46935 (597309), страница 7
Текст из файла (страница 7)
• предотвратить запуск EXE-файлов на локальных компьютерах на основании политик, установленных на уровне компьютера, подразделения организации (OU), узла и домена.
Важно. Необходимо тщательно проверить все параметры политик, упомянутые в данном руководстве, перед развертыванием их в производственной среде. Особое внимание этому нужно уделить при настройке параметров политик ограниченного использования программ. Ошибки, допущенные при планировании или внедрении этой функции, могут привести к значительному ухудшению качества работы пользователей.
Политики ограниченного использования программ не подверглись существенным изменениям в системе Windows Vista. Поэтому они не описываются отдельно в данном руководстве. Дополнительные сведения о разработке и внедрении данных политик см. на странице Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения на веб-узле TechNet.
Технологии защиты обозревателя Internet Explorer 7
Вредоносные веб-узлы способны нарушить работу компьютеров. Технологии обозревателя Internet Explorer 7 позволяют предотвратить установку нежелательного программного обеспечения, а также защитить компьютер от несанкционированной передачи личных данных, что позволяет значительно повысить безопасность работы в обозревателе и обеспечить конфиденциальность. Новые технологии безопасности обозревателя Internet Explorer 7 включают в себя следующие функции.
• Защищенный режим обозревателя Internet Explorer.
• Функция ActiveX Opt-in.
• Защита от атак с применением междоменных сценариев.
• Строка состояния системы безопасности.
• Антифишинг.
• Дополнительные функции безопасности.
Обозреватель Internet Explorer 7 может работать в системах Windows Vista и Windows XP. При этом в системе Windows Vista у обозревателя Internet Explorer больше возможностей. Например, некоторые функции обозревателя Internet Explorer 7, такие как функция защищенного режима или функция родительского контроля, недоступны на компьютере под управлением системы Windows XP. Кроме того, пользовательский интерфейс Aero в обозревателе Internet Explorer 7 нельзя использовать на компьютерах с ОС Windows XP.
Защищенный режим обозревателя Internet Explorer
Защищенный режим обозревателя Internet Explorer в ОС Windows Vista обеспечивает дополнительную защиту и более безопасную работу в Интернете. Кроме того, он позволяет предотвратить захват обозревателя злоумышленниками и возможность использования повышенных прав для запуска кода.
Благодаря функции защищенного режима уменьшается количество уязвимостей в предыдущих версиях программного обеспечения за счет невозможности автоматической установки вредоносного кода. В защищенном режиме обозревателя в системе Windows Vista используются механизмы с более высоким уровнем целостности, которые ограничивают доступ к процессам, файлам и разделам реестра. Прикладной программный интерфейс защищенного режима позволяет разработчикам программного обеспечения выпускать такие расширения и надстройки, которые могут взаимодействовать с файловой системой и реестром при работе обозревателя в защищенном режиме.
В защищенном режиме обозреватель Internet Explorer 7 работает с ограниченными разрешениями, чтобы не допустить внесение изменений в файлы или параметры пользователя или системы без явного согласия пользователя. В новой архитектуре обозревателя также представлен процесс «брокер», позволяющий существующим приложениям выходить из защищенного режима более безопасным способом. Благодаря этому загружаемые данные можно сохранять только в каталогах обозревателя с ограниченными правами, например в папке временных файлов Интернета.
Защищенный режим по умолчанию доступен в обозревателе Internet Explorer 7 для всех зон безопасности, кроме зоны надежных узлов. Однако можно отключить этот режим, что понизит уровень общей безопасности. По этой причине параметры групповой политики, описанные в предыдущей главе, включают защищенный режим обозревателя во всех зонах Интернета, за исключением зоны надежных узлов, и предотвращают его отключение пользователями.
Посмотреть и изменить параметры групповой политики для защищенного режима обозревателя Internet Explorer 7 можно в следующем разделе в редакторе объектов групповой политики.
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем\Страница безопасности\
Функция ActiveX Opt-in
Обозреватель Internet Explorer 7 в системе Windows Vista предлагает новый мощный механизм обеспечения безопасности для платформы ActiveX, улучшающий защиту пользовательских данных и компьютерных систем. Функция ActiveX Opt-in автоматически отключает все элементы управления, которые пользователь не разрешил явным образом. Это снижает опасность неправильного использования предварительно установленных элементов управления.
В системе Windows Vista панель информации запрашивает согласие пользователя перед использованием элементов управления ActiveX, которые были предварительно установлены на компьютере, но еще не включались. Этот механизм оповещения позволяет пользователю разрешать или запрещать применение каждого элемента, что еще более уменьшает область, доступную для атак. Злоумышленники не могут использовать веб-узлы для автоматического запуска атак с помощью элементов ActiveX, не предназначенных для использования в Интернете.
Защита от атак с применением междоменных сценариев
Новые барьеры для междоменных сценариев ограничивают возможности вредоносных веб-узлов использовать уязвимости других узлов. Так, до появления защиты от атак с применением междоменных сценариев во время посещения вредоносного веб-узла могло открыться новое окно обозревателя с надежной веб-страницей (например, с веб-узла банка), на которой пользователя просили ввести данные о счете. Эти данные могли быть извлечены с помощью сценария и впоследствии поступить в распоряжение злоумышленника. С обозревателем Internet Explorer 7 этого не произойдет благодаря защите от атак с применением междоменных сценариев.
Строка состояния системы безопасности
Новая строка состояния системы безопасности в обозревателе Internet Explorer 7 позволяет быстро отличать подлинные веб-узлы от подозрительных и вредоносных. Чтобы предоставить эти сведения, строка состояния системы безопасности использует расширенные возможности доступа к сведениям о цифровом сертификате, позволяющим определить безопасные веб-узлы (HTTPS).
Строка состояния системы безопасности предоставляет более понятные и ясные визуальные сведения, позволяющие определить безопасность и подлинность веб-узлов. Эта технология также поддерживает сведения о сертификатах высокой надежности, чтобы точно определять безопасные веб-узлы (HTTPS), на которых применяются более строгие меры для подтверждения подлинности.
Антифишинг
Фишинг – это метод, используемый многими злоумышленниками для обмана пользователей с целью раскрытия их личных или финансовых данных посредством сообщения электронной почты или веб-узла. Злоумышленники маскируются под законное лицо или организацию, чтобы получить конфиденциальные сведения, такие как пароль счета или номера кредитных карт. С функцией антифишинга в обозревателе Internet Explorer 7 работа в Интернете становится более безопасной, т. к. пользователь получает сведения о подозрительных и известных поддельных веб-узлах. Содержимое веб-узлов анализируется с целью выявления известных методов фишинга; при этом для определения уровня безопасности веб-узлов используется глобальная сеть источников данных.
Создатели мошеннических сообщений электронной почты, рекламных объявлений в Интернете и веб-узлов пользуются такими недостатками современных веб-узлов, как недостаточное взаимодействие и ограниченный обмен данными. Новая функция антифишинга в обозревателе Internet Explorer 7, получающая обновления несколько раз в час с помощью интернет-службы, объединяет новейшие сведения о поддельных веб-узлах и предоставляет их пользователям обозревателя, чтобы заблаговременно предупредить их об опасности и защитить от нее.
Функция антифишинга объединяет клиентский поиск характерных особенностей вредоносных веб-узлов и Интернет-службу, запрашивающую подтверждение пользователя. Таким образом, пользователь защищается от фишинг-атак тремя способами.
• Во-первых, адреса веб-узлов, которые пользователь намеревается посетить, сверяются с хранящимся на компьютере списком известных надежных узлов.
• Во-вторых, веб-узлы проверяются на наличие характерных черт поддельных веб-узлов.
• В-третьих, адрес веб-узла, который собирается посетить пользователь, отправляется в Интернет-службу корпорации Майкрософт, которая мгновенно сверяет его с часто обновляемым списком поддельных узлов. Список этих узлов составляется с помощью надежных источников, сообщающих корпорации Майкрософт о том, что эти веб-узлы являются мошенническими.
Даже если веб-узел неизвестен службе антифишинга, обозреватель Internet Explorer 7 может проверить деятельность веб-узла и сообщить пользователю о подозрительных действиях (например, о сборе сведений о пользователе при отсутствии сертификата безопасного соединения (SSL). В этом случае с помощью функции антифишинга сбор сведений будет предотвращен прежде, чем веб-узел появится в официальном списке мошеннических веб-узлов.
При работе в обозревателе Internet Explorer 7 функция антифишинга по умолчанию настроена таким образом, чтобы пользователь мог включить или отключить ее. В параметрах групповой политики, описанных в предыдущей главе, нельзя изменить это поведение по умолчанию. Тем не менее, администраторы могут контролировать действие функции антифишинга с помощью групповой политики.
Просмотреть и настроить параметры групповой политики, касающиеся функции антифишинга, можно в следующем разделе в редакторе объектов групповой политики.
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer
Аппаратная защита Windows Vista
Технология NX (No Execute)
Вредоносное ПО может завладеть пользовательской машиной с использованием переполнения буфера или путем исполнения кода в областях памяти, предназначенной для хранения данных. SDL и другие аналогичные инструменты способны предотвратить возможность переполнения буфера еще на стадии проектирования или программирования, однако существует еще один путь борьбы с переполнением – использование технологий NX (No Execute) на аппаратном уровне. NX позволяет программному обеспечению помечать сегменты памяти, в которых будут хранится только данные, и процессор не позволит приложениям и службам исполнять произвольный код в этих сегментах.
Множество современных процессоров поддерживают ту или иную форму NX, и Microsoft, в свою очередь, начиная с Windows XP SP2, включила поддержку процессоров с NX-технологией посредством инструмента Data Execution Prevention. Windows Vista обеспечивает дополнительную поддержку NX, позволяя производителям ПО встраивать защиту NX в свои программные продукты. Независимые продавцы ПО могут помечать свои продукты как NX-совместимые, что позволит повысить безопасность при загрузке программы. Данный подход позволяет значительно увеличить количество программных продуктов, поддерживающих защиту NX. Особенно это актуально для 32-битных платформ, поскольку в них стандартная политика совместимости для NX сконфигурирована только для защиты компонентов ОС. На 64-битных версиях Windows защита NX – стандарт.
Случайное расположение адресного пространства
(Address Space Layout Randomization (ASLR)) – это еще один вид защиты в ОС Windows Vista, который затрудняет использование системных функций вредоносным ПО. Каждый раз, когда компьютер перезагружается, ASLR в случайном порядке назначает 1 из 256 возможных вариантов адреса для расположения ключевых системных DLL и EXE файлов. Это осложняет эксплоиту задачу поиска нужных файлов, а, следовательно, противодействует выполнению его функций. ASLR лучше использовать в связке с Data Execution Prevention, потому что в некоторых случаях компонент Data Execution Prevention можно обойти путем построения эксплоита, который сам по себе не выполняется (он вызывает системные функции для атаки).
Windows Vista также содержит в себе ряд улучшений по сравнению с Windows XP SP2, связанный с определением переполнения «кучи» (области памяти, выделяемой программе для динамически размещаемых структур данных). При вмешательстве в буфер «кучи» к ОС поступает сигнал, и она, в свою очередь, может немедленно завершить скомпрометированную программу, тем самым сократив ущерб от вмешательства. Эта технология используется для защиты компонентов ОС, включая встроенные системные службы, хотя может использоваться и сторонними производителями ПО через специальный одиночный API-вызов.
Защита ядра для x64
64-битные версии Windows Vista поддерживают технологию защиты ядра (иногда используется термин PatchGuard), которая запрещает неавторизованному ПО изменять ядро Windows.
Для того чтобы разобраться в сути данной технологии, необходимо понять, что означает термин kernel patching (изменение ядра).
Kernel patching – это техника, использующая внутренние системные вызовы, а также различные неподдерживаемые ОС механизмы, с целью изменения или замены кода, а, возможно, и критических структур данных ядра Windows на другой «неизвестный» код или данные, которые могут быть и вредоносными. Под понятием «неизвестный» имеется в виду код, не авторизованный Microsoft как часть ядра Windows.
Производители ПО иногда патчат ядро для своих целей, изменяя адрес функции-обработчика системного вызова (указатель функции) в таблице системных вызовов (system service table, SST), которая представляет собой массив из указателей функций, находящихся в памяти. Такая процедура изменения адреса называется хуком (hook). Когда выполняется любой системный вызов (например, NtCreateProcess), диспетчер системных вызовов по номеру вызова восстанавливает адрес функции-обработчика данного системного вызова. Соответственно, если поменять адрес функции-обработчика, на адрес начала «неизвестного» кода, диспетчер системных вызовов перейдет по этому адресу, и «неизвестный» код будет исполнен. Именно по этой причине модификация ядра запрещена в 64-битных версиях Windows Vista. Конкретнее запрещена модификация следующих компонентов ядра:
– Таблицы системных вызовов (system service tables, SST)
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
