- •2. Домашние задания и методические указания по их выполнению
- •2.1. Первое домашнее задание
- •Что такое брандмауэр Windows?
- •Как работает брандмауэр?
- •Что может и чего не может брандмауэр Windows Таблица 1
- •Для чего служат параметры настройки брандмауэра Windows?
- •Определение активных параметров брандмауэра Windows
- •Параметры групповой политики для брандмауэра Windows
- •Возможность для программы связываться через брандмауэр Windows
- •2.1. Второе домашнее задание.
- •Надстройки веб-обозревателя.
- •Некоторые надстройки могут отключить веб-обозреватель.
- •Общие сведения о цифровой подписи
- •Использование безопасных узлов Интернета для выполнения транзакций
- •3. Вопросы к домашним заданиям
- •4. Лабораторные задания и методические указания по их выполнению
- •4.1. Первое лабораторное задание
- •4.2. Второе лабораторное задание
- •5. Указания по выполнению отчета.
- •6. Контрольные вопросы по выполненной работе.
Параметры групповой политики для брандмауэра Windows
Параметры групповой политики определяют различные компоненты пользовательской системы, которыми управляет системный администратор. В пакете обновления для Microsoft WindowsXP (SP2) доступны следующие параметры групповой политики:
Разрешать обход для прошедших проверку IPSec
Разрешать исключения для общего доступа к файлам и принтерам
Разрешать исключения ICMP
Разрешать локальные исключения для портов
Разрешать локальные исключения для программ
Разрешать ведение журнала
Разрешать исключения для удаленного управления
Разрешать исключения для удаленного рабочего стола
Разрешать исключения для UPnP-инфраструктуры
Задать исключения для программ
Задать исключения портов
Не разрешать исключения
Защитить все сетевые подключения
Запретить уведомления
Запретить одноадресные ответы на многоадресные или широковещательные запросы
Регистрация событий
Являясь критическим элементом системы защиты корпоративной сети, межсетевой экран имеет возможность регистрации всех действий, им производимых. К таким действиям относятся не только пропуск или блокирование сетевых пакетов, но и изменение правил разграничения доступа администратором безопасности и другие действия. Такая регистрация позволяет обращаться к создаваемым журналам по мере необходимости — в случае возникновения инцидента безопасности или сбора доказательств для предоставления их в судебные инстанции или для внутреннего расследования.
Возможность для программы связываться через брандмауэр Windows
Помогая обеспечить защиту компьютера, брандмауэр Windows блокирует непредусмотренные запросы на подключение к вашему компьютеру. Поскольку брандмауэр ограничивает обмен данными между компьютером и Интернетом, может потребоваться регулировка параметров для некоторых программ, которым требуется свободное подключение к Интернету. Для этих программ можно сделать исключение, чтобы они могли связываться через брандмауэр.
Риск при создании исключений.
Каждое исключение, дающее программе возможность связываться через брандмауэр Windows, делает компьютер более уязвимым. Создание исключения равносильно пробиванию бреши в брандмауэре. Если таких брешей окажется слишком много, брандмауэр уже не будет прочной преградой. Обычно взломщики используют специальные программы для поиска в Интернете компьютеров с незащищенными подключениями. Если создать много исключений и открыть много портов, компьютер может оказаться жертвой таких взломщиков.
Чтобы уменьшить потенциальный риск при создании исключений:
Создавайте исключение, только когда оно действительно необходимо.
Никогда не создавайте исключений для программы, которую плохо знаете.
Удаляйте исключения, когда необходимость в них отпадает.
Создание исключений несмотря на риск.
Иногда требуется открыть кому-то возможность связи с вашим компьютером, несмотря на риск—например, когда ожидается получение файла, посланного через программу передачи мгновенных сообщений, или когда хочется принять участие в сетевой игре через Интернет.
Если идет обмен мгновенными сообщениями с собеседником, который собирается прислать файл (например фотографию), брандмауэр Windows запросит подтверждения о снятии блокировки подключения и разрешении передачи фотографии на ваш компьютер. А при желании участвовать в сетевой игре через Интернет с друзьями вы можете добавить эту игру как исключение, чтобы брандмауэр пропускал игровую информацию на ваш компьютер.
Чтобы разрешить непредусмотренные подключения к программе на своем компьютере, используйте вкладку Исключения в брандмауэере Windows. Если программа или служба, для которой требуется создать исключение, отсутствует в списке на вкладке Исключения, можно добавить ее с помощью кнопки Добавить программу. Если программа отсутствует в списке программ, которые можно добавить, нажмите кнопку Обзор, чтобы найти ее.
Если программу не удалось найти, можно открыть порт. Порт подобен маленькой дверце в брандмауэре, через которую разрешается взаимодействовать. Чтобы определить, какой порт нужно открыть, на вкладке Исключения нажмите кнопку Добавить порт. (Открыв порт, не забудьте снова закрыть его, когда перестанете использовать.)
Добавление исключения более предпочтительно, чем открытие порта, по следующим причинам:
Проще сделать.
Нет необходимости выяснять номер используемого порта.
Добавление исключения помогает поддерживать безопасность, так как брандмауэр открыт только в то время, когда программа ожидает подключения к ней.
Опытные пользователи могут открывать порты и настраивать их для отдельных подключений, чтобы свести к минимуму возможности злоумышленников в получении доступа к компьютеру или к сети. Для этого откройте брандмауэр Windows, откройте вкладку Дополнительно и используйте параметры в группе Параметры сетевого подключения.
При настройке Брандмауэра подключения к Интернету (ICF) WINDOWS –XP необходимо иметь в виду следующее:
• он имеется в 32-разрядной версии Windows XP Professional и в Windows XP Home Edition, но отсутствует в 64-разрядной версии Windows XP Professional;
• для общедоступного подключения к Интернету его следует включить, если доступ многих компьютеров к Интернету обеспечивается средствами компонента Общий доступ к подключению Интернета (ICS);
• он позволяет защитить и одиночный компьютер, подключенный к Интернету через кабельный, DSL или обычный модем;
• для VPN-подключений или на компьютерах-клиентах его включать не следует, иначе возникнут проблемы при совместном использовании файлов и принтеров.
Примечание: Протокол контрольных сообщений Интернета (ICMP) позволяет компьютерам, объединенным в сеть, обмениваться информацией об ошибках и состоянии подключения. Осторожно! При включении определенных параметров ICMP ваша сеть может стать видимой из Интернета и уязвимой для попыток несанкционированного доступа.
На вкладке ICMP настройки Брандмауэра можно указать, на какие запросы из сети Интернета будет отвечать компьютер (табл. 3). По умолчанию ни один из флажков на этой вкладке не отмечен.
Параметры ICMP Таблица 3
Параметр |
Описание |
Разрешить входящий эхо-запрос (Allow Incoming Echo Request) |
Запросы, посылаемые компьютеру, возвращаются отправителю. Обычно используется для поиска неисправностей, например при выполнении команды ping. |
Разрешить входящий запрос времени (Allow Incoming Timestamp Request) |
Прием данных компьютер подтверждает, отвечая сообщениями, в которых указано время получения данных. |
Разрешить входящий запрос маски (Allow Incoming Mask Request) |
Компьютер будет принимать запросы подробной информации о публичной сети, к которой он подключен, и отвечать на эти запросы. |
Разрешить входящий запрос маршрутизатора (Allow Incoming Router Request) |
Компьютер будет отвечать на запросы об известных ему сетевых маршрутах. |
Разрешить присваивать исходящему назначению «недоступен» (Allow Out Unreachable) |
Данные из Интернета, которые компьютер не может принять из-за какой-либо ошибки, будут отбрасываться, на адрес отправителя going Destination при этом отсылаются сообщения «Узел недоступен» (Destination Unreachable), поясняющие причину сбоя. |
Продолжение табл. 3
Параметр |
Описание |
Разрешить снижать ско рость источнику исходя щих сообщений (Allow Outgoing Source Quench) |
Если скорость передачи превышает возможности компьютера по обработке входящих данных, данные будут отбрасываться, а отправителю будет предложено снизить скорость. |
Разрешить любые пара метры исходящих сообщений (Allow Outgoing Parameter Problem) |
При сбросе пакета компьютером из-за не правильного заголовка отправитель получает сообщение об ошибке «Неверный заголовок» (Bad Header). |
Разрешить исходящее превышение времени (Allow Outgoing Time Exceeded) |
При сбросе передачи данных до ее окончания из-за того, что требуемое время передачи превышает допустимое, компьютер оповещает отправителя сообщением «Время истекло» (Time Expired). |
Разрешать перенаправление (Allow Redirect) |
Данные, передаваемые компьютером, будут перенаправлены на другой маршрут при изменении маршрута по умолчанию. |