- •Авторизация
- •Группы безопасности
- •Политика групп
- •Шифрование
- •2. Корпоративная безопасность
- •3. Управляемый доступ к сети
- •Управление сетевой проверкой подлинности
- •4. Упрощенное совместное использование ресурсов
- •5. Ограничение на учетные записи с пустыми паролями
- •Шифрованная файловая система
- •Архитектура efs
- •Как работает efs
- •Конфигурирование efs
- •Что разрешается шифровать
- •Шифрование базы данных автономных файлов
- •Удаленные операции efs на общих файлах и Web-папках
- •6. Службы сертификации
- •Хранилища сертификатов с открытыми ключами
- •Хранение закрытых ключей
- •Автоматический запрос сертификата пользователя
- •Запросы в ожидании и обновление сертификатов
- •7. Управление реквизитами
- •Интерфейс пользователя для ввода реквизитов
- •Хранилище реквизитов пользователя
- •Связка ключей
- •8. Быстрое переключение пользователей
- •9. Личная конфиденциальность
- •10. Доступ к Интернету - Internet Connection Firewall
- •Групповая политика в icf
- •Как работает межсетевой экран
- •Параметры групповой политики, относящиеся к безопасности
- •9. Политика ограничения используемых приложений
- •11. Протокол ipSec
- •Зачем нужен ipSec
- •Криптографические механизмы защиты
- •IpSec в работе
- •12. Поддержка смарт-карт
- •Pin вместо пароля
- •Стандарты смарт-карт
- •Вход в систему с использованием смарт-карты
- •Применение смарт-карт для администрирования
- •Аутентификатор
- •Служба центра распространения ключей Kerberos
Как работает межсетевой экран
Такую технологию, как фильтры пакетов на основании полной информации о пакете, межсетевой экран ICF использует совместно с компонентом ICS. Хотя ICF обычно и применяется только в изолированном режиме работы компьютера, его иногда используют для защиты общего адаптера и обеспечения безопасности домашней сети. По умолчанию фильтры пакетов межсетевого экрана ICF блокируют все незапрошенные пакеты из открытого сетевого интерфейса. Для этого ICF обращается к таблице трафика в Network Address Translation (NAT) и проверяет весь входящий трафик на соответствие своим правилам. Входные потоки данных пропускаются только при наличии соответствующей записи в таблице трафика NAT, созданной межсетевым экраном или другими средствами из внутренней защищенной сети. Иначе говоря, если источник сетевого сообщения находится вне защищенной сети, входящие данные отбрасываются. Межсетевой экран ICF в Windows XP Professional дает уверенность, что хакеры не смогут просканировать вашу систему или подключиться к ее ресурсам. Однако здесь имеется определенный компромисс: межсетевой экран затрудняет конфигурирование системы для работы в качестве сервера в Интернете. Межсетевой экран ICF в Windows XP Professional доступен, только когда компьютер включен в рабочую группу или в изолированную конфигурацию. В домене параметры ICF определяются политиками, назначенными администратором.
Параметры групповой политики, относящиеся к безопасности
С Windows XP поставляются шаблоны защиты, представляющие собой заранее сконфигурированные наборы политик безопасности, которые разрешается применять для обеспечения определенного уровня защиты пользовательских компьютеров. Шаблоны предусматривают несколько уровней защиты: низкий (low), средний (medium) и высокий (high). Существуют также определенные политики управления паролями: определение минимальной длины пароля; настройка интервала между обязательной сменой пароля; управление доступом к ресурсам и данным.
9. Политика ограничения используемых приложений
Эта политика предоставляет администраторам механизм определения и управления ПО, работающим в домене. Она позволяет ограничить круг приложений только разрешенным к выполнению ПО и запрещает работу нежелательных приложений, среди которых вирусы и "троянцы", а также другое ПО, вызывающее конфликты. Политика идентифицирует приложения по пути к файлу, хешу файла, подписанному сертификату Microsoft Authenticode или зоне Интернета. После идентификации система применяет политику, заданную администратором. Политика ограничения используемых приложений помогает защититься и от вирусов-сценариев, и от "троянцев". Администратор может разрешить выполнение только тех сценариев, которые подписаны определенными организациями, и работа таких вирусов-сценариев, как ILOVEYOU.VBS, станет невозможной. Политика также позволяет управлять тем, какие приложения пользователям разрешено устанавливать на своих компьютерах. Политика ограничения применяется и на изолированных компьютерах при конфигурировании политики локальной защиты. Она также интегрируется с групповой политикой и Active Directory. Можно задать разные политики ограничения используемых приложений для различных подмножеств пользователей или компьютеров. Компьютер Windows XP можно задействовать и для создания политики ограничения используемых приложений в среде Windows 2000. Windows 2000-компьютеры в домене игнорируют эту политику, компьютеры с Windows XP приводят ее в исполнение. Политика ограничения используемых приложений создается в оснастке Group Policy консоли управления Microsoft Management Console (MMC) и состоит из заданного по умолчанию правила, определяющего, разрешено или запрещено выполнение определенных программ. Стандартное правило предусматривает два варианта: unrestricted ("неограниченно") и disallowed ("запрещено"). Если стандартное правило установлено в режим unrestricted, администратор может определять исключения, т. е. указывать программы, которые запускать запрещено. Более безопасный подход - изначально установить общее запрещение (режим disallowed), а затем выбрать только те программы, которые запускать разрешено.