Я работаю с Windows Vista. Часть VIII.

Безопасность, многоуровневая защита данных, надёжность, развертывание, управляемость, производительность, требования к оборудованию и другие тонкости Windows Vista.

15.12.2006 19:06,
Страницы: Пред. 1 2 3 4 5 След.

Управление

Ряд новых и усовершенствованных функций, реализованный в Windows Vista для управления и устранения неполадок, обеспечивает снижение расходов на поддержку, упрощение управления конфигурацией, улучшение централизованного управления и снижение расходов на обновление.

В Windows Vista имеются встроенные средства диагностики, которые автоматически обнаруживают и анализируют стандартные неполадки, а затем помогают пользователям самостоятельно их устранять. К числу таких неполадок относятся дисковые сбои, снижение производительности, разрыв подключения к сети и неправильное завершение работы системы. Специалисты при необходимости могут добавлять в справочную службу User Assistance материалы, посвященные приложениям и ресурсам внутренней сети. Справочную службу можно настроить таким образом, чтобы пользователи подключались непосредственно к внутреннему центру поддержки.

Удаленный помощник (Remote Assistance), впервые появившийся в Windows XP, позволяет центру поддержки быстрее устранять неполадки за счет возможности видеть и контролировать компьютеры пользователей по сети. В Windows Vista удаленный помощник стал быстрее, меньше загружает сеть и может работать через протокол NAT.

Для решения проблем производительности в состав Windows Vista включены новые счетчики производительности и улучшенная консоль производительности, что позволяет сотрудникам службы поддержки получать детальное представление о внутреннем состоянии Windows Vista и локализовать сложные, устойчивые проблемы. В Windows Vista поддерживается объединенный журнал событий, открыть который можно в окне программы просмотра событий - Event Viewer. Многие компоненты, ранее хранившие журналы в текстовых файлах, теперь регистрируют события в журнале событий Windows Vista. В окне переработанной программы просмотра событий можно фильтровать и сортировать события, управлять типами регистрируемых событий, находить события и выполнять базовые задачи диагностики.

Важным нововведением в составе Windows Vista стала функция контроля учетных записей пользователей - User Account Control (UAC), позволяющая пользователям с обычными учетными записями запускать большинство приложений и выполнять стандартные действия по настройке системы. Ограничив круг обладателей административных учетных записей администраторами, можно предотвратить случаи несанкционированного изменения параметров системы и установки неразрешенных приложений, которые могут содержать вирусы и шпионские программы.

Функция защиты ресурсов Windows - Windows Resource Protection (WRP), обеспечивает дополнительную защиту от внесения потенциально опасных изменений в конфигурацию системы:

  • Защита параметров системного реестра от случайного изменения пользователями или несанкционированным ПО
  • Защита системных файлов и параметров от изменений, инициированных любым процессом, кроме доверенного установщика Windows
  • Защита приложений (например, Internet Explorer) от потенциально ненадежных или вредоносных расширений COM (Component Object Model) сторонних разработчиков

В Windows Vista расширена область применения параметров групповой политики (Group Policy), которая теперь включает беспроводные сети, съемные запоминающие устройства, Internet Explorer, принтеры и управление питанием. Предусмотрены параметры групповой политики для настройки всех новых функций Windows Vista.

Консоль управления групповой политикой - Microsoft Group Policy Management Console (GPMC), теперь интегрирована в состав Windows Vista. Windows Vista поддерживает несколько объектов локальной групповой политики, позволяя администраторам настраивать разные политики для отдельных пользователей одного компьютера Windows Vista.

Windows Vista расширяет возможности администратора по части автоматизации задач, уменьшая количество времени на управление ПК. Планировщик заданий - Task Scheduler, полностью совместим с Windows XP и в Windows Vista стал более мощным. Как и раньше он позволяет запускать задания в установленные моменты времени или при загрузке компьютера С помощью планировщика заданий можно назначать запуск заданий в случаях:

  • При наступлении события (например, нехватка свободного места на диске)
  • При входе пользователя в систему
  • Простой компьютера - через планировщик заданий можно запускать задания по обслуживанию системы (дефрагментацию жесткого диска и архивацию компьютера) в то время, когда компьютер не используется

Также поддерживается последовательный запуск заданий, С целью повышения безопасности и снижения объема работ обслуживания по истечении сроков действия паролей, учетные данные для учетных записей можно хранить в домене Active Directory, а не на локальном компьютере.

Служба Web Services for Management (WS-Management) в комбинации с соответствующими программными средствами позволяет администратору удаленно запускать сценарии и выполнять другие задачи управления. Для ограничения рисков обмен данными может шифроваться и подвергаться проверке подлинности. Выпускаемые Microsoft средства управления, например Systems Management Server (SMS) 2003, применяют WS-Management для безопасного управления оборудованием и программным обеспечением.

На консоли управления (MMC) собран ряд средств администрирования для Windows 2000, Windows Server 2003, Windows XP и Windows Vista. Windows Vista предоставляет возможность запускать несколько задач параллельно, причем средства администрирования продолжают работать даже после начала выполнения сложной или длительной задачи.

Для своевременного обновления программного обеспечения в Windows Vista обеспечивается эффективное использование пропускной способности сети, появилась возможность отслеживать успешные и неудачные обновления, а также усовершенствован агент обновления Windows (WUA).

Кроме того, особенностью платформы Windows Vista является то, что она позволяет обходиться без перезагрузки компьютера или, по крайней мере, снижать воздействие перезагрузки, если она неизбежна. Эта технология используется установщиком Windows, поэтому необходимость перезагружать компьютер после установки или удаления программы с помощью компонента "Установка и удаление программ" возникает реже.

Управление обновлениями улучшается за счет применения новой версии служб Software Update Services (SUS) — Windows Server Update Services (WSUS). В среде, где используется компонент "Автоматическое обновление", с помощью служб WSUS администратор может выполнить развертывание всех обновлений. Агент обновления Windows теперь является автономным приложением. Интерфейс агента обновления Windows не меняется в зависимости от источника загрузки обновлений, поэтому пользователям не приходится учиться работать с двумя средствами.

Повышенная безопасность

Windows Vista построена с учётом технологий безопасности из состава Windows XP с SP2, однако в ее архитектуру внесены изменения, лучше защищающие от непрерывно совершенствующихся угроз. Проектирование и разработка Windows Vista осуществлялись в соответствии с жесткими требованиями процесса SDL, который обеспечивает существенное снижение количества и серьёзности имеющих отношение к безопасности ошибок в конструкции и программном коде. В состав Windows Vista включены новые функции, обеспечивающие многоуровневую защиту.

Windows Vista поддерживается службами Windows Update, автоматического обновления и Microsoft Update, а также программой проверки обновлений для программного обеспечения, в рамках которой обновления перед выпуском подвергаются всестороннему тестированию. Операционная система разработана таким образом, чтобы отвечать требованиям стандарта Common Criteria, что необходимо для получения сертификата Evaluation Assurance Level 4 и прохождения проверки на соответствие стандарту обработки правительственных данных 140-2 (Federal Information Processing Standard 140-2).

В состав Windows Vista входят функции, позволяющие предотвращать установку вредоносных программ или выявлять и удалять их прежде, чем они нанесут какой-либо ущерб. Защитник Windows - Windows Defender, (ранее Microsoft AntiSpyware) поможет обнаружить, удалить или заблокировать шпионские и другие нежелательные программы в режиме реального времени. В процессе обновления или перехода на Windows Vista используется основная подпись средства удаления вредоносных программ, позволяющая найти и удалить вирусы и другое вредоносное ПО. Дополнительные сведения о корпоративном решении для борьбы с вредоносными программами Microsoft Client Protection можно найти здесь.

Один из наиболее действенных способов устранения угроз безопасности - ограничение количества приложений с доступом к сети. С помощью встроенного персонального межсетевого экрана Windows Vista - Windows Firewall, администратор может разрешить определенному приложению функционировать локально, но заблокировать возможность обмена данными по сети.

Windows Firewall взаимодействует с новой технологией ограничения полномочий служб Windows - Windows Service Hardening, которая помогает предотвратить использование системных служб Windows для выполнения непредусмотренных действий в файловой системе, реестре или сети. Поддерживается фильтрация входящего и исходящего трафика, применение сетевых правил ограничения полномочий системных служб. С помощью таблиц управления доступом (ACL) службам можно разрешить производить запись только в определенные области файловой системы и реестра.

Клиент защиты сетевого доступа - Network Access Protection (NAP), в Windows Vista помогает защититься от атак из сети путём составления списка требований к состоянию клиентских компьютеров и проверки соблюдения этих требований при подключении ПК к сети.

В Windows Vista функции управления межсетевым экраном и безопасностью протокола интернета Internet Protocol Security (IPSec) собраны на консоли "Брандмауэр Windows в режиме повышенной безопасности" (Windows Firewall with Advanced Security), повышающей наглядность конфигурации системы безопасности и позволяющей централизованно фильтровать входящий и исходящийо трафик, а также настраивать параметры изоляции сервера IPSec и домена.

При разработке функций безопасности Internet Explorer 7 в составе Windows Vista на первом плане стояло достижение двух основных целей: защиты пользователей от вредоносных программ и обеспечения безопасности их данных. Более жёсткая система безопасности Internet Explorer 7 пресекает попытки запуска вредоносных программ. Элементы управления междоменными сценариями предотвращают попытки манипулирования содержимым в одном домене с помощью сценария из другого домена в интернете. Кроме того, в Internet Explorer 7 реализован новый механизм безопасности под названием ActiveX Opt-In, помогающий не допустить непреднамеренного использования элементов управления ActiveX, которые были предварительно установлены на компьютере, но еще не включались.

В защищенном режиме (доступен только в Windows Vista) Internet Explorer 7 защищает пользователей от загруженных вредоносных программ, запрещая им производить запись в какие-либо ресурсы из зоны "Мой компьютер" кроме временных файлов интернета, в этом режиме Internet Explorer 7 не может вносить изменения в пользовательские и системные файлы и параметры. Защищенный режим Internet Explorer также обеспечивает безопасность просмотра на вкладках: для содержимого, находящегося вне текущей зоны безопасности, вместо вкладок открываются новые окна.

В Internet Explorer 7 реализован ряд усовершенствований, направленных на защиту личных данных пользователей.

  • Строка состояния безопасности - предоставляет визуальные сведения о безопасности и надежности web-узлов
  • Фильтр фишинга - повышает безопасность работы в интернете путём предупреждения пользователя о подозрительных страницах, которые занимаются несанкционированным сбором данных
  • Адресная строка во всех окнах. Наличие адресной строки в каждом окне позволяет пользователям получать сведения об истинном источнике той информации, которую они видят
  • Команда удаления журнала IE даёт возможность одним нажатием кнопки очистить журнал использования и все личные данные

64-разрядные версии Windows Vista защищают компьютеры от переполнения буфера за счет поддержки реализованной в 64-разрядных процессорах функции предотвращения выполнения данных. 64-разрядные версии Windows также поддерживают технологию Microsoft PatchGuard, которая предотвращает внесение исправлений в ядро Windows программами, не имеющими соответствующих полномочий.

Все драйверы режима ядра, выполняющиеся на компьютере под управлением 64-разрядной версии Windows Vista, должны быть подписаны разработчиком. Подписание драйверов не является гарантией безопасности, однако позволяет распознавать и предотвращать многие атаки. В комбинации с поддержкой функции DEP на аппаратном уровне подписание драйверов делает 64-разрядную версию Windows Vista надежной и безопасной.

Управление идентификацией пользователей и правами доступа

В Windows Vista реализован ряд функций, позволяющих проверять подлинность пользователей и контролировать доступ к устройствам, приложениям и данным. Контроль учетных записей пользователей (UAC) в Windows Vista представляет собой набор инфраструктурных технологий, позволяя пользователям запускать приложения и задачи, имея обычный набор прав, при этом доступ административного уровня требуется только для процессов, выбранных пользователем или IT-отделом.

В Windows Vista большинству приложений присваивается "административный" или "обычный" маркер. Если приложение не является административным, то Windows Vista по умолчанию запускает его в качестве обычного. Перед запуском административного приложения Windows Vista запрашивает у пользователя разрешение на выполнение приложения с повышенными правами. По умолчанию запрос отображается, даже если пользователь входит в состав локальной группы "Администраторы"; любой администратор работает в качестве обычного пользователя до тех пор, пока определенное приложение или компонент системы не затребует при запуске учетных данных администратора.

Сегодня наиболее распространенным способом проверки подлинности является применение паролей, однако подобная одноуровневая проверка имеет ряд недостатков. Благодаря модернизации архитектуры Windows Vista поддерживает добавление альтернативных способов проверки подлинности, например, на основе биометрических характеристик и маркеров. Модель поставщиков учетных данных значительно проще фильтров GINA (Graphical Identification and Authorization), при этом несколько поставщиков могут функционировать параллельно.

Усовершенствованные функции управления правами в составе Windows Vista позволяют сохранять контроль над объектами интеллектуальной собственности и предоставлять доступ к конфиденциальным данным только уполномоченным пользователям. Для разработки прав и условий использования цифрового содержимого предназначен язык XrML (Extensible Rights Markup Language).

С помощью функций аудита в Windows Vista можно отслеживать действия пользователей. В Windows Vista реализован встроенный механизм сбора и пересылки важных событий аудита на центральную консоль с целью упорядочения и анализа данных аудита в рамках всей компании.

Управление учетными данными (например, паролями и сертификатами) и оборудованием (например, смарт-картами для хранения учетных данных) в Windows Vista также содержит средства для управления учетными данными перемещаемых пользователей, в том числе новую службу DIMS (Digital Identity Management Service) и новый процесс подачи заявки на сертификат. С помощью таких ресурсов, как автоматическое средство сброса персональных идентификационных номеров (PIN), проще развёртывать смарт-карты.

В составе Windows Vista реализованы криптографические службы Crypto Next Generation (CNG). Первый выпуск CNG позволяет добавлять в Windows новые алгоритмы для использования с протоколами Secure Sockets Layer/Transport Layer Security (SSL/TLS) и IPSec. Кроме того, Windows Vista содержит новый процессор системы безопасности, обеспечивающий принятие решений о доверии для таких служб, как управление правами.

Средство шифрования диска BitLocker, прежде называвшееся полным шифрованием тома — это функция защиты данных на аппаратном уровне для предотвращения доступа к корпоративным и личным данным на потерянных или украденных системах. Шифрование всего системного тома Windows не позволяет без соответствующих полномочий взломать защиту системы и файлов Windows с целью использования данных на потерянных или украденных компьютерах.

Microsoft Windows Vista

Оптимальным хранилищем для ключа шифрования с точки зрения функции BitLocker является чип доверенного платформенного модуля TPM версии 1.2. Если технология развертывается в системе без такой микросхемы, ключ шифрования записывается на USB-флэшку, в этом случае пользователь должен при каждой загрузке системы подключать к ней USB-носитель. Преимущество чипа ТРМ заключается во встроенной защите от подделки.

Служба управления правами Windows Rights Management Services (RMS) помогает компаниям контролировать и защищать важные цифровые данные за счет интеграции смарт-карт, а также поддержки ключей большей длины и специальных средств обмена информацией при взаимодействии типа "бизнес-бизнес" (B2B). В состав Windows Vista входит встроенный клиент RMS. Файловая система EFS (Encrypting File System) служит для шифрования файлов и папок на уровне пользователя. Например, если на одном компьютере работают два пользователя, то с помощью файловой системы EFS каждый из них может шифровать свои данные так, чтобы они были недоступны другому. В составе Windows Vista управление файловой системой EFS по сети улучшено за счет возможности хранения ключей EFS на смарт-картах.

Чтобы не допустить разглашения или кражи конфиденциальных данных и объектов интеллектуальной собственности, администратор с помощью групповой политики Windows Vista может заблокировать установку съемных запоминающих устройств (флэш-память USB, внешние жесткие диски и пр.).

Страницы: Пред. 1 2 3 4 5 След.
Оцените материал:  
(Голосов: 1, Рейтинг: 2.93)

Каждый вечер мы будем присылать вам одно письмо со всеми опубликованными за день материалами. Нет материалов - нет писем, просто и удобно (другие варианты).

Материалы по теме


Комментарии (0)