Брандмауэр Windows также включает фильтрацию исходящего сетевого трафика, и изначально это правило установлено на значение «Разрешить» для всего исходящего сетевого трафика. Параметры групповой политики можно использовать для настройки этих правил в брандмауэре Windows Vista, чтобы гарантировать, что параметры безопасности клиента останутся постоянными.
Имеется ряд вопросов, которые следует учесть, если планируется использовать брандмауэр в системе Windows Vista.
• Протестируйте взаимодействие с приложениями, которые необходимо использовать на компьютерах в организации. Для каждого приложения необходимо составить список требований к сетевым портам, чтобы гарантировать, что в брандмауэре Windows будут открыты только необходимые порты.
• Брандмауэр Windows XP поддерживает доменный и стандартный профили. Профиль домена активен, если клиент подключен к сети, которая содержит контроллеры домена для домена, в котором находится учетная запись компьютера. Это позволяет создавать правила в соответствии с требованиями внутренней сети организации. Брандмауэр Windows Vista включает частный и общий профили, обеспечивающие более точное управление защитой клиентского компьютера при работе пользователя за пределами сетевой защиты организации.
• Оцените возможности ведения журнала брандмауэра Windows для определения возможности его интеграции в существующие решения предприятия по созданию отчетов и наблюдению.
• По умолчанию брандмауэр Windows блокирует удаленный контроль или удаленное управление компьютерами с операционной системой Windows Vista. Корпорация Майкрософт создала ряд правил для брандмауэра Windows, предназначенных специально для выполнения подобных удаленных задач. Для того чтобы компьютеры организации поддерживали выполнение подобных задач, необходимо включить соответствующие правила для каждого профиля, в котором требуется выполнение этих задач. Например, можно включить правило удаленного рабочего стола для профиля домена, чтобы позволить своей справочной службе поддерживать пользователей в сети организации, но отключить его для частного и общего профилей, чтобы сократить возможности для атаки на компьютеры, когда они находятся за пределами сети организации.
Система Windows Vista включает новые параметры групповой политики и пользовательский интерфейс управления, которые помогают настраивать новые функции в брандмауэре Windows Vista. Расширенные параметры безопасности для системы Windows Vista не применяются к клиентскому компьютеру с операционной системой Windows XP.
Корпорация Майкрософт рекомендует тщательно изучить эти новые возможности, чтобы определить, смогут ли они обеспечить лучшую безопасность среды. Если планируется изменить действия брандмауэра Windows Vista, выполняемые по умолчанию, корпорация Майкрософт рекомендует использовать для управления клиентскими компьютерами с операционной системой Windows Vista параметры групповой политики брандмауэра Windows в режиме повышенной безопасности.
Новые параметры групповой политики и оснастку управления, доступные для брандмауэра Windows, можно изучить и настроить в следующем местоположении редактора объектов групповой политики:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности
Брандмауэр Windows в режиме повышенной безопасности поддерживает следующие профили среды.
• Профиль домена. Этот профиль применяется, если компьютер подключен к сети и проходит проверку подлинности на контроллере домена, которому принадлежит компьютер.
• Общий профиль. Данный профиль является типом сетевого местоположения по умолчанию в случае, если компьютер не подключен к домену. Параметры общего профиля должны максимально ограничивать доступ, поскольку компьютер подключен к общедоступной сети, безопасность которой нельзя контролировать так же жестко, как в ИТ-среде.
• Частный профиль. Этот профиль применяется только в случае, если пользователь с привилегиями локального администратора назначает его сети, которая до этого была общей. Корпорация Майкрософт рекомендует делать это только при работе в надежной сети.
Важно понимать, что одновременно активен только один профиль. Если на компьютере установлено несколько сетевых плат, и они подключены к разным сетям, выбор применяемого профиля осуществляется следующим образом:
1. Если все сетевые платы подключены к сети с доменами, примените профиль домена.
2. Если все сетевые платы подключены к частной сети, примените частный профиль.
3. Если одна из плат подключена к общей сети, примените общий профиль.
Корпорация Майкрософт рекомендует включить брандмауэр Windows в режиме повышенной безопасности для всех трех профилей. Помимо расширенных правил брандмауэра Windows, он также поддерживает правила безопасности подключения. Безопасность подключения включает проверку подлинности двух компьютеров перед началом их взаимодействия и обеспечение безопасности данных, пересылаемых между двумя компьютерами. Брандмауэр Windows в режиме повышенной безопасности включает технологию IPsec для поддержки обмена ключами, проверки подлинности, целостности данных, а также шифрования данных (дополнительно).
В приложении А «Параметры групповой политики, связанные с безопасностью» описываются все исходные параметры брандмауэра Windows в режиме повышенной безопасности и поясняется, какие параметры требуют специфичные для среды сведения.
Центр обеспечения безопасности Windows (WSC) работает в фоновом режиме на клиентских компьютерах с операционными системами Windows Vista и Windows XP с пакетом обновления 2 (SP2). В системе Windows Vista эта функция постоянно проверяет и отображает состояние четырех важных категорий безопасности.
• Брандмауэр
• Функция автоматического обновления
• Защита от вредоносных программ
• Другие параметры безопасности
Центр обеспечения безопасности Windows также служит отправной точкой для доступа к другим областям компьютера, относящимся к безопасности, и обеспечивает единое место для поиска связанных с безопасностью ресурсов и поддержки. Например, центр обеспечения безопасности Windows содержит ссылку, позволяющую пользователям, не имеющим антивирусного программного обеспечения, просмотреть предложения поставщиков антивирусных решений, совместимых с центром обеспечения безопасности Windows.
Корпорация Майкрософт улучшила центр обеспечения безопасности Windows в системе Windows Vista, включив в него категорию «Другие параметры безопасности». Эта категория отображает состояние параметров безопасности обозревателя Internet Explorer и функции управления учетными записями пользователей. Другая новая категория в системе Windows Vista – это «Защита от вредоносных программ», которая включает наблюдение за антивирусным и антишпионским программным обеспечением. Помимо защиты, обеспечиваемой системой Windows Vista по умолчанию, центр обеспечения безопасности Windows позволяет осуществлять наблюдение за решениями различных производителей по обеспечению безопасности для брандмауэра Windows, а также антивирусным и антишпионским программным обеспечением, запущенном на клиентском компьютере, и отображать, какие из решений включены и обновлены.
Для клиентских компьютеров с операционной системой Windows Vista центр обеспечения безопасности Windows предоставляет прямые ссылки на ПО поставщиков, которое можно использовать для устранения возникающих проблем с компьютером. Например, если антивирусное или антишпионское решение стороннего производителя отключено или устарело, в центре обеспечения безопасности Windows имеется кнопка, нажав на которую, можно запустить на компьютере решение производителя для устранения проблемы. Кроме того, центр обеспечения безопасности Windows содержит ссылки на веб-узел производителя, которые можно использовать для запуска или обновления подписки или получения обновлений. Осведомленность об отключении или устаревании программ для обеспечения безопасности и возможность легко загрузить обновления может означать разницу между максимально возможной защитой и уязвимостью для вредоносных программ.
Центр обеспечения безопасности Windows запускается по умолчанию на компьютерах с операционной системой Windows Vista. Параметры групповой политики, описанные в предыдущей главе, не содержат параметров, изменяющих поведение центра обеспечения безопасности Windows по умолчанию. Тем не менее, администраторы могут использовать групповую политику для включения или отключения клиентского пользовательского интерфейса центра обеспечения безопасности Windows на компьютерах, подключенных к домену. Доступные параметры групповой политики центра обеспечения безопасности Windows можно просмотреть и настроить в следующем местоположении редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обеспечения безопасности
Для эффективной работы средства удаления вредоносных программ используйте следующую процедуру.
Использование процедуры снижения рисков:
1. Изучите возможности средства удаления вредоносных программ.
2. Оцените необходимость использования средства в вашей среде.
3. Определите наиболее подходящий способ развертывания средства в вашей организации.
4. Выделите компьютеры в организации, которые получат преимущества от защиты, предлагаемой данным средством.
5. Проведите развертывание средства выбранным способом.
Политики ограниченного использования программ дают возможность администраторам определять приложения и контролировать возможность их запуска на локальных компьютерах. Эта функция способствует защите компьютеров под управлением систем Windows Vista и Windows XP Professional от известных конфликтов, а также помогает обезопасить их от вредоносного программного обеспечения, например, от вирусов и программ типа «Троянский конь». Политики ограниченного использования программ полностью интегрируются со службой каталогов Active Directory и групповой политикой. Эту функцию также можно использовать и на автономных компьютерах. С помощью политик ограниченного использования программ можно выполнять следующие действия: