Смекни!
smekni.com

Безопасность в системе Windows Vista. Основные службы и механизмы безопасности (стр. 9 из 12)

• контролировать, какое программное обеспечение может быть запущено на клиентских компьютерах в конкретной среде;

• ограничивать доступ к определенным файлам на многопользовательских компьютерах;

• решать, кто именно может пополнять список заслуживающих доверия издателей на клиентских компьютерах;

• определять, действуют ли политики для всех пользователей клиентских компьютеров или только для некоторых из них;

• предотвратить запуск EXE-файлов на локальных компьютерах на основании политик, установленных на уровне компьютера, подразделения организации (OU), узла и домена.

Важно. Необходимо тщательно проверить все параметры политик, упомянутые в данном руководстве, перед развертыванием их в производственной среде. Особое внимание этому нужно уделить при настройке параметров политик ограниченного использования программ. Ошибки, допущенные при планировании или внедрении этой функции, могут привести к значительному ухудшению качества работы пользователей.

Политики ограниченного использования программ не подверглись существенным изменениям в системе Windows Vista. Поэтому они не описываются отдельно в данном руководстве. Дополнительные сведения о разработке и внедрении данных политик см. на странице Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения на веб-узле TechNet.

Технологии защиты обозревателя Internet Explorer 7

Вредоносные веб-узлы способны нарушить работу компьютеров. Технологии обозревателя Internet Explorer 7 позволяют предотвратить установку нежелательного программного обеспечения, а также защитить компьютер от несанкционированной передачи личных данных, что позволяет значительно повысить безопасность работы в обозревателе и обеспечить конфиденциальность. Новые технологии безопасности обозревателя Internet Explorer 7 включают в себя следующие функции.

• Защищенный режим обозревателя Internet Explorer.

• Функция ActiveX Opt-in.

• Защита от атак с применением междоменных сценариев.

• Строка состояния системы безопасности.

• Антифишинг.

• Дополнительные функции безопасности.

Обозреватель Internet Explorer 7 может работать в системах Windows Vista и Windows XP. При этом в системе Windows Vista у обозревателя Internet Explorer больше возможностей. Например, некоторые функции обозревателя Internet Explorer 7, такие как функция защищенного режима или функция родительского контроля, недоступны на компьютере под управлением системы Windows XP. Кроме того, пользовательский интерфейс Aero в обозревателе Internet Explorer 7 нельзя использовать на компьютерах с ОС Windows XP.

Защищенный режим обозревателя Internet Explorer

Защищенный режим обозревателя Internet Explorer в ОС Windows Vista обеспечивает дополнительную защиту и более безопасную работу в Интернете. Кроме того, он позволяет предотвратить захват обозревателя злоумышленниками и возможность использования повышенных прав для запуска кода.

Благодаря функции защищенного режима уменьшается количество уязвимостей в предыдущих версиях программного обеспечения за счет невозможности автоматической установки вредоносного кода. В защищенном режиме обозревателя в системе Windows Vista используются механизмы с более высоким уровнем целостности, которые ограничивают доступ к процессам, файлам и разделам реестра. Прикладной программный интерфейс защищенного режима позволяет разработчикам программного обеспечения выпускать такие расширения и надстройки, которые могут взаимодействовать с файловой системой и реестром при работе обозревателя в защищенном режиме.

В защищенном режиме обозреватель Internet Explorer 7 работает с ограниченными разрешениями, чтобы не допустить внесение изменений в файлы или параметры пользователя или системы без явного согласия пользователя. В новой архитектуре обозревателя также представлен процесс «брокер», позволяющий существующим приложениям выходить из защищенного режима более безопасным способом. Благодаря этому загружаемые данные можно сохранять только в каталогах обозревателя с ограниченными правами, например в папке временных файлов Интернета.

Защищенный режим по умолчанию доступен в обозревателе Internet Explorer 7 для всех зон безопасности, кроме зоны надежных узлов. Однако можно отключить этот режим, что понизит уровень общей безопасности. По этой причине параметры групповой политики, описанные в предыдущей главе, включают защищенный режим обозревателя во всех зонах Интернета, за исключением зоны надежных узлов, и предотвращают его отключение пользователями.

Посмотреть и изменить параметры групповой политики для защищенного режима обозревателя Internet Explorer 7 можно в следующем разделе в редакторе объектов групповой политики.

Конфигурация компьютера&bsol;Административные шаблоны&bsol;Компоненты Windows&bsol;Internet Explorer&bsol;Панель управления обозревателем&bsol;Страница безопасности&bsol;< Зона>

Функция ActiveX Opt-in

Обозреватель Internet Explorer 7 в системе Windows Vista предлагает новый мощный механизм обеспечения безопасности для платформы ActiveX, улучшающий защиту пользовательских данных и компьютерных систем. Функция ActiveX Opt-in автоматически отключает все элементы управления, которые пользователь не разрешил явным образом. Это снижает опасность неправильного использования предварительно установленных элементов управления.

В системе Windows Vista панель информации запрашивает согласие пользователя перед использованием элементов управления ActiveX, которые были предварительно установлены на компьютере, но еще не включались. Этот механизм оповещения позволяет пользователю разрешать или запрещать применение каждого элемента, что еще более уменьшает область, доступную для атак. Злоумышленники не могут использовать веб-узлы для автоматического запуска атак с помощью элементов ActiveX, не предназначенных для использования в Интернете.

Защита от атак с применением междоменных сценариев

Новые барьеры для междоменных сценариев ограничивают возможности вредоносных веб-узлов использовать уязвимости других узлов. Так, до появления защиты от атак с применением междоменных сценариев во время посещения вредоносного веб-узла могло открыться новое окно обозревателя с надежной веб-страницей (например, с веб-узла банка), на которой пользователя просили ввести данные о счете. Эти данные могли быть извлечены с помощью сценария и впоследствии поступить в распоряжение злоумышленника. С обозревателем Internet Explorer 7 этого не произойдет благодаря защите от атак с применением междоменных сценариев.

Строка состояния системы безопасности

Новая строка состояния системы безопасности в обозревателе Internet Explorer 7 позволяет быстро отличать подлинные веб-узлы от подозрительных и вредоносных. Чтобы предоставить эти сведения, строка состояния системы безопасности использует расширенные возможности доступа к сведениям о цифровом сертификате, позволяющим определить безопасные веб-узлы (HTTPS).

Строка состояния системы безопасности предоставляет более понятные и ясные визуальные сведения, позволяющие определить безопасность и подлинность веб-узлов. Эта технология также поддерживает сведения о сертификатах высокой надежности, чтобы точно определять безопасные веб-узлы (HTTPS), на которых применяются более строгие меры для подтверждения подлинности.

Антифишинг

Фишинг – это метод, используемый многими злоумышленниками для обмана пользователей с целью раскрытия их личных или финансовых данных посредством сообщения электронной почты или веб-узла. Злоумышленники маскируются под законное лицо или организацию, чтобы получить конфиденциальные сведения, такие как пароль счета или номера кредитных карт. С функцией антифишинга в обозревателе Internet Explorer 7 работа в Интернете становится более безопасной, т. к. пользователь получает сведения о подозрительных и известных поддельных веб-узлах. Содержимое веб-узлов анализируется с целью выявления известных методов фишинга; при этом для определения уровня безопасности веб-узлов используется глобальная сеть источников данных.

Создатели мошеннических сообщений электронной почты, рекламных объявлений в Интернете и веб-узлов пользуются такими недостатками современных веб-узлов, как недостаточное взаимодействие и ограниченный обмен данными. Новая функция антифишинга в обозревателе Internet Explorer 7, получающая обновления несколько раз в час с помощью интернет-службы, объединяет новейшие сведения о поддельных веб-узлах и предоставляет их пользователям обозревателя, чтобы заблаговременно предупредить их об опасности и защитить от нее.

Функция антифишинга объединяет клиентский поиск характерных особенностей вредоносных веб-узлов и Интернет-службу, запрашивающую подтверждение пользователя. Таким образом, пользователь защищается от фишинг-атак тремя способами.

• Во-первых, адреса веб-узлов, которые пользователь намеревается посетить, сверяются с хранящимся на компьютере списком известных надежных узлов.

• Во-вторых, веб-узлы проверяются на наличие характерных черт поддельных веб-узлов.

• В-третьих, адрес веб-узла, который собирается посетить пользователь, отправляется в Интернет-службу корпорации Майкрософт, которая мгновенно сверяет его с часто обновляемым списком поддельных узлов. Список этих узлов составляется с помощью надежных источников, сообщающих корпорации Майкрософт о том, что эти веб-узлы являются мошенническими.