Глава 7Безопасность
• Учетные записи пользователей
• Центр обеспечения безопасности и компоненты безопасности
• Защита от вредоносных программ
• Шифрование диска BitLocker
В обеспечении компьютерной безопасности участвуют самые разнообразные средства Windows Vista. Те, которые будут упомянуты в данной книге, можно условно разделить на два типа.
• Средства локальной безопасности. К ним относятся механизмы разграничения прав доступа пользователей к системе, контроль Windows за выполнением потенциально опасных действий, шифрование диска, строго заданные родительские ограничения для доступа к компьютеру детей, защита от нежелательного ПО, встроенные средства автоматического обновления Windows.
• Средства сетевой безопасности. К ним относятся программы, препятствующие проникновению через сеть на компьютер вредоносных программ, и брандмауэр, блокирующий попытки таких программ установить несанкционированную передачу данных.
Надо признать, что по уровню безопасности новая Windows Vista с огромным отрывом ушла вперед от своих предшественниц, и это не случайно. Безопасность и надежность при разработке новой операционной системы были поставлены Microsoft во главу угла: на создание принципиально новых технологий защиты и улучшение ранее существовавших было затрачено колоссальное количество времени.
В данной главе описаны важнейшие компоненты Windows Vista, обеспечивающие безопасность ее работы. В рамках локальной и сетевой защиты мы поговорим об учетных записях пользователей, контроле над ними, рассмотрим новую функцию родительского контроля, встроенную антишпионскую программу Защитник Windows, шифрование диска, брандмауэр Windows и средства автоматического обновления.
Учетные записи пользователей
Система учетных записей была создана, чтобы за одним компьютером автономно могли работать несколько пользователей. Входя в систему под собственной учетной записью, каждый пользователь получает в распоряжение набор личных папок и имеет возможность проектировать интерфейс Рабочего стола по своему вкусу, поскольку сделанные изменения не затронут настроек, сделанных пользователями других учетных записей. Личные папки всех зарегистрированных на компьютере пользователей находятся в папке Пользователи корневого каталога системного раздела диска. Установленные на компьютере программы и сетевые подключения являются общими для всех учетных записей. Система учетных записей разных типов также позволяет разграничить доступ пользователей к настройкам системы и определенным категориям файлов и папок.
Учетные записи можно разделить на два типа.
• Администратор. Пользователи таких учетных записей имеют полный доступ ко всем файлам и папкам на диске, а также вправе изменять любые параметры системы: устанавливать и удалять программы, оборудование, менять настройки безопасности. Кроме того, администраторы вправе создавать, редактировать и удалять учетные записи других пользователей. Однако чтобы исключить несанкционированные действия вредоносных программ, связанные с их инсталляцией в систему и изменением настроек, в Windows Vista был впервые введен контроль учетных записей пользователей (UAC – User Account Control). При выполнении действий, которые могут повлечь за собой опасные для системы последствия или повлиять на работу других пользователей, всегда появляется окно UAC, в котором вам нужно будет подтвердить, что автором изменений являетесь вы и можно продолжить их проведение. Подробнее о контроле учетных записей пользователей мы поговорим ниже.
При установке Windows Vista необходимо создать учетную запись администратора, под которой вам предстоит настроить все основные параметры системы. В дальнейшем большинство пользователей продолжают работать на компьютере, входя в систему под этой учетной записью.
• Стандартная. Пользователи учетных записей данного типа существенно ограничены в доступе к «недрам» системы. Они могут беспрепятственно работать с разрешенными файлами, папками и программами, однако устанавливать и удалять приложения, оборудование, менять настройки системы, которые могут затронуть и других пользователей, а также работать с их личными файлами и папками права не имеют. При попытке совершить одно из вышеперечисленных действий появится окно UAC, в котором вам будет предложено ввести пароль учетной записи администратора. Если он вам известен, то продолжение действия возможно.
Помимо описанных типов учетных записей на компьютере всегда присутствует учетная запись особого типа – Гость, предназначенная для входа в систему случайных посетителей вашего компьютера, для которых создание отдельной учетной записи с набором личных папок нецелесообразно. Учетная запись Гость не позволяет изменять параметры системы и работать с документами других пользователей.
Если на компьютере есть несколько учетных записей, то при загрузке Windows появится экран входа в систему, на котором вы увидите значки и имена всех учетных записей. Щелкните кнопкой мыши на значке со своим именем, чтобы выполнить вход. Если на компьютере существует единственная учетная запись (она всегда является учетной записью администратора), не защищенная паролем, экран приветствия появляться не будет.
В следующем разделе мы рассмотрим работу, связанную с созданием, изменением и удалением учетных записей пользователей. Для тренировки в выполнении всех описанных действий вы должны войти в систему под учетной записью администратора.
Создание и редактирование учетных записей
Прежде чем вести разговор о способах создания и изменения учетных записей других пользователей, для чего требуется войти в систему под учетной записью администратора, уделим внимание тому, какие изменения можно вносить в собственную учетную запись. Разобраться в этом вопросе вам поможет видеоролик «Урок 7.1. Создание и редактирование учетных записей пользователей».
Чтобы открыть окно управления учетными записями (рис. 7.1), зайдите в меню Пуск и щелкните кнопкой мыши на значке своей учетной записи, который располагается в верхней части правого столбца.
Рис. 7.1. Окно управления учетными записями
Если ваша учетная запись не защищена паролем, перейдите по ссылке Создание пароля своей учетной записи, введите пароль, его подтверждение и при необходимости подсказку на случай, если вы вдруг забудете пароль. Однако имейте в виду, что подсказка будет видна и другим пользователям. Защита учетной записи паролем особенно важна в том случае, если компьютером пользуются несколько лиц, а вы являетесь его администратором. Пароль не только защищает ваши личные данные от несанкционированного доступа, но и позволяет предотвратить нежелательные изменения в настройках системы, которые могут быть сделаны другими пользователями.
Если пароль для своей учетной записи вы установили ранее, в окне, изображенном на рис. 7.1, вы увидите ссылки Изменение своего пароля и Удаление своего пароля, назначение которых понятно из их названия. В случае изменения пароля вам необходимо ввести старый пароль, новый и его подтверждение. Кроме того, вам будет предложено ввести подсказку для нового пароля. При удалении пароля его введение также обязательно. Имейте в виду, при создании, а затем при вводе пароля учитывается различие между прописными и строчными буквами.
К ссылке Изменение своего рисунка следует обращаться в том случае, если вы захотите изменить значок своей учетной записи. Вы можете выбрать новый значок из коллекции Windows или же из собственных рисунков. Для этого следует перейти по ссылке Поиск других рисунков, переместиться к папке с изображениями и выбрать среди них нужное.
При желании вы можете задать новое имя для своей учетной записи, перейдя по ссылке Изменение имени учетной записи, а также изменить тип своей учетной записи (с административной на стандартную или наоборот), обратившись кссылк е Изменение типа своей учетной записи. Имейте в виду, что при изменении имени учетной записи каталог с вашими личными папками сохранит прежнее название.
Оба вышеупомянутых действия требуют привилегий администратора. Если вы им являетесь, вам нужно подтвердить свои действия в окне UAC. Если же вы – обладатель стандартной учетной записи, то система потребует ввода пароля учетной записи администратора для внесения корректив, поскольку только он вправе менять вышеозначенные параметры. Помните также и о том, что если на вашем компьютере есть только одна учетная запись, то она по умолчанию является учетной записью администратора и не может быть изменена на стандартную.
Последние две ссылки, расположенные ниже (см. рис. 7.1), отвечают за изменение настроек учетных записей других пользователей и включение или отключение контроля учетных записей пользователей. Данные настройки доступны только для администратора компьютера, о чем свидетельствуют появляющиеся при переходе по ссылкам окна UAC.
При переходе по ссылке Управление другой учетной записью вы попадете в окно, где представлены значки всех имеющихся на компьютере учетных записей (рис. 7.2). Щелкнув кнопкой мыши на любом из них, вы переместитесь на страницу со ссылками на настройки параметров выбранной учетной записи. К ним относятся изменение имени, рисунка, создание, изменение или удаление пароля (действия с паролями чужой учетной записи приведут к потере пользователем сохраненных паролей для веб-страниц, личных сертификатов и зашифрованных файлов), изменение типа учетной записи или ее удаление. В последнем случае вам будет предложено сохранить на своем Рабочем столе в отдельной папке содержимое Рабочего стола и личных папок пользователя, учетную запись которого вы удаляете.
Рис. 7.2. Окно редактирования учетных записей пользователей
В окне, изображенном на рис. 7.2, вы также можете включить учетную запись Гость. Для этого нужно щелкнуть кнопкой мыши на ее значке и нажать кнопку Включить. Здесь же присутствует ссылка Создание учетной записи, с помощью которой вы перейдете на специальную страницу, где сможете зарегистрировать новую учетную запись.
Обратите внимание, на странице изменения параметров любой учетной записи, а также в окне, изображенном на рис. 7.2, есть ссылка на установление родительского контроля. Эта функция впервые появилась в Windows Vista и имеет огромное значение для пользователей, у которых есть дети. Подробно о родительском контроле вы сможете прочитать в следующем подразделе.
Родительский контроль
Если в вашей семье есть дети, вы наверняка не раз сталкивались с проблемой ограничения их доступа к компьютеру. Все родители стараются препятствовать слишком длительному занятию ребенка компьютерными играми, посещению сайтов сомнительного содержания и трате чадом времени у монитора при просмотре фильмов, прослушивании музыки или беседе с друзьями в ICQ. Раньше «дозировать» общение ребенка с компьютером программными средствами было крайне проблематично. В Windows Vista ситуация изменилась кардинальным образом. Благодаря новой функции родительского контроля вы можете самостоятельно задавать количество времени, проводимое детьми за компьютером, блокировать посещение сайтов, не предназначенных для лиц младше 18 лет, выбирать, с какими программами юный пользователь имеет право работать и в какие игры поиграть.
О настройке параметров родительского контроля вы узнаете из видеоролика «Урок 7.2. Родительский контроль». Чтобы воспользоваться данной функцией, вы должны соблюсти следующие требования.
Убедитесь, что ваша учетная запись администратора защищена паролем, который не знают дети. Если на компьютере есть другие учетные записи с правами администратора, для них также необходимо установить пароль.
Для посещения компьютера детьми создайте одну или несколько учетных записей с обычным доступом. Теперь можно приступать к заданию параметров родительского контроля. Перейдите по ссылке Установить родительский контроль в окне, изображенном на рис. 7.2, предварительно выделив значок учетной записи ребенка, или же выполните команду Пуск → Панель управления → Учетные записи пользователей и семейная безопасность → Родительский контроль и щелкните кнопкой мыши на учетной записи ребенка. В результате будет открыто окно, представленное на рис. 7.3, в котором настраиваются все параметры родительского контроля.
Рис. 7.3. Окно настройки параметров родительского контроля
Установите переключатель Родительский контроль в положение Включить, использовать текущие параметры, чтобы сделать доступными остальные настройки.
Функция родительского контроля позволяет получать полный отчет о событиях, происходящих на компьютере во время пребывания за ним ребенка. Для формирования отчета необходимо, чтобы переключатель Отчет об активности был установлен в положение Включить, собирать данные об использовании компьютера.
В группе Параметры Windows устанавливаются ограничения по времени работы за компьютером и уровни доступа к веб-ресурсам, играм и программам.
Перейдя по ссылке Веб-фильтр Windows Vista, вы попадете на страницу, где можно настроить параметры доступа к интернет-ресурсам при условии, что первый переключатель установлен в положение Блокировать некоторые веб-узлы и содержимое (рис. 7.4).
Рис. 7.4. Окно установки ограничений на посещение Интернета
Ограничения на доступ в Интернет можно устанавливать в двух вариантах: путем автоматической блокировки содержимого сайтов, выбрав необходимый уровень защиты в группе переключателей Автоматическая блокировка веб-содержимого, или же путем составления списка разрешенных и запрещенных веб-узлов. Очевидно, что работающий в системе веб-фильтр не может стопроцентно гарантировать защиту от посещения нежелательных сайтов, поскольку оценка содержимого сайтов не бывает однозначной. Он может лишь существенно снизить вероятность столкновения ребенка с материалами, противопоказанными в его возрасте. Если же вы хотите гарантированно уберечь юного посетителя Интернета от сайтов для взрослых, придется вручную создать список разрешенных узлов и установить право только на их посещение. Перейдите по ссылке Изменить список разрешенных и запрещенных веб-узлов, введите адрес интернет-ресурса и нажатием кнопки Разрешить или Запретить поместите адрес в соответствующий список. Установив флажок Только разрешенные веб-узлы из списка, вы ограничите область доступных сайтов до составленного перечня. При необходимости можно также заблокировать скачивание файлов установкой флажка Блокировать загрузку файлов. Нажмите кнопку ОК, чтобы вернуться к окну выбора параметров.
Перейдя по ссылке Ограничения по времени, вы можете составить почасовое расписание доступа ребенка к компьютеру. Для этого с помощью перетаскивания выделите синим цветом клетки, отвечающие за запретные для работы на компьютере интервалы времени (рис. 7.5). Повторное перетаскивание снимает блокировку. Нажмите кнопку ОК.
Рис. 7.5. Составление расписания доступа к компьютеру
Ссылка Игры ведет к настройкам ограничений на использование игр. Вы можете полностью запретить ребенку играть в игры или же определить допустимые категории разрешенных игр. В последнем случае перейдите по ссылке Задать категории для игр. На открывшейся странице вы можете указать, следует ли разрешать или блокировать игры, у которых отсутствует оценка, выбрать категории игр по возрасту, а также отметить флажками сомнительное, на ваш взгляд, содержание, при обнаружении которого будут блокироваться даже игры из разрешенных категорий. Перейдя по ссылке Запрещение и разрешение игр, вы можете задать явный доступ к той или иной игре, установленной на компьютере.
Ссылка Разрешать и блокировать конкретные программы позволяет установить ограничение на использование приложений, установленных в системе. Так, если ваш ребенок– большой любитель посмотреть фильмы и поболтать в ICQ вместо того, чтобы делать уроки, можете запретить использование всех медиапроигрывателей и интернет-пейджеров, имеющихся на вашем компьютере. Установите переключатель в положение Ребенок может работать только с разрешенными мной программами и отметьте флажками те приложения, доступ к которым разрешен (рис. 7.6).
Рис. 7.6. Выбор программ для свободного доступа
Когда все параметры родительского контроля будут заданы, нажмите кнопку ОК, чтобы закрыть его окно.
Для контроля над действиями ребенка на компьютере в ваше отсутствие просматривайте отчет об активности, в котором подробно фиксируются все данные о работе юного пользователя в системе. Перейдите по ссылке Просмотреть отчеты об активности, в открывшемся окне вы ознакомитесь с содержанием интересующих вас разделов (рис. 7.7). Предложение ознакомиться с отчетом о родительском контроле может появляться и в виде всплывающей таблички в области уведомлений. В этом случае достаточно щелкнуть на ней кнопкой мыши, чтобы перейти к просмотру сведений о работе ребенка на компьютере.
Рис. 7.7. Отчет об активности контролируемого пользователя
Вернемся к последней ссылке Включение и отключение контроля учетных записей (UAC) окна, изображенного на рис. 7.1, чтобы не оставить ее без внимания. Щелкнув на ней кнопкой мыши, вы попадете на страницу, где вам будет предложено включить или отключить контроль учетных записей пользователей (UAC), чтобы он не досаждал вам слишком частым появлением окон подтверждения. Однако прежде чем принять решение об отключении UAC, почитайте подробнее о данной функции в следующем подразделе.
Контроль учетных записей пользователей (UAC)
Как уже упоминалось выше, контроль учетных записей пользователей (UAC) был впервые введен в Windows Vista как еще одна ступень защиты от деятельности вредоносных программ. Принципы выполнения контроля заключаются в следующем.
В отличие от предыдущих версий Windows, все пользователи, независимо от того, являются они администраторами или нет, работают в системе в режиме стандартной учетной записи. В терминологии Windows, при входе в систему как для администратора, так и для стандартного пользователя создается маркер обычного доступа, который применяется для работы на компьютере, в том числе и для запуска приложений, не требующих административных прав. Это повышает общий уровень безопасности системы ввиду того, что потенциально опасные программы не могут совершить противоправных действий без ведома администратора.
Помимо маркера доступа обычного пользователя, для администратора также создается маркер административного доступа, который используется для повышения его прав с уровня обычного пользователя до уровня администратора при выполнении действия, которое влечет за собой изменения в настройках системы. Именно в таких случаях и появляется окно контроля учетных записей пользователей, в котором вы должны подтвердить, что изменения действительно совершаются вами, администратором компьютера, а не вредоносной программой. Когда вы вошли в систему под стандартной учетной записью, то при попытке выполнить административное действие появится окно UAC с запросом о введении пароля учетной записи администратора (рис. 7.8). Если он вам неизвестен, дальнейшее продолжение процедуры будет невозможно.
Рис. 7.8. Запрос пароля для подтверждения административных действий при использовании стандартной учетной записи
Все элементы управления, обращение к которым требует административных прав, помечены в диалоговых окнах Windows значком щита
поэтому вам легко будет сориентироваться, какие настройки доступны только при наличии прав администратора (или знании пароля его учетной записи).
Вид окон UAC различается в зависимости от того, какой компонент запрашивает разрешение на выполнение. Если это встроенная функция или приложение Windows, щит в окне UAC будет четырехцветным, а фон, на котором он расположен, – синим (рис. 7.9).
Рис. 7.9. Вид окон UAC при запуске компонентов Windows
При запуске приложений сторонних разработчиков, имеющих цифровую подпись, в окне UAC можно видеть желтый щит с восклицательным знаком на сером фоне (рис. 7.10, вверху). Если в окне UAC вы обнаружите желтый щит с восклицательным знаком на желтом фоне, значит, разрешение на запуск запрашивает сторонняя программа, не имеющая цифровой подписи (рис. 7.10, внизу).
Рис. 7.10. Вид окон UAC при запуске приложений с цифровой подписью и без нее
Многим пользователям повышенная «бдительность» контроля учетных записей в виде постоянно появляющихся окон для подтверждений кажется надоедливой.
Поэтому при желании и согласии на то, что уровень безопасности системы будет несколько снижен, вы можете отключить UAC. Как уже говорилось, сделать это можно в окне управления учетными записями, перейдя по ссылке Включение и отключение контроля учетных записей (UAC). Чтобы изменения вступили в силу, необходима перезагрузка Windows.
Поскольку контроль учетных записей – один из важнейших компонентов обеспечения безопасности системы, при его отключении в области уведомлений появится сообщение Центра обеспечения безопасности Windows об угрозе безопасности компьютера. Из следующего раздела вы узнаете о том, что такое Центр обеспечения безопасности Windows и какие объекты находятся под его контролем.