НОУ ИНТУИТ | Технологии и продукты Microsoft в обеспечении информационной безопасности. Лекция 6: Обзор функций безопасности Windows Vista

Учитесь и получайте официальные документы БЕСПЛАТНО. Вы можете поддержать наш проект.

Регистрация Вход

Твой путь к знаниям!

Опубликован: 25.06.2010 | Уровень: специалист | Доступ: платный

|

Вам нравится? Нравится 28 студентам

| Поделиться |

Поддержать программу

Аннотация: Приобрести навыки практического использования технологии безопасности Windows Vista

Цель занятия

Приобрести практические навыки использования технологий BitLocker, IPSec, MMC, UAC, встроенных в Windows Vista

Имена компьютеров, используемых в рамках этой лабораторной работы

Краткие итоги

В результате выполнения лабораторной работы студенты закрепили и углубили знания принципов обеспечения безопасности в Windows Vista, на практике увидев:

Каким образом BitLocker снижает угрозы нарушения конфиденциальности в случае потери, кражи ли неправильной утилизации ПК
Как в консоль управления Microsoft ( MMC ) интегрированы настройки брандмауэра и протокола IPSec
Как набор функций Windows Vista для управления учетной записью пользователя ( User Account Control, UAC ) помогает сократить совокупную стоимость владения и увеличить безопасность установки ПО на машины пользователей без необходимости наделения их привилегиями администратора

Упражнение 1 Управление настройками межсетевого экрана

Сценарий

В Windows Vista встроен мощный межсетевой экран (МЭ), управление настройками которого (в т.ч. установками протокола IPSec ) осуществляется через единую консоль управления MMC. Благодаря этому отпадает необходимость координировать политики безопасности по отдельности, а развертывать IPSec и управлять его параметрами становится проще. Можно осуществлять настройку не только локальной машины, но и удаленной; помимо этого, предусмотрена интеграция с групповыми политиками для централизованного управления парком машин.

Представим себя на месте администратора сети, который должен обеспечить, чтобы на всех компьютерах были запущены межсетевые экраны и большинство портов были закрыты. Кроме того, есть HR -приложение, к которому сотрудники должны иметь защищенный доступ. Мы создадим правило, которое позволит согласно требованиям осуществлять шифровку сетевого трафика HR -приложения

Задача	Инструкции
1. Управление настройками МЭ для входящих соединений	a.Зайдите под учетной записью Ichiro (пароль password ) b.Выполните Start > Instant search для текста " Firewall" c.В появившемся списке выберите и запустите Windows Firewall with Advanced Security d.В диалоговом окне UAC нажмите Continue e. Разверните " Windows Firewall with Advanced Security" на левой панели и выберите узел Inbound Rules f.В панели Actions выберите New Rule… g. Выберите port и нажмите кнопку Next. Примечание: Приложение работает на базе протокола TCP и использует порт 80, причем доступ к нему должен предоставляться только пользователям, прошедшим аутентификацию. Мы можем явно указать, что осуществлять подключение могут только аутентифицированные пользователи (Authenticated Users). a. В текстовом поле Specific local ports: введите " 80 ". b. Нажмите Next. c.Выберите Allow the connection if it is secure. d. Выберите Require the connections to be encrypted. e. Нажмите Next. Примечание: Мы можем ограничить круг пользователей приложения, позволяя осуществлять доступ только с машин, входящих в группу HR Group. Кроме того, мы уже реализовали требование шифрования соединения. Вы видите, как объединение технологий МЭ и IPSec позволяет создавать более мощные правила уровня брандмауэра и упрощает администрирование политик IPSec. a.Установите флажок напротив опции Only allow connections from these users b.Нажмите Add… c. В текстовом поле введите HR Clients и нажмите Check Names Примечание: Если текст был введен правильно, после нажатия кнопки Check Names имя должно быть автоматически расширено до полного (добавлением Location) и подчеркнуто:) d. Нажмите OK e.Нажмите Next f.Установите флажок напротив Domain и сбросьте напротив Private и Public. g.Нажмите Next h. В качестве имени правила введите HR App i.Нажмите Finish
2. Управление настройками МЭ для исходящих соединений	Примечание : Механизм фильтрации исходящих соединений, встроенный в Windows Vista, обеспечивает администраторам контроль за тем, какие приложения могут взаимодействовать по сети. Используя настройки межсетевого экрана Windows, мы можем указать список приложений, попытки которых осуществлять сетевые соединения будут заблокированы. a. Зайдите под учетной записью Ichiro (пароль password ) b.Выполните Start > Instant search для текста " Firewall" c.В появившемся списке выберите Windows Firewall with Advanced Security d.В диалоговом окне UAC нажмите Continue Примечание : Создадим правило, блокирующее попытки сетевых соединений приложения foo.exe a. На левой панели выберите узел Outbound Rules b. В панели Action нажмите New Rule… c. Выберите Program d. Нажмите Next e.Установите флажок напротив This Program и в качестве пути введите %ProgramFiles%\Foo\Foo.exe f. Нажмите Next g. Выберите опцию Block the connection h. Нажмите Next Примечание : В Windows Vista гибкость установки политик безопасности обеспечивается возможностью определения типа сети, к которой в данный момент подключен компьютер. К примеру, мы можем блокировать попытки приложения установить сетевые соединения только в том случае, если компьютер подключен к сети Интернет, и разрешать соединения, когда машина подключена к локальной сети. Тем не менее, в рамках данного упражнения мы хотим ограничить возможности использования foo.exe во всех окружениях. a.Не изменяйте предустановленные флажки Domain, Private и Public b. Нажмите Next c. В качестве имени правила введите Block Foo.exe d. Нажмите Finish e.Закройте утилиту Windows Firewall with Advanced Security Примечание : Созданный нами фильтр не позволит приложению foo.exe подключаться к сети Интернет. Администратор может использовать этот подход, чтобы блокировать программы быстрого обмена сообщениями или другие приложения, имеющие известные уязвимости. Для тех пользователей ОС Vista, которые готовы отдать заботу об установках своих брандмауэров на откуп Microsoft, прекрасным выбором будет сервис Windows Live OneCare. OneCare осуществляет управление политиками межсетевого экрана на ПК, автоматически блокируя подозрительные попытки приложений на посылку или получение данных через Интернет. Для этого OneCare использует дистанционные измерения и промышленные стандарты, в каждом отдельном случае анализируя причины и необходимость получения доступа к сети Интернет со стороны конкретного приложения. При этом пользователь легко может переопределить политики по своему усмотрению.

Задача

Инструкции

1. Управление настройками МЭ для входящих соединений

a.Зайдите под учетной записью Ichiro (пароль password )

b.Выполните Start > Instant search для текста " Firewall"

c.В появившемся списке выберите и запустите Windows Firewall with Advanced Security

d.В диалоговом окне UAC нажмите Continue

e. Разверните " Windows Firewall with Advanced Security" на левой панели и выберите узел Inbound Rules

f.В панели Actions выберите New Rule…

g. Выберите port и нажмите кнопку Next.

Примечание: Приложение работает на базе протокола TCP и использует порт 80, причем доступ к нему должен предоставляться только пользователям, прошедшим аутентификацию. Мы можем явно указать, что осуществлять подключение могут только аутентифицированные пользователи (Authenticated Users).

a. В текстовом поле Specific local ports: введите " 80 ".

b. Нажмите Next.

c.Выберите Allow the connection if it is secure.

d. Выберите Require the connections to be encrypted.

e. Нажмите Next.

Примечание: Мы можем ограничить круг пользователей приложения, позволяя осуществлять доступ только с машин, входящих в группу HR Group. Кроме того, мы уже реализовали требование шифрования соединения. Вы видите, как объединение технологий МЭ и IPSec позволяет создавать более мощные правила уровня брандмауэра и упрощает администрирование политик IPSec.

a.Установите флажок напротив опции Only allow connections from these users

b.Нажмите Add…

c. В текстовом поле введите HR Clients и нажмите Check Names

Примечание: Если текст был введен правильно, после нажатия кнопки Check Names имя должно быть автоматически расширено до полного (добавлением Location) и подчеркнуто:)

d. Нажмите OK

e.Нажмите Next

f.Установите флажок напротив Domain и сбросьте напротив Private и Public.

g.Нажмите Next

h. В качестве имени правила введите HR App

i.Нажмите Finish

2. Управление настройками МЭ для исходящих соединений

Примечание : Механизм фильтрации исходящих соединений, встроенный в Windows Vista, обеспечивает администраторам контроль за тем, какие приложения могут взаимодействовать по сети. Используя настройки межсетевого экрана Windows, мы можем указать список приложений, попытки которых осуществлять сетевые соединения будут заблокированы.

a. Зайдите под учетной записью Ichiro (пароль password )

b.Выполните Start > Instant search для текста " Firewall"

c.В появившемся списке выберите Windows Firewall with Advanced Security

d.В диалоговом окне UAC нажмите Continue

Примечание : Создадим правило, блокирующее попытки сетевых соединений приложения foo.exe

a. На левой панели выберите узел Outbound Rules

b. В панели Action нажмите New Rule…

c. Выберите Program

d. Нажмите Next

e.Установите флажок напротив This Program и в качестве пути введите %ProgramFiles%\Foo\Foo.exe

f. Нажмите Next

g. Выберите опцию Block the connection

h. Нажмите Next

Примечание : В Windows Vista гибкость установки политик безопасности обеспечивается возможностью определения типа сети, к которой в данный момент подключен компьютер. К примеру, мы можем блокировать попытки приложения установить сетевые соединения только в том случае, если компьютер подключен к сети Интернет, и разрешать соединения, когда машина подключена к локальной сети. Тем не менее, в рамках данного упражнения мы хотим ограничить возможности использования foo.exe во всех окружениях.

a.Не изменяйте предустановленные флажки Domain, Private и Public

b. Нажмите Next

c. В качестве имени правила введите Block Foo.exe

d. Нажмите Finish

e.Закройте утилиту Windows Firewall with Advanced Security

Примечание : Созданный нами фильтр не позволит приложению foo.exe подключаться к сети Интернет. Администратор может использовать этот подход, чтобы блокировать программы быстрого обмена сообщениями или другие приложения, имеющие известные уязвимости. Для тех пользователей ОС Vista, которые готовы отдать заботу об установках своих брандмауэров на откуп Microsoft, прекрасным выбором будет сервис Windows Live OneCare. OneCare осуществляет управление политиками межсетевого экрана на ПК, автоматически блокируя подозрительные попытки приложений на посылку или получение данных через Интернет. Для этого OneCare использует дистанционные измерения и промышленные стандарты, в каждом отдельном случае анализируя причины и необходимость получения доступа к сети Интернет со стороны конкретного приложения. При этом пользователь легко может переопределить политики по своему усмотрению.

Дальше >>

Информационная безопасность

Технологии и продукты Microsoft в обеспечении информационной безопасности

Обзор функций безопасности Windows Vista

Цель занятия

Имена компьютеров, используемых в рамках этой лабораторной работы

Краткие итоги

Упражнение 1 Управление настройками межсетевого экрана

Сценарий

Вопросы и ответы

Студенты

Авторизоваться

Информационная безопасность

Технологии и продукты Microsoft в обеспечении информационной безопасности

Обзор функций безопасности Windows Vista

Цель занятия

Имена компьютеров, используемых в рамках этой лабораторной работы

Краткие итоги

Упражнение 1 Управление настройками межсетевого экрана

Сценарий

Вопросы и ответы

Студенты