- •Гальчевский ю.Л., Щелконогов о.А. Методические указания
- •Часть 2
- •Введение
- •Аудит доступа к ресурсам.
- •Объём работы:
- •Теоретические сведения. Аудит: обзор
- •Аудит событий.
- •Параметры аудита для объектов.
- •Выбор объектов для применения элементов аудита
- •Влияние наследования на аудит файлов и папок
- •Просмотр журнала событий.
- •Порядок выполнения работы.
- •1. Аудит событий.
- •2. Настройка, просмотр, изменение и отмена аудита файла или папки
- •Задание на лабораторную работу.
- •Контрольные вопросы:
- •Локальная политика безопасности
- •2. Преимущества групповой политики.
- •3. Объекты групповой политики. Оснастка Групповая политика
- •Узел Конфигурация компьютера
- •Узел Конфигурация пользователя
- •Расширения оснастки Групповая политика
- •Административные шаблоны
- •Параметры безопасности
- •Установка программ
- •Сценарии
- •Перенаправление папки
- •4. Настройка групповых политик на автономном компьютере
- •5. Инструменты настройки безопасности
- •Оснастка Шаблоны безопасности
- •Оснастка Анализ и настройка безопасности
- •Порядок выполнения работы. Оснастка Групповая политика.
- •2. Настройка групповых политик на автономном компьютере.
- •Оснастка Шаблоны безопасности
- •Оснастка Анализ и настройка безопасности
- •Задание на лабораторную работу
- •Контрольные вопросы
- •Ip-безопасность (ipSec)
- •Принцип работы ipsec
- •Протоколы безопасности ipsec
- •Обработка пакетов ipsec
- •Управление политикой безопасности ip
- •Свойства политики ipsec
- •Групповая политика
- •Предопределенные политики ipsec
- •Предопределенные правила
- •Предопределенные действия фильтра
- •Методы безопасности ipsec
- •Предопределенные методы безопасности
- •Настраиваемые методы безопасности
- •Взаимодействие параметров шифрования
- •Порядок выполнения работы.
- •Выбор политики ipSec для рабочей станции
- •Задание на лабораторную работу.
- •Контрольные вопросы.
- •Межсетевой экран (firewall)
- •Как устроена сеть Интернет
- •Что можно делать в Интернет
- •Зачем нужен firewall
- •Что такое firewall
- •Как Работает Firewall
- •Основные типы межсетевых экранов
- •От чего защищает firewall
- •Обзор основных firewall
- •Настройка AtGuard (AtGuard settings) Web
- •Настройка AtGuard (AtGuard settings) Firewall
- •Как использовать правило Ignore.
- •Настройка AtGuard (AtGuard settings) Options
- •Несколько простых практических приемов
- •Как перенести настройки с одной машины на другую
- •Задание на лабораторную работу.
- •Контрольные вопросы.
- •Как устроена сеть Интернет?
- •Содержание
Предопределенные правила
Как и предопределенные политики, предопределенное правило отклика может быть активизировано без дополнительной настройки или изменено в соответствии с конкретными потребностями. Оно добавляется в каждую создаваемую политику, но не активизируется автоматически. Правило предназначено для любых компьютеров, которые не требуют безопасности, но должны иметь возможность дать соответствующий отклик при запросе безопасной связи от другого компьютера.
Предопределенные действия фильтра
Как и предопределенные правила, предопределенные действия фильтра могут быть активизированы без дополнительной настройки, изменены или использованы в качестве шаблона при определении собственных действий фильтра. Следующие действия фильтра доступны для активизации в любом новом или существующем правиле.
Требовать безопасность. Высокая безопасность. Небезопасные связи не допускаются.
Запрос безопасности (необязательно). Безопасность от средней до низкой. Небезопасная связь допускается для обеспечения связи с компьютерами, не выполняющими согласование IPSEC.
Методы безопасности ipsec
Каждый метод безопасности определяет требования к безопасности подключения, к которому применяется соответствующее правило. Создание нескольких методов безопасности повышает шансы нахождения общего метода для двух компьютеров.
Предопределенные методы безопасности
Высокая безопасность (EPS). Использует протокол ESP для обеспечения конфиденциальности (шифрования данных), проверки подлинности, отсутствия повторов и проверки целостности, благодаря чему подходит в ситуациях, когда требуется высокий уровень безопасности. ESP не обеспечивает целостность заголовка IP (содержащего сведения об адресации). Если требуется одновременно защита данных и адресации, можно создать настраиваемый метод безопасности. Если шифрование не требуется, можно использовать метод Средняя безопасность (AH).
Средняя безопасность (AH). Использует протокол AH для обеспечения целостности, отсутствия повторов и проверки подлинности. Этот метод годится в ситуациях, когда план безопасности предусматривает стандартные методы безопасности. AH обеспечивает целостность заголовка IP и данных, но не зашифровывает данные.
Настраиваемые методы безопасности
Опытные пользователи могут указать настраиваемые методы безопасности, если требуются одновременно шифрование и проверка целостности, сильные алгоритмы или ограничение времени жизни ключей. Также можно комбинировать методы.
Протоколы безопасности
В настраиваемом методе безопасности можно включить использование как AH, так и ESP, если требуется обеспечить целостность заголовка IP и шифрование данных. Если включены оба протокола, указывать второй алгоритм проверки подлинности для ESP не обязательно; целостность будет обеспечиваться алгоритмом, выбранным для AH.
Проверка целостности
Алгоритм MD5 (Message Digest 5) создает 128-битный ключ.
Алгоритм SHA (Secure Hash Algorithm) создает 160-битный ключ. Более длинный ключ обеспечивает более надежную защиту, поэтому алгоритм SHA надежнее.
Конфиденциальность
Алгоритм 3DES надежнее всех алгоритмов DES и несколько снижает быстродействие. 3DES обрабатывает каждый блок три раза, каждый раз используя уникальный ключ.
Алгоритм DES предназначен для использования в случаях, когда нет необходимости в высокой безопасности и объеме вычислений 3DES, или для обеспечения взаимодействия. DES использует только 56 бит данных для ключа.
Время жизни ключа
Параметры времени жизни ключа определяют время создания нового ключа, а не способ его создания. Время жизни можно задать в килобайтах переданных данных, в секундах или обоими способами. Например, если связь продолжается в течение 100 000 секунд, а для ключа задано время жизни в 1000 секунд, за время обмена данными будет создано 10 ключей. Это гарантирует, что даже при захвате части подключения злоумышленники не смогут захватить подключение в целом. Создание новых ключей выполняется автоматически, настройка не обязательна. Имейте в виду, что по окончании времени жизни ключа, помимо обновления или пересоздания ключа, сопоставление безопасности также согласовывается заново.