Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Элективный курс'
Данная тема практически не изучается в школьном курсе химии. Однако учащиеся должны ее знать, чтобы успешно отвечать на вопросы ЕГЭ и успешно усвоить...полностью>>
'Регламент'
ГОЛОВУЮЧИЙ. Доброго ранку шановні народні депутати, запрошені та гості Верховної Ради! Прошу народних депутатів підготуватися до реєстрації. Увімкніть...полностью>>
'Кодекс'
1. Кримінальний кодекс України має своїм завданням правове забезпечення охорони прав і свобод людини і громадянина, власності, громадського порядку т...полностью>>
'Документ'
Возможности управления основными средствами, предлагаемые решениями Microsoft Dynamics, дают возможность оптимизировать финансовые потоки и эффективн...полностью>>

Главная > Руководство

Сохрани ссылку в одной из сетей:



Руководство по безопасности Windows® 7

Набор средств по управлению соответствием требованиям безопасности

Версия 1.0

Дата опубликования: октябрь 2009 г.

Последние изменения см. на
/ssa

Copyright © 2009 Корпорация Майкрософт. Все права защищены. Читатель несет ответственность за соблюдение применимого законодательства в области охраны авторских прав. Используя настоящую документацию или предоставляя отзыв на нее, вы соглашаетесь со следующим лицензионным соглашением.

Если эта документация используется исключительно в некоммерческих целях внутри ВАШЕЙ компании или организации, то на нее вам предоставляется лицензия Creative Commons Attribution-NonCommercial License. Копию текста этой лицензии можно получить на веб-сайте /licenses/by-nc/2.5/ или отправив запрос по адресу Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

Настоящая документация предоставляется исключительно в целях ознакомления и исключительно по принципу «как есть» («AS IS»). Использование вами настоящей документации не может расцениваться как полноценная замена тем услугам и информационным материалам, что корпорация Майкрософт может разработать и предоставить вам, отталкиваясь от ваших специфических условий работы. В максимальной степени, разрешенной законом, КОРПОРАЦИЯ МАЙКРОСОФТ ОТКАЗЫВАЕТСЯ ОТ ЛЮБЫХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДПИСАННЫХ, И НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБОЙ УЩЕРБ, ВОЗНИКШИЙ В СВЯЗИ С ДАННЫМИ МАТЕРИАЛАМИ ИЛИ ЛЮБОЙ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТЬЮ, СОДЕРЖАЩЕЙСЯ В НИХ.

На материалы, содержащиеся в этой документации, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Без отдельного соглашения с корпорацией Майкрософт использование этого документа не предоставляет вам никаких прав на эти патенты, товарные знаки или иные объекты интеллектуальной собственности.

Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-сайты, могут быть изменены без предварительного уведомления. Все компании, организации, продукты, доменные имена, адреса электронной почты, логотипы, люди, места и события, упомянутые в примерах, являются вымышленными, если не указано обратное.

Microsoft, Access, Active Directory, ActiveX, Authenticode, BitLocker, Excel, Forefront, InfoPath, Internet Explorer, Internet Explorer 8, JScript, MSDN, Outlook, PowerPoint, SharePoint, Visual Basic, Windows, Windows Server, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista и Windows XP являются либо зарегистрированными товарными знаками, либо товарными знаками корпорации Майкрософт в США и (или) других странах.

Упомянутые названия реально существующих компаний и продуктов могут быть торговыми марками их владельцев.

Вы не обязаны предоставлять в Майкрософт какие бы то ни было комментарии, предложения или иные отзывы («Отзывы») по данной документации. Однако, если вы представляете в Майкрософт какой-либо Отзыв, вы тем самым безвозмездно наделяете Майкрософт правом использовать этот Отзыв, передавать его другим лицам и извлекать из него прибыль, любым способом и с любой целью. Вы также безвозмездно предоставляете третьим лицам любые патентные права, необходимые, чтобы их продукты, технологии или услуги могли использовать или взаимодействовать с любыми частями программного обеспечения или услуг Майкрософт, включающими этот Отзыв. Вы не можете представить Отзыв, который подразумевает обязанность Майкрософт в случае использования этого Отзыва в каком-либо ее продукте или документации передавать этот продукт или документацию третьим лицам только по лицензии.

Содержание

Глава 1. Создание базовой конфигурации безопасности 9

Глава 2. Защита от вредоносного ПО 31

Глава 3. Защита конфиденциальных данных 59

Глава 4. Совместимость приложений с Windows 7 95

Обзор

Настоящее Руководство по безопасности Windows 7 содержит инструкции и рекомендации по повышению безопасности настольных и переносных ПК, работающих под управлением Windows® 7 в домене на основе доменных служб Active Directory® Domain Services (AD DS).

Настоящее руководство дополняет Руководство по безопасности Windows 7 средствами, пошаговыми инструкциями, рекомендациями и процессами, которые значительно упрощают ход развертывания. Здесь не только приводятся эффективные способы обеспечения безопасности, но и описывается метод, которым легко воплотить указания руководства в жизнь как в тестовой, так и в производственной среде.

Ключевой инструмент, используемый в связке с Руководством по безопасности Windows 7, — сценарий f. С его помощью можно автоматически создать все объекты групповой политики (GPO), необходимые для практического применения этого руководства.

Проектировщики, консультанты, сотрудники службы поддержки, партнеры и клиенты корпорации Майкрософт изучили или одобрили настоящее руководство. Можно быть уверенным, что оно:

  • достоверно. Основано на реальном опыте;

  • авторитетно. Содержит лучшие из возможных рекомендаций;

  • точно. Инструкции проверены и испытаны;

  • выполнимо. Содержит конкретные шаги;

  • актуально. Посвящено реально существующим рискам безопасности.

Консультанты и системные инженеры разработали набор рекомендаций по использованию ОС Windows 7, Windows Vista® с пакетом обновления 1 (SP1), Windows Server® 2003 с пакетом обновления 2 (SP2) и Windows Server® 2008 с пакетом обновления 2 (SP2) в самых различных условиях. Если вы в данный момент оцениваете Windows 7, то набор средств оценки и планирования Майкрософт, адресованный предприятиям среднего размера, позволит легко определить готовность компьютеров к этой ОС. С его помощью можно быстро провести инвентаризацию, установить, где Windows 7 поддерживается, и какое оборудование нужно обновить.

Майкрософт уже публиковала руководства для ОС Windows Vista с пакетом обновления 1 (SP1) и Windows® XP с пакетом обновления 3 (SP3). В настоящем Руководстве по безопасности Windows 7 рассматриваются существенные улучшения, внесенные в эту ОС. Руководство разрабатывалось и тестировалось на компьютерах, работающих под управлением Windows 7 и входящих в домен на основе Active Directory, а также на независимых компьютерах.

Примечание   Если не указано иное, все упоминания Windows XP в этом руководстве означают Windows XP Professional с пакетом обновления 3 (SP3), а все упоминания Windows Vista означают Windows Vista с пакетом обновления 1 (SP1).

Аннотация руководителю

Что бы ни представляла из себя рабочая среда, к вопросам безопасности не стоит относиться халатно. Многие предприятия недооценивают значение информационных технологий (ИТ). Хорошо подготовленная атака на серверы может нанести компании существенный ущерб. Например, если вредоносное ПО проникнет на компьютеры вашей сети, вы можете лишиться закрытой информации, а также понести существенные затраты на восстановление их безопасности. Если же в результате атаки станет недоступным ваш веб-сайт, это может вылиться в существенное снижение прибыли или степени доверия потребителей.

Исследование уязвимостей, рисков и контактной зоны позволит разобраться в компромиссе между безопасностью и функциональностью, который имеет место для любого сетевого компьютера. В этом руководстве описаны главные средства обеспечения безопасности, которые может предложить Windows 7, те уязвимости, которые ими устраняются, и возможный отрицательный эффект (если он есть) от введения средства в силу.

Настоящее руководство стоит в одном ряду с Руководством по безопасности Windows XP и Руководством по безопасности Windows Vista, посвященным усилению безопасности соответственно ОС Windows XP Professional с пакетом обновления 3 (SP3) и Windows Vista с пакетом обновления 1 (SP1). Рекомендации Руководства по безопасности Windows 7 касаются обеспечения безопасности компьютеров, работающих в следующих средах:

  • корпоративный клиент (Enterprise Client, EC). Клиентские компьютеры этой среды входят в домен на основе Active Directory и устанавливают подключения только к компьютерам под управлением Windows Server 2008. Среди операционных систем клиентских компьютеров представлены Windows 7 и Windows Vista с пакетом обновления 1 (SP1). Инструкции по тестированию и развертыванию в такой среде приведены в разделе «Среда корпоративных клиентов» в главе 1, «Создание базовой конфигурации безопасности». Более подробно основополагающие параметры безопасности этой среды приведены в книге Microsoft Excel® «Windows 7 Security Baseline Settings»;

  • особые параметры безопасности и ограниченная функциональность (Specialized Security – Limited Functionality, SSLF). Важность обеспечения безопасности в этой среде столь велика, что допускается значительная потеря функциональности и управляемости. В качестве примера можно привести военные и разведывательные организации. Клиентские компьютеры в этой среде работают только под управлением Windows Vista с пакетом обновления 1 (SP1). Инструкции по тестированию и развертыванию в такой среде приведены в разделе «Особые параметры безопасности и ограниченная функциональность» в главе 1, «Создание базовой конфигурации безопасности». В книге Excel «Windows 7 Security Baseline Settings» параметры этой среды также описываются более подробно.

Внимание!   Параметры безопасности SSLF не подойдут для большинства предприятий. Они были разработаны для организаций, где безопасность важнее функциональности.

Структура руководства позволяет легко найти нужную информацию. С его помощью и с помощью упоминаемых в нем средств можно:

  • развернуть и ввести в действие любую из упоминаемых схем обеспечения безопасности;

  • узнать о возможностях безопасности Windows Vista с пакетом обновления 1 (SP1) и начать их использовать;

  • узнать о назначении и важности каждого отдельного параметра в любой из двух схем.

Чтобы создавать, тестировать и развертывать параметры безопасности для среды корпоративных клиентов или среды SSLF, нужно сначала запустить MSI-файл установщика Windows®, содержащий средство GPOAccelerator, дополняющее этот загружаемый набор средств. Это средство затем можно использовать для автоматического создания всех объектов GPO для рекомендуемых параметров безопасности. Подробнее об использовании этого средства рассказано в сопроводительном документе Использование GPOAccelerator.

Хотя это руководство адресовано корпоративным клиентам, многие его части актуальны для предприятий любого размера. Чтобы извлечь из руководства максимальную пользу, следует изучить его целиком, но для достижения конкретных узких целей достаточно прочитать соответствующую часть. В разделе «Аннотация к главам» настоящего обзора кратко изложен характер каждой главы. Подробнее о вопросах безопасности и соответствующих параметрах ОС Windows Vista см. Руководство по безопасности Windows Vista, а также сопутствующее руководство Угрозы и меры противодействия.

После развертывания на предприятии необходимых параметров безопасности можно убедиться в том, что они вступили в силу на каждом компьютере, и поможет в этом Набор средств по управлению соответствием требованиям безопасности (Security Compliance Management Toolkit). В него включены пакеты настроек (Configuration Packs), которые соответствуют рекомендациям настоящего руководства для сред EC и SSLF. Для эффективного мониторинга соответствия требованиям безопасности этот набор средств можно использовать совместно с компонентом управления необходимой конфигурацией (Desired Configuration Management, DCM) диспетчера Microsoft® System Center Configuration Manager 2007 SP1. Кроме того, имеется функция составления отчетов, показывающих степень соответствия организации нормативным требованиям. Подробнее см. комплект набора средств по управлению соответствием требованиям безопасности на сайте TechNet.

Кому адресовано это руководство

Настоящее Руководство по безопасности Windows 7 в большей степени адресовано ИТ-специалистам широкого профиля, специалистам в области безопасности, проектировщикам сетей, консультантам и другим сотрудникам сферы ИТ, кто занят проектированием или развертыванием приложений или инфраструктуры Windows 7 для настольных и переносных ПК в корпоративной среде.

Навыки и уровень подготовки

Руководство рассчитано на читателей (в частности ИТ-специалистов, занятых проектированием, развертыванием и обеспечением безопасности клиентских компьютеров под управлением Windows 7 в корпоративной среде), обладающих следующими навыками и опытом.

  • Сертификация MCSE по Windows Server 2003 или более поздняя, а также не менее двух лет опыта работы в области безопасности, либо аналогичный опыт.

  • Глубокое понимание домена предприятия и рабочей среды AD DS.

  • Опыт работы с консолью управления групповой политикой (GPMC).

  • Опыт в администрировании групповой политики с помощью консоли GPMC, единого инструмента по управлению любыми задачами групповой политики.

  • Опыт работы с такими средствами, как консоль управления (MMC), Gpupdate и Gpresult.

  • Опыт развертывания приложений и клиентских компьютеров в корпоративной среде.

Назначение и область применимости руководства

Основные цели настоящего руководства:

  • предоставить готовые методики эффективного создания и внедрения проверенных параметров безопасности с помощью групповой политики;

  • объяснить причины, стоящие за теми или иными рекомендуемыми параметрами безопасности, а также последствия от их установки;

  • научить, как распознавать типичные ситуации и управлять ими с помощью компонентов обеспечения безопасности Windows 7.

Руководство построено так, чтобы можно было с успехом изучить лишь ту его часть, что актуальна для конкретного предприятия. Однако, при полном прочтении польза от руководства будет максимальной.

Акцент делается на создании и поддержании безопасной рабочей среды для компьютеров под управлением Windows 7. Описываются разные стадии этого процесса в каждом из двух типов сред, а также объясняется смысл каждого параметра безопасности для настольных и переносных ПК, принадлежащих любому из них. Руководство содержит предписания и рекомендации по безопасности.

Клиентские компьютеры под управлением ОС Windows 7 в средах EC и SSLF были протестированы в связке с компьютерами под управлением Windows Server 2008 R2, Windows Server 2008 SP2, Windows Server 2003 R2, Windows Server 2003 SP2, Windows XP SP3 и Windows Vista SP2. Параметры безопасности на этих других компьютерах были сходны с параметрами, выбранными для компьютеров с Windows 7, чтобы проверка подлинности и авторизация проходили успешно. Другие недавние версии ОС Windows также могут использоваться при условии верной настройки, но на них испытания не проводились.

Рекомендации Майкрософт и FDCC

Federal Desktop Core Configuration (FDCC) (базовые параметры федеральных компьютеров) — это указание Административно-бюджетного управления США, согласно которому компьютеры федерального правительства, работающие под управлением конкретных операционных систем, должны быть сконфигурированы особым образом. В последнем меморандуме Управления требования были сведены воедино, и Национальный институт стандартов и технологий США (NIST) опубликовал на веб-сайте предписанные параметры и сопутствующие материалы, облегчающие их введение.

Параметры FDCC для ОС Windows XP и Windows Vista были совместно разработаны Административно-бюджетным управлением США, Национальным институтом стандартов и технологий США, Министерством обороны США, Министерством национальной безопасности США и корпорацией Майкрософт. Требуемые параметры для этих двух версий Windows сходны с таковыми из руководств по безопасности Майкрософт, но все же отличаются. Согласно FDCC, необходимо задействовать ряд параметров, которые не затрагиваются руководствами Майкрософт, а для ряда упоминаемых в них параметров требуются иные значения. Это вполне предсказуемая ситуация, поскольку руководства Майкрософт и требования FDCC относятся к несколько отличающимся средам. На момент публикации настоящего документа настройки для Windows 7 в FDCC не упоминаются.

Аннотация к главам

Настоящее Руководство по безопасности Windows 7 состоит из следующих глав.

Глава 1. Создание базовой конфигурации безопасности

В этой главе описывается набор процедур по введению в силу требуемых параметров безопасности, усиливающих уровень безопасности по умолчанию. Эти процедуры позволяют быстро и эффективно развернуть рекомендуемые настройки с целью обеспечения большей защищенности клиентов с ОС Windows 7 по умолчанию.

Глава 2. Защита от вредоносного ПО

В этой главе приводится обзор технологий безопасности Windows 7 и рекомендации по их необходимой настройке.

Глава 3. Защита конфиденциальных данных

В этой главе рассматриваются компоненты и службы, предназначенные для защиты данных на клиентских компьютерах под управлением Windows 7 в среде корпоративных клиентов (EC). Способы настройки этих компонентов зависят от конкретных условий работы. В главе описывается процесс, с помощью которого привести в соответствие с необходимым уровнем защиты данных можно следующие компоненты:

  • шифрование дисков BitLocker™;

  • BitLocker To Go;

  • шифрованная файловая система (EFS);

  • служба управления правами (RMS);

  • управление и установка устройств.

Глава 4. Совместимость приложений с Windows 7

В этой главе приведены простые процедуры и рекомендации по проверке степени совместимости приложений с Windows 7, а также некоторые из наиболее типичных проблем с совместимостью и ресурсы, которые помогут в их устранении.

Способы оформления

В этом руководстве используются следующие способы оформления.

Способы оформления

Оформление

Значение

Жирный шрифт

Обозначает символы, которые нужно вводить в точности как показано, в частности команды, переключатели и имена файлов. Так же выделены элементы пользовательского интерфейса.

Курсив

Названия книг и других существенных публикаций набраны курсивом. Новые термины при первом упоминании также даются курсивом.

<Курсив>

Курсивом в угловых скобках, например <имя_файла>, обозначаются переменные.

Моноширинный шрифт

Обозначает примеры кода и сценариев.

Примечание

Обращает ваше внимание на сопутствующую информацию.

Важно

Существенное замечание, необходимое для успешного выполнения задачи.

Внимание!

Обозначает особо важное примечание, которое не стоит игнорировать.

Этим символом обозначены конкретные изменения в параметрах групповой политики или рекомендации.

§

Этим символом обозначены параметры групповой политики, впервые появившиеся в Windows 7.

Дополнительные сведения

Подробнее о вопросах безопасности Windows 7 можно узнать из следующих источников на .

  • Federal Desktop Core Configuration (FDCC).

  • Набор средств оценки и планирования Майкрософт.

  • Комплект набора средств по управлению соответствием требованиям безопасности.

  • Угрозы и меры противодействия.

  • Руководство по безопасности Windows Vista.

  • Руководство по безопасности Windows XP.

Поддержка и отзывы

Группа Solution Accelerators – Security and Compliance (SA–SC) ценит все отзывы об этом и других своих продуктах.

Свои комментарии можно направлять следующими способами:

  • По электронной почте: .

Нам очень важно ваше мнение.



Скачать документ

Похожие документы:

  1. Руководство по реализации программы «Вовлечение молодежи в предпринимательскую деятельность»

    Руководство
    Настоящее руководство раскрывает процесс привлечения молодых людей, желающих открыть собственное дело для участия в проектах и программах, направленных на вовлечение молодежи в предпринимательскую деятельность.
  2. Руководство по гигиенической оценке факторов рабочей среды и трудового процесса Утверждаю

    Руководство
    1. Разработано: ГУ НИИ медицины труда Российской академии медицинских наук; при участии Ивановского НИИ охраны труда; НИИ проблем охраны труда ФНПР; Российского государственного медицинского университета; Всероссийского НИИ железнодорожной
  3. Руководство по оценке Этот документ предоставляется на условиях "как есть"

    Руководство
    Этот документ предоставляется на условиях "как есть". Сведения и режимы, представленные в данном документе, включая URL-адреса и другие ссылки на веб-сайты в Интернете, могут изменяться без уведомления.
  4. Руководство по установке и настройке 32-разрядной операционной системы

    Руководство по установке
    Поистине неисповедимы пути, которыми следует отечественная мода на операционные системы. Еще несколько лет назад в России активно развивались многозадачные и многопользовательские операционные системы, но вот, словно по мановению волшебной
  5. Руководство по изучению дисциплины «Локальные сети эвм»

    Руководство
    Меньшенин С.Е., Руководство по изучению дисциплины «Локальные сети ЭВМ» / Шахтинский институт (филиал) Южно-Российского государственного технического университета (Новочеркасского политехнического института).

Другие похожие документы..