Memastikan keselamatan dalam Windows NT. Mengedit templat sedia ada. Buat templat keselamatan baharu

Victor Kulagin, Sergey Matveev, Alexander Osadchuk

Masalah keselamatan komputer bukanlah perkara baru. Setiap orang yang menggunakan rangkaian komputer memerlukan alat keselamatan. Statistik menunjukkan bahawa dalam kebanyakan kes, kemasukan tanpa kebenaran ke dalam sistem boleh dielakkan jika pentadbir sistem memberi perhatian sewajarnya kepada langkah keselamatan. Keberkesanan memastikan keselamatan sistem komputer sentiasa bergantung pada kualiti tetapan perisian dan perkakasan. Sistem pengendalian Windows NT mempunyai set ciri keselamatan yang kaya. Walau bagaimanapun, nilai lalai parameter perlindungan tidak selalu memenuhi keperluan. Mari lihat alat dan kaedah keselamatan asas yang disertakan dalam Windows NT 4.0 dan 5.0.

Perlindungan fizikal

Cara perlindungan fizikal termasuk:

  • memastikan keselamatan premis di mana pelayan rangkaian berada;
  • mengehadkan akses fizikal kepada pelayan, hab, suis, kabel rangkaian dan peralatan lain kepada orang yang tidak dibenarkan;
  • penggunaan alat perlindungan terhadap kegagalan kuasa.

Pentadbiran akaun

Ciri Pengurus Akaun termasuk sokongan untuk mengenal pasti dan mengesahkan pengguna semasa log masuk. Semua tetapan yang diperlukan disimpan dalam pangkalan data Pengurus Akaun. Ini termasuk:

  • akaun pengguna;
  • akaun kumpulan;
  • akaun komputer domain;
  • akaun domain.

Pangkalan data Pengurus Akaun ialah sarang pendaftaran sistem yang terletak di cawangan HKEY_LOCAL_MACHINE dan dipanggil SAM (Gamb. 1). Seperti semua sarang lain, ia disimpan dalam fail berasingan dalam direktori %Systemroot%\System32\Con fig, yang juga dipanggil SAM. Direktori ini biasanya mengandungi sekurang-kurangnya dua fail SAM: satu tanpa sambungan - pangkalan data akaun itu sendiri; yang kedua mempunyai sambungan .log - log transaksi pangkalan data.

Yang paling menarik ialah bahagian akaun pengguna: mereka menyimpan maklumat tentang nama dan kata laluan. Perlu diingatkan bahawa kata laluan tidak disimpan dalam bentuk teks. Mereka dilindungi oleh prosedur pencincangan. Ini tidak bermakna bahawa tanpa mengetahui kata laluan dalam teks biasa, penyerang tidak akan menembusi sistem. Apabila menyambung ke rangkaian, tidak perlu mengetahui teks kata laluan; kata laluan yang dicincang sudah memadai. Oleh itu, cukup untuk mendapatkan salinan pangkalan data SAM dan mengekstrak kata laluan yang dicincang daripadanya.

Apabila memasang Windows NT, akses kepada fail %Systemroot%\System32\Config\sam disekat untuk program biasa. Walau bagaimanapun, menggunakan utiliti Ntbackup, mana-mana pengguna dengan fail Sandarkan dan direktori yang betul boleh menyalinnya. Selain itu, penyerang boleh cuba menulis ganti salinannya (Sam.sav) daripada direktori %Systemroot%\System32\Config atau salinan yang diarkibkan (Sam._) daripada direktori %Systemroot%\Repair.

Oleh itu, untuk melindungi maklumat yang disimpan dalam pangkalan data SAM, perkara berikut perlu:

  • mengecualikan pelayan but dalam mod DOS (pasang semua partition di bawah NTFS, lumpuhkan boot dari pemacu cakera liut dan CD, adalah dinasihatkan untuk menetapkan kata laluan pada BIOS (walaupun ukuran ini telah lama ketinggalan zaman, kerana beberapa versi BIOS mempunyai "lubang" untuk memulakan komputer tanpa kata laluan , selepas semua, penyerang akan kehilangan masa untuk log masuk ke dalam sistem);
  • hadkan bilangan pengguna dengan hak Operator Sandaran dan Operator Pelayan;
  • selepas pemasangan atau kemas kini, padamkan fail Sam.sav;
  • batalkan caching maklumat keselamatan pada komputer domain (nama dan kata laluan sepuluh pengguna terakhir yang sebelum ini mendaftar pada komputer ini disimpan dalam pendaftaran tempatannya). Menggunakan utiliti Regedt32, tambahkan pada bahagian pendaftaran
  • HKEY_LOCAL_MACHINE\Microsoft|Windows NT\CurrentVersion\WinLogon:
  • Parameter CachedLogonsCount
  • Taip REG_SZ
  • Nilai 0

Salah satu kaedah popular untuk menembusi sistem ialah meneka kata laluan. Untuk memerangi ini, mereka biasanya menetapkan akaun pengguna untuk dikunci (Sekat Akaun) selepas beberapa percubaan log masuk yang tidak berjaya, menggunakan utiliti Pengurus Pengguna dalam kotak dialog Dasar Akaun, boleh diakses melalui menu Polisi/Akaun (Gamb. 2) .

Pengecualian yang bagus ialah akaun pentadbir. Dan jika dia mempunyai hak untuk log masuk melalui rangkaian, ini membuka celah untuk meneka kata laluan secara senyap-senyap. Untuk perlindungan, disyorkan untuk menamakan semula pengguna Pentadbir, menetapkan penguncian akaun, melarang pentadbir daripada melog masuk ke sistem melalui rangkaian, melarang penghantaran paket SMB (dibincangkan di bawah) melalui TCP/IP (port 137,138,139), sediakan pengelogan log masuk yang tidak berjaya;

  • adalah perlu untuk memperkenalkan penapisan kata laluan yang dimasukkan pengguna, pasang Pek Perkhidmatan 2 atau 3 (pustaka dinamik Passfilt.dll digunakan). Apabila membuat kata laluan baharu, perpustakaan ini menyemak bahawa:
    • Panjang kata laluan sekurang-kurangnya enam aksara;
    • mengandungi tiga set daripada empat yang sedia ada:
  • kumpulan besar abjad Latin A, B, C,…, Z;
  • kumpulan huruf kecil abjad Latin a,b,c,…,z;
  • Angka Arab 0,1,2,…,9;
  • aksara bukan aritmetik (khas) seperti tanda baca.
    • Kata laluan tidak terdiri daripada nama pengguna atau mana-mana bahagian daripadanya.

Untuk mendayakan penapisan ini, anda perlu pergi ke bahagian pendaftaran

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Tambah

Melindungi fail dan direktori (folder)

Sistem pengendalian Windows NT 4.0 menyokong sistem fail FAT (Jadual Peruntukan Fail) dan NTFS (Sistem Fail Teknologi Baharu). Mari kita ingat bahawa yang pertama disokong oleh sistem pengendalian yang terkenal seperti MS-DOS, Windows 3.X, Windows 95/98 dan OS/2, yang kedua hanya disokong oleh Windows NT. FAT dan NTFS mempunyai ciri prestasi yang berbeza, julat ciri yang berbeza yang disediakan, dsb. Perbezaan utama antara sistem fail NTFS dan lain-lain (FAT, VFAT (Jadual Peruntukan Fail Maya), HPFS) ialah satu-satunya yang memenuhi standard keselamatan C2; khususnya, NTFS menyediakan perlindungan untuk fail dan direktori apabila diakses secara tempatan .

Melindungi sumber menggunakan FAT boleh diatur menggunakan hak akses: Baca, Tulis, Penuh.

Oleh itu, kami boleh mengesyorkan membuat partition cakera NTFS dan bukannya FAT. Jika anda masih perlu menggunakan partition FAT, maka anda perlu menjadikannya partition berasingan untuk aplikasi MS-DOS dan tidak meletakkan fail sistem Windows NT di dalamnya.

Oleh kerana fail dan direktori dalam Windows NT adalah objek, kawalan keselamatan berlaku pada peringkat objek. Deskriptor keselamatan mana-mana objek pada partition NTFS mengandungi dua senarai kawalan akses (ACL): ACL (DACL) budi bicara dan ACL sistem (SACL).

Dalam sistem pengendalian Windows NT, kawalan akses kepada fail dan direktori NTFS bukan terletak pada pentadbir, tetapi dengan pemilik sumber dan dikawal oleh sistem keselamatan menggunakan topeng akses yang terkandung dalam entri ACL.

Topeng akses termasuk standard (Synchronize, Write_Owner, Write_Dac, Read_Control, Delete), khusus (Read (Write)_Data, Append_Data, Read(Write)_Attributes, Read(Write)_ExtendedAttributes, Execute) dan generik (Generic_Read(Write), Generic_Execute ) hak akses. Semua hak ini disertakan dalam Senarai Kawalan Akses Budi Bicara (DACL). Selain itu, topeng akses mengandungi sedikit yang sepadan dengan hak Access_System_Security. Hak ini mengawal akses kepada senarai kawalan akses sistem (SACL).

DACL mentakrifkan pengguna dan kumpulan yang dibenarkan atau dinafikan akses kepada sumber yang diberikan. Senarai inilah yang boleh diuruskan oleh pemilik objek.

SACL menentukan jenis akses yang ditentukan pemilik, yang menyebabkan sistem menjana entri audit dalam log peristiwa sistem. Hanya pentadbir sistem yang menguruskan senarai ini.

Sebenarnya, untuk pentadbiran bukan hak akses individu yang digunakan, tetapi kebenaran NTFS. Kebenaran dibahagikan kepada:

individu - satu set hak yang membolehkan anda menyediakan pengguna dengan akses satu jenis atau yang lain (Jadual 1.1);

standard - set kebenaran individu untuk melakukan tindakan pada tahap tertentu pada fail atau direktori (Jadual 1.2);

istimewa - gabungan kebenaran individu yang tidak bertepatan dengan mana-mana set standard (Jadual 1.3).

Secara lalai, apabila memasang Windows NT dan sistem fail NTFS, kebenaran yang agak "longgar" ditetapkan, membenarkan pengguna biasa mengakses beberapa fail dan direktori sistem. Sebagai contoh:

Direktori %systemroot% dan %systemroot%\system32 mempunyai kebenaran Tukar untuk kumpulan Everyone secara lalai. Jika, selepas memasang Windows NT, FAT kemudiannya ditukar kepada NTFS, maka kebenaran untuk kumpulan ini ditetapkan kepada semua fail dan subdirektori %systemroot%. Melindungi data direktori melibatkan penetapan kebenaran dengan betul. Dalam jadual 2 menunjukkan nilai kebenaran untuk direktori. Daripada kumpulan Semua Orang, anda perlu membuat kumpulan Pengguna dan menggunakannya.

Terdapat beberapa fail sistem pengendalian yang terletak dalam direktori akar partition sistem, yang juga perlu dilindungi dengan memberikan kebenaran berikut (Jadual 3).

Perlu diingat bahawa kebenaran sedemikian akan menyukarkan pengguna untuk memasang perisian. Ia juga mustahil untuk menulis ke fail .ini dalam direktori sistem.

Adalah disyorkan untuk mengekalkan bilangan pengguna yang mempunyai hak pentadbir pada tahap minimum. Adalah lebih baik untuk memadamkan akaun Tetamu sama sekali, walaupun ia sudah dilumpuhkan semasa pemasangan (secara lalai), dan bukannya akaun ini, buat akaun sementara anda sendiri untuk setiap pengguna dengan kebenaran dan hak yang sesuai.

Perlindungan pendaftaran

Pendaftaran sistem Windows NT ialah pangkalan data yang mengandungi maklumat tentang konfigurasi dan nilai parameter semua komponen sistem (peranti, sistem pengendalian dan aplikasi). Sarang pendaftaran utama terletak di cawangan HKEY_LOCAL_MACHINE dan dipanggil SAM, SECURITY, SOFTWARE dan SYSTEM. Sarang SAM, seperti yang kita sedia maklum, ialah pangkalan data Pengurus Akaun, SECURITY menyimpan maklumat yang digunakan oleh Pengurus Keselamatan tempatan (LSA). Hive SOFTWARE mengandungi parameter dan tetapan perisian, dan hive SYSTEM mengandungi data konfigurasi yang diperlukan untuk but sistem pengendalian (pemacu, peranti dan perkhidmatan).

Akses pengguna kepada medan pendaftaran hendaklah dihadkan. Ini boleh dilakukan menggunakan utiliti Regedt32.

Kebenaran lalai untuk mengakses kunci pendaftaran yang ditetapkan dalam sistem tidak boleh diubah suai oleh pengguna biasa. Oleh kerana beberapa kunci pendaftaran boleh diakses oleh ahli kumpulan Semua orang, selepas memasang Windows NT, anda mesti menukar kebenaran dalam kunci (Jadual 4).

Untuk mengakses bahagian

HK EY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\PerfLib anda boleh mengalih keluar sepenuhnya kumpulan Semua orang, dan sebaliknya menambah kumpulan INTERAKTIF dengan kanan Baca.

Untuk mengehadkan capaian jauh kepada pendaftaran sistem Windows NT, gunakan entri dalam kekunci H KEY_LOCAL_MACHINE\System\CurrentcontrolSet\Control\SecurePipeServers\winreg. Secara lalai, ahli kumpulan Pentadbir mempunyai hak untuk mengakses pendaftaran dari jauh. Stesen kerja tidak mempunyai partition ini dan mesti dibuat. Hanya pengguna dan kumpulan yang dinyatakan dalam senarai hak akses kepada bahagian yang ditentukan diberikan akses jauh kepada pendaftaran. Sesetengah kunci pendaftaran mesti disediakan kepada pengguna atau kumpulan lain melalui rangkaian; Untuk melakukan ini, bahagian ini boleh ditentukan dalam parameter Mesin dan Pengguna bagi subseksyen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers\winreg\AllowedPaths.

Keselamatan Pelayan SMB

Akses kepada fail dan pencetak melalui rangkaian dalam sistem pengendalian Windows NT disediakan oleh pelayan SMB (Server Message Block), hanya dipanggil pelayan atau pelayan Pengurus LAN. SMB mengesahkan pelanggan yang cuba mengakses maklumat melalui rangkaian. Terdapat dua mod pengendalian sistem kawalan: menyemak di peringkat sumber (Tahap Perkongsian) dan menyemak di peringkat pengguna (Tahap Pengguna). Windows NT tidak menyokong akses peringkat sumber.

Dalam pengesahan peringkat pengguna, pelayan melakukan pengenalan pengguna berdasarkan pangkalan data akaun. Protokol SMB menyediakan keselamatan pada saat permulaan sesi, kemudian semua data pengguna dihantar melalui rangkaian dalam teks yang jelas. Jika anda ingin memastikan kerahsiaan maklumat, anda mesti menggunakan penyulitan perisian atau perkakasan untuk saluran pengangkutan (contohnya, PPTP, termasuk dalam Windows NT).

Sesi protokol SMB boleh ditipu atau dirampas. Gerbang boleh merampas sesi SMB dan mendapat akses yang sama kepada sistem fail seperti pengguna sah yang memulakan sesi. Tetapi pintu masuk jarang digunakan dalam rangkaian tempatan. Dan jika percubaan sedemikian dibuat oleh komputer pada rangkaian Ethernet atau Token Ring di mana klien atau pelayan SMB berada, ia tidak mungkin berjaya, kerana memintas paket agak sukar.

Keupayaan untuk menghantar kata laluan pengguna dalam teks yang jelas melalui rangkaian menjadikan sistem terdedah. Selepas memasang Pek Perkhidmatan 3, sistem pengendalian secara automatik melumpuhkan keupayaan untuk menghantar kata laluan dalam teks yang jelas, tetapi terdapat pelayan SMB yang tidak menerima kata laluan yang disulitkan (contohnya, Pengurus Lan untuk UNIX). Untuk membolehkan pemindahan kata laluan "kosongkan", anda perlu menetapkannya dalam pendaftaran dalam bahagian tersebut

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

Parameter DayakanPlainTextPassword
taip REG_DWORD
Maknanya 1

Perlu diingatkan bahawa Microsoft telah mengubah suai protokol SMB, yang dipanggil SMB Signing. Dalam kes ini, pelanggan dan pelayan mengesahkan ketulenan setiap mesej yang tiba melalui protokol SMB. Untuk melakukan ini, tandatangan elektronik diletakkan dalam setiap mesej SMB yang mengesahkan bahawa klien atau pelayan yang menghantar mesej mengetahui kata laluan pengguna. Oleh itu, tandatangan elektronik memperakui bahawa arahan SMB, pertama sekali, dicipta oleh pihak yang memiliki kata laluan pengguna; kedua, ia dicipta dalam rangka sesi tertentu ini; dan ketiga, mesej yang dihantar antara pelayan dan klien adalah asal.

Untuk mendayakan pengesahan tandatangan elektronik dalam mesej SMB, anda mesti memasang Service Pack 3 dan menetapkan parameter dalam pelayan dan daftar pelanggan, untuk pelayan - dalam bahagian HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

Parameter EnableSecuritySignature
taip REG_DWORD
Maknanya 1

Jika nilainya ialah 0 (lalai), maka sokongan Tandatangan SMB dilumpuhkan pada pelayan. Tidak seperti pelayan, nilai EnableSecuritySignature pelanggan sudah 1 secara lalai.

Apabila pelayan dimulakan, folder perkongsian pentadbiran dicipta, yang menyediakan akses kepada direktori akar volum. Secara lalai, akses kepada sumber ini terhad kepada ahli kumpulan Pentadbir, Operator Sandaran, Operator Pelayan dan Pengguna Kuasa. Jika anda ingin membatalkan akses kepada mereka, anda perlu pergi ke bahagian pendaftaran HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

Keselamatan Pelayan IIS

Pelayan Maklumat Internet Microsoft (IIS) telah dicipta untuk menyatukan operasi semua perkhidmatan Internet. Ia adalah pakej bersepadu perkhidmatan sebelah pelayan yang menyokong HTTP, FTP dan Gopher.

Keselamatan IIS adalah berdasarkan ciri keselamatan Windows NT. Ini termasuk:

  • akaun pengguna. Untuk menghalang akses tanpa kebenaran kepada hos IIS, anda harus mengawal akaun pengguna. Kaedah perlindungan utama juga termasuk: menggunakan borang "Internet Guest", mendaftar dengan nama pengguna dan kata laluan (mengikut skema pengesahan Windows NT) dan memilih kata laluan yang sukar diteka;
  • memasang NTFS;
  • hak akses. Mekanisme akses utama melalui pelayan IIS ialah akses tanpa nama. Daripada mekanisme pengesahan, hanya Windows NT Challenge-Response, yang digunakan oleh pelayan HTTP, boleh dianggap agak selamat. Oleh itu, jangan gunakan skim pengesahan asas, kerana nama pengguna dan kata laluan dihantar melalui rangkaian dalam jelas;
  • mengurangkan bilangan protokol dan melumpuhkan perkhidmatan Pelayan. Dengan mengurangkan bilangan protokol yang digunakan oleh penyesuai rangkaian, anda akan meningkatkan keselamatan dengan ketara. Untuk menghalang pengguna daripada melihat perkongsian IIS, lumpuhkan perkhidmatan Pelayan. Melumpuhkan perkhidmatan ini akan menyukarkan penyerang untuk mencari kelemahan dalam sistem anda;
  • perlindungan maklumat dalam FTP. FTP sentiasa menggunakan keselamatan peringkat pengguna. Ini bermakna untuk mengakses pelayan FTP, pengguna mesti melalui prosedur pendaftaran. Perkhidmatan IIS FTP boleh menggunakan pangkalan data belanjawan pengguna Windows NT Server untuk mengenal pasti pengguna yang ingin mendapatkan akses. Walau bagaimanapun, dengan prosedur ini, FTP menghantar semua maklumat hanya dalam teks yang jelas, yang mewujudkan risiko pemintasan nama pengguna dan kata laluan.

Masalah pendedahan kata laluan dihapuskan apabila pelayan FTP dikonfigurasikan untuk membenarkan akses tanpa nama. Apabila log masuk tanpa nama, pengguna mesti memasukkan sebagai nama pengguna tanpa nama dan alamat pos (e-mel) anda sebagai kata laluan. Pengguna tanpa nama mempunyai akses kepada fail yang sama yang dibenarkan untuk diakses oleh belanjawan lVSR_computememe.

Selain itu, anda hanya boleh membenarkan akses tanpa nama kepada perkhidmatan FTP pelayan Windows NT IIS. Pilihan ini bagus kerana ia tidak membenarkan kata laluan dinyahklasifikasikan pada rangkaian awam. Akses FTP tanpa nama didayakan secara lalai;

  • kawalan capaian melalui alamat IP. Terdapat pilihan tambahan untuk mengawal akses kepada pelayan IIS - membenarkan atau menafikan akses daripada alamat IP tertentu (Gamb. 5). Sebagai contoh, anda boleh menafikan akses kepada pelayan anda daripada alamat IP tertentu; dengan cara yang sama, anda boleh membuat pelayan tidak boleh diakses oleh keseluruhan rangkaian. Sebaliknya, anda hanya boleh membenarkan nod tertentu untuk mengakses pelayan;
  • skim penyulitan. Untuk memastikan keselamatan paket semasa ia melalui rangkaian, pelbagai skim penyulitan mesti digunakan. Keperluan untuk perlindungan sedemikian adalah disebabkan oleh fakta bahawa apabila menghantar paket melalui rangkaian, pemintasan bingkai adalah mungkin. Kebanyakan skim penyulitan beroperasi dalam lapisan aplikasi dan pengangkutan model OSI. Sesetengah skim boleh berfungsi pada tahap yang lebih rendah. Protokol berikut digunakan: SSL, PCT, SET, PPTP, PGP.

Audit

Pengauditan ialah salah satu alat perlindungan rangkaian Windows NT. Ia boleh digunakan untuk menjejaki tindakan pengguna dan beberapa peristiwa sistem pada rangkaian. Parameter berikut mengenai tindakan yang dilakukan oleh pengguna direkodkan:

  • tindakan selesai;
  • nama pengguna yang melakukan tindakan itu;
  • tarikh dan masa pelaksanaan.

Audit yang dilaksanakan pada satu pengawal domain digunakan untuk semua pengawal domain. Menyediakan pengauditan membolehkan anda memilih jenis acara untuk dilog dan menentukan parameter yang akan dilog.

Pada rangkaian dengan keperluan keselamatan yang minimum, audit:

  • kejayaan penggunaan sumber hanya jika anda memerlukan maklumat ini untuk perancangan;
  • Untuk rangkaian dengan keperluan keselamatan sederhana, audit:
  • kejayaan penggunaan sumber penting;
  • percubaan yang berjaya dan tidak berjaya untuk mengubah strategi keselamatan dan dasar pentadbiran;
  • kejayaan penggunaan maklumat sensitif dan sulit.
  • Dalam rangkaian dengan keperluan keselamatan yang tinggi, audit:
  • percubaan yang berjaya dan tidak berjaya untuk mendaftarkan pengguna;
  • penggunaan mana-mana sumber yang berjaya dan tidak berjaya;
  • percubaan yang berjaya dan tidak berjaya untuk mengubah strategi keselamatan dan dasar pentadbiran.

Pengauditan meletakkan beban tambahan pada sistem, jadi hanya log peristiwa yang benar-benar menarik.

Windows NT merekodkan peristiwa dalam tiga log:

  • Log sistem(log sistem) mengandungi mesej ralat, amaran dan maklumat lain daripada sistem pengendalian dan komponen pihak ketiga. Senarai peristiwa yang dilog masuk dalam log ini dipratentukan oleh sistem pengendalian dan komponen pihak ketiga dan tidak boleh diubah oleh pengguna. Log ada dalam fail Sysevent.evt.
  • Log keselamatan(Log Keselamatan) mengandungi maklumat tentang percubaan yang berjaya dan tidak berjaya untuk melaksanakan tindakan yang direkodkan oleh alat audit. Peristiwa yang dilog masuk dalam log ini ditentukan oleh strategi audit yang anda tentukan. Log berada dalam fail Secevent.evt.
  • Log permohonan(Log Aplikasi) mengandungi mesej ralat, amaran dan maklumat lain yang dihasilkan oleh pelbagai aplikasi. Senarai peristiwa yang dilog masuk dalam log ini ditentukan oleh pembangun aplikasi. Log berada dalam fail Appevent.evt.

Semua log terletak dalam folder %Systemroot%\System32\Config.

Apabila memilih acara untuk diaudit, pertimbangkan kemungkinan limpahan log. Untuk mengkonfigurasi log, gunakan kotak dialog Tetapan Log Peristiwa (Rajah 6).

Menggunakan tetingkap ini anda boleh mengawal:

  • saiz log yang diarkibkan (saiz lalai ialah 512 KB, anda boleh menukar saiz dari 64 kepada 4,194,240 KB);
  • metodologi untuk menggantikan catatan jurnal yang lapuk;
    • Tulis Ganti Peristiwa mengikut Keperluan - jika log penuh semasa merakam peristiwa baharu, sistem pengendalian memadamkan peristiwa tertua;
    • Tulis Ganti Peristiwa Lebih Lama daripada X Hari - jika log penuh, apabila merakam acara baharu, acara itu sendiri dipadamkan, tetapi hanya jika ia lebih lama daripada X hari, jika tidak, acara baharu akan diabaikan;
    • Jangan Tulis Ganti Peristiwa - jika log penuh, peristiwa baharu tidak direkodkan. Membersihkan log dilakukan secara manual.

Untuk melihat maklumat tentang ralat dan amaran, serta pelancaran tugas yang berjaya dan tidak berjaya, gunakan program Pemapar Acara. Organisasi akses kepada log diterangkan dalam jadual. 5 .

Secara lalai, pengauditan dilumpuhkan dan tiada log keselamatan dikekalkan.

Langkah pertama dalam merancang strategi audit ialah memilih peristiwa yang akan diaudit dalam kotak dialog Dasar Audit bagi utiliti Pengurus Pengguna untuk Domain (Pengurus Pengguna) (Rajah 7).

Berikut adalah jenis acara yang boleh didaftarkan:

  • Logon dan Logoff - mendaftarkan pengguna dalam sistem atau log keluar daripadanya, serta mewujudkan dan memutuskan sambungan rangkaian;
  • Akses Fail dan Objek - akses kepada folder, fail dan pencetak yang tertakluk kepada audit;
  • Penggunaan Hak Pengguna - penggunaan keistimewaan pengguna (kecuali hak yang berkaitan dengan log masuk dan keluar dari sistem);
  • Pengurusan Pengguna dan Kumpulan - mencipta, menukar dan memadam akaun pengguna dan kumpulan, serta perubahan pada sekatan akaun;
  • Perubahan Dasar Keselamatan - perubahan dalam keistimewaan pengguna, strategi audit dan dasar amanah;
  • Mulakan Semula, Tutup dan Sistem - memulakan semula atau mematikan komputer oleh pengguna; berlakunya situasi yang menjejaskan keselamatan sistem;
  • Penjejakan Proses - peristiwa yang menyebabkan program bermula dan ditamatkan.

Menyediakan fungsi audit diterangkan dalam dokumentasi Windows NT. Selain itu, kami akan mempertimbangkan jenis audit berikut:

Audit objek asas. Selain fail dan folder, pencetak dan kunci pendaftaran sistem, Windows NT mengandungi objek asas yang tidak boleh dilihat oleh pengguna biasa. Ia hanya tersedia kepada pembangun pemacu aplikasi atau peranti. Untuk mendayakan pengauditan objek ini, anda mesti mendayakan pengauditan peristiwa jenis Akses Fail dan Objek dalam Pengurus Pengguna dan menggunakan Editor Pendaftaran untuk menetapkan nilai parameter:

Cawangan HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Nama AuditBaseObjects
taip REG_DWORDNilai 1

Audit keistimewaan. Antara hak pengguna yang mungkin, terdapat beberapa keistimewaan yang tidak disemak dalam sistem walaupun semasa pengauditan keistimewaan didayakan. Keistimewaan ini ditunjukkan dalam jadual. 6.

Untuk mendayakan pengauditan keistimewaan ini, anda mesti menggunakan Editor Pendaftaran untuk menambah parameter berikut:

Cawangan HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa:
Nama FullPrivilegeAuditing
taip REG_BINARY
Maknanya 1

Perkhidmatan Keselamatan Windows NT 5.0

Keselamatan Windows NT 5.0 membolehkan semua pendekatan baharu untuk pengesahan pengguna dan perlindungan data. Ia termasuk:

  • Penyepaduan penuh dengan Windows NT 5.0 Active Directory untuk menyediakan pengurusan akaun berskala merentas domain besar dengan kawalan capaian yang fleksibel dan pengagihan hak pentadbiran;
  • Protokol pengesahan Kerberos versi 5 ialah standard keselamatan untuk Internet, dilaksanakan sebagai protokol pengesahan log masuk rangkaian utama;
  • pengesahan menggunakan sijil berdasarkan kunci awam;
  • saluran rangkaian selamat berdasarkan standard SSL;
  • sistem fail dengan penyulitan.

Perkhidmatan Keselamatan Teredar Windows NT 5.0 menyimpan maklumat akaun dalam Active Directory. Kelebihan direktori aktif:

  • Akaun pengguna dan kumpulan boleh diedarkan merentas bekas - bahagian(Unit Organisasi, OU). Domain dalam ruang nama hierarki boleh mengandungi sebarang bilangan bahagian. Ini membolehkan organisasi mencapai konsistensi antara nama yang digunakan pada rangkaian dan struktur perusahaan.
  • Active Directory menyokong bilangan objek yang lebih besar dan dengan prestasi yang lebih baik daripada registri. Pokok domain bersekutu Windows NT boleh menyokong struktur organisasi yang jauh lebih kompleks.
  • Pentadbiran akaun telah dipertingkatkan dengan alatan pengurusan direktori aktif grafik baharu, serta skrip yang mengakses objek COM direktori aktif.
  • Perkhidmatan Replikasi Direktori menyokong berbilang salinan akaun. Kini maklumat boleh dikemas kini untuk sebarang salinan akaun (tidak perlu mengasingkan pengawal domain kepada utama dan sandaran). Perkhidmatan Protokol Akses Direktori (LDAP) dan replikasi ringan menyediakan mekanisme untuk memautkan direktori Windows NT 5.0 dengan direktori berasaskan X.500 dan LDAP yang lain dalam perusahaan.

Untuk menyediakan keserasian dengan pelanggan sedia ada, menyediakan mekanisme keselamatan yang lebih berkesan dan membolehkan kesalingoperasian merentas rangkaian heterogen, Windows NT menyokong beberapa protokol keselamatan. Seni bina Windows NT tidak mengenakan sekatan ke atas penggunaan protokol keselamatan tertentu.

Windows NT 5.0 akan menyokong:

  • Protokol pengesahan Windows NT LAN Manager (NTLM), digunakan dalam Windows NT 4.0 dan versi sebelumnya Windows NT;
  • Protokol pengesahan Kerberos versi 5, menggantikan NTLM sebagai protokol utama untuk akses rangkaian kepada sumber domain Windows NT 5.0;
  • Protokol Pengesahan Kata Laluan Teragih (DPA); terima kasih kepada DPA, pengguna yang menerima satu kata laluan semasa pendaftaran boleh menyambung ke mana-mana tapak Internet yang disediakan oleh organisasi ini;
  • protokol berdasarkan kunci awam dan digunakan terutamanya untuk komunikasi antara penyemak imbas dan pelayan Web. Piawaian de facto di sini telah menjadi protokol Lapisan Soket Selamat (SSL).

Untuk akses seragam kepada pelbagai protokol, antara muka pengaturcaraan aplikasi Win32 baharu telah dibangunkan - antara muka pembekal sokongan keselamatan(Antara Muka Pembekal Sokongan Keselamatan, SSPI). SSPI membolehkan anda mengasingkan pengesahan pengguna, yang boleh dijalankan menggunakan protokol yang berbeza, daripada perkhidmatan dan aplikasi yang menggunakannya. Antara muka SSPI terdiri daripada beberapa set prosedur yang tersedia untuk program aplikasi yang melaksanakan:

  • pengurusan mandat(Pengurusan Kredensial) bekerja dengan maklumat pelanggan (kata laluan, tiket, dll.);
  • pengurusan konteks(Pengurusan Konteks) - mewujudkan konteks keselamatan pelanggan;
  • sokongan mesej(Sokongan Mesej) - menyemak integriti maklumat yang dihantar (berfungsi dalam konteks keselamatan pelanggan);
  • pengurusan pakej(Pengurusan Pakej) - pilih protokol keselamatan.

Protokol pengesahan Kerberos mentakrifkan interaksi antara pelanggan dan perkhidmatan pengesahan Pusat pengedaran kunci(Pusat Pengedaran Utama, KDC). Windows NT 5.0 setara domain kerajaan Kerberos(alam Kerberos), tetapi masih akan dipanggil domain dalam sistem pengendalian ini. Pelaksanaan Kerberos dalam Windows NT 5.0 adalah berdasarkan RFC1510. Berbanding dengan NTLM, protokol pengesahan Kerberos mempunyai kelebihan berikut:

  • sambungan yang lebih pantas antara pelanggan dan pelayan; kerana pelayan tidak perlu berkomunikasi dengan pengawal domain untuk mengesahkan pengguna, meningkatkan kebolehskalaan rangkaian komputer;
  • Hubungan kepercayaan transitif antara domain memudahkan pentadbiran rangkaian yang kompleks.

Windows NT 5.0 akan menampilkan alat keselamatan maklumat baharu sistem fail yang disulitkan(Sistem Fail Dienkripsi, EFS), yang membolehkan anda menyimpan fail dan folder dalam bentuk yang disulitkan. Terima kasih kepada ini, pengguna korporat dan individu akan menyelesaikan masalah kemungkinan kebocoran maklumat rahsia apabila komputer riba atau cakera keras dicuri dari pelayan. Maklumat yang disulitkan akan kekal tidak boleh diakses walaupun terdapat akses fizikal kepada cakera keras.

ComputerPress 2"1999

peralatan dalam konsol MMC membantu anda mendapatkan maklumat tentang tetapan keselamatan komputer tempatan. Jika pengguna tidak dapat melaksanakan tugas setempat atau jauh tertentu, sebabnya mungkin kerana tetapan keselamatan yang telah digunakan pengguna adalah terlalu ketat.

Walaupun kemungkinan perkara ini berlaku adalah rendah, jangan sekali-kali memandang rendah pengguna. Tidak perlu dikatakan, terdapat situasi di mana pentadbir baharu, setelah mengetahui bahawa terdapat perkara seperti "keselamatan," menyekat akses kepada pelayan sehingga tiada siapa yang boleh mengakses pelayan. Dalam situasi sedemikian, peralatan itu berguna Konfigurasi dan Analisis Keselamatan.

Konfigurasi dan Analisis Keselamatan ialah snap-in MMC, jadi untuk membukanya anda mesti memuatkan snap-in ke dalam konsol pengurusan. Untuk melakukan ini, lakukan urutan tindakan berikut:

1. Pilih Mula > Jalankan, masuk mmc dalam kotak dialog Lari dan klik pada butang okey.

2. Dalam konsol MMC, tekan kombinasi kekunci untuk menambah peralatan baru.

3. Klik pada butang Tambah.

5. Klik pada butang tutup dalam kotak dialog Tambah Snap-in Berdiri. Selepas ini, klik pada butang okey dalam kotak dialog Tambah/Alih Keluar Snap-in.

Selepas ini, anda sudah bersedia untuk melakukan analisis sistem. Analisis memerlukan ujian sistem terhadap corak keselamatan yang diketahui. Untuk tujuan diagnostik, adalah paling mudah untuk menggunakan templat lalai semasa menganalisis. Dalam Windows Server 2003 dan Windows XP, templat lalai disimpan dalam fail setup security.inf(atau DC Security.inf untuk pengawal domain) dan mewakili tetapan keselamatan yang akan digunakan serta-merta selepas sistem pengendalian dipasang.

Templat Keselamatan Persediaan adalah serupa dengan templat Asas yang digunakan dalam sistem pengendalian Windows 2000 dan sistem pengendalian terdahulu.

Untuk menganalisis tetapan keselamatan sistem, lakukan urutan tindakan berikut:

1. Klik kanan pada snap-in Konfigurasi dan Analisis Keselamatan dan pilih pasukan .


2. Untuk tujuan ujian, anda boleh mencipta pangkalan data baharu, jadi di lapangan Nama fail kotak dialog Buka Pangkalan Data masuk ujian dan klik pada butang Buka.

3. Sekarang, dalam kotak dialog Import Templat pilih fail setup security.inf dan klik pada butang Buka.


4. Selepas mengimport templat, anda boleh mula menganalisis tetapan keselamatan sistem. Untuk melakukan ini, klik kanan pada snap-in Konfigurasi dan Analisis Keselamatan dan pilih pasukan Analisis Komputer Sekarang.


5. Dalam kotak dialog Lakukan Analisis masukkan laluan baharu ke fail log ralat atau tinggalkan laluan fail lama dan klik pada butang OK.

Analisis sistem akan mengambil masa beberapa minit untuk diselesaikan. Setelah analisis selesai, snap-in akan memaparkan senarai tetapan keselamatan. Perbezaan daripada templat keselamatan sangat mudah dikesan, kerana perbezaan diserlahkan dengan X merah.

Anda tidak pernah tahu apa yang akan anda hadapi, terutamanya apabila bekerja pada rangkaian orang lain. Contoh praktikal: apabila pengarang artikel tidak dapat menghubungi pelayan tertentu, walaupun folder yang diperlukan telah disediakan untuk akses awam. Seperti yang ternyata kemudian, pelayan memerlukan penggunaan saluran yang disulitkan untuk penghantaran data, dan pelanggan tidak dapat menyediakan saluran yang disulitkan, walaupun pengguna memintanya.

Dalam erti kata lain, pelanggan cuba memulakan sesi dengan pelayan dan pelayan menjawab: "Kami akan berkomunikasi hanya melalui saluran yang disulitkan." Pelanggan membantah: "Tidak, tidak akan ada saluran yang disulitkan." Pelayan menjawab: "Sembang dengan pengguna anda." Walaupun analogi ini mungkin kelihatan bodoh, ingat bahawa masalah ini mudah ditemui dengan melihat laporan snap-in Konfigurasi dan Analisis Keselamatan untuk perbezaan dalam tetapan saluran yang disulitkan pada pelayan dan pada komputer klien.

Kadang-kadang cukup untuk mengetahui bahawa alat yang diperlukan wujud. Ramai orang jarang, jika pernah, menggunakan snap Konfigurasi dan Analisis Keselamatan, tetapi pengetahuan tentang kewujudan peralatan sedemikian boleh menjadikan pengguna wira hari ini.

Templat Keselamatan

Apabila mempertimbangkan peralatan Konfigurasi dan Analisis Keselamatan Ternyata untuk melakukan analisis tetapan keselamatan, mesti ada corak keselamatan yang diketahui untuk dibandingkan.

Jika anda perlu melihat dan mengkonfigurasi tetapan templat sebelum menjalankan analisis sistem, anda boleh menggunakan Templat Keselamatan. Untuk memuatkan snap-in, anda boleh menggunakan prosedur yang diterangkan dalam bahagian sebelumnya jika anda tidak melakukannya sebelum ini.

Setelah snap-in dimuatkan ke dalam konsol, anda boleh mula melihat dan menganalisis tetapan untuk setiap templat keselamatan.

Muka surat 13 daripada 15

Menyediakan keselamatan Windows XP

Sistem pengendalian Windows XP mempunyai sistem keselamatan yang dibangunkan, yang, bagaimanapun, perlu dikonfigurasikan (secara lalai, Windows XP Professional menyediakan pengguna dengan antara muka keselamatan yang sangat mudah yang membolehkan anda menetapkan nilai bilangan yang sangat terhad parameter capaian berdasarkan keahlian dalam kumpulan terbina dalam). Kami harap anda memahami bahawa Windows XP mesti dipasang pada partition NTFS, dan menggunakan sistem fail FAT32 tidak disyorkan atas sebab keselamatan (ciri keselamatan terbina dalam tidak boleh dilaksanakan dengan FAT32). Jika anda menggunakan sistem fail FAT32, hampir semua pernyataan dalam bahagian ini tidak akan bermakna kepada anda. Satu-satunya cara untuk membolehkan semua kebenaran sistem fail ialah menukar pemacu kepada format NTFS.
Selepas pemasangan Windows XP yang bersih, tetapan keselamatan lalai bertindak sebagai suis hidup-mati. Antara muka ini dipanggil Perkongsian Fail Mudah secara lalai.
Konfigurasi ini mempunyai tahap keselamatan yang rendah, hampir sama dengan konfigurasi Windows 95/98/Me standard.
Jika anda tidak berpuas hati dengan konfigurasi ini, anda boleh memanfaatkan kuasa penuh kebenaran fail gaya Windows 2000. Untuk melakukan ini, buka folder rawak dalam Explorer dan pilih Alat - Pilihan folder. Pergi ke tab Lihat, cari kotak semak Gunakan Perkongsian Fail (disyorkan) dalam senarai dan nyahtandainya (Untuk menukar pilihan ini, anda mesti menjadi ahli kumpulan Pentadbir).

Apabila anda mematikan perkongsian mudah, tab Keselamatan muncul dalam mana-mana kotak dialog sifat folder.
Perkara yang sama berlaku untuk mengeluarkan kebenaran fail. Semua kebenaran disimpan dalam Senarai Kawalan Akses (ACL).
Apabila menetapkan dan mengalih keluar kebenaran, ikut prinsip asas ini:

  • Kerja dari atas ke bawah.
  • Simpan fail data yang dikongsi bersama.
  • Bekerjasama dengan kumpulan di mana mungkin.
  • Jangan gunakan kebenaran khas.
  • Jangan berikan pengguna lebih banyak kebenaran daripada yang diperlukan (prinsip kebenaran paling sedikit).

Menetapkan kebenaran daripada baris arahan

Utiliti baris arahan cacls.exe membolehkan anda melihat dan menukar kebenaran fail dan folder. Cacls adalah singkatan untuk Control ACLs - pengurusan senarai kawalan akses.
Suis baris arahan utiliti Cacls
/T- Tukar kebenaran akses kepada fail tertentu dalam folder semasa dan semua subfolder
/E- Menukar senarai kawalan akses (tidak menggantikannya sepenuhnya)
/C- Teruskan jika ralat "akses ditolak" berlaku
/G user:permission- Memperuntukkan kebenaran yang ditentukan kepada pengguna. Tanpa suis /E, ia menggantikan sepenuhnya kebenaran semasa
/R pengguna- Membatalkan hak akses untuk pengguna semasa (hanya digunakan dengan suis /E)
/P pengguna: kebenaran- Menggantikan kebenaran pengguna yang ditentukan
/D pengguna- Menafikan akses pengguna kepada objek
Dengan kekunci /G dan /P, anda mesti menggunakan salah satu daripada huruf yang disenaraikan di bawah (bukan perkataan kebenaran):
  • F (Kawalan Penuh) - Setara dengan menyemak kotak semak Kawalan Penuh pada tab Keselamatan.
  • C (ubah) - sama dengan menyemak kotak semak Benarkan Ubah Suai
  • R (baca) - bersamaan dengan menandakan kotak semak Benarkan Baca & Laksanakan
  • W (tulis) - bersamaan dengan menandakan kotak semak Benarkan menulis (Tulis).
Microsoft Windows XP membantu menghalang data sensitif daripada jatuh ke tangan yang salah. Sistem Fail Penyulitan (EFS) menyulitkan fail pada cakera. Walau bagaimanapun, sila ambil perhatian bahawa jika anda kehilangan kunci penyahsulitan, data mungkin dianggap hilang. Oleh itu, jika anda memutuskan untuk memanfaatkan EFS, anda mesti mencipta akaun ejen pemulihan dan salinan sandaran sijil anda sendiri dan sijil ejen pemulihan.
Jika anda lebih suka bekerja dengan baris arahan, anda boleh menggunakan program cipher.exe. Perintah sifir tanpa parameter memaparkan maklumat tentang folder semasa dan fail yang terdapat di dalamnya (sama ada ia disulitkan atau tidak). Di bawah ialah senarai suis arahan sifir yang paling biasa digunakan
/E- Penyulitan folder tertentu
/D- Penyahsulitan folder tertentu
/S:folder- Operasi terpakai pada folder dan semua subfolder (tetapi bukan fail)
/A- Operasi digunakan pada fail dan fail yang ditentukan dalam folder yang ditentukan
/K- Mencipta kunci penyulitan baharu untuk pengguna yang melancarkan program. Jika kunci ini ditentukan, semua yang lain diabaikan
/R- Mencipta kunci dan sijil ejen pemulihan fail. Kunci dan sijil diletakkan dalam fail .CFX, dan salinan sijil diletakkan dalam fail .CER
/U- Kemas kini kunci penyulitan pengguna atau ejen pemulihan untuk semua fail pada semua pemacu tempatan
/U/N- Senaraikan semua fail yang disulitkan pada pemacu tempatan tanpa sebarang tindakan lain

Ejen Pemulihan Data

Pentadbir biasanya dilantik sebagai Ejen Pemulihan Data. Untuk mencipta ejen pemulihan, anda mesti membuat sijil pemulihan data dahulu dan kemudian menetapkan salah seorang pengguna anda sebagai ejen sedemikian.
Untuk membuat sijil, anda perlu melakukan perkara berikut:
1. Anda perlu log masuk sebagai Pentadbir
2. Masukkan sifir /R pada baris arahan: nama fail
3. Masukkan kata laluan untuk fail yang baru dibuat. Fail sijil mempunyai sambungan .PFX dan .CER dan nama yang anda tentukan.
NOTA: Fail ini membenarkan mana-mana pengguna pada sistem untuk menjadi ejen pemulihan. Pastikan anda menyalinnya ke cakera liut dan menyimpannya di tempat yang selamat. Selepas menyalin, padamkan fail sijil daripada cakera keras anda.
Untuk menetapkan agen pemulihan:
1. Log masuk dengan akaun yang sepatutnya menjadi ejen pemulihan data
2. Dalam konsol Sijil, pergi ke bahagian Sijil - Pengguna Semasa - Peribadi (Pengguna Semasa - Peribadi)
3. Tindakan - Semua Tugas - Import (Tindakan - Semua Tugas - Import) untuk melancarkan Wizard Import Sijil
4. Import sijil pemulihan Jika anda menggunakan alat penyulitan secara tidak betul, anda boleh mendapat lebih banyak bahaya daripada kebaikan.
Petua penyulitan ringkas:
1. Sulitkan semua folder tempat anda menyimpan dokumen
2. Sulitkan folder %Temp% dan %Tmp%. Ini akan memastikan bahawa semua fail sementara disulitkan
3. Sentiasa dayakan penyulitan untuk folder, bukan fail. Kemudian semua fail yang kemudiannya dibuat di dalamnya disulitkan, yang ternyata penting apabila bekerja dengan program yang mencipta salinan fail mereka sendiri semasa mengedit, dan kemudian menulis ganti salinan di atas yang asal
4. Eksport dan lindungi kunci peribadi akaun ejen pemulihan, dan kemudian padamkannya daripada komputer
5. Eksport sijil penyulitan peribadi semua akaun
6. Jangan padamkan sijil pemulihan apabila menukar polisi ejen pemulihan. Simpannya sehingga anda pasti bahawa semua fail yang dilindungi oleh sijil ini tidak akan dikemas kini.
7. Semasa mencetak, jangan buat fail sementara atau enkripsi folder di mana ia akan dibuat
8. Lindungi fail halaman anda. Ia harus dialih keluar secara automatik apabila anda keluar dari Windows

Pembina Templat Keselamatan

Templat keselamatan ialah fail ASCII biasa, jadi secara teori ia boleh dibuat menggunakan editor teks biasa. Walau bagaimanapun, adalah lebih baik untuk menggunakan snap-in Templat Keselamatan dalam Microsoft Management Console (MMC). Untuk melakukan ini, dalam baris arahan anda perlu memasukkan mmc /a dalam konsol ini, pilih menu Fail - Tambah/Buang. Dalam kotak dialog Tambah Snap Masuk Berdiri, pilih Templat Keselamatan - Tambah.
Pengurusan peralatan
Templat keselamatan terletak dalam folder \%systemroot%\security\templates. Bilangan templat terbina dalam berbeza-beza bergantung pada versi sistem pengendalian dan pek perkhidmatan yang dipasang.
Jika anda mengembangkan mana-mana folder dalam Templat Keselamatan, anak tetingkap kanan akan menunjukkan folder yang sepadan dengan elemen terkawal:
  • Dasar Akaun - urus kata laluan, kunci dan dasar Kerberos
  • Dasar Tempatan - mengurus tetapan audit, hak pengguna dan tetapan keselamatan
  • Log Peristiwa - menguruskan parameter log sistem
  • Kumpulan Terhad - mentakrifkan elemen pelbagai kumpulan tempatan
  • Perkhidmatan Sistem - mendayakan dan melumpuhkan perkhidmatan dan memberikan hak untuk mengubah suai perkhidmatan sistem
  • Pendaftaran - memberikan kebenaran untuk menukar dan melihat kunci pendaftaran
  • Sistem Fail - uruskan kebenaran NTFS untuk folder dan fail

Perlindungan sambungan Internet

Untuk memastikan keselamatan semasa menyambung ke Internet, anda mesti:
  • Dayakan Dinding Api Sambungan Internet atau pasang tembok api pihak ketiga
  • Lumpuhkan Perkongsian Fail dan Pencetak untuk Microsoft Networks
Firewall sambungan Internet ialah komponen perisian yang menyekat trafik yang tidak diingini. Mengaktifkan Tembok Api Sambungan Internet:
  • Buka Panel Kawalan - Sambungan Rangkaian
  • Klik kanan pada sambungan yang anda ingin lindungi dan pilih Properties dari menu
  • Pergi ke tab Lanjutan, tandai kotak semak Selamatkan sambungan Internet saya

Menggunakan snap-in Templat Keselamatan, anda boleh mencipta fail teks yang mengandungi semua tetapan keselamatan untuk kawasan selamat yang disokong oleh dasar keselamatan tempatan. Ini mudah untuk menggunakan semua ciri keselamatan yang tersedia dalam Windows XP Professional. Dalam bahagian ini, kami akan menunjukkan kepada anda cara membuat templat, mengubah suai templat sedia ada dan menggunakannya pada Windows XP Professional.

Buat templat

Ikuti langkah ini untuk melancarkan snap-in Templat Keselamatan dan melihat tetapan dasar keselamatan anda.

  1. Buka MMS.
  2. Daripada menu Fail, klik Tambah/Alih Keluar Snap-in dan kemudian klik Tambah.
  3. Daripada senarai Snap-in Kendiri yang Tersedia, pilih Templat Keselamatan.
  4. Klik Tambah dan kemudian klik Tutup.
  5. Klik OK. Templat Keselamatan snap-in ditunjukkan dalam Rajah. 9.5.
  6. Di tetingkap kanan, klik ikon "+" untuk mengembangkan Templat Keselamatan.
  7. Kembangkan C:\Windows\security\templates (C: ialah pemacu tempat Windows disimpan).
  8. Untuk mencipta templat, klik dua kali Templat Keselamatan, klik kanan folder templat lalai, dan kemudian klik Templat Baharu.

Ini akan membuat templat kosong di mana anda boleh mengisi semua yang berkaitan dengan dasar keselamatan organisasi anda. Untuk menyimpan templat, buka menu Fail dan klik Simpan Sebagai.


nasi. 9.5.

Mengedit templat sedia ada

Windows XP Professional dilengkapi dengan beberapa templat di luar kotak. Mereka mencipta asas yang baik untuk membina dasar keselamatan anda sendiri. Anda mungkin mempunyai dasar keselamatan yang anda mahu perbaiki dan gunakan kemudian. Untuk membuka dan mengedit sebarang templat, klik dua kali pada tetingkap kiri snap-in Templat Keselamatan.

Catatan. Walaupun Templat Keselamatan disertakan dengan templat pra-bina, adalah idea yang baik untuk melihatnya dengan teliti terlebih dahulu untuk memastikan ia sesuai untuk keperluan organisasi anda.

Terdapat empat jenis templat utama:

  • asas;
  • selamat;
  • tahap keselamatan yang tinggi;
  • bercampur-campur.

Templat ini mewakili pelbagai ciri keselamatan, daripada Asas kepada High Secure. Pelbagai templat menyediakan tetapan keselamatan untuk beberapa kategori yang sukar diletakkan dalam hierarki Asas, Selamat dan Selamat Tinggi. Ia mengandungi tetapan untuk pilihan seperti Perkhidmatan Terminal dan Perkhidmatan Sijil. Di bawah disenaraikan beberapa templat yang terkandung dalam setiap kategori.

  • Basicsv Menetapkan tahap keselamatan asas untuk pelayan cetakan dan pelayan fail.
  • Securews Menetapkan tahap keselamatan sederhana untuk stesen kerja.
  • Hisecdc Menetapkan tahap keselamatan tertinggi untuk pengawal domain.
  • Ocfiless Menetapkan dasar keselamatan untuk pelayan fail.

Mana-mana daripada sepuluh contoh templat ialah tempat yang baik untuk mula membangunkan keselamatan rangkaian. Walau bagaimanapun, apabila mengubah suai templat, adalah wajar untuk menyimpannya di bawah nama baharu supaya templat lama tidak ditimpa.

Menggunakan Templat Keselamatan

Mencipta atau mengedit templat sedia ada tidak mengubah tetapan keselamatan anda. Untuk membuat perubahan ini, anda mesti menggunakan templat pada komputer anda. Untuk menggunakan templat yang baru dibuat atau diedit, lakukan perkara berikut.

  1. Dalam Dasar Kumpulan, klik dua kali Konfigurasi Komputer dan kembangkan Tetapan Windows.
  2. Klik kanan pada Tetapan Keselamatan dan kemudian klik pada Dasar Import (Rajah 9.6).
  3. Pilih templat yang anda mahu gunakan.
  4. Klik pada OK.

Salah satu sistem pengendalian klien yang paling biasa pada masa ini ialah Microsoft Windows XP. Ia adalah perlindungan komputer pelanggan (komputer pengguna rumah atau pejabat) yang akan dibincangkan. Bukan rahsia lagi bahawa lebih mudah untuk memulakan sebarang serangan dari stesen kerja pelanggan, kerana pentadbir secara tradisinya memberi perhatian utama dalam hal perlindungan kepada pelayan rangkaian tempatan. Tidak dinafikan, tempat kerja memerlukan perlindungan anti-virus dan langkah pengenalan dan pengesahan pengguna yang dipertingkatkan. Walau bagaimanapun, pertama sekali, masih perlu memastikan perlindungan menggunakan alat terbina dalam sistem pengendalian.

Menyediakan keselamatan Windows XP

Sistem pengendalian Windows XP mempunyai sistem keselamatan yang dibangunkan, yang bagaimanapun, perlu dikonfigurasikan. Kami harap anda memahami bahawa Windows XP mesti dipasang pada partition NTFS, dan penggunaan sistem fail FAT32 tidak disyorkan berdasarkan prinsip keselamatan (ciri keselamatan terbina dalam tidak boleh dilaksanakan jika FAT32 digunakan). Jika anda menggunakan sistem fail FAT 32, hampir semua pernyataan dalam bahagian ini tidak akan bermakna kepada anda. Satu-satunya cara untuk membolehkan semua kebenaran sistem fail ialah menukar pemacu kepada format NTFS. Selepas pemasangan Windows XP yang bersih, tetapan keselamatan lalai bertindak sebagai suis hidup-mati. Antara muka ini dipanggil "Perkongsian Fail Mudah" secara lalai. Konfigurasi ini mempunyai tahap keselamatan yang rendah, hampir sama dengan konfigurasi Windows 95/98/Me standard. Jika anda tidak berpuas hati dengan konfigurasi ini, anda boleh memanfaatkan kuasa penuh kebenaran fail gaya Windows 2000 dengan membuka folder tersuai dalam Explorer dan memilih Alat > Pilihan Folder(Alat > Pilihan folder). Pergi ke tab Lihat, cari kotak pilihan dalam senarai Gunakan perkongsian fail mudah(disyorkan) (Gunakan Perkongsian Fail (disyorkan)) - dan keluarkannya.

Sifat folder

Apabila anda mematikan perkongsian mudah, tab muncul dalam kotak dialog sifat mana-mana folder. Keselamatan. Perkara yang sama berlaku untuk mengeluarkan kebenaran fail. Semua kebenaran disimpan dalam Senarai Kawalan Akses (ACL). Apabila menetapkan dan mengalih keluar kebenaran, ikut prinsip asas ini:

  • Kerja dari atas ke bawah
  • Simpan fail data yang dikongsi bersama
  • Bekerja dengan kumpulan di mana mungkin
  • Jangan gunakan kebenaran khas
  • Jangan berikan pengguna lebih banyak kebenaran daripada yang diperlukan (prinsip kebenaran paling sedikit).

Menyediakan sistem pengendalian

Seperti yang telah disebutkan, anda tidak boleh mengkonfigurasi ciri keselamatan terbina dalam pada sistem fail FAT32. Dalam hal ini, adalah perlu sama ada untuk memilih sistem fail NTFS pada peringkat memasang sistem pengendalian (susun atur cakera), atau untuk mula menukar sistem fail sejurus selepas memasang OS.

Penukaran sistem fail

Untuk menukar cakera daripada FAT (FAT32) kepada NTFS, gunakan utiliti Convert. Sintaks arahan: TUKAR volum: /FS:NTFS di mana:

  • isipadu- menentukan huruf pemacu (diikuti dengan titik bertindih) titik lekap atau nama volum;
  • /FS:NTFS- sistem fail akhir: NTFS;
  • /V- dayakan mod output mesej;
  • /CVTAREA:nama fail- menentukan fail bersebelahan dalam folder akar untuk menyimpan ruang untuk fail sistem NTFS;
  • /TiadaKeselamatan- tetapan keselamatan untuk fail dan folder yang ditukar akan tersedia untuk diubah oleh semua orang;
  • /X- penyingkiran paksa volum ini (jika ia dipasang). Semua pemegang terbuka ke volum ini akan menjadi tidak sah.
Jika organisasi anda menggunakan sejumlah besar komputer, anda perlu mempertimbangkan proses mengautomasikan pemasangan OS. Terdapat dua pilihan untuk mengautomasikan proses pemasangan:
  • Pemasangan automatik. Dalam kes ini, fail kelompok dan skrip (dipanggil fail respons) digunakan untuk melumpuhkan gesaan sistem pengendalian dan secara automatik mendapatkan semula data yang diperlukan daripada fail respons. Terdapat lima mod pemasangan automatik.
  • Menyalin cakera(pengklonan). Dalam kes ini, utiliti untuk menyediakan sistem untuk penyalinan dilancarkan ( sysprep.exe), yang mengalih keluar Pengecam Keselamatan (SID). Cakera kemudiannya disalin menggunakan program pengklonan cakera seperti hantu(www.symantec.com/ghost) atau Imej Drive(www.powerquest.com/driveimage). Selepas menyalin, prosedur pemasangan "dimampatkan" akan dilakukan (5-10 minit).
Anda telah memasang sistem pengendalian, tetapi bahagian kerja yang paling sukar dan paling memakan masa masih di hadapan.

Memasang kemas kini yang diperlukan

Menurut dokumentasi, memasang OS mengambil masa kira-kira sejam - tetapi sebenarnya, memasang, mengkonfigurasi, memasang semua patch kritikal (kemas kini) akan mengambil masa sekurang-kurangnya 4-5 jam (ini dengan syarat semua patch sudah ada pada cakera keras atau CD-ROM dan anda tidak perlu menariknya dari Internet). Jadi, anda telah memasang sistem pengendalian. Terdapat dua cara untuk memasang tampalan selanjutnya:

  • gunakan perkhidmatan Kemas Kini Windows automatik. Laluan ini diterangkan dengan baik dalam literatur dan tidak memerlukan sebarang usaha dari pihak pengaturcara. Walau bagaimanapun, andaikan organisasi anda mempunyai sekurang-kurangnya 20 komputer. Dalam kes ini, anda perlu menggunakan perkhidmatan ini sebanyak 20 kali. Ini bukan cara terbaik, tetapi jika anda mempunyai saluran yang pantas dan pengurusan tidak menentang cara membuang wang ini, maka jalan ini mungkin sesuai dengan anda. Walau bagaimanapun, perlu diingat bahawa apabila anda memasang semula OS, anda perlu menarik semuanya keluar semula;
  • gunakan sebarang pengimbas keselamatan untuk mencari tampalan yang diperlukan (kemas kini). Sebagai contoh, pertimbangkan pengimbas Microsoft Base Security Analyzer percuma (artikel ini tidak akan membincangkan secara terperinci kaedah bekerja dengan pengimbas ini). Pengimbas ini boleh dimuat turun secara percuma dari tapak web Microsoft di bahagian TechNet.
    Sebelum ujian bermula, anda perlu mengekstrak fail mssecure.xml daripada http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab Fail mssecure.xml mesti diletakkan dalam folder yang sama, di mana Penganalisis Keselamatan Pangkalan Microsoft digunakan. Hasil imbasan akan menjadi senarai tampalan yang diperlukan yang perlu anda pasang pada PC tertentu.
Pada pendapat saya, adalah lebih mudah untuk menggunakan pengimbas keselamatan komersial seperti Pengimbas Rangkaian Pengawal LAN atau XSpider.

Pengimbas Rangkaian Pengawal LAN

Pengimbas ini direka bentuk untuk mencari kelemahan dalam rangkaian komputer bukan sahaja berdasarkan Windows. Walau bagaimanapun, dalam kes kami, anda boleh menggunakannya dengan mudah untuk mencari kelemahan pada komputer yang berasingan. Anda akan dinasihatkan untuk melawat halaman buletin keselamatan khusus daripada Microsoft.


Hasil Pengimbas Rangkaian Pengawal LAN

Dalam kes ini, adalah lebih mudah untuk memasang kemas kini, dan ia juga mungkin untuk mengetahui dengan tepat apa kelemahan kemas kini ini dicipta untuk menghapuskan. Analisis proses pemasangan tampalan ditunjukkan dalam Rajah.


Kemas kini proses pengurusan pemasangan

Perlu diterokai langkah-langkah ini dengan lebih terperinci:

  • Analisis. Lihatlah persekitaran semasa dan potensi ancaman. Tentukan tampalan yang perlu dipasang untuk mengurangkan ancaman kepada persekitaran anda.
  • Rancang. Tentukan tampung yang perlu dipasang untuk mengandungi potensi ancaman dan menutup kelemahan yang ditemui. Tentukan siapa yang akan menjalankan ujian dan pemasangan dan apakah langkah yang perlu diambil.
  • Menguji. Semak patch yang tersedia dan kategorikannya untuk persekitaran anda.
  • Pemasangan. Pasang tampalan yang diperlukan untuk melindungi persekitaran ini.
  • Pemantauan. Uji semua sistem selepas memasang tampalan untuk memastikan tiada kesan sampingan yang tidak diingini.
  • Lihat. Satu bahagian penting dalam keseluruhan proses ialah menyemak dengan teliti tampung baharu dan persekitaran anda, serta mengetahui dengan tepat tampung yang diperlukan oleh syarikat anda. Jika semasa menyemak imbas anda mendapati keperluan untuk tampung baharu, mulakan semula dari langkah pertama.
Catatan: Adalah amat disyorkan untuk membuat salinan sandaran keseluruhan sistem kerja anda sebelum memasang tampalan.

Menyemak persekitaran untuk tiada tompok

Memandangkan ini adalah proses yang berterusan, anda harus memastikan bahawa tampung anda dikemas kini dengan tetapan terkini. Adalah disyorkan untuk mengikuti maklumat tampalan terkini. Kadangkala tampung baharu dikeluarkan - dan anda perlu memasangnya pada semua stesen. Dalam kes lain, stesen baharu muncul pada rangkaian, dan semua kemas kini yang diperlukan mesti dipasang padanya. Anda harus terus menyemak semua stesen anda untuk memastikan ia mempunyai semua tampung yang diperlukan dan semasa dipasang. Secara umum, isu memasang patch tidak semudah yang kelihatan pada pandangan pertama. Walau bagaimanapun, pertimbangan penuh terhadap isu ini adalah di luar skop artikel kami. Sila ambil perhatian bahawa kadang-kadang selepas memasang tampalan berikutnya, ia menjadi perlu untuk memasang semula yang sebelumnya. Sekurang-kurangnya dalam amalan saya ini telah berlaku lebih daripada sekali. Jadi, mari kita anggap bahawa semua patch telah dipasang dan tiada lubang dalam sistem anda. Sila ambil perhatian bahawa keadaan ini hanya untuk masa semasa - agak mungkin esok anda perlu memasang patch baharu. Proses ini, sayangnya, berterusan.

Memulihkan fail sistem

Ciri yang berguna - melainkan komputer anda digunakan secara eksklusif untuk tugas intensif sumber seperti permainan. Jadi lebih baik dibiarkan. Dalam kes ini, komputer secara berkala mencipta syot kilat fail sistem kritikal (fail pendaftaran, pangkalan data COM+, profil pengguna, dll.) dan menyimpannya sebagai titik balik. Jika mana-mana aplikasi merosakkan sistem atau jika sesuatu yang penting rosak, anda boleh mengembalikan komputer ke keadaan sebelumnya - ke titik balik. Mata ini dicipta secara automatik oleh perkhidmatan Pemulihan Sistem(System Restore) apabila situasi tertentu timbul, seperti memasang aplikasi baharu, mengemas kini Windows, memasang pemacu yang tidak ditandatangani, dsb. Titik balik juga boleh dibuat secara manual - melalui antara muka Pemulihan Sistem(Pemulihan Sistem): Mula > Program > Aksesori > Alat Sistem > Pemulihan Sistem(Mula > Program > Aksesori > Alat Sistem > Pemulihan Sistem). Hasil yang serupa boleh diperoleh menggunakan utiliti msconfig, yang dilancarkan daripada mod baris arahan atau melalui Mula > Jalankan.


Pemulihan Sistem

Pemulihan fail sistem bergantung pada perkhidmatan latar belakang yang mempunyai kesan minimum pada prestasi dan merekodkan syot kilat yang menggunakan ruang cakera. Anda boleh memperuntukkan jumlah maksimum ruang cakera secara manual untuk perkhidmatan tertentu. Anda juga boleh melumpuhkan sepenuhnya perkhidmatan untuk semua pemacu (dengan menandakan kotak semak Lumpuhkan perkhidmatan pemulihan). Memandangkan perkhidmatan Pemulihan Fail Sistem boleh menjejaskan keputusan program ujian, ia biasanya dilumpuhkan sebelum ujian.

Pembersihan cakera automatik

Untuk membersihkan cakera keras anda daripada fail yang tidak diperlukan, gunakan program ini cleanmgr.exe. Kunci program:

  • /d surat pemacu: - menunjukkan huruf pemacu yang akan dikosongkan;
  • /sageset:n- arahan ini melancarkan Wizard Pembersihan Cakera dan mencipta kunci dalam pendaftaran untuk menyimpan tetapan. Parameter n boleh mengambil nilai dari 0 hingga 65535;
  • /sagerun: n- digunakan untuk melancarkan Wizard Pembersihan Cakera dengan parameter tertentu yang ditetapkan terlebih dahulu menggunakan kekunci sebelumnya.
Untuk mengautomasikan proses ini, anda boleh menggunakan penjadual tugas.

Mengalih keluar komponen "tersembunyi".

Semasa proses pemasangan Windows XP (tidak seperti kes dengan Windows 9*/NT), tiada pilihan untuk memilih komponen yang diperlukan. Pada pendapat saya, ini adalah keputusan yang tepat: anda harus terlebih dahulu memasang sistem pengendalian dengan semua keanehannya - dan hanya kemudian, selepas bekerja dengannya, tentukan apa yang perlu disimpan dan apa yang perlu disingkirkan. Namun, di tingkap Tambah/Alih Keluar Komponen Windows, yang terdapat dalam applet Tambah atau Alih Keluar Program panel kawalan, hampir tiada apa-apa untuk dipadamkan - banyak komponen Windows tersembunyi daripada tangan suka bermain pengguna yang tidak begitu berpengalaman. Untuk menyelesaikan masalah ini, buka folder sistem Inf(secara lalai - C:\Windows\Inf), cari fail di sana sysoc.inf, buka dan padam perkataan dalam semua barisnya SEBUNYI. Perkara utama ialah membiarkan format fail tidak berubah (iaitu, hanya HIDE boleh dipadam, tetapi koma sebelum dan selepas perkataan ini tidak boleh disentuh). Sebagai contoh, baris sumber dan perkara yang sepatutnya berlaku: msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7 msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,7 Simpan fail sysoc.inf, buka Tambah/Buang Komponen Windows- dan kami melihat senarai yang lebih panjang daripada yang asalnya (Gamb.). Benar, walaupun dalam kes ini, tidak mungkin untuk mengeluarkan banyak. Dengan cara ini, anda boleh melakukan perkara yang sama dalam kes Windows 2000...


Tetingkap Komponen Windows XP

Anda mungkin bertanya soalan yang munasabah: apakah kaitan semua ini dengan keselamatan? Pertama, jika organisasi anda mempunyai dasar korporat mengenai penggunaan perisian dan, sebagai contoh, The Bat! atau klien e-mel Mozilla (Opera), maka anda tidak seharusnya meninggalkan Outlook Express yang bocor sepenuhnya pada komputer dan menggoda pengguna untuk menggunakan klien ini. Kedua, jika bukan kebiasaan anda untuk menggunakan perkhidmatan pemesejan segera, maka adalah lebih baik untuk menyahpasang Windows Messenger. Dan akhirnya, buang komponen yang anda tidak perlukan. Perisian yang kurang tidak digunakan bermakna lebih sedikit peluang untuk menyalahgunakannya (dan oleh itu, secara sedar atau tidak, membahayakan organisasi anda).

Mengkonfigurasi Program Automatik

Salah satu masalah keselamatan yang biasa ialah program kuda Trojan yang dijalankan semasa proses but Windows XP. Program ini boleh dilancarkan secara automatik dalam salah satu cara berikut:

untuk pengguna tertentu; untuk semua pengguna;
  • kunci Lari kunci pendaftaran (komputer) HKLM\Software\Microsoft\Windows\CurrentVersion\Run;
  • kunci Lari(pengguna) kunci pendaftaran HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • kunci RunServices. Perbezaan antara RunServices dan hanya Run ialah apabila anda memulakan program dalam kekunci RunServices, ia akan dilancarkan sebagai proses perkhidmatan dan akan diperuntukkan kurang masa pemproses keutamaan semasa berjalan. Apabila dilancarkan dalam kekunci Run, program akan bermula seperti biasa dengan keutamaan biasa;
  • folder Penjadual tugasan;
  • menang.ini. Program yang menyasarkan versi 16-bit Windows boleh menambah baris seperti Load= dan Run= pada fail ini;
  • kunci RunOnce Dan RunOnceEx. Sekumpulan kunci pendaftaran yang mengandungi senarai atur cara yang dilaksanakan sekali apabila komputer dimulakan. Kekunci ini juga mungkin berkaitan dengan akaun khusus untuk komputer tertentu HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software Microsoft\ Windows\CurrentVersion\RunOnceEx;
  • dasar kumpulan. Mengandungi dua dasar (bernama Melancarkan program apabila pengguna log masuk). Ditemui dalam folder Konfigurasi Komputer > Konfigurasi Windows > Templat Pentadbiran > Sistem > Log masuk(Konfigurasi komputer > Templat Pentadbiran > Sistem > Log masuk) dan Konfigurasi Pengguna > Konfigurasi Windows > Templat Pentadbiran > Sistem > Log masuk(Konfigurasi pengguna > Templat Pentadbiran > Sistem > Log masuk);
  • skrip log masuk. Boleh disesuaikan Dasar Kumpulan: Konfigurasi Komputer > Konfigurasi Windows > Skrip dan Konfigurasi Pengguna > Konfigurasi Windows > Skrip(log masuk dan log keluar);
  • fail autoexec.bat dalam direktori akar cakera but. Semua program yang anda ingin jalankan daripadanya mesti dilaksanakan dalam mod DOS sebenar, kerana pelaksanaan fail kelompok ini berlaku sebelum cangkerang grafik dimuatkan. Ia digunakan untuk menyalin modul pengiklanan yang telah dipadamkan pengguna ke dalam Autorun daripada folder tersembunyi berulang kali.
    • Untuk mengkonfigurasi senarai program yang dipanggil secara automatik, Windows XP menyertakan utiliti Persediaan Sistem(Utiliti Konfigurasi Sistem) - Msconfig.exe. Utiliti ini membolehkan anda memaparkan senarai semua program yang dimuat turun secara automatik. Tetingkap kerja program ditunjukkan dalam Rajah.


    Tetingkap kerja Msconfig

    Tetapan Internet Explorer

      Panel Kawalan Internet\Lumpuhkan Halaman Lanjutan

      Panel Kawalan Internet\Lumpuhkan Halaman Keselamatan

      Halaman luar talian\Lumpuhkan penambahan saluran

      Halaman luar talian\Lumpuhkan penambahan jadual untuk halaman luar talian

      Halaman Luar Talian\Lumpuhkan semua jadual untuk halaman luar talian

      Halaman luar talian\Lumpuhkan UI saluran sepenuhnya

      Halaman luar talian\Lumpuhkan muat turun kandungan langganan

      Halaman luar talian\Lumpuhkan pengeditan dan penciptaan kumpulan jadual baharu

      Halaman luar talian\Lumpuhkan menukar jadual untuk halaman luar talian

      Halaman luar talian \ Lumpuhkan pengelogan hits ke halaman luar talian

      Halaman luar talian\Lumpuhkan pemadaman saluran

      Halaman luar talian\Lumpuhkan pemadaman jadual untuk halaman luar talian

      Menyediakan Outlook Express

      Lumpuhkan menukar pilihan halaman Lanjutan

      Lumpuhkan menukar tetapan penalaan automatik

      Lumpuhkan menukar tetapan sijil

      Lumpuhkan menukar tetapan sambungan

      Lumpuhkan menukar tetapan proksi

      Lumpuhkan Wizard Sambungan Internet

      Halang AutoIsi daripada menyimpan kata laluan

    Saya ingin mengesyorkan menetapkan saiz cache Internet Explorer kepada minimum: jika cache mengandungi ribuan seratus fail kecil bersaiz dua atau tiga kilobait, maka mana-mana antivirus akan berfungsi dengan sangat perlahan apabila mengimbas folder ini. Untuk melindungi Internet Explorer daripada pengguna "inventive", anda boleh menggunakan yang berikut: IExplorer: Sembunyikan Halaman Umum daripada Internet Properties Untuk menyembunyikan tab Adalah biasa dalam tetapan Internet Explorer, tambahkan pada pendaftaran:
    "GeneralTab"=dword:1     IExplorer: Sembunyikan Halaman Keselamatan daripada Internet Properties Untuk menyembunyikan tab Keselamatan dalam tetapan Internet Explorer, anda harus menambah yang berikut pada pendaftaran:
    "SecurityTab"=dword:1     IExplorer: Sembunyikan Halaman Program daripada Internet Properties Untuk menyembunyikan tab Program dalam tetapan Internet Explorer:
    "ProgramsTab"=dword:1     IExplorer: Sembunyikan Halaman Lanjutan daripada Internet Properties Untuk menyembunyikan tab Selain itu, Tambah:
    "AdvancedTab"=dword:1     IExplorer: Sembunyikan Halaman Sambungan daripada Internet Properties Dan akhirnya untuk menyembunyikan tab Sambungan dalam tetapan Internet Explorer, tambah yang berikut pada pendaftaran:
    "ConnectionsTab"=dword:1     Melindungi sambungan Internet anda Untuk memastikan keselamatan semasa menyambung ke Internet, anda mesti:
    • aktifkan Internet Connection Firewall atau pasang firewall pihak ketiga;
    • melumpuhkan Perkhidmatan Perkongsian Fail dan Pencetak untuk Microsoft Networks.

    Mengaktifkan tembok api

      Buka Panel Kawalan > Sambungan Rangkaian;

      Klik kanan pada sambungan yang anda ingin lindungi dan pilih daripada menu Hartanah;

      Pergi ke tab Lanjutan dan tandai kotak semak Lindungi sambungan Internet saya.

    Dasar Sekatan Perisian

    Dasar sekatan perisian membenarkan pentadbir untuk menentukan program yang boleh dijalankan pada komputer tempatan. Dasar ini melindungi komputer yang menjalankan Microsoft Windows XP Professional daripada konflik yang diketahui dan menghalang program, virus dan kuda Trojan yang tidak diingini daripada dijalankan. Dasar Sekatan Perisian disepadukan sepenuhnya dengan Microsoft Active Directory dan Dasar Kumpulan. Ia juga boleh digunakan pada komputer kendiri.

    Pentadbir mula-mula mentakrifkan set aplikasi yang dibenarkan untuk dijalankan pada komputer klien, dan kemudian menetapkan sekatan yang akan digunakan oleh dasar pada komputer klien.

    Dasar sekatan perisian dalam bentuk asalnya terdiri daripada tahap keselamatan lalai untuk tetapan dan peraturan yang tidak terhad atau dinafikan yang ditakrifkan untuk GPO.

    Dasar ini boleh digunakan pada domain, komputer tempatan atau pengguna. Dasar sekatan perisian menyediakan beberapa cara untuk menentukan program, serta infrastruktur berasaskan dasar yang menguatkuasakan peraturan untuk menjalankan program tertentu.

    Semasa menjalankan program, pengguna mesti mematuhi garis panduan yang ditetapkan oleh pentadbir dalam Dasar Sekatan Perisian.

    Dasar sekatan perisian digunakan untuk melakukan perkara berikut:

      menentukan program yang dibenarkan untuk dijalankan pada komputer klien;

      menyekat akses pengguna kepada fail tertentu pada komputer yang dikongsi oleh berbilang pengguna;

      menentukan kalangan orang yang mempunyai hak untuk menambah penerbit yang dipercayai pada komputer pelanggan;

      menentukan kesan dasar terhadap semua pengguna atau hanya pengguna pada komputer klien;

      melarang pelaksanaan fail boleh laku pada komputer, jabatan, nod atau domain tempatan.

    Seni bina dasar sekatan perisian menyediakan pelbagai pilihan.

    Dasar sekatan perisian membenarkan pentadbir mentakrif dan mengawal atur cara yang dijalankan pada komputer yang menjalankan Windows XP Professional dalam domain. Anda boleh membuat dasar yang menyekat pelaksanaan skrip yang tidak dibenarkan, mengasingkan lagi komputer atau menghalang aplikasi daripada berjalan. Pilihan terbaik untuk mengurus dasar sekatan perisian dalam perusahaan ialah menggunakan Objek Dasar Kumpulan dan menyesuaikan setiap dasar yang anda buat mengikut keperluan kumpulan pengguna dan komputer organisasi anda.

    Percubaan untuk mengurus kumpulan pengguna dalam persekitaran luar talian adalah tidak digalakkan. Aplikasi dasar sekatan perisian yang betul akan menghasilkan integriti yang lebih baik, kebolehurusan, dan akhirnya pengurangan dalam jumlah kos pemilikan dan sokongan sistem pengendalian pada komputer organisasi.

    Dasar Kata Laluan

    Menggunakan kata laluan kompleks yang kerap ditukar mengurangkan kemungkinan kata laluan itu digodam. Tetapan dasar kata laluan digunakan untuk menentukan tahap kerumitan dan tempoh penggunaan kata laluan. Bahagian ini menerangkan semua tetapan dasar keselamatan untuk PC Perusahaan dan persekitaran Keselamatan Tinggi.

    Gunakan Editor Dasar Kumpulan untuk mengkonfigurasi tetapan Dasar Kumpulan yang sesuai untuk domain.

    maklumat tambahan

      Untuk mendapatkan maklumat lanjut tentang mengkonfigurasi tetapan keselamatan dalam Microsoft Windows XP, kami mengesyorkan agar anda menyemak panduan Ancaman dan Tindakan Balas: Tetapan Keselamatan dalam Windows Server 2003 dan Windows XP, yang boleh dimuat turun daripada http://go.microsoft.com/fwlink/ ?Linkld=15159 .

    Kesimpulan



    ARTIKEL BERKAITAN