Руководство по безопасности Windows® 7

Набор средств по управлению соответствием требованиям безопасности

Версия 1.0

Дата опубликования: октябрь 2009 г.

Последние изменения см. на microsoft.com/ssa

Copyright

Copyright © 2009 Корпорация Майкрософт. Все права защищены. Читатель несет ответственность за соблюдение применимого законодательства в области охраны авторских прав. Используя настоящую документацию или предоставляя отзыв на нее, вы соглашаетесь со следующим лицензионным соглашением.

Если эта документация используется исключительно в некоммерческих целях внутри ВАШЕЙ компании или организации, то на нее вам предоставляется лицензия Creative Commons Attribution-NonCommercial License. Копию текста этой лицензии можно получить на веб-сайте http://creativecommons.org/licenses/by-nc/2.5/ или отправив запрос по адресу Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

Настоящая документация предоставляется исключительно в целях ознакомления и исключительно по принципу «как есть» («AS IS»).  Использование вами настоящей документации не может расцениваться как полноценная замена тем услугам и информационным материалам, что корпорация Майкрософт может разработать и предоставить вам, отталкиваясь от ваших специфических условий работы. В максимальной степени, разрешенной законом, КОРПОРАЦИЯ МАЙКРОСОФТ ОТКАЗЫВАЕТСЯ ОТ ЛЮБЫХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДПИСАННЫХ, И НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБОЙ УЩЕРБ, ВОЗНИКШИЙ В СВЯЗИ С ДАННЫМИ МАТЕРИАЛАМИ ИЛИ ЛЮБОЙ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТЬЮ, СОДЕРЖАЩЕЙСЯ В НИХ.

На материалы, содержащиеся в этой документации, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт.  Без отдельного соглашения с корпорацией Майкрософт использование этого документа не предоставляет вам никаких прав на эти патенты, товарные знаки или иные объекты интеллектуальной собственности.

Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-сайты, могут быть изменены без предварительного уведомления. Все компании, организации, продукты, доменные имена, адреса электронной почты, логотипы, люди, места и события, упомянутые в примерах, являются вымышленными, если не указано обратное.

Microsoft, Access, Active Directory, ActiveX, Authenticode, BitLocker, Excel, Forefront, InfoPath, Internet Explorer, Internet Explorer 8, JScript, MSDN, Outlook, PowerPoint, SharePoint, Visual Basic, Windows, Windows Server, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista и Windows XP являются либо зарегистрированными товарными знаками, либо товарными знаками корпорации Майкрософт в США и (или) других странах.

Упомянутые названия реально существующих компаний и продуктов могут быть торговыми марками их владельцев.

Вы не обязаны предоставлять в Майкрософт какие бы то ни было комментарии, предложения или иные отзывы («Отзывы») по данной документации. Однако, если вы представляете в Майкрософт какой-либо Отзыв, вы тем самым безвозмездно наделяете Майкрософт правом использовать этот Отзыв, передавать его другим лицам и извлекать из него прибыль, любым способом и с любой целью.  Вы также безвозмездно предоставляете третьим лицам любые патентные права, необходимые, чтобы их продукты, технологии или услуги могли использовать или взаимодействовать с любыми частями программного обеспечения или услуг Майкрософт, включающими этот Отзыв.  Вы не можете представить Отзыв, который подразумевает обязанность Майкрософт в случае использования этого Отзыва в каком-либо ее продукте или документации передавать этот продукт или документацию третьим лицам только по лицензии.

Содержание

Обзор
Аннотация руководителю
Кому адресовано это руководство
Навыки и уровень подготовки
Назначение и область применимости руководства
Рекомендации Майкрософт и FDCC
Аннотация к главам
Способы оформления
Дополнительные сведения
Поддержка и отзывы
Благодарности
Авторский коллектив
Приняли участие
Глава 1. Создание базовой конфигурации безопасности
Глава 2. Защита от вредоносного ПО
Глава 3. Защита конфиденциальных данных
Глава 4. Совместимость приложений с Windows  7

Обзор

Настоящее Руководство по безопасности Windows 7 содержит инструкции и рекомендации по повышению безопасности настольных и переносных ПК, работающих под управлением Windows® 7 в домене на основе доменных служб Active Directory® Domain Services (AD DS).

Настоящее руководство дополняет Руководство по безопасности Windows 7 средствами, пошаговыми инструкциями, рекомендациями и процессами, которые значительно упрощают ход развертывания. Здесь не только приводятся эффективные способы обеспечения безопасности, но и описывается метод, которым легко воплотить указания руководства в жизнь как в тестовой, так и в производственной среде.

Ключевой инструмент, используемый в связке с Руководством по безопасности Windows 7, — сценарий GPOAccelerator.wsf. С его помощью можно автоматически создать все объекты групповой политики (GPO), необходимые для практического применения этого руководства.

Проектировщики, консультанты, сотрудники службы поддержки, партнеры и клиенты корпорации Майкрософт изучили или одобрили настоящее руководство. Можно быть уверенным, что оно:

• достоверно. Основано на реальном опыте;
• авторитетно. Содержит лучшие из возможных рекомендаций;
• точно. Инструкции проверены и испытаны;
• выполнимо. Содержит конкретные шаги;
• актуально. Посвящено реально существующим рискам безопасности.

Консультанты и системные инженеры разработали набор рекомендаций по использованию ОС Windows 7, Windows Vista® с пакетом обновления 1 (SP1), Windows Server® 2003 с пакетом обновления 2 (SP2) и Windows Server® 2008 с пакетом обновления 2 (SP2) в самых различных условиях. Если вы в данный момент оцениваете Windows 7, то набор средств оценки и планирования Майкрософт, адресованный предприятиям среднего размера, позволит легко определить готовность компьютеров к этой ОС. С его помощью можно быстро провести инвентаризацию, установить, где Windows 7 поддерживается, и какое оборудование нужно обновить.

Майкрософт уже публиковала руководства для ОС Windows Vista с пакетом обновления 1 (SP1) и Windows® XP с пакетом обновления 3 (SP3). В настоящем Руководстве по безопасности Windows 7 рассматриваются существенные улучшения, внесенные в эту ОС. Руководство разрабатывалось и тестировалось на компьютерах, работающих под управлением Windows 7 и входящих в домен на основе Active Directory, а также на независимых компьютерах.

Примечание   Если не указано иное, все упоминания Windows XP в этом руководстве означают Windows XP Professional с пакетом обновления 3 (SP3), а все упоминания Windows Vista означают Windows Vista с пакетом обновления 1 (SP1).

Аннотация руководителю

Что бы ни представляла из себя рабочая среда, к вопросам безопасности не стоит относиться халатно. Многие предприятия недооценивают значение информационных технологий (ИТ). Хорошо подготовленная атака на серверы может нанести компании существенный ущерб. Например, если вредоносное ПО проникнет на компьютеры вашей сети, вы можете лишиться закрытой информации, а также понести существенные затраты на восстановление их безопасности. Если же в результате атаки станет недоступным ваш веб-сайт, это может вылиться в существенное снижение прибыли или степени доверия потребителей.

Исследование уязвимостей, рисков и контактной зоны позволит разобраться в компромиссе между безопасностью и функциональностью, который имеет место для любого сетевого компьютера. В этом руководстве описаны главные средства обеспечения безопасности, которые может предложить Windows 7, те уязвимости, которые ими устраняются, и возможный отрицательный эффект (если он есть) от введения средства в силу.

Настоящее руководство стоит в одном ряду с Руководством по безопасности Windows XP и Руководством по безопасности Windows Vista, посвященным усилению безопасности соответственно ОС Windows XP Professional с пакетом обновления 3 (SP3) и Windows Vista с пакетом обновления 1 (SP1). Рекомендации Руководства по безопасности Windows 7 касаются обеспечения безопасности компьютеров, работающих в следующих средах:

• корпоративныйклиентКлиентские компьютеры этой среды входят в домен на основе Active Directory и устанавливают подключения только к компьютерам под управлением Windows Server 2008. Среди операционных систем клиентских компьютеров представлены Windows 7 и Windows Vista с пакетом обновления 1 (SP1). Инструкции по тестированию и развертыванию в такой среде приведены в разделе «Среда корпоративных клиентов» в главе 1, «Создание базовой конфигурации безопасности». Более подробно основополагающие параметры безопасности этой среды приведены в книге Microsoft Excel® «Windows 7 Security Baseline Settings»;
• особые параметры безопасности и ограниченная функциональность (Specialized Security – Limited Functionality, SSLF). Важность обеспечения безопасности в этой среде столь велика, что допускается значительная потеря функциональности и управляемости. В качестве примера можно привести военные и разведывательные организации. Клиентские компьютеры в этой среде работают только под управлением Windows Vista с пакетом обновления 1 (SP1). Инструкции по тестированию и развертыванию в такой среде приведены в разделе «Особые параметры безопасности и ограниченная функциональность» в главе 1, «Создание базовой конфигурации безопасности». В книге Excel «Windows 7 Security Baseline Settings» параметры этой среды также описываются более подробно.

Внимание!   Параметры безопасности SSLF не подойдут для большинства предприятий. Они были разработаны для организаций, где безопасность важнее функциональности.

Структура руководства позволяет легко найти нужную информацию. С его помощью и с помощью упоминаемых в нем средств можно:

• развернуть и ввести в действие любую из упоминаемых схем обеспечения безопасности;
• узнать о возможностях безопасности Windows Vista с пакетом обновления 1 (SP1) и начать их использовать;
• узнать о назначении и важности каждого отдельного параметра в любой из двух схем.

Чтобы создавать, тестировать и развертывать параметры безопасности для среды корпоративных клиентов или среды SSLF, нужно сначала запустить MSI-файл установщика Windows®, содержащий средство GPOAccelerator, дополняющее этот загружаемый набор средств. Это средство затем можно использовать для автоматического создания всех объектов GPO для рекомендуемых параметров безопасности. Подробнее об использовании этого средства рассказано в сопроводительном документе Использование GPOAccelerator.

Хотя это руководство адресовано корпоративным клиентам, многие его части актуальны для предприятий любого размера. Чтобы извлечь из руководства максимальную пользу, следует изучить его целиком, но для достижения конкретных узких целей достаточно прочитать соответствующую часть. В разделе «Аннотация к главам» настоящего обзора кратко изложен характер каждой главы. Подробнее о вопросах безопасности и соответствующих параметрах ОС Windows Vista см. Руководство по безопасности Windows Vista, а также сопутствующее руководство Угрозы и меры противодействия.

После развертывания на предприятии необходимых параметров безопасности можно убедиться в том, что они вступили в силу на каждом компьютере, и поможет в этом Набор средств по управлению соответствием требованиям безопасности (Security Compliance Management Toolkit). В него включены пакеты настроек (Configuration Packs), которые соответствуют рекомендациям настоящего руководства для сред EC и SSLF. Для эффективного мониторинга соответствия требованиям безопасности этот набор средств можно использовать совместно с компонентом управления необходимой конфигурацией (Desired Configuration Management, DCM) диспетчера Microsoft® System Center Configuration Manager 2007 SP1. Кроме того, имеется функция составления отчетов, показывающих степень соответствия организации нормативным требованиям. Подробнее см. комплект набора средств по управлению соответствием требованиям безопасности на сайте TechNet.

Кому адресовано это руководство

Настоящее Руководство по безопасности Windows 7 в большей степени адресовано ИТ-специалистам широкого профиля, специалистам в области безопасности, проектировщикам сетей, консультантам и другим сотрудникам сферы ИТ, кто занят проектированием или развертыванием приложений или инфраструктуры Windows 7 для настольных и переносных ПК в корпоративной среде.

Навыки и уровень подготовки

Руководство рассчитано на читателей (в частности ИТ-специалистов, занятых проектированием, развертыванием и обеспечением безопасности клиентских компьютеров под управлением Windows 7 в корпоративной среде), обладающих следующими навыками и опытом.

• Сертификация MCSE по Windows Server 2003 или более поздняя, а также не менее двух лет опыта работы в области безопасности, либо аналогичный опыт.
• Глубокое понимание домена предприятия и рабочей среды AD DS.
• Опыт работы с консолью управления групповой политикой (GPMC).
• Опыт в администрировании групповой политики с помощью консоли GPMC, единого инструмента по управлению любыми задачами групповой политики.
• Опыт работы с такими средствами, как консоль управления (MMC), Gpupdate и Gpresult.
• Опыт развертывания приложений и клиентских компьютеров в корпоративной среде.

Назначение и область применимости руководства

Основные цели настоящего руководства:

• предоставить готовые методики эффективного создания и внедрения проверенных параметров безопасности с помощью групповой политики;
• объяснить причины, стоящие за теми или иными рекомендуемыми параметрами безопасности, а также последствия от их установки;
• научить, как распознавать типичные ситуации и управлять ими с помощью компонентов обеспечения безопасности Windows 7.

Руководство построено так, чтобы можно было с успехом изучить лишь ту его часть, что актуальна для конкретного предприятия. Однако, при полном прочтении польза от руководства будет максимальной.

Акцент делается на создании и поддержании безопасной рабочей среды для компьютеров под управлением Windows 7. Описываются разные стадии этого процесса в каждом из двух типов сред, а также объясняется смысл каждого параметра безопасности для настольных и переносных ПК, принадлежащих любому из них. Руководство содержит предписания и рекомендации по безопасности.

Клиентские компьютеры под управлением ОС Windows 7 в средах EC и SSLF были протестированы в связке с компьютерами под управлением Windows Server 2008 R2, Windows Server 2008 SP2, Windows Server 2003 R2, Windows Server 2003 SP2, Windows XP SP3 и Windows Vista SP2. Параметры безопасности на этих других компьютерах были сходны с параметрами, выбранными для компьютеров с Windows 7, чтобы проверка подлинности и авторизация проходили успешно. Другие недавние версии ОС Windows также могут использоваться при условии верной настройки, но на них испытания не проводились.

Рекомендации Майкрософт и FDCC

Federal Desktop Core Configuration (FDCC) (базовые параметры федеральных компьютеров) — это указание Административно-бюджетного управления США, согласно которому компьютеры федерального правительства, работающие под управлением конкретных операционных систем, должны быть сконфигурированы особым образом. В последнем меморандуме Управления требования были сведены воедино, и Национальный институт стандартов и технологий США (NIST) опубликовал на веб-сайте FDCC предписанные параметры и сопутствующие материалы, облегчающие их введение.

Параметры FDCC для ОС Windows XP и Windows Vista были совместно разработаны Административно-бюджетным управлением США, Национальным институтом стандартов и технологий США, Министерством обороны США, Министерством национальной безопасности США и корпорацией Майкрософт. Требуемые параметры для этих двух версий Windows сходны с таковыми из руководств по безопасности Майкрософт, но все же отличаются. Согласно FDCC, необходимо задействовать ряд параметров, которые не затрагиваются руководствами Майкрософт, а для ряда упоминаемых в них параметров требуются иные значения. Это вполне предсказуемая ситуация, поскольку руководства Майкрософт и требования FDCC относятся к несколько отличающимся средам. На момент публикации настоящего документа настройки для Windows 7 в FDCC не упоминаются.

Аннотация к главам

Настоящее Руководство по безопасности Windows 7 состоит из следующих глав.

Глава 1. Создание базовой конфигурации безопасности

В этой главе описывается набор процедур по введению в силу требуемых параметров безопасности, усиливающих уровень безопасности по умолчанию. Эти процедуры позволяют быстро и эффективно развернуть рекомендуемые настройки с целью обеспечения большей защищенности клиентов с ОС Windows 7 по умолчанию.

Глава 2. Защита от вредоносного ПО

В этой главе приводится обзор технологий безопасности Windows 7 и рекомендации по их необходимой настройке.

Глава 3. Защита конфиденциальных данных

В этой главе рассматриваются компоненты и службы, предназначенные для защиты данных на клиентских компьютерах под управлением Windows 7 в среде корпоративных клиентов (EC). Способы настройки этих компонентов зависят от конкретных условий работы. В главе описывается процесс, с помощью которого привести в соответствие с необходимым уровнем защиты данных можно следующие компоненты:

• шифрование дисков BitLocker™;
• BitLocker To Go;
• шифрованная файловая система (EFS);
• служба управления правами (RMS);
• управление и установка устройств.

Глава 4. Совместимость приложений с Windows 7

В этой главе приведены простые процедуры и рекомендации по проверке степени совместимости приложений с Windows 7, а также некоторые из наиболее типичных проблем с совместимостью и ресурсы, которые помогут в их устранении.

Способы оформления

В этом руководстве используются следующие способы оформления.

Оформление	Значение
Жирный шрифт	Обозначает символы, которые нужно вводить в точности как показано, в частности команды, переключатели и имена файлов. Так же выделены элементы пользовательского интерфейса.
Курсив	Названия книг и других существенных публикаций набраны курсивом. Новые термины при первом упоминании также даются курсивом.
<Курсив>	Курсивом в угловых скобках, например <имя_файла>, обозначаются переменные.
Моноширинный шрифт	Обозначает примеры кода и сценариев.
Примечание	Обращает ваше внимание на сопутствующую информацию.
Важно	Существенное замечание, необходимое для успешного выполнения задачи.
Внимание!	Обозначает особо важное примечание, которое не стоит игнорировать.
‡	Этим символом обозначены конкретные изменения в параметрах групповой политики или рекомендации.
§	Этим символом обозначены параметры групповой политики, впервые появившиеся в Windows 7.

Дополнительные сведения

Подробнее о вопросах безопасности Windows 7 можно узнать из следующих источников на Microsoft.com.

• Federal Desktop Core Configuration (FDCC)
• Набор средств оценки и планирования Майкрософт
• Комплект набора средств по управлению соответствием требованиям безопасности
• Угрозы и меры противодействия
• Руководство по безопасности Windows Vista
• Руководство по безопасности Windows XP

Поддержка и отзывы

Группа Solution Accelerators – Security and Compliance (SA–SC) ценит все отзывы об этом и других своих продуктах.

Свои комментарии можно направлять следующими способами:

- по электронной почте: secwish@microsoft.com.

Нам очень важно ваше мнение.

Благодарности

Группа Solution Accelerators – Security and Compliance (SA–SC) выражает свою благодарность группе, работавшей над созданием Руководства по безопасности Windows 7. Следующие люди непосредственно занимались или внесли существенный вклад в написание, проектирование или тестирование этого решения.

Авторский коллектив

Авторы текста

Курт Диллард (KurtDillard) – kurtdillard.com
Ричард Гаррисон (RichardHarrison) – ContentMasterLtd.

Разработчики

Геральд Хербаух (Gerald Herbaugh)
Хайкун Жанг (Haikun Zhang) – Beijing ZZZGroup Co. Ltd.
Джефф Сигман (JeffSigman)
Жозе Мальдонадо (JoseMaldonado)
Майкл Тэн (MichaelTan)
Жи Киянь Юань (ZhiQiangYuan) – BeijingZZZGroupCo. Ltd.

Редакторы

Джон Кобб (John Cobb) – Wadeware LLC
Стив Уэкер (Steve Wacker) – Wadeware LLC

Менеджеры группы

Мишель Арни (Michelle Arney)
Шрути Кала (Shruti Kala)
Стефани Чачарон (Stephanie Chacharon) – Xtreme Consulting Group Inc.

Руководитель проекта

Том Клоуорд (Tom Cloward)

Выпускающие менеджеры

Чери Албек (CheriAhlbeck) – AquentLLC
Карина Ларсон (Karina Larson)

Менеджер по тестированию

Самит Парих (Sumit Parikh)

Тестеры

ЖайдипБахадур (Jaideep Bahadur) – Infosys Technologies Ltd.
МансиШарма (Mansi Sharma) – Infosys Technologies Ltd.
Раксит Гайяр (Raxit Gajjar) – Infosys Technologies Ltd.

Приняли участие

Аарон Маргозис (Aaron Margosis), Альваро Кано Фернандез (Alvaro Cano Fernandez), Блейк Франц (Blake Frantz) – Center for Internet Security, Чез Джеффрис (Chas Jeffries), Дэн Фокс (Dan Fox), Даниель Тейлор (Daniel Taylor), Агентство по оборонным информационным системам (DISA), Грег Коттингхем (Greg Cottingham), Гай Хант (Guy Hunt), Кэти Ламберт (Kathy Lambert), Лори Кингери (Lori Kingery), Мэнди Тидвелл (Mandy Tidwell), Марк Руссинович (Mark Russinovich), Нейт Морин (Nate Morin), Рик Манк (Rick Munck), Роджер Подвоски (Roger Podwoski), Санджай Пандит (Sanjay Pandit), Шон Рэборн (Shawn Rabourn), Шелли Бёрд (Shelly Bird), Стивен Ролник (Steven Rolnick), Сьюзан Фоссельман (Susan Fosselman), Тим Кларк (Tim Clark), Тим Майерс (Tim Myers), Ти-Джей Онишил (TJ Onishile), Трой Фанк (Troy Funk), Виджей Барадвадж (Vijay Bharadwaj), Юнь Чоу (Yung Chou)

Примечание   По просьбе Майкрософт в рецензировании этого руководства принимал участие директорат информационной безопасности Агентства национальной безопасности США, замечания которого были учтены в опубликованной версии.

Примечание   В разработке настоящего руководства и соответствующих параметров безопасности приняли участие члены сообщества Center for Internet Security, чьи замечания были учтены в опубликованной версии.