Многие пользователи и даже некоторые ИТ-администраторы, будь их воля, предпочли бы не заниматься вопросами безопасности. Однако, нравится нам это или нет, для компаний, которые внимательно следят за соблюдением законодательных требований, эти вопросы приобретают исключительно важное значение. Давайте проанализируем некоторые обстоятельства, осложняющие защиту данных, и посмотрим, как их можно нейтрализовать.
Одноранговые беспроводные сети
По умолчанию системы Windows Vista и Windows XP могут быть подключены к беспроводным сетям различных типов. Сети с архитектурой беспроводной сети типа инфраструктур, в которых компьютеры подключаются к беспроводному маршрутизатору, — это самый распространенный тип сетей. В одноранговых сетях, создаваемых с целью быстрой организации временной совместной работы, компьютеры подключаются друг к другу не через маршрутизатор, а напрямую.
Для создания одноранговой сети не требуется специальных аппаратных средств, поэтому злоумышленник, располагающий всего лишь ноутбуком и беспроводной сетевой платой, может без труда создать одноранговую сеть в общественном месте (например, в кафе) и присвоить ей имя, похожее на имя официальной беспроводной сети, обманом побуждая пользователей к подключению к ней. Подобные атаки эффективны, ибо невзирая на значок щита в Vista, предостерегающий пользователей от подключения к одноранговым сетям, многие пользователи не могут удержаться от искушения и подключаются по бесплатному Wi-Fi-соединению.
Администратор может отключить средства соединения с одноранговыми сетями. Если у вас нет домена Active Directory (AD), вы можете в окне командной строки использовать команду Netsh. Для этого выполните следующие действия:
-
Зарегистрируйтесь в системе Windows Vista.
-
Откройте меню Start; в окне Start Search введите cmd и нажмите Ctrl+Shift+Enter. Введите учетные данные администратора, тем самым вы начнете сеанс работы в окне командной строки.
-
Запустите на выполнение следующую команду:
netsh wlan add filter permission=denyall
networktype=adhoc
-
Чтобы проверить успешность операции по добавлению фильтра, выполните команду:
netsh wlan show filters
-
В столбце Block list on the system (user) появится текст SSID: " ", Type: Adhoc.
В групповых политиках Windows Server 2008 и Windows Vista реализованы средства управления подключением к одноранговым сетям. Эту функцию можно перенести в среды Windows Server 2003 и Windows XP SP3, для чего требуется обновить схему AD. Сведения о применении данного обновления можно найти в статье «Active Directory Schema Extensions for Windows Vista Wireless and Wired Group Policy Enhancements» (technet.microsoft.com/en-gb/library/bb727029.aspx). Чтобы с помощью групповых политик ограничить возможности подключения к одноранговым сетям в среде Server 2008, нужно выполнить следующие действия:
-
Зарегистрируйтесь на контроллере домена Server 2008 в качестве администратора домена.
-
Из меню Administrative Tools откройте консоль управления групповыми политиками Group Policy Management Console (GPMC).
-
Раскройте лес, папку Domains и домен.
-
Правой кнопкой мыши щелкните на пункте Group Policy Objects и в раскрывшемся меню выберите элемент New. Тем самым вы создадите новый объект групповой политики Group Policy Object (GPO). Присвойте ему имя Wireless и нажмите ОК.
-
Удостоверьтесь в том, что контейнер Group Policy Objects выделен в левой панели, после чего правой кнопкой мыши щелкните на GPO «Wireless», который размещается на вкладке Contents, и в раскрывшемся меню выберите пункт Edit.
-
В разделе Computer Configuration редактора Group Policy Management Editor выберите пункты Policies, Windows Settings, Security Settings.
-
Правой кнопкой мыши щелкните на элементе Wireless Network (IEEE 802.11) Policies и в раскрывшемся меню выберите пункт Create A New Windows Vista Policy.
-
В диалоговом окне новой политики Properties перейдите на вкладку General и введите имя, а также описание политики.
-
Перейдите на вкладку Network Permissions, а затем установите флажок Prevent connections to ad hoc networks. Нажмите ОК.
-
Закройте окно редактора Group Policy Management Editor. В консоли GPMC свяжите GPO «Wireless» с нужным доменом, узлом или организационной единицей (OU).
Автозаполнение паролей
Реализованная в Internet Explorer (IE) функция автозаполнения паролей, способная «помнить» имена пользователей и пароли, кажется весьма важной. Но надо сказать, что для средств автозаполнения или функции «запомни меня», которая часто встраивается в Web-приложения, характерны два серьезных недостатка. Во-первых, общеизвестно, что Web-браузеры имеют слабую защиту и часто являются объектами атак охотников за чужими данными, в том числе и персональными. Сохраняя в IE (или в любом другом браузере) свои пароли, вы повышаете вероятность того, что ваше электронное удостоверение личности (или даже несколько удостоверений) могут стать добычей злоумышленников. Во-вторых, пользователи, полагающиеся на функцию автозаполнения браузера IE, сталкиваются с проблемами, когда переходят с одного компьютера на другой и не могут восстановить в памяти целый ряд паролей, сохраненных в IE. Эта проблема не коснется служащих организаций, где применяются перемещаемые профили. Но для небольших компаний функция автозаполнения — это не только потенциальная угроза безопасности данных, но и источник больших неудобств: пользователям нередко приходится тратить драгоценное время на звонки, чтобы получить помощь при регистрации.
К счастью, существует простое решение, позволяющее устранить эту проблему. Можно настроить групповую политику таким образом, чтобы IE не предлагал вариант автоматического заполнения форм и сохранения паролей. В разделе User Configuration, Administrative Templates, Internet Explorer необходимо установить для параметра Do not allow AutoComplete to save passwords значение Enabled.
Для посещения Web-узлов со встроенными средствами сохранения данных регистрации следует отключить функцию сохранения cookie-файлов. Групповую политику можно изменить так, чтобы все основные и сторонние cookie-файлы были заблокированы и принимались только сеансовые файлы. В разделе User Configuration, Windows Settings, Internet Explorer Maintenance, Security следует определить обработку cookie-файлов как часть настройки Security Zone and Content Ratings. Если вы импортируете настройки зоны безопасности используемой системы в качестве исходной конфигурации, в нее войдут и параметры обработки cookie-файлов, указанные на вкладке Privacy оснастки Internet Options панели управления.
Возможно, в случае ограничения всех основных cookie-файлов будут ограничены функции некоторых Web-приложений. Чтобы устранить эту проблему, можно нажать кнопку Sites на вкладке Privacy и активизировать параметр Per Site Privacy Actions.
Усовершенствования контроля учетных записей пользователей
Реализованные в системе Windows Vista средства контроля учетных записей пользователей User Account Control (UAC) настолько разочаровали ИТ-администраторов, что многие из них попросту отключили эти средства. Но надо сказать, что некоторые возможности, например виртуализация файлов и реестра, а также защищенный режим браузера IE, при таком отключении становятся недоступными. В версии Windows Vista SP1 в UAC был внесен ряд важнейших усовершенствований, чтобы сотрудники, работающие на компьютерах как дома, так и в офисе, могли воспользоваться преимуществами этой функции.
Число сообщений UAC при создании или переименовании файлов сократилось с четырех в среде Vista до одного в среде Vista SP1. Еще одна проблема состоит в том, что в процессе использования функции Remote Assistance в среде Vista оказывающему помощь бывает необходимо ввести учетные данные в окне UAC, окно Secure Desktop не отображается в Remote Assistance. Благодаря новой настройке групповой политики в системе Vista SP1, приложения User Interface Access (UIA), запускаемые из безопасных мест, обходят защищенный рабочий стол, в результате чего удаленные администраторы получают возможность вводить нужные учетные данные от имени пользователя. Чтобы изменить эту настройку, перейдите в раздел Computer Configuration, Policies, Windows Settings, Security Settings, Local Policies и Security Options при изменении групповой политики системы Vista SP1. Настройка называется User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop. Тем самым безопасность все же подвергается риску, но разрешать приложениям обход защищенного рабочего стола лучше, чем полностью отключать средства Secure Desktop для обеспечения работы одного приложения.
Реализованные в среде Vista SP1 усовершенствования контроля учетных записей могут показаться незначительными. Но не следует забывать о том, что дополнительные настройки групповых политик дают возможность настраивать UAC таким образом, чтобы потребности пользователей были учтены без полного отключения этой чрезвычайно полезной функции.
Обновления приложений от независимых поставщиков
Система Windows оснащена превосходными службами управления изменениями Microsoft Update и Windows Server Update Services (WSUS). Однако клиентские приложения от независимых поставщиков (такие, как Adobe Flash Player, RealNetworks RealPlayer) могут представлять значительную угрозу безопасности, если в них не установлены последние обновления. В некоторых программах предусмотрены средства автоматического обновления, но во многих такие средства отсутствуют. Поэтому наладить регулярное обновление подобных программ по сети сложно, если не использовать инструмент независимого поставщика.
Для установки исправлений и обновлений можно использовать возможности развертывания программного обеспечения через групповые политики, но это решение не идеально, поскольку практически не обеспечивает возможности составления отчетов. Кроме того, приходится распространять все модули в формате Windows Installer (т. е. в виде файла .msi). Переформатирование программ установки занимает много времени, если только файл .msi не предоставляется поставщиком.
Средние и крупные компании могут воспользоваться продуктами System Center Essentials (SCE) и Microsoft System Center Configuration Manager (SCCM), которые подключаются к службе Windows Update и дают возможность распространять программы и обновления без перевода в формат MSI. У небольших организаций более ограниченный выбор продуктов сторонних поставщиков.
Виртуализация приложений
Чем лучше защищена система, тем меньшей гибкостью она обладает. Безопасность неизбежно достигается за счет удобства работы пользователей и администраторов. Новые технологии виртуализации приложений могут способствовать обеспечению безопасности базовых операционных систем, так как позволяют запускать приложения по запросу, не создавая при этом угрозы для безопасности хост-системы.
Разработчики и администраторы уже давно используют виртуальные машины (VM) для тестирования программного обеспечения. Но применение «настольных» VM сдерживалось необходимостью наличия лицензии на вторую копию операционной системы, а также отсутствием интеграции с основной средой.
Версия Vista Enterprise стала первым выпуском операционной системы Microsoft, который включает лицензию на использование четырех дополнительных копий операционной системы в виртуальной машине. Разработчики последних версий VMware Workstation и VMware Player сделали еще один шаг к размыванию границы между виртуальной машиной и настольной системой. В этих продуктах появилось представление Unity, обеспечивающее отображение прикладной программы, выполняемой в виртуальной машине, в отдельном окне, как если бы она выполнялась в главной системе. Это решение не может служить примером полностью «бесшовной» интеграции, но тем не менее оно позволяет настраивать приложения на доступ к накопителям хост-системы, и, значит, приложения выполняются как бы локально.
Разработанная Microsoft технология Application Virtualization (App-V) — еще один шаг вперед. Она обеспечивает потоковую передачу приложений с сервера App-V пользователям по запросу и развертывание этих приложений без каких-либо особых манипуляций, в итоге конечный пользователь не замечает, что приложение выполняется не на локальной системе. Реализованная в App-V технология SystemGuard представляет собой «песочницу», в которой фиксируются изменения, внесенные в реестр, файловую систему и в другие ресурсы. В эту же «песочницу» поступают запросы, которыми обмениваются приложения и виртуализованные компоненты. SystemGuard изолирует приложения друг от друга, и основная система не претерпевает каких-либо изменений.
App-V предполагает возможность одновременной установки множества приложений без риска потенциальных конфликтов между ними. Кроме того, App-V снижает уровень угрозы в результате каких-либо нарушений в механизме защиты хост-системы.
Значение виртуализации приложений со временем будет возрастать; в идеале в одной из версий Windows будет реализована технология App-V, которая обеспечит интегрированный слой виртуализации приложений.
Планируйте защиту данных
Меры по обеспечению безопасности должны быть с самого начала составной частью системы или приложения. Слишком часто реализацию средств защиты оставляют на потом, а когда система уже развернута, решать подобные вопросы становится намного сложнее. Везде, где это возможно, следует использовать технологии единой процедуры регистрации Single Sign-On (SSO), позволяющей корпоративным пользователям получать доступ к системам после однократной регистрации. Реализуя меры безопасности не следует забывать об удобстве использования и гибкости, ведь, если механизм обеспечения безопасности становится слишком сложным, пользователи обязательно найдут способ его обойти.