Windows Vista dělá ze zabezpečení rozhodnutí založené na zásadách
Aktualizoval Pete Bartolik
Rozšířené možnosti zásad skupiny posilují funkce zabezpečení v novém operačním systému Windows Vista a systému Microsoft Office 2007.
Souhrnně:
| • | Základem zabezpečení a posílení ochrany osobních údajů je zdokonalená správa zásad. |
| • | Služba Windows Server 2003 Active Directory hraje při správě nastavení uživatelů a počítačů více rolí. |
| • | Nové a rozšířené funkce šifrování chrání data. |
Jako první klient systému Windows vytvořený pomocí metodologie Microsoft Security Development Lifecycle (Cyklus vývoje zabezpečení) je systém Windows Vista nejbezpečnější operační systém společnosti Microsoft. Podle Russe Humphriese, hlavního produktového manažera pro zabezpečení klientů se systémem Windows Vista, omezují zdokonalení zabezpečení základovou plochu útoku na operační systém na minimum. „To zase pro změnu zdokonaluje systém a integritu aplikací a pomáhá organizacím bezpečněji spravovat a oddělit sítě,“ říká.
Systém Windows Vista nabízí řadu nástrojů zabezpečení, které mají pomoci při ochraně před škodlivým softwarem (malwarem), včetně nástrojů Řízení uživatelských účtů, Windows Defender, brána Windows Firewall, Centrum zabezpečení systému Windows a zásad omezení softwaru. Pro instalaci těchto nových nebo zdokonalených nástrojů v aplikaci Windows Vista (s výjimkou verzí Home a Starter) a také nového systému Microsoft Office 2007 je zásadní zdokonalená správa zásad.
Systém Windows Vista usnadňuje implementaci zásad skupiny.
Zásady skupiny v systému Windows obsahují informace o tom, kdo jste a jaké nastavení je povoleno ve vašem počítači. Podle Andrewa Reeseho, hlavního konzultanta a vedoucího oddělení postupů pro zabezpečení ve společnosti CompuCom Systems, která pracuje jako subdodavatel informačních technologií, je pro většinu společností střední velikosti tento koncept neznámý. Společnosti měli k dispozici možnosti zásad skupiny již v dřívějších verzích systému Windows, ale vedoucí oddělení informačních technologií je často nedokázali použít.
Naštěstí je použití této funkce díky zdokonalení systému Windows Vista snadnější. Nástroj Group Policy Management Console (GPMC) je nyní integrován přímo do operačního systému. Nástroj Group Policy Management Console podporuje více objektů zásad skupiny obsahujících nastavení zásad, které má vliv na uživatele a počítače v sítích, doménách a organizačních jednotkách, umožňuje správu aplikace Internet Explorer 7.0 a nabízí stovky možností dalšího nastavení.
Aby mohla organizace využít zásad skupiny, musí mít službu Active Directory, distribuovanou adresářovou službu na serveru Windows Server 2003. Funkce služby Active Directory funguje jako řešení správy identit, říká Joshua Edwards, technický produktový manažer pro zabezpečení systému Office 2007 ve společnosti Microsoft. „Když se přihlásíte, stáhnou se zásady ze služby Active Directory a budou vynuceny ve vašem počítači,“ vysvětluje.
Zásady skupiny poskytují centralizovanou infrastrukturu v rámci služby Active Directory, která umožňuje změny na základě adresáře a správu konfigurace nastavení uživatele a počítače. Průvodce Windows Vista Security Guide obsahuje nástroje a jednotlivé kroky postupů, které usnadňují nasazení procesu pro spuštění systému Windows Vista se službou Active Directory.
Nové šifrování v systému Windows Vista:
Služba Active Directory má svou roli také v nástroji Windows Vista BitLocker Drive Encryption. Tato funkce ochrany dat pomocí hardwaru zabraňuje neautorizovaným uživatelům v získání přístupu k datům na základě porušení ochrany souborů a systému Windows nebo na základě pokusu zobrazit informace na zabezpečené jednotce v režimu offline. Nástroj BitLocker může použít službu Active Directory k vzdálenému uložení klíčů pro obnovení nástroje BitLocker při současném umožnění správcům IT ukládat šifrovací klíče a obnovovat hesla na klíči sběrnice USB (thumb drive) nebo do samostatného souboru pro účely zálohování.
V systému je k dispozici mnoho nových možností zásad skupiny, které mají pomoci správcům definovat a implementovat zásady organizace pro systém EFS společnosti Microsoft. Mezi tyto zásady patří schopnost požadovat pro systém souborů EFS karty SmartCard, vynutit šifrování stránkovacích souborů a vynutit šifrování uživatelovy složky Dokumenty.
Zabezpečení systému Office 2007
Šifrování hraje roli také u funkcí správy oprávnění k informacím v systému Office 2007, říká Edwards. Se službou RMS pro Windows Server 2003 mohou organizace přiřadit ochranu na úrovni dokumentů. „Pokud vám pošlu dokument, který je šifrovaný, ověří se po otevření tohoto dokumentu vaše osoba a server vám pošle klíč,“ vysvětluje. Můžete si vynutit zásady týkající se tisku, změn a ukládání souborů. Také můžete stanovit datum vypršení platnosti zásad a nastavit záznam pro audit.
Každá aplikace v nové verzi sady Microsoft Office obsahuje funkci nazvanou Centrum zabezpečení, která vám umožní například zapnout a vypnout makra. Můžete také nastavit zásady skupiny, kterými se bude řídit Centrum zabezpečení, poznamenává Edwards.
Se všemi novými funkcemi v systému Office 2007 a Windows Vista se může zdát instalace složitá, ale k dispozici je značná pomoc. V rámci nástroje Microsoft Solution Accelerator for Business Desktop Deployment (BDD) 2007, který je volně k stažení, je k dispozici soubor instalačních nástrojů a doporučených postupů v systému Windows Vista. Nástroj BDD 2007 obsahuje také řešení pro menší organizace, které nemají Systems Management Server a další nástroje pro správu, které jsou běžné ve větších organizacích.
Nástroj Řízení uživatelských účtů pomáhá správcům čelit hrozbám
Před systémem Windows Vista oddělení IT často přidělovaly uživatelům správcovská oprávnění, aby se zjednodušily problémy s instalací. To již naštěstí není nutné. Nástroj Řízení uživatelských účtů (UAC) umožňuje uživatelům, aby pracovali s počítačem jako standardní uživatelé, ale byli i tak schopní provádět každodenní pracovní úkoly. Pokud chce standardní uživatel nainstalovat program, změnit nastavení systému nebo provádět jiné správcovské úkoly, což může znamenat oslabení zabezpečení, zobrazí se mu výzva k zadání pověření správce. Současně nástroj Řízení uživatelských účtů rozšiřuje řadu méně rizikových běžných úkolů, které může standardní uživatel provádět, jako je například instalace nových tiskáren nebo změna časového pásma v systému Windows. Další informace o úpravách funkcí zabezpečení v systému Windows Vista naleznete v průvodci Windows Vista Security Guide.
Další informace o nástroji Řízení uživatelských účtů naleznete v tématu s vysvětlením a informacemi o konfiguraci nástroje Řízení uživatelských účtů v systému Windows Vista.
Pete Bartolik je spisovatel žijící ve městě Hopkinton ve státě Massachusetts, který se specializuje na technologii.
