Настройка безопасности ос windows при работе в сети

Настройка безопасности ОС Windows при работе в сети

СОДЕРЖАНИЕ

ВВЕДЕНИЕ  5

РАЗДЕЛ 1 ВИДЫ ОПАСНОСТЕЙ И
СРЕДСТВА
ЗАЩИТЫ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS  6

1.1
Классификация источников опасностей  6

1.2
Виды антивирусов и сравнение их эффективности  7

1.3
Сравнение эффективности фаерволов  11

1.4
Сравнение
эффективности руткитов  12

РАЗДЕЛ 2 УСТАНОВКА И НАСТРОЙКА ПРОГРАММ
ЗАЩИТЫ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS  14

2.1
Встроенная защита Windows  14

2.2
Установка Антивируса Касперского  22

2.3
Установка фаервола Comodo Firewall 23

ЗАКЛЮЧЕНИЕ  27

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ  28

ВВЕДЕНИЕ

Темой курсового проекта была выбрана «Настройка
безопасности ОС Windows при работе в сети».

Актуальность исследуемой темы заключается в том, что с
программами-вымогателями с апреля 2015 г. по март 2016 г. столкнулись 2,3 млн
пользователей по всему миру. Не проявляя осторожность или будучи беспечными, вы
ставите под угрозу свой компьютер. Сегодня вредоносные программы стараются
маскироваться и скрывать свою деятельность, чтобы втайне выполнять заложенные в
них функции.

Случаи, когда открыв свой виртуальный кошелёк, пользователь
обнаруживает в нём ноль, не редкость. Украв пароль от почтового ящика,
вредоносная программа может от вашего имени разослать письма с любым
содержанием. Также практикуется заражение компьютеров обычных пользователей.
Вирус может зашифровать, некоторые из имеющихся на вашем компьютере файлов и
затем требовать плату за восстановление информации.

Предмет
исследования – безопасность ОС Windows
при работе в сети.

Объект
исследования – средства и методы  защиты ОС Windows.

Цель курсового проекта
– рассмотрение встроенной защиты Windows
и сторонних программ для защиты операционной системы, сравнение различных
антивирусов, фаерволов и руткитов, установка и настройка антивируса и фаервола.

Задачи курсового
проекта:

1.
Провести
классификацию опасностей для ОС Windows.

2.
Сравнить
антивирусы, фаерволы и руткиты, оценить их эффективность.

3.
Исследовать
установку и настройку антивируса и фаервола.

Пояснительная записка к
курсовому проекту содержит: 28 страниц формата А4, 4 рисунка, 1 таблицу, 13
использованных источников.

РАЗДЕЛ 1 ВИДЫ ОПАСНОСТЕЙ И ЗАЩИТЫ
ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS

1.1 Классификация
источников опасностей

Для корпорации
Microsoft информационная безопасность пользователей Windows всегда стояла во
главе угла и по сей день остается приоритетом номер один. По этому поводу можно
иронизировать сколько угодно, однако что правда — то правда. Компания упорно и
практически непрерывно (разработка-то идёт чуть ли не во всех часовых поясах!)
совершенствует механизмы защиты своих операционных систем и с каждым новым
поколением внедряет решения, повышающие уровень безопасности. Ярким примером
работы в этом направлении может служить Windows 7 — система, построенная на
прочном фундаменте безопасности Windows Vista и вобравшая в себя последние
наработки в данной области. О том, чем может порадовать пользователей
«семёрка» в плане безопасности, рассказывает данный материал [3].

Подхватить вредоносную
программу, к сожалению, значительно легче, чем многие себе представляют. Для
взлома компьютеров пользователей сети и кражи важных данных, например, паролей
электронных платёжных систем, применяются следующие методы:

Список уловок,
придуманных хакерами в расчёте на доверчивость пользователей, огромен. Вам
могут прислать письмо от имени администрации сервиса с просьбой выслать им
якобы утерянный пароль или письмо, содержащее безобидный, якобы файл, в который
на самом деле спрятан троян, в расчёте на то, что из любопытства вы сами его
откроете и запустите вредоносную программу.

Трояны и вирусы могут
быть спрятаны в различных бесплатных, доступных для скачивания из интернета
программах, которых огромное множество или на пиратских дисках, имеющихся в
свободной продаже [6].

Взлом вашего компьютера
может быть произведён через дыры в распространённом программном обеспечении,
которых, к сожалению, довольно много и всё новые уязвимости появляются
регулярно.. Для того, чтобы компьютер, имеющий уязвимости, был заражён,
достаточно, например, всего лишь зайти на определённую страничку (ссылку на эту
страничку хакер может прислать в письме, оставить на форуме и т. д.).

В последнее время
получил распространение фишинг — создание поддельных сайтов, копирующих сайты
известных фирм, сервисов, банков и т. д. Заманить вас на такой поддельный сайт
могут разными способами, а цель — украсть данные вашего аккаунта (т. е. логин и
пароль), которые вы обычно вводите на странице настоящего сайта.

1.2 Виды
антивирусов и сравнение их эффективности

Среди общего потока
вредоносных программ, не отличающихся изощрённой функциональностью, находятся
образцы, в которых используются необычные или даже новаторские технологические
приемы по обеспечению работоспособности вредоносной программы в поражённой
системе. Это ведёт к значительному усложнению процесса удаления таких
вредоносных программ. Данный тест показывает насколько эффективно популярные
антивирусы могут помочь в лечении поражённой системы [1]?

Антивирус Касперского
(Kaspersky Anti-Virus) обеспечивает базовую защиту в режиме реального времени
от всех типов вредоносных программ. Как основа обороны вашего ПК, антивирус
защищает вас от вирусов, шпионских программ, троянов, интернет-червей и многих
других угроз. Это решение легко в использовании, а технологии безопасности,
отмеченные многочисленными наградами в тестированиях независимых лабораторий
AV-Comparatives, AV-TEST, MRG Effitas и т.д., защищают от самых последних
угроз, не замедляя работу компьютера.

Антивирус NOD32
— новое антивирусное решение от ESET, предлагающее улучшенный эвристический
анализ неизвестных угроз, «облачные» технологии ESET Live Grid для
определения репутации файлов и обновленный интерфейс. Включает возможности
автоматического сканирования компьютера во время его простоя, проверки файлов
непосредственно во время загрузки и возможность отменять установленные
обновления.

Антивирус Dr.Web надежная
и популярная отечественная антивирусная программа. Имеет эффективный
эвристический анализатор, позволяющий с большой долей вероятности обнаруживать
неизвестные вирусы. Новый компонент Превентивная защита блокирует любые
автоматические модификации критических объектов системы, позволяя пользователям
контролировать доступ к тем или иным объектам Windows, различным приложениям и
сервисам, обеспечивая проактивную защиту от вредоносных программ. Антивирусная
защита персонального компьютера дополнена фаерволом Dr.Web Firewall для защиты
от хакерских атак.

Emsisoft Anti-Malware
обнаруживает и безопасно обезвреживает вирусы, трояны, черви, шпионские
программы (Spyware), рекламное ПО (Adware), руткиты, кейлоггеры,
программы-дозвонщики, ботов и другие интернет-угрозы. Используемые технологии
позволяют удалять вредоносное ПО до того, как оно причинит какой-нибудь вред. Антивирус
ежедневно обновляется и удобен в использовании. Использование двух
антивредоносных движков Bitdefender и Emsisoft позволяет показывать отличные
результаты по обнаружения вредоносных программ и других угроз, сохраняя при
этом высокую производительность и быстродействие системы.

Avast Pro Antivirus
— высокоэффективная защита, усиленная технологией Nitro, с минимальной
нагрузкой на системные ресурсы и ваши финансы. Современная, высокоэффективная
защита от всех типов вредоносного ПО в сочетании с дополнительными компонентами
защиты и гибкими настройками для более качественной защиты вашего ПК.
Запускайте подозрительные файлы в виртуальной песочнице, защититесь от
фишинговых сайтов и совершайте транзакции онлайн в условиях полной
защищенности. Avast Pro Antivirus обеспечит надежную защиту ПК с минимальной
нагрузкой на системные ресурсы благодаря новейшей технологии Nitro,
основополагающим принципом которой являются облачные вычисления.

McAfee AntiVirus Plus
мгновенно обнаруживает и удаляет все виды вредоносных программ и
Интернет-угроз. Новая версия антивируса быстрее, предлагает всю необходимую
защиту и имеет инновационный интерфейс, позволяющий упростить обеспечение
безопасности вашего компьютера.

Panda Antivirus Pro
включает антивирус и антишпион для защиты от вредоносных программ: вирусов,
шпионов и руткитов. Поведенческий анализ позволяет блокировать неизвестные
угрозы.  Встроенный персональный фаервол защищает компьютер от вторжения
хакеров. Инструмент Panda USB Vaccine защищает компьютер и USB-устройства
(флешки) от вирусов автозапуска, а антивирусный загрузочный диск Panda Cloud
Cleaner позволяет лечить зараженную систему, когда Windows не может загрузиться
[10].

Стоимость данных
антивирусов в таблице 1.

Несмотря на тот факт,
что активная фаза распространения вредоносных программ, несущих в себе
различные техники своего сокрытия в инфицированной системе,  датируется
2012-2013 годами и на смену ей пришла волна значительно менее технологичных
семейств, за прошедшие два года было отмечено появление ряда интересных с точки
зрения лечения вредоносных программ. Появление новых технологических приемов
при разработке вредоносных программ, даже на уровне концептуальной реализации,
в большинстве случаев сводит к нулю эффективность функций популярных антивирусов
в лечении активного заражения. Что обеспечивает устойчивую жизнеспособность
вредоносной программы в скомпрометированной системе. Со временем разработчики
антивирусов вносят изменения в свои продукты, позволяющие детектировать
активное заражение, тем самым предотвращая его дальнейшее распространение,
пишут многочисленные статьи с содержательным анализом особенностей новой
вредоносной программы. И на этом обычно дело заканчивается. Однако при этом
упускается вопрос – а насколько эффективно справится антивирус с нейтрализации
новой вредоносной программой в её активном состоянии? Ибо публикация
содержательного анализа работоспособности вредоносной программы – это лишь
способность антивируса к эффективному лечению на бумаге, но далеко не всегда на
практике. Информационно-аналитический центр Anti-Malware.ru с 2007 года
регулярно проводил тестирования на лечение активного заражения, тем самым
отслеживая динамику возможностей популярных антивирусов по успешной
нейтрализации вредоносных программ, находящихся в активном состоянии. Цель
данного теста — проверить персональные версии антивирусов на способность
успешно (не нарушая работоспособности операционной систем) обнаруживать и
удалять уже проникшие на компьютер вредоносные программы в их активном
состоянии на практике [10].

Таблица 1

Стоимость
антивирусов

Большинство из этих антивирусов
имеют пробную версию и существуют их бесплатные версии. Многие люди не готовы
платить деньги за свою защиту, а поскольку не каждый может установить
взломанную версию, то остаются бесплатные антивирусы. Хоть они и не настолько
эффективны, зато экономны.

1.3 Сравнение эффективности
фаерволов

Наряду с антивирусом,
фаервол является одним из главных компонентов обеспечения безопасности
компьютера. Однако, в отличие от антивирусов, объективные тесты работы
фаерволов проводятся достаточно редко. Этот пробел мы попробовали закрыть,
проведя в 2011 и 2012 году тест фаерволов на защиту от внутренних атак и тест
персональных IDS/IPS на защиту от атак на уязвимые приложения. В этом году мы
решили расширить список используемых методов и повторить тест фаерволов на
защиту от внутренних атак, чтобы посмотреть, как за прошедшее время изменились
результаты популярных продуктов по данному критерию. На что направлен данный
тест или какие функции выполняет фаервол? По определению интернет-стандарта.
Фаервол – это система, реализующая функции фильтрации сетевых пакетов в
соответствии с заданными правилами с целью разграничения трафика между
сегментами сети. Однако, с ростом сложности вредоносных программ и хакерских
атак, исходные задачи фаервола дополнились новыми функциональными модулями [9].
Уже фактически невозможно представить полноценный фаервол без модуля HIPS.
Главная задача современного фаервола – осуществлять блокировку неавторизованных
сетевых коммуникаций, подразделяемых на внутренние и внешние. К таковым
относятся:

Внешние атаки на
защищённую фаерволом систему:

·
инициированные
хакерами;

Неавторизованные
исходящие сетевые соединения:

·
инициированные
недоверенными приложениями (вредоносный код);

·
инициированные
приложениями, сетевая активность которых явным образом запрещена правилами.

Кроме того, фактически
исчезли с рынка продукты, которые можно было бы отнести к чистым персональным
фаерволам в классической формулировке 2003 года. На смену им пришли комплексные
продукты защиты персональных компьютеров, в обязательном порядке включающие в
себя фаервольный компонент. Тест фаервола на защиту от внешних атак включает в
себя изучение качества защиты от атак, исходящих изнутри системы. Тест
проводился по следующим направлениям:

1.Проверка защиты
процессов от завершения.

2.Защита от стандартных
внутренних атак.

3.Тестирование защиты
от нестандартных утечек.

4.Тестирование защиты
от нестандартных техник проникновения в режим ядра.

Сравнительное
тестирование 21 популярного фаервола на качество защиты от атак, исходящих
изнутри системы. В тесте проводилась проверка защиты на 64-х специально разработанных
для него тестовых утилитах, проверяющих защиту процессов от завершения, защиту
от стандартных внутренних атак, защиту от нестандартных утечек и защиты от
нестандартных техник проникновения в режим ядра [5].

1.4  Сравнение эффективности
руткитов

Руткит (от англ. root
kit, то есть «набор root’а») — это программа для скрытия следов присутствия
злоумышленника или вредоносной программы в системе. Использование
руткит-технологий позволяет вредоносной программе скрыть следы своей
деятельности на компьютере жертвы путём маскировки файлов, процессов, а также
самого присутствия в системе. Для обнаружения и удаления подобных вредоносных
программ существует множество специализированных программных продуктов –
антируткитов. Цель данного теста – проверить способность наиболее известных
антируткитов обнаруживать и удалять широко распространенные в сети вредоносные
программы (ITW-образцы), использующие руткит-технологии. Тестирование на
распространенных ITW-образцах вредоносных программ дает представление о том, насколько
хорошо рассматриваемые решения справляются с уже известными руткитами [8].

В последнее время все
большей популярностью у вирусописателей пользуются руткит-технологии. Причина
этого очевидна – возможность скрытия вредоносной программы и ее компонентов от
пользователя ПК и антивирусных программ. В Интернете свободно можно найти
исходные тексты готовых руткитов, что неизбежно ведет к широкому применению
этой технологии в различных троянских или шпионских программах (spyware/adware,
keyloggers и т.д.).

РАЗДЕЛ 2 УСТАНОВКА И НАСТРОЙКА ПРОГРАММ
ЗАЩИТЫ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS

2.1
Встроенная защита Windows

Чтобы ваш компьютер не
был совсем без защиты, компания Microsoft встроила несколько программ для
сохранения ваших данных.

Владельцы компьютеров с
Vista наверняка успели оценить удобство центра обеспечения безопасности
Windows. В новой версии операционной системы специалисты компании Microsoft
существенно расширили возможности этого инструмента и присвоили ему новое
говорящее название — центр поддержки. В отличие от «Висты»,
обновленный компонент информирует пользователя не только о проблемах
безопасности Windows 7, но и обо всех других событиях, степень значимости
которых можно оценивать по цветовой окраске сообщений. С помощью центра поддержки
не составит труда убедиться, что система функционирует без ошибок, брандмауэр
включен, антивирусные приложения обновлены и компьютер настроен для
автоматической установки обновлений и резервного копирования важных данных. В
случае выявления неполадок центр обновления Windows 7 выполнит поиск доступных
решений в Интернете и приведёт ссылки на программные средства для устранения
возникших ошибок [2].

В Windows 7
эволюционировал вызывавший много споров среди продвинутых пользователей
механизм контроля учётных записей, известный также как User Account Control. В
«семёрке» UAC стал гораздо менее навязчивым и обзавелся
дополнительными параметрами, руководствуясь которыми можно гибко настраивать
функцию контроля учётных записей и значительно сокращать количество запросов на
подтверждение тех или иных действий, требующих администраторских полномочий в
системе. User Account Control помогает предотвратить незаметное проникновение
вредоносного кода на компьютер и поэтому отключать систему защиты (а такая
опция предусмотрена) не рекомендуется.

В
состав Windows 7 входит браузер Internet Explorer 8, который характеризуется
развитыми средствами обеспечения безопасности. Достаточно упомянуть функцию
подсвечивания домена второго уровня, которая позволяет вовремя заметить
неладное и избежать уловки сетевых мошенников, заманивающих пользователей на
поддельный сайт с похожим на известное доменным именем, отказ от
административных привилегий при запуске ActiveX, а также технологию Data
Execution Prevention. Суть последней заключается в том, что когда браузер
попытается выполнить какой-либо код, находящейся в памяти, система попросту не
даст ему это сделать. В браузере имеются модель предупреждения XSS-атак
(Cross-Site Scripting), а также система SmartScreen, генерирующая уведомления при
попытке посещения потенциально опасных сайтов и защищающая от вредоносного ПО.
Средства Automatic Crash Recovery позволяют восстановить все ранее открытые
вкладки после аварийного завершения работы приложения, а режим просмотра
веб-страниц InPrivate позволяет не оставлять следов при работе на компьютерах
общего доступа [7].

Windows Defender
(Защитник Windows), ранее известный как Microsoft AntiSpyware — программный
продукт компании Microsoft, созданный для того, чтобы удалять, помещать в
карантин или предотвращать появление spyware-модулей в операционных системах
Microsoft Windows. Windows Defender по умолчанию встроен в операционные системы
Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows 8 и Windows
10. Интерфейс программы изображён на рисунке 1.

Рисунок 1 Изображение интерфейса программы Defender

Windows Defender — не
просто сканер системы, как другие подобные бесплатные программы. В него входит
ряд модулей безопасности, отслеживающих подозрительные изменения в определённых
сегментах системы в режиме реального времени.. С помощью доступа к сети
Microsoft SpyNet есть возможность отправлять сообщения о подозрительных
объектах в Microsoft, для определения его возможной принадлежности к spyware.
Существует возможность интеграции в Internet Explorer, позволяющая сканировать
закачиваемые файлы, с целью предотвращения проникновения вредоносных программ.
Такая функция есть у множества антивирусных программ, доступных на рынке.

BitLocker—
проприетарная технология, являющаяся частью операционных систем Microsoft
Windows Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise, Windows
Server 2008 R2, Windows 8, Windows 8.1 и Windows 10 BitLocker позволяет
защищать данные путём полного шифрования дисков. Интерфейс программы изображён
на рисунке 2.

Рисунок 2 Изображение интерфейса программы BitLocker

Если вам требуется
контролировать работу ребенка за компьютером, запретить посещение тех или иных
сайтов, запуск приложений и определить время, когда допустимо использование ПК
или ноутбука, реализовать это можно с помощью функций родительского контроля Windows.
Интерфейс в Windows 10 можем
наблюдать на рисунке 3. Создав учетную запись ребенка и задав необходимые
правила для нее. Это нужно для полного контроля своего ребёнка, так как вы
можете заблокировать нежелательные сайты , кроме этого включен безопасный
поиск, приложения и игры отображают сведения об используемых программах,
включая информацию о времени их использования [11]. Также вы имеете возможность
заблокировать запуск тех или иных программ, настроить таймер работы с
компьютером и т.д.

Рисунок 3 Изображение интерфейса программы Родительский контроль

Предотвращение
выполнения данных (англ. Dáta Execútion
Prevéntion, DEP) — функция безопасности, встроенная в Linux, Mac OS X,
Android и Windows, которая не позволяет приложению исполнять код из области
памяти, помеченной как «только для данных». Она позволит предотвратить
некоторые атаки, которые, например, сохраняют код в такой области с помощью
переполнения буфера.

CryptoAPI
— интерфейс программирования приложений, который обеспечивает разработчиков
Windows-приложений стандартным набором функций для работы с криптопровайдером.
Входит в состав операционных систем Microsoft. Большинство функций CryptoAPI
поддерживается начиная с Windows 2000.CryptoAPI поддерживает работу с асимметричными
и симметричными ключами, то есть позволяет шифровать и расшифровывать данные, а
также работать с электронными сертификатами. Набор поддерживаемых
криптографических алгоритмов зависит от конкретного криптопровайдера.

Network Access
Protection (NAP) — защита доступа к сети — технология компании
Microsoft, предназначенная для контроля доступа к сети предприятия, исходя из
информации о состоянии системы подключающегося компьютера. С помощью NetWork
Access Protection администраторы компании могут поддерживать состояние
«здоровья» сети. Параметры системы клиента проверяются на соответствие политике
безопасности, например: наличие свежих обновлений операционной системы, наличие
антивирусной программы и состояние её обновлений, установлен и работает ли на
клиенте сетевой экран. На основе этих параметров каждый компьютер получает свою
оценку безопасности. Компьютер, удовлетворяющий требованиям системы контроля,
получает доступ в сеть предприятия. Компьютеры, не удовлетворяющие требованиям
безопасности, не смогут получить доступа в сеть или смогут получить доступ лишь
в изолированную часть сети, предоставляющую сервисы для достижения клиентом
требуемого уровня безопасности [12].

Encrypting File System
(EFS) — система шифрования данных, реализующая шифрование на уровне файлов в
операционных системах Microsoft Windows NT, за исключением «домашних» версий.
Данная система предоставляет возможность «прозрачного шифрования» данных,
хранящихся на разделах с файловой системой NTFS, для защиты потенциально
конфиденциальных данных от несанкционированного доступа при физическом доступе
к компьютеру и дискам [8].

Брандма́уэр — суть в том, что он контролирует или
фильтрует весь трафик (данные, передаваемые по сети) между компьютером (или
локальной сетью) и другими сетями, например сетью Интернет, что наиболее
типично. Без использования фаервола, может проходить любой тип трафика. Когда
брандмауэр включен, проходит только тот сетевой трафик, который разрешен
правилами брандмауэра [13]. Интерфейс программы изображён  на рисунке 4.

Рисунок 4 Изображение
интерфейса программы Брандмауэр Windows
10

Очень многие
пользователи сегодня используют роутеры для доступа к Интернету сразу с
нескольких устройств, что, по сути тоже является своеобразным фаерволом. При
использовании прямого Интернет-подключения через кабель или DSL модем,
компьютеру присваивается публичный IP-адрес, обратиться к которому можно с
любого другого компьютера в сети. Любые сетевые службы, которые работают на
Вашем компьютере, например сервисы Windows для совместного использования
принтеров или файлов, удаленного рабочего стола могут быть доступны для других
компьютеров. При этом, даже когда Вы отключаете удаленный доступ к определенным
службам, угроза злонамеренного подключения все равно остается — прежде всего,
потому что рядовой пользователь мало задумывается о том, что в его ОС Windows
запущено и ожидает входящего подключения, а во вторых — по причине различного
рода дыр в безопасности, которые позволяют подключиться к удаленной службе в
тех случаях, когда она просто запущена, даже если входящие подключения в ней
запрещены. Брандмауэр попросту не дает отправить службе запрос, использующий
уязвимость [4].

Первый брандмауэр
Windows был представлен в Windows XP Service Pack 2 и с тех пор фаервол по
умолчанию включено во всех версиях операционной системы. И те службы, о которых
мы говорили выше, ныне изолированы от внешних сетей, а брандмауэр запрещает все
входящие соединения за исключением тех случаев, когда это прямо разрешено в
настройках брандмауэра.

Брандмауэр представляет
собой барьер (отсюда название фаервол — с англ. «Огненная стена») между внешней
сетью и компьютером (или локальной сетью), которая находится под его защитой.
Главная защитная функция брандмауэра для домашнего использования — блокировка
всего нежелательного входящего Интернет-трафика. Однако, это далеко не все, что
может фаервол. Учитывая то, что фаервол «находится между» сетью и компьютером,
он может использоваться для анализа всего входящего и исходящего сетевого
трафика и решать, что с ним делать. Например, брандмауэр моет быть настроен для
блокировки определенного типа исходящего трафика, вести журнал подозрительной
сетевой активности или всех сетевых подключений.

В брандмауэре Windows
вы можете настроить разнообразные правила, которые будут разрешать или
запрещать определенные типы трафика. Например, могут быть разрешены входящие
подключения только с сервера с определенным IP адресом, а все остальные запросы
будут отклоняться (это может пригодиться, когда Вам требуется подключаться к
программе на компьютере с рабочего компьютера, хотя лучше использовать VPN).

Если вы имеете дома
Wi-Fi роутер (или просто роутер), он также действует в роли своего рода
аппаратного брандмауэра, благодаря своей функции NAT, которая предотвращает
доступ извне к компьютерам и другим устройствам, подключенным к роутеру.

Как видно компания Microsoft
позаботилась о своих пользователях и их безопасности, но как вы могли понять
этого недостаточно. Постоянно миллионы людей подвергаются атакам вирусов. Для
более серьёзной защиты существуют сторонние программы.

2.2 Установка Антивируса Касперского

Если вы приобрели коробочную версию
Антивируса Касперского (на компакт-диске) и установка продукта началась
автоматически после того, как вы вставили компакт-диск в CD-ROM, перейдите к
шагу 2 установки программы .

Если вы приобрели Антивирус Касперского
в интернет-магазине или по какой-то причине не произошел автоматический запуск
после того, как вы вставили диск с продуктом в CD-ROM, перейдите к шагу 1
установки программы .

Установка программы:

Шаг 1. При приобретении Антивируса
Касперского в интернет магазине вы получаете ссылку на установочный файл,
который требуется запустить вручную. Также установочный файл требуется
запустить вручную, если по какой-то причине не произошел автоматический запуск
после того, как вы вставили компакт диск с Антивирусом Касперского в CD-ROM.

Скачайте дистрибутив программы по ссылке
из письма от интернет магазина или с сайта Лаборатории Касперского.

Шаг 2. Для запуска установки в окне
мастера установки нажмите на кнопку Установить.

Шаг 3. Ознакомьтесь с Лицензионным соглашением
Лаборатории Касперского. Внимательно прочтите соглашение и, если вы согласны со
всеми его пунктами, нажмите на кнопку Принять. Установка программы на ваш
компьютер будет продолжена.

Шаг 4. На этом этапе мастер установки
предлагает принять участие в программе Kaspersky Security Network. Участие в
программе предусматривает отправку в Лабораторию Касперского информации о новых
угрозах, обнаруженных на вашем компьютере, отправку уникального идентификатора,
присвоенного вашему компьютеру Антивирусом Касперского, и информации о системе.
При этом гарантируется, что персональные данные отправляться не будут.
Ознакомьтесь с текстом положения об использовании Kaspersky Security Network.
Если вы согласны со всеми его пунктами, установите флажок Я хочу участвовать в
программе Kaspersky Security Network (KSN). Нажмите на кнопку Далее. Установка
будет продолжена.

Если вы устанавливаете программу на ОС
Windows Vista/7, возможно появление сообщения от службы Контроля учетных
записей пользователей (UAC). Для продолжения процесса установки в окне Контроль
учетных записей пользователей введите пароль администратора и нажмите на кнопку
Да.

Шаг 5. Дождитесь окончания процесса
установки программы.

Шаг 6. Убедитесь, что установлен флажок
Запустить Антивирус Касперского и нажмите на кнопку Готово для завершения
установки Антивирус Касперского.

После завершения установки и запуска
программы активируйте коммерческую версию Антивируса Касперского.

2.3 Установка фаервола Comodo Firewall

 Расмотрим установку и
настройку фаервола на примере Comodo Firewall.

1. Что ж,
предлагаю всем желающим познакомиться с Comodo Firewall поближе, для чего
скачаем дистрибутив программы с официальной страницы. Если в системе имеется
другой сторонний брандмауэр, в коем Вы не уверены, то — удаляем; если такого
нет — тогда закрываем, чтоб также не мешали, все активные приложения и
запускаем скачанный файл.

Первое, что
Вы увидите — диалоговое окошко с предложением выбрать язык установки. Оставляем
«русский» и жмем кнопку «ОК».

2. В
следующем окне Мастер установки предложит ввести адрес вашей электронной почты.
Поскольку данное действие не обязательно, то ничего вводить мы не будем. Также
снимаем галочки напротив слишком обязывающих нас пунктов «Я хочу получить дополнительную
безопасность в Интернете, перейдя на COMODO SecureDNS» и «Я хочу
использовать «Облачный анализ поведения приложений», передавая
неопознанные программы в COMODO». Не спешим продолжить установку и внизу
окна кликаем на «Опции установки».

3. В открывшемся
на вкладке «Варианты установки» окне убираем галку с пункта
«Установить COMODO GeekBuddy». Почему? Во-первых, данный сервис
техподдержки пользователей требует хорошего владения английским языком, а
во-вторых, бесплатен только ограниченный период, после чего переходит в разряд
«атавизма». Поэтому завершим инсталляцию без сервиса Comodo
GeekBuddy. Остальные вкладки трогать не будем и щелкаем «Назад», в
знакомом окне наконец-то жмем на кнопку «Согласен, Установить».

4. По
окончании установки файрвола соглашаемся с предложением перезагрузить Windows.
После перезагрузки, в окне приветствия ставим галочку напротив «Больше не
показывать это окно» и закрываем. На этом процесс установки программы на
ПК завершен.

На
скриншоте Вы видите «лицо» нашего нового сетевого защитника —
персонального Comodo Firewall самой свежей версии.

После этого
можем приступить к настройке:

1. В начале
предлагаю сменить дефолтное серо-невеселое «лицо» Comodo Firewall на
что-то поинтереснее. Для этого во все той же вкладке «Разное» жмем
«Настройки» > «Внешний вид» > «Тема» меняем
серенькую тему COMODO Default Normal на, скажем,. COMODO Blue Normal и,
«принарядившись», двигаемся дальше.

2. Первой
из расширенных настроек программы будет включение режима
«невидимости» Вашего компьютера в сети. Для этого во вкладке
«Фаервол» кликаем апплет «Мастер скрытых портов» >
выбираем «Блокировать все входящие соединения и скрыть мои порты для всех
входящих соединений» и подтверждаем свой выбор через «ОК».

3. Далее, в
той же вкладке «Фаервол» заходим в «Настройки фаервола» и
на вкладке «Общие настройки» активируем «Создавать правила для
безопасных приложений». Теперь для всех приложений из списка доверенных
будут автоматически создаваться разрешающие правила, что избавит Вас от лишних
разрешений вручную. Кроме того, проверьте наличие галочки напротив пункта
«Автоматически обнаруживать новые частные сети» (которую после
обнаружения Вашей сети можно убрать) и, главное, «Режим фаервола»
оставляем неизменно «Безопасный».

Все
изменения в настройках подтвердите кнопкой «ОК».

4. Займемся
настройками режима «Проактивная защита». Для этого во вкладке
«Защита+» кликаем «Настройки Проактивной защиты» и, по
аналогии с предыдущим пунктом настроек, активируем «Создавать правила для
безопасных приложений». В случае, если Вы уверены в чистоте системы от
вирусов и имеете эффективный антивирус-сканер, то смело ставьте «Режим
«Чистый ПК» — опять же, для избавления от «надоедливых»
оповещений. Так же проверьте отсутствие галки напротив «Включить режим
усиленной защиты» и присутствие — напротив пункта «Адаптировать режим
работы при низких ресурсах системы».

6.
Пользователям старых версий Comodo Firewall рекомендуется отключить в программе
режим «Sandbox» («Песочница»), по отзывам, работающий
некорректно. Лучший вариант — просто перейти на последнюю стабильную версию
брандмауэра. В этом случае отключение режима «Песочницы» не требуется

И не
забудьте подтвердить изменения в настройках кнопкой «ОК».

Примечание:
При полностью деактивированной Проактивной защите данная опция
(«Sandbox») автоматически отключается.

7.
Завершающий «твик» из разряда «по желанию»: во вкладке
«Разное» > «Настройки» > на вкладке «Общие»
убрать галочку напротив пункта «Автоматически проверять наличие обновлений
программы», тем более, что опция «Проверить наличие обновлений»
всегда «под рукой».

Еще один
клик на кнопку «ОК» и можно закрыть подобающе настроенный Comodo
Firewall — после перезагрузки Windows с данной конфигурацией,
«комфортной» для пользователя, программа надежно защищает компьютер
от сетевых угроз

ЗАКЛЮЧЕНИЕ

В ходе выполнения
курсового проекта были изучены опасности OC
Windows, разобраны различные
средства защиты и был составлен их рейтинг. Самыми эффективными среди антивирусов
был выявлен «Антивирус Касперского», среди фаерволов — «Comodo Firewall» и
среди руткитов – «GMER», эти программы
наиболее оптимальны для обеспечения безопасности Windows.
Были изучены встроенные средства защиты Windows.
Была проведена установка и настройка «Антивируса Касперского» и  фаервола «Comodo
Firewall».

Стремительное развитие
информационных технологий привело к формированию информационной среды,
оказывающей влияние на все сферы человеческой деятельности. Однако с развитием
информационных технологий возникают и стремительно растут риски, связанные с их
использованием, появляются совершенно новые угрозы, с последствиями, от реализации
которых человечество раньше не сталкивалось.

Операционная система
является важнейшим программным компонентом любой вычислительной машины, поэтому
от уровня реализации политики безопасности в каждой конкретной операционной
системе во многом зависит и общая безопасность информационной системы.

В связи с этим знания в
области современных методов и средств обеспечения безопасности операционных
систем являются необходимым условием для формирования безопасности информации.

Цель работы
была достигнута посредством выявления особенностей защиты операционной системы Windows.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Антивирусы
и программы безопасности // COMSS1:
[сайт]. – [2016]. – Режим доступа: http://virusinfo.info

9. Мэйволд
Э. Безопасность сетей. 2-е изд. – 2016. – 572с., ил.

10.  Рейтинг
антивирусов // ANTI-MALWARE:
[сайт]. – [2016]. – Режим доступа: https://www.anti-malware.ru

11.  Хмельницкий
А.К., Пожитков В.В., Кондрашкова Г.А. Диагностика и надежность
автоматизированных систем: Учебное пособие / ГОУВПО СПбГТУ РП. СПб, 2005. Часть
2. 74 с.: ил. 29.

12.  Яковлев
В.А. Шпионские и антишпионские штучки. – 2015. – 320с., ил.

13.  Якубайтис
Э. А. Информационные сети и системы: Справочная книга. – М: Финансы и
статистика, 1996.

Помогла ли Вам статья?

Вопрос безопасности сервера был и будет актуальным. Рассмотрим базовые правила обеспечения безопасности серверов под управлением ОС семейства Window Server.

В быту существует мнение, что Windows не нуждается в обновлениях и их вообще лучше отключить, якобы “чтобы система не тормозила”. Это одна из самых главных ошибок. Обновления важно устанавливать своевременно, особенно критические. Упрощает эту задачу специальная утилита, с которой можно ознакомиться на официальном сайте Центра обновления Windows.

Также важно поддерживать в актуальном состоянии установленное сопутствующее программное обеспечение, в том числе СУБД, различные фреймворки и прочее.

Рекомендуем перед загрузкой установочного пакета программного обеспечения, в том числе и Open Source, убедиться в надежности источника. Нередко бывает так, что визуально похожий на официальный сайт ресурс, распространяет уже скомпрометированое ПО. В пакет установки может быть добавлен файл с вредоносным кодом.

Важно понимать, что сервер доступен из сети Интернет. По этой причине, ОС должна быть защищена любым устройством выполняющим функции файрволла. Если подобных устройств нет, то Брандмауэр Windows будет последней надеждой на защиту от несанкционированных подключений к серверу.

Чем меньше TCP/UDP портов доступно извне, тем меньше шансов провести атаку на сервер. В этом вопросе важно разобраться что блокировать. Если речь идет о web-сервере, то доступными необходимо оставить 80 и 443 TCP-порты (эти порты служба слушает по умолчанию).

Это были публичные порты, но не стоит забывать, что существуют порты, доступ к которым должен предоставляться по принципу “белого” списка, т.е. только определенному кругу лиц. Пример портов:

• 3389 — RDP (Remote Desktop Protocol);
• 135-139 — NetBIOS;
• 445 — Samba (общий доступ к файлам и папкам);
• 5000 — 5050 — FTP в пассивном режиме;
• 1433 — 1434 — порты SQL;
• 3306 — стандартный порт MySQL;
• 53 — DNS

Создать правило не сложно. Открываем Пуск → Панель управления → Система и безопасность → Администрирование → Брандмауэр Windows в режиме повышенной безопасности.

В окне программы кликаем правой кнопкой мыши по “Правила для входящих подключений”. В открывшемся контекстном меню выбираем “Создать правило...”.

Если администрированием сервера занимается несколько специалистов, следует создать индивидуальную учетную запись для каждого. Подобная мера позволит выследить виновника в произошедшем.

Для выполнения повседневных задач не всегда требуется использовать учетную запись с правами администратора. Рекомендуем создать учетную запись с ограниченными правами. В случае если учетная запись будет скомпрометирована, злоумышленнику придется постараться чтобы получить права администратора. Также, подобная мера может помочь спасти сервер от собственных действий.

В случае несанкционированного доступа под учетной записью администратора, злоумышленник получит полный доступ к системе.

Мы настоятельно не рекомендуем предоставлять подключение к общим каталогам анонимным пользователям и пользователям без пароля. Даже если файлы, хранящиеся в папках, не представляют никакой ценности, ничто не мешает злоумышленнику подменить файл на файл с вредоносным содержимым. Последствия такой подмены могут быть самыми разными.

Кроме использования парольной защиты, рекомендуем ограничить разных пользователей в уровне доступа как к файлам, так и папкам (чтение, запись, изменение).

При использовании физического сервера (не удаленного и не виртуального), рекомендуется включить запрос пароля пользователя при выходе из режима ожидания. Данный параметр настраивается в панели управления: Панель управления → Все элементы панели управления → Электропитание.

Также важно установить лимиты бездействия пользователя, а “по возвращении” запросить пароль. Это исключит возможность входа другого лица от имени пользователя, в случае если тот отлучился или забыл закрыть RDP-сессию. Чтобы настроить этот пункт, следует воспользоваться настройкой локальных политик secpol.msc.

Мастер настройки безопасности (SCW – Security Configuration Wizard) позволяет создавать XML-файлы политик безопасности, которые впоследствии, можно перенести на другие серверы. Эти политики включают в себя не только правила использования сервисов, но и общие параметры системы и правила Firewall.

Кроме первоначальной настройки групповых политик Active Directory, периодически следует проводить их ревизию и повторную настройку. Это один из основных способов обеспечения безопасности Windows-инфраструктуры.

Для удобства управления групповыми политиками, можно воспользоваться не только встроенной в Windows Server утилитой «gpmc.msc», но и предлагаемую Microsoft утилиту «Упрощенные параметры настройки безопасности» (SCM-Security Compliance Manager).

Кроме использования групповых политик безопасности Active Directory следует использовать и локальные политики, которые затрагивают права как удаленных пользователей, так и локальные аккаунты.

Для управления локальными политиками вы можете использовать соответствующую оснастку «Локальная политика безопасности», вызываемую командой secpol.msc из Пуск -> Выполнить (клавиша Windows + R).

1. Блокировать RDP-подключения для пользователей с пустым паролем.

Наличие пользователей без паролей недопустимо, но если этого миновать не удается, то можно хотя бы запретить подключение к RDP. Для этого открываем Пуск → Средства администрирования.

В открывшемся каталоге, запускаем Локальная политика безопасности.

В окне локальный политик безопасности, слева, выбираем Локальные политики → Параметры безопасности. В основной части окна, находим “Учетные записи: Разрешить использование пустых паролей только при консольном входе”.

Выбираем этот пункт двойным кликом и переводим переключатель в положение “Отключен”. Нажимаем кнопку “OK”.

2. Поменять стандартный TCP-порт RDP.

Замена номеров TCP-портов стандартных сервисов на другие значения, вполне может повысить безопасность сервера, главное не забыть новый номер порта.

Для замены порта:

1. открываем редактор Реестра Windows — Windows + R

2. На всякий случай, создаем резервную копию реестра (Файл → Экспорт)

3. Разворачиваем ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp и, в правой доле окна, находим параметр PortNumber.

4. Открываем параметр двойным кликом мыши. В открывшемся окне выбираем Систему исчисления: Десятичная, указываем новое значение порта, нажимаем кнопку “OK” и закрываем окно редактора реестра.

5. Чтобы была возможность подключиться к серверу, создаем соответствующее правило для Брандмауэра Windows. Кликаем правой кнопкой мыши по “Правила для входящих подключений”, в контекстном меню выбираем “Создать правило”.

В окне “Мастера”, выбираем “Для порта”

Затем выбираем “Протокол TCP”, “Определенные локальные порты” и указываем новый номер порта.

Следующим шагом выбираем “Разрешить подключение”

Настраиваем для каких сетей будет действовать правило, нужное отмечаем галками.

На итоговом шаге, указываем название правила и описание к нему.

6. Перезагружаем сервер чтобы применить изменения.

7. Для подключения к удаленному рабочему столу теперь используем IP-адрес или доменное имя, а через двоеточие указываем порт.

Служба “Шлюз TS (служб удаленных рабочих столов)” позволяет обезопасить подключение к удаленному рабочему столу путем использования протокола HTTPS(SSL), тем самым избавляя системного администратора от необходимости настройки VPN. Инструмент способен комплексно контролировать доступ к машинам, а также устанавливать правила авторизации и требования к удаленным пользователям, например:

• Пользователи или группы пользователей, которым разрешено подключаться к внутренним сетевым ресурсам;
• Сетевые ресурсы, к которым могут подключаться пользователи;
• Должны ли клиентские компьютеры иметь членство в Active Directory;
• Необходимо ли клиентам использовать проверку подлинности на основе смарт-карт или пароля, или они могут использовать один из вышеперечисленных способов аутентификации.

Логика работы работы шлюза удаленных рабочих столов требует использования отдельной машины. Однако, не запрещает использовать самостоятельную виртуальную машину.

1. Открываем Диспетчер серверов.

2. Выбираем “Добавить роли и компоненты”

3. На этапе “Тип установки”, выбираем “Установка ролей и компонентов«.

4. Следующим шагом выбираем текущий сервер.

5. Роль сервера — Служба удаленных рабочих столов.

6. Переходим к службе ролей. Выбираем “Шлюз удаленных рабочих столов”.

7. Переходим к этапу подтверждения, нажимаем кнопку “Установить”.

После установки роли, в окне Диспетчера серверов, выбираем Средства → Remote Desktop Services → Диспетчер шлюза удаленных столов.

В открывшемся окне, в левой его части, нажимаем по значку сервера. В основной части окна, выбираем “Просмотр и изменение свойств сертификата”.

В открывшемся окне “Свойства” переходим на вкладку “Сертификат SSL”. Выбираем пункт “Создать самозаверяющий сертификат”, нажимаем кнопку “Создать и импортировать сертификат”.

Если у вас есть созданный ранее сертификат, можно воспользоваться одним из пунктов ниже, в зависимости от того, кем он был выдан.

В новом окне следует проверить параметры. Если все верно — нажимаем “OK”.

Новым окном система оповестит об успешном создании сертификата и выдаст путь до файла.

Переходим к окну свойств сервера. Нажимаем “Применить”.

В окне “Диспетчер шлюза удаленных рабочих столов”, в левой колонке, раскрываем ветку сервера, выбираем “Политики”, затем “Политики авторизации подключений”. В правой колонке того же окна, выбираем “Создать новую политику”  → “Мастер”.

В новом окне выбираем ”Создать только политику авторизации подключений к удаленным рабочим столам”, нажимаем “Далее”.

Указываем желаемое имя для политики. Мы рекомендуем указывать имя латиницей.

Следующим шагом будет выбор удобного метода аутентификации — пароль или смарт-карта. Оставляем отмеченным только “Пароль”. Нажимаем кнопку “Добавить группу…”

В окне выбора групп кликаем по кнопке “Дополнительно”.

Размер окна изменится. Кликаем по кнопке “Поиск”. В найденных результатах выбираем “Администраторы домена” и нажимаем кнопку “OK”.

В окне выбора группы проверяем выбранные имена объектов и нажимаем “OK”.

Группа добавлена. Для перехода к следующему шагу нажимаем кнопку “Далее”.

На следующем этапе выбираем пункт “Включить перенаправление устройств для всех клиентских устройств” и нажимаем “Далее”.

Настраиваем таймауты сессий. И действия по их истечении. Рекомендуем отключать сеанс, чтобы фоновые пользовательские процессы не отнимали процессорное время. Нажимаем “Далее”.

На крайнем этапе просматриваем сводку, нажимаем “Готово”.
На подтверждение создания политики нажимаем “Закрыть”.

Настроим политику авторизации ресурсов.

Процесс выполняется подобно предыдущему.

В окне диспетчера шлюза удаленных рабочих столов, раскрываем ветку Политики → Политики авторизации подключений. В правой части окна выбираем “Создать новую политику” → “Мастер”.

В открывшемся окне выбираем “Создать только политику авторизации ресурсов удаленных рабочих столов”, нажимаем кнопку “Далее”.

Первым шагом указываем желаемое имя для политики авторизации. Настоятельно рекомендуем указывать имя латиницей. Нажимаем кнопку “Далее”.

В окне выбора групп кликаем по кнопке “Дополнительно”.

Окно изменит размеры. Нажимаем кнопку “Поиск”. В результатах поиска находим “Администраторы домена” и нажимаем кнопку “OK”.

В окне выбора группы проверяем выбранные имена объектов и нажимаем “OK”.

Группа добавлена. Для перехода к следующему шагу нажимаем кнопку “Далее”.

На следующем шаге разрешаем подключение пользователей к любому сетевому ресурсу. Для этого выбираем соответствующий параметр и нажимаем кнопку “Далее”.

Настраиваем разрешенные порты. сли порт RDP-сервера не был изменен, то оставляем 3389. Нажимаем “Далее”.

Финальным этапом проверяем настройки и нажимаем кнопку “Готово”.

В обновленном окне нажимаем “Закрыть”.

На этапе предварительного планирования сетевой архитектуры, одной из основных задач является планирование рисков в случае выхода из строя какого-либо элемента сети. Причин этому может быть много — от выхода из строя оборудования, до “взлома” извне. Чем большее количество ролей возложено на сервер, тем тяжелее будут последствия при отказе сервера. Для минимизации рисков и ущерба следует, по возможности, разграничить роли серверов еще на этапе проектирования. Отключение сервисов и ролей сервера, в которых необходимости, также положительно скажется на его работе.

Идеальный случай — один сервер выполняет одну конкретную функцию, например Контроллер домена или файловый сервер, или сервер терминалов. На практике, подобное разделение ролей труднодостижимо.

С изоляцией ролей вполне могут справиться и виртуальные серверы. Современные технологии виртуализации предлагают высокий уровень производительности и стабильности, при том, что не администратор, не пользователь не испытывают каких-либо ограничений. Грамотно подобранная аппаратная и настроенная программная части могут являться полноценной заменой целому парку техники.

Обзор Windows Nano Server.

Дальнейшим развитием Windows Server Core стал Nano Server. Данная версия дистрибутива исключает использование графического интерфейса пользователя. Всё управление сосредоточено на WMI — инструментарий управления Windows, а также Windows PowerShell. Данный дистрибутив Windows-сервер имеет на 92% меньше критических рекомендаций безопасности. Nano Server доступен только для клиентов Microsoft Software Assurance и на платформах облачных вычислений, например, Microsoft Azure и Amazon Web Services. Начиная со сборки Windows Server 1709, Nano Server можно устанавливать только внутри хоста контейнера .

К
открытым версиям операционной системы
Windows
отно­сятся операционные системы
Windows
95/98/ME/XP
Home
Edition.
В этих операционных системах нельзя
обеспечить высокую степень защиты от
несанкционированного доступа к
информации, по­скольку эта цель
изначально не ставилась перед началом
их про­ектирования. Тем не менее, в
силу широкого распространения открытых
версий операционных систем Windows
не только в до­машних КС, но и в КС
организаций необходимо уметь правильно
использовать все, хотя и скромные,
программно-аппаратные сред­ства
защиты информации, которые имеются в
этих операцион­ных системах.

Для
предотвращения угрозы, связанной с
несанкционирован­ной загрузкой
операционной системы неавторизованным
пользо­вателем, можно применить защиту
на основе пароля, устанавли­ваемого
программой BIOS
Setup
с помощью функции Set
User
Password
(или аналогичной ей) при выбранном для
параметра Security
Option
(или аналогичного ему) значении System
в окне настроек функции Advanced
BIOS
Features
или аналогичной ей (рис. 3.1). В этом случае
перед загрузкой операционной системы
или при попытке вызвать программу BIOS
Setup
пользователю будет пред­ложено ввести
пароль. Максимальная длина пароля,
устанавлива­емого программой BIOS
Setup,
равна восьми символам.

К
достоинствам защиты информации от
несанкционирован­ного доступа с
помощью пароля программы BIOS
Setup
относят­ся простота установки и
надежность защиты (число попыток вво­да
пароля перед загрузкой операционной
системы ограничено тремя, что делает
практически невозможным подбор пароля).

Недостатки
защиты информации на основе пароля
программы BIOS
Setup:

• все пользователи,
  работающие на этой рабочей станции,
  получают общий пароль, что не позволяет
  разграничить их права в системе;

сложность
замены пароля, если он забыт пользователем
(в лучшем случае потребуется отключение
энергонезависимой CMOS-памяти
компьютера, а в худшем — замена его
системной (мате­ринской) платы;

Рис.34.
Установка пароля BIOS
Setup.

• поскольку
пароль, установленной программой BIOS
Setup,
сохраняется в CMOS-памяти
компьютера в незащищенном виде, нарушитель
может прочитать его с помощью специальной
про­граммы после получения доступа
к компьютеру после загрузки операционной
системы;

Рис.
35. Установка пароля пользователя открытой
версии Windows

• существование
так называемых технических паролей
програм­мы BIOS
Setup,
позволяющих осуществить загрузку
операцион­ной системы неавторизованному
пользователю, знающему подоб­ный
пароль.

В
открытых версиях операционной системы
Windows
могут быть установлены пароли на вход
в систему (рис. 3.2) функции «Учетные
записи пользователей» панели управления
Windows.
Одна­ко эти пароли фактически служат
для разграничения личных про­филей
пользователей, в которые входят выбранные
для каждого из них настройки аппаратного
и программного обеспечения КС, структура
рабочего стола пользователя, структура
его главного меню в системе, список
последних использовавшихся им доку­ментов
и другая информация о настройках и
действиях пользова­теля.

В
открытых версиях операционной системы
Windows
пользова­тель может начать сеанс
работы как «Пользователь с профилем по
умолчанию» (Default),
нажав кнопку «Отмена» в окне входа в
си­стему, или начать сеанс от лица
пользователя с произвольным логическим
именем с автоматическим созданием для
него нового профиля, введя имя и пароль
нового пользователя в окне входа в
систему. Во втором случае профиль для
вновь зарегистрированно­го пользователя
будет создан на основе профиля по
умолчанию.

При
работе в сети ограничения на права
отдельного пользователя или группы
пользователей сети, а также всех
пользователей конкретного компьютера
целесообразно поместить в отдельный
файл системных правил, который может
быть помещен, напри­мер, в папку
Netlogon
на сервере, работающем под управлением
одной из защищенных версий операционной
системы Windows.
В этом случае после входа пользователя
КС в сеть с любого компь­ютера информация
об установленных для него ограничениях
из файла системных правил на сервере
заместит соответствующие разделы
реестра на использованном для входа в
систему компью­тере. Администратор
КС может создавать с помощью обычного
текстового редактора файлы шаблонов
ограничений для различ­ных категорий
пользователей и их групп (adm-файлы),
в которых и том числе могут быть отражены
и дополнительные ограничения на
использование функций не только
системных, но и прикладных программ.

Администратор КС
может установить максимальные ограниче­ния
для пользователя с профилем по умолчанию
и тем самым для всех незарегистрированных
им пользователей, которые попыта­ются
войти в систему.

Нарушитель
может попытаться прервать обычную
процедуру загрузки операционной системы,
чтобы загрузить ее в так назы­ваемом
безопасном режиме или в режиме MS-DOS
(при этом воз­можен обход установленных
администратором ограничений). Что­бы
исключить эту возможность, необходимо
добавить в тексто­вый файл msdos.sys
следующую секцию:

[Options]

BootKeys=0

Тем
самым у нарушителя не будет возможности
прервать обыч­ную процедуру загрузки
операционной системы, нажав опреде­ленную
комбинацию клавиш на клавиатуре (Ctrl
или F8
для вы­зова меню загрузки либо другую
для загрузки в отличном от нор­мального
режиме).

Чтобы
не дать нарушителю возможности произвести
загрузку с собственного носителя
(системной дискеты или загрузочного
ком­пакт-диска) и обойти установленные
для незарегистрированных пользователей
ограничения, необходимо исключить такую
воз­можность с помощью программы BIOS
Setup.
Ее функция Advanced
BIOS
Features
(или аналогичная в программах других
производи­телей) позволяет установить
порядок применения устройств при
загрузке операционной системы. Для
обеспечения наибольшей безопасности
загрузка должна всегда начинаться
(First
Boot
Device)
с жесткого диска (HDD-0),
а при невозможности загрузки с же­сткого
диска — продолжаться (Second
Boot
Device)
с дискеты (Floppy)
или компакт-диска (CDROM).

Для
повышения безопасности при использовании
открытых версий операционной системы
Windows
можно также использо­вать исключение
из состава аппаратных средств компьютера
на­копителей на гибких магнитных
дисках и компакт-дисках с помо­щью
средств программы BIOS
Setup
(функция Standard
CMOS
Features
или аналогичная).

Доступ
к изменению настроек, устанавливаемых
программой BIOS
Setup,
должен быть разрешен только администратору
КС. Для этого с помощью функции Set
Supervisor
Password
этой про­граммы (или аналогичной)
необходимо установить пароль
адми­нистратора. Без ввода этого
пароля будут невозможны вызов про­граммы
BIOS
Setup
и изменение ее настроек.

Чтобы
заблокировать терминал рабочей станции
на период временного отсутствия
пользователя, в открытых версиях
опера­ционной системы Windows
должны использоваться программы-заставки
(рис. 3.7) с установленным паролем для
возобновления работы после запуска
программы-заставки.

Рис.
36. Установка программы-заставки

Поскольку
программа-заставка автоматически
запускается только по истечении
за­данного интервала времени после
прекращения работы пользователя с
устройствами ввода, необходимо вынести
ярлык к уста­новленной программе-заставке
на рабочий стол пользователя
(про­граммы-заставки имеют расширение
«.scr»
и размещаются обыч­но в папке System
папки с файлами операционной системы
Windows).

С помощью
организационных мер требуется также
обеспечить Применение пользователями
этих средств для блокировки терминалов
своих рабочих станций.

Пароли
пользователей открытых версий операционной
систе­мы Windows
сохраняются в файлах с расширением
«.pwl»
и с именем, совпадающим с логическим
именем зарегистрированного пользователя
КС, в зашифрованном виде. К сожалению,
при этом используется нестойкая функция
шифрования, поэтому в сети Интернет
свободно распространяются программы
для расшифрования файлов паролей,
которые могут быть использованы
нарушителем. Поэтому необходимо, но
недостаточно применение следующих мер:

• запрет (с помощью
  редактора системных правил) запуска
  непривилегированными пользователями
  любых программ, кроме необходимых им
  для выполнения своих служебных
  обязанностей;

• запрет
  сохранения паролей привилегированных
  пользователей на рабочих станциях под
  управлением открытых версий Windows
  (с помощью редактора системных правил
  или организационных мер).

Имеются
и другие недостатки рассмотренных
средств защиты от несанкционированного
доступа к информации в открытых вер­сиях
операционной системы Windows:

• влияние
  ограничений на запускаемые пользователями
  приложения и отображение дисков
  распространяются только на приложения
  компании Microsoft
  (например, с помощью оболочки Windows
  Commander
  пользователь сможет запускать любые
  установленные на его компьютере
  приложения), поэтому необходим тщательный
  и обоснованный выбор устанавливаемого
  программного обеспечения и накладываемых
  на его использование ограничений;

• возможен
  обход установленных ограничений на
  запуск приложений путем переименования
  файлов с помощью проводника Windows
  (например, нарушитель может переименовать
  файл с программой для несанкционированного
  доступа к информации в winword.exe).
  Поэтому необходимо обеспечить скрытие
  дисков в папке «Мой компьютер» и в окне
  проводника Windows
  (для невозможности копирования на
  жесткий диск компьютера файлов с
  вредоносным кодом), что может оказаться
  неудобным и даже невозможным для
  легальных пользователей;

• для легальных
  пользователей, зарегистрированных в
  КС и имеющих доступ к жесткому диску
  компьютера, и запущенных ими программ
  невозможно осуществить разграничение
  доступа к файлам, папкам, принтерам и
  разделам реестра на этом компьютере
  (любой вошедший в систему пользователь
  с подобными правами имеет полный доступ
  к любым ресурсам этого компьютера, а
  разграничение возможно только для
  доступа с других компьютеров локальной
  сети на основе одного пароля для полного
  доступа к папке и файлам в ней или двух
  паролей для чтения и записи соответственно);

• если
  нарушителю удастся получить доступ к
  компьютеру с загруженной операционной
  системой, то он сможет попытаться
  изменить настройки, установленные
  программой BIOS
  Setup,
  путем прямого редактирования содержимого
  CMOS-памяти
  с помощью специальных программных
  средств.

Отсутствие
возможности разграничения доступа
пользователей к ресурсам КС в
рассматриваемых операционных системах
являет­ся главной причиной отнесения
их к классу открытых (слабо за­щищенных
от несанкционированного доступа к
информации) систем. Разграничение
доступа к файлам и папкам с защищаемой
информацией в такого рода системах
возможно только с помо­щью их шифрования.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #