Защита удаленных клиентов и портативных компьютеров

Обновлено 21/07/2006

На этой странице

Введение Прежде чем приступить к работе Пакеты обновления и исправления Вирусы и черви Рекламное и шпионское программное обеспечение Точки восстановления Персональный брандмауэр Защита файлов Надежные пароли Безопасность беспроводных сетей Подключения VPN Дополнительные сведения

Введение

В этом документе описываются возможности обеспечения безопасности, помогающие защитить переносные и удаленные компьютеры, работающие под управлением операционной системы Microsoft® Windows® XP Professional.

Пользователи компьютера могут подключаться к Интернету из различных мест по всему миру, например из отелей или частных жилых домов. Они могут подключиться при помощи традиционных сетевых кабелей или по беспроводным сетям. Во многих аэропортах, кафе и даже в целых районах крупных городов имеются службы, осуществляющие деятельность по беспроводным сетям. Пользователь переносного компьютера может подключиться к Интернету, просмотреть различные веб-узлы, а затем подключиться к сети своей организации через виртуальную частную сеть (VPN). При этом вполне реальна угроза, связанная с вредоносным кодом (включая вирусы, червей и троянских коней). Наряду с тем, что портативные компьютеры подвергаются риску, любой инфицированный или подвергаемый риску компьютер может стать источником инфекции, которая будет воздействовать на другие компьютеры, находящиеся в сети предприятия малого бизнеса.

Для снижения опасности, грозящей удаленным и портативным компьютерам, должны быть приняты меры предосторожности. Некоторые из этих мер или возможностей обеспечения безопасности такие же, какие могут или должны быть включены на рабочих станциях. Но мобильные пользователи должны учитывать дополнительные угрозы. Имеются также вполне реальные угрозы для переносных компьютеров, связанные с потерей, повреждением и кражей.

В этом документе приводятся сведения о возможностях безопасности, которые могут использоваться на предприятиях малого бизнеса для снижения степени риска, с которым сталкиваются их мобильные и удаленные пользователи. В документе содержатся также ссылки на другие документы, содержащие подробные инструкции, помогающие обезопасить эти компьютеры.

Назначение этого документа

Этот документ предназначен для ознакомления пользователей с описываемыми инструментами и возможностями обеспечения безопасности удаленных клиентов и портативных компьютеров. После прочтения этих материалов пользователь сможет проверить уровень предоставляемой безопасности.

К началу страницы

Прежде чем приступить к работе

Перед применением каких-либо рекомендаций, содержащихся в этом документе, необходимо ознакомиться со следующей информацией.

Необходимые учетные данные

Для выполнения задач, рассматриваемых в этом документе, часто необходимо применить привилегированную учетную запись. Учетная запись должна быть членом локальной группы администраторов на рабочей станции. Только учетная запись с таким уровнем разрешений на рабочей станции может предоставить другой учетной записи членство в локальной группе администраторов. Менее привилегированные учетные записи получат уведомление «Доступ запрещен».

Служба Windows Live OneCare

Служба Windows Live OneCare предоставляет функции безопасности для защиты компьютеров клиентов от атак в сети. Каждая из таких функций имеет специальные компоненты на панели управления. Центр обеспечения безопасности Windows объединил несколько из этих функций, но до сих пор в нем используется некоторое программное обеспечение сторонних организаций.

Функция измерения безопасности службы Windows OneCare предоставляет ясную, непрерывную индикацию общего уровня защиты и производительности компьютера. Если Windows OneCare обнаруживает что-либо, что можно сделать для повышения безопасности компьютера, служба автоматически сигнализирует пользователю, какое действие следует выполнить, и предоставляет решение, которое можно осуществить одним щелчком мыши.

Компоненты «Антивирус», «Брандмауэр», «Резервное копирование» и «Настройка» службы Windows OneCare всегда включены и всегда осуществляют контроль безопасности. Каждая из этих служб автоматически настраивается на самообновление и помогает поддерживать защиту компьютера от самых новейших угроз. Корпорация Майкрософт рекомендует устанавливать и использовать службу Windows Live OneCare для объединения семейства инструментов в одной консоли или в одном пользовательском интерфейсе.

В дополнение к службе Windows Live OneCare применение защитника обеспечивает широкий набор инструментов для управления нормальной работой и безопасностью компьютера.

Дополнительные сведения см. на веб-узле Windows Live OneCare, www.windowsonecare.com/.

Состояние безопасности

Ни одна отдельно взятая функция безопасности не может обеспечить защиту переносных и удаленных компьютеров от атак. Послойный подход к защите допускает сбои, но все-таки предоставляет определенный уровень безопасности. Переносные компьютеры особенно подвержены кражам и потерям. В этой статье содержится описание функций безопасности, предоставляющих дополнительные уровни защиты для всех компьютеров под управлением системы Windows XP Professional, но имеются также дополнительные уровни безопасности, помогающие защитить файлы, если переносной компьютер украден с целью использования данных, которые он может содержать.

К началу страницы

Пакеты обновления и исправления

Центр обеспечения безопасности корпорации Майкрософт предоставляет легкий способ управления обновлениями системы безопасности для всего большого семейства ее операционных систем и других приложений Microsoft, например Microsoft Office.

Для настройки Центра обеспечения безопасности на автоматическую загрузку и установку необходимых обновлений выполните следующие шаги. Это позволит управлять обновлениями системы безопасности, не прибегая к их применению вручную.

1. Нажмите кнопку Пуск, затем выберите Панель управления.

2. На панели управления щелкните Центр обеспечения безопасности (показан на следующем снимке экрана).

   

3. Щелкните Автоматические обновления (показано на следующем снимке экрана).

   

4. Выберите Автоматические (рекомендуются) (показано на следующем моментальном снимке экрана) и задайте график периодической загрузки и установки автоматических обновлений. Проследите за тем, чтобы запланированное время соответствовало времени работы компьютера.

   

5. После задания расписания нажмите ОК.

К началу страницы

Вирусы и черви

Компьютерные вирусы являются программами, специально предназначенными для вмешательства в работу компьютера. Они могут записывать, искажать или удалять данные, а также распространять себя на другие компьютеры и по Интернету, часто замедляя работу компьютера и вызывая другие проблемы.

Как и вирусы человека, от 24-часового гриппа до вируса Эбола, компьютерные вирусы могут проявляться самым различным образом, от незначительных повреждений до полного разрушения системы. Кроме того, они продолжают эволюционировать, принимая все новые формы. Хорошо хотя бы то, что при минимальных мерах предосторожности и отсутствии обширных познаний можно существенно снизить степень подверженности риску и уменьшить опасное воздействие.

Данные и приложения в компьютере можно защитить при помощи антивирусного программного обеспечения, которое следует постоянно обновлять. Имеется множество антивирусных программ, которые могут быть установлены для защиты пользователей Windows от вирусов. Перед установкой необходимо обеспечить соответствие параметров системы требованиям такой программы. При выборе антивирусной программы следует выбрать ту, которая имеет следующие возможности:

• Работа в режиме реального времени, с осуществлением мониторинга и предотвращением атак вирусов.

• Автоматическе обновление для поддержания в актуальном состоянии подписей вирусов.

• Сканирование и очистка по требованию и по установленному графику.

Список партнеров корпорации Майкрософт, предлагающих антивирусные программы, имеется на узле /security/partners/antivirus.asp http://www.microsoft.com/security/partners/antivirus.asp.

К началу страницы

Рекламное и шпионское программное обеспечение

Шпионское программное обеспечение часто связано с программами, отображающими рекламу (они называются рекламным программным обеспечением) или отслеживающими личные данные или важную информацию. Это вовсе не означает, что все программы, предоставляющие рекламу или оперативно отслеживающие деятельность пользователя, наносят вред. Например, можно подписаться на бесплатную музыкальную службу, но «платить» за эту услугу придется, согласившись получать целенаправленные рекламные объявления. Если потребитель понял предлагаемыми условия и согласился с ними, то такой компромисс оправдан. Потребитель может также согласиться, чтобы компания отслеживала его действия в сети и могла решить, какую рекламу ему показывать.

Нежелательные программы другого вида могут произвести изменения в компьютере, которые могут вызывать раздражение, могут замедлить работу компьютера или даже привести к его поломке. Такие программы могут изменить домашнюю страницу или страницу поиска веб-обозревателя или добавить в обозреватель ненужные или нежелательные дополнительные компоненты. Такие программы могут сделать также затруднительным возврат к исходным настройкам. Нежелательные программы такого типа часто также называются программами-шпионами.

Защитник Windows (бета-версии 2) является технологией безопасности, помогающей пользователям Windows защититься от шпионского и другого нежелательного программного обеспечения. С помощью этой технологии можно обнаруживать и удалять известные программы-шпионы, что позволяет снизить отрицательное воздействие таких программ, включающее замедление работы компьютера, появление надоедливых всплывающих рекламных объявлений, нежелательные изменения настроек Интернета и неавторизированное использование частной информации. Постоянная защита повышает безопасность действий в Интернете благодаря блокированию более 50 способов, используемых программами-шпионами для проникновения в ПК. Участники международного сообщества SpyNet™ играют ключевую роль в определении, какие подозрительные программы можно отнести к шпионскому программному обеспечению. Исследователи корпорации Майкрософт быстро разрабатывают методы противодействия этим угрозам, и соответствующие обновления автоматически загружаются в компьютеры для поддержания актуального состояния системы защиты.

/athome/security/spyware/software/default.mspx на www.microsoft.com/athome/security/spyware/software/default.mspx. Текущей версией защитника является бета-версия 2. Файл называется WindowsDefender.msi и имеет размер около 5,5 МБ. (В полном выпуске имя и размер файла могут измениться.)

После загрузки бета-версии 2 защитника Windows для его установки выполните следующие шаги.

1. При загрузке бета-версии 2 защитника Windows выводится следующее диалоговое окно. Нажмите кнопку Выполнить.

   

2. Выводится следующий экран: Мастер установки защитника Windows. Нажмите кнопку Далее.

   

3. Выводится лицензионное соглашение для защитника Windows (показано на следующем снимке экрана). Рассмотрите условия соглашения.

   Для продолжения установки нужно выбрать Я принимаю условия лицензионного соглашения, а затем нажать кнопку Далее.

   

4. На экране Помощь в защите Windows (показано на следующем моментальном снимке экрана) выберите Использовать рекомендованные настройки. При необходимости нажмите кнопку Заявление о конфиденциальности. Затем нажмите кнопку Далее.

   

5. На экране Тип установки (показано на следующем моментальном снимке экрана) выберите Полная, затем нажмите кнопку Далее.

   

6. При выводе следующего экрана: Все готово для установки защитника Windows для начала установки нажмите кнопку Установить.

   

7. По завершении процесса установки выводится экран Установка защитника Windows завершена.

   Убедитесь, что установлен флажок Выполнить поиск обновлений и быстрое сканирование, после чего нажмите кнопку Готово.

   Примечание.   На этом шаге необходимо подключение к Интернету.

   

8. После вывода следующего экрана нажмите кнопку Поиск обновлений для получения последних обновлений.

   

Дополнительные сведения о защитнике Windows (бета-версии 2) приводятся в статье, посвященной защитнику Windows (бета-версии 2), на веб-узлеwww.microsoft.com/athome/security/spyware/software/default.mspx.

К началу страницы

Точки восстановления

Операционную систему и ее приложения могут повредить многие вещи. В системе Windows XP Professional можно выполнить восстановление данных мобильного или удаленного клиента до известной неповрежденной точки восстановления. Такие точки восстановления иногда сохраняются автоматически операционной системой перед некоторыми событиями.

Ознакомиться с подробностями можно на странице, посвященной «отмене» большой ошибки в Windows, на веб-узле www.microsoft.com/smallbusiness/resources/technology/business\_software/how\_to\_ undo_a_big_mistake_in_windows.mspx.

К началу страницы

Персональный брандмауэр

Брандмауэр является системой безопасности, которая служит в качестве защитной границы между сетью и внешним миром. Windows XP SP2 включает в себя брандмауэр Windows, программную систему, работающую практически одинаково для каждого отдельного клиентского компьютера.

Брандмауэр Windows уже установлен в Windows XP Professional SP2 и имеет большие возможности по настройке. Программа включена по умолчанию и помогает защититься от сетевых атак. Служба Windows Live OneCare также контролирует брандмауэр Windows, давая возможность на одной консоли проверять общее состояние безопасности компьютера. В остальной части этого документа показано, как изменить настройки брандмауэра Windows с помощью Центра безопасности Windows, который находится на панели управления.

Примечание.   Брандмауэр Windows не предназначен для функциональной замены сетевого брандмауэра. Сеть Windows включена и имеет разрешение на прохождение брандмауэра Windows; это означает, что пользователь может продолжать взаимодействовать с другими подключенными к сети компьютерами, распечатывать данные и обращаться к общим сетевым ресурсам. Для защиты портов, открываемых при выполнении таких функций, все-таки рекомендуется применять сетевой брандмауэр.

Сведения о решении корпорации Майкрософт с использованием брандмауэра сети приводятся на странице, посвященной Microsoft Internet Security and Acceleration Server, веб-узла www.microsoft.com/isaserver/default.mspx.

Настройка общих установок брандмауэра Windows

Общие установки брандмауэра Windows позволяют настраивать следующие параметры:

• Включен (рекомендуется).

• Выключен (не рекомендуется). Выключение брандмауэра Windows делает компьютер более уязвимым к воздействию вирусов, червей или взломщиков.

  1. Чтобы открыть Центр обеспечения безопасности Windows, нажмите кнопку Пуск, затем выберите Панель управления. Выводится следующий экран.

     

  2. В разделе Выбор категории щелкните Центр обеспечения безопасности. Выводится экран Центр обеспечения безопасности Windows, как показано на следующем моментальном снимке экрана.

     

Уведомления о конфигурации

По умолчанию брандмауэр Windows выводит диалоговое окно уведомлений, когда он блокирует программу, пытающуюся связаться из вашего компьютера с другим компьютером. Диалоговое окно сходно с тем, которое показано на следующем моментальном снимке:

В диалоговом окне указывается, какая программа заблокирована, и пользователю предоставляется возможность разрешить выполнение этой программы. Имеются следующие возможности:

• Сохранить блокировку. При использовании этой возможности программа не воспринимает подключения из Интернета или сети без разрешения пользователя.

• Разблокировать. Этот параметр помещает программу в список исключений брандмауэра Windows.

• Запросить позднее. Используйте этот параметр, если неизвестно, следует ли блокировать программу. Этот параметр удерживает программу блокированной в целях безопасности. Это сообщение вновь появится в следующий раз, когда эта программа будет заблокирована.

Ознакомиться с дополнительными возможностями можно на странице, посвященной основным сведениям о защитнике Windows, веб-узла www.microsoft.com/windowsxp/using/security/internet/sp2\_wfintro.mspx.

К началу страницы

Защита файлов

В Windows XP Professional и в других операционных системах корпорации Майкрософт используется файловая система NTFS. Эта файловая система более отказоустойчива, чем предшествующая ей система, основанная на таблице размещения файлов (FAT). NTFS предлагает также контроль доступа на уровне файлов и шифрованную файловую систему (EFS). При построении системы Windows XP Professional на переносном компьютере корпорация Майкрософт рекомендует использовать для форматирования жестких дисков только NTFS.

NTFS

NTFS v5 является более усовершенствованной файловой системой, чем FAT8, FAT16, FAT32 или даже файловая система NTFS v4. NTFS больше подходит для обработки небольших сбоев на диске, и при должном использовании EFS она прекрасно подходит для работы на переносных компьютерах.

Примечание.   По умолчанию опытный взломщик при помощи физического доступа к жесткому диску, отформатированному семейством файловых систем NTFS или FAT, при выключенной EFS может обойти защиту NTFS. Даже при включенной EFS взломщик может проникнуть в потерянный переносной компьютер с системой Windows XP Professional.

Для получения дополнительного уровня устойчивости и безопасности можно преобразовать существующий раздел FAT системы Windows XP Professional в раздел NTFS. Процедура преобразования описывается на странице, посвященной преобразованию дисков FAT в NTFS, на веб-узле корпорации Майкрософт www.microsoft.com/technet/prodtechnol/winxppro/maintain/convertfat.mspx. Однако некоторые старые программы могут не выполняться на томе с системой NTFS, поэтому перед преобразованием следует изучить требования к программному обеспечению.

Примечание.   Перед преобразованием одной файловой системы в другую всегда выполняйте резервное копирование важных файлов.

EFS

Система EFS имеется только в файловых системах NTFS, но не в системах FAT. Шифрование является процессом кодирования файлов для предотвращения неавторизованного доступа. После шифрования файла или папки работа с зашифрованными файлом и папкой проводится так же, как и с другими файлами и папками.

Имеется много способов реализации EFS, но установление политики восстановления на одиночном переносном или удаленном настольном компьютере может быть ошибкой. Локальная политика восстановления позволяет грамотному техническому специалисту получить доступ к файлам и каталогам, зашифрованным в системе EFS. Реализация восстановления в рамках домена может обеспечить более безопасную файловую систему.

Ознакомиться с дополнительными возможностями можно на странице, посвященной защите данных с помощью EFS для шифрования жестких дисков, на веб-узле корпорации Майкрософт www.microsoft.com/technet/security/ smallbusinessimages/cryptographyetc/protect_data_efs.mspx.

Примечание.   Файлы не могут одновременно сжиматься и шифроваться.

Резервные копии файлов

Резервное копирование файлов способствует их доступности в случае, если мобильный или удаленный пользователь испытывает проблемы. Проблемой может быть простое случайное стирание файлов или очень серьезная проблема, например намеренная кража переносного компьютера, применяемого на предприятии малого бизнеса. Регулярное резервное копирование файлов является недорогим упреждающим методом защиты ценных данных.

Сведения о способах резервного копирования и восстановления файлов в системе Windows XP Professional приводятся в статье базы знаний корпорации Майкрософт, посвященной использованию резервного копирования для получения резервных копий файлов и папок на компьютере с установленной системой Windows XP на веб-узле http://support.microsoft.com/kb/308422.

К началу страницы

Надежные пароли

Одним из наиболее распространенных слабых мест системы безопасности являются ненадежные пароли. Пароль должен быть достаточно надежен для защиты файлов и компьютеров, на которых он используется. Надежный пароль способствует защите компьютера от различных опасностей. Использование программного обеспечения, запрашивающего пароль, является широко распространенной и несложной в применении практикой.

Более подробные сведения о создании надежных паролей приводятся на странице, посвященной выбору безопасных паролей, на веб-узле корпорации Майкрософт www.microsoft.com/smallbusiness/support/articles/select\_sec\_passwords.mspx.

К началу страницы

Безопасность беспроводных сетей

Компьютеры удаленных и мобильных пользователей подвергаются опасности атаки в любом месте, где подключается их адаптер беспроводной сети. Корпорация Майкрософт рекомендует, чтобы адаптеры беспроводной сети отключались, если они не используются.

Перед подключением к новой беспроводной сети должны предприниматься особые меры предосторожности. Некоторые рекламируемые беспроводные сети совершенно незащищены. Возможности, описываемые в этой статье, могут способствовать защите рабочих станций и переносных компьютеров с системой Windows XP Professional от атак при подключении к таким сетям, но первым правилом при работе с беспроводными сетями является подключение только к известным сетям.

Для обеспечения безопасности для удаленных беспроводных сетей, например в сети домашнего офиса, ознакомьтесь со статьей, посвященной конфигурированию беспроводных сетей Windows XP IEEE 802.11 для домашнего и малого бизнеса, на веб-узле Microsoft TechNet www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifisoho.mspx.

К началу страницы

Подключения VPN

Виртуальная частная сеть (VPN) представляет собой способ безопасного подключения удаленного или переносного компьютера из одной сети в другую, обычно через Интернет. Такая технология позволяет пользователям Windows с переносным компьютером подключаться к сети в отеле или в кафе, а затем безопасно соединяться с находящимися в сети компьютерами на работе.

На предприятиях малого бизнеса возникает искушение при удаленном доступе выполнять подключения по Интернету без использования VPN. Корпорация Майкрософт рекомендует, чтобы вместо небезопасного подключения по Интернету использовались сети VPN. Применение таких небезопасных соединений подвергает предприятия малого бизнеса и домашние сети неоправданному риску.

При использовании подключений VPN по Интернету важно обеспечить, чтобы VPN-решение запрещало одновременное подключение к другой сети. Эта особенность устраняет возможность прямого пути из одной сети в другую, который могут использовать вредоносное программное обеспечение или хакеры.

К началу страницы

Дополнительные сведения

Дополнительные сведения о брандмауэрах, обновлениях в компьютерах и об антивирусном программном обеспечении см. в следующих ресурсах:

• Страница, посвященная защите ПК, на веб-узле корпорации Майкрософт www.microsoft.com/athome/security/protect/windowsxpsp2/Default.mspx.

• Статья, посвященная пятиминутному консультанту по безопасности — руководству по защите переносных компьютеров, на веб-узле Microsoft TechNet www.microsoft.com/technet/ archive/community/columns/security/5min/5min-205.mspx.

• Статья, посвященная сетевым портам, используемым ключевыми серверными продуктами корпорации Майкрософт, в руководстве по безопасности, содержащемся на веб-узле центра загрузки Майкрософт www.microsoft.com/downloads/details.aspx?FamilyID=c3260bd0-2ebb-4496-ad07-7e9d55d0ef1f&displaylang=en.

• Статья, посвященная номерам портов, на веб-узле организации по присвоению номеров в Интернете www.iana.org/assignments/port-numbers.

• «Статья, посвященная управлению функциями Windows XP с пакетом обновления 2 (SP2) с помощью групповой политики — защитника Windows, на веб-узле Microsoft TechNet www.microsoft.com/technet/ prodtechnol/winxppro/maintain/mangxpsp2/mngwfw.mspx.

Дополнительные сведения о безопасности Windows XP с пакетом обновления 2 (SP2) см. в следующих ресурсах:

• Обновленное руководство по безопасности Windows XP на веб-узле центра загрузки Майкрософт http://go.microsoft.com/fwlink/?linkid=35309.

• Статья, посвященная функциональным изменениям Microsoft Windows XP с пакетом обновления 2 (SP2) — часть 2: технологии сетевой защиты, на веб-узле Microsoft TechNet по адресу http://go.microsoft.com/fwlink/?linkid=35486.

Сведения о том, как определить состояние безопасности сети, содержатся в следующих материалах:

• Страница, посвященная Microsoft Baseline Security Analyzer, на веб-узле Microsoft TechNet www.microsoft.com/technet/security/tools/mbsahome.mspx.

Определения терминов, относящихся к безопасности, содержатся на

• странице, посвященной глоссарию терминов, связанных с безопасностью Microsoft, на веб-узле Майкрософт http://go.microsoft.com/fwlink/?linkid=35468.

Загрузить

Получить статью, посвященную обеспечению безопасности удаленных клиентов и портативных компьютеров

К началу страницы