Собственный инструмент для анализа безопасности Windows
Собственный инструмент для анализа безопасности Windows
Автор: Скотт Данн
Источник: Мир ПК
В настоящее время тема безопасности укоренилась во всех умах и обосновалась на всех компьютерных экранах. Напоминания об опасности всплывают в веб-браузерах, в интерфейсах электронной почты, в антивирусном ПО, в сетевых настройках и в прочих программных приложениях. Однако исследование всех тех закоулков, где Windows прячет свои настройки безопасности, может оказаться такой работой, которая не оставит вам времени ни для чего другого.
К счастью, Windows XP Professional и 2000 содержат готовые строительные блоки для создания инструмента, способного провести всесторонний анализ безопасности и соответствующую настройку конфигурации. (Если установлена Windows XP Home, то ваши потребности должны удовлетворить средства обеспечения безопасности, встроенные в пакет обновлений Service Pack 2.) Но вот собрать имеющиеся блоки в единый инструментальный комплект придется самостоятельно. Я расскажу, как скомпоновать эту утилиту, как использовать ее для анализа системы и какие действия предпринять по полученным результатам. И хотя входящая в состав Windows утилита «Анализ и настройка безопасности» не имеет дела с безопасностью электронной почты и других приложений, она тем не менее позволяет задавать в одном месте все параметры безопасности Windows, относящиеся к системному уровню. Изменения в таких параметрах могут влиять на используемые вами подключения к локальной сети и к Интернету, на приложения и настройки Реестра Windows, так что прежде чем заниматься любыми серьезными перестройками системы, необходимо создать ее резервную копию. После каждого изменения настроек проверяйте приложения и сетевое подключение, дабы убедиться в том, что они работают корректно. При возникновении любой проблемы восстанавливайте Реестр.
Создаем свое ПО
Для создания собственного инструмента анализа безопасности войдите в систему как администратор, выберите «Пуск-Выполнить», введите команду mmc и нажмите клавишу <Enter>. В раскрывшемся окне задайте опции «Консоль-Добавить или удалить оснастку». Щелкните затем на кнопке «Добавить», выберите из раскрывшегося списка позицию «Анализ и настройка безопасности», опять щелкните на кнопке «Добавить», а потом на кнопках «Закрыть» и OK.
Теперь под маленьким значком «Корень консоли» появится подзначок «Анализ и настройка безопасности», но никаких других ветвей в дереве не будет. Чтобы их добавить, создайте базу данных параметров. Для этого щелкните правой кнопкой мыши на значке «Анализ и настройка безопасности» и выберите опцию «Открыть базу данных». В графу «Имя файла» введите название базы данных, например «Мои настройки безопасности», и нажмите <Enter>. После этого вам будет предложено импортировать какой-нибудь шаблон. (Если соответствующее диалоговое окно не появится или вы его случайно закроете, то снова щелкните правой кнопкой на значке «Анализ и настройка безопасности» и выберите опцию «Импорт шаблона».)
Разнообразие шаблонов варьирует, начиная от устанавливаемого в Windows по умолчанию шаблона setup security.inf до hisecws.inf, задающего высокую безопасность. Если вы не эксперт в области управления сетями и не специалист по безопасности (или вы не убеждены в том, что к системе определенно надо применить какой-то другой шаблон), то выберите setup security и щелкните на кнопке «Открыть» (рис. 1). (Если показываются расширения имен файлов, то имя будет отображаться на экране как setup security.inf.)
Рис. 1. Выберите подходящий для себя уровень безопасности, используя один из этих шаблонов
Сохраните созданный вами инструмент, чтобы в дальнейшем к нему можно было бы снова обращаться, не проходя перечисленные выше шаги. Для этого задайте опции «Консоль-Сохранить как» и укажите, где должен быть сохранен файл утилиты. Если вы сохраняете его в папке «Администрирование» меню «Пуск» (оно же Главное меню; такое место сохранения выбирается по умолчанию), то сможете запустить данную утилиту, выбрав ее из меню «Пуск-Все программы-Администрирование». В том случае, когда соответствующий значок там отсутствует, щелкните правой кнопкой мыши на экранной кнопке «Пуск», задайте опции «Свойства-Меню «Пуск»-Настроить-Дополнительно») и в списке элементов меню «Пуск» выберите нужный вариант отображения. Обычный путь к папке «Администрирование» таков:
C: Documents and SettingsAll UsersГлавное менюПрограммыАдминистрирование
(в графе «адрес Проводника» отображается как
C: Documents and Settings All UsersStart MenuProgramsAdministrative Tools).
Если вы не хотите, чтобы все посетители, вошедшие в систему, видели этот элемент, то измените путь, задаваемый по умолчанию. Введите имя, например Анализатор безопасности, и нажмите <Enter>.
Проводим проверку безопасности
Чтобы проанализировать систему и сравнить ее параметры безопасности с теми, что зафиксированы в вашем шаблоне, щелкните правой кнопкой мыши на значке «Анализ и настройка безопасности» и выберите опцию «Анализировать компьютер» (рис. 2). Укажите путь к файлу журнала ошибок или просто примите путь, предлагаемый по умолчанию.
Рис. 2. С помощью инструмента «Анализ и настройка безопасности» можно проанализировать состояние дел с параметрами безопасности вашего ПК одним щелчком мыши
Когда анализ будет завершен, то на левой створке окна должны будут отобразиться новые ветви. Чтобы увидеть, чем отличаются настройки безопасности компьютера от параметров, зафиксированных в шаблоне, последовательно щелкайте на маленьком значке «+» до тех пор, пока не доберетесь до конца ветви. Потом щелкните на значке в самом конце ветви — и увидите параметры безопасности для данной категории на правой створке окна (рис. 3).
Рис. 3. Сканирование безопасности показывает, как система выглядит на фоне настроек параметров безопасности, заданных в Windows по умолчанию
Значки, стоящие слева от многих из элементов, показывают, как соотносятся настройки вашего ПК с базой данных выбранного шаблона. Таблица «Экзамен по безопасности: оценки в ведомости» разъясняет значение этих значков (в Windows 2000 из них отображаются лишь три первых значка).
Столбцы на правой створке окна раскрывают, в чем заключается отличие настроек безопасности системы от параметров загруженного вами шаблона. Разделы «Политики учетных записей» и «Локальные политики» содержат по три столбца, которые расскажут вам про конкретный тип настройки («Политика»), про настройки, зафиксированные в шаблоне («Параметр базы данных»), и про конфигурацию вашей системы («Параметры компьютера»).
Изменяем параметры системы
Если все или почти все параметры помечены зеленой «галкой», то безопасность вашей системы практически соответствует рекомендациям базы данных выбранного шаблона. Можно расслабиться и попить кофейку. Но как быть тогда, когда есть много расхождений, помеченных красными косыми крестами? Здесь возможно несколько вариантов действий.
Не делать ничего. Если работа системы вас устраивает и нет резона считать, что в ее безопасности наличествуют какие-то бреши, просто махните на результаты анализа рукой. Зачем чинить то, что не сломалось? Это самый простой подход, и я рекомендую вам именно его — если, конечно, ничто не дает вам оснований думать, что у вашей системы действительно имеется какая-то проблема с безопасностью.
Применить другой шаблон. Обилие расхождений может указывать на то, что выбранный шаблон просто не подходит к вашей системе. Чтобы подыскать что-нибудь получше в Windows XP, выберите опции «Пуск-Справка и поддержка». В окно поиска введите последовательность «Готовые шаблоны безопасности» и нажмите <Enter>. Затем щелкните на позиции «Готовые шаблоны безопасности» на левой створке, дабы прочитать основные сведения о них на правой. В Windows 2000 щелкните на кнопке с вопросительным знаком «Справка» в правой части панели инструментов утилиты настройки безопасности. Щелкнув далее на закладке «Содержание», выберите опции «Анализ и настройка безопасности-Дополнительно-Готовые шаблоны». Нужная вам информация появится на правой створке окна.
Если вы найдете более подходящий шаблон, выделите на левой створке значок «Анализ и настройка безопасности», а потом задайте опции «Действие-Импорт шаблона» (или щелкните на этом значке правой кнопкой мыши и выберите «Импорт шаблона» из контекстного меню). В диалоговом окне импорта шаблона включите функцию «Очистить эту базу данных перед импортом», чтобы заменить текущий шаблон (в противном случае в результате опытов вы получите смесь настроек из различных шаблонов). Выделите нужный шаблон, нажмите кнопку «Открыть» и повторите анализ описанным выше способом.
Настройте отдельные параметры. Если вам свойственно дуть на воду и вы просто не можете все это так оставить, исследуйте те настройки компьютера, которые отличаются от параметров базы данных шаблона. Причем про каждый из параметров решите, стоит ли его изменять, и если стоит, то как именно. Самый безопасный способ сделать это — использовать для анализа другой инструмент, а не тот, что был применен для создания шаблона. Например, если параметры, которые вы хотите изменять, относятся к разделам «Политики учетных записей» или «Локальные политики» нового инструмента, то выберите опции «Пуск(Все) программы-Администрирование-Локальная политика безопасности» или щелкните на кнопке «Пуск», затем на «Выполнить» и введите команду secpol.msc /s, после чего нажмите <Enter>.
При использовании инструмента «Локальная политика безопасности» («Локальные параметры безопасности» в Windows 2000) к системе применяются только измененные параметры, а вот в случае инструмента «Анализ и настройка безопасности» вы рискуете получить для своей системы десятки всевозможных неизвестных шаблонов. Поэтому имеет смысл ограничить использование последней утилиты, определив то, какие элементы следует настраивать с помощью инструмента «Локальная политика безопасности».
В системе Windows XP каждый значок описывается в разделах «Политики учетных записей» и «Локальные политики» инструментов «Локальная политика безопасности» и «Анализ и настройка безопасности». Чтобы получить доступ к этим описаниям, укажите «Пуск-Справка и поддержка», введите в окно поиска последовательность «Политики учетных записей и локальные политики» и нажмите <Enter>. В окне результатов поиска выберите список, полученный после полнотекстового поиска, и щелкните на позиции «Политики учетных записей и локальные политики». Потом используйте текст и ссылки на правой створке окна для поиска нужной вам информации. Windows 2000 таких сведений не предоставляет, но можно щелкнуть на кнопке «Справка» в правой части панели инструментов, выбрать «Содержание-Анализ и настройка безопасности-Дополнительно» и получить там некоторые рекомендации.
Рискните всем. Если настройка всякого рода дополнительных параметров — для вас дело привычное, то используйте инструмент «Анализ и настройка безопасности» для применения всех или некоторых параметров какого-либо шаблона. Чтобы внести в текущую конфигурацию машины только отдельные изменения, дважды щелкните в правой створке окна на значке того параметра, который вы считаете необходимым изменить, например на помеченном косым крестом в красном кружочке. Затем включите или выключите функции в нужных позициях столбца параметров базы данных (точнее, в соответствующих диалоговых окнах, когда они раскроются) или подстройте другие параметры в диалоговом окне.
Завершив внесение изменений, щелкните на OK и укажите опции «Консо-Сохранить». Чтобы применить изменения к вашей системе, выделите значок «Анализ и настройка безопасности» на левой створке окна и выберите «Действие-Настроить компьютер». Затем введите путь файла журнала ошибок или щелкните на OK, чтобы принять путь, указанный по умолчанию. Когда применение новых параметров будет завершено, то повторите анализ. Вы должны будете увидеть меньшее число крестиков в красных кружочках, поскольку параметры системы теперь будут соответствовать параметрам текущей базы данных.
Проверьте подключения к локальной сети и к Интернету, а также электронную почту и другие приложения, которые могли затронуть внесенные изменения, а если возникнут проблемы, то восстановите Реестр.
Scott Dunn. Create Your Own Windows Security Analysis Tool. PC World, март 2005 г., с. 142.
Инструмент для настройки и обеспечения безопасности Windows
Новая версия Fresh UI, удобного первоклассного инструмента для конфигурирования Windows, отличается расширенными возможностями для настройки каждой мелочи в системе по вашему усмотрению. Кроме того, эта программа охраняет от вторжений в вашу личную сферу и делает ОС более безопасной. Доступ к десяткам различных опций осуществляется с помощью привычного дерева на левой створке окна, тогда как столбец в правой створке сообщает, какие версии Windows поддерживают выделенный вами параметр. На справочной створке отображаются краткие сведения о выделенных группах настроек. И при всем при этом Fresh UI — совершенно бесплатный продукт; правда, для получения регистрационного кода, нужного для установки, вам придется сообщить компании-производителю свой адрес электронной почты. Переписать программу можно по адресу find.pcworld.com/45634.
Экзамен по безопасности: оценки в ведомости
Для сравнения параметров безопасности Windows с шаблонами утилиты «Анализ и настройка безопасности» надо уметь интерпретировать значки тех политик, которые эта программа использует.