Windows 7 turvalisus - III. osa
Seadista UAC (User Account Control) vahendit ja ära lülita teda välja:
User Account Control (UAC)—see kasutajakontode kontrollimise mehhanism on loodud ikka selle Internetist tuleva ohuga võitlemiseks. Kõige tuntum funktsioon Vista kasutajatele on nähtavasti see paljukirutud User Account Control (UAC). Nüüdseks on see asi aga üha vähem ja vähem tüütama hakanud—ka Vistas (kisa rohkem kui vaja). Wnidows Vistas oli võrreldes Windowsi eelmiste versioonidega kasutajakontode kasutamise ja konfigureerimise viisi tunduvalt muudetud. Administraatori õigusi on vaja vähem kasutada ja palju hoolikamalt tuleb defineerida standard kasutaja ja administraatori reźiime—seesama asi kehtib edasi ka Windows 7 puhul.
Üldiselt on Win 7 UAC funktsionaalsus ja töö sama, mis ta oli ka Windows Vista's välja arvatud see et paljud kasutaja tegevused ei põhjusta enam UAC hoiatusakende ilmumist ja kasutajad saavad nüüd ka ise konfigureerida UAC mehhanismi käitumist.
Ja UAC vihkajate meelehärmiks peab nentima, et tänu sellele UAC mehhanismile ja muudele turvavahenditele on tunduvalt vähenenud arvutite pahavarasse nakatumised (isegi kuni 60 %) võrreldes seda Windows XP Service Pack 2-ga, kus ei ole UAC funktsiooni.
Seega on see UAC tagasi ka Windows 7 opsüsteemis, aga seda palju kasutajasõbralikumal kujul ja see on:
- Neid UAC aknaid ilmub nüüd tunduvalt vähem ja nad ei käi enam nii närvidele nagu see oli Windows Vista puhul. Näiteks kui Windows Vistas põhjustas UAC hoiatusakende väljakargamise umbes 17 kasutaja poolt käivitatud tegevust (programmide installeerimine/deinstalleerimine, seadmete draiverite installeerimine/uninstallimine, ActiveX juhtelementide install, värskenduste install, Windows Firewall'i seadistuste muutmine, UAC seadistuste muutmine, Windows Update'i konfigureerimine jne), siis Windows 7-s põhjustab UAC hoiatusakende ilmumise ainult ligikaudu 5 kasutaja tegevust: programmide Administraatori õigustega käivitamine, programmide installeerimine, seadmete draiverite installeerimine/deinstalleerimine, ActiveX juhtelementide installeerimine ja UAC seadistuste muutmine.
- UAC vahendi konfigureerimiseks loodi väga lihtne kasutajaliides, kus kasutaja võib lihtsa liuguri abil määrata nende UAC hoiatuste ilmumise hulga. Sa võid väga lihtsalt ka selle UAC täielikult ära keelata (ilma igasuguste "ümbernurga askeldamisteta" nagu seda Vistas tuli teha) - Sa võid nüüd täiesti vabalt selle rumala otsuse teha...
Windows 7 (Seven) UAC üks hoiatusakendest:
Loe UAC vahendist ja tema seadistamisest edasi - sealt. |
Uuendused ja täiendused, mis on tehtud Windows 7 turvalisuse tõstmiseks:
Kahtlemata on Windows 7 kõige turvalisem Windows'i operatsioonisüsteem ja temasse on jäetud alles ka juba Vistas olnud turvaelemendid ning osasid neist on tublisti täiendatud.
Vaatame neid täiendatud ja uusi turvavahendeid siis ka lähemalt.
1) Mitu tulemüüri poliitikat (Active Firewall Policies):
Windows Vistas baseerub tulemüüri poliitika juba võrguühenduse saanud "võrgu tüübile" näiteks nagu Home, Work, Public või Domain võrgu tüüp. See ei ole aga hea turvalisuse suhtes, sest juba aktiveeritud võrgu tüübi poliitika ja tulemüüri seadistused kehtestatakse kõikide võrgu tüüpide jaoks.
Näiteks kui kasutaja ühendas end Internetiga "Public" võrguühenduse kaudu, siis rakendatakse kompuutrile tema tulemüüri poliitika (seadistused ja reeglid). Kui aga kasutaja tahab nüüd lülitada end näiteks VPN võrku, siis ei saa ta antud turvalise võrguühenduse seadeid (poliitikat) rakendada, sest esimese võrgu tüübi (ja tema tulemüüri seaded) on juba eelnevalt paika pandud -neid ei saa muuta.
Seega Sa said Windows Vistas ühekorraga aktiveerida ainult ühe võrgu tüübi profiili ja seda isegi siis kui Sul olid olemas profiilid mõlemate nii 'public' kui ka 'private' võrgu tüüpide jaoks. Sel juhul rakendati kõikide võrguühenduste jaoks kõige suurema reeglitehulgaga profiili, mis tähendas näiteks seda et Sa ei saanud midagi teha oma lokaalses (privaatses) võrgus sest Sa olid sunnitud kasutama avaliku (public) võrgu jaoks kehtestatud reegleid (rules).
Kuid Windows 7 ja ka Server 2008 R2 puhul saab iga võrgu tüübi jaoks aktiveerida erinevaid eraldi võrguprofiile (mitut tulemüüri poliitikat).
Windows 7 tulemüürist oli juttu seal. |
2) DirectAccess:
Olles reisil (Põhjapoolusel) või töötades kodus (koopas), siis on mõnikord vaja saada ligi ka oma töökoha võrku (Intranetti). Nüüd on tänu DirectAccess vahendile seda palju lihtsam teha, sest DirectAccess töötab automaatselt ja ta loob stabiilse kahepoolse ühenduse kliendikompuutri ja töökoha võrgu vahel - Sa ei pea enam käsitsi looma VPN tunnelit.
Peale selle on DirectAccess'i abil loodud ühendus turvalisem ja mitmel moel seadistatav.
3) BitLocker ja BitLocker To Go (neid saab kasutada ainult Windows 7 Ultimate ja Win 7 Enterprise versioonidega):
Nii Windows XP, Windows Vista kui ka Win 7 sisaldavad nn Encrypting File System (EFS)-i, et tema abil krüptida (krüpteerida - "salastada") failisid ja kaustasid. EFS abil saab kaitsta oma sensitiivseid faile nii et neile võib ligi saada ainult avaliku võtme infrastruktuuri ((public key infrastructure(PKI)) sertifikaadi abil. Krüptitud (krüpteeritud) sertifikaate hoitakse Sinu kasutaja profiilis. Ja kui Sa saad juurdepääsu oma profiilile ja temas asuvale krüptimisvõtmele, siis saad Sa ligi ka oma krüptitud failidele.
Kuigi EFS pakub suurepärast võimalust Sinu andmete kaitsmiseks, ei ole ta siiski nii turvaline. Kui Sa kaotad või kui keegi varastab Sinu arvuti või kui häkker logib end Interneti kaudu sisse sinu kompuutrisse, siis saadakse ligi ka Sinu andmetele, sest autoriseerimata kasutaja võib saada juurdepääsu Sinu kompuutrisse enne kui arvuti stardib. Ta võib Sinu kompuutrisse sisse saada CD plaadil oleva teise operatsioonisüsteemi abil ja muuta Sinu arvuti konfiguratsiooni.
Trusted Platform Module (TPM):
Et kaitsta kompuutrit füüsilise rünnaku eest ja lisada temale täiendav kaitsekiht, selleks lisati Vistasse ja Windows 7'sse nn Trusted Platform Module Services (TPM) arhitektuur. Tema abil võid Sa luua laiendatud turvameetmetega platvormi, mille sees on Sinu kompuutri andmed kaitstud isegi siis kui süsteem on offline's.
Trusted Platform Module Services kaitseb kompuutrit erilise riistvara komponendi abil, mille nimeks on TPM.
TPM on mikrokiip, mis on tavaliselt installitud kompuutri emaplaadile, kus ta peab riistvara siini kaudu ühendust terve süsteemiga.
TPM võib luua krüptograafilisi võtmeid ja siis need krüptida (krüpteerida) nii et ainult tema ise saab neid dekrüptida (dekrüpteerida). Selleks kasutab TPM oma peavõtit, mille nimeks on Storage Root Key (SRK) ja mis asub TPM enese sees.
Uuemates kompuutrites on see TPM juba olemas ja kompuuter, mis omab seda TPM'i, võib luua võtme, mis on kinnises "kastis" ja kast on omakorda kinni pitseeritud. Selle võtme pitseerimise protsess veendub selles, et antud võti on seotud spetsiifilise platvormi parameetritega (st meie kompuutri teatud kindlate parameetritega teatud kindlal ajahetkel) ja seda võtit saab ainult siis lahti pitseerida kui selle platvormi parameetrite väärtused langevad ühte selles võtmes olevate parameetrite väärtustega siis kui see krüptitud võti loodi.
TPM võib pitseerida ja siis jälle lahti pitseerida ka endast väljaspool genereerituid andmeid. Windows Vistas ja Win 7-s saab TPM-ile ligi ja teda ksutada vahendiga, mida kutsutakse BitLocker Drive Encryption'iks. See tehnoloogia on sisse lülitatud ainult Vista Enterprise ja Vista Ultimate versioonidesse!
Kui Sa kasutad BitLocker Drive Encryption'i ja TPM'i abi Boot Manager'i ja buutimisfailide kinnipitseerimiseks, siis saab neid lahti pitseerida ainult siis kui neid ei ole muudetud sellest ajast kui nad viimati pitseeriti.
See tähendab, et Sa võid kasutada TPM'i kompuutri buutimisfailide (alglaadimise ehk käivitamisfailide) kehtivuse kindlakstegemiseks juba pre-operatsioonisüsteemi keskkonnas. Kui Sa pitseerid kinni oma kõvaketta, siis saab teda lahti pitseerida ainult siis, kui kõvaketta andmeid ei ole muudetud sellest ajast kui ta viimati kinni pitseeeriti. Ja kui neid oli muudetud, siis tuleb sisestada oma taastamisvõti või parool, et saada ligi oma kõvakettale.
Seega kaitseb BitLocker Sinu andmeid isegi siis kui ründaja võib mõõda hiilida operatsioonisüsteemi kaitsemehhanismidest ja minna otse Sinu andmeteni. Teise sõnaga, BitLocker võib kaitsta Sinu kompuutrit siis kui ründaja omab füüsilist juurdepääsu Sinu andmetele. See on eriti tähtis ärireisijatele läptopi kaotamise korral.
Kuid on ka miinused: 1) Sa ei tohi kaotada oma krüptimisvõtit, sest ilma temata ei saa Sa oma kompuutrit käivitada; 2) Komputri taastamine/parandamine on palju keerulisem kui BitLocker on sisse lülitatud, sest enne taastamist tuleb Sul oma kõvaketas lahti pitseerida, aga seda saad Sa teha ainult omaenese kompuutris. Näiteks kui Sa eelnevalt ei kasutanud BitLockerit ja Sul ei õnnestu käivitada oma kompuutrit, siis võid Sa viia oma kõvaketta teisle kompuutrile, siis andmed sealt üle kopeerida ja seejärel taastada; 3) BitLocker kaitseb Sinu kompuutrit ainult siis kui ta on offline'is. Ta ei kaitse kompuutrit Internetist tuleva ründe vastu.
Seega võiks seda BitLockerit kasutada ainult ärireisidel läpakate puhul ja äriettevõtte keskkonnas.
Et kasutada Trusted Platform Module Services (TPM) arhitektuuri, peab Windows Vista kompuuter olema varustatud temaga ühilduva TPM'i ja BIOS'ga (sealjuures peab TPM olema BIOS-is ka sisse lülitatud - tuleb üle kontrollida).
Windows Vista toetab TPM versiooni 1.2 ja nõuab Trusted Computing Group (TCG)–ühilduvat BIOS'i. Selline BIOS toetab Static Root of Trust Measurement spetsifikatsiooni, sellest võid lugeda siit: http://www.trustedcomputinggroup.org.
| TPM'i saab juhtida Trusted Platform Module Management konsooli abil - juhis seal (Seal on juttu nii Vista kui ka Win 7 süsteemist). |
Mida tähendab BitLocker Drive Encryption:
BitLocker Drive Encryption'it saab kasutada "pahade" vastu, kellel on füüsiline ligipääs Sinu kompuutrile ja kes soovivad sealt andmeid varastada. Sest ründaja võib kompuutri käivitada stardidisketilt ja siis tühistada adminparooli ning saada kompuutri "varad" endale... Või ta võib ligi saada ka otse kõvakettale kasutades selleks CD plaadil olevat erinevat operatsioonisüsteemi.
Iga kord kui kopuuter käivitatakse, kontrollib Windows boot faile, operatsioonisüsteemi faile ja kõiki krüptitud (krüpteerituid) kõvakettaid, et tuvastada kas neid ei ole modifitseeritud siis kui kompuuter oli offline-is. Kui faile oli modifitseeritud, siis hoiatab Windows Vista (Win 7) kasutajat ja ei luba teda Windowsisse. Seejärel läheb kompuuter üle taastamisreźiimi ja palub sisestada kasutajal taastamisvõtme enne kui tal lubatakse juurdepääs laadimiskettale.
| BitLocker Drive Encryption'it võib kasutada nii TPM kui ka mitte-TPM (non-TPM) kompuutritega - juhis seal (Seal on juttu nii Vista kui ka Win 7 süsteemist) |
BitLocker To Go (tavakasutaja jaoks oluline):
Kuid Windows 7 on seda BitLocker Drive Encryption tuge laiendanud ja nüüd saab teda kasutada ka eemaldatava meedia jaoks (näiteks USB mälupulgad ja välised USB kõvakettad) ning see tähendab seda et kasutaja saab nüüd hoida oma sensitiivseid faile ka eemaldataval meedial.
Seda laiendatud funktsiooni kutsutakse BitLocker To Go tehnoloogiaks ja nagu BitLocker'it ennastki saab seda tehnikat kasutada ainult Windows 7 Ultimate ja Win 7 Enterprise versioonidega. Selline piirang kehtib ainult seoses selle kaitse eemaldatavale meediale kehtestamisega (lubamisega), aga pärast BitLocker To Go eemaldatavale meediale lisamist saab neid seadmeid kasutada iga Windows 7 versiooniga ja ka Windows Vista kui ka Windows XP puhul. See tähendab seda et kui ma olin näiteks oma USB mälupulga andmed Windows 7 Ultimate opsüsteemis BitLocker To Go abil krüptinud, siis saan ma oma krüpteeritud usb pulka avada ka eelpoolnimetatud operatsioonisüsteemides ja ainsaks piiranguks on see et ma ei saa seal oma mälupulka andmeid (faile) juurde lisada - faile saab USB pulgalt kopeerida kõvakettale ja seejärel neid käivitada või avada.
Windows 7-s on seda BitLocker To Go vahendit väga lihtne kasutada, Sa ei vaja selleks mingit eraldi instrumenti - teed oma eemaldataval kettaseadmel paremklõpsu ja valid käsu Turn on BitLOcker ning lood parooli ja kogu lugu... Sa ei pea looma ka mingit lisapartitsiooni vaid Win 7 loob ise ühe varjatud partitsiooni ja BitLocker To Go toetab nii FAT (FAT32, exFAT jne) kui ka NTFS failisüsteeme.
BitLocker To Go sisselülitamine (installimine) ja välise meedia sisu krüptimine:
Kasutame antud näites oma USB mälupulka ja me võime BitLocker To Go funktsiooni käivitada mitmel moel:
a) Esimene moodus: Ava Computer aken ja tee oma USB mälupulga draivil paremklõps ning vali käsk Turn on BitLocker... - kliki pisipiltidele, et neid suurendada:
Seejärel ilmub järgmine aken, kus pane linnuke ruutu "Use a password to unlock the drive", loo sobiv parool ja kliki Next:
Märkus: Sinu parool peab sisaldama suuri ja väikseid tähti ning numbreid (lisaks võivad olla ka sümbolid ja tühiklahvid). Juhul kui Sa loosid mittesobiva parooli, siis ilmub veateate aken ja Sa pead oma parooli uuesti tippima. Selle parooli pead Sa sisestama mõlemasse kasti - pilt.
b) Teine moodus: Kliki nupule Start, tipi Search otsingukasti sõna BitLocker ja kliki üleval otsingutulemustes BitLocker Drive Encryption lingile - kliki pisipildile, et teda suurendada:
Seejärel ilmub aken, kus keri allapoole ja otsi üles oma USB pulga kettatähis ning kliki seal lingile Turn On BitLocker. Seejärel ilmub seesama parooli loomise aken, mille pildi tõin juba eelpool ära (üle-eelmine pilt).
Kui Sa said oma parooli loodud ja klikkinud nupule Next, siis ilmub aken kus Sa pead selle taastamisvõtme salvestama kas oma kõvakettale ja seejärel ta välja printima või siis kohe ta välja printima. Seda tuleb seepärast teha, et juhul kui Sa hiljem unustad selle äsjaloodud parooli, siis Sa saad taastamisvõtme abil ikkagi avada oma USB mälupulga.
Ära seda taastamisvõtit (recovery key) salvesta USB mälupulka. Sa võid ta salvestada otse oma töölauale ja siis ta välja printida ning seejärel panna see tekstifail kusagile kausta või siis ära kustutada.
(Kui Sa krüpteerid aga oma kõvaketast või välist kõvaketast, siis ära salvesta seda taastamisvõtit samale kõvakettale, mida Sa krüpteerid.) - pilt.
See taastamisvõtme fail on umbes sellise nimega "BitLocker Recovery Key F42DA24D-D1F7-467C-8911-FCC28AF95FB6.txt" ja tema sisu näeb välja selline:
"BitLocker Drive Encryption Recovery Key The recovery key is used to recover the data on a BitLocker protected drive.
To verify that this is the correct recovery key compare the identification with what is presented on the recovery screen.
Recovery key identification: F42DA24D-D1F7-46
Full recovery key identification: F42DA24D-D1F7-467C-8911-FCC28AF95FB6
BitLocker Recovery Key (Parooli unustamise korral tuleb kasutada seda alumist võtit):
486816-509993-207966-390093-496738-406439-389620-637846"
Kui Sa olid oma taastamisvõtme salvestamisega või printimisega ühele poole saanud, siis muutub see Next nupp ligipääsetavaks (eelmine pilt) ja kliki sellele ning uues aknas klõpsa nupule Start Encrypting - kliki pisipildile, et teda suurendada:
Seejärel algabki Sinu USB mälupulga krüptimine ja see võib võtta natuke aega olenevalt sellest et kui palju Sinu pulgas neid faile on - pilt.
Kui krüptimine lõppes, siis kliki nupile Close ja kogu lugu. Sinu krüptitud eemaldatavat meediat hakatakse nüüd tähistama alloleval pildil toodud "luku" tähisega, kusjuures kuldset värvi lukk näitab seda et usb pulk on lahti lukustamata ja ligipääsmatu, aga halli värvi lukk näitab, et väline meedia on lahti lukustatud:
Krüptitud eemaldatava meedia kasutamine (antud juhul siis USB mälupulga):
Järgmine kord kui Sa torkad oma krüptitud sisuga USB mälupulga pessa, siis ilmub aken, mis palub Sul sisestada oma parool, et antud mälupulka lahti lukustada (unlock). Tipi parool ja pane soovi korral vastavatesse ruutudesse "linnukesed" ning kliki nupule Unlock ja Sa võid oma usb pulka kasutama hakata - pilt.
Märkus: Juhul kui seda eelmist akent ei ilmu, siis ava Computer aken, tee oma USB draivil paremklõps ja vali käsk Unlock Drive... - pilt.
Kui Sa avad nüüd Control Panel'i aknas BitLocker Drive Encryption vahendi (Kliki nupule Start, tipi Search otsingukasti sõna BitLocker ja kliki üleval otsingutulemustes BitLocker Drive Encryption lingile), siis Sa võid:
* Selle BitLocker vahendi välja lülitada (tühistada) ja oma välise meedia sisu jälle dekrüptida (dekrüpteerida) - kliki allosas lingile Turn Off BitLocker;
* Muuta oma olemasoleva välise meedia BitLocker'i seadistusi (muuta parooli jne) - kliki allosas lingile Manage BitLocker:
All on BitLocker'i konfigureerimise aken (avati käsuga "Manage BitLocker") - pilt.
Kui Sa klikkisid seal üle-eelmises aknas lingile "Turn Off BitLocker", siis ilmub aga järgmine aken:
Windows Vistas ja Win XP-s krüptitud (krüpteeritud) välise meedia kasutamine:
Nagu eelpool sai juba mainitud, siis saab Win 7 Ultimate versioonis krüpteeritud välist meediat avada ka Windows 7 muudes versioonides ja isegi ka Vistas ning XP-s.
Alumine pilt näitab Windows Vista avatud Computer akent, kus on näha ka seesama krüpteeritud ja veel lahtilukustamata USB mälupulk:
Tee temal nüüd 2x hiireklõps ja avatakse tema sisu mis on veel aga lahti lukustamata. Otsi seal ülesse selline fail nagu BitLockerToGo.exe ja tee ka temal 2x klõps:
Seejärel sisesta uues aknas parool ja kliki nupule Unlock - pilt.
Ja avataksegi Sinu välise meedia sisu (antud juhul siis USB pulga sisu) - kliki pisipildile, et teda suurendada:
Win 7 muudes versioonides (peale Win 7 Ultimate), Visas ja XP-s on see piirang, et Sa saad neid krüptitud faile küll vaadata ja kasutada, aga Sa ei saa oma välisele meediale lisada uusi faile juurde. Samuti ei saa Sa siin BitLocker To Go vahendit ka konfigureerida (nt parooli muuta jne...).
Et nüüd mingit faili avada või käivitada, lohista ta sealt vaateaknast (ülemine pilt) oma Vista töölauale ja tegutse... - sellega Sa kopeerisid tolle faili ja originaalfail jääb USB mälupulka alles.
Kuidas lülitada BitLocker vahendit sisse siis kui Sul on 'dual-boot' süsteem?
Kui Sul on dualboot süsteem kus ühte partitsiooni on installitud Vista (volume C:) ja teise partitsiooni Windows 7 ning kui Sa tahad BitLocker vahendit kasutada mõlema jaoks, siis tee järgmist:
a) Kui Sul on näiteks C: partitsiooni (C: draivi) installitud Windows Vista, siis logi ennast sinna sisse ja tee oma süsteemist igaks juhuks reservkoopia ning veendu, et Sul oleksid kõik viimased värskendused (windows updates) alla laetud.
b) Kliki nupule Start, siis Control Panel, seejärel Security ja lõpuks BitLocker Drive Encryption.
c) Nüüd kliki järjest iga ketta järel tulevale Turn On BitLocker lingile ja seejärel käivitatakse BitLocker setup protsess.
d) Kui kõikide Sinu poolt valitud draivide krüptimine on valmis, siis kliki jälle Start -> Control Panel -> Security -> BitLocker Drive Encryption ja seejärel kliki selle draivi, millesse on installitud Windows Vista, järel asuvale Turn Off BitLocker lingile - antud näite kohaselt klikime siis C: järel asuvale Turn Off BitLocker lingile.
e) Ilmub dialoogiaken, kus klikime Disable BitLocker.
f) Nüüd teeme restardi, logime end Windows 7-sse ja klikime Start -> Control Panel -> System and Security ja seejärel BitLocker Drive Encryption.
g) Klikime selle draivi, millesse on installitud Windows 7, järel asuvale Turn On BitLocker lingile ja seejärel käivitatakse BitLocker setup protsess.
h) Pärast seda kui antud draivi krüptimine on lõppenud, kliki jälle Start -> Control Panel -> System and Security -> BitLocker Drive Encryption.
i) Kliki selle draivi, kuhu on installitud Windows Vista, juures asuvale Manage BitLocker lingile ja seejärel kliki Automatically unlock on this computer.
Korda seda ka muude draivide jaoks.
j) Tee restart ja lae ennast nüüd tagasi Vistasse ning kliki Start -> Control Panel -> Security -> BitLocker Drive Encryption.
k) Kliki selle draivi, millesse on installitud Windows Vista (antud näites siis C:), järel asuvale Turn On BitLocker lingile.
Nüüd kui kõik on valmis, siis on Sul järgmised võimalused:
- Kui Sa asud Windows 7-s, siis saad Sa ligi igale krüptitud andmedraivile ja ka sellele draivile, kuhu on installitud Windows Vista.
- Kui Sa asud aga Windows Vistas, siis saad Sa ligi igale krüptitud andmedraivile, aga Sa ei saa ligi sellele draivile, kuhu on installitud Windows 7.
4) AppLocker (saab kasutada ainult Windows 7 Ultimate ja Windows 7 Enterprise versioonides):
Meie andmed võivad minna kaotsi ka igasuguse pahavara ja kuritahtlike programmide tõttu. Varem sai mingit kompuutrit kaitsta rohkem sel teel, et tema kasutajatele omistati ilma administraatori õigusteta kasutajakontod. Kuid tänapäeval on ka sellest vähe abi, sest töötajad toovad oma tarkvara kodust kaasa (kasvõi USB mälupulkadega) või laevad need siis Internetist alla (tahtlikult või tahtmata) ja nad "hangivad" uusi programme ka emailide kaudu. Paljud sellistest programmidest ei vaja installimiseks või käivitamiseks administraatori õigusi.
Ja tulemuseks on süsteemi pahavaraga nakatumine ja igasugused muud probleemid.
Windows 7 omab nüüd uut programmide üle kontrollimise mehhanismi - AppLocker'i, mis annab IT administraatoritele programmide üle parema kontrolli ja aitab neil pahavara ning mittevajalikke programme elimineerida. AppLocker'i saab konfigureerida Group Policy kaudu ja ta lubab:
- Keelata mittelitsentseeritud ja ebaturvalise tarkvara jooksutamise.
- Paremini juhtida ja hooldada töölaua tarkvara.
- AppLocker lubab kasutajatel installeerida ja käivitada neid programme, mida on vaja organisatsiooni tööks.
- jne...
5) Action Center:
Action Center ei ole iseenesest just turvavahend, aga ta pakub tsentraliseeritud teavitamissüsteemi, mis on suures osas seotud ka turvalisusega. Ta asendab juba Win XP aegadest pärit Security Center'i ja nüüd on neid tüütuid teatemullikesi ka märksa vähem ning nende ilmumist võib väga lihtsalt ka konfigureerida.
Uus Action Center annab teateid 10-st olemasolevast Windows'i vahendist:
- Security Center
- Problem, Reports and Solutions
- Windows Defender
- Windows Update
- Diagnostics
- Network Access Protection
- Network Access Protection
- Recovery
- User Account Control
Action Center'ist on ülevaade ja juhis - seal. |
6) Parental Controls (Lapsevanemate järelevalve):
Ka Parental Controls funktsionaalsust on Windows 7-s täiendatud ja nüüd võid Sa kehtestada programmide ja mängude jooksutamiseks ajalimiidi kõikide standard kasutajakontode jaoks. Kuid Vistas olnud aktiivsuse aruande ja veebi filtreerimise funktsioon on ära kaotatud.
Kuid pakkuda on ka Microsoft'i tasuta Windows Live Family Safety (Vanemlik järelevalve), mis on Windows Live Essentials (Windows Live) üheks osaks. Windows Live Family Safety sisaldab ka veebifiltreerimist (piiramist), kasutamisaktiivsuse aruannet ja kontaktide juhtimist.
NB! Parental Controls (Lapsevanemate järelvalve) ja Windows Live Family Safety (Vanemlik järelevalve) vahenditest saad ülevaate - siit.
7) Internet Explorer 8 turvavahedid:
Internet Explorer 8 (IE 8) on varustatud mitmete üsna huvitavate uute funktsioonidega ja ta on nüüd ka märksa turvalisem ning see ei ole mingi ülepakkumine. Näiteks sisaldab ta nüüd InPrivate režiimi, täiustatud ActiveX piiranguid jne. Ka uus SmartScreen Filter kaitseb kasutajat võltsveebsaitide eest, mis tahavad salaja "juurutada" Sinu süsteemi igasugust pahavara.
NB! Kuigi paljud on hakanud kasutama ainult populaarset Firefox brauserit, mida on tõesti mugavam kasutada just tema Add-ons võimaluste poolest ja ka mõnes muus suhtes, tuleb märkida seda et ta on märksa vähem turvalisem kui seda on Internet Explorer 8 - räägitagu mis tahes...
Seega ma ei soovitaks seda IE brauserit kohe välja lülitada vaid kasutada teda vähem turvalistes saitides kolamiseks.
Praegu ongi kõige turvalisem brauser justnimelt Internet Explorer 8 (veel turvalisem on ainult Opera, aga temal on muud puudused) ja mida populaarsemaks see Mozilla Firefox muutub, seda rohkem ka teda murjamite poolt ründama hakatakse.
Internet Explorer 8 (IE 8) tutvustus ja juhised - seal (Sisukord ja algus) |
8) Microsoft Security Essentials:
Nüüd on lõpuks ka Microsoft'il omaenda tasuta ja üsnagi hea anti-viirusprogramm ja selleks on Microsoft Security Essentials (MSE).
Ta sobib nii Windows XP, Windows Vista kui Windows 7 operatsioonisüsteemidele (32-bit ja 64-bit versioonidele) ning ta asendab endist Windows Live OneCare anti-viirusprogrammi, mis ei jõudnudki välja ilmuda...
Microsoft Security Essentials antiviirusprogrammi endiseks koodinimeks oli Morro ja ta pakub ka reaalajas kaitset ning nüüd on ilmunud välja ka tema lõppversioon (finaalversioon).
Microsoft Security Essentials antiviirusprogramm jookseb taustarežiimis ja teostab reaalajas viiruste, spioonivara ja muu pahavara skaneerimist - seega ta ei ole ainuüksi antiviirusprogramm. Ta toetab automaatset viiruste definitsioonide uuendamist (Windows Update või Microsoft Update kaudu) ja see on ka vaikimisi sisse lülitatud.
Loe Microsoft Security Essentials (MSE) programmist juhiseid - sealt. |
Lisaks ka AutoPlay funktsiooni muudatustest:
Microsoft muutis Windows 7-s ka AutoPlay funktsiooni ja seda eelkõige turvalisuse tõstmiseks. Nimelt üha rohkem pahavara (nn Conficker worm) tungib süsteemi just AutoRun vahendi kaudu ja seda tänu just USB seadmete (nt usb mälupulkade) üha laiemale kasutamisele. Kui kasutaja ühendas oma USB mälupulga arvutiga, siis ilmus Windows'i eelmistes versioonides alltoodud dialoogiaken, mille nimeks on AutoPlay. Ja kui kasutaja valis seal aknas ülemise (esimese) parameetri, siis oli see oht, et ta võis installida oma kompuutrisse ka pahavara juhul kui tema usb pulk seda sisaldas (näiteks võis ta pahavara tuua kaasa mingist teisest kompuutrist).
Kui ta valis aga seal AutoPlay aknas teise alumise parameetri (sama nimega), siis seda ohtu ei olnud.
Ja seega otsustas Microsoft seda autoplay funktsiooni ("Install or run program") Windows 7-s muuta ja nüüd ei kuvata enam seda automaatse käivitamise parameetrit selles AutoPlay dialoogiaknas.
See funktsioon jäeti alles ainult optilise meedia (CD/DVD plaadid) jaoks.
Kui kasutaja ühendab nüüd oma USB seadme arvutiga, siis ei kuvata enam seda teadet, mis lasi tal installida programmi, mida tema usb seade sisaldas. Nüüd peab ta selle programmi installima käsitsi, st ta peab klikkima "Open folder to view the files", otsima programmi Setup faili ülesse ja selle siis 2x klõpsuga käivitama.
Märkus: Nüüd on see vahend Windows Update kaudu kättesaadav ka Windows XP ja Vista kasutajatele.
Edasi Windows 7 turvalisu IV. ossa >
< Tagasi Windows 7 pealehele ja sisukorda
Saada ka enda tuttavale lugemiseks!
