Настройка системы безопасности Windows XP своими руками
В прошлой части нашей статьи мы подробно рассматривали установку и оптимизацию Windows XP на рабочей станции своими руками. Теперь, когда WinXP настроена и работает без тормозов, пришло время позаботиться об информационной безопасности.
Настройка системы безопасности Windows XP
Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Мы надеемся, что вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы – преобразовать диск в формат NTFS.
После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа «включить-выключить». Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing). Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.
Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис -> Свойства папки (Tools -> Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его.
Рис. 11. Свойства папки
Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность. Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List – ACL).
При установке и удалении разрешений руководствуйтесь следующими основными принципами:
Работайте по схеме «сверху-вниз».
Храните общие файлы данных вместе.
Работайте с группами везде, где это только возможно.
Не пользуйтесь особыми разрешениями.
Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).
Установка разрешения из командной строки
Утилита командной строки cacls.exe доступна в Windows XP Professional позволяет просматривать и изменять разрешения файлов и папок. Cacls – сокращение от Control ACLs – управление списками управления доступом.
Ключи командной строки утилиты cacls
/T — Смена разрешений доступа к указанным файлам в текущей папке и всех подпапках
/E — Изменение списка управления доступом (а не полная его замена)
/C — Продолжить при возникновении ошибки «отказано в доступе»
/G — пользователь:разрешение Выделение пользователю указанного разрешения. Без ключа
/E — полностью заменяет текущие разрешения
/R — пользователь Отменяет права доступа для текущего пользователя (используется только с ключом /E)
/P — пользователь:разрешение Замена указанных разрешений пользователя
/D — пользователь Запрещает пользователю доступ к объекту
С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):
F (полный доступ) – эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.
C (изменить) – тождественно установке флажка Разрешить Изменить (Modify)
R (чтение) – эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)
W (запись) – равнозначно установке флажка Разрешить запись (Write)
Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System — EFS) шифрует файлы на диске. Однако, следует иметь в виду, что если вы утратите ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществанми EFS, необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления. Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe.
Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). Ниже приведен список наиболее часто используемых ключей команды cipher
/E — Шифрование указанных папок
/D — Расшифровка указанных папок
/S:папка — Операция применяется к папке и всем вложенным подпапкам (но не файлам)
/A — Операция применяется к указанным файлам и файлам в указанных папках
/K — Создание нового ключа шифрования для пользователя, запустившего программу. Если этот ключ задан, все остальные игнорируются
/R — Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл .CFX, а копия сертификата в файле .CER
/U — Обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках
/U /N — Вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий
Устранение проблем с разрешениями
Агент восстановления данных
Агентом восстановления данных (Data Recovery Agent) назназначается обычно администратор. Для создания агента восстановления нужно сначала сохдать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.
Чтобы создать сертификат нужно сделать следующее:
Нужно войти в систему под именем Администратор
Ввести в командной строке cipher /R: имя файла
Введите пароль для вновь создаваемых файлов
Файлы сертификата имеют расширение .PFX и .CER и указанное вами имя.
ВНИМАНИЕ! Эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.
Для назначения агента восстановления:
Войти в систему под учетной записью, которая должна стать агентом восстановления данных
В консоли Сертификаты перейдите в раздел Сертификаты – Текущий пользователь -> Личные (Current User -> Personal)
Действие -> Все задачи -> Импорт (Actions -> All Tasks -> Import) для запуска мастера импорта сертификатов
Проведите импорт сертификата восстановления
При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.
Краткие рекомендации по шифрованию:
Зашифруйте все папки, в которых вы храните документы
Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов
Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала
Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера
Экспортируйте личные сертификаты шифрования всех учетных записей
Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.
При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться
Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows
Конструктор шаблонов безопасности
Шаблоны безопасности являются обыкновенными ASCII – файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File – Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates – Add.
Управление оснасткой
Шаблоны безопасности расположены в папке \%systemroot%\security\templates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.
Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:
Account Policies – управление паролями, блокировками и политиками Kerberos
Local Policies – управление параметрами аудита, пользовательскими правами и настройками безопасности
Event Log – управление параметрами системного журнала
Restricted Groups – определение элементов различных локальных групп
System Services – включение и отключение служб и присвоение права модификации системных служб
Registry – назначение разрешений на изменение и просмотр разделов реестра
File System – управление разрешениями NTFS для папок и файлов
Защита подключения к Интернет
Для обеспечения безопасности при подключении к Интернет необходимо:
Активизировать брандмауэр подключения к Интернет (Internet Connection Firewall) или установить брандмауэр третьих фирм
Отключить Службу доступа к файлам и принтерам сетей Microsoft
Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик.
Активация Брандмауэра подключения к Интернет.
Откройте Панель управления – Сетевые подключения
Щелкните правой кнопкой мыши на соединении, которое вы хотите защитить и выберите из меню пункт Свойства
Перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет
Изложенные выше рекомендации не являются исчерпывающим материалом по настройке безопасности операционной системы Windows XP Professional, однако надеюсь, они смогут помочь вам в этом нелегком процессе.
Защита системы Windows XP Professional в одноранговой сетевой среде
На этой странице
Введение
Одноранговая сетевая среда может повысить производительность, облегчая использование общей информации и ресурсов в сети. Однако в результате возможности для пользователей контролировать доступ к их компьютерам они могут быть подвержены краже и потере информации или непреднамеренному обеспечению доступа к своим файлам. Поэтому, наряду с установлением должной политики использования компьютеров в компании, необходимо, чтобы и руководство, и сотрудники компании понимали основные положения используемой в Windows стратегии безопасности и ведения работы в одноранговой сети.
При наличии угрозы вредоносного кода, например сетевых червей, вирусов, троянских коней и шпионского программного обеспечения, важно предпринять немедленные действия по блокированию настольных и портативных компьютеров. В этом документе поясняется, каким образом можно реализовать меры безопасности для среды небольшого и среднего бизнеса, в которой применяется одноранговая сеть. Эти рекомендации помогут сделать компьютеры, работающие в среде Microsoft® Windows® XP Professional с пакетом обновления 2 (SP2), более защищенными; при этом пользователи смогут продолжать эффективно вести работу на своих компьютерах.
Назначение этого документа
После ознакомления со сведениями, изложенными в этом документе, пользователи смогут повысить безопасность одноранговой рабочей группы.
Прежде чем приступить к работе
Так же, как и для любых других рекомендаций по обеспечению безопасности, целью этого руководства является определение оптимального баланса между повышенной безопасностью и применимостью. Предоставляемые в этой документации рекомендации будут успешно работать при развертывании Windows XP Professional с пакетом обновления 2 (SP2) в различных средах. Однако перед реализацией этих рекомендаций необходимо учесть, что этот документ не решает вопросы, связанные с широким спектром потребностей и конфигураций, которые могут быть необходимы в крупных организациях. Кроме того, данное руководство не может полностью обеспечить особые потребности в безопасности для некоторых организаций.
Обеспечение соответствия требованиям пакета обновленийя
Содержащиеся в этом документе рекомендации применимы только к компьютерам, в которых выполняется Windows XP Professional с пакетом обновления (SP2) и которые являются членами не домена, а рабочей группы. Если SP2 не установлен на определенном компьютере или если неизвестно, установлен ли этот пакет, можно открыть страницу, посвященную обновлению Microsoft, на веб-узле Microsoft http://windowsupdate.microsoft.com и обеспечить сканирование компьютера для выявления доступных обновлений. Если пакет обновления 2 (SP2) обнаруживает доступное обновление, установите его перед началом выполнения процедур, описанных в этом документе.
Примечание. Для установки пакета обновления 2 (SP2) необходимо перезапустить компьютер.
Административные требования
Для выполнения следующих процедур необходимо войти в качестве администратора или члена группы администраторов. Если компьютер подключен к сети, настройки политики работы в сети могут сделать выполнение этих процедур ненужным.
Обеспечение безопасности файловой системы
Файловая система определяет способ организации каталогов и файлов в компьютере. Имеются способы защиты файловой системы от неавторизованного доступа, изменения или удаления. В этом разделе даются пошаговые инструкции для выполнения задач, помогающих обеспечить безопасность файловой системы.
Преобразование файловой системы в NTFS
Использование антивирусного программного обеспечения
Использование защитника Windows (бета-версия 2)
Защита общих ресурсов
Защита общих папок
Отключение ненужных служб
Отключение или удаление ненужных учетных записей
Преобразование файловых систем в NTFS
Во время процесса установки Windows XP компьютеры могут быть настроены на использование либо файловой системы FAT32, либо NTFS.
FAT32 является старой технологией, используемой в предыдущих версиях Windows. Файловая система NTFS отличается большей быстротой и большей безопасностью, чем FAT32 и многие другие, более старые файловые системы. Для оптимальной производительности операционной системы следует использовать NTFS для защиты всех разделов файловой системы компьютера. Следующие две процедуры используются для определения типа файловой системы компьютера, а затем, при необходимости, для преобразования файловой системы в NTFS.
Внимание. Перед преобразованием разделов FAT в NTFS необходимо учесть следующие ограничения:
Преобразование является однонаправленным процессом. После преобразования раздела в NTFS уже нельзя будет выполнить обратное преобразование раздела в FAT. Для восстановления раздела как раздела FAT он должна быть переформатирован как FAT, в результате чего все данные в разделе стираются. После этого данные должны быть восстановлены из резервной копии.
После преобразования файловой системы на диске в компьютере в NTFS нельзя будет удалить Windows XP для отката к Windows 98 или к Windows Millennium Edition (Me).
Программа Convert.exe требует, чтобы для преобразования файловой системы на диске имелось определенное свободное пространство. Дополнительные сведения об объеме свободного пространства, необходимого для преобразования, см. в статье базы знаний Майкрософт, посвященной свободному пространству, необходимому для преобразования FAT в NTFS, на веб-узле http://support.microsoft.com/kb/156560.
Определение типа файловой системы на компьютере
Нажмите кнопку Пуск, затем щелкните Мой компьютер.
Правой кнопкой мыши выберите диск, который необходимо проверить, а затем щелкните Свойства.
Файловая система должна быть типа NTFS, как показано на следующем моментальном снимке экрана. Если это не так, можно использовать программу Convert.exe для преобразования из FAT16 или FAT32 в NTFS.
.gif)
Повторите эту процедуру для всех разделов, находящихся на жестком диске компьютера. Даже если при установке операционной системы была использована файловая система FAT32, для обеспечения дополнительной безопасности ее несложно преобразовать в NTFS.
При преобразовании файловой системы в NTFS отметьте имя диска, называемое также меткой тома (диск С на предыдущем рисунке). Затем выполните следующую процедуру, которая преобразует файловую систему в NTFS. Преобразование файловой системы в NTFS обеспечивает более высокий уровень безопасности в компьютере.
Преобразование файловой системы в NTFS
Нажмите кнопку Пуск, выберите Выполнить, введите cmd, а затем нажмите ОК.
В командной строке введите следующее, где обозначает диск, который нужно преобразовать, после чего нажмите клавишу ВВОД:
convert : /fs:ntfs
Будет выдано приглашение ввести текущую метку тома для диска. Введите метку тома, идентифицированную ранее, затем нажмите клавишу ВВОД.
По завершении преобразования введите exit и нажмите ВВОД для закрытия командной строки.
Примечание. При попытке преобразования диска, на котором установлена операционная система, будет выдано предложение назначить преобразование на момент следующего перезапуска компьютера. В этом случае введите y и нажмите клавишу ВВОД для перезапуска компьютера.
Применение антивирусного программного обеспечения
Компьютерными вирусами являются программы, загружаемые в компьютер без ведома и без согласия пользователя. Вирусы и другие формы вредоносного программного обеспечения известны уже в течение многих лет. Современные вирусы могут репродуцировать сами себя и использовать Интернет и электронную почту для распространения своих копий по всему миру менее чем за час.
Антивирусная программа помогает защитить компьютер от многих известных вирусов, червей, троянских коней и другого вредоносного кода. Антивирусная программа постоянно сканирует компьютер для обнаружения вирусов и помогает обнаруживать и удалять эти вирусы. Установка антивирусного программного обеспечения решает только часть проблемы, — поддержание в актуальном состоянии файлов антивирусных подписей важно для сохранения безопасности настольного или портативного компьютера.
Многие новые компьютеры поставляются уже с установленным антивирусным программным обеспечением. Однако для постоянного обновления антивирусного программного обеспечения необходимо подписаться на него. Если не подписаться на обновления этих программ, компьютер может быть не защищен от новых угроз.
Другой важной мерой предотвращения вирусных атак является обучение пользователей безопасному обращению с электронной почтой. Пользователи не должны открывать электронные сообщения или вложения электронной почты, если они не ожидают этого файла. Следует обеспечить сканирование вложений электронной почты антивирусной программой перед их выполнением.
Корпорация Майкрософт предлагает автоматически самообновляющуюся службу Windows Live OneCare, которая незаметно выполняется на компьютере в фоновом режиме. Эта служба помогает обеспечивать постоянную защиту от вирусов, хакеров и других угроз, она помогает поддерживать компьютер в настроенном состоянии и обеспечивает резервное копирование важных документов. Дополнительные сведения см. на веб-узле Windows Live OneCare, www.windowsonecare.com/.
Дополнительные сведения о поставщиках программного обеспечения, предоставляющих антивирусное программное обеспечение, совместимое с Windows XP, можно найти в статье, посвященной списку поставщиков антивирусного программного обеспечения, на веб-узле корпорации Майкрософт http://support.microsoft.com/kb/49500.
Использование защитника Microsoft
Защитник Windows (бета-версии 2) является технологией защиты, обеспечивающей защиту пользователей Windows от шпионских программ и другого нежелательного программного обеспечения. На компьютере может быть обнаружено и удалено шпионское программное обеспечение, что помогает снизить отрицательное воздействие, оказываемое шпионским программным обеспечением, которое может проявляться в замедлении работы компьютера, появлении назойливых всплывающих рекламных объявлений, в нежелательных изменениях настроек Интернета, а также в неавторизованном использовании частных сведений. Постоянная защита повышает безопасность обзора в Интернете благодаря слежению за более чем 50 способами, при помощи которых шпионские программы могут проникнуть в компьютер. Участники международного сообщества SpyNet™ играют ключевую роль в определении, какие подозрительные программы можно отнести к шпионскому программному обеспечению. Исследователи корпорации Майкрософт быстро разрабатывают методы противодействия этим угрозам, и обновления автоматически загружаются в компьютеры для поддержания актуального состояния защиты.
Можно загрузить защитник Windows с веб-узла www.microsoft.com/athome/security/spyware/software/default.mspx. Текущей версией защитника является бета-версия 2. Файл называется WindowsDefender.msi и имеет размер около 5,5 МБ. (После полного выпуска имя и размер файла могут измениться.)
Защита общих ресурсов
Общие ресурсы Windows XP Professional являются способом использования общих файлов на локальном жестком диске пользователями на других системах, основанных на Windows. Общее имя может быть дано всему каталогу или всей папке, и разрешения на этот общий ресурс могут быть предоставлены пользователям или группам пользователей. Эти общие ресурсы действуют одинаково, независимо от того, является ли рабочая станция членом домена или рабочей группы. В обеих конфигурациях общий ресурс может быть создан, чтобы обеспечить пользователям других рабочих станций доступ к каталогу на локальном жестком диске. Пользователь рабочей станции, работающей под управлением Windows XP Professional, может предоставить разрешение на эти общие ресурсы локальным учетным записям и группам в обеих конфигурациях, но если рабочая станция является членом Active Directory, он может предоставить доступ только для учетных записей и групп служб Active Directory®.
По умолчанию общие ресурсы создаются с предоставлением полного контроля группе «Все». Эти разрешения должны быть изменены, чтобы они были предоставлены только тем, кому необходим доступ к общему ресурсу. Кроме того, для учетных записей и групп учетных записей могут быть введены ограничения на то, что они могут делать на общем ресурсе. Они могут быть ограничены доступом только для чтения или им могут быть представлены разрешения на создание, изменение и даже на удаление файлов.
Общий ресурс предназначен для использования в домашней или корпоративной сети за брандмауэром, например за брандмауэром Windows (предоставляемым Windows XP SP2). При наличии подключения к Интернету и при работе за брандмауэром следует помнить о том, что к любому созданному общему ресурсу может иметь доступ любой пользователь в Интернете.
Защита общих папок
Одноранговая сеть Windows позволяет предоставлять общий доступ к содержимому файловой системы другим компьютерами в сети. В следующей процедуре предполагается, что в файловой системе уже имеется одна или несколько общих папок. При изменении некоторых из этих установок файловой системы по умолчанию можно ограничить неавторизованный доступ к общим папкам.
Каждому пользователю, которому нужен доступ из его компьютера к общей папке, необходима также учетная запись на рабочей станции с общей папкой. Это требование является ограничением конфигурации одноранговой сети рабочей группы. Представляется разумным свести к минимуму количество компьютеров, имеющих общие каталоги. При наличии общих папок на всех рабочих станциях необходимо иметь учетные записи пользователей на всех рабочих станциях, на которых может быстро образоваться чрезмерно сложная конфигурация для поддержки общих ресурсов.
Можно установить разрешения только на дисках, отформатированных для использования файловой системы NTFS.
На следующих шагах удаляется специальная группа Все, обеспечивающая анонимный доступ. Затем каждой локальной учетной записи пользователей предоставляются разрешения Чтение или Изменение на общую папку.
Разрешение Чтение предоставляет учетной записи пользователя достаточные разрешения для перечисления, открытия и копирования файлов из общей или иной папки.
Разрешение Изменение дает учетной записи пользователя возможность перечислять, добавлять, изменять и удалять файлы.
Для представления разрешений на Изменение необходимо выбрать как Чтение, так и Изменение. Ограничьте количество пользователей, которым предоставляются разрешения на Изменение. Не рекомендуется предоставлять другим учетным записям пользователей разрешение Полный контроль на общую папку. Полный контроль предоставляет пользователям такие же разрешения, что и Изменение, но, кроме того, еще и дает возможность владеть файлами и каталогами, а также изменять разрешения.
Защита общей папки
Правой кнопкой мыши щелкните папку, которая была до этого общей, затем выберите Общий доступ и безопасность.
На вкладке Общий доступ щелкните Разрешения. Будет выведен экран, подобный следующему.
.gif)
Выберите группу Все, затем нажмите Удалить.
Для выбора пользователей, которые смогут иметь доступ к папке, нажмите Добавить.
В диалоговом окне Выбор пользователей или Группы нажмите Типы объектов.
Сбросьте флажки Встроенные участники безопасности и Группы, затем нажмите ОК.
Нажмите Дополнительно.
Нажмите Найти.
Выделите пользователей, которым необходимо разрешить доступ к папке. После выбора пользователей нажмите кнопку ОК.
Теперь каждому пользователю в списке разрешений необходимо предоставить правильный тип доступа. Двойным щелчком мыши выделите пользователя, а затем сбросьте флажок Разрешить, находящийся рядом с установкой Полный контроль. После этого укажите, должен ли пользователь иметь доступ на Изменение и Чтение или же только на Чтение.
Нажмите ОК.
Вновь нажмите ОК, чтобы закрыть диалоговое окно Разрешения для папки.
Примечание. Если в диалоговом окне «Разрешения» флажки не выставлены, разрешения наследуются из родительской папки.
Отключение ненужных служб
При отключении ненужных служб снижается риск использования уязвимости известного или неизвестного типа. Для отключения служб используйте элемент панели управления «Добавление и удаление программ».
Список служб и их установки приводятся на странице, посвященной параметрам по умолчанию для служб, на веб-узле документации по Microsoft Windows XP Professional www.microsoft.com/resources/documentation/windows/xp/all/proddocs/ en-us/sys_srv_default_settings.mspx?mfr=true.
Отключение или удаление ненужных учетных записей пользователей
Отключите или удалите ненужные учетные записи пользователей. При отключении или удалении ненужных учетных записей уменьшается возможность неавторизованного доступа к компьютеру.
Отключение учетной записи
Нажмите кнопку Пуск, затем выберите Панель управления.
Два раза щелкните Учетные записи пользователей.
Щелкните вкладку Дополнительно, затем нажмите кнопку Дополнительно.
Щелкните ветку Пользователи.
Два раза щелкните учетную запись пользователя для вывода диалогового окна «Свойства».
Установите флажок Учетная запись отключена.
Примечание. Отключенная учетная запись продолжает существовать, но пользователю не разрешается входить в систему. Она отображается на панели дополнительных данных Пользователи, но на соответствующем значке обозначено X.
Удаление учетной записи
Выполните шаги с 1 по 4 предыдущей процедуры.
Вместо двойного щелчка учетной записи правой кнопкой мыши выберите Удалить.
Перед удалением вначале отключите учетные записи пользователей. Если есть уверенность, что отключение учетной записи не вызвало никаких проблем, можно безопасно удалить эту запись.
Удаленная учетная запись пользователя не может быть восстановлена.
Нельзя удалить встроенные учетные записи администратора и гостя.
Защита учетных записей пользователей
При помощи паролей и настройки блокировки учетной записи можно понизить вероятность неавторизованного доступа в компьютер.
Использование паролей
Важно, чтобы все учетные записи пользователей на каждой рабочей станции имели пароли. Пустые пароли позволяют людям входить в компьютер под чужим именем.
Не используйте на рабочих станциях учетную запись «Гость». Она должна быть отключена.
Каждый пользователь должен иметь свою собственную учетную запись. Учетные записи пользователей и пароли не должны быть общими.
Обычно в связи с паролями путают две концепции. Учетная запись пользователя может быть заблокирована, что обычно бывает при неоднократной попытке входа по неверному паролю. Учетную запись нет необходимости разблокировать — пароль не нужно сбрасывать, если пользователь забыл пароль. Хорошим примером может служить, вероятно, наиболее часто возникающая ситуация, когда какие-либо пользователи блокируются, так как в то время, когда они вводили пароль, у них была нажата клавиша CAPS LOCK.
При сбросе пароля учетной записи пользователя предоставляется новый пароль, как правило, временный. Временный пароль может быть предоставлен пользователям, чтобы они могли входить в систему. Лучше всего, чтобы эти пароли становились недействительными после их первого использования, если пользователь забудет поменять такой пароль после входа в систему. В случае, когда пользователь вынужден создать новый пароль сразу же после входа в систему, только сам пользователь знает свой пароль.
Разблокирование заблокированной учетной записи пользователя
Нажмите кнопку Пуск, затем выберите Панель управления.
Два раза щелкните Учетные записи пользователей.
Щелкните вкладку Дополнительно, затем нажмите кнопку Дополнительно.
Щелкните ветку Пользователи.
Найдите нужную учетную запись пользователя и выберите ее двойным щелчком.
Сбросьте флажок Учетная запись заблокирована, затем нажмите кнопку ОК.
Установка и сброс пароля для существующей учетной записи пользователя
Выполните шаги с 1 по 5 предыдущей процедуры.
Установите флажок При следующем входе пользователь должен изменить пароль. После этого нажмите кнопку ОК.
Правой кнопкой мыши выделите нужную учетную запись и щелкните Установить пароль. Будет выведено предупреждающее сообщение. Перед продолжением отметьте возможные последствия.
Если нажата кнопка Продолжить, в обоих полях для пароля введите временный пароль.
Нажмите кнопку ОК и сообщите временный пароль пользователю.
Брандмауэр Windows
Брандмауэр Windows является основанным на брандмауэре решением для узла, которое включается как часть Windows XP Professional SP2 и имеет большие возможности настройки. Программа включена по умолчанию и помогает защититься от сетевых атак. Служба Windows Live OneCare также контролирует брандмауэр Windows, давая возможность на одной консоли проверять общее состояние безопасности компьютера.
Брандмауэр Windows не предназначен для функциональной замены сетевого брандмауэра. Брандмауэр Windows включает сетевые порты Windows так, чтобы одноранговые рабочие группы могли взаимодействовать и использовать общие ресурсы. Сетевой брандмауэр необходим для защиты сети, в то время как брандмауэр Windows защищает каждую рабочую станцию, для которой он установлен и включен. Многие производители предлагают доступные сетевые брандмауэры, предназначенные для небольших и средних сетей.
Проверка того, что брандмауэр Windows не отключен
Нажмите кнопку Пуск, затем выберите Панель управления.
Откройте Брандмауэр Windows, щелкнув его дважды.
Убедитесь в том, что выбрана возможность Включен (рекомендуемая установка).
Внесение исправлений в систему безопасности
Хорошим способом отслеживания внесения исправлений в систему безопасности является подписка на бюллетени безопасности корпорации Майкрософт, передаваемые по электронной почте. На получение бюллетеней безопасности можно подписаться на веб-узле Microsoft Security на www.microsoft.com/security/default.mspx. В дополнение к постоянному информированию при помощи бюллетеней имеется множество технологий, помогающих автоматизировать внесение исправлений в систему безопасности.
Автоматическое обновление
Возможность автоматического обновления в Windows XP позволяет автоматически выявлять и загружать самые последние изменения системы безопасности с узла корпорации Майкрософт. Можно выполнить настройку для автоматической загрузки исправлений в фоновом режиме, а затем предлагать пользователю установить их после завершения загрузки.
Настройка компьютера на автоматические обновления
Нажмите кнопку Пуск, затем выберите Панель управления.
Двойным щелчком выделите значок Автоматические обновления.
Настройте все рабочие станции, на которых выполняется Windows XP, на Автоматическое. Отметим, что можно настроить, насколько часто и в какое время суток проводятся такие обновления.
Нажмите кнопку ОК.
Примечание. Корпорация Майкрософт распространяет бюллетени безопасности через службу уведомления о безопасности. Эти бюллетени выпускаются для любого продукта корпорации Майкрософт, который связан с вопросами безопасности.
Дополнительные сведения
Дополнительные сведения о защите Windows XP см. в
Дополнительные сведения по вопросам, связанным с безопасностью Windows XP, см. в статье,