Windows Vista
Защитите свой ПК с помощью новых функций безопасности в Windows Vista
Джастин Харрисон (Justin Harrison)
Краткий обзор:
- Использование Центра безопасности Windows
- Конфигурация и параметры Управления учетной записью пользователя (UAC)
- Поиск шпионского ПО с помощью Защитника Windows
Несколько лет назад председатель правления корпорации Майкрософт (и затем главный архитектор программного обеспечения) Билл Гейтс призвал своих сотрудников к тому, чтобы сделать надежность вычислительной среды наивысшим приоритетом компании. Наряду с этим объявлением в практику разработки ПО в компании Майкрософт был внедрен ряд перемен.
Windows Vista™ – первая операционная система, полностью разработанная согласно рекомендациям программы «Безопасность в ходе всего цикла» (SDL). Эта программа регламентирует процесс разработки, направленный на обеспечение безопасности, и имеет целью внедрить безопасность в самую сущность проектирования ПО; и все широко используемые продукты Майкрософт должны следовать этим рекомендациям. (Для получения дополнительной информации об SDL прочтите книгу The Security Development Lifecycle, авторы Майкл Говард (Michael Howard) и Стив Липнер (Steve Lipner), издательство Microsoft Press®, 2006).
Также Windows Vista включает в себя новые и усовершенствованные технологии безопасности, целью работы которых является обнаружение и предотвращение угроз безопасности. Все эти изменения означают, что Windows Vista является самой безопасной версией системы Windows ® на сегодняшний день. В этой статье мы обсудим новый компонент безопасности в составе Панели управления – Security Center/Центр безопасности Windows и такие встроенные средства защиты как Windows Defender/Защитник Windows, Windows Firewall/Брандмауэр Windows, и User Account Control/Управление учетной записью пользователя (UAC).
Панель управления безопасности
Когда вы откроете панель управления в Windows Vista, то увидите, что она организована в виде десяти функциональных областей, и большинство компонентов безопасности связаны с областями Безопасность, Программы, Сеть и Интернет. Чтобы получить доступ ко многим из новых технологий безопасности, которые защищают вас в Windows Vista, можно использовать компонент Security/Безопасность, как показано на рисунке 1.
Figure 1 Технологии безопасности в Windows XP
| Функция | Описание |
| Центр безопасности | Проверка обновлений; проверка состояния безопасности; включение автоматического обновления; проверка состояния брандмауэра; ввод пароля при включении. |
| Брандмауэр Windows | Включение и выключение брандмауэра Windows; настройка программ для работы через брандмауэр Windows. |
| Обновление Windows | Включение автоматического обновления; проверка наличия обновлений; просмотр установленных обновлений. |
| Защитник Windows | Проверка на наличие шпионского ПО и другого нежелательного ПО. |
| Параметры Интернета | Изменение параметров безопасности; удаление файлов «cookie»; удаление журнала. |
| Родительский контроль | Установить родительский контроль для любого пользователя; просмотреть отчеты о действиях. |
| Шифрование дисков BitLocker | Включение шифрования BitLocker. |
Также можно проверить наличие обновлений в Центре обновления Windows, включить шифрование дисков BitLocker™, удалить файлы «cookie», очистить журнал и установить пароль для включения компьютера.
C помощью модуля «Безопасность» также осуществляется доступ к Центру безопасности, где собраны воедино все средства обеспечения безопасности компьютера.
Централизованное управление безопасностью
До включения Центра безопасности в состав пакета обновления 2 (SP2) для Windows Service настраивать все параметры безопасности Windows было непросто. Центр безопасности – это единое место, из которого можно удобно управлять всеми важными параметрами безопасности Windows.
Центр безопасности Windows работает в фоновом режиме и следит за четырьмя основными функциями, как показано на рисунке 2: Брандмауэр, автоматическое обновление, защита от вредоносных программ (вирусов и шпионского ПО) и другие параметры безопасности (Интернет и управление учетными записями пользователя).
Figure 2** Manage Security Settings in One Place **(Щелкните изображение, чтобы увеличить его)
Центр безопасности Windows позволяет увидеть, какая программа работает в качестве межсетевого экрана на вашем компьютере, или в качестве антивирусного решения. Также здесь можно проверить состояние брандмауэра, использование автоматического обновления и настройку учетных записей пользователей. Центр безопасности Windows не только управляет встроенными средствами безопасности Windows, но и приложениями сторонних разработчиков. Проверяется следующее:
- Установлен ли брандмауэр и включен ли он.
- Установлена ли антивирусная программа, обновлена ли ее база данных и включено ли сканирование в реальном времени.
- Установлена ли программа защиты от шпионского ПО, обновлена ли ее база данных и включено ли сканирование в реальном времени.
Центр безопасности Windows использует два метода для обнаружения сторонней антивирусной программы или брандмауэра. В ручном режиме Центр безопасности Windows ищет разделы реестра и файлы, которые позволяют ему обнаружить статус программного обеспечения. Также Центр безопасности опрашивает поставщиков инструментария WMI, созданных сторонними разработчиками, и получает при опросе их состояние. Это означает, что посредством Центра безопасности для управления компьютером и его защиты можно использовать не только встроенные средства безопасности Windows, но и антивирусные программы и брандмауэры, созданные сторонними разработчиками.
Центром безопасности Windows можно управлять с помощью групповых политик. По умолчанию эта функция отключена в доменных средах. Чтобы включить Центр безопасности Windows, перейдите к узлу Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Центр обеспечения безопасности). Здесь следует включить политику Turn on Security Center/Включить центр безопасности (только для компьютеров домена).
Центр безопасности Windows также управляет состоянием контроля учетных записей и параметрами безопасности Интернета. Управление учетной записью пользователя позволяет использовать компьютер с правами обычного пользователя, а не администратора, что более безопасно. Если вы вошли в систему как обычный пользователь, то сделанные вами изменения не затронут всю систему и ущерб при установке нежелательного ПО будет ограничен.
В Windows Vista, если вы работаете как обычный пользователь на компьютере, который не является частью домена, и при этом какая-нибудь программа собирается выполнить действие, затрагивающее всю систему, ОС выдаст запрос на ввод пароля учетной записи администратора. Если же вы работаете как администратор, Windows Vista выдаст запрос на разрешение выполнить действие в рамках всей системы, и, таким образом, поставит вас в известность (и получит ваше согласие) о действии, прежде чем оно будет выполнено.
В доменной среде служба контроля учетных записей управляется групповыми политиками. Если компьютер не является частью домена, служба контроля учетных записей управляется локальной политикой безопасности. Параметры политик доступны по адресу Конфигурация компьютера\Параметры системы\Локальные политики\Параметры безопасности в редакторе локальной политики безопасности или в редакторе групповых политик. Запустить редактор локальной политики безопасности можно из панели управления с помощью компонентов «Система и ее обслуживание\Администрирование».
Как показано на рисунке 3, Центр безопасности Windows управляет параметрами безопасности Интернета.
Figure 3 Параметры безопасности Интернета
| С помощью Центра безопасности Windows можно управлять следующими параметрами Интернета: |
| Загрузка подписанных элементов управления ActiveX |
| Загрузка неподписанных элементов управления ActiveX |
| Запуск сценариев и элементов управления ActiveX, не имеющих отметки о безопасности |
| Установка компонентов настольного ПК |
| Запуск приложений и небезопасных файлов |
| Запуск программ и файлов в IFRAME |
| Разрешения каналов ПО |
Если параметр изменяется на небезопасное состояние, в окне «Свойства Интернета» появится сообщение «Компьютер подвержен повышенному риску», и в Internet Explorer ® появится сообщение «Текущая настройка безопасности подвергает этот компьютер повышенному риску. Щелкните здесь, чтобы изменить параметры безопасности...» Центр безопасности Windows также отобразит уведомление в случае, если не используются рекомендованные параметры безопасности. Если открыть окно «Параметры безопасности Интернета», то небезопасные параметры будут выделены красным цветом (см. рисунок 4).
Figure 4** An Unsecure Setting Highlighted **(Щелкните изображение, чтобы увеличить его)
Центр безопасности Windows может исправить небезопасные параметры. Центр безопасности Windows может исправить небезопасные параметры. Для этого щелкните команду «Восстановить параметры безопасности Windows», как показано на рисунке 5.
Figure 5** Eliminating a Risky Setting **(Щелкните изображение, чтобы увеличить его)
Защитник Windows
Троянские программы, шпионское ПО и другие вредоносные программы стали представлять все большую опасность. Они подвергают вашу информацию опасности, снижают производительность компьютера и могут вызвать сбои системы. В 2004 г. корпорация Майкрософт приобрела компанию Giant Software для защиты своих пользователей от шпионского ПО. Новые технологии защиты теперь встроены в систему Windows Vista под названием Защитник Windows (его также можно загрузить и для Windows XP).
Нет необходимости менять параметры Защитника Windows сразу после установки Windows Vista. Защитник Windows по умолчанию настроен так, чтобы обеспечить наивысшую безопасность компьютера при бесперебойной работе, поэтому можно сосредоточиться на работе с компьютером, а не на его защите. Защитник Windows обеспечивает защиту в реальном времени и ежедневно, приблизительно в 2 часа ночи, автоматически проверяет наличие и загружает обновленные определения шпионского ПО; вредоносное ПО автоматически удаляется. Для изменения параметров защиты выберите меню «Сервис» - «Общие параметры» в Защитнике Windows.
Защита в режиме реального времени означает, что Защитник Windows постоянно следит за работой программ на компьютере и реагирует на потенциально вредоносные действия. При помощи девяти агентов безопасности, перечисленных на рисунке 6, ведется наблюдение за возможной работой нежелательного ПО в различных частях системы. Вместе агенты безопасности Защитника Windows защищают все участки системы, уязвимые для шпионского ПО.
Figure 6 Агенты безопасности Защитника Windows
| Агент | Управляет |
| Настройка Internet Explorer | Параметры безопасности обозревателя. |
| Загрузки Internet Explorer | Приложения, которые работают с Internet Explorer, такие как элементы управления ActiveX и программы установки ПО. |
| Надстройки Internet Explorer (объекты модуля поддержки обозревателя) | Приложения, которые запускаются автоматически при запуске Internet Explorer. |
| Автозапуск | Приложения, которые загружаются при запуске Windows, как посредством реестра, так и с помощью папки «Автозагрузка» Windows. |
| Настройка системы | Параметры, связанные с безопасностью в Windows. |
| Службы и драйверы | Службы и драйверы, и их взаимодействие с Windows и приложениями. |
| Дополнения к Windows | Встроенные служебные программы Windows. |
| Выполнение приложений | Запуск и выполнение приложений. |
| Регистрация приложений (API hooks) | Файлы и инструменты в операционной системе, где приложения могут запускаться сами. |
Ответ на угрозу
Защитник Windows извещает вас, когда находит потенциально нежелательное программное обеспечение или обнаруживает подозрительное поведение. Когда происходит безвредное (низкий уровень угрозы) изменение, Защитник Windows сообщает об этом, отображая восклицательный знак на панели задач. Для более серьезных угроз (среднего или высокого уровня), Защитник Windows отображает желтый или красный диалог в зависимости от уровня угрозы, как показано на рисунке 7. Эти виды угроз требуют немедленного ответа.
Figure 7** Red Window Indicates High-Level Threat **(Щелкните изображение, чтобы увеличить его)
Все действия, выполняемые Защитником Windows, заносятся в журнал событий (в качестве источника указывается «Защитник Windows»). Такие действия включают в себя обновления определений, сканирования и удаления шпионского ПО.
Предупреждения об угрозах Защитника Windows образуют некую структуру и вы можете поработать с ней. Может быть перечислено несколько угроз в списке, и вы можете выбрать, отвечать ли на все угрозы ("Удалить все") в диалоге предупреждения об угрозах. Также можно настроить предупреждения об опасности на различную реакцию при обнаружении различных угроз. Чтобы настроить предупреждения об угрозах, откройте окно Защитника Windows и щелкните «Сервис» - «Параметры». Прокрутите окно до «Параметры защиты в режиме реального времени» и выберите, должен ли Защитник Windows уведомлять вас о программах, которые еще не были классифицированы по уровню риска, и об изменениях, выполненных на компьютере программами, которым разрешено выполняться.
Отметим, что, если приложение, которое вы создали или используете, неправильно классифицируется Защитником Windows, вы можете заполнить форму-претензию разработчика по адресу microsoft.com/athome/security/spyware/software/isv/cdform.aspx. Если приложение ошибочно принимается за шпионское ПО, вы можете сообщить о ложной тревоге по адресу microsoft.com/athome/security/spyware/software/isv/fpform.aspx.
Защита по требованию
Защитник Windows тщательно следит за потенциально нежелательным программным обеспечением, но вы также можете сами запустить сканирование на наличие шпионского ПО всякий раз, когда полагаете, что это необходимо. Защитник Windows предлагает три типа сканирований:
- При быстром сканировании проверяются все области компьютера, которые с наибольшей вероятностью подвержены заражению.
- При полном сканировании проверяются все файлы на жестком диске, запущенные приложения, реестр и прочее.
- При настраиваемом сканировании можно проверить только определенные файлы и папки, но сначала выполняется быстрое сканирование.
Для начала сканирования запустите Защитник Windows и щелкните стрелку вниз рядом с кнопкой «Проверить», затем выберите способ сканирования, как показано на рисунке 8.
Figure 8** Choose the Type of Scan **(Щелкните изображение, чтобы увеличить его)
Если в ходе сканирования обнаруживается опасность, Защитник Windows отображает описание опасности и список возможных действий по ее устранению. По умолчанию он отображает наилучшее действие в данной ситуации. Если обнаружено несколько опасностей, можно выбрать различные действия по их устранению и применить все действия одновременно, нажав кнопку «Применить действия», или же удалить все опасности, нажав кнопку «Удалить все». Можно выбрать следующие действия:
- Удалить – полностью удалить угрозу из системы.
- Игнорировать – не обращать внимания на угрозу. При сканировании в следующий раз Защитник Windows обнаружит эту угрозу снова.
- Карантин – временно отключить угрозу. Это действие можно использовать, чтобы проверить, повлияло ли удаление угрозы на работу компьютера. Можно в любой момент отменить карантин, выбрав соответствующую команду Защитника Windows.
- Всегда разрешать – не считать данную программу опасной и добавить ее в список разрешенных. Для удаления элементов из этого списка выберите меню «Сервис» - «Параметры» Защитника Windows.
Предотвращение сетевых атак
Брандмауэр Windows в Windows Vista отслеживает как входящий, так и исходящий трафик, и более совершенен по сравнению с брандмауэром Windows XP. Брандмауэр Windows Vista осуществляет фильтрацию как входящего, так и исходящего трафика. Также здесь можно настроить правила для следующих элементов:
- Учетные записи и группы Active Directory
- Номер IP-протокола
- Определенные типы интерфейсов
- Службы
- ICMP и ICMPv6 по типу и коду
- IP-адреса источника и назначения
- Все порты TCP или UDP, или только определенные порты
В Windows Vista также можно разрешить определенной программе доступ к сети или запретить трафик всем программам, кроме перечисленных в списке исключений. Чтобы получить доступ к списку исключений, нажмите кнопку «Пуск» и выберите «Панель управления», «Безопасность», а затем щелкните «Разрешение запуска программы через брандмауэр Windows».
По умолчанию брандмауэр Windows блокирует входящий трафик всех программ, не имеющих явного разрешения или не соответствующих правилам, и разрешает весь исходящий трафик, даже если он не соответствует правилам.
Windows Vista содержит новую оснастку консоли управления под названием «Брандмауэр Windows в режиме повышенной безопасности» (см. рисунок 9), которая позволяет администраторам настраивать параметры брандмауэра Windows на удаленных компьютерах. Чтобы получить доступ к этой оснастке, на панели управления выберите «Система и ее обслуживание» - «Администрирование», и затем щелкните «Брандмауэр Windows в режиме повышенной безопасности».
Figure 9** Create Advanced Rules to Protect Your Computer from Network Threats **(Щелкните изображение, чтобы увеличить его)
Для добавления правила с помощью редактора групповых политик выберите «Конфигурация компьютера», «Параметры Windows», «Параметры безопасности, «Брандмауэр Windows в режиме повышенной безопасности». Также вы можете настроить новые дополнительные параметры безопасности из командной строки, используя команду netsh advfirewall.
При каждом подключении к новой сети Windows Vista создает профиль только для этой сети. При повторном подключении к сети Windows Vista использует параметры, сохраненные в профиле. При подключении к новой сети в первую очередь следует указать, какая это сеть: общего пользования или частная. Это определяет тип профиля, который брандмауэр Windows загружает для задания настройки и правил. Чтобы изменить профили, выберите «Свойства брандмауэра Windows» в оснастке «Брандмауэр Windows в режиме повышенной безопасности», затем выберите вкладку «Частный профиль» или «Публичный профиль», как показано на рисунке 10.
При необходимости можно изменить профиль, связанный с сетью, после подключения: это можно сделать в центре управления сетями и общим доступом. Для этого перейдите в Control Panel | Network and Internet | Network and Sharing Center (Панель управления | Сеть и Интернет | Центр управления сетями и общим доступом). Чтобы изменить профиль сети, нажмите кнопку «Настроить» рядом с названием сети, к которой вы подключены.
Заключение
Windows Vista представляет собой первую полную версию операционной системы, выпущенную после того, как несколько лет назад была принята программа безопасности. OC Windows Vista разработана по правилам обеспечения безопасности на всем цикле разработки и содержит встроенные средства безопасности, такие как Защитник Windows, брандмауэр Windows и контроль учетных записей. Это обеспечивает наивысший уровень безопасности как при автономной работе, так и в сети. Центр безопасности Windows, брандмауэр Windows и контроль учетных записей пользователя – все эти компоненты могут быть настроены посредством групповой политики, что позволяет эффективно применять их как в сети с доменом, так и на персональном компьютере.
Сообщество SpyNet
Постоянно возникают новые угрозы безопасности, и иногда даже ежедневного обновления недостаточно для обеспечения надежной защиты. Для дополнительной защиты пользователей, помимо обновлений определений шпионского ПО, корпорация Майкрософт приглашает пользователей вступить в сообщество SpyNet – это сетевое сообщество, которое накапливает и совместно использует информацию о шпионском ПО.
Сообщество Spynet является добровольным международным сообществом пользователей, которые сообщают в корпорацию Майкрософт о фактах обнаружения шпионского ПО. Участники этого сообщества помогают определить, какие программы в действительности являются шпионскими, а также быстро обнаруживать новые угрозы, что способствует лучшей защите пользователей Windows.
Чтобы вступить в сообществ SpyNet, необходимо явно заявить о своем желании. Если вы не хотите вступать в сообщество, никакая информация о возможном заражении шпионским ПО не будет посылаться в SpyNet. При этом не будет отображаться уведомление об обнаружении на компьютере неизвестных и потенциально нежелательных программ. Неклассифицированное, потенциально нежелательное программное обеспечение может в конечном счете быть классифицировано в регулярных обновлениях определений шпионского ПО.
Существует два способа участия:
Расширенное участие. Участники посылают в Майкрософт информацию о неклассифицированном ПО и о предпринятых действиях. Такие участники предупреждаются о текущем неклассифицированном ПО, которое может быть небезопасным. При этом может посылаться некоторая личная информация, но Майкрософт не будет использовать ее для контакта с вами.
Участники с расширенным участием получают статистику об удалениях, показывающую, как другие участники реагировали на эту угрозу. Эта информация поможет принять решение о том, действительно ли данное ПО опасно. Например, новое приложение распространяется через Интернет, и Защитник Windows определяет его как подозрительное, опытные участники могут сообщить об этом в SpyNet и удалить это приложение. Узнав, сколько пользователей сообщили и удалили эту программу, вы сможете принять более взвешенное решение о том, что делать.
Обычное участие. В Майкрософт посылается основная информация о подозрительном программном обеспечении. При этом может посылаться некоторая личная информация, но Майкрософт не будет использовать ее для контакта с вами. Участники с обычным участием не предупреждаются о неклассифицированном программном обеспечении.
Чтобы присоединиться к сообществу Spynet, откройте Защитник Windows и выберите «Сервис», затем щелкните «Microsoft SpyNet».
**Джастин Харрисон (Justin Harrison)**Джастин Харрисон (justin@harrison.org) является специалистом по безопасности Windows, технологиям цифровых носителей и цифровых документов. А еще раньше он работал в рабочих группах GE Energy, Digital Documents и Casual Games корпорации Майкрософт.
© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.