Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Мастер настройки безопасности

Windows Server 2008 R2: Защитите свой Windows-сервер

Существует масса методов получения максимальной отдачи от различных функций безопасности Windows Server 2008 R2. Тему безопасности Windows Server 2008 R2 невозможно охватить одной статьей — для требуется объемная книга. Поэтому в этой статье я расскажу только о функциях и методах защиты, которые в первую очередь могут быть полезными вам.

При анализе безопасности в Windows Server 2008 R2 нужно учитывать две фазы: этапы предшествующие и следующие за развертыванием. Предварительный этап можно считать этапом планирования безопасности. Если вы планируете создать новый сервер, вы должны учесть ряд обстоятельств, которые надо рассмотреть до начала какого бы то ни было процесса установки.

Изоляция серверных ролей

Одна из главных задач планирования безопасности перед развертыванием — сокращение контактной зоны сервера. Принцип сокращения контактной зоны основывается на том предположении, что чем больше кода работает в системе, тем больше вероятность, что в нем найдется уязвимость, которой может воспользоваться хакер. Поэтому для сокращения контактной зоны нужно обеспечить, чтобы на сервера выполнялся только необходимый код.

Однако для максимизации защиты рекомендуется зайти немного дальше. В общем случае рекомендуется конфигурировать каждый сервер на выполнение одной конкретной задачи. Например, вместо того, чтобы запускать службы DNS и DHCP на машине, уже выполняющей роль файлового сервера, с точки зрения безопасности лучше устанавливать каждую роль на выделенном сервере. Это не только позволяет сократить контактную зону, но также упрощает устранение неполадок, потому что конфигурация серверов значительно проще.

Понятно, что иногда использования отдельных серверов для каждой роли непрактично из соображений экономии или функциональных требований. Но даже в таких обстоятельствах, всегда лучше по возможности изолировать серверные роли.

Дополнительную экономию средств на серверы можно получить за счет виртуализации серверов. Например, лицензия на редакцию Windows Server 2008 R2 Enterprise предусматривает возможность размещения до четырех виртуальных машин при условии, что на сервере установлена только роль Hyper-V.

Используйте ядро сервера

Другой тактикой сокращения контактной зоны сервера является установка ядра сервера. Ядро сервера представляет собой сильно сокращенный вариант Windows Server 2008 R2, который не содержит пользовательского графического интерфейса.

Так как на ядре сервера работает минимальное число системных служб, у него намного меньше контактная зона, чем у обычных экземпляров Windows-серверов. Ядро сервера также демонстрирует лучшую производительность. У ядра сервера минимальные затраты вычислительных ресурсов, что делает его идеальным для размещения в виде виртуальной машины.

К сожалению ядро сервера нельзя использовать для всех случаев, в которых используется нормальная версия Windows Server 2008 R2, потому что оно поддерживает только ограниченное число системных служб и серверных приложений. Таким образом использовать ядро сервера следует во всех случаях, когда это возможно, но нужно смириться с тем фактом, что оно сгодится не для всех ваших серверных задач — по крайней мере не сейчас.

Планирование групповых политик

Предшествующее развертыванию планирование безопасности важно, но после развертывания и запуска серверов процедуры по управлению безопасностью должны предусматривать планирование и управление групповыми политиками. Рекомендуется подумать о параметрах групповых политик до развертывания Windows. Политики также потребуется корректировать со временем вместе с развитием требований по безопасности.

Управлять параметрами групповых политик можно средствами, входящими в состав Windows Server 2008 R2, но Microsoft еще предлагает бесплатную утилиту, которая называется Security Compliance Manager (SCM) и позволяет упростить процесс управления. Процесс установки прост и предусматривает использование одного мастера. Просто не забудьте установить флажок, который заставит мастера проверить наличие обновлений.

После установки SCM его можно запустить из меню Пуск. При первом запуске утилита импортирует несколько пакетов с планами безопасности. Это может занять какое-то время.

После загрузки планов безопасности в дереве консоли вы увидите несколько категорий планов. Разверните контейнер Windows Server 2008 R2 SP1, чтобы увидеть планы для Windows Server 2008 R2. Microsoft предоставляет планы безопасности для нескольких серверных ролей (рис. 1).

Рис. 1. Security Compliance Manager предоставляет ряд планов безопасности для Windows Server 2008 R2

План безопасности представляет собой набор параметров групповых политик, которые считаются оптимальными для той или иной роли. Хотя планы безопасности соответствую рекомендациям Microsoft в области безопасности, слепо следовать им не стоит. В вашей организации могут быть совершенно иные, уникальные требования к безопасности. В общем случае, Microsoft рекомендует расширять стандартные планы безопасности в соответствии с этими требованиями.

Первым делом надо выбрать план безопасности, который соответствует конфигурируемой серверной роли. Затем щелкните ссылку Duplicate в панели Actions, чтобы скопировать план безопасности. Так вы сможете менять параметры, не опасаясь внести необратимые изменения в исходный план безопасности.

В открывшемся окне задайте имя своего нестандартного плана безопасности и щелкните Save. После этого вновь созданный план безопасности появится в разделе Custom Baselines в верху дерева консоли.

Выбрав свой план безопасности в дереве консоли, вы увидите все параметры безопасности в центральной панели консоли. Здесь перечислены рекомендуемые компанией Microsoft параметры по умолчанию, а также ваши пользовательские параметры (рис. 2). В исходном состоянии пользовательские параметры совпадают с заданными Microsoft. При внесении изменений они будут отображаться в столбце Customized.

Рис. 2. Выберите пользовательский план безопасности, чтобы увидеть его параметры.

Изменять отдельные параметры политик можно, дважды щелкнув нужную политики и задав новое значение (рис. 3). После внесения изменений щелкните ссылку Collapse, чтобы сохранить изменения. При этом измененные параметры будут выделены полужирным.

Рис. 3. Двойным щелчком параметр безопасности открывается для редактирования

По завершении настройки параметров безопасности и внесения необходимых изменений в планы безопасности нужно экспортировать получившийся план безопасности. Панель Actions содержит несколько вариантов экспорта.

Можно экспортировать план безопасности в электронную таблицу Excel. Это позволяет сохранить задокументированную копию параметров вашего плана безопасности независимо от SCM. Нужно также экспортировать параметры в резервную копию объекта групповой политики (GPO). Эту резервную копию можно использовать для импорта параметров плана безопасности в редактор групповых политик.

Для этого в редакторе групповых политик откройте политику безопасности, которую нужно изменить, щелкните правой кнопкой контейнер Security Settings и выберите Import Policy (рис. 4).

Рис. 4. Импорт параметров безопасности в редакторе групповых политик

Мастер настройки безопасности

Мастер настройки безопасности — также удобное средство защиты серверов под управлением Windows 2008 R2. Он по умолчанию устанавливается в составе Windows Server 2008 R2 и доступен в меню Administrative Tools. Как и SCM, мастер настройки безопасности предназначен для создания политик безопасности для различных серверных ролей, которые можно экспортировать на серверы вашей сети.

При запуске мастера вы увидите вводную страницу. Щелкните Next, чтобы открыть страницу, на которой предлагается указать, какое действие вы собираетесь выполнить. Можно открыть, редактировать или применить политику безопасности, также можно откатиться до последней политики безопасности.

Если вы хотите создать новую политику, мастер предложит указать имя или IP-адрес сервера, настройку которого следует использовать в качестве плана безопасности.

Щелкните Next несколько раз, чтобы перейти к странице, где нужно указать, какие роли будет выполнять сервер (рис. 5). Список ролей автоматически заполняется ролями, установленными на сервере, на основе которого вы собираетесь создавать новую политику. После этого можно вручную изменять список ролей.

Важно, чтобы список ролей содержал именно те роли, параметры которых вы собираетесь переносить на другие серверы. Параметры групповых политик, реестра и конфигурация брандмауэра будут копироваться с выбранных ролей.

Рис. 5. Выберите роли, которые будут установлены на целевых серверах

Щелкните Next, чтобы увидеть аналогичный список компонентов, установленных на сервере. И на этот раз важно, чтобы список компонентов был точным. Важно также заметить, что мастер настройки безопасности не устанавливает роли и компоненты, а только создает политики указанных вами установленных ролей и компонентов.

Читать еще:  Асинхронное программирование js

Формат следующих двух страниц похож на формат страниц для ролей и компонентов. На одной странице предлагается выбрать установленные компоненты (Installed Options), такие как удаленный рабочий стол (Remote Desktop) или удаленное управление томами (Remote Volume Management). На следующей странице спрашивается, не установлены ли дополнительные службы, такие как слуба дефрагментации дисков или Adobe Acrobat Update. В списке можно увидеть некоторые службы, не разработанные Microsoft, — их состав зависит от установленного на сервере ПО.

На следующей странице предлагается указать, что должно происходить, если при загрузке встретится не указанная в политике служба. Можно оставить тип запуска службы без изменений или заблокировать службу. На следующей странице вы увидите список служб, тип запуска которых будет изменен, — здесь нужно убедиться, что ни она из важных служб не будет отключена.

Далее мастер переходит к разделу безопасности сети. При необходимости можно пропустить этот шаг. Он предназначен для настройки брандмауэра Windows в соответствии с тем, как планируется использовать сервер. Этот раздел позволяет пересмотреть существующие правила брандмауэра или удалить ненужные правила.

Далее следует раздел реестра. В этом разделе мастер предлагает указать, должны ли операционная система компьютеров, подключающиеся к серверу, удовлетворять определенным минимальным требованиям. Здесь также проверяется, есть ли на сервере избыток вычислительных мощностей. Эти параметры конфигурации определяют, нужно ли включать сигнатуры безопасности SMB.

На других страницах предлагается указать, какие типы учетных записей используются, а также какие типы контроллеров домена имеются в сети. После получения всех ответов мастер показывает все изменения, которые предполагается внести в реестр.

Последний раздел перед сохранением политики безопасности — раздел аудита политики. Здесь предлагается ответить на один вопрос, касающийся общего отношении к аудиту. В частности предлагается указать, какие события должны подвергаться аудиту: успешные, успешные и неуспешные или никакие. Параметры политики аудита будут определены на основе этого выбора.

В конце работы мастера предлагается сохранить новую политику как XML-файл. Применить новую политику безопасности можно сразу или позже. Если вы решите применять ее не сразу, ее можно будет применить, повторно запустим мастер управления безопасностью и выбрав вариант Apply an Existing Security Policy (рис. 6).

Рис. 6. Средствами мастера управления безопасностью можно применить ранее созданную политику безопасности

В одной статье невозможно рассказать о всех возможностях безопасности Windows Server, но я описал самые важные. Основными средствами, которые позволяют организовать безопасность серверов, не прибегая к индивидуальной настройке отдельных параметров безопасности, являются мастер управления безопасностью и Security Compliance Manager.

Настройка параметров безопасности

Обзор

Настройки параметров безопасности — единое меню для настройки большинства параметров безопасности устройства. Настройки этой страницы, наряду с настройками Мастера настройки безопасности HP Jetdirect помогают улучшить уровень безопасности устройства.

Этот раздел справки дополняет страницу Настройки параметров безопасности. Он содержит объяснение настроек и связанные с ними рекомендации. Учтите, что не все сети работают одинаково и рекомендации даются для справки, чтобы дать пользователю возможность рассмотреть варианты.

ПРИМЕЧАНИЕ. Рекомендации HP, приведенные на этой странице, относятся к типовой корпоративной сети. Каждую из рекомендаций следует проверять на применимость к конкретной сети.

Нажмите кнопку Применить в нижней части страницы для завершения настройки. Настройка не будет завершена, пока вы не нажмете Применить.

В разделах ниже описываются соответствующие разделы страницы Настройки параметров безопасности устройства встроенного веб-сервера (EWS).

Пароль устройства

Пароль устройства помогает защитить устройство от несанкционированного доступа через удаленные приложения, такие как устройство EWS (это приложение). После настройки пароля устройства продукт не позволит изменять конфигурацию без ввода правильного пароля. Пароль устройства называется паролем администратора в некоторых приложениях.

Параметр Для вкладки «Информация» требуется административный доступ повышает уровень безопасности; если его включить, информация об устройстве будет недоступна пользователю без ввода пароля устройства (если он задан). Если этот параметр не включен, пользователь может осуществлять доступ к вкладке Информация без ввода пароля устройства (если он задан).

Мастер настройки безопасности Jetdirect также позволяет настроить пароль устройства (здесь он называется паролем администратора). Если первым делом вы запустили мастер настройки безопасности (в соответствии с рекомендациями) к этому моменту пароль устройства уже настроен.

Кроме того, в устройстве есть функция «Пароль EWS», доступная в некоторых приложениях. При настройке пароля устройства продукт синхронизирует его с паролем EWS.

Рекомендация: задайте пароль устройства, чтобы обеспечить контроль над конфигурацией.

Чтобы задать пароль устройства, введите 12 символов (или меньше) в поле Новый пароль и повторите ввод в поле Подтверждение пароля.

Чтобы изменить пароль, введите старый пароль в поле Старый пароль и новый пароль в поля Новый пароль и Подтверждение пароля.

Чтобы отключить пароль устройства, введите старый пароль в поле Старый пароль и оставьте поля Новый пароль и Подтверждение пароля пустыми.

Пароль PJL

Функция «Пароль PJL» помогает защитить устройство от несанкционированной конфигурации посредством команд языка PJL (Print Job Language). Она не влияет на обычные задания печати. После настройки пароля PJL устройство будет требовать ввода этого пароля перед обработкой команд PJL.

Рекомендация: функция «Пароль PJL» отличается от функции отключения дискового доступа PJL (другая настройка страницы безопасности EWS). Для лучшего уровня безопасности задайте обе настройки.

Чтобы задать пароль PJL, введите любое число между 1 и 2147483647 в поле Новый пароль и повторите ввод в поле Подтверждение пароля.

Чтобы изменить пароль, введите старый пароль в поле Старый пароль и новый пароль в поля Новый пароль и Подтверждение пароля.

Чтобы отключить пароль устройства, введите старый пароль в поле Старый пароль и оставьте поля Новый пароль и Подтверждение пароля пустыми.

Пароль файловой системы

Пароль файловой системы помогает защитить устройства хранения данных продукта от несанкционированного доступа. После задания пароля файловой системы устройство потребует этот пароль при попытке настройки функций, влияющих на систему хранения данных. В числе таких функций режим стирания файлов, безопасное стирание данных и доступ к файловой системе.

Рекомендация: настройте пароль файловой системы, чтобы обеспечить улучшенный контроль доступа к файловой системе.

Чтобы задать пароль файловой системы, введите 8 символов (или меньше) в поле Новый пароль и повторите ввод в поле Подтверждение пароля.

Чтобы изменить пароль, введите старый пароль в поле Старый пароль и новый пароль в поля Новый пароль и Подтверждение пароля.

Чтобы отключить пароль устройства, введите старый пароль в поле Старый пароль и оставьте поля Новый пароль и Подтверждение пароля пустыми.

Настройки доступа к файловой системе

Настройки доступа к файловой системе позволяют отключить многие точки доступа к системе хранения данных устройства. Эти точки доступа относятся к разным областям использования устройства. Некоторые из них являются функциями устройства, другие нет. См. рекомендации ниже.

Если вы задали пароль файловой системы, устройство запросит его перед изменением настроек файловой системы.

Рекомендация: корпорация HP рекомендует отключить функции Доступ к диску PJL, Доступ к диску SNMP и Доступ к диску NFS. Эти точки доступа предназначены для добавления и удаления файлов в устройствах хранения, но они не требуются для обычных операций устройства, таких как печать, копирование, факс и цифровая отправка.

Корпорация HP рекомендует включить (выбрать) функцию Доступ к диску PS. Это даст пользователям возможность печатать файлы PS-типа.

ПРИМЕЧАНИЕ. Имейте в виду, что некоторые сетевые процессы могут использовать эти точки доступа. Например, некоторым приложениям Norton необходим доступ через NFS. Таким образом не следует отключать доступ через NFS, если он используется в вашей сети.

Режим стирания файлов

Режим стирания определяет уровень безопасности удаления файлов с устройств хранения.

Доступно три уровня безопасности удаления файлов:

  • Небезопасное быстрое стирание — самый быстрый метод, стирание файлов путем удаления их идентификаторов;
  • Безопасное быстрое стирание — более медленный метод, стирание файлов путем записи случайных символов поверх данных;
  • Безопасная санация — самый медленный метод, стирание файлов сопровождается троекратной перезаписью данных.
Читать еще:  Учить язык программирования c

Рекомендация: корпорация HP рекомендует метод Безопасное быстрое стирание, так как он относительно быстр, но предоставляет эффективное стирание данных, обеспечивая приемлемый уровень безопасности. Если в вашей сети необходим более высокий уровень безопасности (например для соответствия требованиям Министерства обороны), необходимо выбрать метод Безопасная санация.

ПРИМЕЧАНИЕ. Настройка Режим стирания файлов будет доступна только после задания пароля файловой системы.

Блокировка панели управления

Функция блокировки панели управления поддерживает три режима работы, подразумевающих блокировку различных меню панели управления.

  • Без блокировки — обеспечивает доступ ко всем настройкам.
  • Минимальная блокировка меню — блокируются только системные настройки, влияющие на работу устройства в сети.
  • Средняя блокировка меню — блокируется все меню настроек, за исключением меню настроек отдельных заданий.
  • Расширенная блокировка меню — блокируются меню обработки бумаги и все меню настроек, за исключением меню настроек отдельных заданий.
  • Максимальная блокировка меню — блокируется все меню настроек.

Рекомендация: корпорация HP рекомендует выбрать параметр Средняя блокировка меню. Это позволит пользователям работать с их собственными заданиями, но запретит вмешиваться в задания других пользователей.

ПРИМЕЧАНИЕ. После блокировки доступа к панели управления, доступ к заблокированным функциям из панели управления будет невозможен. Устройство не предлагает способ авторизованного использования заблокированных настроек.

Параметры домашней страницы (встроенного веб-сервера)

Параметры EWS позволяют определить некоторые настройки, доступные на странице EWS по умолчанию. Некоторые параметры позволяют пользователям управлять заданиями других людей или даже удалять их.

Рекомендация: компания HP рекомендует отключить все эти функции, кроме Страница печати. Страница печати позволяет пользователям печатать документы через EWS. Отключение других функций позволит предотвратить несанкционированный доступ к пользователей к устройству.

Параметры услуг

Устройство поддерживает различные службы, которые могут работать удаленно или непосредственно на устройство. Имейте в виду, что авторизованный администратор может включать службы, необходимые для работы, и отключать их.

Рекомендация: корпорация HP рекомендует отключить все функции, кроме Хранения задания, если эти функции не требуются приложениям в вашей сети. Например, в некоторые сетевые приложения предоставляют возможности печати документооборота, которые могут понадобиться пользователю.

Эти параметры, предназначены для удобства использования и для некоторых типов сетевых приложений, которые помогают в управление.

  • Удаленное обновление микропрограммы — эта служба позволяет администратору использовать пользовательское приложение для удаленного обновления микропрограммы устройства. Так как корпорация HP рекомендует использование приложения HP Web Jetadmin для обновления устройства, функцию Удаленное обновление микропрограммы следует отключить.
  • Загрузка служб — эта функция позволяет администратору устанавливать приложения, работающие непосредственно на устройстве. Многие из этих приложений предлагают новые функциональные возможности. Корпорация HP рекомендует отключить функцию Загрузка служб, если вы не используете подобные приложения.
  • Хранение заданий эта функция предлагает различные варианты хранения заданий, такие как «Личное задание» и «Отложенное задание». Пользователи должны подтвердить свое присутствие во время печати, чтобы гарантировать конфиденциальность документов в выходных приемниках устройства. Корпорация HP рекомендует включить Хранение заданий.
  • Время ожидания для отложенного задания эта функция является частью функции Хранение заданий. Оно ограничивает период хранения отложенных заданий заданным промежутком времени, по истечение которого задание удаляется. Для этой настройки необходимо выбрать разумное значение времени ожидания, которое даст пользователю достаточно времени, чтобы прийти к устройству и напечатать задание, а также обеспечит оперативную печать заданий в очереди.

Прямые порты (USB/IEEE 1284)

Функция Прямые порты позволяет заблокировать прямые подключения (параллельный порт и USB-порт). Блокировка этих портов делает невозможным прямое подключение компьютера к устройству. Это ограничивает доступ к устройству сетевым подключением.

Рекомендация: отключите прямые порты, чтобы ограничить доступ к конфигурации.

Отслеживание расхода печати

Функция отслеживания расхода печати позволяет изменить способ подсчета страниц на устройстве. Новый метод подсчета страниц более приспособлен для сегодняшних задач. Однако после включения нового метода подсчета страниц невозможно вернуться к старому.

Рекомендация: Поскольку переход на новый метод подсчета является необратимым, корпорация HP настоятельно рекомендует внимательно прочитать условия, представленные в этом разделе, прежде чем включать эту функцию на устройстве. Для получения более подробной информации о переходе следуйте инструкциям, приведенным в этом тексте данного раздела.

Следуйте инструкции, чтобы включить функцию «Отслеживание расхода печати».

1. Выберите параметр Принять.

2. Отметьте флажком параметр Включить отслеживание расхода печати на устройстве.

3. Чтобы изменения вступили в силу, нажмите кнопку Применить.

Применение настроек

Настройки на этой странице применяются к устройству после нажатия кнопки Применить в нижней части экрана. Можно применить настройки по мере их изменения, или применить все настройки единовременно. Нажмите Отмена, чтобы отменить изменения.

ПРИМЕЧАНИЕ. Ни одна из заданных настроек не будет применена к устройству, пока вы не нажмете кнопку Применить.

Как настроить безопасность вашего компьютера?

Безопасность компьютера вопрос, который наверняка хотя бы раз интересовал каждого. Но не каждый умеет своевременно и грамотно защитить свою технику. Потому этот вопрос заслуживает более детального рассмотрения.

Обновление Виндовс

Стандартный сценарий по обновлениям игнорировать специалисты не рекомендуют. Вместе с конкретными апдейтами чаще всего появляются компоненты, способствующие совершенствованию системы безопасности.

Этот процесс затрагивает и приложения, которыми мы пользуемся чаще всего. Такое решение увеличивает устойчивость к вредоносным файлам. Включить безопасность Windows просто.

Главное – следить за всеми компонентами ПО, установленными на компьютере. Разработчики, прежде всего, заботятся именно о системе безопасности, где и исправляют большую часть ошибок.

Эта проблема особенно актуальна для браузеров и торрентов, загружающих посторонние файлы. Мастер Программ – один из незаменимых помощников в поиске обновлений.

Шифрование данных BitLocker

Дополнительный уровень шифрования помогает защищать важные папки и файлы. BitLocker, технология EFS – решения, помогающие справиться с этой проблемой. Каждая система снабжается этими инструментами, не требуется никаких дополнительных установок.

Сначала щёлкаем правой кнопкой мышки по файлу или папке. Выбираем вкладку со Свойствами, идём в Общие, в раздел Дополнительно. Там появится опция, позволяющая шифровать данные, включить безопасность Windows.

BitLocker найти ещё проще, достаточно ввести название утилиты в командной строке. Она позволяет шифровать как отдельные данные, так и целые жёсткие диски.

Шифрование проводится несколькими способами:

Эти программы помогают защитить данные даже во время хакерских атак.

Учётные записи пользователей

В любой версии Windows легко сменить тип учётной записи, которая была создана ранее. Это позволяет расширить права пользователя, либо их сократить. Обычная запись может стать административной, доступно и преобразование в обратном порядке.

Нам сначала надо зайти в центр управления учётными записями.

Перед нами появится окно, где и можно легко работать с учётными записями.

Создание второго администратора

Если есть только одна учётная запись, понижение прав до обычного уровня недопустимо без сложных шагов. Система требует наличия хотя бы одного администратора. Потому создаём новый профиль, привязывая к нему административные права. Параметры безопасности требуют дополнительной настройки.

Переходим к меню с контекстом, выбираем нового пользователя. Далее потребуется указать пароль и имя. Галочкой отмечаем строчку с надписью, где сообщается о неограниченном сроке действия пароля. Нажимаем кнопку, создающую новый вариант.

Обычные пользовательские права, по умолчанию, даются любой сгенерированной учётной записи. В свойствах находим вкладку членства в группах, потом нажимаем на добавление — такой путь надо пройти для предоставления расширенных возможностей.

Надо указать «администраторы» в строке, где требуют ввести имя объекта. Параметры безопасности почти установлены.

Ограничение прав основного пользователя

Задачу можно решить примерно теми же действиями, что уже были описаны выше. Только надо урезать права старой учётной административной записи. Достаточно удалить профиль из соответствующей группы. Перезагрузка компьютера позволит изменениям окончательно вступить в силу.

Сохраняются сведения по всем программам и настройкам. Но права пользователей остаются ограниченными. Для новых изменений требуется новая учётная запись с администраторскими правами.

Читать еще:  Что такое аргумент в программировании

Как присвоить права заново?

Изменение системных настроек невозможно для рядовых пользователей. Значок сине-жёлтого цвета – сигнализатор для Windows 7. Он обозначает, что для доступа к каким пунктам меню нужны права администратора. При ограничении в правах нельзя решать даже некоторые из повседневных задач. Это касается установки драйверов, к примеру.

Не обязательно снижать безопасность Windows для расширения своих прав. Можно тонко настраивать возможности для разных групп пользователей, пользуясь специальными инструментами. Чтобы найти раздел, придётся пройти такой путь:

Например, другим пользователям можно разрешать подключать сторонние устройства и проводить дефрагментацию жёстких дисков.

Система безопасности Windows

User Account Control – утилита для переходов между административными и простыми пользовательскими правами. Выход версии Windows Vista сопровождался добавлением этого компонента к другим.

Он необходим для того, чтобы вредоносные компоненты не оказывали на систему влияния. И чтобы ошибки пользователя не имели слишком неприятных последствий.

Как работает этот инструмент? В его устройстве нет ничего сложного. При запуске программ, меняющих систему, не обойтись без подтверждения шагов, требующих административных прав. При их отсутствии работа в приложении прекращается.

Многие пользователи отключили функцию из-за частых запросов со стороны утилиты. Благодаря версии Windows 7 теперь можно выбирать, в каком режиме функционирует система. Достаточно пройти путь:

Начинаем с пуска и панели, ответственной за управление – идём к пользовательским учётным записям – начинаем менять параметры по контролю этих записей.

Зависимость безопасности от локальных дисков с содержимым

Файлы и папки, жёсткие и диски и разделы – безопасность обеспечивается для любых компонентов в системе Windows. Это особенно актуально, если требуется защита для особо важных файлов, в том числе, от случайного удаления.

Сначала надо выбрать пункт со Свойствами. Вкладка Безопасность содержит два компонента – пункт «Дополнительно» и «Изменить».

Как работать с брандмауэром?

Стандартная версия этого инструмента появилась ещё в Windows XP. Но в последующих версиях компонент претерпел серьёзные изменения. Главное отличие – в том, что теперь он следит не только за исходящим, но и за входящим трафиком.

Есть два наиболее распространённых способа для настройки. Например, можно использовать мастера настройки программы. Есть ещё так называемый режим с повышенной безопасностью.

Последний вариант позволяет выбрать любые настройки для работы Брэндмауэра. Это касается, в том числе, выбора профиля и придания ему определённых свойств. Настраивать можно списки и программы, службы. Можно указать элементы, для которых работу в интернете блокировать не нужно. Доступен и просмотр статистики.

Настройки брандмауэра

Настройки можно найти в реестре. В котором есть папки со следующими разделами, увеличивающие безопасность вашего компьютера.

  • С параметрами метода проверки подлинности по протоколу IPSec. Это методы по первой и второй фазам.
  • Защита в быстром режиме с использованием протокола.
  • Со сведениями о службах, для которых доступ к сети запретили. И об обмене ключами в основном протоколе.
  • С параметрами строкового типа.

Заботимся о безопасности, работая в интернете

Именно Интернет остаётся одним из главных источников опасности для компьютера. Не только для новичков, но и для опытных пользователей. Слабым местом становится любой браузер, если пользоваться им без должных навыков. Потому одна из самых актуальных задач на сегодня для тех, кого волнует безопасность вашего компьютера – именно защита программного обеспечения от вредоносных компонентов, которые попадают через браузеры.

Удобный инструмент для расширения функциональности – так называемые расширения в браузерах. Но вредоносное ПО зачастую использует и эту форму для проникновения в чужие сети и компьютерные средства. Потому нужно контролировать расширения в браузере, чтобы защитить себя от этой угрозы. Благодаря контролю можно отключить все элементы расширений, установленные ранее.

Достаточно зайти в свойства, чтобы найти нужный инструмент. Он позволит настроить безопасность для работы во многих зонах Всемирной Паутины. Например, можно выбрать целый набор параметров по защите в автоматическом режиме. Соответствующий раздел выделяется красным цветом, чтобы пользователи ничего не перепутали и поняли, какая именно часть панели поможет им решить заданную задачу. Кроме того, надо помнить о настройках, которые позволяют очистить историю просмотров и кэш. Это важное средство.

Обеспечение безопасности требует серьёзного и комплексного подхода. Это уменьшит вероятность проникновения посторонних файлов, способных повредить операционную систему. Главное – не забывать о каждом инструменте. Рекомендуется установить и антивирусные комплексы.

Дополнительные параметры

На этой странице мастера настройки Internet Explorer 7, в зависимости от роли пользователя, можно задать для организации параметры различных аспектов компьютеров пользователей, в том числе рабочий стол, операционную систему и параметры безопасности. Если установлена корпоративная версия пакета администрирования Internet Explorer (IEAK 7), после разворачивания пользовательского пакета можно обновить эти параметры в Дополнительные параметры в диспетчере профилей IEAK.

Для работы с этими параметрами выполните следующие действия.

Дважды щелкните каждую категорию, чтобы отобразить параметры.

Щелкните политику или ограничение работы.

Установите или снимите соответствующие флажки.

Неизмененный конкретный параметр политики не будет учитываться. Однако, чтобы задать явное принудительное отсутствие параметра, необходимо включить его (установив соответствующий флажок), щелкнуть Назад, Далее, а затем снять флажок.

Можно настроить только ограниченный набор этих параметров для пользователей без учетных данных администратора на компьютерах, работающих под управлением операционных систем Windows NT, Windows 2000 или Windows XP. Для настройки остальных политик и ограничений для этих пользователей следует использовать редактор политики Windows NT, Windows 2000 или групповую политику Windows XP. Кроме того, на компьютерах под управлением Windows Vista для полного управления политиками следует использовать вкладку «Групповая политика», а не «Дополнительные параметры».

Отображаемые в мастере настройки Internet Explorer 7 параметры содержатся в файлах администрирования (с расширением ADM), которые поставляются вместе с пакетом администрирования Internet Explorer 7 (IEAK 7) и расположены в папках по адресу :Program FilesMicrosoft IEAK 7policies. Мастер также можно использовать для настройки параметров, установленных пользователем в собственных ADM-файлах. Сделанные изменения сохраняются как INS-файлы. INS-файлы используются для сборки INS-файлов пользовательского пакета.

В IEAK 7 все ADM-файлы, как и ADM-парсер, имеют кодировку Юникод. Это означает, что в данной версии IEAK нельзя использовать созданные ранее ADM-файлы с кодировкой ANSI. Если поместить ADM-файлы в кодировке ANSI в папку по адресу :Program FilesMicrosoft IEAK 7policies к остальным ADM-файлам, диспетчер профилей IEAK перестанет реагировать на системные запросы.

Пользовательские параметры можно сохранить в центральный ресурс сети и сделать доступными для пользователей, которые входят в сеть с разных компьютеров. Это может оказаться полезным, например, для пользователя, которому требуются низкие параметры безопасности, но использующего компьютер, за которым обычно работает пользователь с более жесткими ограничениями.

Настройка параметров безопасности

Следует понимать влияние параметров безопасности на пользователей, особенно если среди них есть перемещающиеся пользователи, которые делят компьютеры с другими пользователями. Можно настроить параметры безопасности трех типичных уровней.

    Управлять всеми параметрами или заблокировать их.

Управлять пользовательскими параметрами, разрешая загрузку профилей перемещающихся пользователей. Можно сделать изменение параметров недоступным, не блокируя профили перемещающихся пользователей. Функция перемещающегося пользователя Windows позволяет пользователям загружать свои параметры с сервера.

Настроить начальные параметры, но разрешить пользователям изменять их.

Чтобы настроить параметры безопасности, выполните следующие действия.

Дважды щелкните Ограничения организации и выберите Страница безопасности.

Установите флажок Использовать только параметры компьютера для зон безопасности.

Дважды щелкните Ограничения организации и выберите Страница безопасности.

Установите флажок Не разрешать пользователям изменять политики для любых зон безопасности.

Дважды щелкните Ограничения организации и выберите Страница безопасности.

Установите флажок Не разрешать пользователям добавлять или удалять веб-узлы в зонах безопасности.

Узел Ограничения организации не применяется к Windows Vista. Параметры в этой области – только для компьютеров с Windows XP и Windows Server 2003.

Дополнительные ссылки

  • Дополнительные сведения об этом этапе мастера настройки Internet Explorer 7 см. в пунктеЭтап 5. Дополнительные настройки.

Ссылка на основную публикацию
Adblock
detector