В Windows Vista компьютерной безопасности
Для повышения компьютерной безопасности и ужесточению операционной системы от нападения, Windows Vista изменяет многих сферах местной компьютерной безопасности конфигурацию. Некоторые из наиболее далеко идущие изменения связаны с настройками безопасности для местной политики, которые могут управляться с помощью Active Directory групповой политики или через местные группы. Чтобы управлять Active Directory групповой политики, вы можете использовать объект политики групп или редактора групповой политики консоль управления. Для управления местного групповой политики на локальном компьютере, можно вызвать настройки безопасности с помощью конфигурации управления безопасности консоли. В разделах, что последующие обсуждения изменений в политике аудита, назначении прав пользователей и Параметры безопасности. Навигация ревизии изменений в политике Ревизия политики используется для сбора информации о ресурсах и привилегия использования. Позволяя политики аудита, можно настроить безопасность входе для отслеживания безопасности важных событий, таких как, когда пользователь регистрируется на компьютер или когда пользователь изменения учетной записи.
Можно выполните следующие действия для доступа к ревизии политики в местных Настройки безопасности консоли: -
Нажмите кнопку Пуск, укажите на Все программы, Стандартные, а затем выберите Выполнить. -
Тип secpol.msc в текстовом поле Открыть и нажмите кнопку OK. Развернуть местного Политика узел в левой панели и выберите узел Политика аудита.
В таблице ниже р rovides обзор по умолчанию конфигурации политики аудита, используемые в Windows XP и Windows Vista. Как видно из таблицы, в Windows XP, аудита не включена по умолчанию. В Windows Vista, однако, успешно logons отслеживаются для всех типов счетов. Сравнение ревизию политики в Windows XP и Windows Vista | Политика | Настройка безопасности по умолчанию в Windows XP | Настройка безопасности по умолчанию в Windows Vista |
|---|
| Аудит событий входа в учетную запись | Нет аудита | Успех | | Аудит управления учетной записью | Нет аудита | Нет аудита | | Аудит доступа к службе каталога | Нет аудита | Нет аудита | | Аудит событий входа в | Нет аудита | Успех | | Аудит Object Access | Нет аудита | Нет аудита | | Аудит изменения политики | Нет аудита | Нет аудита | | Аудит использования привилегий | Нет аудита | Нет аудита | | Аудит отслеживания процессов | Нет аудита | Нет аудита | | Аудит системных событий | Нет аудита | Нет аудита | Навигация по уступке прав пользователей изменения Пользователь человека уступке политики определить, что пользователь или группа могут делать на компьютере. Выполните следующие действия для доступа пользователей человека уступке политики в местных Настройки безопасности консоли: Нажмите кнопку Пуск, укажите на Все программы, Стандартные, а затем выберите Выполнить. Тип secpol.msc в текстовом поле Открыть и нажмите кнопку OK. Развернуть местного Политика узел в левой панели, а затем нажмите Пользователь человека уступке узла.
В таблице ниже показывает, что по умолчанию пользователь человека существенно изменился между Windows XP и Windows Vista. Одной из основных причин этих изменений связана с учетную запись пользователя контролю. Аккаунт пользователя контролю обеспечивает новый уровень защиты компьютеров, чтобы там действительно разделение пользователей и администратора счетов. Из-за аккаунт пользователя контролю, существует множество изменений прав пользователей уступки в Windows Vista. Сравнение назначения прав пользователя в Windows XP и Windows Vista | Политика | Настройка безопасности по умолчанию в Windows XP | Настройка безопасности в Windows Vista |
|---|
| Доступ полномочий Управляющего Надежный звонящего | Не применимо | Нет умолчанию | | Доступ этому компьютеру из сети | Все, Администраторы, Пользователи, Power Users, Backup Операторы | Все, Администраторы, Пользователи, Операторы Backup | | Закон как часть операционной системы | Нет умолчанию | Нет умолчанию | | Добавить рабочих станций к домену | Нет умолчанию | Нет умолчанию | | Настройка квот памяти для процесса А | Местных услуг, услуг сети, администраторы | Местных услуг, услуг сети, администраторы | | Позвольте войти на месте | Не применимо | Guest, администраторов, пользователей, операторов резервного копирования | | Позвольте войти через терминал услуги | Администраторы, удаленных пользователей | Администраторы, удаленных пользователей | | Резервное копирование файлов и каталогов | Администраторов, операторов резервного копирования | Администраторов, операторов резервного копирования | | Обходные похода проверки | Все, Администраторы, Пользователи, Power Users, Backup Операторы | Все, Администраторы, Пользователи, Операторы Backup | | Изменения в системе | Администраторы, Power Users | Местной службы, администраторы | | Изменить часовой пояс | Не применимо | МЕСТНЫЕ СЛУЖБЫ, администраторов, пользователей | | Создать Pagefile | Администраторы | Администраторы | | Создать признак объекта | Нет умолчанию | Нет умолчанию | | Создание глобальных объектов | Администраторы, ИНТЕРАКТИВНАЯ, СЛУЖБЫ | Администраторы, СЛУЖБЫ | | Создание постоянных объектов общей | Нет умолчанию | Нет умолчанию | | Создать символические ссылки | Нет умолчанию | Администраторы | | Отладка программ | Администраторы | Администраторы | | Отказать в доступе к этому компьютеру из сети | ПОДДЕРЖКА, гость | Гость | | Отказывать входе А партия рабочих | Нет умолчанию | Нет умолчанию | | Отказывать входе А службы | Нет умолчанию | Нет умолчанию | | Отказать в месте входа | ПОДДЕРЖКА, гость | Гость | | Отказывать входе через терминал услуги | Нет умолчанию | Нет умолчанию | | Включите компьютер и учетные записи пользователей которые будут доверять делегирования | Нет умолчанию | Нет умолчанию | | Силы отключение от системы дистанционного | Администраторы | Администраторы | | Создать безопасности ревизии | Местных услуг, услуг сети | Местных услуг, услуг сети | | А выдавать клиента после аутентификации | Администраторы, СЛУЖБЫ | Администраторы, СЛУЖБЫ | | Увеличение процесс набора рабочих | Нет умолчанию | Пользователи | | Увеличение графика приоритет | Администраторы | Администраторы | | Загрузка и Выгрузка драйверов | Администраторы | Администраторы | | Блокировка страниц в памяти | Нет умолчанию | Нет умолчанию | | Войти А партия рабочих | ПОДДЕРЖКА Администратор | Администраторов, операторов резервного копирования | | Войдите как Услуга | СЕТЬ УСЛУГ | | | Вход на местах | Guest, администраторов, пользователей, Power Users, Backup Операторы | Не применимо | | Управление аудита и безопасности журнала | Администраторы | Администраторы | | Изменить объект ярлык | Не применимо | Нет умолчанию | | Изменить Firmware среды ценностей | Администраторы | Администраторы | | Выполнять задачи обслуживания Объем | Администраторы | Администраторы | | Профиль единого процесса | Администраторы, Power Users | Администраторы | | Профиль эффективности системы | Администраторы | Администраторы | | Удалить компьютер из стыковочного станции | Администраторы, Пользователи, Power Users | Администраторы, пользователи | | Заменить процесс уровне признак | Местных услуг, услуг сети | Местных услуг, услуг сети | | Восстановление файлов и каталогов | Администраторов, операторов резервного копирования | Администраторов, операторов резервного копирования | | Выключить систему | Администраторы, Пользователи, Power Users, Backup Операторы | Администраторы, Пользователи, Операторы Backup | | Синхронизация данных службы каталога | Нет умолчанию | Нет умолчанию | | Принять собственности файлы или другие объекты | Администраторы | Администраторы | Если сравнить права пользователя присваивается в Windows Vista для тех, установленного в Windows XP, вы увидите много изменений. Windows Vista прекращено в группу Power Users и теперь ведет эту группу только для обратной совместимости со старыми заявок. В результате, группы Power Users не предоставляется права пользователя в Windows Vista.
Windows Vista включает в себя ряд новых прав пользователей, в том числе: Доступ полномочий Manager В А Доверенный Каллер Позволяет пользователю или группе создания надежного подключения к полномочий Manager. В Windows Vista, полномочий Manager используется для управления пользователя. А верительные является объединение всей информации, необходимой для регистрации и аутентификации время на сервер или на конкретный сайт, такой как имя пользователя и пароль или сертификат. Полномочия идентификации и представить доказательства идентификации. Примеры полномочия являются имена пользователей и пароли, смарт-карты и сертификаты. Позвольте Войти местного Позволяет пользователю или группе войти на клавиатуре. Этот пользователь право первоначально название Войти на местном и была переименована в Windows Vista с тем, что в настоящее время обе Позвольте Войти на местном и отказывать в регистрации на местном уровне прав пользователей. В сменить часовой пояс Позволяет пользователю или группе изменять часовой пояс. Поскольку пользователи имеют это право по умолчанию, пользователи могут изменить компьютера, часовой пояс, не используя привилегии администратора.
В Windows Vista, пользователи, или, более конкретно, процессы начали пользователи могут теперь увеличить набор для рабочего процесса. Это изменение важно для приложений, которые идут с использованием стандартного пользователя. Почему? Рабочая комплекс процесс объема физической памяти, установленного в этот процесс со стороны операционной системы. Windows Vista ограничивает задачи, которые можно выполнять приложения и системы областях, в которые они могут писать. Если пользователю привилегии не могут быть использованы для увеличения рабочего набора процесса, приложении, запущенном в стандартном режиме пользователь может запускать в памяти. Навигация безопасности варианты изменения Параметры безопасности включить или отключить настройки безопасности для компьютера. Выполните следующие действия для доступа Параметры безопасности в местных Настройки безопасности консоли: Нажмите кнопку Пуск, укажите на Все программы, Стандартные, а затем выберите Выполнить. Тип secpol.msc в текстовом поле Открыть и нажмите кнопку OK. Развернуть местного Политика узел в левой панели и выберите Параметры безопасности узла.
В приводимой ниже таблице показано, по умолчанию параметры безопасности существенно изменились между Windows XP и Windows Vista. Как и в случае с пользователя назначении человека, многие изменения из-за аккаунт пользователя контролю Сравнивая параметры безопасности в Windows XP и Windows Vista | Политика | Настройка безопасности по умолчанию в Windows XP | Настройка безопасности в Windows Vista |
|---|
| Учетные записи: Состояние учетной записи администратора | Не применимо | Включено | | Учетные записи: Состояние учетной записи гостя | Не применимо | Инвалиды | | Учетные записи: ограничить использование местных внимание пустых паролей для входа в консоль только | Включено | Включено | | Учетные записи: Переименование учетной записи администратора | Администратор | Администратор | | Учетные записи: Переименование учетной записи гостя | Гость | Гость | | Аудит: аудит доступа глобальных объектов системы | Инвалиды | Инвалиды | | Аудит: аудит использования резервного копирования и восстановления привилегий | Инвалиды | Инвалиды | | Аудит: "Выключить систему немедленно, если не можете войти безопасности ревизии | Инвалиды | Инвалиды | | DCOM: машина ограничения доступа в дескриптор безопасности определение языка (SDDL) синтаксис | Не определяется | Не определяется | | DCOM: Ограничения запуска машины в дескриптор безопасности определение языка (SDDL) синтаксис | Не определяется | Не определяется | | Устройства: разрешить Открепить без регистрации по | Включено | Включено | | Устройства: разрешено формате и извлечь сменный носитель | Администраторы | Не определяется | | Устройства: запретить пользователям устанавливать драйверы принтеров | Инвалиды | Инвалиды | | Devices: ограничить компакт-диске доступа к местной вошедшего в систему пользователя только | Инвалиды | Не определяется | | Devices: дискеты ограничить доступ к местной вошедшего в систему пользователя только | Инвалиды | Не определяется | | Devices: неподписанный драйвер установки поведения | Предупреждать, но разрешить установку | Молча Суччид | | Контролер домена: разрешить операторам сервера Расписание задач | Не определяется | Не определяется | | Домен контроллер: LDAP Server подписания требования | Не определяется | Не определяется | | Домен контроллер: отказать в машине пароль учетной записи изменений | Не определяется | Не определяется | | Член домена: цифровой зашифровать или подписать надежный канал данных (всегда) | Включено | Включено | | Член домена: шифрование обеспечения цифровой передачи данных (когда это возможно) | Включено | Включено | | Член домена: цифровой знак надежный канал данных (когда это возможно) | Включено | Включено | | Член домена: отключить машину пароль учетной записи изменений | Инвалиды | Инвалиды | | Член домена: максимальный Machine пароль учетной записи возраст | 30 дней | 30 дней | | Член домена: требует Стронг (Windows 2000 или позднее) сессия Основные | Инвалиды | Инвалиды | | Interactive входе: не отображать последнего имени пользователя | Инвалиды | Инвалиды | | Interactive входе: не требуется Ctrl + Alt + Del | Не определяется | Не определяется | | Interactive входе: текст сообщения для пользователей попытке зайти на | | | | Interactive входе: Заголовок сообщения для пользователей попытке зайти на | Не определяется | Не определяется | | Interactive входе: количество предыдущих Logons в кэш (в случае контроллера домена нет) | 10 Logons | 10 Logons | | Interactive входе: Быстрое пользователю сменить пароль до истечения | 14 дней | 14 дней | | Interactive входе: требуют аутентификации контроллера домена, чтобы разблокировать Workstation | Инвалиды | Инвалиды | | Interactive входе: требуется смарт-карта | Не определяется | Инвалиды | | Interactive входе: смарт-карта удаления поведение | Нет действий | Нет действий | | Клиент сети Microsoft: цифрового подписания сообщений (всегда) | Инвалиды | Инвалиды | | Клиент сети Microsoft: цифрового подписания сообщений (Если сервер согласен) | Включено | Включено | | Клиент сети Microsoft: Отправить незашифрованного пароля на сторонних серверах SMB | Инвалиды | Инвалиды | | Сервер сети Microsoft: Сумма Idle времени до приостановления сессии | 15 минут | 15 минут | | Сервер сети Microsoft: цифрового подписания сообщений (всегда) | Инвалиды | Инвалиды | | Сервер сети Microsoft: цифрового подписания сообщений (если клиент согласен) | Инвалиды | Инвалиды | | Сервер сети Microsoft: отсоединение клиентов при входе часов истекает | Включено | Включено | | Сети доступа: разрешить анонимные SID / Название перевода | Не применимо | Инвалиды | | Сети доступа: не разрешает анонимные перечисление SAM счетов | Включено | Включено | | Сети доступа: не разрешает анонимные перечисление SAM счета и акции | Инвалиды | Инвалиды | | Сети доступа: Не разрешать хранение или полномочия. NET паспорта для сетевой аутентификации | Инвалиды | Инвалиды | | Сети доступа: Разрешить всем Разрешения применяются к анонимным пользователям | Инвалиды | Инвалиды | | Сети доступа: Назван труб, которые могут быть доступны анонимно | КОМНАП, COMNODE, SQL \ QUERY, SPOOLSS, LLSRPC, Обозреватель | SQL \ QUERY, SPOOLSS, Netlogon, Lsarpc, Самр, Обозреватель | | Сети доступа: удаленно доступны реестре пути | (несколько дорожек определяется как доступ) | Не определяется | | Сети доступа: удаленно доступны реестра тропинки и дорожки к югу от | Не применимо | Не определяется | | Сети доступа: Ограничить анонимный доступ к имени труб и акции | Не применимо | Включено | | Сети доступа: акций, которые могут быть доступны анонимно | COMCFG, DFS $ | | | Сети доступа: обмен и модели безопасности для местных счетов | Гостевой только локальным пользователям подлинность в качестве гостя | Классическая местных пользователей подлинность, как сами | | Сетевая безопасность: не хранить LAN Manager Hash стоимости по следующей изменение пароля | Инвалиды | Включено | | Сетевая безопасность: Logoff силу, когда при входе часов истекает | Инвалиды | Инвалиды | | Сетевая безопасность: LAN Manager уровень проверки подлинности | Отправить лм и NTLM ответы | Отправить NTLMv2 ответ только | | Сетевая безопасность: LDAP клиент подписания требования | Переговоры для подписания | Переговоры для подписания | | Сетевая безопасность: минимальная сессии безопасности NTLM ПВУ основе (в том числе безопасного RPC) клиентов | Нет Минимальные | Нет Минимальные | | Сетевая безопасность: минимальная сессии безопасности NTLM ПВУ основе (в том числе безопасного RPC) сервера | Нет Минимальные | Нет Минимальные | | Консоль восстановления: разрешить автоматический административного входа | Инвалиды | Инвалиды | | Консоль восстановления: разрешить копирование и дискеты доступ на все диски и все папки | Инвалиды | Инвалиды | | Завершение работы: разрешить системы, которая будет закрыта без регистрации по | Включено | Включено | | Завершение: Открытый виртуальной памяти Pagefile | Инвалиды | Инвалиды | | Системы криптографии: Сильные силу ключевых для защиты пользователей ключей, хранящихся на компьютере | Не применимо | Не определяется | | Системы криптографии: использование FIPS Compliant алгоритмов шифрования, Hashing, и подписание | Инвалиды | Инвалиды | | Система объекты: владелец по умолчанию для объектов, созданных членами группы администраторов | Объект Creator | Объект Creator | | Система объектов: требуется Нечувствительность в некоммерческих Windows подсистем | Включено | Включено | | Система объектов: Укрепление умолчанию Разрешения Внутренних объектов системы (например, Символьные ссылки) | Включено | Включено | | Параметры системы: Факультативный подсистем | Не применимо | Posix | | Параметры системы: применять правила свидетельство о Windows Исполняемые программного обеспечения ограничение политики | Не применимо | Инвалиды | | Пользователь учетной записи: поведение высоте для оперативного управления в режиме администратора утверждения | Не применимо | Быстрое согласие | | Пользователь учетной записи: поведение повышение оперативного для стандартных пользователей | Не применимо | Запрос на полномочия | | Пользователь учетной записи: Применение установок обнаружения и оперативного для возвышения | Не применимо | Включено | | Пользователь учетной записи: только поднять Исполняемые, которые подписали и утвердили | Не применимо | Инвалиды | | Пользователь учетной записи: Выполнить все администраторы в режиме администратора утверждения | Не применимо | Включено | | Пользователь учетной записи: переход на защищенный рабочий стол, когда побуждает для возвышения | Не применимо | Включено | | Пользователь учетной записи: Virtualize файл реестра и писать неудачи на каждого пользователя местах | Не применимо | Включено | Некоторые из наиболее важных изменений в безопасности Windows Vista нужно сделать со следующими параметрами по умолчанию для сети доступа и сетевой безопасности: Дистанционного доступа в реестре Windows XP, несколько реестре пути удаленно доступным по умолчанию. В Windows Vista не областей реестра которые доступны удаленно по умолчанию. Это изменение повышает безопасность реестра. Кроме того, Windows Vista содержит новый параметр безопасности, для регулирования доступа к реестра subpaths. Анонимный доступ к имени труб и акций Windows Vista добавляет безопасности возможность ограничить анонимный доступ к имени труб и акций. Это изменение блоков анонимный доступ к имени труб и акций. Обмен и модели безопасности для местных счетов В Windows XP по умолчанию обмена и модели безопасности для местных счетов подлинность местных пользователей в качестве гостей. В Windows Vista, местные пользователи аутентифицировались в себя. Это изменение повышает безопасность, чтобы пользователи должны иметь соответствующие разрешения для доступа всех областях файловой системы. Хранение хеш LAN Manager ценностей В Windows XP, когда пользователь изменения пароля, то LAN Manager величине хеширования используются для оказания помощи в последующей аутентификации могут храниться на компьютере. Windows Vista гарантирует, что эти хеш значения не хранятся на компьютере. Это повышает безопасность, требуя от пользователя для получения нового значения хеш любое время пароль изменен. Подлинности LAN Manager в Windows XP, клиент компьютеры используют LM и NTLM аутентификацию и никогда использования NTLM версии 2 сессии безопасности. В Windows Vista, клиентского компьютера использования NTLM версии 2 подлинности только и могут также использовать NTLM версии 2 сессии безопасности, если сервер его поддерживает. Поскольку NTLM версии 2 является более безопасным, чем LM и NTLM, аутентификации процесс более безопасным
в этой статье идет речь добавил Питер И. Мосс
|