Зміст лекції

При створенні мережі на базі Windows XP Professional безпеку необхідно забезпечувати на двох рівнях: на рівні локального комп'ютера й на мережному.

Система забезпечує безпеку декількома способами: керування локальною політикою безпеки, реєстрацією, за допомогою журналів безпеки Internet Connection Firewall, шаблонів безпеки й конфігурацій системи захисту.

Windows XP Professional містить всі основні засоби захисту, які були в попередніх версіях, а також має нові властивості захисту:

- власність адміністратора (Administrative ownership). У попередніх версіях Windows будь-які ресурси, створені адміністратором (файли й папки), ставали надбанням всієї групи. Тепер доступ обмежений.

- агент відновлення EFS. В Windows XP Professional можна шифрувати файли без агента відновлення даних (Data Recovery Agent).

- інсталяція принтера. Тільки адміністратори й досвідчені користувачі можуть установлювати локальні принтери. Причому адміністратори мають це право за замовчуванням, а досвідчені користувачі повинні одержувати цей привілей.

- обмеження, пов'язані з використанням порожнього пароля. Так можна ввійти тільки на локальному комп'ютері.

- програмне обмеження. Політика безпеки Windows XP Professional може бути привласнена окремим додаткам на підставі шляху файлу, Інтернет-зони або сертифіката.

- швидка зміна користувачів.

Розглянемо деякі можливості докладніше:

1. Локальна політика безпеки. Можливість створювати й управляти політикою безпеки на локальному комп'ютері здійснюється за допомогою оснащення MMC. Цей додаток дозволяє не тільки переглядати локальну систему безпеки, але й вносити в неї зміни. Для перегляду політики безпеки потрібно вибрати Start\Control Panel\ Performance and Maintenance\Administrative Tools (Пуск\Панель керування\Продуктивність і обслуговування\Адміністрування). Клацаємо двічі на Local Security Policy (Локальна політика безпеки) і у вікні, що з'явилося, відобразяться поточні настроювання.

2. ICF (Internet Connection Firewall). Журнал безпеки ICF дозволяє створювати список дій системи захисту, а саме установку заборони або дозволу на трафік з боку ICF. Можна модифікувати дії міжмережного екрана за допомогою різних правил протоколу ICMP: дозволити (або заборонити) вхідні ехо-запити, що входять; мітки часу, що входять; запити маршрутизатора; переадресацію. На підставі вимог протоколу ICMP в ICF журналі безпеки будуть реєструватися різні види інформації. По-перше, у заголовку журналу вказуються версія використовуваного міжмережного екрана ICF, ім'я журналу безпеки, примітка про те, що вхід у систему реєструється за локальним часом, і список доступних полів для реєстраційних записів.

Користь журналу безпеки ICF полягає в тому, що після його перегляду можна виявити спроби несанкціонованого доступу до мережі. Вивчивши поля action, scr-ip і dst-ip, можна визначити, чи намагається хтось пошкодити мережу в цілому або вивести з ладу якийсь певний пристрій. У зв'язку з тим, що ведення журналу ICF не активовано за замовчуванням при інсталяції ICF, його необхідно включати.

3. Аудит безпеки. Тому що комп'ютерні мережі постійно змінюються, то може трапитися так, що вже існуючі робочі настроювання безпеки не будуть працювати коректно після змін, внесених у мережу. Щоб тримати під контролем систему забезпечення безпеки мережі, корисно використати інструменти перевірки (аудита) безпеки, надавані Windows XP Professional:

- Event Viewer (Перегляд подій);

- Audit policies (Політики аудита);

- оснащення Security Configuration and Analysis (Аналіз і настроювання безпеки).

Перевірка проводиться за допомогою оснащення групової політики ММС. Побачити різні елементи, перевірка яких можлива в Windows XP Professional можна, відкривши папку Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy в оснащенні Group Policy. Тут можна перевірити: вдалі й невдалі спроби входу в мережу, керування обліковим записом, події введення,

доступ до об'єкта (реєструються всі спроби доступу до конкретного об'єкта (папки, принтеру)), зміни політики, використання привілеїв, відстеження процесу( реєструються процеси, що запускають користувачем), події системи.

Перед тим як зайнятися аудитом, варто скласти чіткий план, що включає в себе все, що потрібно перевіряти, тому що аудит у значній мірі витрачає ресурси системи.

4. Оснащення Security Configuration and Analysis (Аналіз і настроювання безпеки) ММС є гарним інструментом для аналізу поточних настроювань безпеки й порівняння їх з базовим шаблоном безпеки. З огляду на те, що в системі Windows XP Professional є величезна кількість настроювань безпеки, відслідковувати кожну складно. Аналіз дозволяє виявляти діри в системі безпеки, тестувати зміни настроювань без реалізації цієї зміни й виявляти будь-які відхилення в політиці безпеки, що існує в мережі.

Для запуску цього інструмента потрібно ввести в командний рядок MMC/s. У діалоговому вікні, що відкрилося, можна додати /видалити оснащення (у меню файл), а також сконфігурувати її. Робота інструмента заснована на використанні БД. Інструмент дозволяє створити БД конфігурації безпеки й аналізу безпеки, що також називається локальною базою даних політики комп'ютера. Споконвічно база даних створюється під час інсталяції Windows XP Professional і містить конфігурації безпеки системи за замовчуванням. База даних визначає локальну політику безпеки комп'ютера, що працює при тій конфігурації, що визначена вимогами політики безпеки. Таких баз можна створити скільки завгодно.

5. Забезпечення безпеки серверів. Хоча Windows XP Professional не має серверної версії, призначеної спеціально для серверів, проте, варто зробити кілька важливих кроків по забезпеченню безпеки сервера під час побудови й конфігурування Windows XP Professional мережі.

Windows XP Professional забезпечує безпеку передачі пакетів у мережах TCP/IP за допомогою протоколу IPSec. IPSec можна використати для створення наскрізних безпечних рішень, заснованих на застосуванні шифрованої передачі даних. IPSec-рішення пропонує наступне:

- конфіденційність. Окремі особи не можуть перехоплювати й читати повідомлення;

- аутентифікація. Відправники повідомлень дійсно є тими, ким себе повідомляють;

- цілісність. Повідомлення гарантированно не можуть бути фальсифікованими при передачі;

- захист. Блокуючи певні порти або протоколи, IPSec захищає від можливих відмов від обслуговування.

На кожному комп'ютері в Windows XP/2000/.NET мережах є агент IP-політики. Є він активним чи ні, вирішує адміністратор. Якщо агент активний, то він витягає IPSec-політику, що описує узгодження методів локального захисту, і впроваджує її на локальному комп'ютері. За замовчуванням Windows XP Professional надає три види заздалегідь визначеної політики безпеки, які підходять для більшості випадків:

1) Client (Працює тільки в режимі відгуку). Комп'ютеру дається вказівка використати протокол IPSec, якщо інший комп'ютер запитує його. IPSec не потрібен при установці зв'язку з іншим комп'ютером. Ця політика найкраще підходить для комп'ютерів, у яких перебуває дуже мало або відсутні секретні дані.

2) Server (Захист бажаний). Ця політика призначена для серверів, які повинні в міру можливості використати протокол IPSec, але не скасовують сеанс зв'язку, якщо клієнт не підтримує IPSec.

3) Secure Server (Захист обов'язковий). Ця політика підходить для серверів, що містять секретні дані. Вона вимагає використання IPSec всіма клієнтами. Всі вихідні з'єднання безпечні, а всі небезпечні запити клієнтів одержують відмову.

Вибір правильної політики ґрунтується на ретельній оцінці даних. Необдумане приписання найвищого рівня безпеки для всіх користувачів і серверів створить величезне й непотрібне навантаження на серверах і клієнтських робочих станціях. Це пов'язано з додатковою роботою комп'ютерів по шифруванню й дешифруванню всього мережного трафіку. Однак дозвіл будь-якому клієнтові встановлювати зв'язок з безпечним сервером відкриває широкий доступ для потоку небезпечної інформації.

6. Протоколи. Існує багато протоколів забезпечення безпеки, і система Windows XP Professional використає два найпоширеніших: Kerberos і NTLM. NTLM використається за замовчуванням як протокол входу в систему в мережах Windows NT. Kerberos застосовується як протокол за замовчуванням для доменів Windows 2000.

Протокол Kerberos застосовується в тому єдиному випадку, коли контролери доменів використають Windows 2000 або .NET, а клієнти використають Windows XP Professional. В інших сценаріях застосовується протокол NTLM, що здійснює аутентифікацію комп'ютерів і клієнтів за принципом виклик/відповідь. При роботі із протоколу NTLM вихідний сервер повинен контактувати з контролером домена для підтвердження дійсності користувача або комп'ютера. Його можна використати не тільки в оточенні домена, але також при взаємодії двох пристроїв одного рангу й у груповій роботі.

7. Групові політики. Створення, керування й видалення облікових записів користувачів і створення й підтримка груп безпеки є найважливішими завданнями керування безпекою. Саме від цих функцій залежить рівень доступу користувачів і їхня можливість працювати з мережними ресурсами.

Кожний користувач у мережі має свій обліковий запис. Облікові записи можуть створюватися локально або як частина домена. Якщо в користувача є локальний обліковий запис, то він не може одержати доступ до мережних ресурсів (якщо в мережі немає дозволеного анонімного доступу). Якщо в користувача є обліковий запис на рівні домена, то зі свого локального комп'ютера він може одержувати доступ до ресурсів мережі.

При інсталяції Windows XP Professional створюються два облікові записи користувача: Адміністратор - дозволяє конфігурувати й управляти системою й Гість - дозволяє користувачам входити в комп'ютер без окремого облікового запису для кожного користувача. Крім цих облікових записів, Windows XP Professional дозволяє створювати ще ряд облікових записів. Ніхто, крім адміністратора, не має права створювати облікові записи. Для створення, керування й видалення облікового запису використається діалогове вікно, шлях до якого Пуск \ Панель керування \ Облікові записи користувачів.

Керування паролем. Є два способи керування паролями:

- User Accounts (Облікові записи користувачів). Розташована в панелі керування, ця опція використається, якщо комп'ютер не є частиною домена, і паролями треба управляти локально.

- Local Users and Groups (Локальні користувачі й групи). Це оснащення ММС використається, якщо комп'ютер є частиною домена й треба управляти паролями на декількох комп'ютерах.

Windows XP Professional дозволяє встановлювати певні правила для керування паролями. Наприклад, можна змусити користувача змінювати свій пароль при кожному вході в систему, відключити обліковий запис і т.д. Ці правила встановлюються в оснащенні ММС Локальні користувачі й групи.

Групова безпека. Облікові записи користувачів є будівельними блоками для побудови безпеки груп. Групи можна створювати й управляти ними залежно від потреб організації. Групи безпеки можуть бути будь-якого розміру. Вони включають від одного комп'ютера або користувача до всього домена. Всі групи безпеки системи Windows XP Professional підпадають під одну з наступних категорій:

1) Локальні групи комп'ютера. Ці групи визначені тільки в рамках роботи локального комп'ютера й не фігурують ніде всередині домена.

2) Локальні групи домена. Дозволи видаються тільки пристроям, що є частинами домена.

3) Глобальні групи. Використаються в рамках домена для об'єднання облікових записів користувачів, яким необхідний доступ, на підставі їхньої роботи усередині організації.

4. Універсальні групи. Групи цієї категорії застосовуються в багатодоменній мережі для об'єднання користувачів, яким необхідний доступ до мережних ресурсів на підставі їхньої роботи в даній організації.

В основному групи визначаються на підставі того, у якій частині мережі вони можуть використати дозволи, і по кількості трафіку, що генерує група. Іншою перевагою використання груп є те, що якщо вони добре сплановані й реалізовані, то мережне навантаження знижується у зв'язку з відсутністю необхідності у великій реплікації контролера домена.

Whoami. Це інструмент командного рядка системи Windows XP Professional, що дозволяє переглядати дозволи й права, видані користувачеві. Whoami перебуває на диску з Windows XP Professional у каталозі Support\Tools. Цей інструмент повертає ім'я домена або комп'ютера поряд з ім'ям поточного користувача й комп'ютера, у системі якого працює Whoami. Він показує ім'я користувача і його SID, групи і їхні ідентифікатори захисту, привілеї й статус. Для запуску Whoami у вікні команд потрібно ввести whoami і додати одну з наступних опцій:

/all Показує всю інформацію поточного маркера доступу.

/user Показує інформацію про користувача, пов'язаному з поточним маркером доступу.

/groups Показує групи, пов'язані з поточним маркером доступу.

/priv Показує привілею, пов'язані з поточним маркером доступу.

/logonid Показує ID входу в систему, використовуваний у поточній сесії.

/sid Показує SID, пов'язаний з поточною сесією. Цей аргумент повинен додаватися наприкінці опцій /USER, /GROUPS, /PRIV, /LOGONID.

Списки контролю доступу. Для керування групами (додавання й видалення користувачів і дозволів) адміністратори застосовують списки контролю доступу (ACL). В Windows XP Professional є два види ACL.

1) Discretionary access control lists (DACL) - списки розмежувального контролю доступу. Використаються для ідентифікації користувачів і груп, яким дозволений (або заборонений) доступ.

2) System access control lists (SACL) - системні списки контролю доступу, контролюють перевірку доступу.

Списки контролю доступу є зручним інструментом визначення того, хто має доступ до конкретного об'єкта, і надають можливість редагувати дозволи. Для перегляду ACL потрібно викликати Properties (Властивості) обраного об'єкта, на вкладці Security (Безпека) відображаються групи й користувачі, що мають доступ до цього об'єкта, а також перелік дозволів, виданих цій групі.

Групова політика. Group Policy (Групова політика) це оснащення ММС, що може застосовуватися практично до будь-якого об'єкта. Застосування політики ієрархічно поширюється по всьому дереву домена. Отже, якщо політика на більше високих рівнях дерева конфліктує з політикою рівнів, що лежать нижче, то за замовчуванням пріоритет залишається за політикою верхніх рівнів.

Оснащення Group Policy (Групова політика) містить у собі дві основні групи: Computer Configuration (Настроювання комп'ютера) і User Configuration (Конфігурація користувача). Вони відповідають System Policy Editor (Редактор системної політики) і User Policies (Політики користувачів). Кожна із цих груп містить у собі ще три підгрупи:

- Software Settings (Настроювання програм). Інсталює програми на певні комп'ютери або користувальницькі системи.

- Windows Settings (Настроювання Windows). Установлює настроювання системи безпеки й запускає сценарії при включенні й вимиканні комп'ютера.

- Administrative Templates (Адміністративні шаблони). Контролює вид і поводження системи Windows і додатків.

Лекція 8 (2 години)

Тема : Сумісне використання мережних ресурсів

Мета: ознайомити студентів з методиками, що застосовуються для надання користувачам сумісного доступу до мережних ресурсів.

Література:

1. Елсенпітер Р., Тобі Дж. Велт Адміністрування мереж Microsoft Windows XP Professional , Еком, 2006р.

2. Курячий Г.В. Адміністрування мереж Windows XP Professional ІНТУІТ. Ру 2007

Хід заняття

1. Організаційна частина

а) готовність групи до заняття;

б) психоемоційний настрій;

в) перевірка присутніх;

2. Актуалізація опорних знань студентів:

а) повідомлення теми та мети;

б) повідомлення основних тез теми.

3. Викладення нового матеріалу:

План лекції:

1. Поняття сумісного доступу

2. Рівні доступу

3. Використання жорсткого диску як мережного ресурсу

4. Сумісне використання принтера

5. Сумісне використання додатків

6. Керування сумісним доступом

4. Узагальнення та систематизація знань.

5. Підведення підсумків заняття.

6. Домашнє завдання: вивчити матеріал лекції.

7. Самостійне вивчення: опрацювати теми „Автономні файли та папки” з Методичного посібника для самостійної роботи або з будь-якого іншого джерела (наприклад, мережі Інтернет).