 |
Брандмауэр Windows в режиме повышенной безопасности
|
|
|
|
Брандмауэр Windows в режиме повышенной безопасности в Windows 7 и Windows Server 2008 представляет собой индивидуальный брандмауэр с отслеживанием состояния, который фильтрует входящие и исходящие подключения с учетом настроек. Хотя пользователи для настройки брандмауэра Windows применяют программу "Брандмауэр Windows" на панели управления, для более расширенной настройки теперь используется оснастка консоли управления (MMC) под названием Брандмауэр Windows в режиме повышенной безопасности. Эта оснастка предоставляет не только интерфейс для локальной настройки брандмауэра Windows, но и интерфейс для настройки брандмауэра Windows на удаленных компьютерах и с помощью групповой политики. Параметры брандмауэра теперь интегрированы с параметрами IPsec, что обеспечивает определенную степень взаимодействия: брандмауэр Windows может теперь разрешать трафик с учетом результатов согласования IPsec.
Брандмауэр Windows в режиме повышенной безопасности поддерживает различные профили для случаев, когда компьютеры являются членами домена или подключены к частной или публичной сети. Он также поддерживает создание правил для применения политик изоляции сервера и домена. Брандмауэр Windows в режиме повышенной безопасности поддерживает более подробные правила по сравнению с предыдущими версиями брандмауэра Windows. Правила теперь включают пользователей и группы в Active Directory, исходные и конечные IP-адреса, номер IP-порта, параметры ICMP, параметры IPsec, определенные типы интерфейсов, службы и многое другое.
Новые и улучшенные компоненты:
· Интеграция IPSec;
· Расширенный обход с проверкой подлинности;
· Сетевые ограничения в ограниченном режиме работы служб Windows;
· Подробные правила;
|
|
|
· Фильтрация исходящего трафика;
· Профили, учитывающие расположение в сети;
· Поддержка пользователей, компьютеров и групп Active Directory;
· Поддержка IPv6.
Шифрование диска BitLocker
Шифрование диска BitLocker — это новая интегральная функция безопасности, обеспечивающая достаточную защиту автономных данных и операционной системы компьютера. BitLocker гарантирует, что данные на компьютере не подвергнутся вмешательству при автономной работе установленной операционной системы.
Шифрование диска BitLocker работает с доверенным платформенным модулем (TPM), шифруя весь том Windows, заранее обеспечивая целостность компонентов загрузки и защиту данных. Шифрование диска BitLocker предназначено для устранения проблем пользователя во время запуска систем с совместимыми микросхемой TPM и BIOS.
TPM версии 1.2 с соответствующими модификациями BIOS (для поддержки статического корневого объекта измерения уровня доверия по определению группы Trusted Computing Group) необходим для хранения на компьютере ключей шифрования. Однако шифрование диска BitLocker можно использовать и на компьютерах без совместимой версии TPM. Ключи шифрования хранятся на USB флэш-памяти для проверки подлинности пользователя во время запуска.
Службы доверенного платформенного модуля
Службы доверенного платформенного модуля (TPM) — это новый набор средств этой версии Windows, используемый для администрирования оборудования безопасности TPM компьютера. Архитектура служб TPM обеспечивает инфраструктуру аппаратно реализованной безопасности, предоставляя доступ и обеспечивая общий доступ к TPM на уровне приложений. Это означает, что общий доступ на уровне приложений может быть встроен при разработке программного обеспечения и что службы можно администрировать через графический интерфейс пользователя.
Групповые политики
Групповая политика — ключевой механизм управления настройками внутри Windows. Это не так просто, поскольку расширение политик приводит к увеличению числа параметров, с увеличением числа параметров расширяется выбор, а с расширением выбора растет сложность. Улучшения в консоли управления групповой политикой (Group Policy Management Console, GPMC) Windows Server 2008 отчасти компенсируют рост сложности.
|
|
|
Произошли важные изменения в некоторых скрытых от пользователя компонентах групповой политики. Самое главное, что механизм групповой политики выведен из системного процесса Winlogon, в котором он функционировал начиная с Windows 2000, в собственную службу Group Policy Client. Group Policy Client — неперезапускаемая служба в Windows 7 и Windows Server 2008, которая выполняет обработку групповых политик.
Изменился процесс обнаружения медленных линий. В групповой политике используется новая версия провайдера Network Location Awareness (NLA), поставляемая с Windows 7 и Server 2008. NLA проверяет доступность контроллера домена и в случае успеха определяет скорость сетевого канала между клиентом и контроллером. При этом используются надежные протоколы, такие как удаленный вызов процедур (RPC).
Наряду с более точным обнаружением медленных линий, служба NLA используется в механизме групповой политики для совершенствования процесса обновления групповой политики в фоновом режиме. Если компьютер с одной из новых версий операционной системы пытается обновить групповую политику в фоновом режиме и не может этого сделать из-за недоступности контроллера домена, то после восстановления связи клиент запускает фоновое обновление групповой политики сразу же после того, как служба NLA обнаруживает контроллер.
В Windows 7 и Windows Server 2008 изменился формат административных шаблонов, или ADM-файлов. ADM-файлы создают параметры политики, отображаемые в узлах Administrative Templates в редакторе GPE. ADMX-файлы в Windows 7 играют ту же роль. Между ADM и ADMX существует много различий. Главное из них — хранение; ADMX-файлы находятся в центральном хранилище, а такие же ADM-файлы размещаются в каждом GPO на каждом контроллере домена.
В дополнение к основным изменениям групповой политики в Windows 7 и Server 2008, Microsoft добавила ряд новых возможностей настройки.
· Имеющиеся принтеры;
· Управление энергопотреблением;
· Новые политики безопасности;
|
|
|
· Ограничения для устройств.
Порядок выполнения работы
4.1 Настроить систему защиты для Windows 7:
· Создать учетную запись пользователя, изменить тип учетной записи, произвести настройку учетной записи, установить Родительский контроль на созданную учетную запись.
· Включить управление квотами с отказом в доступе в случае превышения квоты.
· Выполнить процедуру резервного копирования всех системных конфигурационных файлов.
4.2 Изменить некоторые системные настройки посредством реестра.
1.Выполнить экспорт реестра в текстовый файл на свой раздел диска. Имя файла – MYREG.REG
2.Добавить сообщение, отображаемое при регистрации пользователя в системе:
· Вызвать редактор REGEDIT.
· Раскрыть ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\WindowsNT\CurrentVersion\WinLogon
· Найти параметр LegalNoticeCaption.
· Раскрыть его и ввести «Заголовок окна». Введенная фраза будет отображаться в заголовке информационного окна.
· Найти параметр LegalNoticeText. Раскрыть его и ввести «Вас приветствует администратор».
· Закрытье окно редактора. Перезагрузить систему
3. Изменить значок мусорной корзины (пустой и заполненной):
· В реестре найти ключ HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\CLSID\645FF040-5081-101B-9F08-00AA002F954E. Прямо под ним – ключ Defaulticon. Открытьего.
· В правом окне элементы FULL и EMPTY.Номера 31 и 32 соответствуют пиктограммам. Заменить их на 64 и 65 соответственно.
4. Удалить стрелки с ярлыков:
· Создать на рабочем столе 2 любых ярлыка.
· Убедиться, что на ярлычках имеются маленькие стрелочки
· Вызвать редактор реестра
· Найти ключ HKEY_CLASSES_ROOT\lnkfile
· Записать тип параметра IsShortcut в тетрадь (для дальнейшего восстановления), удалить этот параметр
· Найти ключ HKEY_CLASSES_ROOT\piffile
· Удалить параметр IsShortcut
· Перезагрузить Windows. Убедиться, что стрелочки у ярлычков отсутствуют
· Вернуть прежние установки (параметры IsShortcut).
5. Изменить фоновый рисунок экрана входа Windows LogOn
· Зайти в реестр и пройти к записи HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Authentication/LogonUI/Background.
· Найти в правой панели ключ “OEMBackground”. Если этого ключа нет, то создать его. Для этого кликнуть правой кнопкой мыши по правой панели, выбрать Создать и затем Параметр DWORD (32 бита). Созданный ключ необходимо назвать соответственно “OEMBackground”.
|
|
|
· Дважды кликнуть по ключу, чтобы открыть его.
· Теперь в поле Значение ввести 1.
· Кликнуть OK.
· С помощью проводника Windows пройти в папку Windows/System32/oobe. Если в этой папке есть папка с названием info, то войти в нее. Если в info есть папка с названием backgrounds, то войти в нее. Если две последние папки не существуют, то создать их.
· Скопировать желаемое изображение (это должен быть JPEG-файл с размером менее 256KB) в папку info/backgrounds.
· Затем переименовать скопированный собой файл в backgroundDefault.jpg. (Заметьте, что если размер изображения отличается от разрешения рабочего стола, то изображение будет подогнано под стол – с возможной потерей его качества. Папка info/background также поддерживает 12 других файлов под определенные разрешения. Файлы должны иметь название backgroundXXXXX.jpg, где вместо XXXXX следует вставить разрешения 900x1440, 960x1280, 1024x1280, 1280x1024, 1024x768, 1280x960, 1600x1200, 1440x900, 1920x1200, 1280x768 и 1360x768. (Так, например, файл background1920x1200.jpg будет использоваться на разрешении 1920х1200). При следующей перезагрузке компьютера в окне входа Windows LogOn вы увидите свою картинку. Если выбранная вами картинка мешает вам читать надписи на кнопках экрана, то попробуйте настроить вид кнопок. Для этого:
· Пройти к ключу HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Authentication/LogonUI.
· В правой панели создать параметр DWORD с названием ButtonSet.
· Изменить его значение на 1 (тени текста при этом станут темнее, а кнопка светлее. Параметр предназначен для светлых рисунков) или на 2 (нет теней и непрозрачные кнопки – для темных рисунков) или на 0, что Windows принимает по умолчанию.
6. Персонализировать строку заголовка IE8
· Перейти к записи HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main.
· Кликнуть правой кнопкой мыши по правой панели, выберать Создать и затем Строковый параметр.
· Назвать только что созданный параметр “Window Title” (вместе с пробелом!).
· Дважды кликнуть по нему мышью.
· Ввести в поле значения свой “Текст”… и кликнуть OK.
7. Изменение размера кнопок панели задач
По умолчанию Windows 7 всегда объединяет кнопки панели задач от одной программы и никогда не отображает их лэйблы. Если же только что полностью отключили объединение окон или заставили операционную систему объединять их только при заполнении панели задач, то также можно изменить размер иконок, чтобы скрыть их лэйблы. Для этого:
· 1. Пройти к записи HKEY_CURRENT_USER/Control Panel/Desktop/WindowMetrics.
· Найти в правой панели ключ “MinWidth”. Если его там нет, то придется создать его самостоятельно. Кликнить правой кнопкой мыши по правой панели, выбрать Создать и затем Строковый параметр. После чего переименовать созданный параметр в MinWidth.
|
|
|
· Дважды кликнуть по MinWidth, чтобы открыть его.
· Изменить число в поле значения. Для небольших иконок ввести сюда 38. Для более крупных ввести52.
· Кликнуть OK.
Содержание отчета
1. Название работы
2. Цель работы
3. Порядок выполнения работы
4. Ответы на контрольные вопросы
6 Контрольные вопросы
1. Перечислите задачи системы безопасности.
2. Перечислите основные инструменты защиты Windows 7.
3. Опишите принцип работы Защитника Windows.
4. Опишите принцип работы Контроля учетных записей.
5. Опишите принцип работы утилиты архивации и восстановления.
6. Опишите принцип работы утилиты родительского контроля.
7. Опишите принцип работы брандмауэра Windows.
8. Опишите принцип работы шифрования диска BitLocker.
9. Что такое групповые политики?
10. Какие корневые ключи имеет реестр, в чем их назначение?
Перечень литературы
7.1Логинов М.Д. Техническое обслуживание средств вычислительной техники: учебное пособие. – М.: Бином. Лаборатория знаний, 2010.
7.2 Таненбаум Э. Современные операционные системы.3-еизд. –СПб.: Питер, 2010.
Практическое занятие №4
Контроль за работой технических и программных средств с помощью ПО
Цель работы
Получение практических навыков
- работы с ОС при помощи командной строки;
- создания резервной копии реестра;
- очистки реестра;
- работы со средствами контроля и диагностики компьютера DirectX, Advanced SystemCare Pro, AIDA64.
|
|
|
