Несколько лет назад председатель правления корпорации Майкрософт (и затем главный архитектор по программному обеспечению) Билл Гейтс призвал своих сотрудников к тому, чтобы сделать надежность вычислительной среды наивысшим приоритетом компании. Наряду с этим объявлением в практику разработки ПО в компании Майкрософт был внедрен ряд перемен.
Windows Vista ™ – первая операционная система, полностью разработанная согласно рекомендациям программы «Жизненный цикл разработки безопасности» (SDL). Эта программа регламентирует процесс разработки, направленный на обеспечение безопасности, и имеет целью внедрить безопасность в самую сущность проектирования ПО; и все широко используемые продукты Майкрософт должны следовать этим рекомендациям. (Для получения дополнительной информации об SDL прочтите книгу The Security Development Lifecycle, авторы Майкл Говард (Michael Howard) и Стив Липнер (Steve Lipner), издательство Microsoft Press®, 2006).
Также Windows Vista включает в себя новые или модернизированные встроенные технологии безопасности, которые активно работают с целью обнаружения и предотвращения угроз для безопасности. Все эти изменения означают, что Windows Vista является самой безопасной версией системы Windows ® на сегодняшний день. В этой статье мы обсудим новый компонент безопасности в составе Панели управления – Security Center/Центр безопасности Windows и такие встроенные средства защиты как Windows Defender/Защитник Windows, Windows Firewall/Брэндмауэр Windows, и User Account Control/Управление учетной записью пользователя (UAC).
Панель управления безопасности Когда вы откроете панель управления в Windows Vista, то увидите, что она организована в виде десяти функциональных областей, и большинство компонентов безопасности связаны с областями Безопасность, Программы, Сеть и Интернет. Чтобы получить доступ ко многим из новых технологий безопасности, которые защищают вас в Windows Vista, можно использовать компонент Security/Безопасность, как показано на Рисунке 1.
Технологии безопасности в Windows XP
Функция Описание (рис. 1)
Центр безопасности
Проверить обновления; проверить статус безопасности; включить автоматические обновления; проверить статус брэндмауэра; затребовать ввод пароля при включении.
Брэндмауэр Windows
Включить и выключить брэндмауэр Windows; позволить программе работать через брэндмауэр Windows.
Сканировать на наличие «шпионского» и другого потенциально нежелательного ПО.
Параметры Интернет
Изменить параметры безопасности; удалить cookies; очистить историю.
Родительский контроль
Установить родительский контроль для любого пользователя; просмотреть отчеты о действиях.
Протокол BitLocker Drive Encryption
Включить BitLocker Drive Encryption.
Также вы можете проверить Windows Updates/Обновления Windows, включить систему кодирования файлов BitLocker ™ Drive Encryption, удалить файлы cookies, очистить историю и установить пароль, чтобы ваш компьютер запрашивал ввод пароля при включении.
Апплет Безопасность также позволяет получить доступ к Центру безопасности (Security Center)где собраны воедино все функции, позволяющие вам управлять и проверять настройки безопасности вашего компьютера и встроенных средств защиты).
Централизованное управление безопасностью До включения Центра безопасности в состав Windows Service Pack XP 2 (SP2) настройка всех параметров безопасности Windows была нелегким делом. Теперь же Центр безопасности – это единое место, из которого можно управлять всеми важными параметрами безопасности Windows, и этот компонент еще более полезен в Windows Vista.
Центр безопасности Windows работает в фоновом режиме и активно контролирует четыре категории функциональности, как показано на Рисунке 2: Брэндмауэр, Автоматические обновления, Защита от вредоносных программ (вирусов и шпионящего ПО) и Другие параметры безопасности (Интернет и Управление учетной записью пользователя).
Рисунок 2 Управление параметрами безопасности из единого центра
Центр безопасности Windows позволяет увидеть, какая программа работает в качестве межсетевого экрана на вашем компьютере, или в качестве антишпионского и антивирусного решения. Также здесь можно проверить состояние брэндмауэра, автоматические обновления и настройки учетных записей пользователей. Центр безопасности Windows уникален в том, что он контролирует статус сторонних приложений, в дополнение к встроенным технологиям Windows. Он проверяет следующее:
- Установлен ли брэндмауэр и включен ли он. - Установлена ли антивирусная программа, обновлена ли ее база данных и включено ли сканирование в реальном времени. - Установлена ли антишпионская программа, обновлена ли ее база данных и включено ли сканирование в реальном времени.
Центр безопасности Windows использует два метода для обнаружения сторонней антивирусной программы или брэндмауэра. В ручном режиме Центр безопасности Windows ищет разделы реестра и файлы, которые позволяют ему обнаружить статус программного обеспечения. Также он опрашивает провайдеров Инструментария управления Windows (WMI, Windows Management Instrumentation), которые создаются независимыми разработчиками, участниками программы безопасности, и возвращают при опросе состояние функций. Это означает, что вы можете использовать антивирусные, антишпионские решения и брэндмауэры, которые разработаны не в Майкрософт, и при этом использовать Центр безопасности Windows для управления и защиты своего компьютера.
Центром безопасности Windows можно управлять с помощью Group Policies/Групповых политик. По умолчанию эта функция отключена в доменных средах. Чтобы включить Центр безопасности Windows, перейдите к узлу Computer Configuration\Administrative Templates\Windows Components\Security Center (Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Центр безопасности). Здесь следует включить политику Turn on Security Center/Включить центр безопасности (только для компьютеров домена).
Центр безопасности Windows также контролирует состояние параметров UAC и параметры безопасности для Интернет. Управление учетной записью пользователя позволяет вам использовать свой компьютер с правами стандартного пользователя, а не администратора, что более безопасно. Если вы работаете как стандартный пользователь, то любые изменения, сделанные вами, не смогут затронуть всю систему, и любое установленное вами программное обеспечение сможет нанести только ограниченный вред.
В Windows Vista, если вы работаете как стандартный пользователь на компьютере, который не является частью домена, и при этом какая-нибудь программа собирается выполнить действие, затрагивающее всю систему, ОС выдаст запрос на ввод пароля учетной записи администратора. Если же вы работаете как администратор, Windows Vista выдаст запрос на разрешение выполнить действие в рамках всей системы, и, таким образом, поставит вас в известность (и получит ваше согласие) о действии, прежде чем оно будет выполнено.
В доменной среде служба UAC управляется Групповыми политиками. Если ваш компьютер не является частью домена, UAC управляется Локальной политикой безопасности (Local Security Policy). Параметры политик находятся по пути: Computer Configuration\System Settings\Local Policies\Security Options (Конфигурация компьютера\Параметры системы\Локальные политики\Параметры безопасности) в редакторе Локальной политики безопасности или в редакторе Групповых политик. Редактор Локальной политики безопасности находится в Панели управления, внутри компонентов System and Maintenance | Administrative Tools (Система и обслуживание | Администрирование).
Как показано на Рисунке 3, Центр безопасности Windows контролирует ряд параметров безопасности Интернет.
Параметры безопасности Интернет Центр безопасности Windows управляет этими параметрами Интернет (рис. 3.):
Загрузить подписанные элементы управления ActiveX
Загрузить неподписанные элементы управления ActiveX
Инициализировать скрипты и элементы управления ActiveX, которые не отмечены как безопасные для написания сценариев
Инсталляция компонентов настольного ПК
Запуск приложений и небезопасных файлов
Запуск программ и файлов в IFRAME
Разрешения каналов ПО
Если параметр изменяется на состояние, которое не безопасно, диалог Internet Properties/Свойства Интернета выдаст сообщение "Your security settings put your computer at risk" (Компьютер подвержен повышенному риску), и на панели информации Internet Explorer® появится сообщение "Your current security settings put your computer at risk" (Текущая настройка безопасности подвергает компьютер повышенному риску). Нажмите здесь, чтобы изменить ваши параметры безопасности…" Центр безопасности Windows также уведомит вас, что «Вы не используете рекомендованные параметры безопасности». Если вы откроете диалог Параметры безопасности Интернет, то небезопасные параметры будут выделены красным цветом (см. Рисунок 4).
Центр безопасности Windows может привести небезопасные параметры безопасности к безопасному состоянию. Это можно сделать, щелкнув на команде “Restore my Internet security settings now” (Восстановить мои параметры безопасности Интернет сейчас), как показано на Рисунке 5.
Рисунок 5 Устранение рискованного параметра
Защитник Windows Руткиты, трояны, "шпионское" ПО и другие вредоносные программы стали огромной проблемой. Они подвергают вашу информацию опасности, снижают производительность компьютера и могут вызвать сбои системы. В 2004 г. корпорация Майкрософт приобретала компанию Giant Software, с целью защитить своих пользователей при помощи технологий защиты от «шпионского» ПО. Эти новые технологиb теперь встроена в систему Windows Vista под названием Windows Defender/Защитник Windows (его также можно загрузить и для Windows XP).
После установки Windows Vista вам не придется немедленно менять параметры Защитника Windows. Так как Защитник Windows изначально сконфигурирован так, чтобы обеспечить максимальную безопасность с минимальным количеством прерываний, вы можете сосредоточиться на работе с компьютером, а не на его защите. Защитник Windows обеспечивает защиту в реальном времени с самого момента запуска компьютера; он ежесуточно, приблизительно в 2 часа ночи, автоматически проверит и загрузит обновленные определения "шпионского" ПО, и автоматически удалит все риски с высоким уровнем угроз. Вы можете корректировать параметры защиты, выбрав Tools | General Settings (Сервис | Общие параметры) в Защитнике Windows.
Защита в режиме реального времени означает, что Защитник Windows постоянно и внимательно наблюдает за подозрительным поведением любых программ на вашем компьютере. Он использует девять агентов безопасности, перечисленных на Рисунке 6, которые контролируют различные части системы на наличие такого поведения прикладных программ, которое свойственно «шпионскому» ПО. Взятые все вместе, агенты безопасности Защитника Windows контролируют почти все обычные точки входа "шпионского" ПО.
Агенты безопасности Защитника Windows
Агент Управляет (рис. 6.)
Настройка Internet Explorer
Параметры безопасности браузера.
Загрузки Internet Explorer
Приложения, которые работают с Internet Explorer, такие как элементы управления ActiveX и программы инсталляции ПО.
Дополнения к Internet Explorer (объекты модуля поддержки браузера)
Приложения, которые запускаются автоматически при запуске Internet Explorer.
Автозапуск
Приложения, которые запускаются при запуске Windows, включая приложения, которые запускаются через реестр и папку Автозагрузка Windows.
Настройка системы
Параметры, связанные с безопасностью в Windows.
Службы и драйверы
Службы и драйверы, и их взаимодействие с Windows и приложениями.
Дополнения к Windows
Программы-утилиты, встраиваемые в Windows.
Выполнение приложений
Запуск и выполнение приложений.
Регистрация приложений (API hooks)
Файлы и инструменты в операционной системе, где приложения могут запускаться сами.
Ответ на угрозу Защитник Windows извещает вас, когда находит потенциально нежелательное программное обеспечение или обнаруживает подозрительное поведение. Когда происходит безвредное (низкий уровень угрозы) изменение, Защитник Windows сообщает об этом, отображая восклицательный знак на панели задач. Для более серьезных угроз (среднего или высокого уровня), Защитник Windows отображает желтый или красный диалог в зависимости от уровня угрозы, как показано на Рисунке 7. Эти виды угроз требуют немедленного ответа.
Рисунок 7 Красный цвет означает наличие угрозы высокого уровня
Все действия, выполняемые Защитником Windows, заносятся в Журнал событий системы, где в качестве источника указано "Защитник Windows". Такие действия включают в себя обновления определений, сканирования и удаления "шпионского" ПО.
Предупреждения об угрозах Защитника Windows образуют некую структуру и вы можете поработать с ней. Может быть перечислено несколько угроз в списке, и вы можете выбрать, отвечать ли на все угрозы ("Удалить все") в диалоге предупреждения об угрозах. Также вы можете настроить предупреждения об угрозах так, чтобы реагировать по-разному, в зависимости от вида неклассифицированных угроз и известных программ, которым разрешено выполняться. Чтобы настроить предупреждения об угрозах, откройте окно Защитник Windows и щелкните на Tools | Options (Сервис | Параметры). Прокрутите окно вниз до "Real-time protection options" (Параметры защиты в режиме реального времени) и выберите, должен ли Защитник Windows уведомлять вас о программах, которые еще не были классифицированы по уровню риска, и об изменениях, выполненных на вашем компьютере программами, которым разрешено выполняться.
Отметим, что, если приложение, которое вы создали или используете, неправильно классифицируется Защитником Windows, вы можете заполнить форму-претензию разработчика по адресу microsoft.com/athome/security/spyware/software/isv/cdform.aspx. Если приложение ошибочно принимается за "шпионское" ПО, вы можете сообщить о ложной тревоге по адресу microsoft.com/athome/security/spyware/software/isv/fpform.aspx.
Защита по требованию
Защитник Windows тщательно следит за потенциально нежелательным программным обеспечением, но вы также можете сами запустить сканирование на наличие "шпионского" ПО всякий раз, когда полагаете, что это необходимо. Защитник Windows предлагает три типа сканирований:
- Быстрое сканирование быстро проверяет места на вашем компьютере, которые, наиболее вероятно, могут быть заражены "шпионским" ПО. - Полное сканирование проверяет все файлы на вашем жестком диске, запущенные приложения, реестр и другие места. - Настраиваемое сканирование позволяет вам сканировать определенные файлы или папки; оно автоматически запускает быстрое сканирование при старте. - Чтобы инициировать сканирование, запустите Защитника Windows и щелкните на стрелке "вниз" рядом с кнопкой Scan; затем выберите тип сканирования, как показано на Рисунке 8.
Рисунок 8 Выбор типа сканирования
Когда Защитник Windows обнаруживает угрозу во время сканирования, он отображает описание угрозы и действия, которые вы можете выполнить, чтобы ликвидировать эту угрозу. По умолчанию он отображает наилучшее действие в данной ситуации. Если найдено несколько угроз, вы можете выбрать ответы на них и применить их все вместе, щелкнув на кнопке Apply Actions/Применить действия, или вы можете удалить все угрозы, щелкнув на кнопке Remove All/Удалить все. Можно выбрать следующие действия:
- Remove/Удалить – удалить угрозу из системы полностью. - Ignore/Игнорировать – игнорировать угрозу. При сканировании в следующий раз Защитник Windows обнаружит эту угрозу снова. - Quarantine/Карантин – временно отключает угрозу. Это действие можно использовать, чтобы проверить, повлияло ли удаление угрозы как-либо на вашу систему. Вы в любой момент можете отменить это удаление, выбрав соответствующую команду в Защитнике Windows. - Always allow/Всегда позволять – прекратить обнаружение данной угрозы и добавить ее к списку разрешенных элементов. Вы можете удалить элементы из списка разрешенных элементов, выбрав меню Tools | Options (Сервис | Параметры) в Защитнике Windows.
Предотвращение сетевых атак Брэндмауэр Windows в Windows Vista – это двунаправленный брэндмауэр с отслеживанием состояния, который более совершенен по сравнению с брэндмауэром в Windows XP. Брэндмауэр Windows Vista осуществляет фильтрацию как входящего, так и исходящего трафика. Также здесь можно настроить правила для следующих элементов:
- Учетные записи и группы Active Directory - Номер IP-протокола - Определенные типы интерфейсов - Службы - ICMP и ICMPv6 по типу и коду - IP-адреса источника и назначения - Все порты TCP или UDP, или только определенные порты - В Windows Vista вы также можете разрешить определенной программе доступ к сети или запретить трафик, используя список исключений. Чтобы получить доступ к списку исключений, щелкните на Start | Control Panel | Security (Пуск | Панель управления | Безопасность) и затем выберите команду «Allow a program through Windows Firewall» (Разрешить работу программы через брэндмауэр Windows).
По умолчанию брэндмауэр Windows блокирует весь входящий трафик, который не разрешен специально или не соответствует правилу, и разрешает весь исходящий трафик, даже если он не соответствует правилу.
Windows Vista включает в себя новую оснастку Консоли управления (MMC), под названием «Windows Firewall with Advanced Security» (Брэндмауэр Windows в режиме повышенной безопасности) (см. Рисунок 9), которая позволяет администраторам конфигурировать параметры брэндмауэра Windows на удаленных компьютерах. Чтобы получить доступ к этой оснастке, в панели управления выберите System and Maintenance | Administrative Tools (Система и ее обслуживание | Администрирование), и затем щелкните на Windows Firewall with Advanced Security.
Рисунок 9 Создание Advanced Rules для защиты компьютера от сетевых угроз
Чтобы добавить правило, также можно использовать редактор Групповых политик и через него выбрать Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security (Конфигурация компьютера\Параметры Windows\Параметры безопасности\Брэндмауэр Windows в режиме повышенной безопасности). Также вы можете настроить новые дополнительные параметры безопасности из командной строки, используя команду netsh advfirewall.
Каждый раз, когда вы подключаетесь к новой сети, Windows Vista создает профиль только для этой сети. Когда вы подключаетесь к этой сети снова, Windows Vista использует параметры, сохраненные в этом профиле. Одна из первых вещей, которые ОС спрашивает при подключении к новой сети – какая это сеть: общего пользования или частная. Это определяет тип профиля, который брэндмауэр Windows загружает для задания конфигурации и правил. Если вы хотите редактировать профили, выберите Windows Firewall Properties/Свойства брэндмауэра Windows в оснастке Windows Firewall with Advanced Security, затем выберите вкладку Private Profile/Частный профиль или Public Profile/Публичный профиль, как показано на Рисунке 10.
При желании вы можете изменить профиль, связанный с сетью, после того, как подключитесь к сети; это можно сделать из службы Network and Sharing Center/Центр управления сетями и общим доступом. Для этого перейдите в Control Panel | Network and Internet | Network and Sharing Center (Панель управления | Сеть и Интернет | Центр управления сетями и общим доступом). Чтобы изменять профиль сети, щелкните кнопку Customize/Настройка рядом с названием сети, к которой вы подключены.
Заключение Windows Vista является первым полным выпуском операционной системы, начиная с объявления о принятии Программы надежной вычислительной среды, которое было сделано несколько лет назад. Разработанная согласно рекомендациям программы Жизненного цикла разработки безопасности и имеющая такие встроенные средства защиты, как Защитник Windows, Брэндмауэр Windows и Управление учетной записью пользователя, Система Windows Vista предлагает беспрецедентную защиту как для автономных систем, так и для систем, являющихся частью домена. Центр безопасности Windows, Брэндмауэр Windows и Управление учетной записью пользователя – все эти компоненты предлагают возможность конфигурации Групповых политик, что позволяет эффективно применять их как в доменной среде, так и исключительно локально, на персональном компьютере.
Сообщество SpyNet Угрозы безопасности постоянно изменяются, и иногда даже ежедневных обновлений недостаточно, чтобы не отстать от всех угроз безопасности, с которыми может столкнуться ваш компьютер. С целью обеспечить дополнительную защиту пользователей, помимо обновлений определений "шпионского" ПО, Майкрософт приглашает пользователей вступить в Сообщество SpyNet – это сетевая группа, которая накапливает и совместно использует информацию о "шпионском" ПО.
Сообщество Spynet является добровольным международным сообществом пользователей «Защитника Windows», которые сообщают в Майкрософт о фактах обнаружения "шпионского" ПО. Пользователи, которые являются членами этого сообщества, играют важную роль в определении того, какие подозрительные программы в конечном счете классифицируются как "шпионское" ПО; также они помогают быстро обнаруживать новые угрозы и, таким образом, способствуют лучшей защите пользователей Windows.
Членство в Сообществе SpyNet Вы должны явно выразить свое решение об участии. Вы можете выбрать не становиться членом сообщества, и тогда никакая информация о ваших возможных заражениях "шпионским" ПО не будет посылаться в SpyNet. И при этом вы не будете уведомляться, если неклассифицированное, потенциально нежелательное программное обеспечение будет найдено на вашем компьютере. Неклассифицированное, потенциально нежелательное программное обеспечение может в конечном счете быть классифицировано в регулярных обновлениях определений "шпионского" ПО.
Если вы захотите участвовать, то есть два уровня членства:
Расширенное членство. Участники посылают в Майкрософт информацию о неклассифицированном ПО и о предпринятых действиях. Такие участники предупреждаются о текущем неклассифицированном ПО, которое может быть небезопасным. При этом может посылаться некоторая личная информация, но Майкрософт не будет использовать ее для контакта с вами.
Участники с расширенным членством получают статистику об удалениях, показывающую, как другие участники реагировали на эту угрозу. Эта информация может помочь вам принять решение, действительно ли данное неклассифицированное. потенциально нежелательное ПО опасно. Например, если новая прикладная программа распространяется через Интернет, и Защитник Windows определяет ее как подозрительную, некоторые пользователи с расширенным членством могут сообщить об этом в SpyNet и удалить эту программу. SpyNet сообщит вам, сколько пользователей сообщило и удалило эту программу, и вы можете использовать эту информацию, чтобы принять лучшее решение о том, что делать вам.
Базовое членство. В Майкрософт посылается основная информация о подозрительном программном обеспечении. При этом может посылаться некоторая личная информация, но Майкрософт не будет использовать ее для контакта с вами. Участники с базовым членством не предупреждаются о неклассифицированном программном обеспечении.
Чтобы присоединиться к Сообществу Spynet, откройте Защитник Windows и выберите Tools/Сервис, затем щелкните на Microsoft SpyNet.