Руководство по безопасности Windows® 7
Набор средств по управлению соответствием требованиям безопасности
Версия 1.0
Дата опубликования: октябрь 2009 г.
Последние изменения см. на
microsoft.com/ssa
Copyright © 2009 Корпорация Майкрософт. Все права защищены. Читатель несет ответственность за соблюдение применимого законодательства в области охраны авторских прав. Используя настоящую документацию или предоставляя отзыв на нее, вы соглашаетесь со следующим лицензионным соглашением.
Если эта документация используется исключительно в некоммерческих целях внутри ВАШЕЙ компании или организации, то на нее вам предоставляется лицензия Creative Commons Attribution-NonCommercial License. Копию текста этой лицензии можно получить на веб-сайте http://creativecommons.org/licenses/by-nc/2.5/ или отправив запрос по адресу Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.
Настоящая документация предоставляется исключительно в целях ознакомления и исключительно по принципу «как есть» («AS IS»). Использование вами настоящей документации не может расцениваться как полноценная замена тем услугам и информационным материалам, что корпорация Майкрософт может разработать и предоставить вам, отталкиваясь от ваших специфических условий работы. В максимальной степени, разрешенной законом, КОРПОРАЦИЯ МАЙКРОСОФТ ОТКАЗЫВАЕТСЯ ОТ ЛЮБЫХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДПИСАННЫХ, И НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБОЙ УЩЕРБ, ВОЗНИКШИЙ В СВЯЗИ С ДАННЫМИ МАТЕРИАЛАМИ ИЛИ ЛЮБОЙ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТЬЮ, СОДЕРЖАЩЕЙСЯ В НИХ.
На материалы, содержащиеся в этой документации, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Без отдельного соглашения с корпорацией Майкрософт использование этого документа не предоставляет вам никаких прав на эти патенты, товарные знаки или иные объекты интеллектуальной собственности.
Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-сайты, могут быть изменены без предварительного уведомления. Все компании, организации, продукты, доменные имена, адреса электронной почты, логотипы, люди, места и события, упомянутые в примерах, являются вымышленными, если не указано обратное.
Microsoft, Access, Active Directory, ActiveX, Authenticode, BitLocker, Excel, Forefront, InfoPath, Internet Explorer, Internet Explorer 8, JScript, MSDN, Outlook, PowerPoint, SharePoint, Visual Basic, Windows, Windows Server, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista и Windows XP являются либо зарегистрированными товарными знаками, либо товарными знаками корпорации Майкрософт в США и (или) других странах.
Упомянутые названия реально существующих компаний и продуктов могут быть торговыми марками их владельцев.
Вы не обязаны предоставлять в Майкрософт какие бы то ни было комментарии, предложения или иные отзывы («Отзывы») по данной документации. Однако, если вы представляете в Майкрософт какой-либо Отзыв, вы тем самым безвозмездно наделяете Майкрософт правом использовать этот Отзыв, передавать его другим лицам и извлекать из него прибыль, любым способом и с любой целью. Вы также безвозмездно предоставляете третьим лицам любые патентные права, необходимые, чтобы их продукты, технологии или услуги могли использовать или взаимодействовать с любыми частями программного обеспечения или услуг Майкрософт, включающими этот Отзыв. Вы не можете представить Отзыв, который подразумевает обязанность Майкрософт в случае использования этого Отзыва в каком-либо ее продукте или документации передавать этот продукт или документацию третьим лицам только по лицензии.
Содержание
Обзор 1
Глава 1. Создание базовой конфигурации безопасности 9
Глава 2. Защита от вредоносного ПО 31
Глава 3. Защита конфиденциальных данных 59
Глава 4. Совместимость приложений с Windows 7 95
Обзор
Настоящее Руководство по безопасности Windows 7 содержит инструкции и рекомендации по повышению безопасности настольных и переносных ПК, работающих под управлением Windows® 7 в домене на основе доменных служб Active Directory® Domain Services (AD DS).
Настоящее руководство дополняет Руководство по безопасности Windows 7 средствами, пошаговыми инструкциями, рекомендациями и процессами, которые значительно упрощают ход развертывания. Здесь не только приводятся эффективные способы обеспечения безопасности, но и описывается метод, которым легко воплотить указания руководства в жизнь как в тестовой, так и в производственной среде.
Ключевой инструмент, используемый в связке с Руководством по безопасности Windows 7, — сценарий GPOAccelerator.wsf. С его помощью можно автоматически создать все объекты групповой политики (GPO), необходимые для практического применения этого руководства.
Проектировщики, консультанты, сотрудники службы поддержки, партнеры и клиенты корпорации Майкрософт изучили или одобрили настоящее руководство. Можно быть уверенным, что оно:
достоверно. Основано на реальном опыте;
авторитетно. Содержит лучшие из возможных рекомендаций;
точно. Инструкции проверены и испытаны;
выполнимо. Содержит конкретные шаги;
актуально. Посвящено реально существующим рискам безопасности.
Консультанты и системные инженеры разработали набор рекомендаций по использованию ОС Windows 7, Windows Vista® с пакетом обновления 1 (SP1), Windows Server® 2003 с пакетом обновления 2 (SP2) и Windows Server® 2008 с пакетом обновления 2 (SP2) в самых различных условиях. Если вы в данный момент оцениваете Windows 7, то набор средств оценки и планирования Майкрософт, адресованный предприятиям среднего размера, позволит легко определить готовность компьютеров к этой ОС. С его помощью можно быстро провести инвентаризацию, установить, где Windows 7 поддерживается, и какое оборудование нужно обновить.
Майкрософт уже публиковала руководства для ОС Windows Vista с пакетом обновления 1 (SP1) и Windows® XP с пакетом обновления 3 (SP3). В настоящем Руководстве по безопасности Windows 7 рассматриваются существенные улучшения, внесенные в эту ОС. Руководство разрабатывалось и тестировалось на компьютерах, работающих под управлением Windows 7 и входящих в домен на основе Active Directory, а также на независимых компьютерах.
Примечание Если не указано иное, все упоминания Windows XP в этом руководстве означают Windows XP Professional с пакетом обновления 3 (SP3), а все упоминания Windows Vista означают Windows Vista с пакетом обновления 1 (SP1).
Аннотация руководителю
Что бы ни представляла из себя рабочая среда, к вопросам безопасности не стоит относиться халатно. Многие предприятия недооценивают значение информационных технологий (ИТ). Хорошо подготовленная атака на серверы может нанести компании существенный ущерб. Например, если вредоносное ПО проникнет на компьютеры вашей сети, вы можете лишиться закрытой информации, а также понести существенные затраты на восстановление их безопасности. Если же в результате атаки станет недоступным ваш веб-сайт, это может вылиться в существенное снижение прибыли или степени доверия потребителей.
Исследование уязвимостей, рисков и контактной зоны позволит разобраться в компромиссе между безопасностью и функциональностью, который имеет место для любого сетевого компьютера. В этом руководстве описаны главные средства обеспечения безопасности, которые может предложить Windows 7, те уязвимости, которые ими устраняются, и возможный отрицательный эффект (если он есть) от введения средства в силу.
Настоящее руководство стоит в одном ряду с Руководством по безопасности Windows XP и Руководством по безопасности Windows Vista, посвященным усилению безопасности соответственно ОС Windows XP Professional с пакетом обновления 3 (SP3) и Windows Vista с пакетом обновления 1 (SP1). Рекомендации Руководства по безопасности Windows 7 касаются обеспечения безопасности компьютеров, работающих в следующих средах:
корпоративный клиент (Enterprise Client, EC). Клиентские компьютеры этой среды входят в домен на основе Active Directory и устанавливают подключения только к компьютерам под управлением Windows Server 2008. Среди операционных систем клиентских компьютеров представлены Windows 7 и Windows Vista с пакетом обновления 1 (SP1). Инструкции по тестированию и развертыванию в такой среде приведены в разделе «Среда корпоративных клиентов» в главе 1, «Создание базовой конфигурации безопасности». Более подробно основополагающие параметры безопасности этой среды приведены в книге Microsoft Excel® «Windows 7 Security Baseline Settings»;
особые параметры безопасности и ограниченная функциональность (Specialized Security – Limited Functionality, SSLF). Важность обеспечения безопасности в этой среде столь велика, что допускается значительная потеря функциональности и управляемости. В качестве примера можно привести военные и разведывательные организации. Клиентские компьютеры в этой среде работают только под управлением Windows Vista с пакетом обновления 1 (SP1). Инструкции по тестированию и развертыванию в такой среде приведены в разделе «Особые параметры безопасности и ограниченная функциональность» в главе 1, «Создание базовой конфигурации безопасности». В книге Excel «Windows 7 Security Baseline Settings» параметры этой среды также описываются более подробно.
Внимание! Параметры безопасности SSLF не подойдут для большинства предприятий. Они были разработаны для организаций, где безопасность важнее функциональности.
Структура руководства позволяет легко найти нужную информацию. С его помощью и с помощью упоминаемых в нем средств можно:
развернуть и ввести в действие любую из упоминаемых схем обеспечения безопасности;
узнать о возможностях безопасности Windows Vista с пакетом обновления 1 (SP1) и начать их использовать;
узнать о назначении и важности каждого отдельного параметра в любой из двух схем.
Чтобы создавать, тестировать и развертывать параметры безопасности для среды корпоративных клиентов или среды SSLF, нужно сначала запустить MSI-файл установщика Windows®, содержащий средство GPOAccelerator, дополняющее этот загружаемый набор средств. Это средство затем можно использовать для автоматического создания всех объектов GPO для рекомендуемых параметров безопасности. Подробнее об использовании этого средства рассказано в сопроводительном документе Использование GPOAccelerator.
Хотя это руководство адресовано корпоративным клиентам, многие его части актуальны для предприятий любого размера. Чтобы извлечь из руководства максимальную пользу, следует изучить его целиком, но для достижения конкретных узких целей достаточно прочитать соответствующую часть. В разделе «Аннотация к главам» настоящего обзора кратко изложен характер каждой главы. Подробнее о вопросах безопасности и соответствующих параметрах ОС Windows Vista см. Руководство по безопасности Windows Vista, а также сопутствующее руководство Угрозы и меры противодействия.
После развертывания на предприятии необходимых параметров безопасности можно убедиться в том, что они вступили в силу на каждом компьютере, и поможет в этом Набор средств по управлению соответствием требованиям безопасности (Security Compliance Management Toolkit). В него включены пакеты настроек (Configuration Packs), которые соответствуют рекомендациям настоящего руководства для сред EC и SSLF. Для эффективного мониторинга соответствия требованиям безопасности этот набор средств можно использовать совместно с компонентом управления необходимой конфигурацией (Desired Configuration Management, DCM) диспетчера Microsoft® System Center Configuration Manager 2007 SP1. Кроме того, имеется функция составления отчетов, показывающих степень соответствия организации нормативным требованиям. Подробнее см. комплект набора средств по управлению соответствием требованиям безопасности на сайте TechNet.
Кому адресовано это руководство
Настоящее Руководство по безопасности Windows 7 в большей степени адресовано ИТ-специалистам широкого профиля, специалистам в области безопасности, проектировщикам сетей, консультантам и другим сотрудникам сферы ИТ, кто занят проектированием или развертыванием приложений или инфраструктуры Windows 7 для настольных и переносных ПК в корпоративной среде.
Навыки и уровень подготовки
Руководство рассчитано на читателей (в частности ИТ-специалистов, занятых проектированием, развертыванием и обеспечением безопасности клиентских компьютеров под управлением Windows 7 в корпоративной среде), обладающих следующими навыками и опытом.
Сертификация MCSE по Windows Server 2003 или более поздняя, а также не менее двух лет опыта работы в области безопасности, либо аналогичный опыт.
Глубокое понимание домена предприятия и рабочей среды AD DS.
Опыт работы с консолью управления групповой политикой (GPMC).
Опыт в администрировании групповой политики с помощью консоли GPMC, единого инструмента по управлению любыми задачами групповой политики.
Опыт работы с такими средствами, как консоль управления (MMC), Gpupdate и Gpresult.
Опыт развертывания приложений и клиентских компьютеров в корпоративной среде.
Назначение и область применимости руководства
Основные цели настоящего руководства:
предоставить готовые методики эффективного создания и внедрения проверенных параметров безопасности с помощью групповой политики;
объяснить причины, стоящие за теми или иными рекомендуемыми параметрами безопасности, а также последствия от их установки;
научить, как распознавать типичные ситуации и управлять ими с помощью компонентов обеспечения безопасности Windows 7.
Руководство построено так, чтобы можно было с успехом изучить лишь ту его часть, что актуальна для конкретного предприятия. Однако, при полном прочтении польза от руководства будет максимальной.
Акцент делается на создании и поддержании безопасной рабочей среды для компьютеров под управлением Windows 7. Описываются разные стадии этого процесса в каждом из двух типов сред, а также объясняется смысл каждого параметра безопасности для настольных и переносных ПК, принадлежащих любому из них. Руководство содержит предписания и рекомендации по безопасности.
Клиентские компьютеры под управлением ОС Windows 7 в средах EC и SSLF были протестированы в связке с компьютерами под управлением Windows Server 2008 R2, Windows Server 2008 SP2, Windows Server 2003 R2, Windows Server 2003 SP2, Windows XP SP3 и Windows Vista SP2. Параметры безопасности на этих других компьютерах были сходны с параметрами, выбранными для компьютеров с Windows 7, чтобы проверка подлинности и авторизация проходили успешно. Другие недавние версии ОС Windows также могут использоваться при условии верной настройки, но на них испытания не проводились.
Рекомендации Майкрософт и FDCC
Federal Desktop Core Configuration (FDCC) (базовые параметры федеральных компьютеров) — это указание Административно-бюджетного управления США, согласно которому компьютеры федерального правительства, работающие под управлением конкретных операционных систем, должны быть сконфигурированы особым образом. В последнем меморандуме Управления требования были сведены воедино, и Национальный институт стандартов и технологий США (NIST) опубликовал на веб-сайте FDCC предписанные параметры и сопутствующие материалы, облегчающие их введение.
Параметры FDCC для ОС Windows XP и Windows Vista были совместно разработаны Административно-бюджетным управлением США, Национальным институтом стандартов и технологий США, Министерством обороны США, Министерством национальной безопасности США и корпорацией Майкрософт. Требуемые параметры для этих двух версий Windows сходны с таковыми из руководств по безопасности Майкрософт, но все же отличаются. Согласно FDCC, необходимо задействовать ряд параметров, которые не затрагиваются руководствами Майкрософт, а для ряда упоминаемых в них параметров требуются иные значения. Это вполне предсказуемая ситуация, поскольку руководства Майкрософт и требования FDCC относятся к несколько отличающимся средам. На момент публикации настоящего документа настройки для Windows 7 в FDCC не упоминаются.
Аннотация к главам
Настоящее Руководство по безопасности Windows 7 состоит из следующих глав.
|