Конфигурирование, протоколирование событий, подсистема безопасности Windows
На серверах надо следить за безопасностью системы, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. На рабочих станциях следует убедиться в том, что события, необходимые для поддержки систем и устранения ошибок, протоколируются и что соответствующие журналы вам доступны. Windows-служба, управляющая протоколированием… Читать ещё >
Конфигурирование, протоколирование событий, подсистема безопасности Windows (реферат, курсовая, диплом, контрольная)
1. Протоколирование событий Windows
В Microsoft Windows событие (event) — это любое значительное происшествие в операционной системе, которое требует уведомления пользователей или администраторов. События сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах; это очень важно. Администраторам следует тщательно следить за журналами событий всех бизнес-серверов и настраивать рабочие станции на сохранение важных системных событий.
На серверах надо следить за безопасностью системы, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. На рабочих станциях следует убедиться в том, что события, необходимые для поддержки систем и устранения ошибок, протоколируются и что соответствующие журналы вам доступны. Windows-служба, управляющая протоколированием событий, называется EventLog (Журнал событий). При ее запуске Windows записывает важные данные в журналы. Доступность журналов в системе определяется ее ролью, а также установленными службами.
Существует несколько журналов, в том числе следующие.
Application (Приложение) — хранит важные события, связанные с конкретным приложением. Например, ExchangeServer сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается вSystemRoot%Systein32ConfigAppevent.evt.
DirectoryService (Служба каталогов) на контроллерах домена этот журнал хранит события службы каталогов ActiveDirectory, в том числе относящиеся к ее запуску, глобальным каталогам и проверкам целостности. По умолчанию помещается в % SystemRoot%\System32ConfigNtds.evt.
DNS Server (DNS-сервер) — на DNS-серверах в этом журнале сохраняются DNS-запросы, ответы и прочие события DNS. По умолчанию помещается в % SystemRoot%System32 ConfigDnsevent.evt.
FileReplicationService (Служба репликации файлов) — на контроллерах домена и других серверах, использующих репликацию, этот журнал регистрирует действия в системе, связанные с репликацией файлов, в том числе события состояния и управления службой, сканирования данных на системных томах, а также управления наборами репликации. По умолчанию помещается в % SystemRoot%Sysem32Config Ntfrs.evt.
Security (Безопасность) — хранит события, связанные с безопасностью, такие как вход / выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в в % SystemRoot%System32ConfigSecevent.evt.
Внимание! Для доступа к журналам безопасности у пользователей должно быть право ManageAuditingAndSecurityLog (Управление аудитом и журналом безопасности). По умолчанию оно выдается членам группы администраторов.
System (Система) — хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в % SystemRoot, %System32ConfigSysevent.evt. Значимость событий варьируется от уведомлений до предупреждений общего характера и серьезных инцидентов вроде критических сбоев и ошибок. Категория события обозначается его типом. Существуют следующие типы:
Information (Уведомление) — указывает на возникновение информационного события, обычно связанного с успешным действием;
Warning (Предупреждение) — предупреждение общего характера. Зачастую помогает избежать последующих проблем в системе;
Error (Ошибка) — критическая ошибка, например неудача при запуске службы;
SuccessAudit (Аудит успехов) — успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
Failure Audit (Аудит отказов) — неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.
Из множества типов событий внимательнее всего следует наблюдать за ошибками и предупреждениями. Если возникает событие этих типов и его причина неизвестна, нужно детально проанализировать его и определиться с дальнейшими действиями.
2. Безопасность в Windows XP
Модель безопасности Windows XP Professional основана на понятиях аутентификации и авторизации. При аутентификации проверяются идентификационные данные пользователя, а при авторизации — наличие у него прав доступа к ресурсам компьютера или сети. В Windows XP Professional также имеются технологии шифрования, которые защищают конфиденциальные данные на диске и в сетях: например, EFS (Encrypting File System), технология открытого ключа.
Аутентификация. Регистрируясь на компьютере для получения доступа к ресурсам локального компьютера или сети, пользователь должен ввести свое имя и пароль. В Windows XP Professional возможна единая регистрация для доступа ко всем сетевым ресурсам. Таким образом, пользователь может войти в систему с клиентского компьютера по единому паролю или смарт-карте и получить доступ к другим компьютерам домена без повторного ввода идентификационных данных.
Главный протокол безопасности в доменах Windows 2000 — Kerberos версии 5. Для аутентификации на серверах под управлением Windows NT 4.0 и доступа к ресурсам доменов Windows NT клиенты Windows XP Professional используют протокол NTLM. Компьютеры с Windows XP Professional, не принадлежащие к домену, также применяют для аутентификации протокол NTLM.
Используя Windows XP Professional в сети с активным каталогом (ActiveDirectory), можно управлять безопасностью регистрации с помощью параметров политики групп, например, ограничивать доступ к компьютерам и принудительно завершать сеансы работы пользователей спустя заданное время. Можно применять предварительно сконфигурированные шаблоны безопасности, соответствующие требованиям к безопасности данной рабочей станции или сети. Шаблоны представляют собой файлы с предварительно сконфигурированными параметрами безопасности, которые можно применять на локальном компьютере или импортировать в групповые политики активного каталога. Эти шаблоны используются в неизменном виде или настраиваются для определенных нужд.
Авторизация. Авторизация позволяет контролировать доступ пользователей к ресурсам. Применение списков управления доступом (accesscontrollist, ACL) и прав доступа NTFS гарантирует, что пользователь получит доступ только к нужным ему ресурсам, например, к файлам, дискам (в том числе сетевым), принтерам и приложениям. С помощью групп безопасности, прав пользователей и прав доступа можно одновременно управлять безопасностью как на уровне ресурсов, так и на уровне файлов, папок и прав отдельных пользователей.
Группы безопасности. Группы безопасности упрощают управление доступом к ресурсам. Можно приписывать пользователей к группам безопасности, а затем предоставлять этим группам права доступа. Можно добавлять пользователей к группам безопасности и удалять их оттуда в соответствии с потребностями этих пользователей.
Оснастка MMC Computer Management позволяет создавать учетные записи пользователей и помещать их в локальные группы безопасности. Можно предоставлять пользователям права доступа к файлам и папкам и определять действия, которые пользователи могут выполнять над ними. Можно разрешить и наследование прав доступа. При этом права доступа, определенные для каталога, применяются ко всем его подкаталогам и находящимся в них файлам.
Среди групп безопасности, локальных для домена и компьютера, имеется ряд предварительно сконфигурированных групп, в которые можно включать пользователей.
Администраторы (Administrators) обладают полным контролем над локальным компьютером и правами на совершение любых действий. При установке Windows XP Professional для этой группы создается и назначается встроенная учетная запись Администратор (Administrator). Когда компьютер присоединяется к домену, по умолчанию к группе Администраторы добавляется группа Администраторы домена (Domain Administrators).
Опытные пользователи (Power Users) обладают правами на чтение и запись файлов не только в личных папках, но и за их пределами. Они могут устанавливать приложения и выполнять многие административные действия. У членов этой группы такой же уровень прав доступа, что и у групп Пользователи (Users) и Опытные пользователи (PowerUsers) в Windows NT 4.0.
Пользователи (Users) в отношении большей части системы имеют только право на чтение. У них есть право на чтение и запись только файлов их личных папок. Пользователи не могут читать данные других пользователей (если они не находятся в общей папке), устанавливать приложения, требующие модификации системных каталогов или реестра, и выполнять административные действия. Права пользователей в Windows XP Professional более ограниченны по сравнению с Windows NT 4.0.
Гости (Guests) могут регистрироваться по встроенной учетной записи Guest и выполнять ограниченный набор действий, в том числе выключать компьютер. Пользователи, не имеющие учетной записи на этом компьютере, или пользователи, чьи учетные записи отключены (но не удалены), могут зарегистрироваться на компьютере по учетной записи Guest. Можно устанавливать права доступа для этой учетной записи, которая по умолчанию входит во встроенную группу Guests. По умолчанию учетная запись Guest отключена.
Можно сконфигурировать списки управления доступом (ACL) для групп ресурсов или групп безопасности и по мере необходимости добавлять / удалять из них пользователей или ресурсы, что облегчает управление правами доступа и их аудит. Это также позволяет реже изменять ACL. Можно предоставить пользователям права на доступ к файлам и папкам и указать действия, которые можно выполнять с ними. Можно также разрешить наследование прав доступа; при этом права доступа к некоторой папке применяются и к ее подкаталогам и находящимся в них файлам.
При работе с Windows XP Professional в составе рабочей группы или в изолированном режиме вам предоставляются права администратора, и у вас есть все права по отношению ко всем функциям безопасности ОС. Если компьютер под управлением Windows XP Professional включен в сеть, параметры безопасности определяет сетевой администратор.
Политика групп. Параметры политики групп позволяют назначать ресурсам права доступа, а также предоставлять права доступа пользователям. Это нужно для того, чтобы требовать запуска определенных приложений только в заданном контексте безопасности (тем самым снижая риск воздействия на компьютер нежелательных приложений, например, вирусов) и конфигурировать различные права доступа для множества клиентских компьютеров. Можно сконфигурировать права доступа на эталонном компьютере, который будет использован как базовый образ для установки на другие рабочие станции, гарантируя, таким образом, стандартизованное управление безопасностью даже в отсутствие Active Directory.
Функции аудита позволяют обнаруживать попытки отключить или обойти защиту ресурсов.
Можно задействовать предварительно сконфигурированные шаблоны безопасности, соответствующие требованиям безопасности для данной рабочей станции или сети. Шаблоны безопасности — это файлы с предварительно установленными параметрами безопасности, которые применяют к локальному компьютеру или импортируют в групповые политики активного каталога (ActiveDirectory). Шаблоны безопасности используются в неизменном виде или настраиваются в соответствии с определенными задачами.
Шифрование. EFS (Encrypting File System) позволяет зашифровать данные на жестком диске. Риск кражи портативных компьютеров особенно велик, а с помощью EFS можно усилить безопасность путем шифрования данных на жестких дисках портативных компьютеров компании. Эта предосторожность защищает информацию и идентификационные данные от несанкционированного доступа.
Корпоративная безопасность Windows XP Professional поддерживает ряд функций защиты избранных файлов, приложений и других ресурсов. В их числе списки управления доступом (ACL), группы безопасности и групповая политика, а также средства конфигурирования и управления этими функциями. В совокупности они обеспечивают мощную, но гибкую инфраструктуру управления доступом в корпоративных сетях.
Windows XP поддерживает тысячи относящихся к безопасности параметров конфигурации, которые можно применять и по отдельности. В Windows XP также есть предопределенные шаблоны безопасности, обычно используемые без изменений или как основа для особой настройки конфигурации безопасности. Эти шаблоны безопасности применяются при:
· создании ресурса, такого как общая папка или файл; при этом вы вправе воспользоваться заданными по умолчанию ACL или настроить их в соответствии со своими потребностями;
· распределении пользователей по стандартным группам безопасности, таким как Users, PowerUsers и Administrators, и принятии заданных по умолчанию параметров ACL;
· использовании предоставляемых ОС шаблонов групповой политики — Basic (основной), Compatible (совместимый), Secure (безопасный) или Highly Secure (высокобезопасный).
Каждая из особенностей системы безопасности Windows XP — списки ACL, группы безопасности и групповая политика — имеет параметры по умолчанию, которые разрешается изменять в соответствии с требованиями организации. Предприятия также вправе применять соответствующие средства для реализации и настройки управления доступом. Многие из этих средств, такие как оснастки Microsoft Management Console, представляют собой компоненты Windows XP Professional, другие поставляются в составе комплекта ресурсов Windows XP Professional Resource Kit.
Управляемый доступ к сети. Windows XP содержит встроенную подсистему безопасности для предотвращения вторжений. Ее работа базируется на ограничении прав любого, кто пытается получить доступ к компьютеру из сети до привилегий гостевой учетной записи. Взломщикам или вообще не удастся получить доступ к компьютеру и перебором паролей получить дополнительные привилегии, или они получат только ограниченный гостевой доступ.
Управление сетевой проверкой подлинности. Все большее число систем под управлением Windows XP Professional подключается к Интернету напрямую, а не через домены. Поэтому продуманная система управления доступом (в том числе устойчивыми паролями и разрешениями, сопоставленными учетными записями) важна как никогда ранее. Для обеспечения безопасности следует избегать анонимных параметров управления доступом, обычно связанных с открытыми средами, подобными Интернету.
Вот почему в Windows XP Professional по умолчанию все пользователи, вошедшие по сети, работают под учетной записью Guest. Это исключает для злоумышленника возможность войти в систему через Интернет под локальной учетной записью Администратор (Administrator), у которой нет пароля.
Упрощенное совместное использование ресурсов. Модель совместного использования и безопасности для локальных учетных записей позволяет выбрать модель безопасности на основе применения исключительно гостевой учетной записи (Guest) либо классическую (Classic) модель безопасности. В гостевой модели при любых попытках войти в систему локального компьютера через сеть применяется только гостевая учетная запись. В классической модели пользователи при доступе через сеть входят в систему локального компьютера под своими учетными записями. На компьютерах в составе домена эта политика не применяется, а по умолчанию используется гостевая учетная запись.
Если гостевая учетная запись существует и ей назначен пустой пароль, сетевые пользователи смогут войти в систему и получить доступ к любому ресурсу, разрешенному для доступа учетной записи Guest.
3. Центр обеспечения безопасности Windows
· «Центр обеспечения безопасности Windows» (Windows Security Center) входит в состав Windows XP SP2. Он разработан компанией Microsoft для автоматической проверки состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). С помощью этого инструмента пользователь имеет возможность не только контролировать состояние перечисленных выше компонентов, но и получать рекомендации по устранению возникающих с этими компонентами проблем.
безопасность windows протоколирование
3.1 Введение
· Если ваш компьютер подключен к компьютерной сети (неважно, Интернет это или Интранет), то он уязвим для вирусов, атак злоумышленников и других вторжений. Для защиты компьютера от этих опасностей необходимо, чтобы на нем постоянно работали межсетевой экран (брандмауэр) и антивирусное ПО (с последними обновлениями). Кроме того, необходимо, чтобы все последние обновления были также установлены на вашем компьютере.
· Не каждый пользователь может постоянно следить за этим. Не каждый пользователь знает, как это осуществить. И даже если пользователь компетентен в этих вопросах, у него просто может не хватать времени на такие проверки. Компания Microsoft позаботилась обо всех этих пользователях, включив в состав SP2 для Windows XP такой инструмент. Он называется «Центр обеспечения безопасности Windows» (Windows Security Center).
· Основное назначение этого инструмента — информировать и направлять пользователя в нужном направлении. Во-первых, он постоянно контролирует состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). Если параметры любого из этих компонентов не будут удовлетворять требованиям безопасности компьютера, то пользователь получит соответствующее уведомление.
· Во-вторых, при открытии «Центра обеспечения безопасности Windows» пользователь может не только получить конкретные рекомендации о том, как исправить сложившуюся ситуацию, но также узнать, где находятся другие настройки, связанные с безопасностью компьютера, и где на сайте Microsoft можно прочитать дополнительную информацию по обеспечению безопасности.
· Необходимо сразу отметить, что при подключении компьютера к домену в «Центре обеспечения безопасности Windows» не отображаются сведения о состоянии безопасности компьютера (рис. 3.3.) и не выполняется отправка сообщений безопасности. Считается, что в этом случае параметрами безопасности должен управлять администратор домена.
· Чтобы включить «Центр для обеспечения безопасности Windows» для компьютера, входящего в состав домена, необходимо в групповой политике домена включить параметр «Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Центр обеспечения безопасности, Включить „Центр обеспечения безопасности“ (только для компьютеров в домене)».
3.2 Параметры безопасности Windows
Чтобы открыть «Центр обеспечения безопасности Windows», нажмите кнопку «Пуск», выберите команду «Панель управления», затем дважды щелкните на значок «Центр обеспечения безопасности».
1. Ресурсы. Здесь располагаются ссылки для перехода к Интернет-ресурсам, к встроенной в Windows справочной службе и к окну настройки параметров оповещений.
2. Компоненты безопасности. Здесь располагаются информационные элементы трех основных компонентов безопасности: брандмауэр, автоматическое обновление, антивирусная защита.
3. Параметры безопасности. Здесь располагаются кнопки перехода к настройкам безопасности следующих компонентов: обозреватель InternetExplorer, автоматическое обновление, брандмауэр Windows.
Рассмотрим эти части более подробно.
В разделе 1 первые три ссылки предназначены для перехода на соответствующие страницы на сайте Microsoft. Предпоследняя ссылка предназначена для открытия справочной службы Windows на странице «Общие сведения о центре обеспечения безопасности Windows». Последняя ссылка предназначена для открытия окна «Параметры оповещений».
Если на компьютере установлен брандмауэр и антивирусное ПО, не определяемое Центром обеспечения безопасности, вы можете отключить соответствующие оповещения.
В разделе 2 каждое информационное табло сообщает о состоянии соответствующего компонента.
Состояния A-C понятны без комментариев. Состояние D — «Не найдено» — соответствует невозможности определить присутствие соответствующего ПО (например, антивирус или брандмауэр). Состояние E — «Срок истек» — возможно для антивирусной защиты, когда обновления антивирусных баз устарели. Состояние F — «Не наблюдается» — соответствует отключенному контролю над соответствующим компонентом.
Центром обеспечения безопасности применяется двухуровневый подход к определению состояния компонентов:
1. Проверка содержимого реестра и файлов со сведениями о состоянии ПО (Microsoft получает перечень файлов и параметров реестра от производителей ПО).
2. Сведения о состоянии ПО передаются от установленных программ средствами инструментария WMI (Windows Management Instrumentation — Инструментарий управления Windows).
После нажатия кнопки «Включить сейчас», если брандмауэр Windows будет успешно запущен, на экране появится соответствующее сообщение.
Обратите внимание, что в зависимости от выставленного режима работы «Автоматического обновления» в окне «Центра обеспечения безопасности» указывается краткое описание этого режима.
Нажав кнопку «Рекомендации…», вы получите лаконичные указания: «включить антивирусную программу» (если она выключена), «установить другую антивирусную программу». В этом окне вы можете отключить наблюдение за состоянием этого компонента (параметр «Я самостоятельно устанавливаю и слежу за антивирусом»).
Параметры безопасности
Как уже было указано ранее, в разделе 3 (см. рис. 4.5−3) расположены кнопки перехода к настройкам безопасности следующих компонентов: обозреватель InternetExplorer, автоматическое обновление, брандмауэр Windows.
В Windows XP SP2 для обозначения настроек, касающихся безопасности (см. например, рис. 3.16), а также при оповещениях о состоянии безопасности компьютера (см. например, рис. 3.2) используются следующие значки:
· - Означает важные сведения и параметры безопасности.
· - Оповещает о потенциальном риске нарушения безопасности.
· - Ситуация более безопасна. На компьютере используются рекомендуемые настройки безопасности.
· - Предупреждение: ситуация потенциально опасна. Измените настройки параметров безопасности, чтобы повысить безопасность компьютера.
· - Использовать текущие настройки параметров безопасности не рекомендуется.
3.3 Свойства обозревателя
Как уже указывалось ранее, нажав кнопку в «Центре обеспечения безопасности Windows», вы попадете в окно настроек обозревателя InternetExplorer на закладку «Безопасность».
Рассмотрим параметры, доступные на этой закладке. В верхней части расположены четыре зоны: Интернет, Местная интрасеть, Надежные узлы, Ограниченные узлы.
Для всех зон, кроме зоны «Интернет», вы можете определить входящие в зону узлы. Для этого необходимо выбрать нужную зону и нажать кнопку «Узлы…». Для зоны «Местная интрасеть» в этом случае откроется окно. Если вы хотите указать конкретные узлы, нажмите кнопку «Дополнительно…». Аналогичное окно будет открыто, если вы будете определять узлы, входящие в зоны «Надежные узлы» и «Ограниченные узлы». Только для зоны «Ограниченные узлы» будет отсутствовать параметр «Для всех узлов этой зоны требуется проверка серверов (https:)».
Каждой зоне можно присвоить нужный уровень безопасности: высокий, средний, ниже среднего, низкий. Низкий уровень безопасности соответствует минимальной защите и применяется для узлов, которым вы полностью доверяете.
Выберите нужную зону и нажмите кнопку «По умолчанию». Закладка «Безопасность» изменит свой вид. В нижней части окна вы можете определить нужный уровень безопасности. Если вы не хотите использовать предлагаемые уровни безопасности, вы можете нажать кнопку «Другой…» и определить все параметры безопасности самостоятельно.
Описанные выше настройки безопасности обозревателя InternetExplorer также доступны через групповую политику (Конфигурация компьютера, Административные шаблоны, Компоненты Windows, InternetExplorer, Панель управления обозревателем, Страница безопасности).
3.4 Автоматическое обновление
Как уже указывалось ранее, нажав кнопку в «Центре обеспечения безопасности Windows», вы откроете окно настроек «Автоматического обновления».
Встроенная в Windows XP справочная система очень подробно описывает систему автоматического обновления. Для того чтобы воспользоваться этой справкой, щелкните по надписи «Как работает автоматическое обновление?». Остановимся только на некоторых моментах.
Во-первых, необходимо различать понятия «загрузка» и «установка» обновлений. Загрузка означает процесс передачи файлов обновлений с сервера Microsoft (или с внутреннего сервера обновлений в организации) на компьютер пользователя. Установка обозначает собственно процесс инсталляции обновлений на компьютере пользователя. Возможна ситуация, когда обновления загружены на пользовательский компьютер, но еще не установлены.
Во-вторых, если вы выбрали вариант «Автоматически», то обновления будут загружаться и устанавливаться в указанное вами время. Если компьютер в указанное время всегда выключен, то установка обновлений никогда не выполнится. При регистрации на компьютере пользователь с правами локального администратора может запустить установку вручную, не дожидаясь запланированного времени. При наступлении запланированного времени пользователю будет выдано соответствующее предупреждение о начале установки обновлений. Если в этот момент в системе работает администратор, у него будет возможность отложить установку до следующего запланированного времени. У других пользователей (без прав администратора) возможности отменить запланированную установку обновлений не будет.
Во всех остальных случаях (кроме варианта «отключить автоматическое обновление») уведомления о существующих обновлениях для вашего компьютера (готовых к загрузке или к установке) будут появляться только при регистрации на вашем компьютере пользователя с правами локального администратора. Таким образом, если на компьютере вы постоянно работаете с учетной записью, не входящей в группу локальных администраторов, то установка обновлений никогда не выполнится.
Описанные выше настройки автоматического обновления также доступны для настройки через групповую политику (Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Windows Update). Кроме того, только через групповую политику можно задать дополнительные параметры. Например, можно указать адрес внутреннего сервера обновлений, который централизованно получает обновления с серверов Microsoft и отдает их внутренним компьютерам организации. В качестве примера такого сервера можно привести Microsoft® Windows Server™ Update Services (WSUS).
3.5 Брандмауэр Windows
Как уже указывалось ранее, нажав кнопку в «Центре обеспечения безопасности Windows», вы откроете окно настроек «Брандмауэра Windows».
Если вы щелкните по надписи «Подробнее о брандмауэре Windows», то сможете прочитать краткую информацию о возможностях брандмауэра (межсетевого экрана), входящего в состав Windows XP SP2. Нет необходимости повторять эту информацию здесь.
Отметим лишь, что, в отличие от продуктов других производителей, встроенный брандмауэр Windows предназначен только для контроля входящего трафика, т. е. он защищает компьютер только от внешних вторжений. Он не контролирует исходящий трафик вашего компьютера. Таким образом, если на ваш компьютер уже попал троянский конь или вирус, которые сами устанавливают соединения с другими компьютерами, брандмауэр Windows не будет блокировать их сетевую активность.
Кроме того, по умолчанию брандмауэр защищает все сетевые соединения, и запрос входящего эха по протоколу ICMP запрещен. Это означает, что если на компьютере включен брандмауэр Windows, то проверять наличие такого компьютера в сети с помощью команды PING — бессмысленное занятие.
Очень часто в организациях, где используется программное обеспечение, требующее разрешения входящих соединений на пользовательские компьютеры, возникает необходимость открыть некоторые порты на компьютерах с установленной Windows XP SP2. Для решения этой задачи необходимо задать исключения в настройках брандмауэра Windows. Существует два способа решить эту задачу:
1. Можно задать исключение, указав программу, требующую входящие соединения. В этом случае брандмауэр сам определит, какие порты необходимо открыть, и откроет их только на время выполнения указанной программы (точнее, на время, когда программа будет прослушивать этот порт).
2. Можно задать исключение, указав конкретный порт, по которому программа ожидает входящие соединения. В этом случае порт будет открыт всегда, даже когда эта программа не будет запущена. С точки зрения безопасности этот вариант менее предпочтителен.
Существует несколько способов задать исключение в настройках брандмауэра Windows. Можно воспользоваться графическим интерфейсом. Этот вариант достаточно подробно освещен в Центре справки и поддержки Windows XP SP2. Можно использовать доменную групповую политику. Этот вариант предпочтителен при большом количестве компьютеров в организации. Рассмотрим его более подробно.
Параметры Брандмауэра Windows в групповой политике размещаются в узле «Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows».
При настройке через групповую политику вам необходимо настроить два профиля:
1. Профиль домена. Настройки этого профиля используются, когда компьютер подключен к сети, содержащей контроллер домена организации.
2. Стандартный профиль. Настройки этого профиля применяются, когда компьютер не подключен к сети, содержащей контроллер домена организации. Например, если ноутбук организации используется в командировке и подсоединен к Интернету через Интернет-провайдера. В этом случае настройки брандмауэра должны быть более строгими по сравнению с настройками доменного профиля, так как компьютер подключается к публичной сети, минуя межсетевые экраны своей организации.
Рассмотрим, как задать исключения для программы и для заданного порта. В качестве конкретного примера возьмем обращение Сервера администрирования KasperskyAdministrationKit к компьютеру, на котором установлен Агент администрирования, для получения информации о состоянии антивирусной защиты. В этом случае необходимо, чтобы на клиентском компьютере был открыт порт UDP 15 000 или разрешен прием входящих сообщений программой «C:Program FilesKasperskyLabNetworkAgentklnagent. exe».
Создание исключения для программы
Настроим параметры групповой политики так, чтобы брандмауэр всегда работал, но пропускал входящие соединения для программы «C:Program FilesKasperskyLabNetworkAgentklnagent. exe». Укажем также, что эта программа будет принимать входящие соединения только с адреса 192.168.0.1.
Для этого необходимо изменить параметры, расположенные в узле «Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Профиль домена». Параметры, не указанные в этой таблице, могут иметь состояние «Не задана».
Формат задания исключения для программ следующий:
ProgramPath: Scope: Enabled|Disabled: ApplicationName
гдеProgramPath — путь к программе и имя файла,
Scope — один или несколько адресов, разделенных запятыми (например, «*» — все сети (кавычки не указываются); 192.168.0.1 — один адрес; 192.168.10.0/24 — подсеть; «localsubnet» — локальная подсеть),
Enabled|Disabled — состояние исключения (включено или выключено),
Application Name — описание исключения (текстовая строка).
Создание исключения для порта
Настроим параметры групповой политики так, чтобы брандмауэр всегда работал, но пропускал входящие соединения с адреса 192.168.0.1 на порт UDP 15 000.
Для этого необходимо изменить параметры, расположенные в узле «Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Профиль домена». Параметры, не указанные в этой таблице, могут иметь состояние «Не задана».
Формат задания исключения для программ следующий:
Port#:TCP|UDP: Scope: Enabled|Disabled: PortName
где Port# - номер открываемого порта,
TCP|UDP — тип порта,
Scope — один или несколько адресов, разделенных запятыми (например, «*» — все сети (кавычки не указываются); 192.168.0.1 — один адрес; 192.168.10.0/24 — подсеть; «localsubnet» — локальная подсеть),
Enabled|Disabled — состояние исключения (включено или выключено),
PortName — описание исключения (текстовая строка).