Windows XP для бывалого бойца
Шрифт:
Рис. 2.11.
Администраторы предприятий могут отключить или ограничить Windows Update, если получение сведений об обновлениях, их загрузка и распространение выполняются в корпоративной среде только централизованно.
Динамическое обновление
При динамическом обновлении системы программа установки Windows XP загружает обновления устройств и приложения с веб-узла Microsoft в процессе установки системы на компьютер. Это удобно в корпоративной среде, где администраторы получают возможность загружать пакет динамического обновления с последними исправлениями приложений и подсистемы безопасности и устанавливать их всем
Автоматическое обновление
Автоматическое обновление (AutoUpdate) применяется для обновления через Интернет. Загрузка обновлений выполняется в фоновом режиме и автоматически возобновляется, если компьютер отключили до завершения загрузки. По завершении загрузки обновления на компьютер пользователю предлагается установить его.
Безопасность
В этом разделе вы узнаете о новых и расширенных возможностях обеспечения безопасности в Windows XP.
Встроенный брандмауэр
Windows XP обеспечивает защиту доступа в Интернет средствами нового брандмауэра подключения к Интернету (Internet Connection Firewall, ICF) – как для домашних пользователей, так и для небольших предприятий. Динамический фильтр пакетов ICF обеспечивает защиту компьютеров, непосредственно подключенных к Интернету, а также устройств, подключенных к Интернету через компьютер-шлюз с брандмауэром ICF. ICF поддерживает подключения через телефонную линию, локальную сеть, виртуальную частную сеть (VPN) и Point-to-Point Over the Ethernet (PTPOE).
ICF использует таблицу трафика Network Address Translation (NAT) и проверяет весь входящий трафик на соответствие своим правилам. Входные потоки данных пропускаются только при наличии соответствующей записи в таблице трафика NAT, созданной брандмауэром или другими средствами из внутренней защищенной сети. Иначе говоря, если источник сетевого сообщения находится за пределами защищенной сети, входящие данные отбрасываются.
ICF предотвращает сканирование портов компьютера и ресурсов извне. Если злоумышленник запустил программу сканирования открытого подключения или пытается подключиться к компьютеру, брандмауэр не позволит получить никакой информации о портах и службах в локальной сети.
Управляемый доступ к сети
Windows XP содержит встроенную подсистему безопасности для предотвращения вторжений. Работа подсистемы базируется на ограничении прав любого пытающегося получить доступ к компьютеру из сети до привилегий гостевой учетной записи. Microsoft полагает, что данная подсистема не позволит ни одному взломщику получить доступ к компьютеру и перебором паролей получить дополнительные привилегии.
Ограничение используемых приложений
Политика ограничения используемых приложений предоставляет администраторам механизм определения ПО, которое может работать в домене. Эта политика позволяет запрещать работу нежелательных приложений вроде вирусов и «троянских коней», а также ПО, вызывающего конфликты. Стандартное правило предусматривает два варианта: unrestricted («неограниченно») и disallowed («запрещено»). Установка стандартного правила в режим «unrestricted» позволяет администратору определять исключения, то есть программы, которые запускать запрещено. Более безопасный подход заключается в изначальном общем запрещении (disallowed) с последующим выбором только тех программ, которые запускать разрешено.
Выполнение вызывающих сомнение программ и сценариев в специально выделенной карантинной области – так называемой «песочнице» (sandbox) – позволяет воспользоваться на самом деле безвредными программами и предотвратить ущерб, который способны причинить вредоносные приложения или сценарии. Например, до проверки на безопасность сомнительная программа не сможет отправить электронную почту, получить доступ к файлу или выполнить любую другую операцию.
Политика ограничения используемых приложений защищает от небезопасных почтовых вложений, в том числе от прикрепленных файлов, сохраняемых во временной папке, а также внедренных объектов и сценариев. Пользователь также защищен от URL– и UNC-адресов, открывающих интернет-страницы с сомнительными сценариями. Загружаемые из Интернета элементы управления ActiveX также проверяются и при необходимости нейтрализуются.
Безопасность серверов в ЛВС
Компонент Secure Wireless/Ethernet LAN не позволяет серверу получить доступ к сети, пока тот не пройдет процедуру проверки подлинности.
Единый вход в систему
Благодаря тому, что поддержка протоколов аутентификации Microsoft Passport добавлена в WinInet (DLL-библиотеку, которая поддерживает работу в Интернете), Windows XP может автоматически выполнять аутентификацию на основе Microsoft Passport. Обладая учетной записью Microsoft Passport, вы можете автоматически использовать ее для выполнения многих задач, в том числе для входа на веб-узлы, поддерживающие такой способ входа.
Управление реквизитами
Управление реквизитами позволяет безопасно хранить реквизиты пользователя, в том числе пароли и сертификаты X.509, обеспечивая целостный механизм единого входа, особенно для мобильных пользователей. В момент первого обращения к приложению в корпоративной сети компании система предложит указать свои реквизиты. После предоставления реквизитов они связываются с запрашиваемым приложением и применяются при повторной попытке доступа к нему, избавляя пользователя от необходимости вводить их при каждом обращении к приложению.
Управление реквизитами в Windows XP состоит из трех компонентов: самого диспетчера реквизитов (Credential Manager), который отвечает за их хранение, интерфейса пользователя для ввода реквизитов (API-интерфейса запроса реквизитов) и «связки ключей» (Keyring), обеспечивающей управление реквизитами – их добавление, создание новых реквизитов, редактирование или удаление существующих.
Шифрованная файловая система
Шифрованная файловая система (Encrypting File System, EFS) основана на технологии шифрования с открытым ключом и использует архитектуру CryptoAPI в Windows XP. Стандартная (по умолчанию) конфигурация EFS не требует административного вмешательства: вы можете выполнять шифрование файлов сразу после установки системы. EFS автоматически создает пару ключей шифрования и сертификат пользователя, если они не были созданы ранее.
В качестве алгоритма шифрования EFS использует DESX (Expanded Data Encryption Standard) или 3DES (Triple-DES). EFS позволяет зашифровать файл прямо из Проводника Windows.
Шифрование файла или папки осуществляется установкой атрибута шифрования – так же как и любого другого атрибута, например «только для чтения», «сжатый» или «скрытый». При установленном атрибуте шифрования папки EFS автоматически шифрует все файлы, создаваемые в папке или добавляемые в нее. Шифрование рекомендуется выполнять на уровне папок.