметр **Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования (Allow inbound remote administration exception)**. Если этот параметр политики включен, компьютер может получать через порты TCP 135 и 445 незапрошенные входящие сообщения, связанные с удаленным управлением. Этот параметр политики также разрешает Svchost.exe и Lsass.exe получать незапрошенные входящие сообщения, что позволяет службам открывать дополнительные, динамически назначаемые порты, номер которых обычно находится в диапазоне от 1024 до 1034, но теоретически может быть любым от 1024 до 65535. Если данный параметр политики включен, необходимо указать IP-адреса или подсети, от которых разрешается получение этих входящих сообщений. Если установить параметр **Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования** в значение **Отключен**, брандмауэр Windows не делает описанные выше исключения. Установка этого параметра политики в значение **Отключен** может привести к неприемлемым для многих организаций результатам, поскольку использование многих средств удаленного управления и средств, выполняющих сканирование на предмет уязвимостей, станет невозможным. Поэтому корпорация Майкрософт рекомендует задействовать данный параметр политики только организациям, которым необходим наивысший уровень безопасности. Для профиля домена компьютеров, находящихся в среде EC, корпорация Майкрософт рекомендует устанавливать параметр **Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования** в значение **Включен** только в случае необходимости. Если включить этот параметр, компьютеры среды будут принимать запросы удаленного управления от минимально возможного числа компьютеров. Чтобы максимально использовать возможности брандмауэра Windows, укажите только необходимые IP-адреса, используемые для удаленного управления. Корпорация Майкрософт рекомендует устанавливать параметр **Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования** в значение **Отключен** для всех компьютеров, использующих стандартный профиль, для предотвращения известных атак, направленных именно на использование уязвимости портов TCP 135 и 445. **Примечание**.   Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной программой Ping), даже если параметр политики **Брандмауэр Windows: Разрешать исключения ICMP** блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся **Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам**, **Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования** и **Брандмауэр Windows: Задать исключения для входящих портов**. **Брандмауэр Windows: Разрешать исключения для входящих подключений к удаленному рабочему столу** Многие организации используют подключения к удаленному рабочему столу в повседневной деятельности и при устранении неполадок. Однако некоторые атаки используют уязвимости портов, которые обычно используются удаленным рабочим столом. Для обеспечения гибкости удаленного управления используется параметр **Брандмауэр Windows: Разрешать исключения для входящих подключений к удаленному** **рабочему столу**. Если включить этот параметр политики, брандмауэр Windows откроет порт TCP 3389 для входящих подключений. Необходимо также указать IP-адреса или подсети, от которых разрешено получение входящих сообщений. Если отключить этот параметр политики, брандмауэр Windows будет блокировать этот порт и препятствовать получению компьютером запросов на запуск удаленного рабочего стола. Если администратор добавит этот порт в список локальных исключений для портов, пытаясь открыть его, брандмауэр Windows не откроет порт. Для поддержки расширенных функций управления, предоставляемых удаленным рабочим столом, необходимо установить этот параметр политики в значение **Включен** для среды EC. Необходимо указать IP-адреса или подсети компьютеров, используемых для удаленного управления. Компьютеры в вашей среде должны принимать запросы на запуск удаленного рабочего стола от минимально возможного числа компьютеров. **Брандмауэр Windows: Разрешать исключения для входящей UPnP-инфраструктуры** Этот параметр политики разрешает компьютеру получать незапрошенные сообщения Plug and Play, отправляемые сетевыми устройствами, например маршрутизаторами со встроенным брандмауэром. Для получения этих сообщений брандмауэр Windows открывает порт TCP 2869 и порт UDP 1900. Если установить параметр **Брандмауэр Windows: Разрешать исключения для входящей UPnP-инфраструктуры**, брандмауэр Windows откроет эти порты, чтобы компьютер мог получать сообщения Plug and Play. Необходимо указать IP-адреса или подсети, от которых разрешено получение входящих сообщений. Если отключить этот параметр политики, брандмауэр Windows будет блокировать эти порты и препятствовать получению компьютером сообщений Plug and Play. Блокирование сетевого трафика UPnP значительно уменьшает число уязвимых мест компьютеров в среде. В безопасных сетях корпорация Майкрософт рекомендует устанавливать параметр **Брандмауэр Windows: Разрешать исключения для входящей UPnP-инфраструктуры** в значение **Отключен**, если в сети не используются устройства UPnP. Этот параметр политики всегда должен иметь значение **Отключен** в ненадежных сетях. **Брандмауэр Windows: Разрешать локальные исключения для портов** Этот параметр политики позволяет администраторам использовать компонент панели управления "Брандмауэр Windows" для определения списка локальных исключений для портов. Брандмауэр Windows может использовать два списка исключений для портов. Второй из них определяется параметром **Брандмауэр Windows: Задать исключения для портов**. Если установить параметр **Брандмауэр Windows: Разрешать локальные исключения для портов**, то администратор сможет задавать список локальных исключений для портов с помощью компонента панели управления "Брандмауэр Windows". Если отключить этот параметр политики, администратор не сможет задавать такой список с помощью компонента панели управления "Брандмауэр Windows". Обычно локальные администраторы не обладают правом переопределять принятые в организации политики и задавать собственный список исключений для портов. По этой причине корпорация Майкрософт рекомендует устанавливать параметр **Брандмауэр Windows: Разрешать локальные исключения для портов** в значение **Отключен**. **Брандмауэр Windows: Разрешать локальные исключения для программ** Этот параметр политики управляет возможностью администраторов использовать компонент панели управления "Брандмауэр Windows" для определения списка локальных исключений для программ. Если отключить этот параметр политики, администраторы не смогут задавать список локальных исключений для программ. Кроме того, это обеспечивает использование исключений для программ только на основе групповой политики. Если этот параметр политики включен, локальные администраторы могут использовать панель управления для задания локальных исключений для программ. Для компьютеров среды EC могут существовать условия, оправдывающие использование локальных исключений для программ. Такие условия могут включать приложения, которые не были проанализированы при создании политики брандмауэра организации, или новые приложения, для работы которых необходима нестандартная настройка портов. Следует иметь в виду, что если включить параметр **Брандмауэр Windows: Разрешать локальные исключения для программ** для таких ситуаций, количество уязвимых компьютеров увеличится. **Брандмауэр Windows: Задать исключения для входящих портов** Список исключений для портов брандмауэра Windows должен задаваться групповой политикой, которая позволяет централизованно управлять исключениями для портов и развертывать их, обеспечивая невозможность создания локальными администраторами менее безопасных настроек. Если установить параметр **Брандмауэр Windows: Задать исключения для входящих портов**, станет возможным просматривать и редактировать список исключений для портов, заданный групповой политикой. Чтобы просмотреть или отредактировать список исключений для портов, установите параметр в значение **Включен** и нажмите кнопку **Показать**. Если ввести неправильную строку определения, брандмауэр Windows добавит ее в список, не выполнив проверку на наличие ошибок. Это означает, что можно случайно создать несколько записей для одного и того же порта с конфликтующими значениями области или состояния. Если отключить параметр **Брандмауэр Windows: Задать исключения для входящих портов**, это приведет к удалению списка исключений для портов, определенного групповой политикой, но другие настройки все так же будут открывать или блокировать порты. Кроме того, если имеется список локальных исключений для портов, он игнорируется, пока не будет включен параметр **Брандмауэр Windows: Разрешать локальные исключения для портов**. В средах с нестандартными приложениями, для работы которых необходимо открыть определенные порты, рекомендуется использовать исключения для программ, а не исключения для портов. Корпорация Майкрософт рекомендует устанавливать параметр **Брандмауэр Windows: Задать исключения для входящих портов** в значение **Включен** и создавать список исключений для портов только в том случае, если невозможно задать исключения для программ. Исключения для программ разрешают брандмауэру Windows принимать незапрошенный сетевой трафик только во время работы указанной программы, а исключения для портов открывают их всегда. **Примечание**.   Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной программой Ping), даже если параметр политики **Брандмауэр Windows: Разрешать исключения ICMP** блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся **Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам**, **Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования** и **Брандмауэр Windows: Задать исключения для входящих портов**. **Брандмауэр Windows: Задать исключения для входящих программ** Для работы некоторых приложений может потребоваться открыть и использовать сетевые порты, которые обычно закрыты брандмауэром Windows. Параметр **Брандмауэр Windows: Задать исключения для входящих программ** позволяет просматривать и редактировать список исключений для портов, заданный групповой политикой. Если этот параметр политики имеет значение **Включен**, можно просматривать и редактировать список исключений для программ. Если добавить программу в список и установить ее состояние в значение **Включен**, то эта программа сможет получать незапрошенные входящие сообщения через любой порт, открываемый брандмауэром Windows по ее запросу, даже в том случае, если порт блокирован другим параметром. Если установить этот параметр политики в значение **Отключен**, то список исключений для программ, определяемый групповой политикой, будет удален. **Примечание**.   Если ввести неправильную строку определения, брандмауэр Windows добавит ее в список, не выполнив проверку на наличие ошибок. Поскольку запись не проверяется, в список можно добавлять еще не установленные программы. Также можно случайно создать несколько исключений для одной и той же программы с конфликтующими значениями области или состояния. **Брандмауэр Windows: Не разрешать исключения** Этот параметр политики приводит к блокированию брандмауэром Windows всех незапрошенных входящих сообщений. Он имеет приоритет над всеми остальными параметрами брандмауэра Windows, которые разрешают прием таких сообщений. Если включить этот параметр в элементе панели управления "Брандмауэр Windows", будет установлен флажок **Не разрешать исключения**, и администраторы не смогут снять его. Во многих средах имеются приложения и службы, которые для нормальной работы должны получать входящие незапрошенные сообщения. В таких средах нужно установить параметр **Брандмауэр Windows: Не разрешать исключения** в значение **Отключен**, чтобы эти приложения и службы работали правильно. Однако перед настройкой данного параметра политики необходимо проверить среду на предмет того, какие сообщения следует разрешить. **Примечание**.   Этот параметр политики обеспечивает надежную защиту против внешних атак и должен быть установлен в значение **Включен** в ситуациях, когда необходима полная защита от внешних атак, например от заражения новым сетевым червем. Если установить этот параметр политики в значение **Отключен**, брандмауэр Windows будет применять другие параметры политики, которые разрешают прием незапрошенных входящих сообщений. **Брандмауэр Windows: Запретить уведомления** Брандмауэр Windows может уведомлять пользователя при получении от программ запросов на добавление их в список исключений для программ. Это происходит, когда программа пытается открыть порт, закрытый текущими правилами брандмауэра Windows. Параметр **Брандмауэр Windows: Запретить уведомления** определяет, показывать ли эти настройки пользователю. Если установить этот параметр политики в значение **Включен**, брандмауэр Windows не будет выводить эти уведомления. Если установить его в значение **Отключен**, брандмауэр Windows будет показывать эти уведомления. **Брандмауэр Windows: Запретить одноадресный ответ на многоадресные или широковещательные сообщения** Этот параметр политики предотвращает получение компьютером одноадресных ответов на исходящие многоадресные или широковещательные сообщения. Если этот параметр политики включен, и компьютер отправляет многоадресные или широковещательные сообщения другим компьютерам, брандмауэр Windows блокирует отправленные ими одноадресные ответы. Если данный параметр отключен и компьютер отправляет многоадресные или широковещательные сообщения другим компьютерам, брандмауэр Windows ожидает одноадресные ответы от других компьютеров в течение трех секунд, по истечении которых блокирует все последующие ответы. Обычно необходимость в получении одноадресных ответов на многоадресные или широковещательные сообщения отсутствует. Такие ответы могут свидетельствовать об атаке типа "отказ в обслуживании" (DoS) или о попытке прощупать компьютер. Корпорация Майкрософт рекомендует устанавливать параметр **Брандмауэр Windows: Запретить одноадресный ответ на многоадресные или широковещательные сообщения** в значение **Включен**. **Примечание**.   Этот параметр политики не влияет на одноадресные сообщения, которые являются ответом на широковещательное сообщение DHCP, отправленное компьютером. Брандмауэр Windows всегда разрешает такие ответы DHCP. Однако этот параметр политики может мешать сообщениям NetBIOS, которые обнаруживают конфликты имен. **Брандмауэр Windows: Защищать все сетевые подключения** Этот параметр политики включает брандмауэр Windows, который заменяет брандмауэр подключения к Интернету на всех компьютерах под управлением Windows Vista. Рекомендуется установить этот параметр политики в значение **Включен**, чтобы защищать все сетевые подключения компьютеров во всех средах, рассматриваемых в данном руководстве. Если параметр **Брандмауэр Windows: Защищать все сетевые подключения** установлен в значение **Отключен**, брандмауэр Windows отключается и все его настройки игнорируются. **Примечание**.   Если включить этот параметр политики, запускается брандмауэр Windows, а настройки параметра **Конфигурация компьютера\\Административные шаблоны\\Сеть\\Сетевые подключения** **\\Запретить использование брандмауэра подключения к Интернету в сети DNS-домена** игнорируются. ##### Система В разделе "Конфигурация компьютера\\Административные шаблоны\\Система" можно настроить следующие дополнительные разделы: - [Вход в систему](#_logon) - [Групповая политика](#_group_policy) - [Удаленный помощник](#_remote_assistance) - [Удаленный вызов процедур](#_remote_procedure_call) - [Управление связью через Интернет\\Параметры связи через Интернет](#_internet_communication_management--) ###### Вход в систему Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Система\\Вход в систему** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах входа в систему. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A37. Рекомендуемые параметры входа в систему**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Не обрабатывать список автозапуска для старых версий Не задан Не задан Включен Включен
Не обрабатывать список автозапуска программ, выполняемых однажды Не задан Не задан Включен Включен
**Не обрабатывать список автозапуска для старых версий** Этот параметр политики управляет использованием списка автозапуска, который представляет собой список программ, автоматически запускаемых при запуске Windows Vista. Пользовательские списки автозапуска Windows Vista хранятся в следующих разделах реестра: - **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run** - **HKEY\_CURRENT\_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run** Можно включить параметр **Не обрабатывать список автозапуска для старых версий**, чтобы предотвратить загрузку при каждом запуске Windows Vista вредоносных программ, с помощью которых можно получить доступ к данным, хранящимся на компьютере, или нанести другой ущерб. Если этот параметр политики включен, невозможно запустить некоторые системные программы, например антивирусные программы и программы для распространения и наблюдения за ПО. Корпорация Майкрософт рекомендует оценить степень угрозы, которую этот параметр политики представляет для среды, перед его использованием в организации. Параметр **Не обрабатывать список автозапуска для старых версий** имеет значение **Не задан** для среды EC и **Включен** для среды SSLF. **Не обрабатывать список автозапуска программ, выполняемых однажды** Этот параметр политики управляет использованием списка автозапуска программ, выполняемых однажды, который представляет собой список программ, автоматически запускаемых при запуске Windows Vista. Этот параметр политики отличается от параметра **Не обрабатывать список автозапуска для старых версий** тем, что программы этого списка запускаются только один раз при следующей перезагрузке компьютера. Иногда в этот список добавляются программы установки для завершения установки после перезагрузки компьютера. Если этот параметр политики включен, злоумышленники не смогут воспользоваться списком автозапуска программ, выполняемых однажды, для запуска вредоносных приложений. Раньше это был один из наиболее распространенных способов атаки. Злоумышленник может использовать список автозапуска программ, выполняемых однажды, для установки программы, которая поставит под угрозу безопасность компьютеров под управлением Windows Vista. **Примечание**.   Пользовательские списки автозапуска программ, выполняемых однажды, хранятся в следующих разделах реестра: **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce**. Использование параметра **Не обрабатывать список автозапуска программ, выполняемых однажды** не приводит к заметным потерям функциональности в среде, особенно если все стандартные программы организации на клиентском компьютере установлены и настроены до применения этого параметра политики с помощью групповой политики. В среде EC параметр **Не обрабатывать список автозапуска программ, выполняемых однажды** имеет значение **Не задан**, а в среде SSLF — **Включен**. ###### Групповая политика Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Система\\Групповая политика** **Таблица A38. Рекомендуемые параметры групповой политики**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Обработка политики реестра Включен Включен Включен Включен
**Обработка политики реестра** Этот параметр политики определяет обновление политики реестра. Он влияет на все политики папки "Административные шаблоны" и на все другие политики хранения значений в реестре. Если этот параметр политики включен, можно выбрать один из следующих вариантов. - **Не применять во время периодической фоновой обработки.** - **Обрабатывать, даже если объекты групповой политики не изменились.** Некоторые параметры, настраиваемые в папке "Административные шаблоны", создаются в разделах реестра, доступных пользователям. Изменения этих параметров, внесенные пользователем, перезаписываются, если данный параметр политики включен. Параметр **Обработка политики реестра** установлен в значение **Включен** для обеих сред, рассматриваемых в данном руководстве. ###### Удаленный помощник Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Система\\Удаленный помощник** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах удаленного помощника. Дополнительные сведения по каждой строке приводятся в последующих подразделах. **Таблица A39. Рекомендуемые параметры удаленного помощника**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Предложение удаленной помощи Не задан Не задан Отключен Отключен
Запрос удаленной помощи Не задан Не задан Отключен Отключен
**Предложение удаленной помощи** Этот параметр политики определяет, может ли технический персонал или ИТ-специалист (администратор) предлагать удаленную помощь компьютерам среды, если пользователь явно не просил помощи посредством средств связи, например по электронной почте или с помощью средства обмена мгновенными сообщениями. **Примечание**.   Специалист не может подключиться к компьютеру без ведома пользователя и не может управлять им без разрешения пользователя. Когда специалист пытается подключиться, пользователь может отказать в подключении или предоставить ему только право наблюдения. Пользователь должен нажать кнопку **Да**, чтобы разрешить удаленное управление рабочей станцией. Перед этим следует установить параметр **Предложение удаленной помощи** в значение **Включен**. Если этот параметр политики включен, можно выбрать один из следующих вариантов. - **Помощники могут только наблюдать.** - **Помощники могут управлять компьютером.** При настройке этого параметра политики можно задать список пользователей или групп пользователей, так называемых "помощников", которые могут предлагать удаленную помощь. **Настройка списка помощников** 1. В окне настройки параметра **Предложение удаленной помощи** нажмите кнопку **Показать**. При этом откроется новое окно, где можно ввести имена помощников. 2. Добавьте пользователя или группу в список **Помощник** в одном из следующих форматов: - *<Домен>*\\*<Имя пользователя>* - *<Домен>*\\*<Имя группы>* Если этот параметр политики отключен или не настроен, пользователи и группы не смогут предлагать удаленную помощь пользователям компьютеров среды без предварительного запроса. Параметр **Предложение удаленной помощи** имеет значение **Не задан** для среды EC. Однако этот параметр политики имеет значение **Отключен** для среды SSLF, чтобы предотвратить доступ к клиентским компьютерам под управлением Windows Vista по сети. **Запрос удаленной помощи** Этот параметр политики определяет, можно ли запросить удаленную помощь с компьютеров среды под управлением Windows Vista. Можно включить этот параметр политики, чтобы разрешить пользователям запрашивать удаленную помощь ИТ-специалистов. **Примечание**.   Специалист не может подключиться к компьютеру без ведома пользователя и не может управлять им без разрешения пользователя. Когда специалист пытается подключиться, пользователь может отказать в подключении или предоставить ему только право наблюдения. Пользователь должен нажать кнопку **Да**, чтобы разрешить специалисту удаленно управлять рабочей станцией. Если параметр **Запрос удаленной помощи** включен, можно выбрать один из следующих вариантов. - **Помощники могут управлять компьютером.** - **Помощники могут только наблюдать.** Кроме того, можно задать время, на протяжении которого запрос будет действителен. - **Максимальное время приглашения (значение):** - **Максимальное время приглашения (единиц): часов,** **минут или дней** Когда срок действия приглашения (запрос помощи) истекает, пользователь должен отправить другой запрос, чтобы специалист смог подключиться к компьютеру. Если отключить параметр **Запрос удаленной помощи**, пользователи не смогут отправлять запросы помощи и специалист не сможет подключаться к компьютеру. Если параметр **Запрос удаленной помощи** не настроен, пользователи имеют возможность настроить запросы удаленной помощи в панели управления. По умолчанию в панели управления включены следующие параметры: **Запрос удаленной помощи**, **Помощь друга** и **Удаленное управление**. Значение параметра **Максимальное время приглашения** составляет **30 дней**. Если этот параметр политики отключен, никто не сможет получить доступ к клиентскому компьютеру под управлением Windows Vista по сети. Параметр **Запрос удаленной помощи** имеет значение **Не задан** для среды EC и значение **Отключен** для среды SSLF. ###### Удаленный вызов процедур Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Административные шаблоны\\Система\\Удаленный вызов процедур** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах удаленного вызова процедур. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A40. Рекомендуемые параметры удаленного вызова процедур**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Ограничения для не прошедших проверку подлинности RPC-клиентов Включен — Прошедшие проверку Включен — Прошедшие проверку Включен — Прошедшие проверку Включен — Прошедшие проверку
Проверка подлинности клиентов системы сопоставления конечных точек RPC Отключен Отключен Включен Включен
**Ограничения для не прошедших проверку подлинности RPC-клиентов** Этот параметр политики используется для настройки ограничений исполняемого модуля RPC RPC-сервера на подключение не прошедших проверку подлинности RPC-клиентов к RPC-серверу. Клиент считается прошедшим проверку подлинности, если он использует именованный канал для связи с сервером или если он использует RPC-безопасность. RPC-интерфейсы, которые явно указывают, что они должны быть доступны для не прошедших проверку клиентов, могут быть исключены из этих ограничений, в зависимости от значения параметра, выбранного для этой политики. Если эта политика включена, используются следующие значения: - **Отсутствует**. Разрешает любым RPC-клиентам подключаться к RPC- серверам на компьютере с этой политикой. - **Прошедшие проверку**. Разрешает только прошедшим проверку RPC-клиентам подключаться к RPC-серверам на компьютере с этой политикой. Интерфейсы, запрашивающие исключение из этого ограничения, получают его. - **Прошедшие проверку без исключений**. Разрешает только прошедшим проверку RPC-клиентам подключаться к RPC-серверам на компьютере с этой политикой. В этом случае никакие исключения не допускаются. Поскольку обмен данными с не прошедшим проверку подлинности RPC-клиентом может создать угрозу безопасности, параметр **Ограничения для не прошедших проверку подлинности RPC-клиентов** имеет значение **Включен** и параметр **Применяемое ограничение для не прошедших проверку подлинности RPC-клиентов** имеет значение **Прошедшие проверку** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   При такой настройке RPC-приложения будут работать неправильно, если незапрошенные входящие запросы на подключение не прошли проверку подлинности. Обязательно проверьте работу приложений перед развертыванием в среде этого параметра политики. Хотя для данного параметра политики значение "Прошедшие проверку" не обеспечивает полную безопасность, его можно использовать для обеспечения совместимости приложений в среде. **Проверка подлинности клиентов системы сопоставления конечных точек RPC** Если этот параметр политики включен, клиентские компьютеры, осуществляющие обмен данными с этим компьютером, обязательно должны проходить проверку подлинности перед установкой подключения RPC. По умолчанию, RPC-клиенты не используют проверку подлинности для связи со службой сопоставления конечных точек, когда они запрашивают конечную точку сервера. Однако эта стандартная настройка изменяется для среды SSLF, что приводит к обязательной проверке подлинности клиентских компьютеров перед установкой подключения RPC. ###### Управление связью через Интернет\\Параметры связи через Интернет В группе "Параметры связи через Интернет" имеется несколько параметров настройки. Рекомендуется ограничить большинство этих параметров, чтобы усилить секретность данных, хранящихся в системах компьютеров. Если не ограничить эти параметры, информация может быть перехвачена и использована злоумышленником. Хотя в действительности атаки такого типа сегодня происходят редко, надлежащая настройка этих параметров улучшает защиту среды от будущих атак. Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Административные шаблоны\\Система\\Управление связью через Интернет\\Параметры связи через Интернет** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах связи через Интернет. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A41. Рекомендуемые настройки связи через Интернет**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Отключить веб-публикацию в списке задач для файлов и папок Включен Включен Включен Включен
Отключить загрузку из Интернета для мастеров веб-публикаций и заказа отпечатков Включен Включен Включен Включен
Отключить участие в программе улучшения поддержки пользователей Windows Messenger Включен Включен Включен Включен
Отключить обновление информационных файлов помощника по поиску Включен Включен Включен Включен
Отключить выполнение печати через протокол HTTP Включен Включен Включен Включен
Отключить загрузку драйверов печати через протокол HTTP Включен Включен Включен Включен
Отключить использование Windows Update при поиске драйверов устройств Отключен Отключен Включен Включен
**Отключить веб-публикацию в списке задач для файлов и папок** С помощью данного параметра можно указать, отображаются ли задачи **Опубликовать файл в вебе**, **Опубликовать папку в вебе** и **Опубликовать выделенные объекты в вебе** в разделе задач для файлов и папок в окне Проводника. Мастер веб-публикаций используется для загрузки списка поставщиков услуг и позволяет публиковать информацию на веб-узлах. Если установить параметр **Отключить веб-публикацию в списке задач для файлов и папок** в значение **Включен**, соответствующие команды не появляются в списке задач для файлов и папок в окнах Проводника. По умолчанию функция публикации в вебе доступна. Поскольку с помощью этой возможности не прошедший проверку подлинности клиентский компьютер из Интернета может получить доступ к защищенным данным, данный параметр имеет значение **Включен** и для среды EC, и для среды SSLF. **Отключить загрузку из Интернета для мастеров веб-публикаций и заказа отпечатков** Этот параметр политики указывает, будет ли Windows загружать список поставщиков для мастеров веб-публикаций и заказа отпечатков. Если данный параметр политики включен, загрузка поставщиков в Windows отключается и выводятся только поставщики услуг, записанные в кэш локального реестра. Поскольку параметр **Отключитьвеб-публикацию в списке задач для файлов и папок** включен для сред EC и SSLF (см. предыдущий параметр), необходимость в данном параметре отпадает. Однако параметр **Отключить загрузку из Интернета для мастеров веб-публикаций и заказа отпечатков** установлен в значение **Включен**, чтобы уменьшить количество уязвимых мест клиентских компьютеров и обеспечить защиту от других способов злоупотребления данной возможностью. **Отключить участие в программе улучшения поддержки пользователей Windows Messenger** Этот параметр политики указывает, может ли Windows Messenger собирать анонимные сведения об использовании программы и службы Windows Messenger. Если включить этот параметр политики, Windows Messenger не будет собирать сведения об использовании, а настройки пользователя, включающие сбор сведений об использовании, не будут отображаться. Во многих крупных корпоративных системах сбор данных с управляемых клиентских компьютеров может быть нежелательным. Чтобы данные не собирались, параметр **Отключить участие в программе улучшения поддержки пользователей Windows Messenger** имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Отключить обновление информационных файлов помощника по поиску** Данный параметр указывает, может ли помощник по поиску автоматически загружать обновления информации во время локального поиска или поиска в Интернете. Если установить этот параметр политики в значение **Включен**, помощник по поиску не будет загружать обновления информации во время поиска. Параметр **Отключить обновление информационных файлов помощника по поиску** имеет значение **Включен** и для среды EC, и для среды SSLF, чтобы обеспечить возможность контроля ненужного обмена данными по сети для каждого управляемого клиентского компьютера. **Примечание**.   При поиске по Интернету искомый текст и информация о поиске все так же будут отправляться корпорации Майкрософт и выбранной поисковой системе. Выбор классического поиска полностью отключает функции помощника по поиску. Можно выбрать классический поиск, выбрав в меню **Пуск**, пункт **Поиск**, затем пункт **Изменить параметры**, а затем пункт **Изменить характеристики поиска в Интернете**. **Отключить выполнение печати через протокол HTTP** Этот параметр политики позволяет отключить возможность клиентского компьютера печатать через протокол HTTP, которая позволяет компьютеру выполнять печать на принтерах, находящихся в интрасети или в Интернете. Если этот параметр политики включен, клиентский компьютер не может выполнять печать на принтерах в Интернете через протокол HTTP. Данные, передаваемые через протокол HTTP при использовании этой возможности, не защищены и могут быть перехвачены злоумышленниками. Поэтому данную возможность редко используют в корпоративных сетях. Параметр **Отключить выполнение печати через протокол HTTP** имеет значение **Включен** и для среды EC, и для среды SSLF, что устраняет потенциальные угрозы безопасности со стороны незащищенного задания печати. **Примечание**.   Этот параметр политики влияет только на клиентскую сторону печати через Интернет. Независимо от того, какое значение имеет этот параметр, компьютер может выступать в роли сервера печати через Интернет и открывать доступ через протокол HTTP к подключенным к нему принтерам. **Отключить загрузку драйверов печати через протокол HTTP** Данный параметр управляет возможностью загрузки пакетов драйверов печати через протокол HTTP. Чтобы настроить печать через протокол HTTP, может потребоваться загрузить через протокол HTTP драйвера принтеров, которые отсутствуют в стандартной установке операционной системы. Параметр **Отключить загрузку драйверов печати через протокол HTTP** имеет значение **Включен**, что запрещает загрузку драйверов печати через протокол HTTP. **Примечание**.   Этот параметр политики не запрещает клиентскому компьютеру выполнять печать через протокол HTTP на принтерах, находящихся в интрасети или в Интернете. Он запрещает только загрузку драйверов, которые не были установлены локально. **Отключить использование Windows Update при поиске драйверов устройств** Этот параметр политики указывает, будет ли Windows выполнять поиск драйверов устройств в центре обновлений Windows, в случае их отсутствия в системе. Поскольку загрузка драйверов устройств из Интернета связана с определенным риском, параметр **Отключить использование Windows Update при поиске драйверов** имеет значение **Включен** для среды SSLF и значение **Отключен** для среды EC. Такая настройка объясняется тем, что защититься от атак, которые используют загрузку драйверов, можно с помощью надлежащего управления ресурсами предприятия и управления конфигурацией. Это также поможет обеспечить совместимость и стабильность компьютеров среды. **Примечание**.   См. также параметр **Отключить запрос на использование Windows Update при поиске драйверов** в разделе **Административные шаблоны/Система**, который указывает, выводится ли администратору предложение выполнить поиск драйверов устройств в Центре обновлений Windows, если драйвер отсутствует в системе. ##### Компоненты Windows Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** В разделе Административные шаблоны\\Компоненты Windows можно настроить следующие параметры: - [Политики автозапуска](#_autoplay_policies) - [Интерфейс учетных данных](#_credential_user_interface) - [Internet Explorer](#_internet_explorer_2) - [NetMeeting](#_netmeeting) - [Службы терминалов](#_terminal_services) - [Windows Messenger](#_windows_messenger) - [Веб-узел Центр обновления Windows](#_windows_update) ###### Политики автозапуска Автозапуск — это функция Windows, которая используется для автоматического открытия или запуска файлов мультимедиа или программ установки сразу же после их обнаружения на компьютере. Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\** **Политики автозапуска** **Таблица A42. Рекомендуемые настройки автозапуска**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Отключить автозапуск Не задан Не задан Включен —
Все устройства
Включен —
Все устройства

Отключить автозапуск Автозапуск начинает чтение с устройства сразу же после вставки носителя в устройство, что приводит к запуску программы установки ПО или к воспроизведению аудиоданных. Злоумышленник может использовать эту возможность для запуска вредоносной программы, повреждающей данные или сам компьютер. Включите параметр Отключить автозапуск, чтобы отключить функцию автозапуска. По умолчанию автозапуск отключен для некоторых съемных дисков, например, для дискет и для сетевых дисков, но не для дисковода для компакт-дисков.

Параметр Отключить автозапуск имеет значение Не задан для среды EC и значение Включен — Все устройства только для среды SSLF.

Примечание.   Нельзя использовать этот параметр политики для включения автозапуска на устройствах, для которых он по умолчанию отключен, например для дискет и сетевых дисков.

Интерфейс учетных данных

Параметры интерфейса учетных данных управляют пользовательским интерфейсом ввода имени и пароля учетной записи для авторизации требующих повышенных привилегий задач, для выполнения которых необходимо подтверждение через защищенный рабочий стол. Указанные ниже рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов групповой политики:

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Интерфейс учетных данных

Таблица A43. Рекомендуемые настройки интерфейса учетных данных контроля учетных записей

Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
§ Выводить список учетных записей администраторов при повышении привилегий Не задан Не задан Отключен Отключен
§ Требовать безопасный путь при вводе учетных данных Не задан Не задан Включен Включен
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. **Выводить список учетных записей администраторов при повышении привилегий** По умолчанию при попытке повышения привилегий работающего приложения выводится список учетных записей администраторов. Если этот параметр политики включен, пользователь всегда должен вводить имя пользователя и пароль для повышения привилегий. Если отключить эту политику, будет выводиться список всех учетных записей локальных администраторов компьютера, чтобы пользователь мог выбрать нужную и ввести правильный пароль. Параметр **Выводить список учетных записей администраторов при повышении привилегий** имеет значение **Не задан** для среды EC и значение **Отключен** для среды SSLF. **Требовать безопасный путь при вводе учетных данных** Если включить этот параметр политики, пользователи должны будут вводить учетные данные Windows через защищенный рабочий стол с использованием механизма безопасного пути. Это значит, что перед вводом имени и пароля учетной записи для авторизации запроса на повышение привилегий, пользователь должен нажать комбинацию клавиш CTRL+ALT+DEL. Использование безопасного пути защищает от кражи учетных данных Windows троянской программой или другими типами вредоносного кода. Если отключить или не настраивать этот параметр политики, пользователи будут вводить учетные данные Windows непосредственно в сеансе рабочего стола пользователя, что может дать вредоносному коду доступ к учетным данным пользователя Windows. Параметр **Требовать безопасный путь при вводе учетных данных** имеет значение **Не задан** для среды EC и значение **Включен** для среды SSLF. ###### Internet Explorer Групповая политика Microsoft Internet Explorer® помогает реализовывать требования к безопасности для компьютеров под управлением Windows Vista и предотвращает обмен нежелательными данными через Internet Explorer. Используйте следующие критерии для обеспечения безопасности Internet Explorer на рабочих станциях среды. - Убедитесь в том, что запросы отправляются в Интернет только непосредственно после соответствующих действий пользователя. - Убедитесь в том, что данные, отправляемые определенным веб-узлам, принимаются только этими веб-узлами, если только пользователь своими действиями не разрешает передавать данные на другие узлы назначения. - Убедитесь в том, что безопасные каналы к серверам или узлам четко определены, а также известны владельцы серверов или узлов на каждом канале. - Убедитесь в том, что все сценарии или программы, запускаемые вместе с Internet Explorer, выполняются в ограниченной среде. Программам, передаваемым по безопасным каналам, можно разрешить работать вне пределов ограниченной среды. **Важно**   Перед применением объектов GPO, включенных в данное руководство, необходимо убедиться в том, что Internet Explorer надлежащим образом настроен для доступа к Интернету. Во многих средах необходимо специально настроить параметры прокси-сервера, чтобы обеспечить соответствующий доступ в Интернет. Рекомендуемые настройки, которые приводятся в данном руководстве, запрещают пользователю изменять настройки параметров прокси-сервера Internet Explorer. Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Internet Explorer** В следующей таблице приводятся обобщенные сведения о рекомендуемой настройке параметров Internet Explorer. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A44. Рекомендуемые настройки Internet Explorer**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Отключить автоматическую установку компонентов Internet Explorer Включен Включен Включен Включен
Отключить периодическую проверку обновлений компонентов Internet Explorer Включен Включен Включен Включен
Отключить уведомления оболочки обновления программ при запуске программ Включен Включен Включен Включен
Не разрешать пользователям включать и отключать надстройки Включен Включен Включен Включен
Задать параметры прокси для компьютера (а не для пользователя) Включен Отключен Включен Отключен
Зоны безопасности: Не разрешать пользователям добавлять или удалять узлы Включен Включен Включен Включен
Зоны безопасности: Не разрешать пользователям изменять политики Включен Включен Включен Включен
Зоны безопасности: Использовать только параметры компьютера Включен Включен Включен Включен
Отключить обнаружение аварийных сбоев Включен Включен Включен Включен
**Отключить автоматическую установку компонентов Internet Explorer** Если включить этот параметр политики, Internet Explorer не будет загружать компоненты при просмотре пользователем веб-узлов, для обеспечения полной функциональности которых нужны эти компоненты. Если этот параметр отключен или не настроен, пользователи будут получать предложение загрузить и установить компоненты при каждом посещении использующего их веб-узла. Параметр **Отключить автоматическую установку компонентов Internet Explorer** имеет значение **Включен** для обеих сред, описанных в данном приложении. **Примечание**.   Перед включением этого параметра политики корпорация Майкрософт рекомендует продумать альтернативную стратегию обновления Internet Explorer через центр обновления Майкрософт или аналогичную службу. **Отключить периодическую проверку обновлений компонентов Internet Explorer** Если включить этот параметр политики, Internet Explorer не будет узнавать о наличии более новой версии обозревателя и сообщать об этом пользователям. Если этот параметр отключен или не настроен, то Internet Explorer выполняет проверку наличия обновлений каждые 30 дней (по умолчанию) и сообщает пользователям о появлении новой версии. Параметр **Отключить периодическую проверку обновлений компонентов Internet Explorer** имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   Перед включением этого параметра корпорация Майкрософт рекомендует администраторам организации продумать альтернативную стратегию периодического обновления Internet Explorer на клиентских компьютерах среды. **Отключить уведомления оболочки обновления программ при запуске программ** Данный параметр политики указывает, что программы, использующие каналы распространения программного обеспечения корпорации Майкрософт, не будут сообщать пользователям об установке новых компонентов. Каналы распространения программного обеспечения используются для динамического обновления программ на компьютерах пользователей. В основе этой функции лежит технология Open Software Distribution (.osd). Параметр **Отключить уведомления оболочки обновления программ при запуске программ** имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Не разрешать пользователям включать и отключать надстройки** Этот параметр политики позволяет управлять способностью пользователей включать или отключать надстройки с помощью диалогового окна "Управление надстройками". Если установить данный параметр в значение **Включен**, пользователи не смогут включать и отключать надстройки с помощью диалогового окна "Управление надстройками". Единственным исключением является случай, если надстройки были специально добавлены в параметр политики **Список надстроек** таким образом, который позволяет пользователям управлять данной надстройкой. В таком случае пользователь может управлять надстройкой через диалоговое окно "Управление надстройками". Если установить этот параметр в значение **Отключен**, пользователь сможет включать и отключать надстройки. Часто пользователи устанавливают надстройки, запрещенные политикой безопасности организации. Такие надстройки могут представлять серьезную угрозу безопасности и конфиденциальности сети. Поэтому данный параметр политики установлен в значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   Необходимо просмотреть параметры объекта GPO в разделе Internet Explorer\\Средства безопасности\\Управление надстройками, чтобы убедится в том, что необходимые авторизированные надстройки все так же выполняются в среде. Например, может понадобиться прочитать статью 555235 базы знаний [Веб-клиент и рабочее место в Интернете сервера Small Business Server не работают, если в Windows XP с пакетом обновления 2 с помощью групповой политики включена блокировка надстроек](http://support.microsoft.com/default.aspx?kbid=555235) (на английском языке). **Задать параметры прокси для компьютера (а не для пользователя)** Если включить этот параметр политики, пользователи не смогут изменять пользовательские параметры прокси-сервера. Им придется использовать зоны, созданные для всех пользователей компьютеров, с которыми они работают. Параметр **Задать параметры прокси для компьютера (а не для пользователя)** имеет значение **Включен** для настольных клиентских компьютеров для обеих сред, рассматриваемых в данном руководстве. Однако данный параметр политики имеет значение **Отключен** для портативных клиентских компьютеров, поскольку пользователям мобильных компьютеров может понадобиться изменить параметры прокси-сервера во время путешествия. **Зоны безопасности: Не разрешать пользователям добавлять или удалять узлы** Включите этот параметр политики, чтобы отключить параметры управления веб-узлами для зон безопасности. (Чтобы просмотреть параметр управления веб-узлами для зон безопасности, откройте Internet Explorer, в меню **Сервис** выберите пункт **Свойства обозревателя** и откройте вкладку **Безопасность**, на которой нажмите кнопку **Узлы**.) Если этот параметр политики отключен или не настроен, пользователи могут добавлять и удалять веб-узлы в зоны **Надежные узлы** и **Ограниченные узлы**, а также изменять настройки зоны **Местная интрасеть**. Параметр **Зоны безопасности: Не разрешать пользователям добавлять и удалять узлы** имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   Если включить параметр **Отключить вкладку "Безопасность"** (в разделе \\Конфигурация пользователя\\ Административные шаблоны\\Компоненты Windows\\Internet Explorer\\Панель управления обозревателем), то вкладка **Безопасность** не отображается и для данного параметра **Зоны безопасности:** устанавливается значение **Отключен**. **Зоны безопасности: Не разрешать пользователям изменять политики** Если включить этот параметр, кнопка **Другой** и ползунок **Уровень безопасности для этой зоны** на вкладке **Безопасность** диалогового окна **Свойства обозревателя** становятся недоступными. Если этот параметр политики отключен или не настроен, пользователи могут изменять настройки для зон безопасности. Данный параметр не дает пользователям изменять параметры политики зоны безопасности, установленные администратором. Параметр **Зоны безопасности: Не разрешать пользователям изменять политики** имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   Если включить параметр **Отключить вкладку "Безопасность"** (в разделе \\Конфигурация пользователя\\ Административные шаблоны\\Компоненты Windows\\Internet Explorer\\Панель управления обозревателем), то вкладка **Безопасность** не отображается в Internet Explorer на панели управления и для данного параметра **Зоны безопасности:** устанавливается значение **Отключен** . **Зоны безопасности: Использовать только параметры компьютера** Этот параметр политики влияет на то, как изменения в зонах безопасности сказываются на различных пользователях. Он предназначен для сохранения единообразия настроек зон безопасности на компьютере, чтобы они не различались для разных пользователей. Если включить этот параметр политики, внесенные одним пользователем изменения зоны безопасности повлияют на всех пользователей этого компьютера. Если этот параметр политики отключен или не настроен, пользователи одного и того же компьютера могут задавать собственные настройки зон безопасности. Параметр **Зоны безопасности: Использовать только параметры компьютера** имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Отключить обнаружение аварийных сбоев** Этот параметр политики позволяет управлять функцией обнаружения аварийных сбоев управления надстройками в Internet Explorer. Если включить этот параметр политики, то аварийный сбой, произошедший в Internet Explorer, будет аналогичен аварийному сбою компьютера под управлением Windows XP Professional с пакетом обновления 1 (SP1) или более ранней версии: Будет задействована служба регистрации ошибок Windows. Если отключить этот параметр политики, функция обнаружения аварийных сбоев в управлении надстройками будет работать. Поскольку сведения в отчете об аварийном сбое Internet Explorer могут содержать секретные данные из памяти компьютера, параметр **Отключить обнаружение аварийных сбоев** установлен в значение **Включен** для обеих сред, рассматриваемых в данном руководстве. Если аварийные сбои часто повторяются и необходимо сообщить о них для последующего устранения неполадок, можно временно установить параметр политики в значение **Отключен**. В разделе **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Internet Explorer** можно настроить следующие дополнительные разделы параметров: - [Панель управления обозревателем\\Вкладка "Дополнительно"](#_internet_explorer-internet_control) - [Средства безопасности\\Ограничение безопасности для MK-протокола](#_internet_explorer-security_features) - [Средства безопасности\\Соответствие при обработке MIME](#_security_features-consistent_mime) - [Средства безопасности\\Возможности пробной проверки MIME](#_security_features-mime_sniffing) - [Средства безопасности\\Ограничения безопасности для обрабатываемых сценариями окон](#_security_features-scripted_window) - [Средства безопасности\\Защита от повышения уровня зоны](#_security_features-protection_from) - [Средства безопасности\\Ограничение установки элементов ActiveX](#_security_features-restrict_activex) - [Средства безопасности\\Ограничение загрузки файлов](#_security_features-restrict_file) - [Средства безопасности\\Управление надстройками](#_security_features-add-on_management) - [Настройки списка надстроек Internet Explorer](#_internet_explorer_add-on) Значения по умолчанию этих параметров обеспечивают повышенную безопасность, по сравнению с более ранними версиями Windows. Однако может понадобиться просмотреть эти настройки, чтобы определить, необходимы ли они в среде с точки зрения удобства использования и совместимости приложений или их можно ослабить. Например, теперь можно установить блокировку всплывающих окон в Internet Explorer для всех зон Интернета по умолчанию. Может понадобиться обеспечить использование этого параметра политики на всех компьютерах среды для устранения всплывающих окон и снижения вероятности установки вредоносных и шпионских программ, которые зачастую попадают в систему с веб-узлов в Интернете. Однако в среде могут быть приложения, которым для нормальной работы необходимо использовать всплывающие окна. В этом случае, можно разрешить всплывающие окна для веб-узлов интрасети с помощью данной политики. ###### Internet Explorer\\Панель управления обозревателем\\Вкладка "Дополнительно" Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Internet Explorer\\Панель управления обозревателем\\Вкладка "Дополнительно"** **Таблица A45. Рекомендуемые настройки вкладки "Дополнительно"**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Разрешить запуск или установку программ, даже если подпись недопустима Отключен Отключен Отключен Отключен
**Разрешить запуск или установку программ, даже если подпись недопустима** Элементы управления Microsoft ActiveX® и загрузки файлов часто содержат цифровые подписи, которые свидетельствуют о целостности файлов и удостоверяют личность подписавшего (создавшего) программу. Такие подписи гарантируют загрузку неизмененных программ и предоставляют сведения о тех, кто поставил свои подписи, которые позволяют принять решение о доверии к ним и к их программам. Параметр **Разрешить запуск или установку программ, даже если подпись недопустима** позволяет управлять установкой и запуском загруженных программ, даже если подпись недопустима. Недопустимая подпись может свидетельствовать о том, что файл был изменен. Если включить этот параметр политики, пользователи будут получать предложение установить или запустить файлы с недопустимыми подписями. Если отключить этот параметр политики, пользователи не смогут устанавливать или запускать файлы с недопустимыми подписями. Поскольку неподписанные программы могут создать брешь в безопасности, этот параметр политики установлен в значение **Отключен** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   Некоторые надежные программы и элементы управления могут иметь недопустимую подпись и при этом быть безопасными. Необходимо тщательно проверить такие программы в изолированной системе, прежде чем разрешить использовать их в сети организации. ###### Internet Explorer\\Средства безопасности\\Ограничение безопасности для MK-протокола Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Средства безопасности\\Ограничение безопасности для MK-протокола** **Таблица A46. Рекомендуемые настройки MK-протокола**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Процессы Internet Explorer (MK-протокол) Включен Включен Включен Включен
**Процессы Internet Explorer (MK-протокол)** Этот параметр политики уменьшает количество уязвимых мест путем блокировки редко используемого MK-протокола. Некоторые относительно старые веб-приложения используют MK-протокол для извлечения данных из сжатых файлов. Если этот параметр политики имеет значение **Включен**, MK-протокол блокируется для Проводника и для Internet Explorer, что приводит к сбою в работе ресурсов, использующих MK-протокол. Если отключить этот параметр политики, другие приложения смогут использовать API MK-протокола. Поскольку MK-протокол редко используется, его необходимо блокировать, когда он не нужен. Этот параметр политики имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. Корпорация Майкрософт рекомендует блокировать MK-протокол, пока он не понадобится в вашей среде. **Примечание**.   Поскольку ресурсы, использующие MK-протокол, не смогут работать, если установлен этот параметр политики, необходимо убедиться в том, что ни одно из приложений не использует этот протокол. ###### Internet Explorer\\Средства безопасности\\Соответствие при обработке MIME Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Средства безопасности\\Соответствие при обработке MIME** **Таблица A47. Рекомендуемые настройки соответствия при обработке MIME**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Процессы Internet Explorer (Соответствие при обработке MIME) Включен Включен Включен Включен
**Процессы Internet Explorer (Соответствие при обработке MIME)** Internet Explorer использует данные MIME (Multipurpose Internet Mail Extensions) для определения процедур обработки файлов, полученных через веб-сервер. Параметр **Соответствие при обработке MIME** определяет, будет ли Internet Explorer требовать, чтобы все сведения о файлах всех типов, полученные от веб-сервера, соответствовали друг другу. Например, если тип MIME файла указан как "text/plain", но данные MIME указывают, что в действительности это EXE-файл, Internet Explorer изменяет расширение имени файла на соответствующее EXE-файлу. Эта возможность не позволяет маскировать исполняемый код под другие типы данных, которые считаются безопасными. Если этот параметр политики включен, Internet Explorer проверяет все полученные файлы и обеспечивает для них соответствие данных MIME. Если этот параметр политики отключен или не настроен, Internet Explorer не требует соответствия данных MIME для всех получаемых файлов и использует данные MIME, получаемые вместе с файлом. Подмена типа файла MIME представляет потенциальную угрозу организации. Для предотвращения загрузки вредоносных файлов, которые могут заразить сеть, необходимо обеспечить соответствие и надлежащее обозначение таких файлов. Этот параметр политики имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   Этот параметр политики работает в сочетании с настройками параметра **Возможности пробной проверки MIME**, но не заменяет их. ###### Internet Explorer\\Средства безопасности\\Возможности пробной проверки MIME Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Средства безопасности\\Возможности пробной проверки MIME** **Таблица A48. Рекомендуемые настройки пробной проверки MIME**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Процессы Internet Explorer (Пробная проверка MIME) Включен Включен Включен Включен
**Процессы Internet Explorer (Пробная проверка MIME)** Пробная проверка MIME — это процесс проверки содержимого файла MIME для определения его контекста: является ли он файлом данных, EXE-файлом или файлом другого типа. Этот параметр политики определяет, будет ли пробная проверка MIME обозревателя Internet Explorer предотвращать обработку файла одного типа как файла другого, более опасного, типа. Если он имеет значение **Включен**, пробная проверка MIME не будет обрабатывать файл одного типа как файл более опасного типа. Если этот параметр политики отключен, пробная проверка MIME настраивает процессы Internet Explorer таким образом, чтобы разрешать обработку файлов одного типа как файлов более опасного типа. Например, текстовый файл может быть обработан как EXE-файл, что представляет опасность, поскольку любой код, содержащийся в предполагаемом текстовом файле, будет выполнен. Подмена типа файла MIME представляет потенциальную угрозу организации. Для предотвращения загрузки вредоносных файлов, которые могут заразить сеть, корпорация Майкрософт рекомендует обеспечить соответствующую обработку таких файлов. Параметр **Процессы Internet Explorer (Пробная проверка MIME)** установлен в значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   Этот параметр политики работает в сочетании с настройками параметра **Соответствие при обработке MIME**, но не заменяет их. ###### Internet Explorer\\Средства безопасности\\Ограничения безопасности для обрабатываемых сценариями окон Этот рекомендованный параметр компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Средства безопасности\\Ограничения безопасности для обрабатываемых сценариями окон** **Таблица A49. Рекомендуемые настройки ограничений для обрабатываемых сценариями окон**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Процессы Internet Explorer (Ограничения безопасности для обрабатываемых сценариями окон) Включен Включен Включен Включен
**Процессы Internet Explorer (Ограничения безопасности для обрабатываемых сценариями окон)** Internet Explorer разрешает программно открывать, изменять размер и перемещать различные типы окон с помощью сценариев. Мошеннические веб-узлы часто изменяют размеры окон, чтобы скрыть другие окна или заставить пользователя взаимодействовать с окном, содержащим вредоносный код. Параметр **Процессы Internet Explorer** **(Ограничения безопасности для обрабатываемых сценариями окон)** ограничивает всплывающие окна и не разрешает сценариям открывать окна с невидимыми пользователю строками заголовка и строками состояния или скрывать строки заголовка и строки состояния других окон. Если этот параметр политики включен, всплывающие окна не будут открываться в процессах Проводника и Internet Explorer. Если этот параметр отключен или не настроен, сценарии смогут создавать всплывающие окна и окна, скрывающие другие окна. Параметр **Процессы Internet Explorer** **(Ограничения безопасности для обрабатываемых сценариями окон)** имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. Во включенном состоянии этот параметр политики затрудняет вредоносным веб-узлам управление окнами Internet Explorer и обман пользователей с целью заставить их щелкнуть другое окно. ###### Internet Explorer\\Средства безопасности\\Защита от повышения уровня зоны Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Средства безопасности\\Защита от повышения уровня зоны** **Таблица A50. Рекомендуемые настройки для защиты от повышения уровня зоны**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Процессы Internet Explorer (Защита от повышения уровня зоны) Включен Включен Включен Включен
**Процессы Internet Explorer (Защита от повышения уровня зоны)** Internet Explorer накладывает ограничения на каждую открываемую веб-страницу. Эти ограничения зависят от размещения веб-страницы (Интернет, интрасеть, зона локального компьютера и т. д.). Веб-страницы на локальном компьютере находятся в зоне безопасности локального компьютера, и для них применяются минимальные ограничения безопасности. Это делает зону локального компьютера основной мишенью для атак со стороны злоумышленников. Если параметр **Процессы Internet Explorer (Защита от повышения уровня зоны)** включен, любая зона может быть защищена от повышения зоны с помощью процессов Internet Explorer. Такой подход предотвращает получение содержимым, которое запускается в одной зоне, повышенных привилегий другой зоны. Если отключить этот параметр политики, ни одна из зон не получает такой защиты процессов Internet Explorer. Из-за уровня опасности и относительно частого использования атак повышения уровня зоны, параметр **Процессы Internet Explorer (Защита от повышения уровня зоны)** имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. ###### Internet Explorer\\Средства безопасности\\Ограничение установки элементов ActiveX Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Средства безопасности\\Ограничение установки элементов ActiveX** **Таблица A51. Ограничение установки элементов ActiveX**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Процессы Internet Explorer (Ограничение установки элементов ActiveX) Включен Включен Включен Включен
**Процессы Internet Explorer (Ограничение установки элементов ActiveX)** Этот параметр политики предоставляет возможность блокировать запросы на установку элементов управления ActiveX для процессов Internet Explorer. Если этот параметр политики включен, запросы на установку элементов управления ActiveX для процессов Internet Explorer будут блокироваться. Если этот параметр политики отключен или не настроен, запросы на установку элементов управления ActiveX не блокируются и показываются пользователю. Пользователи нередко устанавливают элементы управления ActiveX, которые запрещены политикой безопасности организации. Такие программы могут создать значительную угрозу безопасности сети и конфиденциальности данных. Поэтому параметр **Процессы Internet Explorer (Ограничение установки элементов ActiveX)** установлен в значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   Этот параметр политики также не позволяет пользователям устанавливать разрешенные надежные элементы управления ActiveX, которые влияют на важные компоненты системы, например Windows Update. Если этот параметр политики включен, необходимо реализовать некий альтернативный способ развертывания обновлений безопасности, например, с помощью служб Windows Server Update Services (WSUS). Дополнительные сведения о службах WSUS см. в статье [Общая информация о службах обновления Windows](http://www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx) (на английском языке). ###### Internet Explorer\\Средства безопасности\\Ограничение загрузки файлов Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Средства безопасности\\Ограничение загрузки файлов** **Таблица A52. Рекомендуемые настройки ограничения загрузки файлов**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Процессы Internet Explorer (Ограничение загрузки файлов) Включен Включен Включен Включен
**Процессы Internet Explorer (Ограничение загрузки файлов)** При определенных условиях веб-узлы могут инициировать запросы на загрузку файлов без вмешательства пользователей. Эта технология позволяет веб-узлам загружать несанкционированные файлы на жесткий диск пользователя, если последний нажмет не ту кнопку и примет предложение о загрузке. Если установить параметр **Процессы Internet Explorer (Ограничение загрузки файлов)** в значение **Включен**, для процессов Internet Explorer будут блокироваться запросы на загрузку файлов, не инициированные пользователем. Если этот параметр политики установлен в значение **Отключен**, для процессов Internet Explorer будут возникать запросы на загрузку файлов, не инициированные пользователем. Параметр **Процессы Internet Explorer (Ограничение загрузки файлов)** имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве для предотвращения размещения злоумышленником произвольного кода на компьютерах пользователей. ###### Internet Explorer\\Средства безопасности\\Управление надстройками Эти рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Средства безопасности\\Управление надстройками** **Таблица A53. Настройки управления надстройками**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Отключать все надстройки, кроме заданных в списке надстроек Рекомендуется Рекомендуется Рекомендуется Рекомендуется
Список надстроек Рекомендуется Рекомендуется Рекомендуется Рекомендуется
**Отключать все надстройки, кроме заданных в списке надстроек** Этот параметр политики, вместе с параметром **Список надстроек**, позволяет управлять надстройками Internet Explorer. По умолчанию параметр **Список надстроек** задает список надстроек, включенных или отключенных посредством групповой политики. При включенном параметре **Отключать все надстройки, кроме заданных в списке надстроек** все надстройки считаются отключенными, если они специально не внесены в параметр **Список надстроек**. Если этот параметр политики включен, Internet Explorer включает только надстройки, специально указанные (и разрешенные) в **списке надстроек**. Если отключить этот параметр политики, пользователи смогут использовать для включения и отключения любых надстроек диспетчер надстроек. Необходимо рассмотреть вопрос об одновременном использовании параметров **Отключать все надстройки, кроме заданных в списке надстроек** и **Список надстроек** для управления надстройками, используемыми в среде. Такой подход обеспечивает использование только авторизованных надстроек. **Список надстроек** Этот параметр политики вместе с параметром **Отключать все надстройки, кроме заданных в списке надстроек** позволяет управлять надстройками Internet Explorer. По умолчанию параметр **Список надстроек** задает список надстроек, включенных или отключенных посредством групповой политики. При включенном параметре **Отключать все надстройки, кроме заданных в списке надстроек** все надстройки считаются отключенными, если они специально не внесены в параметр **Список надстроек**. Если параметр **Список надстроек** включен, нужно перечислить включенные и отключенные надстройки Internet Explorer. Поскольку надстройки, включаемые в этот список, различны для разных организаций, в данном руководстве не приводится подробный список. Для каждой записи списка нужно задать следующие сведения: - **Имя значения**. CLSID (идентификатор класса) добавляемой надстройки. Идентификатор CLSID должен быть заключен в фигурные скобки, например {000000000-0000-0000-0000-0000000000000}. Идентификатор CLSID надстройки можно получить из тега OBJECT на веб-странице со ссылкой на надстройку. - **Значение**. Число, указывающее действие Internet Explorer: разрешить или запретить загрузку надстройки. Допустимы следующие значения: - **0** Отключить эту настройку - **1** Включить эту настройку - **2** Включить эту настройку и разрешить пользователю управлять ею с помощью диалогового окна "Управление надстройками" Если параметр **Список надстроек** отключен, то список удаляется. Необходимо рассмотреть вопрос об одновременном использовании параметров **Отключать все надстройки, кроме заданных в списке надстроек** и **Список надстроек** для управления надстройками, используемыми в среде. Такой подход обеспечивает использование только авторизованных надстроек. ###### NetMeeting Microsoft NetMeeting® позволяет пользователям проводить виртуальные встречи через сеть организации. Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\** **NetMeeting** **Таблица A54. Рекомендуемые настройки NetMeeting**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Запретить общий доступ к рабочему столу Не задан Не задан Включен Включен
**Запретить общий доступ к рабочему столу** Этот параметр политики отключает имеющуюся в NetMeeting возможность общего доступа к рабочему столу. Если этот параметр политики включен, пользователи не смогут включить в NetMeeting возможность удаленного управления локальным рабочим столом. Параметр **Запретить общий доступ к рабочему столу** имеет значение **Не задан** для среды EC. Однако для среды SSLF он имеет значение **Включен**, чтобы запретить пользователям использовать общий доступ к рабочему столу через NetMeeting. ###### Службы терминалов Настройки службы терминалов обеспечивают возможность перенаправления ресурсов клиентских компьютеров на серверы, доступ к которым осуществляется с помощью служб терминалов. В данном разделе описаны настройки для следующих параметров: - Клиентское подключение к удаленному рабочему столу - Сервер терминалов\\Подключения - Сервер терминалов\\Перенаправление устройств и ресурсов - Сервер терминалов\\Безопасность Службы терминалов\\Клиентское подключение к удаленному рабочему столу Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе объектов групповой политики: **Административные шаблоны\\Компоненты Windows \\Службы терминалов** **\\Клиентское подключение к удаленному рабочему столу** **Таблица A55. Рекомендуемая настройка параметра "Запретить сохранение паролей"**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Запретить сохранение паролей Включен Включен Включен Включен
**Запретить сохранение паролей** Этот параметр политики запрещает клиентам служб терминалов сохранять пароли на компьютере. Если этот параметр политики включен, флажок сохранения пароля недоступен для клиентов служб терминалов и пользователи не могут сохранять пароли. Поскольку сохраненные пароли могут создать дополнительную угрозу безопасности, параметр **Запретить сохранение паролей** имеет значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   Если перед включением этот параметр политики имел значение **Отключен** или **Не задан**, все ранее сохраненные пароли удаляются после первого отключения клиента служб терминалов от любого сервера. Службы терминалов\\Сервер терминалов\\Подключения Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Службы терминалов\\Сервер терминалов\\Подключения** **Таблица A56. Рекомендуемая настройка для подключений**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Разрешать удаленное подключение с использованием служб терминалов Не задан Не задан Отключен Отключен
**Разрешать удаленное подключение с использованием служб терминалов** Этот параметр политики позволяет управлять способностью пользователей подключаться к компьютеру с помощью служб терминалов или удаленного рабочего стола. В среде SSLF пользователи должны входить непосредственно через консоль физического компьютера. Поэтому параметр **Разрешать удаленное подключение с использованием служб терминалов** имеет для среды SSLF значение **Отключен**. Однако для среды EC этот параметр политики имеет значение **Не задан**. Службы терминалов\\Сервер терминалов\\Перенаправление устройств и ресурсов Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Службы терминалов\\Сервер терминалов\\Перенаправление устройств и ресурсов** **Таблица A57. Рекомендуемая настройка перенаправления устройств и ресурсов**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Запретить перенаправление дисков Не задан Не задан Включен Включен
**Запретить перенаправление дисков** Этот параметр политики запрещает пользователям открывать используемым серверам терминалов общий доступ к дискам клиентских компьютеров. Присоединенные диски показываются в дереве папок Проводника в следующем формате: \\\\TSClient\\*<буква\_диска>*$ Общие локальные диски уязвимы к атакам злоумышленников, которые хотят получить доступ к данным, хранящимся на них. Поэтому параметр **Запретить перенаправление дисков** имеет значение **Включен** для среды SSLF. Однако для среды EC этот параметр политики имеет значение **Не задан**. Службы терминалов\\Сервер терминалов\\Безопасность Указанные ниже рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны** **\\Компоненты Windows\\Службы терминалов\\Сервер терминалов\\Безопасность** **Таблица A58. Рекомендуемые настройки безопасности сервера терминалов**
Параметр Настольный компьютер EC EC
переносной компьютер
Настольный компьютер SSLF Портативный компьютер SSLF
Всегда запрашивать у клиента пароль при подключении Включен Включен Включен Включен
Установить уровень шифрования для клиентских подключений Включен:Высокий уровень Включен:Высокий уровень Включен:Высокий уровень Включен:Высокий уровень
**Всегда запрашивать у клиента пароль при подключении** Этот параметр политики указывает, всегда ли службы терминалов должны запрашивать у клиентского компьютера пароль при подключении. Можно использовать этот параметр политики для запроса у пользователей пароля при входе в службы терминалов, даже если они уже вводили пароль для клиентского подключения к удаленному рабочему столу. По умолчанию службы терминалов разрешают пользователям входить автоматически, если они уже ввели пароль для клиентского подключения к удаленному рабочему столу. Параметр **Всегда запрашивать у клиента пароль при подключении** установлен в значение **Включен** для обеих сред, рассматриваемых в данном руководстве. **Примечание**.   Если этот параметр политики не настроен, администратор локального компьютера может воспользоваться средством настройки служб терминалов, чтобы разрешить или запретить автоматическую отправку паролей. **Установить уровень шифрования для клиентских подключений** Этот параметр политики определяет, будет ли компьютер, к которому выполняется удаленное подключение, устанавливать уровень шифрования данных, передаваемых между ним и клиентским компьютером, для удаленного сеанса. Уровень шифрования имеет значение **Включен:Высокий уровень**, что обеспечивает 128-битное шифрование для обеих сред, рассматриваемых в данном руководстве. ###### Windows Messenger Windows Messenger используется для отправки мгновенных сообщений другим пользователям сети. Сообщение может содержать файлы и другие вложения. Можно настроить следующие рекомендованные параметры компьютера в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны** **\\Компоненты Windows\\Windows Messenger** **Таблица A59. Рекомендуемая настройка Windows Messenger**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Запретить запуск Windows Messenger Включен Включен Включен Включен
**Запретить запуск Windows Messenger** Можно включить параметр **Запретить запуск Windows Messenger**, чтобы отключить Windows Messenger и запретить запуск программы. Поскольку известно, что это приложение может использоваться злоумышленниками для рассылки спама, распространения вредоносных программ и раскрытия важных данных, корпорация Майкрософт рекомендует установить параметр **Запретить выполнение Windows Messenger** в значение **Включен** для сред EC и SSLF. **Примечание**.   Этот параметр влияет только на программу Windows Messenger, включенную в Windows XP. Этот параметр не запрещает запускать MSN® Messenger или Windows Live™ Messenger. ###### Веб-узел Центра обновления Windows Администраторы используют настройки Центра обновления Windows для управления обновлениями и исправлениями, которые применяются на рабочих станциях под управлением Windows Vista. Обновления доступны на веб-узле Центра обновления Windows. Кроме того, можно настроить веб-узел интрасети для распространения обновлений и исправлений аналогичным образом, но под дополнительным контролем администратора. Службы Windows Server Update Services (WSUS) представляют собой инфраструктурную службу, которая основана на технологиях Microsoft Windows Update и Software Update Services (SUS). Службы WSUS контролируют и распространяют важные обновления Windows, которые исправляют известные уязвимости безопасности и другие проблемы, связанные со стабильностью работы операционных систем Windows. Использование служб WSUS избавляет от необходимости в выполнении действий по обновлению в ручном режиме. Для этого используется динамическая система уведомлений о важных обновлениях, доступных компьютерам под управлением Windows на сервере интрасети. Для использования этой службы клиентским компьютерам не нужен доступ в Интернет. Эта технология также выступает в качестве простого способа автоматического распространения обновлений для рабочих станций и серверов под управлением Windows. Службы WSUS также предоставляют следующие возможности. - **Управление синхронизацией содержимого в интрасети**. Эта служба синхронизации является серверным компонентом, который загружает последние важные обновления из Центра обновления Windows. По мере появления новых обновлений в Центре обновления Windows сервер с установленными службами WSUS автоматически загружает и хранит их согласно расписанию, определенному администратором. - **Сервер Windows Update, размещенный в интрасети**. Этот простой в использовании сервер исполняет для клиентских компьютеров роль виртуального сервера Центра обновления Windows. На нем имеется служба синхронизации и средства администрирования для управления обновлениями. Он обрабатывает запросы на одобренные для установки обновления от клиентских компьютеров, которые подключаются к нему по протоколу HTTP. Этот сервер также может хранить важные обновления, загруженные из службы синхронизации, и указывать на эти обновления клиентским компьютерам. - **Возможности администратора по управлению обновлениями**. Администратор может проверять и одобрять для установки обновления с общедоступного веб-узла Центра обновления Windows перед их развертыванием в интрасети организации. Развертывание происходит согласно составленному администратором расписанию. Если службы WSUS запущены на нескольких серверах, администратор может управлять тем, какие компьютеры обращаются к отдельным серверам, на которых запущена служба. Администраторы могут активировать такой уровень управления с помощью групповой политики в среде Active Directory или с помощью разделов реестра. - **Автоматическое обновление на компьютерах (рабочих станциях или серверах)**. Автоматическое обновление — это функция Windows, которая позволяет настроить автоматическую проверку наличия обновлений в центре обновления Windows. Служба WSUS использует эту функцию Windows для публикации одобренных администратором обновлений в интрасети. **Примечание**.   Если распространять обновления другим методом, например с помощью сервера Microsoft Systems Management Server, рекомендуется отключить параметр **Настройка автоматического обновления**. Имеется несколько параметров Windows Update. Для работы Windows Update необходимы как минимум три параметра: **Настройка автоматического обновления**, **Не выполнять автоматический повторный запуск для автоматических установок обновлений** и **Перенос запланированных автоматических установок обновлений**. Четвертый параметр не является обязательным и его использование зависит от требований, выдвигаемых организацией: **Укажите расположение службы Windows Update в интрасети**. Указанные ниже рекомендованные параметры компьютера можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows** **\\Windows Update** Параметры, описанные в данном разделе, не рассчитаны на устранение конкретных угроз безопасности, а больше связаны с предпочтениями администратора. Однако для обеспечения безопасности среды необходимо настроить службу Windows Update, поскольку она обеспечивает получение клиентскими компьютерами обновлений безопасности от корпорации Майкрософт вскоре после их появления. **Примечание**.   Работа Windows Update зависит от нескольких служб, включая службу удаленного реестра и фоновую интеллектуальную службу передачи. В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах Windows Update. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A60. Рекомендуемые параметры Windows Update**
Параметр Настольный компьютер EC Портативный компьютер EC Настольный компьютер SSLF Портативный компьютер SSLF
Не отображать параметр "Установить обновления и завершить работу" в диалоговом окне завершения работы Windows Отключен Отключен Отключен Отключен
Не настраивать параметр "Установить обновления и завершить работу" в диалоговом окне завершения работы Windows в качестве параметра по умолчанию Отключен Отключен Отключен Отключен
Настройка автоматического обновления Включен Включен Включен Включен
Не выполнять автоматический повторный запуск для автоматических установок обновлений Отключен Отключен Отключен Отключен
Перенос запланированных автоматических установок обновлений Включен Включен Включен Включен
**Не отображать параметр "Установить обновления и завершить работу" в диалоговом окне завершения работы Windows** Этот параметр политики позволяет управлять отображением пункта **Установить обновления и завершить работу** в диалоговом окне **Завершение работы Windows**. Если этот параметр отключен, пункт **Установить обновления и завершить работу** отображается в диалоговом окне **Завершение работы Windows**, если при наличии доступных обновлений пользователь выбирает команду **Завершение работы** в меню **Пуск**. Поскольку обновления являются важной частью обеспечения общего уровня безопасности всех компьютеров, параметр **Не отображать пункт "Установить обновления и завершить работу" в диалоговом окне завершения работы Windows** имеет значение **Отключен** для обеих сред, описанных в данном руководстве. Этот параметр политики работает в сочетании с параметром **Не настраивать пункт "Установить обновления и завершить работу" в диалоговом окне завершения работы Windows в качестве параметра по умолчанию**. **Не настраивать пункт "Установить обновления и завершить работу" в диалоговом окне завершения работы Windows в качестве параметра по умолчанию** Этот параметр политики позволяет управлять возможностью выбрать пункт **Установить обновления и завершить работу** в диалоговом окне **Завершение работы Windows** в качестве пункта по умолчанию. Если этот параметр отключен, пункт **Установить обновления и завершить работу** будет выбран по умолчанию в диалоговом окне **Завершение работы Windows**, если при наличии доступных обновлений пользователь выбирает команду **Завершение работы** в меню **Пуск**. Поскольку обновления являются важной частью обеспечения общего уровня безопасности всех компьютеров, параметр **Не настраивать пункт "Установить обновления и завершить работу" в диалоговом окне завершения работы Windows в качестве параметра по умолчанию** имеет значение **Отключен** для обеих сред, описанных в данном руководстве. **Примечание**.   Этот параметр политики не действует, если параметр **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Windows Update\\Не отображать пункт "Установить обновления и завершить работу" в диалоговом окне завершения работы Windows** имеет значение **Включен**. **Настройка автоматического обновления** Этот параметр политики указывает, будут ли компьютеры среды получать обновления безопасности из Центра обновления Windows или через службы WSUS. Если этот параметр имеет значение **Включен**, операционная система будет распознавать наличие сетевого подключения и через него выполнять поиск подходящих обновлений в Центре обновления Windows или на специальном узле интрасети. После установки этого параметра политики в значение **Включен** нужно выбрать один из трех следующих вариантов в диалоговом окне **Настройка свойств автоматического обновления**, чтобы указать режим работы службы. - **Уведомлять перед загрузкой обновлений и уведомлять повторно перед их установкой**. - **Загружать обновления автоматически и уведомлять о том, что они готовы к установке**. **(Принято по умолчанию)** - **Автоматически загружать обновления и устанавливать их по заданному ниже расписанию**. Если этот параметр политики отключен, необходимо загружать все доступные обновления с веб-узла Windows Update и устанавливать их вручную. Параметр **Настройка автоматического обновления** установлен в значение **Включен** для обеих сред, описанных в данном руководстве. **Не выполнять автоматический повторный запуск для автоматических установок обновлений** Если этот параметр политики включен, компьютер ожидает от вошедшего в систему пользователя перезагрузки для завершения запланированной установки. В противном случае, компьютер перезагрузится автоматически. Данный параметр, если он включен, также запрещает службе автоматического обновления автоматически перезагружать компьютер в ходе запланированной установки. Если пользователь вошел в систему, которую нужно перезагрузить, чтобы служба автоматического обновления могла завершить установку обновления, пользователь получит уведомление и сможет отложить перезагрузку. Служба автоматического обновления не обнаруживает будущие обновления до следующей перезагрузки. Если параметр **Не выполнять автоматический повторный запуск для автоматических установок обновлений** имеет значение **Отключен** или **Не задан**, служба автоматического обновления уведомит пользователя о том, что компьютер будет автоматически перезагружен через 5 минут для завершения установки. Если автоматические перезагрузки создают проблемы, можно установить параметр **Не выполнять автоматический повторный запуск для автоматических установок обновлений** в значение **Включен**. Если этот параметр политики включен, необходимо запланировать перезагрузку клиентских компьютеров по завершении рабочего дня, чтобы обеспечить завершение установки. Параметр **Не выполнять автоматический повторный запуск для автоматических установок обновлений** установлен в значение **Отключен** для обеих сред, описанных в данном руководстве. **Примечание**.   Этот параметр политики работает только в том случае, если служба автоматического обновления выполняет запланированные установки обновлений. Если параметр **Настройка автоматического обновления** имеет значение **Отключен**, он не будет работать. **Перенос запланированных автоматических установок обновлений** Этот параметр политики определяет время, которое должно пройти перед тем, как начнутся ранее запланированные установки автоматических обновлений после запуска системы. Если установить этот параметр в значение **Включен**, ранее запланированная установка начнется по истечении указанного количества минут после следующего запуска системы. Если этот параметр политики имеет значение **Отключен** или **Не задан**, ранее запланированные установки будут выполняться во время следующей запланированной установки. Параметр **Перенос запланированных автоматических установок обновлений** установлен в значение **Включен** для обеих сред, описанных в данном руководстве. После включения этого параметра политики можно изменить период ожидания по умолчанию на более подходящий для конкретной среды. **Примечание**.   Этот параметр политики работает только в том случае, если служба автоматического обновления выполняет запланированные установки обновлений. Если параметр **Настройка автоматического обновления** имеет значение **Отключен**, параметр **Перенос запланированных автоматических установок обновлений** не действует. Можно включить два последних параметра, чтобы планировать установку ранее пропущенных установок при каждой перезагрузке компьютера. [](#mainsection)[К началу страницы](#mainsection) ### Политика пользователя В оставшихся разделах данного приложения описываются рекомендуемые параметры конфигурации пользователя. Эти параметры применяются к пользователям, а не к компьютерам. Они реализуются в групповой политике, связанной с подразделением, в которое входят пользователи, параметры которых подлежат настройке. Эти параметры применяются посредством объекта GPO, связанного с подразделением, содержащим учетные записями пользователей. **Примечание**.   Параметры конфигурации пользователя применимы к любому компьютеру под управлением Windows Vista в домене Active Directory, на котором пользователь входит в систему. Однако параметры конфигурации компьютера применяются ко всем клиентским компьютерам в Active Directory, которые управляются объектом GPO, независимо от того, какой пользователь входит в систему. #### Конфигурация пользователя\\Административные шаблоны Параметры, описанные в данном руководстве, входят в следующие группы параметров политики пользователя. Эти параметры отображаются в подузле **Конфигурация пользователя\\Административные шаблоны** редактора объектов групповой политики. - [Система](#_internet_explorer_1) - [Управление электропитанием](#_power_management) - [Компоненты Windows](#_windows_components_3) - [Диспетчер вложений](#_attachment_manager_1) - [Internet Explorer](#_internet_explorer_3) - [Проводник](#_windows_explorer) ##### Система Указанный ниже рекомендованный параметр можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Система** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для редактора реестра. **Таблица A61. Рекомендуемые параметры конфигурации пользователя для системы**
Параметр Компьютер EC Компьютер SSLF
Запретить доступ к средствам редактирования реестра Не задан Включен
**Запретить доступ к средствам редактирования реестра** Этот параметр политики отключает редакторы реестра Windows Regedit.exe и Regedt32.exe. Если этот параметр политики включен, при попытке использовать редактор реестра выводится сообщение о том, что использовать любой из этих редакторов невозможно. Этот параметр политики запрещает пользователям и злоумышленникам работать с реестром с помощью этих средств, но не запрещает доступ к реестру как таковой. Параметр **Запретить доступ к средствам редактирования реестра** имеет значение **Не задан** для среды EC. Однако для среды SSLF этот параметр политики имеет значение **Включен**. ###### Управление электропитанием Указанный ниже рекомендованный параметр можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Система\\Управление электропитанием** В следующей таблице приводятся обобщенные сведения о рекомендуемой конфигурации параметров **Запрашивать пароль при выходе из спящего или ждущего режима**. **Таблица A62. Рекомендуемые параметры конфигурации пользователя для системы и управления электропитанием**
Параметр Компьютер EC Компьютер SSLF
Запрашивать пароль при выходе из спящего или ждущего режима Включен Включен
**Запрашивать пароль при выходе из спящего или ждущего режима** Этот параметр политики управляет блокировкой клиентских компьютеров среды при выходе из спящего или ждущего режима. Если этот параметр политики включен, клиентские компьютеры блокируются при возврате в рабочий режим и пользователи должны ввести пароль, чтобы их разблокировать. Если этот параметр политики отключен или не настроен, могут возникнуть серьезные бреши в защите, поскольку кто угодно сможет получить доступ к клиентскому компьютеру. Поэтому параметр **Запрашивать пароль при выходе из спящего или ждущего режима** имеет значение **Включен** для обеих сред, описанных в данном руководстве. ##### Компоненты Windows Указанный ниже рекомендованный параметр можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для редактора реестра. ###### Диспетчер вложений Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows** **\\Диспетчер вложений** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для диспетчера вложений. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A63. Рекомендуемые параметры конфигурации пользователя для диспетчера вложений**
Параметр Компьютер EC Компьютер SSLF
Не сохранять сведения о зоне во вложенных файлах Отключен Отключен
Скрыть возможности для удаления сведений о зоне Включен Включен
Уведомлять антивирусную программу при открытии вложений Включен Включен
**Не сохранять сведения о зоне во вложенных файлах** Этот параметр политики позволяет выбрать, будут ли записываться сведения о зоне происхождения вложенных файлов (например, ограниченная зона, Интернет, интрасеть, локальная зона). Для правильной работы этого параметра политики необходимо загружать файлы на разделы диска с файловой системой NTFS. Если сведения о зоне не сохраняются, Windows не сможет произвести правильную оценку степени риска на основании сведений о зоне происхождения вложенного файла. Если параметр **Не сохранять сведения о зоне во вложенных файлах** включен, сведения о зоне происхождения вложенных файлов не записываются. Если этот параметр политики отключен, Windows хранит сведения о зоне происхождения вложенных файлов. Поскольку опасные вложенные файлы чаще всего загружаются с узлов из ненадежных зон обозревателя Internet Explorer, например из зоны "Интернет", корпорация Майкрософт рекомендует установить этот параметр политики в значение **Отключен**, чтобы обеспечить наличие в каждом файле более полных сведений о безопасности. Параметр **Не сохранять сведения о зоне во вложенных файлах** установлен в значение **Отключен** для обеих сред, описанных в данном руководстве. **Скрыть возможности для удаления сведений о зоне** Этот параметр политики позволяет управлять наличием у пользователей возможности вручную удалять сведения о зоне происхождения из сохраненных вложенных файлов. Пользователи могут либо нажать кнопку **Разблокировать** на странице **Свойства** файла или установить флажок в диалоговом окне **Предостережение системы безопасности**. Если сведения о зоне отсутствуют, пользователи могут открыть потенциально опасный вложенный файл, что было запрещено Windows. Если параметр **Скрыть возможности для удаления сведений о зоне** включен, Windows скрывает флажок и кнопку **Разблокировать**. Если этот параметр политики отключен, Windows показывает флажок и кнопку **Разблокировать**. Поскольку опасные вложенные файлы чаще всего загружаются с узлов из ненадежных зон обозревателя Internet Explorer, например из зоны "Интернет", корпорация Майкрософт рекомендует установить этот параметр политики в значение **Включен**, чтобы обеспечить наличие в каждом файле более полных сведений о безопасности. Параметр **Скрыть возможности для удаления сведений о зоне** установлен в значение **Включен** для обеих сред, описанных в данном руководстве. **Примечание**.   Для настройки сохранения сведений о зоне происхождения файлов, см. предыдущий параметр **Не сохранять сведения о зоне во вложенных файлах**. **Уведомлять антивирусную программу при открытии вложений** Антивирусные программы являются обязательными к использованию во многих средах и обеспечивают надежную защиту от атак. Параметр **Уведомлять антивирусную программу при открытии вложений** позволяет управлять процессом уведомления зарегистрированных антивирусных программ. Если этот параметр включен, Windows вызывает зарегистрированную антивирусную программу, которая проверяет вложенные файлы, открываемые пользователем, на наличие вирусов. Если антивирусная программа находит вирусы, открытие вложенного файла запрещается. Если этот параметр политики отключен, Windows не вызывает зарегистрированную антивирусную программу при открытии вложенных файлов. Чтобы обеспечить сканирование на наличие вирусов каждого файла перед его открытием, корпорация Майкрософт рекомендует установить этот параметр политики в значение **Включен** для всех сред. Параметр **Уведомлять антивирусную программу при открытии вложений** установлен в значение **Включен** для обеих сред, описанных в данном руководстве. **Примечание**.   Для правильной работы этого параметра политики необходимо установить последнюю версию антивирусной программы. ###### Internet Explorer Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows\\** **Internet Explorer** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A64. Рекомендуемые параметры конфигурации пользователя для Internet Explorer**
Параметр Пользователь EC Пользователь SSLF
Настройка Outlook Express Включен Не задан
Отключить функцию "Настройка журнала" Не задан Включен:40
Отключить автозаполнение для форм Не задан Включен
Отключить изменение параметров автонастройки Не задан Включен
Отключить изменение параметров сертификатов Не задан Включен
Отключить изменение параметров подключений Не задан Включен
Отключить изменение параметров прокси Не задан Включен
Не разрешать пользователям включать и отключать надстройки Не задан Включен
§ Запретить исправление параметров Не задан Отключен
Запретить удаление временных файлов Интернета и файлов "cookie" Не задан Включен
§ Отключить функцию "Удалить журнал обозревателя" Не задан Включен
§ Отключить функцию проверки параметров безопасности Не задан Отключен
Включить автозаполнение имен пользователей и паролей для форм Отключен Отключен
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. **Настройка Outlook Express** Этот параметр политики позволяет администраторам включать и отключать возможность пользователей Microsoft Outlook® Express сохранять или открывать вложенные файлы, которые могут содержать вирус. Пользователи не могут отключить параметр **Настройка Outlook Express**, чтобы снять блокировку с вложенных файлов. Чтобы использовать этот параметр политики, нажмите кнопку **Включить** и выберите **Блокировать вложения, которые могут содержать вирусы**. Параметр **Настройка Outlook Express** имеет значение **Включен** с вариантом **Блокировать вложения, которые могут содержать вирусы** для среды EC, описанной в данном руководстве. **Отключить функцию "Настройка журнала"** Этот параметр политики задает количество дней хранения просмотренных страниц в списке журнала Internet Explorer. Кнопка **Удалить журнал обозревателя** находится на вкладке **Сервис-Свойства обозревателя-Общие**. Также можно воспользоваться кнопкой **Удалить историю** непосредственно в меню **Сервис-Свойства обозревателя-Удаление истории обзора** обозревателя Internet Explorer 7. Если этот параметр политики включен, пользователь может задавать количество дней, в течение которых просмотренные страницы будут храниться в журнале обозревателя Internet Explorer. Необходимо указать количество дней хранения просмотренных страниц в журнале обозревателя Internet Explorer. Пользователи не смогут удалить журнал обозревателя. Если этот параметр политики отключен или не настроен, пользователь может задавать количество дней, в течение которых просмотренные страницы будут храниться в журнале обозревателя Internet Explorer, и будет иметь возможность пользоваться кнопкой **Удалить журнал обозревателя**. Параметр **Отключить функцию "Настройка журнала"** имеет значение **Не задан** для среды EC и значение **Включен:40** для среды SSLF. **Отключить автозаполнение для форм** Этот параметр политики управляет автоматическим заполнением полей на формах веб-страниц. Если этот параметр политики включен, функция автозаполнения не предлагает возможные варианты заполнения формы. Это помогает защитить важные данные в некоторых средах. Параметр **Отключить автозаполнение для форм** имеет значение **Не задан** для среды EC и **Включен** для среды SSLF. **Отключить изменение параметров автонастройки** Этот параметр политики запрещает пользователям изменять автоматически настроенные параметры. Администраторы используют автонастройку для периодического обновления параметров обозревателя. Если этот параметр политики включен, параметры автонастройки недоступны в Internet Explorer. (Эти параметры находятся в области **Автоматическая настройка** диалогового окна **Настройка LAN**.) Этот параметр политики также запрещает пользователю изменять параметры, настроенные посредством групповой политики. **Открытие диалогового окна "Настройка LAN"** 1. В диалоговом окне **Свойства обозревателя** откройте вкладку **Подключения**. 2. Нажмите кнопку **Настройка LAN** для просмотра параметров. Параметр **Отключить изменение параметров автонастройки** имеет значение **Включен** только для среды SSLF. Для среды EC этот параметр политики имеет значение **Не задан**. **Примечание**.   Параметр **Отключить вкладку "Подключения"** скрывает вкладку **Подключения** в Internet Explorer на панели управления и устанавливает значение для параметра **Отключить изменение параметров автонастройки**. Если первый параметр включен, второй параметр игнорируется. Параметр **Отключить страницу "Подключения"** находится в разделе "\\Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows\\Internet Explorer\\Панель управления обозревателем" в редакторе объектов групповой политики. **Отключить изменение параметров сертификатов** Этот параметр политики запрещает пользователям изменять параметры сертификатов в Internet Explorer. Сертификаты используются для проверки подлинности издателей программного обеспечения. Если этот параметр включен, параметры сертификатов в области **Сертификаты** на вкладке **Содержание** диалогового окна **Свойства обозревателя** недоступны. Этот параметр политики также запрещает пользователю изменять параметры, настроенные посредством групповой политики. Параметр **Отключить изменение параметров сертификатов** имеет значение **Включен** только для среды SSLF. Для среды EC этот параметр политики имеет значение **Не задан**. **Примечание**.   Если этот параметр политики включен, пользователи могут запустить мастер импорта сертификатов, дважды щелкнув файл сертификата издателя программного обеспечения (.spc). Этот мастер позволяет импортировать и настраивать параметры новых сертификатов издателей программного обеспечения, не заданных для Internet Explorer. **Примечание**.   Параметр **Отключить вкладку "Содержание"** скрывает вкладку **Содержание** в Internet Explorer на панели управления и имеет преимущество перед параметром **Отключить изменение параметров сертификатов**. Если первый параметр включен, второй параметр игнорируется. Параметр **Отключить вкладку "Содержание"** находится в разделе "\\Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows\\Internet Explorer\\Панель управления обозревателем" в редакторе объектов групповой политики. **Отключить изменение параметров подключений** Этот параметр политики запрещает пользователям изменять параметры удаленного доступа. Если включить этот параметр политики, кнопка **Настройка** на вкладке **Подключения** диалогового окна **Свойства обозревателя** станет недоступна. Этот параметр политики также запрещает пользователю изменять параметры, настроенные посредством групповой политики. Можно отключить этот параметр политики для пользователей портативных компьютеров, если во время поездок им нужно менять параметры подключения. Параметр **Отключить изменение параметров подключений** имеет значение **Включен** только для среды SSLF. Для среды EC этот параметр политики имеет значение **Не задан**. **Примечание**.   Если настроить параметр **Отключить вкладку "Подключения"**, необходимость в настройке этого параметра политики отпадает. Параметр **Отключить вкладку "Подключения"** скрывает вкладку **Подключения**. Параметр **Отключить страницу "Подключения"** находится в разделе "\\Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows\\Internet Explorer\\Панель управления обозревателем" в редакторе объектов групповой политики. **Отключить изменение параметров прокси** Этот параметр политики запрещает пользователям изменять параметры прокси-сервера. Если эта политика включена, параметры прокси-сервера недоступны. (Параметры прокси-сервера находятся в области **Прокси-сервер** диалогового окна **Настройка LAN**, которое открывается при нажатии кнопки **Настройка LAN** на вкладке **Подключения** диалогового окна **Свойства обозревателя**.) Этот параметр политики также запрещает пользователю изменять параметры, настроенные посредством групповой политики. Можно отключить этот параметр политики для пользователей портативных компьютеров, если во время поездок им нужно менять параметры подключения. Параметр **Отключить изменение параметров прокси** имеет значение **Включен** только для среды SSLF. Для среды EC этот параметр политики имеет значение **Не задан**. **Примечание**.   Если настроить параметр **Отключить вкладку "Подключения"**, необходимость в настройке этого параметра политики отпадает. Параметр **Отключить вкладку "Подключения"** скрывает вкладку **Подключения**. Этот параметр находится в разделе "\\Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows\\Internet Explorer\\Панель управления обозревателем" в редакторе объектов групповой политики. **Не разрешать пользователям включать и отключать надстройки** Этот параметр политики позволяет управлять наличием у пользователей возможности включать или отключать надстройки с помощью **Диспетчера надстроек**. Если данный параметр политики включен, пользователи не могут включать и отключать надстройки с помощью **Диспетчера надстроек**. Единственным исключением является случай, если надстройки были специально добавлены в параметр политики **Список надстроек** таким образом, который позволяет пользователям управлять данной надстройкой. В этом случае пользователь может управлять надстройкой с помощью **Диспетчера надстроек** .Если этот параметр политики отключен или не настроен, пользователю доступны соответствующие элементы управления **Диспетчера надстроек**. Параметр **Не разрешать пользователям включать и отключать надстройки** имеет значение **Не задан** для среды EC и значение **Включен** для среды SSLF. **Запретить исправление параметров** Этот параметр политики запрещает использовать функцию **"Исправить параметры"**, связанную с **проверкой параметров безопасности** в обозревателе Internet Explorer. Если этот параметр включен, пользователи не могут выбрать пункт **Исправить настройки** в контекстном меню панели информации, которое открывается, если Internet Explorer считает свои настройки небезопасными. Параметр **Запретить исправление параметров** имеет значение **Не задан** для среды EC и **Отключен** для среды SSLF. **Запретить удаление временных файлов Интернета и файлов "cookie"** Этот параметр политики используется для управления временными файлами Интернета и файлами "cookie", связанными с журналом просмотра Интернета, который можно увидеть, выбрав пункт **Сервис-Свойства обозревателя-Удаление истории обзора** в меню обозревателя Internet Explorer 7. Если этот параметр включен, пользователи не смогут удалять временные файлы Интернета и файлы "cookie". Если этот параметр отключен или не настроен, пользователи могут удалять временные файлы Интернета и файлы "cookie". Параметр **Запретить удаление временных файлов Интернета и файлов "cookie"** имеет значение **Не задан** для среды EC и значение **Включен** для среды SSLF. **Отключить функцию "Удалить журнал обозревателя"** Этот параметр политики запрещает выполнять команду **Удалить журнал обозревателя** в Internet Explorer. Если этот параметр включен, пользователи не смогут выполнять команду **Удалить журнал обозревателя** в диалоговом окне **Свойства обозревателя** в Internet Explorer 7. Если этот параметр отключен или не настроен, пользователи смогут выполнять команду **"Удалить журнал обозревателя"** в диалоговом окне **Свойства обозревателя** в Internet Explorer 7. Параметр **Отключить функцию "Удалить журнал обозревателя"** имеет значение **Не задан** для среды EC и **Включен** для среды SSLF. **Отключить функцию проверки параметров безопасности** Этот параметр политики отключает функцию **Проверка параметров безопасности**, которая проверяет параметры безопасности обозревателя Internet Explorer, чтобы определить степень уязвимости Internet Explorer. Если этот параметр включен, проверка параметров безопасности не выполняется. Если этот параметр отключен, проверка параметров безопасности выполняется. Если этот параметр политики не настроен, пользователь может изменять параметр **Отключить проверку параметров безопасности**. Параметр **Отключить функцию проверки параметров безопасности** имеет значение **Не задан** для среды EC и **Отключен** для среды SSLF. **Включить автозаполнение имен пользователей и паролей для форм** Этот параметр политики управляет автоматическим заполнением имен пользователей и паролей в формах на веб-страницах и запрещает запросы на сохранение паролей. Если этот параметр политики отключен, флажки **Имен пользователей и паролей в формах** и **Запрос на сохранение пароля** недоступны, а пользователи не могут сохранять пароли локально. Параметр **Включить автозаполнение имен пользователей и паролей для форм** имеет значение **Отключен** для обеих сред, описанных в данном руководстве. В разделе **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\Internet Explorer** можно настроить следующие дополнительные разделы параметров: - [Меню обозревателя](#_browser_menus) - [Панель управления обозревателем](#_internet_control_panel) - [Панель управления обозревателем\\Вкладка "Дополнительно"](#_internet_control_panel-advanced) - [Панель управления обозревателем\\Вкладка "Безопасность"](#_internet_control_panel-security) - [Панель управления обозревателем\\Вкладка "Безопасность"\\Зона Интернета](#_security_page_internet_1) - [Панель управления обозревателем\\Вкладка "Безопасность"\\Зона ограниченных узлов](#_internet_control_pane-security) - [Автономные страницы](#_offline_pages) ###### Меню обозревателя Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Меню обозревателя** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A65. Рекомендуемые параметры меню обозревателя**
Параметр Пользователь EC Пользователь SSLF
Отключить параметр "Сохранить эту программу на диске" Не задан Включен
**Отключить параметр "Сохранить эту программу на диске"** Этот параметр политики запрещает сохранять на жесткий диск программы или файлы, загруженные обозревателем Internet Explorer. Если этот параметр политики включен, пользователи не смогут сохранять программы на диск с помощью команды **Сохранить эту программу на диске**. Файл программы не загружается, а пользователю сообщается, что команда недоступна. Этот параметр политики улучшает защиту сред SSLF, поскольку запрещает загружать с помощью Internet Explorer и сохранять на диск потенциально опасные программы. Параметр **Отключить параметр "Сохранить эту программу на диске"** имеет значение **Включен** только для среды SSLF. Для среды EC этот параметр политики имеет значение **Не задан**. ###### Панель управления обозревателем Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Панель управления обозревателем** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A66. Рекомендуемые параметры конфигурации пользователя для панели управления обозревателем**
Параметр Пользователь EC Пользователь SSLF
Отключить вкладку "Дополнительно" Не задан Включен
Отключить вкладку "Безопасность" Не задан Включен
§ Не пропускать ошибки сертификатов Не задан Включен
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. **Отключить вкладку "Дополнительно"** Этот параметр политики работает совместно с другими параметрами, предназначенными для запрета изменения настроек вкладки **Дополнительно** в Internet Explorer. Параметр **Отключить вкладку "Дополнительно"** имеет значение **Включен** только для среды SSLF. Для среды EC этот параметр политики имеет значение **Не задан**. **Отключить вкладку "Безопасность"** Этот параметр политики работает совместно с другими параметрами, предназначенными для запрета изменения параметров, настроенных посредством групповой политики. Этот параметр политики скрывает вкладку **Безопасность** диалогового окна **Свойства обозревателя**. Если этот параметр включен, пользователи не могут просматривать и изменять параметры зон безопасности, например сценарии, загрузки и проверку подлинности пользователя. Корпорация Майкрософт рекомендует включать этот параметр политики, чтобы пользователи не могли изменять параметры, которые могут ослабить другие параметры безопасности в обозревателе Internet Explorer. Параметр **Отключить вкладку "Безопасность"** имеет значение **Включен** только для среды SSLF. Для среды EC этот параметр политики имеет значение **Не задан**. **Не пропускать ошибки сертификатов** При возникновении ошибок сертификатов SSL или TLS, например, если сертификат устарел, аннулирован или если обнаружено несовпадение имени, Internet Explorer блокирует дальнейший просмотр веб-узла. Если этот параметр политики включен, пользователь не сможет продолжать работу с веб-узлом. Если этот параметр отключен или не настроен, пользователь может игнорировать ошибки сертификата и продолжить работу с веб-узлом. Параметр **Не пропускать ошибки сертификатов** имеет значение **Не задан** для среды EC и **Включен** для среды SSLF. ###### Панель управления обозревателем\\Вкладка "Дополнительно" Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Панель управления обозревателем\\Вкладка "Дополнительно"** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A67. Рекомендуемые параметры вкладки "Дополнительно"**
Параметр Пользователь EC Пользователь SSLF
§ Разрешить установку по запросу (Internet Explorer) Не задан Отключен
Разрешить запуск или установку программ, даже если подпись недопустима Не задан Отключен
Автоматически проверять обновления Internet Explorer Не задан Отключен
Проверка аннулированных сертификатов серверов Не задан Включен
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. **Разрешить установку по запросу (Internet Explorer)** Этот параметр политики позволяет управлять наличием у пользователей возможности автоматически загружать и устанавливать **веб-компоненты** (например, шрифты), которые могут устанавливаться с помощью **программы активной установки Internet Explorer**. Например, если открыть веб-страницу, которая требует поддержки отображения японского текста, Internet Explorer может предложить пользователю загрузить **пакет поддержки японского языка**, если он еще не установлен. Если этот параметр политики включен, **веб-компоненты** , например шрифты, будут автоматически устанавливаться при необходимости. Если этот параметр политики отключен, пользователи будут получать предложение загрузить **веб-компоненты**, например шрифты. Если этот параметр политики не настроен, пользователи будут получать предложение загрузить **веб-компоненты**, например шрифты. Параметр **Разрешить установку по запросу (Internet Explorer)** имеет значение **Не задан** для среды EC и значение **Отключен** для среды SSLF. **Разрешить запуск или установку программ, даже если подпись недопустима** Этот параметр политики позволяет управлять наличием у пользователя возможности устанавливать и запускать программы, например элементы управления ActiveX и загруженные файлы, даже если они имеют недопустимую подпись. Недопустимая подпись может свидетельствовать о том, что файл был изменен. Если включить этот параметр политики, пользователи будут получать запросы об установке или запуске файлов с недопустимыми подписями. Если отключить этот параметр политики, пользователи не смогут устанавливать или запускать файлы с недопустимыми подписями. Если этот параметр политики не настроен, пользователи смогут сами выбирать, хотят ли они устанавливать или запускать файлы с недопустимыми подписями. Параметр **Разрешить запуск или установку программ, даже если подпись недопустима** имеет значение **Не задан** для среды EC и значение **Отключен** для среды SSLF. **Автоматически проверять обновления Internet Explorer** Этот параметр политики позволяет выбрать, будет ли Internet Explorer проверять наличие новых версий в Интернете. Internet Explorer проверяет наличие новых версий примерно каждые 30 дней. Пользователь получает предложение установить новые версии сразу после их появления. Если этот параметр включен, Internet Explorer проверяет наличие новых версий примерно каждые 30 дней. Пользователь получает предложение установить новые версии сразу после их появления. Если этот параметр отключен, Internet Explorer не проверяет наличие новых версий обозревателя в Интернете, а значит и не предлагает пользователю установить их. Если этот параметр не настроен, Internet Explorer не проверяет наличие новых версий обозревателя в Интернете, а значит и не предлагает пользователю установить их. Параметр **Автоматически проверять обновления Internet Explorer** имеет значение **Не задан** для среды EC и значение **Отключен** для среды SSLF. **Проверка аннулированных сертификатов серверов** Этот параметр политики позволяет выбирать, будет ли Internet Explorer проверять состояние отзыва сертификатов серверов. Сертификаты аннулируются, если они скомпрометированы или более не являются действительными. Этот параметр защищает пользователей от передачи конфиденциальных данных мошенническому или небезопасному узлу. Если этот параметр политики включен, Internet Explorer проверяет, не аннулированы ли сертификаты сервера. Если этот параметр политики отключен, Internet Explorer не проверяет, не аннулированы ли сертификаты сервера. Если этот параметр политики не настроен, Internet Explorer не проверяет, не аннулированы ли сертификаты сервера. Параметр **Проверка аннулированных сертификатов серверов** имеет значение **Не задан** для среды EC и **Включен** для среды SSLF. ###### Панель управления обозревателем\\Вкладка "Безопасность" Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Панель управления обозревателем\\Вкладка "Безопасность"** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A68. Рекомендуемые параметры вкладки "Безопасность"**
Параметр Пользователь EC Пользователь SSLF
Узлы интрасети: Все сетевые пути (UNC) Не задан Отключен
**Узлы интрасети: Все сетевые пути (UNC)** Этот параметр политики определяет, будут ли URL-адреса в формате UNC сопоставляться зоне безопасности местной интрасети. Если данный параметр политики включен, то все сетевые пути сопоставляются **зоне интрасети**. Если данный параметр политики отключен, то сетевые пути могут не сопоставляться **зоне интрасети** (в зависимости от других правил). Если данный параметр политики не настроен, то пользователи решают сами, следует ли сопоставлять сетевые пути **зоне интрасети**. Параметр **Узлы интрасети: Все сетевые пути (UNC)** имеет значение **Отключен** для среды SSLF и значение **Не задан** для среды EC. ###### Панель управления обозревателем\\Вкладка "Безопасность"\\Зона Интернета Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Панель управления обозревателем\\Вкладка "Безопасность"\\Зона Интернета** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Примечание**.   Параметры зоны Интернета и зоны ограниченных узлов очень похожи. Описания параметров обеих зон приведены ниже. **Таблица A69. Рекомендуемые параметры зоны Интернета**
Параметр Пользователь EC Пользователь SSLF
Зона Интернета\Доступ к источникам данных за пределами домена Не задан Включен:Отключить
Зона Интернета\Разрешать перетаскивание или копирование и вставку файлов Не задан Включен:Отключить
Зона Интернета\Разрешать загрузку шрифтов Не задан Включен:Отключить
Зона Интернета\Разрешать установку элементов рабочего стола Не задан Включен:Отключить
Зона Интернета\Разрешать операции вырезания, копирования или вставки из буфера обмена в сценарии Не задан Включен:Отключить
Зона Интернета\Разрешать запущенные сценарием окна без ограничений на размеры и положение Не задан Включен:Отключить
§ Зона Интернета\Разрешать обновление строки состояния в сценарии Не задан Отключен
Зона Интернета\Автоматические запросы на загрузку файлов Не задан Включен:Включить
Зона Интернета\Загрузка подписанных элементов управления ActiveX Не задан Включен:Отключить
Зона Интернета\Загрузка неподписанных элементов управления ActiveX Не задан Включен:Отключить
Зона Интернета\Использование элементов управления ActiveX, не помеченных как безопасные для использования Не задан Включен:Отключить
Зона Интернета\Разрешения Java Не задан Включен:Отключить Java
Зона Интернета\Запуск приложений и файлов в окне IFRAME Не задан Включен:Отключить
Зона Интернета\Параметр входа в систему Не задан Включен:Запрашивать имя пользователя и пароль
Зона Интернета\Переход между кадрами через разные домены Не задан Отключен
Зона Интернета\Открывать файл согласно его содержанию, а не расширению Не задан Включен:Отключить
Зона Интернета\Разрешения канала программного обеспечения Не задан Включен:Высокая безопасность
Зона Интернета\Блокировать всплывающие окна Не задан Включен:Включить
Зона Интернета\Веб-узлы из зон Интернета с наименьшими правами могут открываться из этой зоны Не задан Включен:Отключить
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. ###### Панель управления обозревателем\\Вкладка "Безопасность"\\Зона ограниченных узлов Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Панель управления обозревателем\\Вкладка "Безопасность"\\Зона ограниченных узлов** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Примечание**.   Параметры зоны Интернета и зоны ограниченных узлов очень похожи. Описания параметров обеих зон приведены ниже. **Таблица A70. Рекомендуемые параметры зоны ограниченных узлов**
Параметр Пользователь EC Пользователь SSLF
Зона ограниченных узлов\Доступ к источникам данных за пределами домена Не задан Включен:Отключить
Зона ограниченных узлов\Разрешать активные сценарии Не задан Включен:Отключить
Зона ограниченных узлов\Разрешать поведение двоичного кода и сценариев Не задан Включен:Отключить
Зона ограниченных узлов\Разрешать операции вырезания, копирования или вставки из буфера обмена в сценарии Не задан Включен:Отключить
Зона ограниченных узлов\Разрешать перетаскивание или копирование и вставку файлов Не задан Включен:Отключить
Зона ограниченных узлов\Разрешать загрузку файлов Не задан Включен:Отключить
Зона ограниченных узлов\Разрешать загрузку шрифтов Не задан Включен:Отключить
Зона ограниченных узлов\Разрешать установку элементов рабочего стола Не задан Включен:Отключить
Зона ограниченных узлов\Разрешить метаобновление Не задан Включен:Отключить
Зона ограниченных узлов\Разрешать запущенные сценарием окна без ограничений на размеры и положение Не задан Включен:Отключить
§ Зона ограниченных узлов\Разрешать обновление строки состояния в сценарии Не задан Отключен
Зона ограниченных узлов\Автоматические запросы на загрузку файлов Не задан Включен:Включить
Зона ограниченных узлов\Загрузка подписанных элементов управления ActiveX Не задан Включен:Отключить
Зона ограниченных узлов\Загрузка неподписанных элементов управления ActiveX Не задан Включен:Отключить
Зона ограниченных узлов\Использование элементов управления ActiveX, не помеченных как безопасные для использования Не задан Включен:Отключить
Зона ограниченных узлов\Разрешения Java Не задан Включен:Отключить Java
Зона ограниченных узлов\Запуск приложений и файлов в окне IFRAME Не задан Включен:Отключить
Зона ограниченных узлов\Параметры входа в систему Не задан Включен:Анонимный вход
Зона ограниченных узлов\Переход между кадрами через разные домены Не задан Включен:Отключить
Зона ограниченных узлов\Открывать файл согласно его содержанию, а не расширению Не задан Включен:Отключить
Зона ограниченных узлов\Запускать компоненты .NET Framework, не подписанные с помощью Authenticode Не задан Включен:Отключить
Зона ограниченных узлов\Запускать компоненты .NET Framework, подписанные с помощью Authenticode Не задан Включен:Отключить
Зона ограниченных узлов\Запуск элементов ActiveX и модулей подключения Не задан Включен:Отключить
Зона ограниченных узлов\Выполнять сценарии элементов ActiveX, помеченных как безопасные Не задан Включен:Отключить
Зона ограниченных узлов\Выполнять сценарии приложений Java Не задан Включен:Отключить
Зона ограниченных узлов\Разрешения канала программного обеспечения Не задан Включен:Высокая безопасность
Зона ограниченных узлов\Блокировать всплывающие окна Не задан Включен:Включить
Зона ограниченных узлов\Веб-узлы из зон Интернета с наименьшими правами могут открываться из этой зоны Не задан Включен:Отключить
**§ —** Означает, что параметр групповой политики появился только в Windows Vista. **Доступ к источникам данных за пределами домена** Этот параметр политики указывает, может ли Internet Explorer получать доступ к данным другой зоны безопасности с помощью анализатора Microsoft XML Parser (MSXML) или объектов данных ActiveX (ADO). Если этот параметр политики включен, пользователи могут загружать страницу в зоне, использующей MSXML или ADO для получения доступа к данным с другого узла зоны. Если выбрать в раскрывающемся списке пункт **Предлагать**, пользователи должны будут сами выбирать, разрешать ли загрузку страниц в зоне, использующей MSXML или ADO для доступа к данным другого узла зоны. Если этот параметр политики отключен, пользователи не смогут загружать страницы в зоне, использующей MSXML или ADO для получения доступа к данным с другого узла зоны. Если этот параметр политики не настроен, пользователи не смогут загружать страницы в зоне, использующей MSXML или ADO для получения доступа к данным с другого узла зоны. Параметр **Доступ к источникам данных за пределами домена** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Разрешать активные сценарии** Этот параметр политики позволяет выбрать, будет ли запускаться код сценария на страницах зоны. Если этот параметр политики включен, код сценария на страницах зоны запускается автоматически. Если в выпадающем списке выбран пункт **Предлагать**, пользователи должны сами выбирать, разрешать ли выполнение кода сценария на страницах зоны. Если этот параметр политики отключен, код сценария на страницах зоны не запускается. Если этот параметр политики не настроен, код сценария на страницах зоны не запускается. Параметр **Разрешать активные сценарии** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны ограниченных узлов**. **Разрешать поведение двоичного кода и сценариев** Этот параметр политики позволяет управлять поведением динамического двоичного кода и сценариев: компонентов, содержащих специальные функции для элементов HTML, к которым они прикреплены. Если этот параметр политики включен, доступно поведение двоичного кода и сценариев. Если выбрать в раскрывающемся списке пункт **Одобренные администратором**, то доступными будут только поведения, перечисленные в списке **Поведения, одобренные администратором** политики **Ограничения безопасности поведения двоичного кода**. Если этот параметр политики отключен, поведение двоичного кода и сценариев будет доступно только тогда, когда у приложений имеется внедренный диспетчер безопасности. Если этот параметр политики не настроен, поведение двоичного кода и сценариев будет доступно только тогда, когда у приложений имеется внедренный диспетчер безопасности. Параметр **Разрешать поведение двоичного кода и сценариев** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны ограниченных узлов**. **Разрешать операции вырезания, копирования или вставки из буфера обмена в сценарии** Этот параметр политики позволяет выбирать, могут ли выполняться в сценариях операции с буфером обмена (например, вырезание, копирование и вставка) в указанной области. Если этот параметр политики включен, можно выполнять в сценарии операции с буфером обмена. Если выбрать в раскрывающемся списке пункт **Предлагать**, пользователи должны будут сами выбирать, выполнять ли операции с буфером обмена. Если этот параметр политики отключен, сценарии не смогут выполнять операции с буфером обмена. Если этот параметр политики не настроен, сценарии не смогут выполнять операции с буфером обмена. Параметр **Доступ к источникам данных за пределами домена** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Разрешать перетаскивание или копирование и вставку файлов** Этот параметр политики позволят выбирать, могут ли пользователи перетаскивать или копировать и вставлять файлы из источника в пределах зоны. Если этот параметр политики включен, пользователи могут перетаскивать или копировать и вставлять файлы из данной зоны автоматически. Если выбрать в выпадающем списке пункт **Предлагать**, пользователям необходимо будет самим выбирать, будут ли они перетаскивать (или копировать и вставлять) файлы из данной зоны. Если этот параметр политики отключен, пользователи не смогут перетаскивать или копировать и вставлять файлы из данной зоны. Если этот параметр политики не настроен, пользователям необходимо будет самим выбирать, будут ли они перетаскивать (или копировать и вставлять) файлы из данной зоны. Параметр **Разрешать перетаскивание или копирование и вставку файлов** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Разрешать загрузку файлов** Этот параметр политики позволяет выбирать, разрешена ли загрузка файлов из данной зоны. Этот параметр определяется зоной страницы, содержащей ссылка на загрузку, а не зоной, из которой доставляется файл. Если этот параметр политики включен, можно загружать файлы из данной зоны. Если этот параметр политики отключен, запрещается загружать файлы из данной зоны. Если этот параметр политики не настроен, запрещается загружать файлы из данной зоны. Параметр **Разрешать загрузку файлов** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны ограниченных узлов**. **Разрешать загрузку шрифтов** Этот параметр политики позволяет указывать, могут ли страницы зоны загружать шрифты HTML. Если этот параметр включен, можно загружать шрифты HTML автоматически. Если этот параметр включен и в раскрывающемся списке выбран пункт "Предлагать", пользователи должны сами выбирать, разрешать ли загрузку шрифтов HTML. Если этот параметр отключен, загружать шрифты HTML запрещено. Если этот параметр политики не настроен, пользователи должны сами выбирать, разрешать ли загрузку шрифтов HTML. Параметр **Разрешать загрузку шрифтов** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Разрешать установку элементов рабочего стола** Этот параметр политики позволяет выбирать, могут ли пользователи устанавливать элементы Active Desktop из данной зоны. Для данного параметра существуют следующие варианты. **Включить** пользователи могут устанавливать элементы рабочего стола из данной зоны автоматически. **Предлагать** пользователи сами выбирают, устанавливать ли элементы рабочего стола из этой зоны. **Отключить** пользователям запрещено устанавливать элементы рабочего стола из этой зоны. Если этот параметр политики не настроен, запрещается устанавливать элементы рабочего стола из данной зоны. Параметр **Разрешать установку элементов рабочего стола** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Разрешать метаобновление** Этот параметр политики позволяет выбирать, может ли обозреватель пользователя быть перенаправлен на другую веб-страницу, если автор веб-страницы использует тег **Метаобновление** для перенаправления обозревателя на другую веб-страницу. Если этот параметр политики включен, обозреватель пользователя при загрузке страницы, содержащей активный тег **Метаобновление**, может быть перенаправлен на другую веб-страницу. Если этот параметр политики отключен, обозреватель пользователя при загрузке страницы, содержащей активный тег **Метаобновление**, не может быть перенаправлен на другую веб-страницу. Если этот параметр политики не настроен, обозреватель пользователя при загрузке страницы, содержащей активный тег **Метаобновление**, не может быть перенаправлен на другую веб-страницу. Параметр **Разрешать метаобновление** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны ограниченных узлов**. **Разрешать запущенные сценарием окна без ограничений на размеры и положение** Этот параметр политики позволяет управлять ограничениями для запускаемых сценариями всплывающих окон и окон, имеющих панель заголовка и строку состояния. Если этот параметр политики включен, возможность **ограничения безопасности для окон** не применяется в этой зоне. Зона безопасности будет запускаться без добавленного уровня безопасности, предоставляемого этой возможностью. Если этот параметр политики отключен, потенциально опасные действия, содержащиеся в запускаемых сценариями всплывающих окнах и окнах, имеющих панель заголовка и строку состояния, запускаться не будут. Средство безопасности Internet Explorer будет включено для этой зоны, как это задано элементом управления **Ограничения безопасности для обрабатываемых сценариями окон** для процесса. Если этот параметр политики не настроен, потенциально опасные действия, содержащиеся в запускаемых сценариями всплывающих окнах и окнах, имеющих панель заголовка и строку состояния, запускаться не будут. Средство безопасности Internet Explorer будет включено для этой зоны, как это задано элементом управления **Ограничения безопасности для обрабатываемых сценариями окон** для процесса. Параметр **Разрешать запущенные сценарием окна без ограничений на размеры и положение** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Разрешать обновление строки состояния в сценарии** Этот параметр политики позволяет выбирать, можно ли обновлять строку состояния в сценарии в пределах данной зоны. Если этот параметр политики включен, сценарий может обновлять строку состояния. Если этот параметр политики отключен, сценарий не может обновлять строку состояния. Если этот параметр политики не настроен, обновление строки состояния в сценариях запрещено. Параметр **Разрешать обновление строки состояния в сценарии** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Автоматические запросы на загрузку файлов** Этот параметр политики определяет, будет ли предлагаться выполнять не инициированные пользователем загрузки файлов. Независимо от значения этого параметра, пользователям выводится диалоговое окно загрузки файла, которую они инициируют. Если этот параметр политики включен, пользователям выводится диалоговое окно загрузки файла при попытке автоматической загрузки. Если этот параметр политики отключен или не настроен, не инициированные пользователем загрузки файлов блокируются, а пользователи видят **Панель информации** вместо диалогового окна загрузки файла. Пользователи могут щелкнуть **Панель информации**, чтобы разрешить загрузку файла. Параметр **Автоматические запросы на загрузку файлов** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Загрузка подписанных элементов управления ActiveX** Этот параметр политики позволяет выбирать, могут ли пользователи загружать подписанные элементы управления ActiveX со страницы зоны. Если этот параметр включен, подписанные элементы управления загружаются без вмешательства пользователя. Если в раскрывающемся списке выбрать пункт **Предлагать**, пользователи должны будут сами выбирать, загружать ли элементы управления, подписанные ненадежными издателями. Код, подписанный надежными издателями, загружается без каких-либо сообщений. Если **Отключить** данный параметр политики, подписанные элементы управления не загружаются. Если этот параметр политики не настроен, пользователи должны будут сами выбирать, загружать ли элементы управления, подписанные ненадежными издателями. Код, подписанный надежными издателями, загружается без каких-либо сообщений. Параметр **Загрузка подписанных элементов управления ActiveX** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Загрузка неподписанных элементов управления ActiveX** Этот параметр политики позволяет выбирать, могут ли пользователи загружать неподписанные элементы управления ActiveX со страниц зоны. Такой код является потенциально опасным, особенно если находится в ненадежной зоне. Если этот параметр включен, неподписанные элементы управления запускаются без вмешательства пользователя. Если выбрать в выпадающем списке пункт **Предлагать**, пользователи должны будут сами выбирать, запускать ли неподписанные элементы управления. Если этот параметр политики отключен, запускать неподписанные элементы управления запрещено. Если этот параметр политики не настроен, запускать неподписанные элементы управления запрещено. Параметр **Загрузка неподписанных элементов управления ActiveX** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Использование элементов управления ActiveX, не помеченных как безопасные для использования** Этот параметр политики позволяет управлять элементами управления ActiveX, не помеченными как безопасные для использования. Если этот параметр политики включен, элементы управления ActiveX запускаются с загруженными параметрами и сценариями, не настроенными для безопасного использования. Не рекомендуется использовать этот параметр нигде, кроме безопасных и администрируемых зон. При использовании этого параметра инициализируются и запускаются по сценарию и надежные, и ненадежные элементы управления, вне зависимости от значения параметра **Выполнять сценарии элементов ActiveX, помеченных как безопасные**. Если этот параметр политики включен и в раскрывающемся списке выбран пункт **Предлагать**, пользователи получат запрос о том, следует ли разрешить загрузку элементов управления с параметрами или сценариями. Если этот параметр политики отключен, элементы управления ActiveX, которые не удается обезопасить, не будут загружаться с параметрами или сценариями. Если этот параметр политики не настроен, элементы управления ActiveX, которые не удается обезопасить, не будут загружаться с параметрами или сценариями. Параметр **Использование элементов управления ActiveX, не помеченных как безопасные для использования** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Разрешения Java** Этот параметр политики позволяет управлять разрешениями для приложений Java. Если этот параметр политики включен, можно выбрать параметры из раскрывающегося списка. **Особая безопасность**: управление отдельными разрешениями. **Низкая безопасность**: разрешение приложениям выполнять все действия**. Средняя безопасность**: запуск приложений в "песочнице" (участок памяти, за переделами которого программа не выполняется), а также использовать временное безопасное хранилище на клиентском компьютере и управляемый пользователем ввод / вывод файлов. **Высокая безопасность**: запуск приложений в "песочнице". Запрещается запуск всех приложений путем отключения Java. Если этот параметр политики отключен, то приложения Java не запускаются. Если этот параметр политики не настроен, устанавливается разрешение **Высокая безопасность**. Параметр **Разрешения Java** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Запуск приложений и файлов в окне IFRAME** Этот параметр политики позволяет управлять тем, могут ли пользователи запускать приложения и загружать файлы по ссылкам в окнах IFRAME на HTML-страницах в этой зоне. Если этот параметр политики включен, пользователи могут запускать приложения и загружать файлы в окнах IFRAME на страницах в этой зоне без вмешательства пользователя. Если в раскрывающемся списке выбран вариант **Предлагать**, пользователи будут получать запросы на разрешение запуска приложений и загрузки файлов в окнах IFRAME на страницах в этой зоне. Если этот параметр политики отключен, пользователи не смогут запускать приложения и загружать файлы в окнах IFRAME на страницах в этой зоне. Если этот параметр политики не настроен, пользователи не могут запускать приложения и загружать файлы в окнах IFRAME на страницах в этой зоне. Параметр **Запуск приложений и файлов в окне IFRAME** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Параметры входа в систему** Этот параметр политики позволяет управлять настройкой параметров входа. Если этот параметр политики включен, можно выбрать один из следующих параметров входа. **Анонимный** **вход** отключает проверку подлинности HTTP и использует учетную запись гостя только для протокола CIFS (Common Internet File System). **Запрос имени пользователя и пароля** предлагает пользователю ввести учетную запись и пароль. После выдачи запроса эти значения могут автоматически использоваться в течение текущего сеанса. **Автоматический вход только в зону интрасети** предлагает пользователю ввести учетную запись и пароль для остальных зон. После выдачи запроса эти значения могут автоматически использоваться в течение текущего сеанса. **Автоматический вход с текущим именем пользователя и паролем** для входа с использованием аутентификации с запросом и подтверждением Windows NT (проверки подлинности NTLM). Если аутентификация с запросом и подтверждением Windows NT поддерживается сервером, для входа используется сетевое имя пользователя и пароль. Если аутентификация с запросом и подтверждением Windows NT не поддерживается сервером, пользователь получает запрос на ввод имени пользователя и пароля. Если этот параметр политики отключен, параметр входа имеет значение **Автоматический вход только в зону интрасети**. Если этот параметр политики не задан, параметр входа имеет значение **Автоматический вход только в зону интрасети**. Параметр **Параметры входа в систему** имеет значение **Включен:Запрос имени пользователя и пароля** для среды SSLF для **Зоны Интернета** и значение **Включен:Анонимный вход** для **Зоны ограниченных узлов.** Параметр имеет значение **Не задан** для среды EC как для **Зоны Интернета**, так и для **Зоны ограниченных узлов**. **Переход между кадрами через разные домены** Этот параметр политики позволяет управлять открытием суб-кадров и доступом приложений в различных доменах. Если этот параметр политики включен, пользователи могут открывать суб-кадры из других доменов и получать доступ к приложениям из других доменов. Если в раскрывающемся списке выбран вариант **Предлагать**, то пользователи получат запрос на разрешение открытия суб-кадров и получение доступа к приложениям из других доменов. Если этот параметр политики отключен, пользователи не смогут открывать суб-кадры и получать доступ к приложениям из других доменов. Если этот параметр политики не настроен, пользователи смогут открывать суб-кадры из других доменов и получать доступ к приложениям из других доменов. Параметр **Переход между кадрами через разные домены** имеет значение **Отключен** для среды SSLF в **Зоне Интернета** и значение **Включен:Отключить** в **Зоне ограниченных узлов** .Параметр имеет значение **Не задан** для среды EC как для **Зоны Интернета**, так и для **Зоны ограниченных узлов**. **Открывать файл согласно его содержанию, а не расширению** Этот параметр политики позволяет управлять пробной проверкой MIME, разрешая замену одного типа файла другим по результатам проверки MIME. При выполнении пробной проверки MIME обозреватель Internet Explorer опознает определенные битовые сигнатуры конкретных типов файлов. Если этот параметр политики включен, **Возможность пробной проверки MIME** не применяется в этой зоне. Зона безопасности будет запускаться без добавленного уровня безопасности, предоставляемого этой возможностью. Если этот параметр политики отключен, потенциально опасные действия не будут выполняться. Эта защитная функция Internet Explorer будет включена в зоне, согласно значению параметра управления функцией для процесса. Если этот параметр политики не настроен, **Возможность пробной проверки MIME** не применяется в данной зоне. Параметр **Открывать файл согласно его содержанию,** **а не расширению** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Запускать компоненты .NET Framework, не подписанные с помощью Authenticode** Этот параметр политики позволяет управлять выполнением из Internet Explorer компонентов .NET Framework, не подписанных с помощью Authenticode®. Эти компоненты содержат управляемые элементы из тега объекта и управляемые EXE-файлы, обращение к которым производится через ссылку. Если этот параметр политики включен, Internet Explorer будет выполнять неподписанные управляемые компоненты. Если в раскрывающемся списке выбран вариант **Предлагать**, то пользователи получат запрос на выполнение неподписанных управляемых компонентов. Если этот параметр политики отключен, Internet Explorer не будет выполнять неподписанные управляемые компоненты. Если этот параметр политики не настроен, Internet Explorer не будет выполнять неподписанные управляемые компоненты. Параметр **Запускать компоненты .NET Framework, не подписанные с помощью Authenticode** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны ограниченных узлов**. **Запускать компоненты .NET Framework, подписанные с помощью Authenticode** Этот параметр политики позволяет управлять выполнением из Internet Explorer компонентов .NET Framework, подписанных с помощью Authenticode®. Эти компоненты содержат управляемые элементы из тега объекта и управляемые EXE-файлы, обращение к которым производится через ссылку. Если этот параметр политики включен, Internet Explorer будет выполнять подписанные управляемые компоненты. Если в раскрывающемся списке выбран вариант **Предлагать**, то пользователи получат запрос на выполнение подписанных управляемых компонентов. Если этот параметр политики отключен, Internet Explorer не будет выполнять подписанные управляемые компоненты. Если этот параметр политики не настроен, Internet Explorer не будет выполнять подписанные управляемые компоненты. Параметр **Запускать компоненты .NET Framework, подписанные с помощью Authenticode** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны ограниченных узлов**. **Запуск элементов ActiveX и модулей подключения** Этот параметр политики позволяет управлять запуском элементов управления ActiveX и подключаемых модулей на страницах указанной зоны. Если этот параметр политики включен, элементы управления и подключаемые модули могут запускаться без вмешательства пользователя. Если в раскрывающемся списке выбран вариант **Запросить**, то пользователи получат запрос на разрешение запуска элементов управления или подключаемого модуля. Если этот параметр политики отключен, элементы управления и подключаемые модули не будут запускаться. Если этот параметр политики не настроен, элементы управления и подключаемые модули не будут запускаться. Параметр **Запуск элементов ActiveX и модулей подключения** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны ограниченных узлов**. **Выполнять сценарии элементов ActiveX, помеченных как безопасные** Этот параметр политики позволяет управлять взаимодействием сценариев и элементов управления ActiveX, помеченных как безопасных для выполнения сценариев. Если этот параметр политики включен, взаимодействие со сценарием может происходить автоматически, без вмешательства пользователя. Если в выпадающем списке выбран вариант **Предлагать**, то пользователи получат запрос на разрешение взаимодействия со сценарием. Если этот параметр политики отключен или не настроен, взаимодействие со сценарием запрещено. Параметр **Выполнять сценарии элементов ActiveX, помеченных как безопасные** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны ограниченных узлов**. **Выполнять сценарии приложений Java** Этот параметр политики позволяет управлять доступом сценариев к приложениям в пределах зоны. Если этот параметр политики включен, приложения доступны для сценариев автоматически, без вмешательства пользователя. Если в выпадающем списке выбран вариант **Предлагать**, то пользователи получат запрос на разрешение доступа к приложениям для сценариев. Если этот параметр политики отключен или не настроен, приложения недоступны для сценариев. Параметр **Выполнять сценарии приложений Java** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны ограниченных узлов**. **Разрешения канала программного обеспечения** Этот параметр политики позволяет управлять разрешениями канала программного обеспечения. Если этот параметр политики включен, можно выбрать следующие параметры из раскрывающегося списка. **Низкая безопасность** — пользователь получает уведомления о наличии обновлений программ по электронной почте, программы автоматически загружаются на компьютер пользователя и автоматически устанавливаются на него. **Средняя безопасность** — пользователь получает уведомления о наличии обновлений программ по электронной почте, программы автоматически загружаются (но не устанавливаются) на компьютер пользователя. **Высокая безопасность** — пользователь не получает уведомлений о наличии обновлений программ по электронной почте, программы не загружаются автоматически на компьютер пользователя и не устанавливаются на него автоматически. Если этот параметр политики отключен, устанавливается разрешение **Высокая безопасность**. Параметр **Разрешения канала программного обеспечения** имеет значение **Включен:Высокая безопасность** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Блокирование всплывающих окон** Этот параметр политики позволяет управлять появлением нежелательных всплывающих окон. Всплывающие окна, которые открываются, когда пользователь щелкает ссылку, не блокируются. Если этот параметр политики включен, многие нежелательные всплывающие окна не появляются. Если этот параметр политики отключен, ничто не препятствует появлению всплывающих окон. Если этот параметр политики не настроен, многие нежелательные всплывающие окна не появляются. Параметр **Блокирование всплывающих окон** имеет значение **Включен:Включить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. **Веб-узлы из зон Интернета с наименьшими правами могут открываться из этой зоны** Этот параметр политики позволяет управлять тем, могут ли веб-узлы из менее привилегированных зон, например, из **Зоны ограниченных узлов**, перенаправлять пользователя в эту зону. Если этот параметр политики включен, то веб-узлы из менее привилегированных зон могут открывать новые окна и перенаправлять пользователя в эту зону. Зона безопасности будет запускаться без добавленного уровня безопасности, предоставляемого функцией **защиты от повышения уровня зоны**. Если в раскрывающемся списке выбран пункт **Предлагать**, то выдается предупреждение о потенциально опасном перенаправлении. Если этот параметр политики отключен, потенциально опасные перенаправления блокируются. Данная защитная функция Internet Explorer будет включена для этой зоны, как это задано элементом управления **Защита от повышения уровня зоны**. Если данный параметр политики не настроен, то веб-узлы из менее привилегированных зон смогут открывать новые окна и перенаправлять пользователя в эту зону. Параметр **Веб-узлы из зон Интернета с наименьшими правами могут открываться из этой зоны** имеет значение **Включен:Отключить** для среды SSLF и значение **Не задан** для среды EC для **Зоны Интернета** и для **Зоны ограниченных узлов**. ###### Автономные страницы Эти рекомендованные параметры пользователя можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows** **\\Internet Explorer\\Автономные страницы** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для Internet Explorer. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Примечание**.   Эти параметры не применяются к Internet Explorer 7. Они настраиваются только для среды EC, поскольку в таких средах могут присутствовать компьютеры под управлением Windows XP с Internet Explorer 6.0. **Таблица A71. Рекомендуемые параметры автономных страниц**
Параметр Пользователь EC Пользователь SSLF
Отключить добавление каналов Включен Не задан
Отключить добавление расписаний для автономных страниц Включен Не задан
Отключить все расписания для автономных страниц Включен Не задан
Полное отключение пользовательского интерфейса каналов Включен Не задан
Отключить загрузку содержимого подписки Включен Не задан
Отключить редактирование и создание новых групп расписаний Включен Не задан
Отключить изменение расписаний для автономных страниц Включен Не задан
Отключить протоколирование обращений к автономным страницам Включен Не задан
Отключить удаление каналов Включен Не задан
Отключить удаление расписаний для автономных страниц Включен Не задан
**Отключить добавление каналов** Этот параметр политики запрещает добавление каналов в Internet Explorer. Каналы — это веб-узлы, которые автоматически обновляются на компьютере, на котором запущен Internet Explorer, в соответствии с расписанием, указанным поставщиком канала. Этот параметр политики относится к параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer. Рекомендуется разрешать загрузку страниц из Интернета только в том случае, если пользователь делает запросы непосредственно с компьютера. Поэтому параметр **Отключить добавление каналов** имеет значение **Включен** для среды EC и значение **Не задан** для среды SSLF. **Отключить добавление расписаний для автономных страниц** Этот параметр политики запрещает указывать веб-страницы, которые можно загрузить и просматривать в автономном режиме. Эта возможность позволяет пользователям просматривать веб-страницы, если компьютер не подключен к Интернету. Параметр **Отключить добавление расписаний для автономных страниц** имеет значение **Включен** для среды EC и значение **Не задан** для среды SSLF. **Отключить все расписания для автономных страниц** Этот параметр политики отключает все имеющиеся расписания, согласно которым должны загружаться веб-страницы для просмотра в автономном режиме. Если эта политика включена, флажки для расписаний на вкладке **Расписание** диалогового окна **Свойства веб-страницы** снимаются, и пользователи больше не смогут установить их. Чтобы открыть эту вкладку, нужно выбрать в меню **Сервис** пункт **Синхронизировать**, выбрать веб-страницу и нажать кнопку **Свойства**, а затем открыть вкладку **Расписание**. Этот параметр политики относится к параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer. Параметр **Отключить все расписания для автономных страниц** имеет значение **Включен** для среды EC и значение **Не задан** для среды SSLF. **Полное отключение пользовательского интерфейса каналов** Этот параметр политики запрещает просмотр интерфейса панели каналов. Каналы — это веб-узлы, которые автоматически обновляются на компьютере, в соответствии с расписанием, указанным поставщиком канала. Если этот параметр политики включен, пользователи не смогут получить доступ к интерфейсу панели каналов и установить флажок **Панель каналов Internet Explorer** на вкладке **Веб** диалогового окна **Свойства экрана**. Этот параметр политики относится к параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer. Параметр **Полное отключение пользовательского интерфейса каналов** имеет значение **Включен** для среды EC и значение **Не задан** для среды SSLF. **Отключить загрузку содержимого подписки** Этот параметр политики запрещает загружать содержимое подписки с веб-узлов. Однако при возврате на ранее открывавшуюся страницу с целью поиска обновленного содержания будет по-прежнему выполняться синхронизация содержимого веб-страницы. Этот параметр политики относится к параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer. Параметр **Отключить загрузку содержимого подписки** имеет значение **Включен** для среды EC и значение **Не задан** для среды SSLF. **Отключить редактирование и создание новых групп расписаний** Запрещает пользователям добавление, изменение или удаление расписаний загрузки для автономного просмотра содержимого отдельных веб-страниц или их групп, на которые подписаны пользователи. Группа подписки веб-страниц — это избранная веб-страница и те страницы, на которые она ссылается. Если эта политика включена, то кнопки **Добавить**, **Удалить** и **Изменить** на вкладке **Расписание** диалогового окна **Свойства веб-страницы** становятся неактивными. Чтобы открыть эту вкладку, нужно выбрать в меню **Сервис** пункт **Синхронизировать**, выбрать веб-страницу и нажать кнопку **Свойства**, а затем открыть вкладку **Расписание**. Этот параметр политики относится к параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer. Поэтому параметр **Отключить редактирование и создание новых групп расписаний** имеет значение **Включен** для среды EC и значение **Не задан** для среды SSLF. **Отключить изменение расписаний для автономных страниц** Этот параметр политики запрещает изменять любые имеющиеся расписания загрузки веб-страниц для просмотра в автономном режиме. Если этот параметр включен, пользователи не могут увидеть свойства расписания для страниц, предназначенных для просмотра в автономном режиме. Если в меню **Сервис** Internet Explorer выбрать пункт **Синхронизировать**, затем выбрать веб-страницу и нажать кнопку **Свойства**, свойства не будут отображены. Пользователи не получают сообщений о недоступности команды. Этот параметр политики относится к параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer. Параметр **Отключить изменение расписаний для автономных страниц** имеет значение **Включен** для среды EC и значение **Не задан** для среды SSLF. **Отключить протоколирование обращений к автономным страницам** Этот параметр политики запрещает поставщикам каналов записывать, насколько часто их страницы каналов просматриваются пользователями в автономном режиме. Этот параметр политики относится к параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer. Параметр **Отключить протоколирование обращений к автономным страницам** имеет значение **Включен** для среды EC и значение **Не задан** для среды SSLF. **Отключить удаление каналов** Этот параметр политики запрещает отключать синхронизацию каналов в Internet Explorer. Рекомендуется разрешать загрузку страниц из Интернета только в том случае, если пользователь делает запросы непосредственно с компьютера. Поэтому параметр **Отключить удаление каналов** имеет значение **Включен** для среды EC и значение **Не задан** для среды SSLF. **Отключить удаление расписаний для автономных страниц** Этот параметр политики запрещает очищать предварительно установленные параметры загрузки веб-страниц для просмотра в автономном режиме. Если этот параметр политики включен, предварительные настройки веб-страницы защищены. Этот параметр политики относится к параметрам, блокирующим автоматическую загрузку содержимого Internet Explorer. Параметр **Отключить удаление расписаний для автономных страниц** имеет значение **Включен** для среды EC и значение **Не задан** для среды SSLF. ###### Проводник Проводник используется для работы с файловой системой на клиентских компьютерах под управлением Windows Vista. Указанные ниже рекомендованные параметры пользователя можно настроить в следующем узле в редакторе объектов групповой политики: **Конфигурация пользователя\\Административные шаблоны\\Компоненты Windows** **\\Проводник** В следующей таблице приводятся обобщенные сведения о рекомендуемых параметрах конфигурации пользователя для Проводника. Дополнительные сведения по каждой строке приводятся в подразделах, следующих за таблицей. **Таблица A72. Рекомендуемые параметры конфигурации пользователя для Проводника**
Параметр Компьютер EC Компьютер SSLF
Удалить возможности записи компакт-дисков Не задан Включен
Удалить вкладку "Безопасность" Не задан Включен
**Удалить возможности записи компакт-дисков** Этот параметр политики удаляет встроенные возможности Windows Vista, позволяющие записывать компакт-диски через Проводник. Windows Vista позволяет создавать и изменять перезаписываемые компакт-диски при наличии подключенного к компьютеру дисковода для чтения и записи компакт-дисков. Эту функцию можно использовать для копирования большого количества данных с жесткого диска на компакт-диск, который после этого можно извлечь из компьютера. Параметр **Удалить возможности записи компакт-диско** имеет значение **Не задан** для среды EC и значение **Включен** для среды SSLF. **Примечание**.   Этот параметр политики не препятствует изменению и созданию компакт-дисков с помощью сторонних приложений, использующих устройство записи компакт-дисков. Для запрета создания и изменения компакт-дисков сторонними приложениями рекомендуется использовать политики ограничения запуска программ. Чтобы запретить запись компакт-дисков, можно также извлечь устройства для записи компакт-дисков из клиентских компьютеров среды или заменить их устройствами для чтения компакт-дисков. **Удалить вкладку "Безопасность"** Этот параметр политики отключает вкладку **Безопасность** в диалоговых окнах свойств файлов и папок в Проводнике. Если этот параметр политики включен, пользователи не смогут открыть вкладку **Безопасность** диалогового окна **Свойства** для любых объектов файловой системы, включая папки, файлы, ярлыки и диски. Поскольку вкладка **Безопасность** недоступна, пользователи не могут изменять параметры или просматривать список пользователей. Поэтому параметр **Удалить вкладку "Безопасность"** имеет значение **Не задан** для среды EC и значение **Включен** для среды SSLF. [](#mainsection)[К началу страницы](#mainsection) ### Дополнительные сведения Дополнительные сведения о безопасности и более детальное описание принципов и рекомендаций по обеспечению безопасности, приведенных в данном руководстве для Windows Vista, см. в перечисленных ниже материалах. - Раздел [Настройка компьютера для устранения неполадок с брандмауэром Windows](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/operations/bfdeda55-46fc-4b53-b4cd-c71838ef4b41.mspx) на веб-узле Microsoft TechNet® (на английском языке). - Статья 321710 базы знаний Майкрософт [ИНСТРУКЦИИ: Удаление компьютера под управлением Windows 2000 из списка обозревателей](http://support.microsoft.com/default.aspx?scid=321710) (на английском языке). - Статья 324744 базы знаний Майкрософт [Запретить пользователям изменять пароль, кроме тех случаев, когда это необходимо, в Windows Server 2003](http://support.microsoft.com/default.aspx?scid=324744) (на английском языке). - Статья 321710 базы знаний Майкрософт [ИНСТРУКЦИИ: Запретить пользователям изменять пароль, кроме тех случаев, когда это необходимо, в Windows 2000](http://support.microsoft.com/default.aspx?scid=309799) (на английском языке). - Статья 315231 базы знаний Майкрософт [Автоматизация входа в систему на компьютере под управлением Windows XP](http://support.microsoft.com/default.aspx?scid=315231). - Статья 921469 базы знаний Майкрософт [Использование групповой политики для настройки подробных параметров аудита безопасности на клиентских компьютерах с системой Windows Vista в домене Windows Server 2003 или домене Windows 2000](http://support.microsoft.com/kb/921469). - Раздел [Службы IIS и встроенные учетные записи (IIS 6.0)](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx) на веб-узле TechNet (на английском языке). - Статья 811832 базы знаний Майкрософт [В некоторых случаях стандартные исключения IPSec могут использоваться для обхода защиты IPSec](http://support.microsoft.com/default.aspx?scid=811832). - Статья 555235 базы знаний Майкрософт [Веб-клиент и рабочее место в Интернете сервера Small Business Server не работают, если в Windows XP с пакетом обновления 2 с помощью групповой политики включена блокировка надстроек](http://support.microsoft.com/default.aspx?kbid=555235) (на английском языке). - Раздел [Установщик пакетов (старое имя файла Update.exe) для операционных систем Microsoft Windows и компонентов Windows](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx) на веб-узле TechNet (на английском языке). - Руководство [*Угрозы и меры противодействия*](http://go.microsoft.com/fwlink/?linkid=15159), глава 5 "Параметры безопасности" (на английском языке). - Раздел [Брандмауэр Windows](http://www.microsoft.com/windowsfirewall) на TechNet (на английском языке). - [Обзор служб Windows Server Update Services](http://www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx) на веб-узле Microsoft.com (на английском языке). - [Центр обновлений Microsoft](http://update.microsoft.com/) на веб-узле Microsoft.com. #### Поддержка и обратная связь Группа "Ускорение решений — безопасность и соответствие стандартам" (SASC) будет рада познакомиться с вашим мнением об этом и других решениях. Направляйте свои комментарии через группу новостей [Discussions in Security](http://windowshelp.microsoft.com/communities/newsgroups/en-us/default.mspx?dg=microsoft.public.windows.vista.security&lang=en&cr=us&r=9dcac6a3-b8e7-4ba3-aa06-4e38b8ee9f35) на веб-узле Центра справки и поддержки Windows Vista. Или напишите, что вы думаете об этом руководстве, на следующий адрес: [secwish@microsoft.com](mailto:secwish@microsoft.com?subject=windows%20vista%20security%20guide). Мы будем рады узнать ваше мнение. **Загрузить** [Получите руководство по безопасности системы Windows Vista](http://go.microsoft.com/fwlink/?linkid=74028) **Уведомления об обновлении** [Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках](http://go.microsoft.com/fwlink/?linkid=54982) **Обратная связь** [Отправляйте свои комментарии и предложения](mailto:secwish@microsoft.com?subject=windows%20vista%20security%20guide) [](#mainsection)[К началу страницы](#mainsection)