Покращення безпеки windows 7
Призначення: Windows 7
У даній статті містяться вступні відомості про поліпшення безпеки в Microsoft® Windows® 7. Операційна система Windows 7 створена на основі принципів безпеки Windows Vista®, відповідає побажанням користувачів про створення більш зручною і керованої системи і містить удосконалення безпеки, необхідні для захисту даних в швидко мінливої програмному середовищі.
Повний огляд ресурсів, статей, демонстрацій і посібників по Windows 7 см. На сторінці Трамплін до Windows 7 в технічному центрі клієнтських систем Windows.
Операційна система Windows 7 створена на основі принципів безпеки Windows Vista, відповідає побажанням користувачів про створення більш зручною і керованої системи і містить удосконалення безпеки, необхідні для захисту даних в умовах мінливої структури загроз. У цьому документі представлені найбільш значні поліпшення безпеки в Windows 7, які розглядаються в чотирьох розділах.
- Безпечна платформа. В основі Windows 7 лежать удосконалення системи безпеки, вперше представлені в Windows Vista. Крім того, вона відповідає побажанням користувачів про створення більш зручною і керованої системи.
безпечна платформа
вдосконалений аудит
Windows 7 надає вдосконалені можливості аудиту, що спрощують дотримання нормативних і виробничих вимог: в тому числі реалізований спрощений підхід до управління конфігураціями аудиту, а виконуються в організації завдання описані з більшою наочністю. Наприклад, Windows 7 допомагає отримати чітке уявлення про те, хто може отримати доступ до конкретної інформації, чому користувачеві було відмовлено в доступі до певних даних, а також дізнатися про всі зміни, внесені користувачем або групою.
Спрощений контроль облікових записів користувачів
Служба захисту користувачів (UAC) був представлений в Windows Vista для посилення безпеки і зниження сукупної вартості володіння за рахунок розгортання операційної системи без привілеїв адміністратора. Windows 7 продовжує вносити в функцію контролю облікових записів певні зміни для більш ефективної роботи користувачів - від скорочення числа додатків і завдань для ОС, що вимагають прав адміністратора, до гнучкої роботи із запитами для користувачів, які продовжують користуватися цими правами. В результаті звичайні користувачі тепер можуть виконати більше завдань з меншим числом виведених запитів.
Мал. 1. Управління доступом користувачів
Підтримка пристроїв безпеки
Windows 7 спрощує процес підключення пристроїв безпеки до ПК і управління ними, а також надає легкий доступ до загальних завдань, пов'язаних з використанням пристроїв. Ще ніколи використання пристроїв безпеки не було настільки простим: при першій установці та при щоденній роботі.
Пристрої зберігання з посиленою безпекою
Широке використання USB-пристроїв флеш-пам'яті і інших особистих пристроїв зберігання тягне за собою сумніви в безпеці даних на цих пристроях. Однак деяким користувачам не потрібні можливості повного шифрування даних BitLocker To Go ™. Windows 7 підтримує захист за допомогою паролів і перевірку автентичності на основі сертифікатів для USB-пристроїв зберігання, що відповідають стандарту IEEE 1667. Для збереження конфіденційності даних можна використовувати можливість захисту паролів, реалізовану в пристроях захисту, що підтримують стандарт IEEE тисячі шістсот шістьдесят сім.
Пристрою для читання відбитків пальців все частіше стають частиною стандартної конфігурації переносних комп'ютерів, а Windows 7 гарантує їх належне функціонування. Установка і використання такого пристрою не становить труднощів, а різні постачальники обладнання підвищують надійність входу в систему Windows за допомогою відбитків пальців. Конфігурацію пристроїв зчитування відбитків легко змінити, що дозволяє контролювати спосіб входу в ОС Windows 7 і керувати даними відбитків пальців, що зберігаються на комп'ютері.
Забезпечення безпеки універсального доступу.
Windows 7 надає відповідні елементи управління безпекою, тому користувачі в будь-який час з будь-якого місця можуть звертатися до даних, які необхідні для роботи. Поряд з повною підтримкою існуючих технологій (наприклад, захисту мережевого доступу) Windows 7 надає більш гнучкий брандмауер, підтримку безпеки DNS і абсолютно нову концепцію віддаленого доступу.
підтримка DNSSec
Наявність декількох активних політик брандмауера
Політика брандмауера в системі Windows Vista заснована на типі встановленого мережевого підключення: домашньому, робочому, загалом або доменному (цей тип є прихованим). Однак, якщо користувач, підключений до Інтернету через «домашню» мережа, використовує віртуальну приватну мережу для доступу в корпоративну, то це може створити серйозні проблеми безпеки. В такому випадку відповідні налаштування брандмауера для доступу до корпоративної мережі не можуть бути застосовані, оскільки тип мережі (і, отже, параметри брандмауера) вже було поставлено на основі першої мережі, до якої підключений користувач.
Windows 7 усуває цю проблему за рахунок підтримки декількох політик активного брандмауера, що дозволяють користувачам ПК отримувати і застосовувати інформацію у Вашому профілі брандмауера домену незалежно від інших мереж, до яких може бути підключений ПК. Завдяки цим можливостям, які відносяться до числа основних функцій, запитуваних корпоративними клієнтами, ІТ-фахівці можуть спростити політики підключення і безпеки, підтримуючи єдиний набір правил для віддалених клієнтів і для клієнтів, фізично підключених до корпоративної мережі.
Мал. 2. Брандмауер Windows
DirectAccess
Завдяки Windows 7 працювати поза офісом стає все простіше. За допомогою DirectAccess віддалені користувачі можуть звертатися до корпоративної мережі в будь-який час за наявності інтернет-з'єднання, без необхідності виконання додаткових дій по установці VPN-підключення. Це збільшує продуктивність співробітників. DirectAccess надає ІТ-фахівцям більш захищену і гнучку інфраструктуру корпоративної мережі для віддаленого поновлення призначених для користувача ПК і управління ними. DirectAccess спрощує управління ІТ-ресурсами за рахунок введення постійно керованої інфраструктури, в якій комп'ютери, що знаходяться в мережі і поза нею, підтримуються в працездатному і оновленому стані.
За допомогою DirectAccess ІТ-фахівці можуть більш точно контролювати мережеві ресурси, до яких звертаються користувачі. Наприклад, для управління доступом віддалених користувачів до додатків підприємства можна використовувати параметри групової політики. DirectAccess відокремлює інтернет-трафік від доступу до ресурсів внутрішньої мережі, тому користувачі можуть звертатися на загальнодоступні веб-сайти, не створюючи додатковий трафік в мережі підприємства.
Крім того, компонент DirectAccess підтримує галузеві стандарти (наприклад, протоколи IPv6 і IPsec), забезпечуючи захист і безпеку корпоративного обміну даними.
Захист користувачів та інфраструктури
Windows 7 забезпечує гнучку захист від шкідливих програм і вторгнень, тому користувачі можуть отримати потрібне співвідношення безпеки, контролю і продуктивності. Основними удосконаленнями системи безпеки є компонент AppLocker ™ і браузер Internet Explorer® 8, які забезпечують новий стандарт захисту операційної системи від вторгнення шкідливих програм в Windows 7.
Політики управління додатками в системі Windows 7 використовуються спільно із засобом AppLocker - гнучким і простим в управлінні механізмом, що дозволяє ІТ-фахівцям вказувати програми і компоненти, які можуть виконуватися на настільних системах. Крім того, користувачі отримують можливість працювати з додатками, установочними програмами і сценаріями, що підвищують їх продуктивність. В результаті ІТ-фахівці можуть провести в організації стандартизацію додатків, що забезпечує безпеку і сумісність, а також покращує продуктивність.
AppLocker надає прості та ефективні структури правил і вводить правила видавця: правила на основі цифрових підписів додатків. Правила видавця дозволяють створювати правила, які зберігаються після оновлення програм за рахунок можливості вказівки версії програми як атрибута. Наприклад, в організації можна створити правило, яке дозволяє виконання програми Acrobat Reader всіх версій пізніше 9.0, якщо вони підписані видавцем ПО Adobe. Коли компанія Adobe випустить оновлення програми Acrobat, його можна буде безпечно розгорнути, не створюючи ще одне правило для нової версії додатка.
Internet Explorer 8
Internet Explorer 8 забезпечує поліпшену захист від загроз безпеки і конфіденційності, включаючи можливість визначення ненадійних веб-сайтів і блокування завантаження шкідливих програм. Захист посилена завдяки можливості переглядати веб-сторінки без збереження даних на загальнодоступному комп'ютері, а також за рахунок розширеної настройки параметрів і контролю того, яким чином веб-сайти можуть відстежувати дії користувача. В Internet Explorer 8 поліпшена систему обмежень для елементів управління ActiveX ® і вдосконалено управління надбудовами. Веб-браузер має підвищену надійність, яка забезпечується функцією автоматизованого відновлення після збою і відновлення вкладок, а також розширеною підтримкою спеціальних можливостей.
Щороку губляться, крадуться або списуються сотні тисяч комп'ютерів, які не мають відповідних засобів безпеки. Однак проблема витоку даних не є винятковою проблемою апаратного обладнання. Повсюдне поширення USB-пристроїв флеш-пам'яті, електронної пошти, витік інформації - все це сприяє потраплянню даних в чужі руки.
Windows 7 містить технології захисту даних, доступні в Windows Vista: система підтримує шифровану файлову систему (EFS), вбудовану технологію служб управління правами Active Directory® і компоненти точного контролю USB-портів. Поряд з оновленими версіями цих технологій в Windows 7 представлено кілька значних удосконалень популярної технології шифрування диска BitLocker.
BitLocker і BitLocker To Go
Windows 7 вирішує все більш актуальну проблему витоку даних за допомогою можливостей управління і оновлень розгортання технології шифрування диска BitLocker і введенням нового засобу BitLocker To Go, що забезпечує поліпшену захист від розкриття і крадіжки даних за рахунок розширення підтримки BitLocker на знімні пристрої зберігання. Розширена підтримка BitLocker для томів даних FAT зачіпає широкий діапазон пристроїв і форматів дисків, включаючи USB флеш-пам'яті і знімні диски. Це дозволяє користувачам розгортати BitLocker при необхідності забезпечення захисту даних.
Мал. 4. Шифрування диска BitLocker
висновок
Створена на основі принципів безпеки Windows Vista®, ОС Windows 7 містить поліпшені функції безпеки, що дають користувачам впевненість в надійному захисті. Підприємства зможуть скористатися вдосконаленнями, призначеними для безпеки конфіденційних даних, для ефективного захисту від шкідливих програм і забезпечення безпечного універсального доступу до корпоративних ресурсів і даних. Споживачі можуть користуватися перевагами комп'ютерів та Інтернету, знаючи, що завдяки впровадженим в Windows 7 сучасним технологіям безпеки конфіденційність їх особистих даних знаходиться під захистом. Крім того, всі користувачі оцінять гнучкі та доступні параметри конфігурації системи безпеки Windows 7, за допомогою яких можна досягти балансу між безпекою та зручністю роботи.