- •Гальчевский ю.Л., Щелконогов о.А. Методические указания
- •Часть 2
- •Введение
- •Аудит доступа к ресурсам.
- •Объём работы:
- •Теоретические сведения. Аудит: обзор
- •Аудит событий.
- •Параметры аудита для объектов.
- •Выбор объектов для применения элементов аудита
- •Влияние наследования на аудит файлов и папок
- •Просмотр журнала событий.
- •Порядок выполнения работы.
- •1. Аудит событий.
- •2. Настройка, просмотр, изменение и отмена аудита файла или папки
- •Задание на лабораторную работу.
- •Контрольные вопросы:
- •Локальная политика безопасности
- •2. Преимущества групповой политики.
- •3. Объекты групповой политики. Оснастка Групповая политика
- •Узел Конфигурация компьютера
- •Узел Конфигурация пользователя
- •Расширения оснастки Групповая политика
- •Административные шаблоны
- •Параметры безопасности
- •Установка программ
- •Сценарии
- •Перенаправление папки
- •4. Настройка групповых политик на автономном компьютере
- •5. Инструменты настройки безопасности
- •Оснастка Шаблоны безопасности
- •Оснастка Анализ и настройка безопасности
- •Порядок выполнения работы. Оснастка Групповая политика.
- •2. Настройка групповых политик на автономном компьютере.
- •Оснастка Шаблоны безопасности
- •Оснастка Анализ и настройка безопасности
- •Задание на лабораторную работу
- •Контрольные вопросы
- •Ip-безопасность (ipSec)
- •Принцип работы ipsec
- •Протоколы безопасности ipsec
- •Обработка пакетов ipsec
- •Управление политикой безопасности ip
- •Свойства политики ipsec
- •Групповая политика
- •Предопределенные политики ipsec
- •Предопределенные правила
- •Предопределенные действия фильтра
- •Методы безопасности ipsec
- •Предопределенные методы безопасности
- •Настраиваемые методы безопасности
- •Взаимодействие параметров шифрования
- •Порядок выполнения работы.
- •Выбор политики ipSec для рабочей станции
- •Задание на лабораторную работу.
- •Контрольные вопросы.
- •Межсетевой экран (firewall)
- •Как устроена сеть Интернет
- •Что можно делать в Интернет
- •Зачем нужен firewall
- •Что такое firewall
- •Как Работает Firewall
- •Основные типы межсетевых экранов
- •От чего защищает firewall
- •Обзор основных firewall
- •Настройка AtGuard (AtGuard settings) Web
- •Настройка AtGuard (AtGuard settings) Firewall
- •Как использовать правило Ignore.
- •Настройка AtGuard (AtGuard settings) Options
- •Несколько простых практических приемов
- •Как перенести настройки с одной машины на другую
- •Задание на лабораторную работу.
- •Контрольные вопросы.
- •Как устроена сеть Интернет?
- •Содержание
Свойства политики ipsec
Политики IPSEC могут быть применены к локальным компьютерам, членам домена, доменам, организационным подразделениям или любым объектам групповой политики в Active Directory. Политики IPSEC организации должны основываться на принятых в организации правилах безопасной работы. Политики могут содержать несколько действий безопасности, называемых правилами, что позволяет применять одну политику к нескольким компьютерам.
Для хранения политик IPSEC используются два расположения.
Active Directory
Локально в реестре для автономных компьютеров и компьютеров, не являющихся частью доверенного домена Windows 2000 постоянно. Если компьютер временно не подключен к доверенному домену Windows 2000, сведения политики кэшируются в локальном реестре.
Windows содержит предопределенные политики, которые могут быть активизированы, изменены в соответствии с потребностями или использованы в качестве шаблона при создании собственных настраиваемых политик. Каждая определенная политика должна применяться к сценарию плана безопасности. При назначении политики серверу DHCP, DNS (Domain Name System), WINS, SNMP (Simple Network Management Protocol) или серверу удаленного доступа можно использовать дополнительные параметры.
Групповая политика
Политики IPSEC, назначенные объекту групповой политики в Active Directory, становятся частью групповой политики и переносятся на компьютеры, входящие в Active Directory при распространении групповой политики.
При назначении политики IPSEC в Active Directory имейте в виду следующее.
Политики IPSEC, назначенные политике домена, подавляют любую локальную активную политику IPSEC только в том случае, если компьютер является членом этого домена.
Политики IPSEC, назначенные организационному подразделению, подавляют политику IPSEC, назначенную политике домена, на всех компьютерах, входящих в это организационное подразделение. Политика IPSEC, назначенная организационному подразделению низшего уровня, подавляет политику IPSEC, назначенную организационному подразделению высшего уровня на всех компьютерах, входящих в это подразделение.
Предопределенные политики ipsec
Windows 2000 содержит набор предопределенных политик IPSEC. По умолчанию все предопределенные политики предназначены для компьютеров, являющихся членами домена Windows 2000. Их можно назначать без дополнительной настройки, изменять или использовать в качестве шаблонов при создании собственных политик.
Предопределенные политики
Клиент (Только ответ) Используется только для компьютеров, безопасная связь для которых большую часть времени не требуется. Например, клиенты интрасети могут не требовать использования IPSEC, кроме случаев, когда запрос исходит с другого компьютера. Эта политика позволяет компьютеру, на котором она активизирована, должным образом отвечать на запросы безопасной связи. Эта политика содержит стандартное правило ответа, позволяющее выполнять согласование с компьютерами, требующими использования IPSEC. Защита применяется только к трафику по запрошенному протоколу и через запрошенный порт.
Сервер (запрос безопасности) Используется для компьютеров, для которых большую часть времени требуется безопасная связь. В качестве примера можно привести сервер, через который передаются важные данные. В данной политике компьютер принимает незащищенный трафик, но всегда выполняет попытку защитить дополнительные связи, посылая отправителю запрос безопасности. Эта политика допускает полное отсутствие защиты трафика, если другой компьютер не поддерживает IPSEC.
Безопасность сервера (требовать безопасность) Эта политика используется для компьютеров, постоянно требующих безопасной связи. Примером может служить сервер, передающий весьма важные данные, или шлюз безопасности, защищающий интрасеть от посторонних. Эта политика отклоняет небезопасные входящие связи, а исходящий трафик всегда защищен. Небезопасная связь не допускается, даже если другая сторона не поддерживает IPSEC.
Заметьте, что никакая политика не применяется по умолчанию и что только одна политика может быть применена к системе в любой данный момент времени.