Koju1 Windows Vista ja TURVALISUS-II. osa
Kompuutri buutimine, Network Access Protection (NAP), Audit Policy, User Rights Assignment (kasutajale õiguste määramine) ja Security Options (turvaparameetrite) muudatused
Windows Vista arhitektuuris on tehtud väga suured muudatused ja seda just turvavaldkonnas. Sinu kompuutrit ja andmeid püütakse kaitsta nüüd mitmetasapinnalise kaitse abil.
Nüüd on välja ilmunud ka Windows Vista Service Pack 1 (SP1) ja Sa peaksid ta kindlasti alla laadima ning installeerima, SP1-st saad ülevaate siit!
Kompuutri startimise (buutimise) turvalisemaks ja paremaks tegemine:
Kasutades pre-operatsioonisüsteemi laadimiskeskkonda, muutis Windows Vista radikaalselt kompuutri käivitamise viisi. Sellega muudeti kompuutri laadimine turvalisemaks ja parandati ka buutimise keskkonda.
Windowsi varasemad versioonid kasutavad kahte faili, nimedega Ntldr ja Boot.ini, et buutida ennast operatsioonisüsteemi. Ntldr käsitseb opsüsteemi laadimise ülesandeid. Boot.ini failis on buutimise käivitaja ja opsüsteemi parameetrid, mis määravad buutimise jaotuse (partition'i) vastavalt kõvaketta kontrollerile, SCSI adapteri siinile, füüsilisele kettale ja füüsilisele jaotusele, mida tuleb kasutada. Sa võid ka ise neid andmeid seal boot.ini failis muuta, et seadistada operatsioonisüsteemi startimise viisi ja seda, et kuidas hakatakse kompuutri komponente ja tema vahendeid kasutama.
Windows Vista loob aga pre-operatsioonisüsteemi (st operatsioonisüsteemi eelse) buutimise keskkonna ja käivitab siis operatsioonisüsteemi hoopis sellest kekkonnast. Selline laadimise keskkond omab kahte võtmekomponenti: Windows Boot Manager'i ja erinevaid laadimisprogramme, mis jooksevad selles laadimiskeskkonnas. Windows Boot Manager on nagu mini-operatsioonisüsteem, mis kontrollib käivitamist ja lubab Sul valida, et millist laadimisprogrammi käivitada. Laadimisprogramme kasutatakse spetsiifilise operatsioonisüsteemi või operatsioonisüsteemi versiooni laadimiseks. Näiteks Windows Boot Loader programm laeb Windows Vista.
Windows Boot Loader on loodud töötamiseks Boot Configuration Data (BCD) salvestusega. BCD salvestuses olevad kirjed sisaldavad laadimise konfiguratsiooni parameetreid ja nad kontrollivad, et kuidas operatsioonisüsteem stardib.
BCD salvestust hoitakse failis, mida kutsutakse BCD registrifailiks ja ta asub aktiivse jaotuse \Boot\Bcd kaustas.
BIOS-baseeruvatel kompuutritel sisaldab BCD salvestus järgmisi kirjeid:
-
Üksainus Windows Boot Manager kirje.
-
Windows Boot Loader programmi kirje iga Windows Vista operatsioonisüsteemi kohta, mis on installeeritud kompuutrisse. Näiteks, kui Sul on installitud kaks erinevat Windows Vista versiooni erinevatesse jaotustesse (partitsioonidesse), siis näed Sa kahte Windows Boot Loader'i kirjet.
- Üksainus legacy operatsioonisüsteemi (eelmise operatsioonisüsteemi, vanema versiooni) kirje. Antud kirje kasutab Ntldr ja Boot.ini faile, et käivitada Windowsi eelmisi versioone, juhul kui nad on installeeritud kompuutrisse.
Alglaadimise/buutimise keskkonna (Boot Environment) modifitseerimine:
Sul peavad olema administraatori õigused, et muuta BCD-d. Sõltuvalt sellest, et mida Sa muuta soovid, pead Sa kasutama ühte järgmistest instrumentidest, et modifitseerida BCD kirjeid:
-
Startup And Recovery Startup And Recovery dialoogiaken lubab Sul käivitamiseks/buutimiseks valida vaikimisi operatsioonisüsteemi (esmase), juhul kui Sul on mitu opsüsteemi installitud oma kompuutrisse. Sa võid ka määrata time-out väärtuse operatsioonisüsteemi valimise loetelu jaoks ja taastamise (recovery) parameetrid. Et seda teha, klõpsa Start, siis klõpsa Control Panel. Control Paneli aknas klõpsa System And Maintenance kategooria lingile ja siis klõpsa System. System utiliidis klõpsa vasemas paanis Advanced system settings linglie ja siis ava Advanced vahekaart/lipik ning klõpsa nupule Settings, mis asub Startup and Recovery all.
-
System Configuration utility Süsteemi Konfiguratsiooni utiliit (Msconfig.exe) lubab Sul juhtida laadimise parameetreid. Et teda avada: Kliki Start, tipi otsimiskasti msconfig.exe ja vajuta Enter (või vajuta Windows Logo+R klahve, tipi msconfig ja klõpa OK).
Seejärel ava Boot sakk (tab) ja ka siin saad määrata samu asju, mida sai teha ka siin eelpool toodud Startup and Recovery dilaloogiaknas. Antud juhul on näha, et momendil on masinasse installeeritud kaks operatsioonisüsteemi: Windows Vista ja Windows 7. Kusjuures Windows Vista on pandud vaikimisi laetavaks opertasiooniks (Default OS) ja ta laetakse 7 sekundi mõõdudes, juhul kui kasutaja ei vali selle aja jooksul buutimiseks oma Windows 7 opsüsteemi (sekundid saab määrata "Timeout" tektsilahtris). (Märkus: Enamus kasutajatel on siin aknas siiski ainult üksainus opsüsteem, st nad ei ole endi komputritesse installeerinud mitut operatsioonisüsteemi.)
Sa võid siin all valida ka teisi parameetreid, näiteks seda et Sind laetakse kohe pärast restarti automaatselt Windowsi Kaitstud Režiimi (Safe Mode) jne - pilt.
System Configuration Utility laiendus:
Kui Sul on probleeme Windows'i käivitamisega või
kui Sa soovid proovida mõneti erinevat startup konfiguratsiooni, siis
saad Sa kasutada System Configuration Utility abi.
Et teda laadida, selleks vajuta Windows Logo+R klahve, tipi msconfig ja
klõpa OK. Allpool toon ära System Configuration Utility erinevused
võrreldes seda Windows XP antud vahendiga:
-
Lehel General ei ole enam nuppusid Launch System Restore ja Expand File...
-
Puuduvad lehed SYSTEM.INI ja WIN.INI.
-
On aga ilmunud uus väga vajalik ja tore Tools sakk/vahekaart (vaata allolevat pilti), mis loetleb 17 programmi ja tööriista, mida Sa võid käivitada, et lahendada käivitusprobleeme ja seada süsteemi konfiguratsiooni ning hankida vajalikku infot:
Märgista siin aknas vajalik vahend ja klõpsa seejärel nupule Launch.
Muudame kompuutri turvalisemaks:
Et suuta võidu joosta pidevalt muutuva turvaohuga, peab Windows opsüsteem ka ise arenema ja otsima uusi teid, et kompuutrit kaitsta. Windows Vistas võideldakse hädaohtudega mitmel tasapinnal ja on loodud täiesti uued turvavahendid, näiteks nagu Windows Service Hardening and Network Access Protection.
Network Access Protection (võrku ligipääsu kaitsmine):
Windows Vista Business versioon sisaldab ka Network Access Protection (NAP) vahendit, et kaitsta Sinu privaatset võrku ja klient-kompuutreid. NAP aitab kaitsta nii traadiga kui ka traadita (traadivaba) võrkusid ja samuti ka eemalt juurdepääsuga ühendusi (remote access connections).
Mis on Network Access Protection (NAP)?
Ta koosneb kolmest komponendist :
-
Network Access Protection Agent Ta on tarkvara komponent, mis lubab kliendil, mis jooksutab Wiondowsi opsüsteemi, osaleda NAP -i töös; ta töötab kui servis.
-
NAP Client Configuration Konfiguratsiooniinstrument.
- NAP Server Configuration Konfiguratsiooniinstrument, mida kasutatakse NAP-i juhtimiseks ja NAP policy defineerimiseks.
Network Access Protection Agent edastab kliendikompuutri seisukorra (sh ka selle, et kas kliendil on uusimad turvavärskendused ja viirusesignatuurid alla laetud) serverile, mida kutsutakse Health Registration Authority'iks. Turvamehhanism, mille kaudu kliendikompuuter peab ühendust Health Registration Authority serveriga, on kofigureeritud Request Policy'is.
Sa saad ligi NAP Client Configuration instrumendile nii:
-
Start- Control Panel.
-
Control Panel'is klõpsa System And Maintenance ja siis klõpsa Administrative Tools.
- Tee 2x klõps NAP Client Configuration'il.
Audit Policy muudatused:
Audit Policy on poliitika, mida kasutatakse info kogumiseks, mis puudutab ressursse ja kasutamise privileege. Tema abil saame konfigureerida kompuutrisse sisselogimisi, et jälgida tähtsaid turvasündmusi, näiteks seda, et millal kasutaja sisse logis või muutis oma konto seadistusi.
Märkus: Windows Vista Home ja Windows Vista Home Premium versioonid ei toeta Domain Join and Group Policy'it ja seega ei ole alltoodud vajalik secpol.msc käsk neile kättesaadav.
Audit Policy avamine:
-
Start - All Programs - Accessories ja siis klõpsa Run.
-
Tipi secpol.msc ja klõpsa OK.
-
Ava vasemas paanis Local Polices haru ja siis klõpsa Audit Policy:
Alltoodud tabelis toon ära Audit Policy konfiguratsiooni, mida kasutatakse Windows XP's ja Windows Vista's. Nagu näha, ei ole audit Windows XP's vaikimisi lubatud. Aga Windows Vistas jälgitakse õnnestunud sisselogimi igat tüüpi kasutajakontode puhul:
| Policy (Poliitika) |
Vaikimisi turvaseadistused Windows XP-s |
Vaikimisi turvaseadistused Windows Vistas |
|---|---|---|
Audit Account Logon Events |
No auditing |
Success |
Audit Account Management |
No auditing |
No auditing |
Audit Directory Service Access |
No auditing |
No auditing |
Audit Logon Events |
No auditing |
Success |
Audit Object Access |
No auditing |
No auditing |
Audit Policy Change |
No auditing |
No auditing |
Audit Privilege Use |
No auditing |
No auditing |
Audit Process Tracking |
No auditing |
No auditing |
Audit System Events |
No auditing |
No auditing |
User Rights Assignment muudatused:
User Rights Assignment (Kasutajale õiguste määramine)—need määravad, et mida kasutaja või grupp võib teha. Et teda avada, tee:
-
Start - All Programs - Accessories ja siis klõpsa Run.
-
Tipi secpol.msc ja klõpsa OK.
-
Ava vasemas paanis Local Polices haru ja siis klõpsa User Rights Assignment:
Muudatused: Siin on tehtud palju muudatusi ja seda just seoses uue vahendi User Account Control (UAC) kasutuselevõtuga. Näiteks ei kasutata Windows Vistas enam Power Users gruppi , mis on oma aja ära elanud ja ta on jäetud alles ainult Windowsi eelmiste versioonide jaoks. Seega ei oma ta siin enam kasutajaõigusi.
Windows Vistas on kasutajale antud mitu uut õigust:
-
Access Credential Manager As A Trusted Caller Lubab kasutajal või grupil seada sisse usaldusväärne ühendus Credential Manager'iga. Credential Manager juhib kasutajate mandaate/tõendeid. Credential (mandaat/tõend) on kogu informatsioon, mida on vaja sisselogimiseks mingisse saiti või serverisse. Näiteks on kasutaja mandaatideks kasutajanimi, parool, smart card ja sertifikaadid.
-
Allow Log On Locally Lubab kasutajal või grupil logida sisse klaviatuurilt.
- Change The Time Zone Lubatakse ajatsooni muuta.
Security Options (turvaparameetrite) muudatused:
Security Options—need kas lubavad või siis lülitavad välja kompuutri turvaparameetrid (st turvaelemendid):
-
Start - All Programs - Accessories ja siis klõpsa Run.
-
Tipi secpol.msc ja klõpsa OK.
-
Ava vasemas paanis Local Polices haru ja siis klõpsa Security Options harul:
Võrreldes Windows XP-ga, tehti Windows Vistas järgmised olulisemad muudatused:
-
Remote registry access Windows XP-s olid mitu registriteed, millele sai vaikimisi eemalt ligi, nüüd see keelati. Täiendavalt on Windows Vistas veel uus turvaparameeter juurdepääsu juhtimiseks registri alamharudesse.
-
Anonymous access to named pipes and shares
-
Sharing and security model for local accounts
-
Storing LAN Manager hash values
- LAN Manager authentication
Mine lehele Andmete kaitsmine >
< Tagasi Windows Vista esilehele ja sisukorda
