Настройка безопасности Windows Vista

Владимир Безмалый

Использование защитника Windows

Описание защиты, обеспечиваемой защитником Windows в реальном времени

Использование параметров групповой политики Windows Defender для снижения уровня рисков

Восстановление системных файлов

Автоматическая очистка диска

Регулярная дефрагментация

Компоненты безопасности Windows Vista

Брандмауэр Windows

Центр обеспечения безопасности Windows

Контроль учетных записей пользователей

Архивация и восстановление

Родительский контроль

Служба Windows Update

Защищенный режим Internet Explorer

Конструктор шаблонов безопасности

Применение локальной политики для настройки безопасности

Политики учетных записей

Политика блокировки учетной записи

Заключение

Все чаще и дома, и на работе мы используем новую операционную систему от фирмы Microsoft — Windows Vista. И все чаще перед нами встает вопрос правильной настройки данной ОС с точки зрения безопасности. Читая статьи в Интернете, можно натолкнуться как на полезные, так и на откровенно вредные советы, касающиеся этой темы. В данной публикации мы постараемся разобраться в этом и определить перечень необходимых мероприятий для настройки вашей Windows Vista с точки зрения безопасности. Именно о защите клиентского компьютера (компьютера домашнего или офисного пользователя) и пойдет далее речь.

Любую атаку гораздо проще начинать именно с клиентского рабочего места — ведь основное внимание в вопросах защиты традиционно уделяется серверам локальных сетей. Несомненно, на рабочих местах необходимы и антивирусная защита, и усиленные меры идентификации и аутентификации пользователей. Но все же в первую очередь, с моей точки зрения, необходимо обеспечить защиту с помощью встроенных средств операционной системы.

Все описанные рекомендации были опробованы на Windows Vista Ultimate.

Итак, вы решили установить Windows Vista Ultimate. Как это сделать правильно? На этот вопрос большинство читателей просто усмехнется: а что здесь можно придумать нового? Вставил DVD-R, загрузился и дальше отвечай на вопросы. Однако так ли все просто?

Действительно, процесс установки достаточно прост, однако после этого нужно выполнить следующие шаги:

1. Инсталлировать антивирус.
2. После установки и настройки антивируса выйти в Интернет и обновить антивирусные базы.
3. Установить необходимые обновления ОС.
4. Настроить операционную систему.

Вы можете спросить, а как же брандмауэр? Ведь в Интернет без него выходить невозможно! Напоминаем, что в Windows Vista брандмауэр включен по умолчанию.

А зачем вообще нужен антивирус, ведь в состав Windows Vista входит программа защитник Windows (Windows Defender) — рис. 1. Рассмотрим работу данного ПО подробнее.

Рис. 1. Windows Defender

Использование защитника Windows

При работе в Интернете во время инсталляции стороннего ПО с CD-ROM, DVD-ROM или другого съемного носителя может произойти заражение компьютера вредоносным ПО — malware (spyware). Запуск шпионского ПО может быть произведен не только при установке, но и в любое заранее запрограммированное время.

Windows Defender предполагает три способа предотвращения заражения компьютера шпионским и другим вредоносным ПО:

• защита в реальном времени — при попытке инсталляции или несанкционированного запуска вредоносного ПО Windows Defender оповестит пользователя о несанкционированных действиях. Кроме того, уведомление будет отправлено пользователю, если какая-то программа попытается изменить важные параметры Windows;
• сообщество SpyNet — в сетевом сообществе SpyNet вы можете узнать отзывы других пользователей о работе программ, которые не являются заведомо вредоносными, что поможет вам определиться, стоит ли разрешать их запуск на своем компьютере;
• параметры сканирования — Windows Defender можно использовать для поиска шпионского и другого нежелательного ПО, которое могло быть установлено на компьютере, для планирования регулярных проверок и автоматического удаления вредоносных программ, обнаруженных во время проверки.

Отметим, что в случае применения Windows Defender необходимо иметь последние версии обновлений баз вредоносного ПО. Именно с помощью сигнатурного анализа Windows Defender проверяет, является ли данное ПО вредоносным. Для регулярного получения обновлений используется Центр обновления Windows. Кроме того, Windows Defender может быть настроен на обновление баз сигнатур в Интернете перед началом проверки.

Описание защиты, обеспечиваемой защитником Windows в реальном времени

Монитор защиты в реальном времени предназначен для оповещения пользователя в случае, если шпионское или иное вредоносное ПО осуществляет попытку несанкционированного запуска (установки) на компьютере. В зависимости от уровня оповещения пользователь может реализовать одно из следующих действий:

• пропустить — позволяет программе установиться или запуститься на компьютере. В случае повторного запуска или попытки изменения параметров безопасности пользователь снова будет оповещен об этом;
• поместить в карантин — при помещении программы в карантин Windows Defender перемещает соответствующую программу в другую папку и препятствует ее запуску. В дальнейшем данная программа будет восстановлена, если подозрение в отношении ее вредоносного воздействия не подтвердится, в противном случае она будет удалена;
• удалить — окончательно удаляет программу с компьютера;
• всегда разрешать — добавляет программу в список доверенного ПО. В дальнейшем это ПО не будет проверяться Windows Defender.
• Кроме того, пользователь оповещается в том случае, если программа пытается изменить настройки Windows. Поскольку программа уже запущена на компьютере, то пользователь должен выбрать одно из предлагаемых действий:
• разрешить — разрешает программе изменять параметры безопасности компьютера;
• запретить — предотвращает изменение программой параметров безопасности компьютера.

Существует несколько вариантов защиты в реальном времени, которые называются агентами. В табл. 1 приведено описание каждого из агентов.

В процессе развертывания системы Windows Vista необходимо принять во внимание следующие рекомендации:

• протестируйте взаимодействие со всем антивирусным и антишпионским ПО сторонних производителей, которое предполагается применять в организации;
• запланируйте время сканирования, соответствующее вашим потребностям. По умолчанию — ежедневно в 2:00. При невозможности выполнения сканирования компьютера в это время пользователь получит уведомление и запрос на запуск сканирования. В случае если сканирование не выполнялось в течение двух дней, оно начнется приблизительно через 10 мин после следующего запуска компьютера. Данный процесс выполняется с низким приоритетом;
• защитник Windows не является корпоративным антишпионским приложением, поскольку в нем отсутствует механизм централизованного создания отчетов, наблюдения и управления корпоративного уровня.

Использование параметров групповой политики Windows Defender для снижения уровня рисков

Параметры Windows Defender можно просмотреть и настроить с помощью редактора объектов групповой политики (табл. 2 и рис. 2):

Рис. 2. Параметры настройки Windows Defender

Конфигурация компьютера/Административные шаблоны/Компоненты Windows/защитник Windows

Вместе с тем необходимо отметить, что наличие программы Windows Defender не препятствует работе антивирусного ПО и, более того, не заменяет антивирусное ПО, а лишь дополняет его. Таким образом, для безопасной работы ОС Windows Vista наличие специализированного антивирусного ПО либо от Microsoft, либо от третьих фирм-производителей является сегодня обязательным!

Восстановление системных файлов

Восстановление системных файлов может оказаться полезной функцией, если ваш компьютер применяется не только для выполнения ресурсоемких задач типа игр. Поэтому лучше оставить данный пункт включенным. В этом случае компьютер периодически создает слепки критичных системных файлов (файлы реестра, база данных, профили пользователей и т.д.) и сохраняет их как точку отката. Если какое-либо приложение «снесет» вашу систему или что-то важное будет испорчено, то вы можете вернуть компьютер в состояние точки отката.

Точки отката автоматически создаются службой Восстановления системы (System Restore) при возникновении некоторых ситуаций типа установки нового приложения, обновления Windows, установки неподписанного драйвера и т.д. Кроме того, точки отката можно создавать и вручную, воспользовавшись следующим путем: Панель управления -> Система -> Дополнительные параметры системы -> Защита системы -> Создать (рис. 3).

Рис. 3. Создание точки восстановления

В дальнейшем восстановить состояние системы можно тем же путем, но нажав клавишу Восстановление — в результате будет запущен Мастер восстановления (рис. 4).

Рис. 4. Восстановление системы

Восстановление системных файлов опирается на фоновую службу, которая минимально сказывается на быстродействии и записывает снимки, отнимающие часть дискового пространства. Вы можете вручную отвести максимально допустимый объем дискового пространства для данной службы либо полностью отключить службу для всех дисков, поставив галочку Отключить службу восстановления. Поскольку служба восстановления системных файлов может влиять на результаты тестовых программ, ее обычно отключают перед тестированием.

Автоматическая очистка диска

Для очистки жесткого диска от ненужных файлов используется программа cleanmgr.exe.

При помощи программы «Очистка диска» удобно удалять ненужные файлы и освобождать пространство на жестком диске компьютера. Работа программы может быть задана по расписанию, создаваемому при помощи планировщика заданий. При запуске программы «Очистка диска» по расписанию программа откроется и будет ожидать выбора вариантов пользователем перед удалением файлов с компьютера.

1. Запустите планировщик заданий (рис. 5).
2. В меню Действие выберите пункт Создать простую задачу.
3. Введите имя задания и при необходимости описание, затем нажмите кнопку Далее.
4. Чтобы выбрать регулярное расписание, нажмите Ежедневно, Еженедельно, Ежемесячно или Однократно, а затем нажмите кнопку Далее.
5. Задайте нужное расписание и нажмите кнопку Далее.
6. Щелкните элемент Запустить программу и нажмите кнопку Далее.
7. Нажмите кнопку Обзор, введите cleanmgr.exe в поле Имя файла, нажмите кнопку Открыть, а затем — кнопку Далее.
8. Нажмите кнопку Готово.

Рис. 5. Планировщик заданий

Регулярная дефрагментация

DOS и версии Windows (за исключением NT) мало заботились об оптимизации своих файловых систем. Когда пользователь устанавливает и удаляет программы, то в различных областях дискового пространства появляются «дыры». В итоге свободные места не расположены подряд, а разбросаны по всему диску. При заполнении свободного пространства файлы также оказываются разбросанными по нескольким секторам, что сильно снижает производительность — при обращении к файлу диск вынужден читать не один последовательный участок, а несколько фрагментов, произвольно разбросанных по диску.

В NT-версиях Windows, использующих файловую систему NTFS, применяются особые меры для сохранения целостности дискового пространства, но фрагментация все равно происходит. Поэтому вы должны регулярно дефрагментировать ваш жесткий диск, причем регулярность зависит от характера вашей деятельности на компьютере. Если вы часто устанавливаете и удаляете программы или постоянно создаете, перемещаете либо удаляете файлы, то должны раз в неделю выполнять дефрагментацию. Если же вы долгое время используете одни и те же приложения, но при этом не слишком часто перемещаете файлы, промежуток между дефрагментациями можно увеличить до одного месяца.

Если вы достаточно часто выполняете дефрагментацию, то не заметите ощутимого прироста в производительности после этой процедуры. Это совершенно нормально. Если же прирост явно ощутим, значит, вы слишком долго не делали дефрагментацию.

Для выполнения дефрагментации необходимо открыть окно Мой компьютер, выбрать жесткий диск, нажатием правой клавиши мыши из контекстного меню выбрать Свойства -> Сервис -> Выполнить дефрагментацию. Появится окно (рис. 6), в котором вы можете либо запустить дефрагментацию, либо настроить режим ее проведения.

Рис. 6. Дефрагментация диска

Компоненты безопасности Windows Vista

С выходом Windows Vista появились или получили дальнейшее развитие компоненты ОС, относящиеся к безопасности системы:

• защитник Windows (о нем шла речь выше);
• брандмауэр Windows;
• центр обеспечения безопасности Windows;
• контроль учетных записей пользователей;
• архивация и восстановление;
• родительский контроль;
• служба Windows Update.

Рассмотрим эти компоненты подробнее.

Брандмауэр Windows

Персональный брандмауэр в системе Windows Vista включается по умолчанию сразу после запуска операционной системы. Брандмауэр в ОС Windows Vista обеспечивает фильтрацию входящего и исходящего трафика.

Риски, связанные с подключением к сети

К угрозам, связанным с подключением к сети, относятся:

• подключение злоумышленника к данному компьютеру;
• сканирование сети для обнаружения открытых портов с целью последующей атаки;
• установка несанкционированного подключения с помощью вредоносного ПО типа трояна;
• организация сетевой атаки со взломанного компьютера, подключенного напрямую к внутренней сети.

Для снижения перечисленных рисков необходимо выполнить ряд предварительных мер:

• протестируйте взаимодействие с установленными приложениями;
• составьте для каждого приложения список требований к сетевым портам, чтобы гарантировать, что в брандмауэре Windows будут открыты только необходимые порты.

Настройка параметров брандмауэра с помощью групповых политик в режиме повышенной безопасности

Настроить параметры групповой политики и оснастку управления брандмауэра Windows Vista можно с помощью редактора объектов групповой политики:

Конфигурация компьютера/Параметры Windows/Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности

Брандмауэр Windows в режиме повышенной безопасности поддерживает следующие профили среды:

профиль домена — применяется, если компьютер подключен к сети и проходит проверку подлинности на контроллере домена, которому принадлежит компьютер;

• общий профиль — данный профиль является типом сетевого местоположения по умолчанию в случае, если компьютер не подключен к домену. Параметры общего профиля должны максимально ограничивать доступ, поскольку компьютер подключен к общедоступной сети, безопасность которой нельзя контролировать так же жестко, как в ИТ-среде;
• частный профиль — этот профиль применяется только в случае, если пользователь с привилегиями локального администратора назначает его сети, которая до этого была общей. Корпорация Microsoft рекомендует делать это только при работе в надежной сети.

Центр обеспечения безопасности Windows

С помощью Центра безопасности вы можете повысить безопасность вашего компьютера, периодически проверяя параметры безопасности брандмауэра, автоматического обновления Windows, программного обеспечения защиты от вредоносного ПО, безопасности Интернета и управления учетными записями.

Доступные параметры групповой политики Центра обеспечения безопасности Windows можно просмотреть и настроить с помощью редактора объектов групповой политики:

Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Центр обеспечения безопасности

Технологии защиты обозревателя Internet Explorer 7

Технологии безопасности Internet Explorer 7 включают:

защищенный режим обозревателя Internet Explorer;

• функцию ActiveX Opt-in;
• защиту от атак с применением междоменных сценариев;
• строку состояния системы безопасности;
• антифишинг;
• дополнительные функции безопасности.

Несмотря на то что Internet Explorer 7 работает в ОС Windows Vista и Windows XP, в ОС Windows XP будут недоступны следующие функции безопасности:

• функция защищенного режима;
• функция родительского контроля.

`

Данный режим обозревателя обеспечивает более безопасную работу в Интернете (табл. 3). Кроме того, он позволяет предотвратить возможность использования повышенных прав для запуска кода.

Изменить параметры групповой политики для защищенного режима обозревателя Internet Explorer 7 можно с помощью редактора групповой политики:

Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Internet Explorer/Панель управления обозревателем/Страница безопасности/< Зона>

Функция защищенного режима доступна в следующих зонах безопасности обозревателя Internet Explorer 7:

• зона «Интернет»;
• зона «Интранет»;
• зона «Локальный компьютер»;
• защищенная зона Интернета;
• защищенная зона интранета;
• защищенная зона локального компьютера;
• защищенная зона ограниченных узлов;
• защищенная зона надежных узлов;
• зона «Ограниченные узлы»;
• зона «Надежные узлы».

Антифишинг

Фишинг — метод, используемый многими злоумышленниками для мошенничества с целью заставить пользователей раскрыть их личные или финансовые данные посредством сообщений электронной почты или веб-узла. При этом злоумышленники маскируются под те или иные законные компании, например банки.

С помощью технологии антифишинга Internet Explorer анализирует содержимое веб-узлов с целью выявления известных технологий фишинга. Функция антифишинга применяет клиентский поиск характерных особенностей вредоносных веб-узлов и службу, запрашивающую подтверждение пользователя. Таким образом, защита от фишинга организована тремя способами:

• адреса веб-узлов, посещаемых пользователем, проверяются по списку известных надежных узлов;
• содержимое веб-узлов проверяется на наличие характерных черт фишинговых узлов;
• адрес веб-узла, посещаемого пользователем, отправляется в интернет-службу Microsoft, которая проверяет его по регулярно обновляемому списку фишинговых сайтов. Список этих узлов составляется корпорацией Microsoft с помощью надежных источников.

Отметим, что пользователь имеет возможность включить или отключить данную функцию (табл. 4).

Настроить параметры групповой политики в области антифишинга можно в следующем разделе редактора групповой политики:

Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Internet Explorer

Корпорация Microsoft рекомендует установить значение параметра Включен и перевести его в Автоматический режим работы.

Вместе с тем стоит учесть, что при такой настройке обозреватель автоматически отправляет данные в корпорацию Microsoft, не запрашивая подтверждения пользователя.

В обозревателе Internet Explorer имеется набор специальных функций обеспечения безопасности, которыми можно управлять с помощью групповой политики. Посмотреть и изменить параметры групповой политики для обозревателя Internet Explorer 7 можно в редакторе объектов групповой политики:

Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Internet Explorer/Средства безопасности

Контроль учетных записей пользователей

Данная функция предназначена для того, чтобы разделить административные привилегированные задачи и стандартные пользовательские задачи. Права администратора по-прежнему необходимы для решения следующих задач:

• установка программ;
• повторное разбиение диска на разделы.

Контроль учетных записей пользователей: функции и преимущества

Учетные записи пользователей в Windows Vista имеют право на выполнение общих задач, не нуждаясь в службе поддержки. Данные привилегии оказывают минимальное влияние на систему и минимизируют риски, хотя администраторы могут ограничить эти привилегии. С помощью стандартных учетных записей пользователей в Windows Vista можно выполнить следующие действия:

• просмотр системных часов и календаря;
• изменение часового пояса;
• установка протокола WEP для беспроводных сетей;
• изменение параметров настройки экрана;
• изменение параметров управления питанием;
• установка шрифтов;
• добавление устройств, драйверы для которых уже установлены на компьютере;
• создание и настройка подключения VPN;
• загрузка и установка обновлений с помощью программы установки, совместимой с функцией контроля учетных записей пользователей.

ОС Windows Vista с помощью функции контроля учетных записей (UAC) позволяет разделить привилегии и задачи администратора и обычного пользователя. При этом функция UAC повышает уровень безопасности, ведь пользователи теперь могут выполнять больше задач без необходимости пользоваться правами администратора. Это, в свою очередь, поможет снизить влияние вредоносного ПО и исключить внесение в систему несанкционированных изменений.

В предыдущих версиях ОС Windows существовала группа «Опытные пользователи», члены которой могли устанавливать приложения, не имея привилегий администратора. В UAC группа «Опытные пользователи» не предусмотрена, а соответствующие разрешения удалены. Однако эту группу все еще можно использовать для обратной совместимости с другими версиями ОС. В этом случае необходимо применить соответствующий шаблон безопасности для изменения разрешений по умолчанию на системные папки и реестр, чтобы получить разрешения, соответствующие разрешениям в Windows XP. Вместе с тем стоит отметить, что режим одобрения администратором в технологии UAC позволяет обеспечить защиту от некоторых типов вредоносного ПО. Однако необходимо помнить, что несмотря на то, что большинство задач администраторы запускают с привилегиями обычного пользователя, гораздо безопаснее работать с правами обычного пользователя.

Риски работы с использованием привилегий администратора

Работа с привилегиями администратора может привести к случайному или злонамеренному выполнению административных задач без ведома пользователя.

Приведем следующие примеры:

• пользователь неосознанно загружает и устанавливает вредоносное ПО с зараженного веб-узла;
• с помощью технологий социальной инженерии пользователя заставляют открыть вложение в сообщении электронной почты, содержащее вредоносное ПО, которое, запускаясь, устанавливает себя на компьютер;
• функция автоматического запуска пытается запустить вредоносное ПО при установке съемного диска в устройство (CD-ROM, DVD-ROM, USB-диск, floppy-disk и т.д.);
• пользователь устанавливает неподдерживаемое ПО.

Для снижения рисков рекомендуется при решении повседневных задач применять учетные записи с правами и привилегиями обычного пользователя. Повышать свой уровень привилегий следует для решения только тех задач, которые не могут быть выполнены иным способом. Кроме того, необходимо убедиться, что функция UAC включена и при попытке выполнить задачу, требующую привилегий администратора, выводится соответствующий запрос.

Согласно Microsoft, рекомендуется определить для системных администраторов две учетные записи:

• с административными правами;
• с правами обычного пользователя.

При выполнении обычных задач необходимо использовать учетную запись обычного пользователя, а при выполнении задач администрирования — учетную запись с правами администратора системы.

Как снизить риски при использовании UAC

Для того чтобы правильно понимать все возможности UAC, рекомендуется изучить следующие руководства:

1. Пошаговое руководство по функции контроля учетных записей в системе Windows Vista (http://www.microsoft.com/technet/windowsvista/library/0d75f774-8514-4c9e-ac08-4c21f5c6c2d9.mspx);
2. Приступая к работе с функцией контроля учетных записей в системе Windows Vista (http://www.microsoft.com/technet/WindowsVista/library/f72d606c-ad66-403b-be70-3d59e4e5c10f.mspx).
3. После этого необходимо выполнить следующие действия:
4. Определить количество пользователей, необходимых для выполнения задач администрирования.
5. Определить, как часто необходимо выполнять задачи администрирования.
6. Решить, нужно ли выполнять задачи администрирования путем согласия в ответ на запрос UAC либо для выполнения этих задач потребуется вводить определенные учетные данные.
7. Решить, нужно ли обычным пользователям иметь возможность повышения привилегий для выполнения задач администрирования.
8. Определить, как будет проходить процесс установки приложений.

Настроить параметры групповой политики в соответствии с вашими требованиями.

Настройка параметров групповой политики для снижения рисков UAC

Параметры UAC с помощью групповой политики следует настроить с помощью редактора объектов групповой политики (табл. 5):

Конфигурация компьютера / Параметры Windows / Параметры безопасности / Локальные политики / Параметры безопасности

Для настройки пользовательского интерфейса учетных данных UAC можно воспользоваться редактором объектов групповой политики (табл. 6):

Конфигурация компьютера/Административные шаблоны|Компоненты Windows/Интерфейс учетных данных

Параметры службы установщика ActiveX настраиваются с помощью редактора объектов групповой политики (табл. 7):

Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Служба установщика ActiveX

Дополнительные сведения о параметрах политики безопасности смотрите на вкладке Объяснение для соответствующих параметров в редакторе объектов групповой политики.

Архивация и восстановление

О важности процессов архивации и восстановления уже было сказано очень много, и я уверен, что все понимают, что в некоторых случаях восстановить информацию можно лишь с помощью архивных копий.

Родительский контроль

Сегодня уже очевидно, что необходим контроль за пребыванием детей в Интернете: ограничение времени на компьютерные игры, запрет на посещение определенных сайтов и пр. Все это можно регулировать с помощью функций родительского контроля (подробнее см. «Родительский контроль в Windows Vista» — http://vladbez.spaces.live.com/blog/cns!586B9203C3561071!507.entry).

Служба Windows Update

Служба Windows Update уже давно и успешно используется для загрузки и установки обновлений. Помните, что установка обновлений позволит вам существенно снизить риск заражения вредоносным ПО.

Защищенный режим Internet Explorer

Не следует забывать и о таком интересном новшестве, как использование защищенного режима Internet Explorer. Данный режим предназначен прежде всего для затруднения установки вредоносного ПО на компьютере, а кроме того, для инсталляции нужных элементов ActiveX или надстроек при входе в систему под учетной записью с правами локального администратора.

Данный режим включен по умолчанию в Интернете, интрасети и в зонах ограниченных узлов. В случае применения данного режима Internet Explorer будет предупреждать о попытках веб-страниц установить или запустить определенные программы. Предупреждения будут выдаваться при запуске программы вне Internet Explorer и вне защищенного режима, поскольку в этом случае программа может получить несанкционированное право доступа к компьютеру. Как правило, подобное поведение программ возможно в случае, если веб-узел использует надстройку для запуска программы на компьютере пользователя.

Конструктор шаблонов безопасности

Шаблоны безопасности представляют собой текстовые файлы. Для изменения таких файлов применяется оснастка шаблонов безопасности из состава MMC или текстовый редактор (например, программа «Блокнот»). Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc, a в этой консоли выбрать меню Консоль — Добавить или удалить оснастку. В диалоговом окне Добавление или удаление оснастки выбрать Шаблоны безопасности и нажать на кнопку Добавить (рис. 7).

Рис. 7. Настройка шаблона безопасности

Применение локальной политики для настройки безопасности

Политики учетных записей

В данном разделе вы сможете внести изменения в следующие параметры:

• вести журнал паролей;
• максимальный срок действия пароля;
• минимальная длина пароля;
• минимальный срок действия пароля;
• пароль должен отвечать требованиям сложности;
• хранить пароль, используя обратимое шифрование.

Рассмотрим каждый из этих параметров.

Вести журнал паролей

Данный параметр определяет число новых уникальных паролей, которые должны быть назначены до повторного использования старого пароля. Значение данного параметра может варьироваться от 0 до 24. Использование данного параметра позволит гарантировать невозможность повторного применения старых паролей. По умолчанию значение параметра равно 1. В случае использования повышенных требований к безопасности значение параметра должно быть равно 24. Если значение журнала паролей равно 0, то пользователю не нужно выбирать новый пароль.

Вместе с тем стоит предусмотреть невозможность повторного изменения пароля сразу после того, как он был изменен. В связи с этим необходимо включить параметр безопасности «Минимальный срок действия пароля».

Минимальный срок действия пароля

Данный параметр определяет период времени (в днях), в течение которого пользователю придется применять пароль, прежде чем его можно будет изменить. По умолчанию — 0 дней, что позволяет сменить пароль сразу после очередной смены. Можно установить любое значение от 1 до 998 дней. Стоит учесть, что минимальный срок действия пароля должно быть меньше максимального срока действия, за исключением максимального срока равного 0 дней. Данное значение означает, что срок действия его никогда не истечет.

Максимальный срок действия пароля

Данный параметр безопасности определяет период времени (в днях), в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. Срок действия пароля может составлять от 1 до 999 дней; значение 0 соответствует неограниченному сроку действия пароля. Значение минимального срока действия пароля должно быть меньше максимального. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней. По умолчанию это значение равно 42.

Минимальная длина пароля

Данный параметр определяет минимальную длину пароля в знаках. Значение параметра может быть от 1 до 14 знаков, либо 0, если пароль не требуется. Для систем с повышенными требованиями безопасности длина пароля должна составлять не менее десяти символов.

Пароль должен отвечать требованиям сложности

Если этот параметр включен, пароли должны удовлетворять следующим минимальным требованиям:

• не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков;
• иметь длину не менее шести знаков;
• содержать знаки трех из четырех перечисленных кодировок:
  • латинские заглавные буквы (от A до Z),
  • латинские строчные буквы (от a до z),
  • цифры (от 0 до 9),
  • другие знаки (например, !, $, #, %).

Требования сложности применяются при создании или изменении пароля.

Политика блокировки учетной записи

Время до сброса счетчика блокировки

Данный параметр определяет интервал времени в минутах, который должен истечь после неудачной попытки входа в систему до того, как счетчик неудачных попыток входа будет сброшен до 0. Допустимые значения — от 1 до 99 999 минут. Если определено пороговое значение блокировки учетной записи, то время сброса должно быть меньше или равно длительности блокировки учетной записи. По умолчанию это значение не задано, поскольку этот параметр политики принимает значения, только если задано пороговое значение блокировки учетной записи.

Пороговое значение блокировки

Данный параметр определяет количество неудачных попыток входа в систему, после которых учетная запись будет блокирована. Заблокированная учетная запись не будет использована до того, пока не будет сброшена администратором либо пока не истечет период блокировки этой учетной записи. Количество неудачных попыток входа может составлять от 0 до 999. Если это значение равно 0, то учетная запись никогда не будет заблокирована. Неудачные попытки ввода паролей на рабочих станциях, заблокированных с помощью клавиш Ctrl+Alt+Delete или защищенных паролем заставок, считаются неудачными попытками входа в систему.

По умолчанию значение этого параметра равно 0.

Продолжительность блокировки учетной записи

Данный параметр определяет продолжительность (в минутах) блокировки учетной записи до ее автоматической разблокировки. Допустимые значения — от 0 до 99 999 минут. Значение 0 означает, что учетная запись будет заблокирована до принудительного ее разблокирования администратором. По умолчанию значение этого параметра не задано.

Заключение

Безопасность вашего компьютера, безусловно, будет определяться не только данными параметрами, однако надеюсь, что даже этот небольшой список поможет вам обеспечить защиту своего компьютера.

КомпьютерПресс 7'2008