Андрей Смирнов
Время чтения: ~15 мин.
Просмотров: 16

Настройка Windows 7 для безопасного использования

Lokalnaya-politika-bezopasnosti-v-OS-Windows-7.png

Варианты настройки политики безопасности

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».

  1. Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».

Perehod-v-Panel-upravleniya-cherez-menyu-Pusk-v-Windows-7-5.png

Далее откройте раздел «Система и безопасности».</li>

Perehod-v-razdel-Sistema-i-bezopasnost-v-Paneli-upravleniya-v-Windows-7-3.png

Щелкните «Администрирование».</li>

Perehod-v-razdel-Administrirovanie-v-Paneli-upravleniya-v-Windows-7-1.png

Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».

Zapusk-instrumenta-Lokalnaya-politika-bezopasnosti-v-razdele-Administrirovanie-Paneli-upravleniya-v-Windows-7.png

Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:

secpol.msc

Затем щелкните «OK».</li>

Zapusk-osnastki-Lokalnaya-politika-bezopasnosti-putem-vvoda-komndyi-v-okno-Vyipolnit-v-Windows-7.png

Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики». Тогда нужно щелкнуть по элементу с этим наименованием.</li>

Perehod-v-katalog-Lokalnyie-politiki-v-okne-osnastki-Lokalnaya-politika-bezopasnosti-v-Windows-7.png

В данном каталоге располагается три папки.

В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

Papki-kataloga-Lokalnyie-politiki-v-okne-osnastki-Lokalnaya-politika-bezopasnosti-v-Windows-7.png

Читайте также: Родительский контроль в Windows 7</li>Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов. </li>

Perehod-v-papku-Naznachenie-prav-polzovatelya-iz-kataloga-Lokalnyie-politiki-v-okne-osnastki-Lokalnaya-politika-bezopasnosti-v-Windows-7.png

Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.</li>

Perehod-k-redaktirovaniyu-politiki-Arhivatsiya-faylov-i-katalogov-v-okne-osnastki-Lokalnaya-politika-bezopasnosti-v-Windows-7.png

После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…».

Perehod-k-dobavleniyu-polzovatelya-ili-gruppyi-v-okne-redaktirovaniya-politiki-Arhivatsiya-faylov-i-katalogov-osnastki-Lokalnaya-politika-bezopasnosti-v-Windows-7.png

Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить».</li>

Perehod-k-udaleniyu-polzovatelya-ili-gruppyi-v-okne-redaktirovaniya-politiki-Arhivatsiya-faylov-i-katalogov-osnastki-Lokalnaya-politika-bezopasnosti-v-Windows-7.png

После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK», а иначе изменения не вступят в силу.</li></ol>

Sohranenie-vnesennyih-izmeneniy-v-okne-redaktirovaniya-politiki-Arhivatsiya-faylov-i-katalogov-osnastki-Lokalnaya-politika-bezopasnosti-v-Windows-7.png

Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».

Способ 2: Использование инструмента «Редактор локальной групповой политики»

Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

  1. В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:

    gpedit.msc

    Затем щелкните «OK».

    Zapusk-osnastki-Redaktor-lokalnoy-gruppovoy-politiki-putem-vvoda-komndyi-v-okno-Vyipolnit-v-Windows-7.png

    Читайте также: Как исправить ошибку «gpedit.msc не найден» в Windows 7

  2. Откроется интерфейс оснастки. Перейдите в раздел «Конфигурация компьютера».

Perehod-v-razdel-Konfiguratsiya-komnyutera-v-okne-osnastki-Redaktor-lokalnoy-gruppovoy-politiki-v-Windows-7.png

Далее щелкните по папке «Конфигурация Windows».</li>Теперь щелкните по элементу «Параметры безопасности».</li>Откроется директория с уже знакомыми нам по предыдущему методу папками: «Политики учетных записей», «Локальные политики» и т.д. Все дальнейшие действия проводятся по точно такому же алгоритму, который указан при описании Способа 1, начиная с пункта 5. Единственное отличие состоит в том, что манипуляции будут выполняться в оболочке другого инструмента. Урок: Групповые политики в Windows 7</li></ol>Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования. Мы рады, что смогли помочь Вам в решении проблемы.Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

<index>

Введение

Для корпорации Microsoft информационная безопасность пользователей Windows всегда стояла во главе угла и по сей день остается приоритетом номер один. По этому поводу можно иронизировать сколько угодно, однако что правда — то правда. Компания упорно и практически непрерывно (разработка-то идёт чуть ли не во всех часовых поясах!) совершенствует механизмы защиты своих операционных систем и с каждым новым поколением внедряет решения, повышающие уровень безопасности. Ярким примером работы в этом направлении может служить Windows 7 — система, построенная на прочном фундаменте безопасности Windows Vista и вобравшая в себя последние наработки в данной области. О том, чем может порадовать пользователей «семёрка» в плане безопасности, рассказывает данный материал.

Центр поддержки Windows 7

Владельцы компьютеров с Vista наверняка успели оценить удобство центра обеспечения безопасности Windows. В новой версии операционной системы специалисты компании Microsoft существенно расширили возможности этого инструмента и присвоили ему новое говорящее название — центр поддержки. В отличие от «Висты», обновленный компонент информирует пользователя не только о проблемах безопасности Windows 7, но и обо всех других событиях, степень значимости которых можно оценивать по цветовой окраске сообщений. С помощью центра поддержки не составит труда убедиться, что система функционирует без ошибок, брандмауэр включен, антивирусные приложения обновлены и компьютер настроен для автоматической установки обновлений и резервного копирования важных данных. В случае выявления неполадок центр обновления Windows 7 выполнит поиск доступных решений в Интернете и приведёт ссылки на программные средства для устранения возникших ошибок.

Контроль учётных записей пользователей

В Windows 7 эволюционировал вызывавший много споров среди продвинутых пользователей механизм контроля учётных записей, известный также как User Account Control. В «семёрке» UAC стал гораздо менее навязчивым и обзавелся дополнительными параметрами, руководствуясь которыми можно гибко настраивать функцию контроля учётных записей и значительно сокращать количество запросов на подтверждение тех или иных действий, требующих администраторских полномочий в системе. User Account Control помогает предотвратить незаметное проникновение вредоносного кода на компьютер и поэтому отключать систему защиты (а такая опция предусмотрена) не рекомендуется.

Шифрование дисков при помощи BitLocker

Механизм шифрования содержимого жёстких дисков, дебютировавший в «Висте», также мигрировал с некоторыми улучшениями в состав корпоративной (Enterprise) и максимальной (Ultimate) редакций Windows 7. Если в предыдущей версии системы приходилось для включения функции криптографической защиты данных вручную разбивать диск на два раздела, то теперь «семёрка» автоматически резервирует место на носителе на этапе установки операционки. Помимо этого в Windows 7 появился агент восстановления данных и была реализована возможность шифрования средствами BitLocker не только системного, но и всех других разделов диска с файловой системой NTFS. Обратим внимание читателей на тот факт, что в отличие от системы EFS, позволяющей шифровать отдельные файлы, BitLocker выполняет криптографическую защиту всех файлов на выбранном носителе или разделе диска. Подобный подход существенно улучшает защиту данных от несанкционированного доступа при физическом доступе к компьютеру и дискам.

BitLocker To Go на страже мобильных носителей

Дальнейшим развитием технологии BitLocker стала появившаяся в Windows 7 функция BitLocker To Go, обеспечивающая надёжную защиту данных на съёмных носителях (флэшках и внешних жёстких дисках) даже в том случае, если устройство оказывается потерянным или украденным. При этом важной особенностью является то, что новый механизм шифрования взаимодействует не только с портативными носителями, отформатированными в NTFS, но и с FAT, FAT32 и ExFAT-разделами. С защищёнными средствами BitLocker To Go дисками можно работать в предыдущих версиях операционных систем Microsoft — Windows XP и Vista. Правда, только в режиме чтения.

Технология AppLocker для контроля используемого на компьютере ПО

Администраторам предприятий различного масштаба часто приходится анализировать используемые сотрудниками приложения и ограничивать доступ к определенным программным продуктам, запуск которых может создать угрозу безопасности корпоративной сети. Для решения данной задачи в Windows 7 включён усовершенствованный вариант инструмента Software Restriction Policies, получивший название AppLocker. Он проще в использовании, а его новые возможности и расширяемость снижают затраты на управление и позволяют вести аудит запускаемых программ, а также гибко манипулировать правилами доступа к определённым приложениям и файлам, используя различные правила и условия вплоть до цифровых подписей продуктов. AppLocker настраивается в рамках домена с помощью групповой политики или на локальном компьютере в оснастке локальных политик безопасности.

Блокирование сетевых угроз

От сетевых атак компьютеры под управлением Windows защищает брандмауэр. В «семёрке» он также обеспечивает крепкую линию обороны от многих типов вредоносных программ. Как и межсетевой экран Windows Vista SP2, брандмауэр «семёрки» автоматически включается после инсталляции и тщательно фильтрует как входящий, так и исходящий трафик, своевременно информируя пользователя о подозрительной сетевой активности в операционной системе. В «Висте» в каждый момент времени мог функционировать только один сетевой профиль. В Windows 7 это ограничение было снято, и в системе появилась возможность использовать одновременно несколько активных профилей, по одному на сетевой адаптер. Преимущества такого нововведения очевидны. Можно, к примеру, сидя в кафе, где есть беспроводная точка доступа, подключаться через VPN (Virtual Private Network) к корпоративной сети и при этом быть уверенным в том, что брандмауэр Windows 7 применит общий профиль к WiFi-адаптеру, а профиль домена активирует для VPN-туннеля.

Защищённый доступ к ресурсам корпоративной сети

Раз уж речь зашла о VPN-подключениях, то нелишне будет обратить внимание читателей на DirectAccess — новую технологию корпорации Microsoft, обеспечивающую защищенное соединение с корпоративной сетью для удаленных пользователей, работающих через публичные сети. Основное отличие DirectAccess от VPN состоит в том, что безопасное соединение устанавливается в фоновом режиме без участия пользователя. Такой подход позволяет сделать максимально простой и удобной работу мобильных сотрудников без снижения обеспечиваемого уровня безопасности. Работа с новой функцией возможна только в том случае, если на компьютерах пользователей установлена корпоративная или максимальная редакция Windows 7, а на серверах компании используется платформа Windows Server 2008 R2.

Технологии биометрической безопасности

Устройства, предназначенные для идентификации пользователей по отпечаткам пальцев, можно было использовать и в прежних версиях операционных систем компании Microsoft. Для этого приходилось довольствоваться программными решениями сторонних разработчиков. В Windows 7 имеются собственные биометрические драйверы и программные компоненты, которые могут использовать не только владельцы компьютеров, оснащённых устройствами чтения отпечатков пальцев, но и разработчики сторонних софтверных организаций. Для настройки биометрических устройств предусмотрено одноимённое меню в панели управления операционной системы.

Безопасный Интернет с Internet Explorer 8

В состав Windows 7 входит браузер Internet Explorer 8, который характеризуется развитыми средствами обеспечения безопасности. Достаточно упомянуть функцию подсвечивания домена второго уровня, которая позволяет вовремя заметить неладное и избежать уловки сетевых мошенников, заманивающих пользователей на поддельный сайт с похожим на известное доменным именем, отказ от административных привилегий при запуске ActiveX, а также технологию Data Execution Prevention. Суть последней заключается в том, что когда браузер попытается выполнить какой-либо код, находящейся в памяти, система попросту не даст ему это сделать. В браузере имеются модель предупреждения XSS-атак (Cross-Site Scripting), а также система SmartScreen, генерирующая уведомления при попытке посещения потенциально опасных сайтов и защищающая от вредоносного ПО. Средства Automatic Crash Recovery позволяют восстановить все ранее открытые вкладки после аварийного завершения работы приложения, а режим просмотра веб-страниц InPrivate позволяет не оставлять следов при работе на компьютерах общего доступа.

Защитник Windows

Для защиты от шпионского программного обеспечения в состав Windows 7 включён специальный модуль, автоматически запускаемый при каждой загрузке операционной системы и выполняющий сканирование файлов как в режиме реального времени, так и по заданному пользователем расписанию. В целях регулярного обновления сигнатур вредоносных приложений защитник Windows использует центр обновления для автоматической загрузки и установки новых определений по мере их выпуска. Кроме того, защитник Windows может быть настроен на поиск обновлённых определений в Интернете перед началом проверки хранящихся на диске компьютера данных. Любопытной особенностью антишпионского модуля является умение работать в тандеме с сетевым сообществом Microsoft SpyNet, призванным научить пользователей адекватно реагировать на угрозы, исходящие от шпионских программ. Например, если защитник Windows обнаруживает подозрительное приложение или внесенное им изменение, которые ещё не получили оценки степени опасности, можно просмотреть, как другие участники сообщества отреагировали на такое же предупреждение, и принять верное решение.

Антивирус Microsoft Security Essentials — теперь и для российских пользователей!

В дополнение к перечисленным выше технологиям безопасности, Microsoft также предлагает Microsoft Security Essentials — бесплатное антивирусное решение, которое обеспечивает надежную защиту компьютера от всех возможных угроз, в том числе от вирусов, шпионских программ, руткитов и троянов. Microsoft Security Essentials работает тихо и незаметно в фоновом режиме, не ограничивая действия пользователей и не замедляя работу любых, даже низкопроизводительных компьютеров. Предлагаемый компанией Microsoft антивирус прост в использовании, оснащён интуитивно понятным интерфейсом, содержит самые современные технологии для защиты от вирусов и соответствует всем нормам в области компьютерной безопасности.

Заключение

Многие зарубежные пользователи Windows 7 оценили удобный интерфейс приложения, простоту установки, настройки и быстроту работы антивирусного решения Microsoft. Начиная с сегодняшнего дня, вкусить все прелести Microsoft Security Essentials могут и отечественные пользователи. Именно сегодня, 16 декабря корпорация Microsoft открывает российским пользователям доступ к русифицированной версии антивируса и предоставляет техническую поддержку продукта на русском языке. Русифицированную версию Microsoft Security Essentials можно скачать с сайта microsoft.com/security_essentials/?mkt=ru-ru, естественно, совершенно бесплатно. Этот продукт установлен на компьютерах доброй половины нашей редакции (не считая, разумеется, маководов) и заставляет забыть о бесплатных аналогах других разработчиков. Да и платных порой тоже.

</index>Похожие публикацииnastrojka-sistemy-bezopasnosti-windows-7.jpg

Настройка системы безопасности windows 7

В видеокурсе «Создание и администрирование одноранговой сети», в уроке посвященному вопросам безопасности, я рассказывал о том, что учетные записи рядовых пользователей должны обязательно быть ограниченны в правах. Но, для более безопасной работы, лучше так же ограничить учетную запись, под которой вы работаете на домашнем компьютере.

На первый взгляд может показаться, зачем это нужно? Мол имеет смысл лишать рядовых пользователей административных прав, по тому, что они мало разбираются в информационных технологиях и могут начудить все что угодно, так же собственноручно скачать вирус и заразить им систему. Но, для того, чтобы заразить систему не обязательно скачивать вирус и запускать его. Он может попасть в систему, например через браузер, с кэшированными файлами. А как показывают последние данные, любой антивирус можно обойти, вопрос только во времени и желании.

Думаю, вы сами сталкивались с ситуацией, когда антивирус работает в режиме реального времени и сканирует все файлы, к которым обращается операционная система. Причем стоит поставить сканировать диски на наличие вирусов, что-нибудь то находится, и я не говорю про архивы, которые были скачаны с Интернета, их антивирус проверяет в момент разархивирования, а системные файлы. Возникает вопрос КАК? Ведь антивирус следит за всеми файлами, которые использует операционная система? После возникновения подобных проблем я начал создавать задание для антивируса, чтобы раз в день, или в два дня он сканировал все винты. Но если железо слабое, то данная процедура может сильно грузануть систему, но, это опять же не 100% вариант защиты, как говорится 100% вообще ничего не бывает.

По этому, предлагаю повысить уровень защиты вашего компьютера, выполнив действия, описанные в данном видеоуроке, и так давайте приступим, а пойдем мы тем же путем что и в видеокурсе «Создание и администрирование одноранговой сети», но для Windows 7 некоторые действия будут отличаться, чем в Windows XP.

1) Заходим в Пуск Панель управления Администрирование Управление компьютером. При установке Windows 7, учетная запись пользователя автоматически имеет права администратора, а учетка админа отключена

— включаем учетку админа (правая кнопка свойства отключенная учетная запись);

— задаем пароль

— переименовываем учетку администратора в нестандартное имя, чтобы затруднить подбор имени и пароля (Пуск Панель управления Администрирование Локальная политика безопасности Локальные политики Параметры безопасности Учетные записи: Переименование учетной записи администратора adminic);

Перезагрузим компьютер и зайдем под администратором

В Windows XP, учетная запись администратора является скрытой, т.е. зайти в неё можно дважды нажав ctrl+alt+del, ввести имя и пароль. В Windows 7 система другая, здесь все включенные учетные записи отображаются в окне приветствия, а нам этого не надо, иначе, какой смысл был менять имя администратора, если его сразу можно увидеть.

2) Заходим под adminic

— сделаем ввод имени пользователя и пароля в ручном режиме (Пуск Панель управления Администрирование Локальная политика безопасности Локальные политики Параметры безопасности Интерактивный вход в систему: Не требовать нажатия ctrl+alt+del отключен, т.е. требовать нажатия ctrl+alt+del);

— запретим отображение имени последнего пользователя выполнявшего вход в систему, для того, чтобы опять же усложнить подбор имени и пароля (Пуск Панель управления Администрирование Локальная политика безопасности Локальные политики Параметры безопасности Интерактивный вход в систему: Не отображать последнее имя пользователя включен);

— переименовываем учетку пользователя, который будет работать за компом, так как в моем случае, злоумышленник может знать как меня зовут и ввести в поле пользователь мое имя. Собственно как сейчас и называется моя рабочая учетка. По этому переименовываем её и задаем пароль.

Лучше всего придумать свои, уникальные, имена для пользователя и администратора!!!

— теперь лишаем пользователя прав администратора, для этого исключаем его из группы администраторы и добавляем в пользователи.

Перезагружаем систему и проверяем все сделанное ранее.

Пользоваться учетной записью лишенной административных прав не удобно, так как существуют определенные ограничения, но, в Windows 7 все сделано намного проще! Для того, чтобы выполнить действия, разрешенные только администратору, система автоматически запрашивает данные администратора. В Windows XP такого нет L, там приходится заходить под учетной записью администратора.

Допустим, попробуем удалить системный файл, система спрашивает пароль администратора, а в XP просто появилась бы ошибка, доступ запрещен. И можно было бы это сделать, только зайдя под администратором.

Не надо лишать прав пользователей, к которым вы выезжаете на дом! Если они мало соображают в компьютерах, то они вам просто мозг вынесут, своими, почему да как!

657a303e8bd747d53c4506bb959c8211_square.jpgСевостьянов Антон

Комментарии ()

Oldest First Newest First Most Likes

Оставьте свой комментарий

medium.png

  1. Posting comment as a guest. Sign up or login to your account.

Используемые источники:

  • https://lumpics.ru/setting-local-security-policies-in-windows-7/
  • https://www.windxp.com.ru/win7/articles21.htm
  • https://sys-team-admin.ru/videouroki/bezopasnost/17-nastrojka-sistemy-bezopasnosti-windows-7.html

Рейтинг автора
5
Подборку подготовил
Максим Уваров
Наш эксперт
Написано статей
171
Ссылка на основную публикацию
Похожие публикации