Сведения о снижении рисков

Функция контроля учетных записей позволяет снизить риски, описанные в предыдущем разделе «Оценка риска». Тем не менее, необходимо учитывать следующее:

• Если в компании есть собственные разработчики приложений, корпорация Майкрософт рекомендует им загрузить и прочитать статью Требования к разработке приложений для системы Windows для обеспечения совместимости с функцией контроля учетных записей (на английском языке). В этом документе описывается процесс проектирования и разработки приложений для системы Windows Vista, совместимых с функцией контроля учетных записей.

• Функция контроля учетных записей может создавать проблемы при работе несовместимых с ней приложений. По этой причине перед развертыванием приложений необходимо протестировать их с функцией контроля учетных записей. Дополнительные сведения о тестировании совместимости приложений см. на веб-узле Развертывание настольных приложений в сети Microsoft TechNet®.

• Функция контроля учетных записей запрашивает учетные данные администратора и согласие пользователя на повышение привилегий. Это увеличивает количество действий, которые необходимо выполнить для завершения многих стандартных задач администрирования. Следует оценить влияние увеличения количества действий на работу административного персонала. Дополнительные запросы функции контроля учетных записей оказывают значительное влияние на работу этих пользователей, поэтому параметру политики контроля учетных записей Behavior of the elevation prompt for administrators in Admin Approval Mode (Поведение запроса повышения привилегий для администраторов в режиме одобрения администратором) можно присвоить значение Elevate without prompting (Повышать привилегии без запроса). Тем не менее, изменение этой политики может повысить риск для среды, и центр обеспечения безопасности Windows сообщит об этом.

• Пользователь с привилегиями администратора может отключить режим одобрения администратором, отключить вывод функцией контроля учетных записей запроса на ввод учетных данных для установки приложений и изменить поведение запроса на повышение привилегий. По этой причине важно контролировать количество пользователей, имеющих доступ к привилегиям администратора на компьютерах в организации.

• Корпорация Майкрософт рекомендует назначить две учетных записи для административного персонала. Для повседневных задач эти сотрудники должны использовать учетную запись обычного пользователя. При необходимости выполнить специфические задачи администрирования этим сотрудникам следует войти в систему с учетной записью уровня администратора, выполнить задачи и выйти из системы, чтобы вернуться к учетной записи обычного пользователя.

• Параметры групповой политики в этом руководстве запрещают обычному пользователю повышать привилегии. Такой подход является рекомендуемым, поскольку гарантирует, что задачи администрирования могут выполняться только с учетными записями, которые специально были настроены на уровень администратора.

• Если приложение неправильно определено как приложение администратора или пользователя (например, с помощью маркера «администратор» или «обычный»), система Windows Vista может запустить приложение в неверном контексте безопасности.

Процедура снижения рисков

Начните процесс снижения рисков с изучения всех возможностей функции контроля учетных записей. Дополнительные сведения см. в Пошаговом руководстве по функции контроля учетных записей в системе Windows Vista и в руководстве Приступая к работе с функцией контроля учетных записей в системе Windows Vista.

Использование процедуры снижения рисков:

1. Определите количество пользователей, способных выполнять задачи администрирования.

2. Определите, как часто необходимо выполнять задачи администрирования.

3. Определите, следует ли администраторам выполнять задачи администрирования путем простого согласия в ответ на запрос функции контроля учетных записей или для выполнения задач администрирования им необходимо будет вводить определенные учетные данные.

4. Определите, следует ли обычным пользователям иметь возможность повышения привилегий для выполнения задач администрирования. Параметры политики, описанные в данном руководстве, блокируют возможность повышения своих привилегий обычными пользователями.

5. Определите, каким образом будет проходить процесс установки приложений.

6. Настройте параметры групповой политики контроля учетных записей в соответствии со своими требованиями.

Использование групповой политики, чтобы снизить риски для функции контроля учетных записей:

Параметры контроля учетных записей можно настроить в следующем местоположении редактора объектов групповой политики:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Защитник Windows.

Защитник Windows – это программа, входящая в систему Windows Vista, также доступная для загрузки в системе Windows XP. Она позволяет защитить компьютеры от всплывающих окон, низкой производительности и угроз безопасности, вызванных программами-шпионами и иным нежелательным программным обеспечением. Защитник Windows осуществляет наблюдение в режиме реального времени за важными контрольными точками операционной системы Windows Vista, которые являются целью подобного нежелательного программного обеспечения, например, за папкой «Автозагрузка» и записями автозагрузки в реестре.

Защитник Windows позволяет обнаружить и удалить нежелательные приложения, такие как программы для показа рекламы, клавиатурные шпионы и программы-шпионы. Если программа пытается изменить защищенную область в системе Windows Vista, Защитник Windows предложит пользователю либо принять, либо отклонить изменение, чтобы защититься от установки программы-шпиона. Подобное наблюдение повышает надежность компьютеров с операционной системой Windows Vista и обеспечивает дополнительную защиту конфиденциальности пользователя. Защитник Windows включен по умолчанию в системе Windows Vista, и хотя данная технология обеспечивает улучшенную защиту от программ-шпионов, ее также можно использовать совместно с продуктами сторонних производителей для защиты компьютера. Для обеспечения лучшей защиты от вредоносного программного обеспечения корпорация Майкрософт настоятельно рекомендует клиентам также развернуть совместно с Защитником Windows полноценное антивирусное решение.

Чтобы управлять поведением Защитника Windows, можно настроить в системе Windows Vista новые параметры групповой политики. Среди параметров групповой политики, описанных в предыдущей главе, нет параметров, изменяющих поведение Защитника Windows по умолчанию, поскольку значения этих параметров зависят от требований конкретной среды.

Сообщество Microsoft SpyNet

Microsoft SpyNet – это интернет-сообщество, помогающее пользователю компьютера выбрать способ реакции на потенциальные угрозы со стороны программ-шпионов. Сообщество также позволяет остановить распространение заражения новыми программами-шпионами.

При обнаружении Защитником Windows программ, еще не классифицированных по степени риска, или изменений, внесенных такими программами, можно посмотреть, как другие члены сообщества реагируют на эту угрозу. В свою очередь, предпринимаемые вами действия помогают другим членам сообщества выбрать способ реагирования. Ваши действия также помогают корпорации Майкрософт выбрать, какое программное обеспечение необходимо исследовать на наличие потенциальных угроз. Можно выбрать отправку базовых или дополнительных сведений об обнаруженном программном обеспечении. Дополнительные сведения позволяют улучшить работу Защитника Windows. Например, технология может включать поиск обнаруженных элементов на компьютере при удалении вредоносного программного обеспечения. В этих случаях, Защитник Windows будет автоматически собирать и отправлять сведения сообществу.

Оценка риска

Программы-шпионы представляют ряд серьезных угроз организации, которые необходимо устранить, чтобы гарантировать безопасность данных и компьютеров. Наиболее общие риски, которые программы-шпионы представляют для организации, включают в себя следующее.

• Конфиденциальные бизнес-данные, которые могут попасть в руки неавторизованных пользователей.

• Личные данные сотрудников, которые могут попасть в руки неавторизованных пользователей.

• Использование уязвимости компьютера злоумышленником.

• Потеря производительности из-за влияния программ-шпионов на стабильность работы компьютера.

• Увеличение стоимости технической поддержки вследствие заражения программами-шпионами.

• Потенциальный риск шантажа компании в случае раскрытия конфиденциальных данных в результате заражения.

Снижение рисков

Защитник Windows разработан для снижения рисков, связанных с программами-шпионами. Постоянные обновления данной технологии выполняются автоматически через Центр обновления Windows или службы Microsoft Windows Server Update Services (WSUS).

В дополнение к защите от программ-шпионов, обеспечиваемой Защитником Windows, корпорация Майкрософт настоятельно рекомендует установить антивирусный пакет, позволяющий улучшить защиту, обнаруживая помимо программ-шпионов также вирусы, программы типа «Троянский конь» и вирусы-черви. Например, такие продукты как Microsoft Forefront Client Security, обеспечивают универсальную защиту от вредоносных программ для настольных компьютеров, переносных компьютеров и серверных операционных систем организации.

Условия для снижения рисков

Защитник Windows включен по умолчанию в системе Windows Vista. Эта технология разработана с учетом потребления минимума системных ресурсов для работы на компьютерах, аппаратные возможности которых ниже среднего уровня. Тем не менее, в процессе развертывания системы Windows Vista организациям следует принять во внимание следующие рекомендации.

• Протестируйте взаимодействие со всеми антивирусными и антишпионскими сканерами сторонних производителей, которые предполагается использовать в организации.

• Создайте систему управления развертыванием обновлений с определением подписей в случае, если в организации имеется большое количество компьютеров.

• Дайте пользователям представление о наиболее распространенных способах, используемых программами-шпионами, для того чтобы обманным путем заставить запустить вредоносную программу.

• Запланируйте время сканирования, соответствующее потребностям организации. Значение по умолчанию – ежедневно, в 2:00. Если невозможно выполнить сканирование компьютера в это время, пользователь получит уведомление и запрос на запуск сканирования. Если сканирование не выполнялось за последние два дня, оно начнется приблизительно через 10 минут после следующего запуска компьютера. Это сканирование выполняется с низким приоритетом и практически не оказывает влияния на клиентскую систему. Благодаря улучшению производительности операций ввода-вывода в системе Windows Vista, это сканирование с низким приоритетом значительно меньше влияет на систему, чем в системе Windows XP.

• Защитник Windows не является антишпионским приложением для крупных организаций. В нем отсутствуют механизмы централизованного создания отчетов, наблюдения и управления бизнес-класса. Если требуются дополнительные возможности создания отчетов или контроля, необходимо изучить другие продукты, такие как Microsoft Forefront Client Security.

• Определите политику своей организации в отношении отправки отчетов о возможных программах-шпионах в интернет-сообщество Microsoft SpyNet.

Процедура снижения рисков

Поскольку Защитник Windows является компонентом системы по умолчанию, для его включения не требуется никаких дополнительных действий. Тем не менее, корпорация Майкрософт рекомендует выполнить ряд дополнительных действий, гарантирующих безопасность организации.

Использование процедуры снижения рисков

1. Изучите возможности системы Windows Vista и Защитника Windows, связанные с защитой от программ-шпионов.

2. Изучите параметры групповой политики для Защитника Windows.

3. Проанализируйте необходимость дополнительной защиты организации от вирусов.

4. Составьте план оптимального процесса обновления для компьютеров в организации. Возможно, что для переносных компьютеров потребуется иная конфигурация обновлений, чем для настольных компьютеров.

5. Научите пользователей самостоятельно определять подозрительные действия компьютера.

6. Обучите сотрудников службы поддержки использовать средства Защитника Windows для оказания помощи при обращениях в службу.

Брандмауэр Windows

Персональный брандмауэр является важнейшей линией защиты от многих видов вредоносных программ. Как и брандмауэр в ОС Windows XP с пакетом обновления 2 (SP2) брандмауэр в системе Windows Vista включен по умолчанию для защиты компьютера пользователя сразу после запуска операционной системы.

Брандмауэр Windows в системе Windows Vista включает фильтрацию входящего и исходящего трафика для защиты пользователей путем ограничения ресурсов операционной системы, ведущих себя непредусмотренным образом. Брандмауэр также интегрируется с функцией осведомленности о состоянии сети системы Windows Vista, что позволяет применять специализированные правила в зависимости от местонахождения клиентского компьютера. Например, если переносной компьютер расположен в сети организации, правила брандмауэра могут быть определены администратором доменной сетевой среды в соответствии с требованиями к безопасности этой сети. Тем не менее, если пользователь пытается подключить тот же самый переносной компьютер к Интернету через публичную сеть, например, бесплатную точку подключения к беспроводной сети, автоматически будет использован другой набор правил брандмауэра, гарантирующий, что компьютер будет защищен от атаки.