Windows vista - управління та безпеку

Відео: Налаштування рівня безпеки облікових записів Windows 7

управління

Ряд нових і вдосконалених функцій, реалізований в Windows Vista для управління і усунення неполадок, забезпечує зниження витрат на підтримку, спрощення управління конфігурацією, поліпшення централізованого управління і зниження витрат на оновлення.

У Windows Vista є вбудовані засоби діагностики, які автоматично виявляють і аналізують стандартні неполадки, а потім допомагають користувачам самостійно їх усувати. До числа таких неполадок належать дискові збої, зниження продуктивності, розрив підключення до мережі і неправильне завершення роботи системи. Фахівці при необхідності можуть додавати в довідкову службу User Assistance матеріали, присвячені програмам і ресурсів внутрішньої мережі. Довідкову службу можна налаштувати таким чином, щоб користувачі підключалися безпосередньо до внутрішнього центру підтримки.

Віддалений помічник (Remote Assistance), що вперше з`явився в Windows XP, дозволяє центру підтримки швидше усувати неполадки за рахунок можливості бачити і контролювати комп`ютери користувачів по мережі. У Windows Vista віддалений помічник став швидше, менше завантажує мережу і може працювати через протокол NAT.

Для вирішення проблем продуктивності до складу Windows Vista включені нові лічильники продуктивності і поліпшена консоль продуктивності, що дозволяє співробітникам служби підтримки отримувати детальне уявлення про внутрішній стан Windows Vista і локалізувати складні, стійкі проблеми. У Windows Vista підтримується об`єднаний журнал подій, відкрити який можна у вікні програми перегляду подій - Event Viewer. Багато компонентів, раніше зберігали журнали в текстових файлах, тепер реєструють події в журналі подій Windows Vista. У вікні переробленої програми перегляду подій можна фільтрувати і сортувати події, управляти типами реєстрованих подій, знаходити події і виконувати базові завдання діагностики.

Важливим нововведенням в складі Windows Vista стала функція контролю облікових записів користувачів - User Account Control (UAC), що дозволяє користувачам зі звичайними обліковими записами запускати більшість додатків і виконувати стандартні дії з налаштування системи. Обмеживши коло власників адміністративних облікових записів адміністраторами, можна запобігти випадкам несанкціонованого зміни параметрів системи і установки недозволених додатків, які можуть містити віруси і шпигунські програми.

Функція захисту ресурсів Windows - Windows Resource Protection (WRP), забезпечує додатковий захист від внесення потенційно небезпечних змін в конфігурацію системи:

• Захист параметрів системного реєстру від випадкової зміни користувачами або несанкціонованим ПО
• Захист системних файлів і параметрів від змін, ініційованих будь-яким процесом, крім довіреної установника Windows
• Захист додатків (наприклад, Internet Explorer) від потенційно ненадійних або шкідливих розширень COM (Component Object Model) сторонніх розробників

У Windows Vista розширена сфера застосування параметрів групової політики (Group Policy), яка тепер включає бездротові мережі, знімні пристрої, що запам`ятовують, Internet Explorer, принтери і управління живленням. Передбачені параметри групової політики для налаштування всіх нових функцій Windows Vista.

Консоль керування груповою політикою - Microsoft Group Policy Management Console (GPMC), тепер інтегрована до складу Windows Vista. Windows Vista підтримує кілька об`єктів локальної групової політики, дозволяючи адміністраторам налаштовувати різні політики для окремих користувачів одного комп`ютера Windows Vista.

Windows Vista розширює можливості адміністратора по частині автоматизації завдань, зменшуючи кількість часу на управління ПК. Планувальник завдань - Task Scheduler, повністю сумісний з Windows XP і в Windows Vista став потужнішим. Як і раніше він дозволяє запускати завдання у встановлені моменти часу або при завантаженні комп`ютера За допомогою планувальника завдань можна призначати запуск завдань у випадках:

• При настанні події (наприклад, брак вільного місця на диску)
• При вході користувача в систему
• Простий комп`ютера - через планувальник завдань можна запускати завдання з обслуговування системи (дефрагментацію жорсткого диска і архівацію комп`ютера) в той час, коли комп`ютер не використовується

Також підтримується послідовний запуск завдань, З метою підвищення безпеки та зниження обсягу робіт обслуговування після закінчення термінів дії паролів, облікові дані для облікових записів можна зберігати в домені Active Directory, а не на локальному комп`ютері.

Служба Web Services for Management (WS-Management) в комбінації з відповідними програмними засобами дозволяє адміністратору віддалено запускати сценарії і виконувати інші завдання управління. Для обмеження ризиків Ваша інформація може шифруватися і піддаватися перевірці автентичності. Випускаються Microsoft засоби управління, наприклад Systems Management Server (SMS) 2003 застосовують WS-Management для безпечного управління обладнанням і програмним забезпеченням.

На консолі управління (MMC) зібраний ряд засобів адміністрування для Windows 2000, Windows Server 2003, Windows XP і Windows Vista. Windows Vista надає можливість запускати кілька завдань паралельно, причому кошти адміністрування продовжують працювати навіть після початку виконання складної або тривалої завдання.

Для своєчасного оновлення програмного забезпечення в Windows Vista забезпечується ефективне використання пропускної здатності мережі, з`явилася можливість відслідковувати успішні і невдалі поновлення, а також вдосконалено агент поновлення Windows (WUA).

Крім того, особливістю платформи Windows Vista є те, що вона дозволяє обходитися без перезавантаження комп`ютера або, принаймні, знижувати вплив перезавантаження, якщо вона неминуча. Ця технологія використовується монтажником Windows, тому необхідність перезавантажувати комп`ютер після установки або видалення програми за допомогою компонента "Установка і видалення програм" виникає рідше.

Управління оновленнями поліпшується за рахунок застосування нової версії служб Software Update Services (SUS) - Windows Server Update Services (WSUS). У середовищі, де використовується компонент "Автоматичне оновлення", за допомогою служб WSUS адміністратор може виконати розгортання всіх оновлень. Агент оновлення Windows тепер є автономним додатком. Інтерфейс агента Windows Update не змінюється в залежності від джерела завантаження оновлень, тому користувачам не доводиться вчитися працювати з двома засобами.

підвищена безпека

Windows Vista побудована з урахуванням технологій безпеки зі складу Windows XP з SP2, однак в її архітектуру внесені зміни, краще захищають від безперервно удосконалюються загроз. Проектування і розробка Windows Vista здійснювалися відповідно до жорстких вимог процесу SDL, який забезпечує суттєве зниження кількості і серйозності мають відношення до безпеки помилок в конструкції і програмному коді. До складу Windows Vista включені нові функції, що забезпечують багаторівневий захист.

Windows Vista підтримується службами Windows Update, автоматичного оновлення і Microsoft Update, а також програмою перевірки оновлень для програмного забезпечення, в рамках якої поновлення перед випуском піддаються всебічному тестуванню. Операційна система розроблена таким чином, щоб відповідати вимогам стандарту Common Criteria, що необхідно для отримання сертифікату Evaluation Assurance Level 4 і проходження перевірки на відповідність стандарту обробки урядових даних 140-2 (Federal Information Processing Standard 140-2).

До складу Windows Vista входять функції, що дозволяють запобігати установку шкідливих програм або виявляти і видаляти їх перш, ніж вони завдадуть якоїсь шкоди. Захисник Windows - Windows Defender, (раніше Microsoft AntiSpyware) допоможе виявити, видалити або заблокувати шпигунські та інші небажані програми в режимі реального часу. У процесі оновлення або переходу на Windows Vista використовується основна підпис кошти видалення шкідливих програм, що дозволяє знайти і видалити віруси і інше шкідливе ПЗ. Додаткові відомості про корпоративний вирішенні для боротьби зі шкідливими програмами Microsoft Client Protection можна знайти тут.

Один з найбільш дієвих способів усунення загроз безпеки - обмеження кількості додатків з доступом до мережі. За допомогою вбудованого персонального брандмауера Windows Vista - Windows Firewall, його можна налаштувати певного додатка функціонувати локально, але заблокувати можливість обміну даними по мережі.

Windows Firewall взаємодіє з новою технологією обмеження повноважень служб Windows - Windows Service Hardening, яка допомагає запобігти використанню системних служб Windows для виконання непередбачених дій в файлової системі, реєстр або мережі. Підтримується фільтрація вхідного і вихідного трафіку, застосування мережевих правил обмеження повноважень системних служб. За допомогою таблиць управління доступом (ACL) службам можна дозволити проводити запис тільки в певні області файлової системи і реєстру.

Відео: Управління користувачами в Windows Vista [1/2]

Клієнт захисту мережевого доступу - Network Access Protection (NAP), в Windows Vista допомагає захиститися від атак з мережі шляхом складання списку вимог до стану клієнтських комп`ютерів і перевірки дотримання цих вимог при підключенні ПК до мережі.

У Windows Vista функції управління фаєрволом і безпекою протоколу інтернету Internet Protocol Security (IPSec) зібрані на консолі "Брандмауер Windows в режимі підвищеної безпеки" (Windows Firewall with Advanced Security), що підвищує наочність конфігурації системи безпеки і дозволяє централізовано фільтрувати вхідний і ісходящійо трафік, а також налаштовувати параметри ізоляції сервера IPSec і домену.

При розробці функцій безпеки Internet Explorer 7 в складі Windows Vista на першому плані стояло досягнення двох основних цілей: захисту користувачів від шкідливих програм і забезпечення безпеки їх даних. Більш жорстка система безпеки Internet Explorer 7 присікає спроби запуску шкідливих програм. Елементи управління междоменной сценаріями запобігають спроби маніпулювання вмістом в одному домені за допомогою сценарію з іншого домену в інтернеті. Крім того, в Internet Explorer 7 реалізований новий механізм безпеки під назвою ActiveX Opt-In, що допомагає не допустити її непередбаченому використанню елементів управління ActiveX, які були попередньо встановлені на комп`ютері, але ще не включалися.

У захищеному режимі (доступний тільки в Windows Vista) Internet Explorer 7 захищає користувачів від завантажених шкідливих програм, забороняючи їм проводити запис в будь-які ресурси з зони "Мій комп`ютер" крім тимчасових файлів інтернету, в цьому режимі Internet Explorer 7 не може вносити зміни в призначені для користувача і системні файли і параметри. Захищений режим Internet Explorer також забезпечує безпеку перегляду на вкладках: для вмісту, який би поза поточної зони безпеки, замість вкладок відкриваються нові вікна.

Відео: Windows Vista. Панель управління

В Internet Explorer 7 реалізований ряд удосконалень, спрямованих на захист особистих даних користувачів.

• Рядок стану безпеки - надає візуальні техніки безпеки і надійності web-вузлів
• Фільтр фішингу - підвищує безпеку роботи в інтернеті шляхом попередження користувача про підозрілих сторінках, які займаються несанкціонованим збором даних
• Адресний рядок у всіх вікнах. Наявність адресного рядка в кожному вікні дозволяє користувачам отримувати відомості про дійсне джерело тієї інформації, яку вони бачать
• Команда видалення журналу IE дає можливість одним натисканням кнопки очистити журнал використання і всі особисті дані

64-розрядні версії Windows Vista захищають комп`ютери від переповнення буфера за рахунок підтримки реалізованої в 64-розрядних процесорах функції запобігання виконання даних. 64-розрядні версії Windows також підтримують технологію Microsoft PatchGuard, яка запобігає внесення виправлень в ядро ​​Windows програмами, які не мають відповідних повноважень.

Всі драйвери режиму ядра, що виконуються на комп`ютері під керуванням 64-розрядної версії Windows Vista, повинні бути підписані розробником. Підписання драйверів не є гарантією безпеки, однак дозволяє розпізнавати і запобігати багато атак. У комбінації з підтримкою функції DEP на апаратному рівні підписання драйверів робить 64-розрядну версію Windows Vista надійної і безпечної.

Управління ідентифікацією користувачів і правами доступу

У Windows Vista реалізований ряд функцій, що дозволяють перевіряти справжність користувачів і контролювати доступ до пристроїв, програм та даних. Служба захисту користувачів (UAC) в Windows Vista є набором інфраструктурних технологій, дозволяючи користувачам запускати додатки і завдання, маючи звичайний набір прав, при цьому доступ адміністративного рівня потрібно тільки для процесів, обраних користувачем або IT-відділом.

У Windows Vista більшості додатків присвоюється "адміністративний" або "звичайний" маркер. Якщо програма не є адміністративним, то Windows Vista за замовчуванням запускає його в якості звичайного. Перед запуском адміністративного додатка Windows Vista запитує у користувача дозвіл на виконання програми з підвищеними правами. За замовчуванням запит відображається, навіть якщо користувач входить до складу локальної групи "Адміністратори" - будь-який адміністратор працює в якості звичайного користувача до тих пір, поки певний додаток або компонент системи не зажадає при запуску облікових даних адміністратора.

Сьогодні найбільш поширеним способом перевірки автентичності є застосування паролів, проте подібна однорівнева перевірка має ряд недоліків. Завдяки модернізації архітектури Windows Vista підтримує додавання альтернативних способів перевірки автентичності, наприклад, на основі біометричних характеристик і маркерів. Модель постачальників облікових даних значно простіше фільтрів GINA (Graphical Identification and Authorization), при цьому кілька постачальників можуть функціонувати паралельно.

Вдосконалені функції управління правами в складі Windows Vista дозволяють зберігати контроль над об`єктами інтелектуальної власності і надавати доступ до конфіденційних даних тільки уповноваженим користувачам. Для розробки прав і умов використання цифрового вмісту призначений мову XrML (Extensible Rights Markup Language).

За допомогою функцій аудиту в Windows Vista можна відстежувати дії користувачів. У Windows Vista реалізований вбудований механізм збору і пересилки важливих подій аудиту на центральну консоль з метою упорядкування та аналізу даних аудиту в рамках всієї компанії.

Керування: ідентифікація (наприклад, паролями та сертифікатами) і обладнанням (наприклад, смарт-картами для зберігання облікових даних) в Windows Vista також містить засоби для управління обліковими даними переміщуються користувачів, в тому числі нову службу DIMS (Digital Identity Management Service) і новий процес подачі заявки на сертифікат. За допомогою таких ресурсів, як автоматичне засіб скидання персональних ідентифікаційних номерів (PIN), простіше розгортати смарт-карти.

У складі Windows Vista реалізовані криптографічні служби Crypto Next Generation (CNG). Перший випуск CNG дозволяє додавати в Windows нові алгоритми для використання з протоколами Secure Sockets Layer / Transport Layer Security (SSL / TLS) і IPSec. Крім того, Windows Vista містить новий процесор системи безпеки, що забезпечує прийняття рішень про довіру для таких служб, як управління правами.

Засіб шифрування диска BitLocker, перш називалося повним шифруванням томи - це функція захисту даних на апаратному рівні для запобігання доступу до корпоративних і особистих даних на втрачених або вкрадених системах. Шифрування всього системного томи Windows не дозволяє без відповідних повноважень зламати захист системи і файлів Windows з метою використання даних на втрачених або вкрадених комп`ютерах.

Оптимальним сховищем для ключа шифрування з точки зору функції BitLocker є чіп модуля TPM TPM версії 1.2. Якщо технологія розгортається в системі без такої мікросхеми, ключ шифрування записується на USB-флешку, в цьому випадку користувач повинен при кожному завантаженні системи підключати до неї USB-носій. Перевага чіпа ТРМ полягає у вбудованій захист від підробки.

Служба управління правами Windows Rights Management Services (RMS) допомагає компаніям контролювати і захищати важливі цифрові дані за рахунок інтеграції смарт-карт, а також підтримки ключів більшої довжини і спеціальних засобів обміну інформацією при взаємодії типу "бізнес-бізнес" (B2B). До складу Windows Vista входить вбудований клієнт RMS. Файлова система EFS (Encrypting File System) служить для шифрування файлів і папок на рівні користувача. Наприклад, якщо на одному комп`ютері працюють два користувача, то за допомогою файлової системи EFS кожен з них може шифрувати свої дані так, щоб вони були недоступні іншому. У складі Windows Vista управління файловою системою EFS по мережі покращено за рахунок можливості зберігання ключів EFS на смарт-картах.

Щоб не допустити розголошення або крадіжки конфіденційних даних і об`єктів інтелектуальної власності, адміністратор за допомогою групової політики Windows Vista може заблокувати установку знімних запам`ятовуючих пристроїв (флеш-пам`ять USB, зовнішні жорсткі диски та ін.).

додаткова інформація

Розгортання і сумісність

Мережі, надійність, обладнання