Реализация защиты рабочих станций ДокладчикMicrosoft

Содержание Основы безопасности клиентов Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Обеспечение защиты с помощью групповых и локальных политик Защита приложений Защита приложений Политика ограничений на исполнение программ Политика ограничений на исполнение программ Антивирусная защита Антивирусная защита Клиентский брандмауэр Клиентский брандмауэр

Компоненты безопасности клиентских компьютеров Глубокая оборона клиентских компьютеров Обновления ПО Своевременная установка обновлений и исправлений Политика паролей Использование сложных паролей во всех системах Защита данных Архивирование, шифрование и контроль доступа к данным Защита приложений Безопасное внедрение и настройка приложений Управление рабочей станцией Использование шаблонов безопасности в групповых политиках Active Directory Защита мобильных клиентов Технологии защиты мобильных и беспроводных коммуникаций Антивирусы Установка и своевременное обновление антивирусного ПО Брандмауэры Использование межсетевых экранов для защиты периметра

Политика паролей Объяснить пользователям, как правильно задавать и защищать пароли Использовать в качестве паролей сложные комбинации, содержащие цифры, специальные символы и т.п. Для разных ресурсов нужно использовать разные пароли При отсутствии пользователя на рабочем месте, его рабочая станция должна быть заблокирована Использовать многофакторную аутентификацию для усиления защиты

Защита данных Шифрующая файловая система Шифрующая файловая система Защищает данные на уровне файловой системы NTFS Защищает данные на уровне файловой системы NTFS Цифровые подписи в документах и исполняемых модулях Цифровые подписи в документах и исполняемых модулях Обеспечивают аутентичность и целостность данных и кода Обеспечивают аутентичность и целостность данных и кода Information Rights Management в Microsoft Office 2003 Information Rights Management в Microsoft Office 2003 На уровне документов защищает конфиденциальную информацию от кражи На уровне документов защищает конфиденциальную информацию от кражи

Мобильные компьютеры Использование мобильных компьютеров требует дополнительных мер по обеспечению безопасности Использование мобильных компьютеров требует дополнительных мер по обеспечению безопасности Мобильные устройства, подключенные к информационной системе предприятия, расширяют ее периметр Мобильные устройства, подключенные к информационной системе предприятия, расширяют ее периметр Дополнительные уровни защиты: Дополнительные уровни защиты: Пароли доступа к BIOS Пароли доступа к BIOS Карантин службы удаленного доступа Карантин службы удаленного доступа Аутентификация в беспроводных соединениях Аутентификация в беспроводных соединениях Усиленная защита данных, хранящихся на мобильных устройствах Усиленная защита данных, хранящихся на мобильных устройствах

Содержание Основы безопасности клиентов Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Обеспечение защиты с помощью групповых и локальных политик Защита приложений Защита приложений Политика ограничений на исполнение программ Политика ограничений на исполнение программ Антивирусная защита Антивирусная защита Клиентский брандмауэр Клиентский брандмауэр

Иерархия Организационных подразделений Групповые политики Active Directory позволяют унифицировать и автоматизировать процесс применения настроек безопасности на рабочих станциях Групповые политики Active Directory позволяют унифицировать и автоматизировать процесс применения настроек безопасности на рабочих станциях Иерархическое разделение Иерархическое разделение «Windows XP Security Guide» «Windows XP Security Guide» Отдельные ОП для пользователей и компьютеров Отдельные ОП для пользователей и компьютеров Собственные Групповые политики для каждого ОП Собственные Групповые политики для каждого ОП Root Domain Department OU Domain Controllers OU Secured XP Users OU Windows XP OU Desktop OU Laptop OU

Административные шаблоны Готовые наборы конфигурационных параметров рабочих станций для импорта в объекты Групповых политик Готовые наборы конфигурационных параметров рабочих станций для импорта в объекты Групповых политик Административные шаблоны Windows XP SP1 содержат более 850 параметров Административные шаблоны Windows XP SP1 содержат более 850 параметров «Windows XP Security Guide» содержит 10 административных шаблонов «Windows XP Security Guide» содержит 10 административных шаблонов Дополнительные административные шаблоны могут поставляться в комплекте с программными продуктами Дополнительные административные шаблоны могут поставляться в комплекте с программными продуктами

Шаблоны безопасности Готовые наборы параметров безопасности для импорта в объекты Групповых политик Готовые наборы параметров безопасности для импорта в объекты Групповых политик Шаблоны в составе «Windows XP Security Guide»: Шаблоны в составе «Windows XP Security Guide»: Шаблон с базовыми настройками для всех пользователей и компьютеров домена Шаблон с базовыми настройками для всех пользователей и компьютеров домена Шаблон с настройками для стационарных рабочих станций Шаблон с настройками для стационарных рабочих станций Шаблон со специальными настройками для портативных компьютеров Шаблон со специальными настройками для портативных компьютеров Каждый шаблон представлен в 2 версиях Каждый шаблон представлен в 2 версиях Стандартный уровень защиты Стандартный уровень защиты Высокий уровень защиты Высокий уровень защиты

Иерархия подразделений и применение шаблонов Root Domain Department OU Domain Controller OU Secured XP Users OU Windows XP OU Desktop OU Laptop OU Enterprise Client Domain.inf Domain Policy Secured XP Users Policy Enterprise Client Desktop.inf Laptop.inf Laptop Policy Desktop Policy

Параметры безопасности ПараметрОписание Политика паролей Правила и ограничения для создания и смены паролей Политика блокировки учетной записи Критерии для отключения учетной записи при многократных неуспешных попытках регистрации Политика аудита Параметры, определяющие ведение аудита для различных типов событий Журнал регистрации Настройки журнала регистрации: максимальный размер журнала, права доступа к журналам Файловая система Разрешения и аудит доступа к файловым объектам Политики IPSec Настройки фильтров IP Security Настройки реестра Разрешения и аудит доступа к ключам реестра Ограниченные группы Указания, какие учетные записи могут являться членами групп Параметры безопасности Набор настроек, определяющих безопасность компьютеров Политика ограничений на исполнение программ Правила, разрешающие или запрещающие исполнение определенных программ Системные службы Режим запуска и права доступа для сервисов Права пользователей Указания, каким учетным записям разрешены определенные операции

Важнейшие настройки Право форматировать и извлекать съемные носители Право форматировать и извлекать съемные носители Дано только администраторам машины Дано только администраторам машины Анонимный просмотр списка учетных записей SAM запрещен Анонимный просмотр списка учетных записей SAM запрещен Включен аудит Включен аудит Успешных и неуспешных действий Успешных и неуспешных действий Для объектов и служб Для объектов и служб Разрешения группе Everyone не распространяются на анонимные действия Разрешения группе Everyone не распространяются на анонимные действия

Важнейшие настройки Аутентификация LAN Manager Аутентификация LAN Manager Разрешен только протокол NTLM v2 Разрешен только протокол NTLM v2 Политика паролей Политика паролей Помнить 24 пароля Помнить 24 пароля Максимальный срок жизни пароля Максимальный срок жизни пароля 42 дня 42 дня Минимальная длина пароля Минимальная длина пароля 8 символов 8 символов Проверка сложности паролей Проверка сложности паролей Не хранить LM-хеши паролей Не хранить LM-хеши паролей Цифровая подпись пакетов SMB включена Цифровая подпись пакетов SMB включена

Локальные политики Для рабочих станций, которые не включены в домен Active Directory, управление настройками безопасности происходит через Локальную политику Для рабочих станций, которые не включены в домен Active Directory, управление настройками безопасности происходит через Локальную политику В составе «Windows XP Security Guide» поставляются шаблоны безопасности для Локальных политик В составе «Windows XP Security Guide» поставляются шаблоны безопасности для Локальных политик Шаблоны для машин, включенных в домен NT 4.0 Шаблоны для машин, включенных в домен NT 4.0 Шаблон для отдельно стоящих машин Шаблон для отдельно стоящих машин

Демонстрация Применение шаблонов безопасности и административных шаблонов

Содержание Основы безопасности клиентов Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Обеспечение защиты с помощью групповых и локальных политик Защита приложений Защита приложений Политика ограничений на исполнение программ Политика ограничений на исполнение программ Антивирусная защита Антивирусная защита Клиентский брандмауэр Клиентский брандмауэр

Административные шаблоны для Internet Explorer Усиление требований к безопасности рабочих станций Windows XP Усиление требований к безопасности рабочих станций Windows XP Предотвращение получения нежелательных данных и вредного кода Предотвращение получения нежелательных данных и вредного кода Конфигурация зон и доверяемых сайтов в разделе Internet Explorer Maintenance (IEM) Групповых политик Конфигурация зон и доверяемых сайтов в разделе Internet Explorer Maintenance (IEM) Групповых политик High Medium - Low Medium

Microsoft Outlook Настройка безопасности Outlook с помощью «Outlook Administrator Pack» Настройка безопасности Outlook с помощью «Outlook Administrator Pack» Блокировка почтовых вложений Блокировка почтовых вложений Уведомления Уведомления Уровни безопасности Уровни безопасности Административные шаблоны для настройки Outlook с помощью Групповых политик Административные шаблоны для настройки Outlook с помощью Групповых политик Microsoft Office Outlook 2003 Microsoft Office Outlook 2003 Предупреждение, перед открытием потенциально опасного файла Предупреждение, перед открытием потенциально опасного файла Запрет доступа к адресной книге другим приложениям Запрет доступа к адресной книге другим приложениям Контроль нежелательных сообщений (anti-spam) Контроль нежелательных сообщений (anti-spam) Запрет на автоматическую загрузку HTML Запрет на автоматическую загрузку HTML

Лучшие практики защиты приложений Обучить пользователей правилам безопасной загрузки файлов из Интернет и правилам обращения c почтовыми вложениями Устанавливать на рабочие станции только те приложения, которые необходимы для работы и проверены Своевременно обновлять приложения

Содержание Основы безопасности клиентов Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Обеспечение защиты с помощью групповых и локальных политик Защита приложений Защита приложений Политика ограничений на исполнение программ Политика ограничений на исполнение программ Антивирусная защита Антивирусная защита Клиентский брандмауэр Клиентский брандмауэр

Ограничения на исполнение программ Политика, определяющая, какие программы можно запускать на компьютере Политика, определяющая, какие программы можно запускать на компьютере Базовый уровень и дополнительные правила Базовый уровень и дополнительные правила Базовый уровень = Disallowed Базовый уровень = Disallowed По умолчанию все программы запрещены По умолчанию все программы запрещены Дополнительные правила содержат список разрешенных приложений Дополнительные правила содержат список разрешенных приложений Базовый уровень = Unrestricted Базовый уровень = Unrestricted По умолчанию все программы разрешены По умолчанию все программы разрешены Дополнительные правила содержат «черный список» запрещенных программ Дополнительные правила содержат «черный список» запрещенных программ

Принцип действия Администратор создает и назначает политику ограничений на исполнение программ Групповая политика применяется на компьютере Операционная система контролирует каждый запуск каждого исполняемого модуля в соответствии с политикой 1 2 3

Дополнительные правила Путь Указывается папка, содержащая файлы приложения Указывается папка, содержащая файлы приложения Правило применяется ко всем исполняемым модулям, расположенным в указанной папке Правило применяется ко всем исполняемым модулям, расположенным в указанной папке Хеш Программа идентифицируется по хеш- значению (MD5 или SHA1) исполняемого модуля Программа идентифицируется по хеш- значению (MD5 или SHA1) исполняемого модуля Для запрета или разрешения конкретного программного файла Для запрета или разрешения конкретного программного файлаСертификат Проверяется цифровая подпись программы (например, Authenticode) Проверяется цифровая подпись программы (например, Authenticode) Для ограничений как на программы Win32, так и ActiveX Для ограничений как на программы Win32, так и ActiveX Зона Интернет Указывается зона Интернет Указывается зона Интернет Правило применяется ко всем модулям, загруженным из указанной зоны Правило применяется ко всем модулям, загруженным из указанной зоны

Демонстрация Политика ограничений на исполнение программ

Продумать и подготовить план отката на случай возникновения проблем Использовать для ограничения программ отдельные Групповые политики Использовать политики ограничения в комбинации с системой контроля доступа NTFS Применять политику только в рамках своего домена Тщательно протестировать все параметры политики ограничения Лучшие практики политики ограничения программ

Содержание Основы безопасности клиентов Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Обеспечение защиты с помощью групповых и локальных политик Защита приложений Защита приложений Политика ограничений на исполнение программ Политика ограничений на исполнение программ Антивирусная защита Антивирусная защита Клиентский брандмауэр Клиентский брандмауэр

Проблемы, создаваемые вирусами Суммарные потери из-за вирусных атак уже превышают $10 Млрд. в год Суммарные потери из-за вирусных атак уже превышают $10 Млрд. в год Прямые затраты Прямые затраты Затраты на восстановление системы и ликвидацию последствий заражения Затраты на восстановление системы и ликвидацию последствий заражения Работа IT-персонала и внешних консультантов Работа IT-персонала и внешних консультантов Непрямые затраты Непрямые затраты Потеря данных, продуктивности работы, репутации… Потеря данных, продуктивности работы, репутации…

Защита от вирусов Размер организации Антивирусное решение Индивидуальные пользователи Установить антивирусное программное обеспечение на рабочую станцию Малые и средние организации Централизованное внедрение антивирусного ПО на все компьютеры с помощью Групповых политик Active Directory Крупные предприятия Централизованное внедрение. Установка и обновление антивирусного ПО средствами Active Directory и Групповых политик. Установка и обновление антивирусного ПО средствами Active Directory и Групповых политик. Установка и управление специальных корпоративных антивирусных решений. Установка и управление специальных корпоративных антивирусных решений.

Стационарные компьютеры Стационарные компьютеры Централизованное хранилище антивирусных обновлений на локальном сервере Централизованное хранилище антивирусных обновлений на локальном сервере Модель «Проталкивания» (Push) Модель «Проталкивания» (Push) Принудительная немедленная установка обновлений на все рабочие станции Принудительная немедленная установка обновлений на все рабочие станции Не зависит от желания и активности пользователя Не зависит от желания и активности пользователя Портативные компьютеры Портативные компьютеры Альтернативная политика обновления с Интернет-ресурса поставщика антивируса Альтернативная политика обновления с Интернет-ресурса поставщика антивируса Когда компьютер не имеет доступа к локальной сети предприятия Когда компьютер не имеет доступа к локальной сети предприятия Обновление антивирусных систем

Лучшие практики защиты от вирусов Своевременно обновлять антивирусное программное обеспечение Использовать, насколько возможно, централизованную структуру Устанавливать на рабочие станции антивирусное ПО, соответствующее версиям операционных систем

Содержание Основы безопасности клиентов Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Обеспечение защиты с помощью групповых и локальных политик Защита приложений Защита приложений Политика ограничений на исполнение программ Политика ограничений на исполнение программ Антивирусная защита Антивирусная защита Клиентский брандмауэр Клиентский брандмауэр

Соединение локальной сети с Интернет должно быть защищено полноценным межсетевым экраном Соединение локальной сети с Интернет должно быть защищено полноценным межсетевым экраном Многоуровневый контроль и анализ трафика между локальной сетью и Интернет Многоуровневый контроль и анализ трафика между локальной сетью и Интернет Обнаружение и защита от внешних атак Обнаружение и защита от внешних атак Соединения с Интернет, установленные в обход корпоративного межсетевого экрана, необходимо защищать с помощью персональных брандмауэров Соединения с Интернет, установленные в обход корпоративного межсетевого экрана, необходимо защищать с помощью персональных брандмауэров Прямые модемные соединения стационарных рабочих станций с Интернет Прямые модемные соединения стационарных рабочих станций с Интернет Мобильные подключения портативных компьютеров Мобильные подключения портативных компьютеров Использование межсетевых экранов

Internet Connection Firewall Базовая защита соединения с Интернет Базовая защита соединения с Интернет В составе Windows XP и Windows Server 2003 В составе Windows XP и Windows Server 2003 Запрет входящего трафика Запрет входящего трафика Ограничения Ограничения Отсутствует фильтрация исходящего трафика Отсутствует фильтрация исходящего трафика Ряд функций управляющего ПО не могут работать при включенном ICF Ряд функций управляющего ПО не могут работать при включенном ICF SMS, MBSA SMS, MBSA Ограниченные возможности настройки Ограниченные возможности настройки

Демонстрация Internet Connection Firewall

Лучшие практики использования брандмауэров При нахождении рабочей станции вне периметра локальной сети предприятия, Internet Connection Firewall должен быть включен При установлении клиентом VPN-соединения с сервером удаленного доступа, Internet Connection Firewall должен быть включен автоматически (с помощью сценария) На рабочих станциях, физически подключенных к локальной сети внутри периметра, Internet Connection Firewall нужно отключить (с помощью Групповой политики)

Информация Информационный ресурс Microsoft по безопасности Информационный ресурс Microsoft по безопасности Для профессионалов IT: Для профессионалов IT: На русском языке: На русском языке: Руководства Microsoft по защите рабочих станций Windows XP Руководства Microsoft по защите рабочих станций Windows XP default.asp?url=/technet/security/prodtech/ winclnt/secwinxp/default.asp default.asp?url=/technet/security/prodtech/ winclnt/secwinxp/default.asp default.asp?url=/technet/security/prodtech/ winclnt/secwinxp/default.asp default.asp?url=/technet/security/prodtech/ winclnt/secwinxp/default.asp

Сертификация Windows XP Операционная система Операционная система Microsoft Windows XP Professional сертифицирована на соответствие руководящему документу Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»

© 2004 Microsoft Corporation. All rights reserved. This session is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.