มั่นใจในความปลอดภัยใน Windows NT การแก้ไขเทมเพลตที่มีอยู่ สร้างเทมเพลตความปลอดภัยใหม่

วิกเตอร์ คูลาจิน, เซอร์เกย์ มัตเวเยฟ, อเล็กซานเดอร์ โอซาดชุก

ปัญหาความปลอดภัยของคอมพิวเตอร์ไม่ใช่เรื่องใหม่ ทุกคนที่ใช้เครือข่ายคอมพิวเตอร์จำเป็นต้องมีเครื่องมือรักษาความปลอดภัย สถิติแสดงให้เห็นว่าในกรณีส่วนใหญ่ การเข้าสู่ระบบโดยไม่ได้รับอนุญาตสามารถหลีกเลี่ยงได้ หากผู้ดูแลระบบให้ความสำคัญกับมาตรการรักษาความปลอดภัย ประสิทธิภาพในการรับรองความปลอดภัยของระบบคอมพิวเตอร์นั้นขึ้นอยู่กับคุณภาพของการตั้งค่าซอฟต์แวร์และฮาร์ดแวร์เสมอ ระบบปฏิบัติการ Windows NT มีคุณลักษณะด้านความปลอดภัยมากมาย อย่างไรก็ตามค่าเริ่มต้นของพารามิเตอร์การป้องกันไม่เป็นไปตามข้อกำหนดเสมอไป มาดูเครื่องมือและวิธีการรักษาความปลอดภัยขั้นพื้นฐานที่รวมอยู่ใน Windows NT 4.0 และ 5.0

การป้องกันทางกายภาพ

วิธีการป้องกันทางกายภาพ ได้แก่ :

  • สร้างความมั่นใจในความปลอดภัยของสถานที่ที่เซิร์ฟเวอร์เครือข่ายตั้งอยู่
  • การจำกัดการเข้าถึงทางกายภาพของเซิร์ฟเวอร์ ฮับ สวิตช์ สายเคเบิลเครือข่าย และอุปกรณ์อื่น ๆ ให้กับบุคคลที่ไม่ได้รับอนุญาต
  • การใช้วิธีการป้องกันไฟฟ้าขัดข้อง

การบริหารบัญชี

คุณสมบัติตัวจัดการบัญชีรวมถึงการรองรับการระบุและรับรองผู้ใช้เมื่อเข้าสู่ระบบ การตั้งค่าที่จำเป็นทั้งหมดจะถูกจัดเก็บไว้ในฐานข้อมูลผู้จัดการบัญชี ซึ่งรวมถึง:

  • บัญชีผู้ใช้
  • บัญชีกลุ่ม
  • บัญชีคอมพิวเตอร์โดเมน
  • บัญชีโดเมน

ฐานข้อมูลตัวจัดการบัญชีเป็นกลุ่มรีจิสทรีของระบบที่อยู่ในสาขา HKEY_LOCAL_MACHINE และเรียกว่า SAM (รูปที่ 1) เช่นเดียวกับกลุ่มอื่นๆ ทั้งหมด จะถูกจัดเก็บไว้ในไฟล์แยกต่างหากในไดเร็กทอรีรูป %Systemroot%\System32\Con ซึ่งเรียกอีกอย่างว่า SAM ไดเร็กทอรีนี้มักจะมีไฟล์ SAM อย่างน้อยสองไฟล์: หนึ่งไฟล์ไม่มีนามสกุล - ฐานข้อมูลบัญชีเอง; ส่วนที่สองมีนามสกุล .log - บันทึกธุรกรรมฐานข้อมูล

สิ่งที่น่าสนใจที่สุดคือส่วนบัญชีผู้ใช้: เก็บข้อมูลเกี่ยวกับชื่อและรหัสผ่าน ควรสังเกตว่ารหัสผ่านไม่ได้ถูกจัดเก็บในรูปแบบข้อความ พวกเขาได้รับการคุ้มครองโดยขั้นตอนการแฮช นี่ไม่ได้หมายความว่าหากไม่ทราบรหัสผ่านในรูปแบบข้อความธรรมดา ผู้โจมตีจะไม่เจาะระบบ เมื่อเชื่อมต่อกับเครือข่าย ไม่จำเป็นต้องทราบข้อความรหัสผ่าน แต่รหัสผ่านที่แฮชก็เพียงพอแล้ว ดังนั้นจึงเพียงพอที่จะรับสำเนาของฐานข้อมูล SAM และแยกรหัสผ่านที่แฮชออกมา

เมื่อติดตั้ง Windows NT การเข้าถึงไฟล์ %Systemroot%\System32\Config\sam จะถูกบล็อกสำหรับโปรแกรมทั่วไป อย่างไรก็ตาม เมื่อใช้ยูทิลิตี้ Ntbackup ผู้ใช้ที่มีสิทธิ์สำรองไฟล์และไดเร็กทอรีจะสามารถคัดลอกได้ นอกจากนี้ ผู้โจมตีอาจพยายามเขียนทับสำเนาของตน (Sam.sav) จากไดเรกทอรี %Systemroot%\System32\Config หรือสำเนาที่เก็บถาวร (Sam._) จากไดเรกทอรี %Systemroot%\Repair

ดังนั้น เพื่อปกป้องข้อมูลที่จัดเก็บไว้ในฐานข้อมูล SAM จึงจำเป็นต้องมีสิ่งต่อไปนี้:

  • ไม่รวมเซิร์ฟเวอร์การบูทในโหมด DOS (ติดตั้งพาร์ติชันทั้งหมดภายใต้ NTFS ปิดการใช้งานการบูทจากฟล็อปปี้ดิสก์และไดรฟ์ซีดีแนะนำให้ตั้งรหัสผ่านบน BIOS (แม้ว่ามาตรการนี้จะล้าสมัยไปนานแล้วเนื่องจาก BIOS บางเวอร์ชันมี "รู" สำหรับการเริ่มต้น คอมพิวเตอร์ที่ไม่มีรหัสผ่าน ผู้โจมตีจะเสียเวลาในการเข้าสู่ระบบ)
  • จำกัดจำนวนผู้ใช้ที่มีสิทธิ์ของตัวดำเนินการสำรองข้อมูลและตัวดำเนินการเซิร์ฟเวอร์
  • หลังจากติดตั้งหรืออัพเดตให้ลบไฟล์ Sam.sav
  • ยกเลิกการแคชข้อมูลความปลอดภัยบนคอมพิวเตอร์โดเมน (ชื่อและรหัสผ่านของผู้ใช้สิบคนล่าสุดที่ลงทะเบียนบนคอมพิวเตอร์เครื่องนี้ก่อนหน้านี้จะถูกบันทึกไว้ในรีจิสทรีในเครื่อง) ใช้ยูทิลิตี้ Regedt32 เพิ่มในส่วนรีจิสทรี
  • HKEY_LOCAL_MACHINE\Microsoft|Windows NT\CurrentVersion\WinLogon:
  • พารามิเตอร์ CachedLogonsCount
  • พิมพ์ REG_SZ
  • ค่า 0

หนึ่งในวิธีที่ได้รับความนิยมในการเจาะระบบคือการเดารหัสผ่าน เพื่อต่อสู้กับสิ่งนี้ พวกเขามักจะตั้งค่าบัญชีผู้ใช้ให้ถูกล็อค (การล็อคบัญชี) หลังจากพยายามเข้าสู่ระบบไม่สำเร็จจำนวนหนึ่ง โดยใช้ยูทิลิตี้ตัวจัดการผู้ใช้ในกล่องโต้ตอบนโยบายบัญชี ซึ่งเข้าถึงได้ผ่านเมนูนโยบาย/บัญชี (รูปที่ 2) .

ข้อยกเว้นที่ดีคือบัญชีผู้ดูแลระบบ และหากเขามีสิทธิ์เข้าสู่ระบบผ่านเครือข่ายก็เป็นการเปิดช่องโหว่ในการเดารหัสผ่านอย่างเงียบ ๆ สำหรับการป้องกัน แนะนำให้เปลี่ยนชื่อผู้ใช้ผู้ดูแลระบบ ตั้งค่าการล็อคบัญชี ห้ามผู้ดูแลระบบไม่ให้เข้าสู่ระบบผ่านเครือข่าย ห้ามการส่งแพ็กเก็ต SMB (ที่กล่าวถึงด้านล่าง) ผ่าน TCP/IP (พอร์ต 137,138,139) ตั้งค่าการบันทึก ของการเข้าสู่ระบบไม่สำเร็จ

  • จำเป็นต้องแนะนำการกรองรหัสผ่านที่ผู้ใช้ป้อนติดตั้ง Service Pack 2 หรือ 3 (ใช้ไลบรารีแบบไดนามิก Passfilt.dll)
    • เมื่อสร้างรหัสผ่านใหม่ ไลบรารีนี้จะตรวจสอบว่า:
    • รหัสผ่านมีความยาวอย่างน้อยหกตัวอักษร
  • ประกอบด้วยสามชุดจากสี่ชุดที่มีอยู่:
  • กลุ่มอักษรละติน A, B, C,…, Z;
  • กลุ่มอักษรละตินตัวพิมพ์เล็ก a,b,c,…,z;
  • เลขอารบิค 0,1,2,…,9;
    • อักขระที่ไม่ใช่เลขคณิต (พิเศษ) เช่น เครื่องหมายวรรคตอน

รหัสผ่านไม่ประกอบด้วยชื่อผู้ใช้หรือส่วนหนึ่งส่วนใดของชื่อผู้ใช้

หากต้องการเปิดใช้งานการกรองนี้ คุณต้องไปที่ส่วนรีจิสทรี

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

เพิ่ม

การปกป้องไฟล์และไดเร็กทอรี (โฟลเดอร์)

ระบบปฏิบัติการ Windows NT 4.0 รองรับระบบไฟล์ FAT (File Allocation Table) และ NTFS (New Technology File System) โปรดจำไว้ว่าระบบแรกรองรับระบบปฏิบัติการที่มีชื่อเสียงเช่น MS-DOS, Windows 3.X, Windows 95/98 และ OS/2 ส่วนระบบที่สองรองรับเฉพาะ Windows NT เท่านั้น FAT และ NTFS มีลักษณะการทำงานที่แตกต่างกัน มีช่วงของคุณสมบัติที่แตกต่างกัน เป็นต้น ข้อแตกต่างที่สำคัญระหว่างระบบไฟล์ NTFS และอื่นๆ (FAT, VFAT (Virtual File Allocation Table), HPFS) คือเป็นระบบเดียวที่ตรงตามมาตรฐานความปลอดภัย C2 โดยเฉพาะอย่างยิ่ง NTFS ให้การป้องกันไฟล์และไดเร็กทอรีเมื่อเข้าถึงจากภายในเครื่อง . การปกป้องทรัพยากรโดยใช้ FAT สามารถจัดระเบียบได้โดยใช้สิทธิ์การเข้าถึง:

อ่าน เขียน เต็มที่

ดังนั้นเราจึงแนะนำให้สร้างพาร์ติชันดิสก์ NTFS แทน FAT หากคุณยังคงจำเป็นต้องใช้พาร์ติชัน FAT คุณจะต้องสร้างพาร์ติชันแยกต่างหากสำหรับแอปพลิเคชัน MS-DOS และไม่ต้องวางไฟล์ระบบ Windows NT ไว้

ในระบบปฏิบัติการ Windows NT การควบคุมการเข้าถึงไฟล์ NTFS และไดเร็กทอรีไม่ได้ขึ้นอยู่กับผู้ดูแลระบบ แต่อยู่กับเจ้าของทรัพยากร และถูกควบคุมโดยระบบรักษาความปลอดภัยโดยใช้รูปแบบการเข้าถึงที่มีอยู่ในรายการ ACL

รูปแบบการเข้าถึงประกอบด้วยมาตรฐาน (ซิงโครไนซ์, Write_Owner, Write_Dac, Read_Control, Delete), เฉพาะ (อ่าน (เขียน)_Data, Append_Data, อ่าน(เขียน)_Attributes, อ่าน(เขียน)_ExtensedAttributes, Execute) และทั่วไป (Generic_Read(เขียน), Generic_Execute ) สิทธิ์การเข้าถึง สิทธิ์ทั้งหมดเหล่านี้รวมอยู่ในรายการควบคุมการเข้าถึงตามดุลยพินิจ (DACL) นอกจากนี้ หน้ากากการเข้าถึงยังมีบิตที่สอดคล้องกับสิทธิ์ Access_System_Security สิทธิ์นี้ควบคุมการเข้าถึงรายการควบคุมการเข้าถึงระบบ (SACL)

DACL กำหนดผู้ใช้และกลุ่มที่ได้รับอนุญาตหรือปฏิเสธการเข้าถึงทรัพยากรที่กำหนด รายการนี้เองที่เจ้าของออบเจ็กต์สามารถจัดการได้

SACL ระบุประเภทการเข้าถึงที่เจ้าของกำหนด ซึ่งทำให้ระบบสร้างรายการตรวจสอบในบันทึกเหตุการณ์ของระบบ มีเพียงผู้ดูแลระบบเท่านั้นที่จัดการรายการนี้

ในความเป็นจริงสำหรับการดูแลระบบไม่ใช่สิทธิ์การเข้าถึงส่วนบุคคลที่ใช้ แต่เป็นสิทธิ์ NTFS สิทธิ์แบ่งออกเป็น:

บุคคล - ชุดของสิทธิ์ที่อนุญาตให้ผู้ใช้เข้าถึงประเภทใดประเภทหนึ่ง (ตาราง 1.1)

มาตรฐาน - ชุดการอนุญาตส่วนบุคคลสำหรับการดำเนินการในระดับหนึ่งกับไฟล์หรือไดเร็กทอรี (ตารางที่ 1.2)

พิเศษ - การรวมกันของการอนุญาตส่วนบุคคลที่ไม่ตรงกับชุดมาตรฐานใด ๆ (ตารางที่ 1.3)

ตามค่าเริ่มต้น เมื่อติดตั้ง Windows NT และระบบไฟล์ NTFS จะมีการตั้งค่าการอนุญาตแบบ "หลวม" พอสมควร ทำให้ผู้ใช้ทั่วไปสามารถเข้าถึงไฟล์ระบบและไดเร็กทอรีจำนวนหนึ่งได้ ตัวอย่างเช่น:

ไดเรกทอรี %systemroot% และ %systemroot%\system32 มีสิทธิ์ในการเปลี่ยนแปลงสำหรับกลุ่มทุกคนตามค่าเริ่มต้น หลังจากติดตั้ง Windows NT หาก FAT ถูกแปลงเป็น NTFS ในเวลาต่อมา การอนุญาตสำหรับกลุ่มนี้จะถูกตั้งค่าเป็นไฟล์และไดเรกทอรีย่อยทั้งหมดของ %systemroot% การปกป้องข้อมูลไดเร็กทอรีเกี่ยวข้องกับการตั้งค่าสิทธิ์อย่างถูกต้อง ในตาราง 2 แสดงค่าการอนุญาตสำหรับไดเร็กทอรี แทนที่จะสร้างกลุ่มทุกคน คุณต้องสร้างกลุ่มผู้ใช้และใช้งาน

มีไฟล์ระบบปฏิบัติการหลายไฟล์อยู่ในไดเร็กทอรีรากของพาร์ติชันระบบซึ่งจำเป็นต้องได้รับการปกป้องด้วยการกำหนดสิทธิ์ต่อไปนี้ (ตารางที่ 3)

โปรดทราบว่าการอนุญาตดังกล่าวจะทำให้ผู้ใช้ติดตั้งซอฟต์แวร์ได้ยาก นอกจากนี้ยังเป็นไปไม่ได้ที่จะเขียนลงในไฟล์ .ini ในไดเร็กทอรีระบบ

ขอแนะนำให้รักษาจำนวนผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบให้น้อยที่สุด เป็นการดีกว่าที่จะลบบัญชี Guest โดยสิ้นเชิงแม้ว่าจะถูกปิดใช้งานแล้วในระหว่างการติดตั้ง (โดยค่าเริ่มต้น) และแทนที่จะสร้างบัญชีนี้ ให้สร้างบัญชีชั่วคราวของคุณเองสำหรับผู้ใช้แต่ละคนด้วยสิทธิ์และสิทธิ์ที่เหมาะสม

การป้องกันรีจิสทรี

รีจิสทรีของระบบ Windows NT เป็นฐานข้อมูลที่มีข้อมูลเกี่ยวกับการกำหนดค่าและค่าพารามิเตอร์ของส่วนประกอบของระบบทั้งหมด (อุปกรณ์ ระบบปฏิบัติการ และแอปพลิเคชัน) กลุ่มรีจิสทรีหลักอยู่ในสาขา HKEY_LOCAL_MACHINE และเรียกว่า SAM, SECURITY, SOFTWARE และ SYSTEM ดังที่เราทราบอยู่แล้วว่ากลุ่ม SAM คือฐานข้อมูลผู้จัดการบัญชี โดย SECURITY จะจัดเก็บข้อมูลที่ใช้โดย Security Manager (LSA) ในพื้นที่ กลุ่มซอฟต์แวร์ประกอบด้วยพารามิเตอร์ซอฟต์แวร์และการตั้งค่า และกลุ่มระบบประกอบด้วยข้อมูลการกำหนดค่าที่จำเป็นในการบูตระบบปฏิบัติการ (ไดรเวอร์ อุปกรณ์ และบริการ)

การเข้าถึงฟิลด์รีจิสทรีของผู้ใช้ควรถูกจำกัด ซึ่งสามารถทำได้โดยใช้ยูทิลิตี้ Regedt32

สิทธิ์เริ่มต้นในการเข้าถึงคีย์รีจิสทรีที่ตั้งค่าไว้ในระบบไม่สามารถแก้ไขได้โดยผู้ใช้ทั่วไป เนื่องจากสมาชิกของกลุ่มทุกคนสามารถเข้าถึงคีย์รีจิสทรีบางรายการได้ หลังจากติดตั้ง Windows NT คุณต้องเปลี่ยนสิทธิ์ในคีย์ (ตารางที่ 4)

เพื่อเข้าสู่ส่วน

HK EY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\PerfLib คุณสามารถลบกลุ่ม Everyone ได้อย่างสมบูรณ์ และเพิ่มกลุ่ม INTERACTIVE ที่มีสิทธิ์อ่านแทน

หากต้องการจำกัดการเข้าถึงระยะไกลไปยังรีจิสทรีระบบ Windows NT ให้ใช้รายการในคีย์ H KEY_LOCAL_MACHINE\System\CurrentcontrolSet\Control\SecurePipeServers\winreg ตามค่าเริ่มต้น สมาชิกของกลุ่มผู้ดูแลระบบมีสิทธิ์ในการเข้าถึงรีจิสทรีจากระยะไกล เวิร์กสเตชันไม่มีพาร์ติชันนี้และต้องสร้างขึ้น เฉพาะผู้ใช้และกลุ่มที่ระบุในรายการสิทธิ์การเข้าถึงส่วนที่ระบุเท่านั้นที่ได้รับอนุญาตให้เข้าถึงรีจิสทรีจากระยะไกล รีจิสทรีคีย์บางอันจะต้องพร้อมใช้งานสำหรับผู้ใช้หรือกลุ่มอื่นผ่านเครือข่าย เมื่อต้องการทำเช่นนี้ คุณสามารถระบุส่วนเหล่านี้ได้ในพารามิเตอร์เครื่องจักรและผู้ใช้ของส่วนย่อย HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers\winreg\AllowedPaths

ความปลอดภัยของเซิร์ฟเวอร์ SMB

การเข้าถึงไฟล์และเครื่องพิมพ์ผ่านเครือข่ายในระบบปฏิบัติการ Windows NT นั้นให้บริการโดยเซิร์ฟเวอร์ SMB (Server Message Block) หรือเรียกง่ายๆ ว่าเซิร์ฟเวอร์หรือเซิร์ฟเวอร์ LAN Manager SMB ตรวจสอบสิทธิ์ไคลเอ็นต์ที่พยายามเข้าถึงข้อมูลผ่านเครือข่าย ระบบควบคุมมีสองโหมด: การตรวจสอบที่ระดับทรัพยากร (ระดับแบ่งปัน) และการตรวจสอบที่ระดับผู้ใช้ (ระดับผู้ใช้) Windows NT ไม่สนับสนุนการเข้าถึงระดับทรัพยากร

ในการตรวจสอบยืนยันระดับผู้ใช้ เซิร์ฟเวอร์จะดำเนินการระบุตัวตนผู้ใช้ตามฐานข้อมูลของบัญชี โปรโตคอล SMB ให้ความปลอดภัยในช่วงเริ่มต้นของเซสชัน จากนั้นข้อมูลผู้ใช้ทั้งหมดจะถูกส่งผ่านเครือข่ายในรูปแบบข้อความที่ชัดเจน ถ้าคุณต้องการให้แน่ใจว่าข้อมูลเป็นความลับ คุณต้องใช้การเข้ารหัสซอฟต์แวร์หรือฮาร์ดแวร์สำหรับช่องทางการขนส่ง (เช่น PPTP ที่รวมอยู่ใน Windows NT)

เซสชันโปรโตคอล SMB สามารถปลอมแปลงหรือถูกแย่งชิงได้ เกตเวย์สามารถไฮแจ็กเซสชัน SMB และเข้าถึงระบบไฟล์ได้เช่นเดียวกับผู้ใช้ที่ถูกต้องที่เริ่มเซสชัน แต่เกตเวย์ไม่ค่อยได้ใช้ในเครือข่ายท้องถิ่น และหากความพยายามดังกล่าวเกิดขึ้นโดยคอมพิวเตอร์บนเครือข่ายอีเทอร์เน็ตหรือโทเค็นริงซึ่งมีไคลเอ็นต์หรือเซิร์ฟเวอร์ SMB ตั้งอยู่ ก็ไม่น่าจะสำเร็จ เนื่องจากเป็นการยากที่จะสกัดกั้นแพ็กเก็ต

ความสามารถในการส่งรหัสผ่านของผู้ใช้ในรูปแบบข้อความที่ชัดเจนผ่านเครือข่ายทำให้ระบบมีช่องโหว่ หลังจากติดตั้ง Service Pack 3 ระบบปฏิบัติการจะปิดใช้งานความสามารถในการส่งรหัสผ่านในรูปแบบข้อความที่ชัดเจนโดยอัตโนมัติ แต่มีเซิร์ฟเวอร์ SMB ที่ไม่ยอมรับรหัสผ่านที่เข้ารหัส (เช่น Lan Manager สำหรับ UNIX) หากต้องการเปิดใช้งานการถ่ายโอนรหัสผ่าน "ชัดเจน" คุณต้องตั้งค่าไว้ในรีจิสทรีในส่วนนี้

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

พารามิเตอร์ เปิดใช้งานรหัสผ่านข้อความธรรมดา
พิมพ์ REG_DWORD
ความหมาย 1

ควรสังเกตว่า Microsoft ได้แก้ไขโปรโตคอล SMB ซึ่งเรียกว่า SMB Signing ในกรณีนี้ ไคลเอ็นต์และเซิร์ฟเวอร์จะตรวจสอบความถูกต้องของแต่ละข้อความที่ส่งผ่านโปรโตคอล SMB ในการดำเนินการนี้ ลายเซ็นอิเล็กทรอนิกส์จะถูกวางไว้ในแต่ละข้อความ SMB เพื่อรับรองว่าไคลเอ็นต์หรือเซิร์ฟเวอร์ที่ส่งข้อความรู้รหัสผ่านของผู้ใช้ ดังนั้น ลายเซ็นอิเล็กทรอนิกส์รับรองว่าคำสั่ง SMB ในตอนแรก ถูกสร้างขึ้นโดยบุคคลที่เป็นเจ้าของรหัสผ่านของผู้ใช้ ประการที่สอง มันถูกสร้างขึ้นภายในกรอบของเซสชั่นนี้โดยเฉพาะ และประการที่สาม ข้อความที่ส่งระหว่างเซิร์ฟเวอร์และไคลเอนต์เป็นข้อความต้นฉบับ

หากต้องการเปิดใช้งานการตรวจสอบลายเซ็นอิเล็กทรอนิกส์ในข้อความ SMB คุณต้องติดตั้ง Service Pack 3 และตั้งค่าพารามิเตอร์ในเซิร์ฟเวอร์และรีจิสทรีไคลเอนต์สำหรับเซิร์ฟเวอร์ - ในส่วน HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

พารามิเตอร์ เปิดใช้งานลายเซ็นความปลอดภัย
พิมพ์ REG_DWORD
ความหมาย 1

หากค่าเป็น 0 (ค่าเริ่มต้น) แสดงว่าการสนับสนุนการลงนาม SMB จะถูกปิดใช้งานบนเซิร์ฟเวอร์ ต่างจากเซิร์ฟเวอร์ ค่า EnableSecuritySignature ของไคลเอ็นต์มีอยู่แล้ว 1 โดยค่าเริ่มต้น

เมื่อเซิร์ฟเวอร์เริ่มต้นแล้ว โฟลเดอร์การแชร์การดูแลระบบจะถูกสร้างขึ้น ซึ่งช่วยให้สามารถเข้าถึงไดเร็กทอรีรากของไดรฟ์ข้อมูลได้ ตามค่าเริ่มต้น การเข้าถึงทรัพยากรเหล่านี้จะถูกจำกัดไว้เฉพาะสมาชิกของกลุ่มผู้ดูแลระบบ ผู้ดำเนินการสำรองข้อมูล ผู้ดำเนินการเซิร์ฟเวอร์ และผู้ใช้ระดับสูง หากคุณต้องการเพิกถอนการเข้าถึง คุณต้องไปที่ส่วนรีจิสทรี HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

ความปลอดภัยของเซิร์ฟเวอร์ IIS

Microsoft Internet Information Server (IIS) ถูกสร้างขึ้นเพื่อรวมการทำงานของบริการอินเทอร์เน็ตทั้งหมดเข้าด้วยกัน เป็นแพ็คเกจบริการฝั่งเซิร์ฟเวอร์แบบครบวงจรที่รองรับ HTTP, FTP และ Gopher

ความปลอดภัยของ IIS ขึ้นอยู่กับคุณลักษณะด้านความปลอดภัยของ Windows NT ซึ่งรวมถึง:

  • บัญชีผู้ใช้เพื่อป้องกันการเข้าถึงโฮสต์ IIS โดยไม่ได้รับอนุญาต คุณควรควบคุมบัญชีผู้ใช้ วิธีการป้องกันหลักยังรวมถึง: การใช้แบบฟอร์ม "Internet Guest" การลงทะเบียนด้วยชื่อผู้ใช้และรหัสผ่าน (ตามรูปแบบการรับรองความถูกต้องของ Windows NT) และการเลือกรหัสผ่านที่คาดเดายาก
  • การติดตั้ง NTFS;
  • สิทธิ์การเข้าถึงกลไกการเข้าถึงหลักผ่านเซิร์ฟเวอร์ IIS คือการเข้าถึงแบบไม่ระบุชื่อ จากกลไกการตรวจสอบสิทธิ์ เฉพาะ Windows NT Challenge-Response ที่ใช้โดยเซิร์ฟเวอร์ HTTP เท่านั้นที่ถือว่าค่อนข้างปลอดภัย ดังนั้นอย่าใช้รูปแบบการรับรองความถูกต้องขั้นพื้นฐานเนื่องจากชื่อผู้ใช้และรหัสผ่านจะถูกส่งผ่านเครือข่ายอย่างชัดเจน
  • ลดจำนวนโปรโตคอลและปิดการใช้งานบริการเซิร์ฟเวอร์คุณจะเพิ่มความปลอดภัยได้อย่างมากด้วยการลดจำนวนโปรโตคอลที่ใช้โดยอะแดปเตอร์เครือข่าย เพื่อป้องกันไม่ให้ผู้ใช้ดูการแชร์ IIS ให้ปิดใช้งานบริการเซิร์ฟเวอร์ การปิดใช้งานบริการนี้จะทำให้ผู้โจมตีค้นหาจุดอ่อนในระบบของคุณได้ยากขึ้น
  • การปกป้องข้อมูลใน FTP FTP จะใช้ความปลอดภัยระดับผู้ใช้เสมอ ซึ่งหมายความว่าในการเข้าถึงเซิร์ฟเวอร์ FTP ผู้ใช้จะต้องผ่านขั้นตอนการลงทะเบียน บริการ IIS FTP สามารถใช้ฐานข้อมูลงบประมาณผู้ใช้ Windows NT Server เพื่อระบุผู้ใช้ที่ต้องการเข้าถึง อย่างไรก็ตาม ด้วยขั้นตอนนี้ FTP จะส่งข้อมูลทั้งหมดในรูปแบบข้อความที่ชัดเจนเท่านั้น ซึ่งสร้างความเสี่ยงต่อการถูกดักจับชื่อผู้ใช้และรหัสผ่าน

ปัญหาการเปิดเผยรหัสผ่านจะหมดไปเมื่อมีการกำหนดค่าเซิร์ฟเวอร์ FTP ให้อนุญาตการเข้าถึงโดยไม่ระบุชื่อ เมื่อเข้าสู่ระบบโดยไม่ระบุชื่อ ผู้ใช้จะต้องป้อนเป็นชื่อผู้ใช้ ไม่ระบุชื่อและที่อยู่ไปรษณีย์ (อีเมล) ของคุณเป็นรหัสผ่าน ผู้ใช้ที่ไม่ระบุชื่อสามารถเข้าถึงไฟล์เดียวกับที่งบประมาณได้รับอนุญาตให้เข้าถึง lVSR_computememe

นอกจากนี้ คุณสามารถอนุญาตการเข้าถึงบริการ FTP เซิร์ฟเวอร์ Windows NT IIS โดยไม่ระบุชื่อเท่านั้น ตัวเลือกนี้ดีเนื่องจากไม่อนุญาตให้มีการเปิดเผยรหัสผ่านบนเครือข่ายสาธารณะ การเข้าถึง FTP แบบไม่เปิดเผยตัวตนถูกเปิดใช้งานตามค่าเริ่มต้น

  • การควบคุมการเข้าถึงด้วยที่อยู่ IP- มีตัวเลือกเพิ่มเติมในการควบคุมการเข้าถึงเซิร์ฟเวอร์ IIS - อนุญาตหรือปฏิเสธการเข้าถึงจากที่อยู่ IP ที่ระบุ (รูปที่ 5) ตัวอย่างเช่น คุณสามารถปฏิเสธการเข้าถึงเซิร์ฟเวอร์ของคุณจากที่อยู่ IP ที่ระบุได้ ในทำนองเดียวกัน คุณสามารถทำให้เซิร์ฟเวอร์ไม่สามารถเข้าถึงเครือข่ายทั้งหมดได้ ในทางกลับกัน คุณสามารถอนุญาตให้บางโหนดเข้าถึงเซิร์ฟเวอร์ได้
  • แผนการเข้ารหัสเพื่อให้มั่นใจในความปลอดภัยของแพ็กเก็ตขณะเดินทางผ่านเครือข่าย ต้องใช้รูปแบบการเข้ารหัสที่หลากหลาย ความจำเป็นในการป้องกันดังกล่าวเกิดจากการที่เมื่อส่งแพ็กเก็ตผ่านเครือข่าย การสกัดกั้นเฟรมก็เป็นไปได้ รูปแบบการเข้ารหัสส่วนใหญ่ทำงานภายในเลเยอร์แอปพลิเคชันและการขนส่งของโมเดล OSI บางแผนการสามารถทำงานได้ในระดับที่ต่ำกว่า ใช้โปรโตคอลต่อไปนี้: SSL, PCT, SET, PPTP, PGP

การตรวจสอบ

การตรวจสอบเป็นหนึ่งในเครื่องมือป้องกันเครือข่ายของ Windows NT สามารถใช้เพื่อติดตามการกระทำของผู้ใช้และเหตุการณ์ระบบจำนวนหนึ่งบนเครือข่าย พารามิเตอร์ต่อไปนี้เกี่ยวกับการกระทำที่ทำโดยผู้ใช้จะถูกบันทึก:

  • ดำเนินการเสร็จสิ้น
  • ชื่อของผู้ใช้ที่ดำเนินการ;
  • วันที่และเวลาดำเนินการ

การตรวจสอบที่ดำเนินการบนตัวควบคุมโดเมนเดียวนำไปใช้กับตัวควบคุมโดเมนทั้งหมด การตั้งค่าการตรวจสอบทำให้คุณสามารถเลือกประเภทของเหตุการณ์ที่จะบันทึกและกำหนดพารามิเตอร์ที่จะบันทึกได้

บนเครือข่ายที่มีข้อกำหนดด้านความปลอดภัยขั้นต่ำ ให้ตรวจสอบ:

  • การใช้ทรัพยากรให้ประสบความสำเร็จเฉพาะในกรณีที่คุณต้องการข้อมูลนี้เพื่อการวางแผน
  • สำหรับเครือข่ายที่มีข้อกำหนดด้านความปลอดภัยระดับปานกลาง ให้ตรวจสอบ:
  • การใช้ทรัพยากรที่สำคัญอย่างประสบความสำเร็จ
  • ความพยายามที่ประสบความสำเร็จและไม่สำเร็จในการเปลี่ยนแปลงกลยุทธ์การรักษาความปลอดภัยและนโยบายการบริหาร
  • การใช้ข้อมูลที่ละเอียดอ่อนและเป็นความลับอย่างประสบความสำเร็จ
  • ในเครือข่ายที่มีข้อกำหนดด้านความปลอดภัยสูง การตรวจสอบ:
  • ความพยายามในการลงทะเบียนผู้ใช้ที่ประสบความสำเร็จและไม่สำเร็จ
  • การใช้ทรัพยากรใด ๆ ที่ประสบความสำเร็จและไม่ประสบความสำเร็จ
  • ความพยายามที่ประสบความสำเร็จและไม่สำเร็จในการเปลี่ยนแปลงกลยุทธ์ความปลอดภัยและนโยบายการบริหาร

การตรวจสอบจะเพิ่มภาระให้กับระบบ ดังนั้นจะบันทึกเฉพาะเหตุการณ์ที่สนใจอย่างแท้จริงเท่านั้น

Windows NT บันทึกเหตุการณ์ในบันทึกสามรายการ:

  • บันทึกของระบบ(บันทึกระบบ) ประกอบด้วยข้อความแสดงข้อผิดพลาด คำเตือน และข้อมูลอื่น ๆ จากระบบปฏิบัติการและส่วนประกอบของบุคคลที่สาม รายการเหตุการณ์ที่บันทึกไว้ในบันทึกนี้ถูกกำหนดไว้ล่วงหน้าโดยระบบปฏิบัติการและส่วนประกอบของบุคคลที่สาม และผู้ใช้ไม่สามารถเปลี่ยนแปลงได้ บันทึกอยู่ในไฟล์ Sysevent.evt
  • บันทึกการรักษาความปลอดภัย(บันทึกความปลอดภัย) ประกอบด้วยข้อมูลเกี่ยวกับความพยายามที่สำเร็จและไม่สำเร็จในการดำเนินการที่บันทึกโดยเครื่องมือตรวจสอบ เหตุการณ์ที่บันทึกไว้ในบันทึกนี้ถูกกำหนดโดยกลยุทธ์การตรวจสอบที่คุณระบุ บันทึกอยู่ในไฟล์ Secevent.evt
  • บันทึกการสมัคร(Application Log) ประกอบด้วยข้อความแสดงข้อผิดพลาด คำเตือน และข้อมูลอื่นๆ ที่เกิดจากแอพพลิเคชันต่างๆ รายการเหตุการณ์ที่บันทึกไว้ในบันทึกนี้ถูกกำหนดโดยนักพัฒนาแอปพลิเคชัน บันทึกอยู่ในไฟล์ Appevent.evt

บันทึกทั้งหมดจะอยู่ในโฟลเดอร์ %Systemroot%\System32\Config

เมื่อเลือกเหตุการณ์ที่จะตรวจสอบ ให้พิจารณาความเป็นไปได้ที่บันทึกจะล้น หากต้องการกำหนดค่าบันทึก ให้ใช้กล่องโต้ตอบการตั้งค่าบันทึกเหตุการณ์ (รูปที่ 6)

การใช้หน้าต่างนี้คุณสามารถจัดการ:

  • ขนาดของบันทึกที่เก็บถาวร (ขนาดเริ่มต้นคือ 512 KB คุณสามารถเปลี่ยนขนาดจาก 64 เป็น 4,194,240 KB)
  • วิธีการแทนที่รายการบันทึกประจำวันที่ล้าสมัย
    • เขียนทับเหตุการณ์ตามต้องการ - หากบันทึกเต็มเมื่อบันทึกเหตุการณ์ใหม่ ระบบปฏิบัติการจะลบเหตุการณ์ที่เก่าที่สุด
    • เขียนทับกิจกรรมที่เก่ากว่า X วัน - หากบันทึกเต็ม เมื่อบันทึกกิจกรรมใหม่ กิจกรรมนั้นจะถูกลบออกไป แต่เฉพาะในกรณีที่กิจกรรมนั้นเก่ากว่า X วันเท่านั้น มิฉะนั้น กิจกรรมใหม่จะถูกละเว้น
    • อย่าเขียนทับเหตุการณ์ - หากบันทึกเต็ม กิจกรรมใหม่จะไม่ถูกบันทึก การล้างบันทึกทำได้ด้วยตนเอง

หากต้องการดูข้อมูลเกี่ยวกับข้อผิดพลาดและคำเตือน ตลอดจนการเปิดตัวงานที่สำเร็จและไม่สำเร็จ ให้ใช้โปรแกรม Event Viewer องค์กรของการเข้าถึงบันทึกอธิบายไว้ในตาราง 5.

ตามค่าเริ่มต้น การตรวจสอบจะถูกปิดใช้งานและไม่มีการดูแลรักษาบันทึกความปลอดภัย

ขั้นตอนแรกในการวางแผนกลยุทธ์การตรวจสอบคือการเลือกเหตุการณ์ที่จะตรวจสอบในกล่องโต้ตอบนโยบายการตรวจสอบของยูทิลิตี้ตัวจัดการผู้ใช้สำหรับโดเมน (ตัวจัดการผู้ใช้) (รูปที่ 7)

นี่คือประเภทของกิจกรรมที่สามารถลงทะเบียนได้:

  • Logon and Logoff - การลงทะเบียนผู้ใช้เข้าหรือออกจากระบบตลอดจนการสร้างและทำลายการเชื่อมต่อเครือข่าย
  • การเข้าถึงไฟล์และออบเจ็กต์ - การเข้าถึงโฟลเดอร์ ไฟล์ และเครื่องพิมพ์ที่อยู่ภายใต้การตรวจสอบ
  • การใช้สิทธิ์ผู้ใช้ - การใช้สิทธิ์ผู้ใช้ (ยกเว้นสิทธิ์ที่เกี่ยวข้องกับการเข้าสู่ระบบและออกจากระบบ)
  • การจัดการผู้ใช้และกลุ่ม - การสร้าง การเปลี่ยนแปลงและการลบบัญชีผู้ใช้และกลุ่ม รวมถึงการเปลี่ยนแปลงข้อจำกัดของบัญชี
  • การเปลี่ยนแปลงนโยบายความปลอดภัย - การเปลี่ยนแปลงสิทธิ์ของผู้ใช้ กลยุทธ์การตรวจสอบ และนโยบายความน่าเชื่อถือ
  • รีสตาร์ท ปิดเครื่อง และระบบ - รีสตาร์ทหรือปิดเครื่องคอมพิวเตอร์โดยผู้ใช้ การเกิดสถานการณ์ที่ส่งผลกระทบต่อความปลอดภัยของระบบ
  • การติดตามกระบวนการ - เหตุการณ์ที่ทำให้โปรแกรมเริ่มต้นและสิ้นสุด

การตั้งค่าฟังก์ชันการตรวจสอบอธิบายไว้ในเอกสารประกอบของ Windows NT นอกจากนี้ เราจะพิจารณาประเภทการตรวจสอบต่อไปนี้:

การตรวจสอบวัตถุพื้นฐาน นอกเหนือจากไฟล์และโฟลเดอร์ เครื่องพิมพ์ และคีย์รีจิสทรีของระบบแล้ว Windows NT ยังมีออบเจ็กต์พื้นฐานที่ผู้ใช้ทั่วไปไม่สามารถมองเห็นได้ มีให้เฉพาะนักพัฒนาแอพพลิเคชั่นหรือไดรเวอร์อุปกรณ์เท่านั้น หากต้องการเปิดใช้งานการตรวจสอบออบเจ็กต์เหล่านี้ คุณต้องเปิดใช้งานการตรวจสอบเหตุการณ์ประเภทการเข้าถึงไฟล์และออบเจ็กต์ในตัวจัดการผู้ใช้ และใช้ Registry Editor เพื่อตั้งค่าของพารามิเตอร์:

สาขา HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
ชื่อ AuditBaseObjects
พิมพ์ REG_DWORDค่า 1

การตรวจสอบสิทธิพิเศษ ในบรรดาสิทธิ์ของผู้ใช้ที่เป็นไปได้ มีสิทธิ์บางอย่างที่ไม่ได้รับการตรวจสอบในระบบแม้ว่าจะเปิดใช้งานการตรวจสอบสิทธิ์แล้วก็ตาม สิทธิพิเศษเหล่านี้แสดงอยู่ในตาราง 6.

หากต้องการเปิดใช้งานการตรวจสอบสิทธิ์เหล่านี้ คุณต้องใช้ Registry Editor เพื่อเพิ่มพารามิเตอร์ต่อไปนี้:

สาขา HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa:
ชื่อ การตรวจสอบสิทธิ์เต็มรูปแบบ
พิมพ์ REG_BINARY
ความหมาย 1

บริการรักษาความปลอดภัยของ Windows NT 5.0

การรักษาความปลอดภัย Windows NT 5.0 ช่วยให้มีวิธีใหม่ในการรับรองความถูกต้องของผู้ใช้และการปกป้องข้อมูล ประกอบด้วย:

  • บูรณาการอย่างสมบูรณ์กับ Windows NT 5.0 Active Directory เพื่อให้การจัดการบัญชีที่ปรับขนาดได้ทั่วทั้งโดเมนขนาดใหญ่พร้อมการควบคุมการเข้าถึงที่ยืดหยุ่นและการกระจายสิทธิ์ของผู้ดูแลระบบ
  • โปรโตคอลการตรวจสอบสิทธิ์ Kerberos เวอร์ชัน 5 เป็นมาตรฐานความปลอดภัยสำหรับอินเทอร์เน็ต ซึ่งใช้เป็นโปรโตคอลการตรวจสอบสิทธิ์การเข้าสู่ระบบเครือข่ายหลัก
  • การรับรองความถูกต้องโดยใช้ใบรับรองตามกุญแจสาธารณะ
  • ช่องทางเครือข่ายที่ปลอดภัยตามมาตรฐาน SSL
  • ระบบไฟล์พร้อมการเข้ารหัส

Windows NT 5.0 Distributed Security Services จัดเก็บข้อมูลบัญชีไว้ใน Active Directory ข้อดีของไดเรกทอรีที่ใช้งานอยู่:

  • บัญชีผู้ใช้และกลุ่มสามารถกระจายข้ามคอนเทนเนอร์ได้ - หน่วยงาน(หน่วยองค์กร OU) โดเมนภายในเนมสเปซแบบลำดับชั้นสามารถมีจำนวนดิวิชั่นเท่าใดก็ได้ ช่วยให้องค์กรต่างๆ มีความสอดคล้องกันระหว่างชื่อที่ใช้บนเครือข่ายและโครงสร้างขององค์กร
  • Active Directory รองรับออบเจ็กต์จำนวนมากและมีประสิทธิภาพดีกว่ารีจิสทรี แผนผังโดเมนที่ติดต่อกับภายนอกของ Windows NT สามารถรองรับโครงสร้างองค์กรที่ซับซ้อนมากขึ้นได้อย่างมาก
  • การจัดการบัญชีได้รับการปรับปรุงด้วยเครื่องมือการจัดการไดเรกทอรีที่ใช้งานแบบกราฟิกใหม่ รวมถึงสคริปต์ที่เข้าถึงวัตถุ COM ไดเรกทอรีที่ใช้งานอยู่
  • Directory Replication Services รองรับสำเนาบัญชีหลายชุด ขณะนี้ข้อมูลสามารถอัปเดตสำหรับสำเนาบัญชีใดก็ได้ (ไม่จำเป็นต้องแยกตัวควบคุมโดเมนออกเป็นโดเมนหลักและสำรอง) Light-weight Directory Access Protocol (LDAP) และบริการการจำลองแบบมีกลไกสำหรับการเชื่อมโยงไดเรกทอรี Windows NT 5.0 กับไดเรกทอรีที่ใช้ X.500 และ LDAP อื่นๆ ในองค์กร

เพื่อให้เข้ากันได้กับไคลเอนต์ที่มีอยู่ ให้กลไกการรักษาความปลอดภัยที่มีประสิทธิภาพมากขึ้น และเปิดใช้งานการทำงานร่วมกันข้ามเครือข่ายที่แตกต่างกัน Windows NT สนับสนุนโปรโตคอลความปลอดภัยหลายตัว สถาปัตยกรรม Windows NT ไม่ได้กำหนดข้อจำกัดในการใช้โปรโตคอลความปลอดภัยบางอย่าง

Windows NT 5.0 จะรองรับ:

  • โปรโตคอลการตรวจสอบสิทธิ์ Windows NT LAN Manager (NTLM) ใช้ใน Windows NT 4.0 และ Windows NT รุ่นก่อนหน้า
  • โปรโตคอลการรับรองความถูกต้อง Kerberos เวอร์ชัน 5 แทนที่ NTLM เป็นโปรโตคอลหลักสำหรับการเข้าถึงเครือข่ายไปยังทรัพยากรโดเมน Windows NT 5.0
  • โปรโตคอลการตรวจสอบรหัสผ่านแบบกระจาย (DPA); ต้องขอบคุณ DPA ผู้ใช้ที่ได้รับรหัสผ่านเดียวเมื่อลงทะเบียนสามารถเชื่อมต่อกับเว็บไซต์อินเทอร์เน็ตใด ๆ ที่ให้บริการโดยองค์กรนี้
  • โปรโตคอลที่ใช้กุญแจสาธารณะและใช้สำหรับการสื่อสารระหว่างเบราว์เซอร์และเว็บเซิร์ฟเวอร์เป็นหลัก มาตรฐานโดยพฤตินัยที่นี่ได้กลายเป็นโปรโตคอล Secure Sockets Layer (SSL)

สำหรับการเข้าถึงโปรโตคอลต่างๆ ที่สม่ำเสมอ อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน Win32 ใหม่ได้รับการพัฒนา - อินเทอร์เฟซผู้ให้บริการสนับสนุนความปลอดภัย(อินเทอร์เฟซผู้ให้บริการสนับสนุนความปลอดภัย SSPI) SSPI ช่วยให้คุณสามารถแยกการรับรองความถูกต้องของผู้ใช้ ซึ่งสามารถดำเนินการโดยใช้โปรโตคอลที่แตกต่างกัน ออกจากบริการและแอปพลิเคชันที่ใช้งาน อินเทอร์เฟซ SSPI ประกอบด้วยชุดขั้นตอนต่างๆ สำหรับแอปพลิเคชันโปรแกรมที่ดำเนินการ:

  • การจัดการอาณัติ(การจัดการข้อมูลรับรอง) ทำงานกับข้อมูลลูกค้า (รหัสผ่าน ตั๋ว ฯลฯ );
  • การจัดการบริบท(การจัดการบริบท) - การสร้างบริบทความปลอดภัยของไคลเอ็นต์
  • การสนับสนุนการส่งข้อความ(การสนับสนุนข้อความ) - การตรวจสอบความสมบูรณ์ของข้อมูลที่ส่ง (ทำงานภายในบริบทด้านความปลอดภัยของลูกค้า)
  • การจัดการแพ็คเกจ(การจัดการแพ็คเกจ) - เลือกโปรโตคอลความปลอดภัย

โปรโตคอลการตรวจสอบความถูกต้อง Kerberos กำหนดการโต้ตอบระหว่างไคลเอนต์และบริการการตรวจสอบความถูกต้อง ศูนย์กระจายสินค้าที่สำคัญ(ศูนย์กระจายสินค้าคีย์ KDC) เทียบเท่าโดเมน Windows NT 5.0 อาณาจักรเคอร์เบรอส(ขอบเขต Kerberos) แต่จะยังคงเรียกว่าโดเมนในระบบปฏิบัติการนี้ การใช้งาน Kerberos ใน Windows NT 5.0 จะขึ้นอยู่กับ RFC1510 เมื่อเปรียบเทียบกับ NTLM แล้ว โปรโตคอลการตรวจสอบสิทธิ์ Kerberos มีข้อดีดังต่อไปนี้:

  • การเชื่อมต่อที่เร็วขึ้นระหว่างไคลเอนต์และเซิร์ฟเวอร์ เนื่องจากเซิร์ฟเวอร์ไม่จำเป็นต้องสื่อสารกับตัวควบคุมโดเมนเพื่อตรวจสอบสิทธิ์ผู้ใช้ ปรับปรุงความสามารถในการปรับขนาดของเครือข่ายคอมพิวเตอร์
  • ความสัมพันธ์ของความน่าเชื่อถือแบบสกรรมกริยาระหว่างโดเมนทำให้การดูแลระบบเครือข่ายที่ซับซ้อนง่ายขึ้น

Windows NT 5.0 จะมีเครื่องมือป้องกันข้อมูลใหม่ ระบบไฟล์ที่เข้ารหัส(Encrypted File System, EFS) ซึ่งช่วยให้คุณสามารถจัดเก็บไฟล์และโฟลเดอร์ในรูปแบบที่เข้ารหัสได้ ด้วยเหตุนี้ผู้ใช้ระดับองค์กรและรายบุคคลจึงสามารถแก้ไขปัญหาการรั่วไหลของข้อมูลลับที่อาจเกิดขึ้นได้เมื่อคอมพิวเตอร์แล็ปท็อปหรือฮาร์ดไดรฟ์ถูกขโมยจากเซิร์ฟเวอร์ ข้อมูลที่เข้ารหัสจะไม่สามารถเข้าถึงได้แม้ว่าจะมีการเข้าถึงฮาร์ดไดรฟ์ก็ตาม

คอมพิวเตอร์กด 2"2542

อุปกรณ์ ในคอนโซล MMC ช่วยให้คุณได้รับข้อมูลเกี่ยวกับการตั้งค่าความปลอดภัยของคอมพิวเตอร์เฉพาะที่ หากผู้ใช้ไม่สามารถทำงานในพื้นที่หรือระยะไกลบางอย่างได้ สาเหตุอาจเป็นเพราะการตั้งค่าความปลอดภัยที่ผู้ใช้นำไปใช้นั้นเข้มงวดเกินไป

แม้ว่าโอกาสที่จะเกิดเหตุการณ์เช่นนี้จะต่ำ แต่อย่าประมาทผู้ใช้ ไม่จำเป็นต้องพูดว่า มีบางสถานการณ์ที่ผู้ดูแลระบบคนใหม่ได้เรียนรู้ว่ามี "ความปลอดภัย" ซึ่งจำกัดการเข้าถึงเซิร์ฟเวอร์มากจนไม่มีใครสามารถเข้าถึงเซิร์ฟเวอร์ได้ ในสถานการณ์เช่นนี้อุปกรณ์จะมีประโยชน์ การกำหนดค่าและการวิเคราะห์ความปลอดภัย.

การกำหนดค่าและการวิเคราะห์ความปลอดภัยเป็นสแน็ปอิน MMC ดังนั้นในการเปิดคุณจะต้องโหลดสแน็ปอินลงในคอนโซลการจัดการ เมื่อต้องการทำเช่นนี้ ให้ดำเนินการตามลำดับต่อไปนี้:

1. เลือก เริ่ม > วิ่ง, เข้า มิลลิเมตรในกล่องโต้ตอบ วิ่งและคลิกที่ปุ่ม ตกลง.

2. ในคอนโซล MMC ให้กดคีย์ผสม เพื่อเพิ่มอุปกรณ์ใหม่

3. คลิกที่ปุ่ม เพิ่ม.

5. คลิกที่ปุ่ม ปิดในกล่องโต้ตอบ เพิ่มสแน็ปอินแบบสแตนด์อโลน- หลังจากนี้ให้คลิกที่ปุ่ม ตกลงในกล่องโต้ตอบ เพิ่ม/ลบสแน็ปอิน.

หลังจากนี้ คุณก็พร้อมที่จะดำเนินการวิเคราะห์ระบบแล้ว การวิเคราะห์จำเป็นต้องมีการทดสอบระบบกับรูปแบบการรักษาความปลอดภัยที่ทราบ เพื่อวัตถุประสงค์ในการวินิจฉัย วิธีที่ง่ายที่สุดคือใช้เทมเพลตเริ่มต้นเมื่อวิเคราะห์ ใน Windows Server 2003 และ Windows XP เทมเพลตเริ่มต้นจะถูกจัดเก็บไว้ในไฟล์ ตั้งค่า security.inf(หรือ DC Security.infสำหรับตัวควบคุมโดเมน) และแสดงถึงการตั้งค่าความปลอดภัยที่จะใช้ทันทีหลังจากติดตั้งระบบปฏิบัติการ

เทมเพลตการตั้งค่าความปลอดภัยจะคล้ายกับเทมเพลตพื้นฐานที่ใช้ใน Windows 2000 และระบบปฏิบัติการรุ่นก่อนหน้า

เพื่อวิเคราะห์การตั้งค่าความปลอดภัยของระบบ ให้ดำเนินการตามลำดับต่อไปนี้:

1. คลิกขวาที่สแน็ปอิน การกำหนดค่าและการวิเคราะห์ความปลอดภัยและเลือกทีม .


2. เพื่อวัตถุประสงค์ในการทดสอบ คุณสามารถสร้างฐานข้อมูลใหม่ได้ ดังนั้นในภาคสนาม ชื่อไฟล์กล่องโต้ตอบ เปิดฐานข้อมูลเข้า ทดสอบและคลิกที่ปุ่ม เปิด.

3. ตอนนี้ในกล่องโต้ตอบ นำเข้าเทมเพลตเลือกไฟล์ ตั้งค่า security.infและคลิกที่ปุ่ม เปิด.


4. หลังจากนำเข้าเทมเพลต คุณสามารถเริ่มวิเคราะห์การตั้งค่าความปลอดภัยของระบบได้ เมื่อต้องการทำเช่นนี้ ให้คลิกขวาที่สแน็ปอิน การกำหนดค่าและการวิเคราะห์ความปลอดภัยและเลือกทีม วิเคราะห์คอมพิวเตอร์ทันที.


5. ในกล่องโต้ตอบ ทำการวิเคราะห์ป้อนเส้นทางใหม่ไปยังไฟล์บันทึกข้อผิดพลาดหรือออกจากเส้นทางไฟล์เก่าแล้วคลิกที่ปุ่มตกลง

การวิเคราะห์ระบบจะใช้เวลาสักครู่จึงจะเสร็จสิ้น เมื่อการวิเคราะห์เสร็จสิ้น สแน็ปอินจะแสดงรายการการตั้งค่าความปลอดภัย ความแตกต่างจากเทมเพลตความปลอดภัยนั้นมองเห็นได้ง่ายมาก เนื่องจากความแตกต่างจะถูกเน้นด้วยเครื่องหมาย X สีแดง

คุณไม่มีทางรู้ว่าจะต้องเจอกับอะไรบ้าง โดยเฉพาะอย่างยิ่งเมื่อทำงานในเครือข่ายของคนอื่น ตัวอย่างในทางปฏิบัติ: เมื่อผู้เขียนบทความไม่สามารถติดต่อกับเซิร์ฟเวอร์บางตัวได้แม้ว่าจะมีการจัดเตรียมโฟลเดอร์ที่จำเป็นสำหรับการเข้าถึงแบบสาธารณะก็ตาม เมื่อปรากฏในภายหลัง เซิร์ฟเวอร์จำเป็นต้องใช้ช่องทางที่เข้ารหัสสำหรับการส่งข้อมูล และไคลเอนต์ไม่สามารถจัดเตรียมช่องทางที่เข้ารหัสได้ แม้ว่าผู้ใช้จะร้องขอก็ตาม

กล่าวอีกนัยหนึ่ง ไคลเอนต์พยายามเริ่มเซสชันกับเซิร์ฟเวอร์ และเซิร์ฟเวอร์ตอบกลับ: “เราจะสื่อสารผ่านช่องทางที่เข้ารหัสเท่านั้น” ลูกค้าคัดค้าน: “ไม่ จะไม่มีช่องทางที่เข้ารหัส” ซึ่งเซิร์ฟเวอร์ตอบว่า: “แชทกับผู้ใช้ของคุณ” แม้ว่าการเปรียบเทียบนี้อาจดูงี่เง่า แต่โปรดจำไว้ว่าปัญหานี้สามารถค้นพบได้ง่ายโดยดูจากรายงานสแน็ปอิน การกำหนดค่าและการวิเคราะห์ความปลอดภัยสำหรับความแตกต่างในการตั้งค่าช่องสัญญาณที่เข้ารหัสบนเซิร์ฟเวอร์และบนคอมพิวเตอร์ไคลเอนต์

บางครั้งก็เพียงพอที่จะรู้ว่ามีเครื่องมือที่จำเป็นอยู่ หลายๆ คนแทบจะไม่เคยใช้ snap เลย การกำหนดค่าและการวิเคราะห์ความปลอดภัยแต่ความรู้เกี่ยวกับการมีอยู่ของอุปกรณ์ดังกล่าวสามารถทำให้ผู้ใช้เป็นฮีโร่ประจำวันได้

เทมเพลตความปลอดภัย

เมื่อพิจารณาถึงอุปกรณ์ การกำหนดค่าและการวิเคราะห์ความปลอดภัยปรากฎว่าเพื่อทำการวิเคราะห์การตั้งค่าความปลอดภัย จะต้องมีรูปแบบการรักษาความปลอดภัยที่ทราบเพื่อเปรียบเทียบ

หากคุณต้องการดูและกำหนดการตั้งค่าเทมเพลตก่อนเรียกใช้การวิเคราะห์ระบบ คุณสามารถใช้ เทมเพลตความปลอดภัย- เมื่อต้องการโหลดสแน็ปอิน คุณสามารถใช้ขั้นตอนที่อธิบายไว้ในส่วนก่อนหน้า หากคุณยังไม่ได้ดำเนินการก่อนหน้านี้

เมื่อโหลดสแน็ปอินลงในคอนโซลแล้ว คุณสามารถเริ่มดูและวิเคราะห์การตั้งค่าสำหรับเทมเพลตความปลอดภัยแต่ละรายการได้

หน้าที่ 13 จาก 15

การตั้งค่าความปลอดภัยของ Windows XP

ระบบปฏิบัติการ Windows XP มีระบบรักษาความปลอดภัยที่พัฒนาขึ้นซึ่งจำเป็นต้องกำหนดค่า (ตามค่าเริ่มต้น Windows XP Professional จะมอบอินเทอร์เฟซความปลอดภัยที่เรียบง่ายให้กับผู้ใช้ซึ่งช่วยให้คุณตั้งค่าของจำนวนที่ จำกัด มาก เข้าถึงพารามิเตอร์ตามความเป็นสมาชิกในกลุ่มบิวท์อิน) เราหวังว่าคุณจะเข้าใจว่าต้องติดตั้ง Windows XP บนพาร์ติชัน NTFS และไม่แนะนำให้ใช้ระบบไฟล์ FAT32 ด้วยเหตุผลด้านความปลอดภัย (คุณสมบัติความปลอดภัยในตัวไม่สามารถนำมาใช้กับ FAT32 ได้) หากคุณใช้ระบบไฟล์ FAT32 ข้อความเกือบทั้งหมดในส่วนนี้จะไม่มีความหมายสำหรับคุณ วิธีเดียวที่จะเปิดใช้งานการอนุญาตระบบไฟล์ทั้งหมดคือการแปลงไดรฟ์เป็นรูปแบบ NTFS
หลังจากติดตั้ง Windows XP ใหม่ทั้งหมด การตั้งค่าความปลอดภัยเริ่มต้นจะทำหน้าที่เป็นสวิตช์เปิด-ปิด อินเทอร์เฟซนี้เรียกว่า Simple File Sharing ตามค่าเริ่มต้น
การกำหนดค่านี้มีระดับความปลอดภัยต่ำ เกือบจะเหมือนกับการกำหนดค่ามาตรฐานของ Windows 95/98/Me
หากคุณไม่พอใจกับการกำหนดค่านี้ คุณสามารถใช้ประโยชน์จากสิทธิ์การใช้งานไฟล์สไตล์ Windows 2000 ได้อย่างเต็มที่ โดยเปิดโฟลเดอร์สุ่มใน Explorer แล้วเลือกเครื่องมือ - ตัวเลือกโฟลเดอร์ ไปที่แท็บมุมมอง ค้นหาช่องทำเครื่องหมายใช้การแชร์ไฟล์ (แนะนำ) ในรายการ และยกเลิกการทำเครื่องหมาย (หากต้องการเปลี่ยนตัวเลือกนี้ คุณต้องเป็นสมาชิกของกลุ่มผู้ดูแลระบบ)

เมื่อคุณปิดการใช้ร่วมกันแบบธรรมดา แท็บความปลอดภัยจะปรากฏขึ้นในกล่องโต้ตอบคุณสมบัติของโฟลเดอร์ใดๆ
เช่นเดียวกับการออกสิทธิ์อนุญาตไฟล์ สิทธิ์ทั้งหมดจะถูกจัดเก็บไว้ในรายการควบคุมการเข้าถึง (ACL)
เมื่อตั้งค่าและลบการอนุญาต ให้ปฏิบัติตามหลักการพื้นฐานเหล่านี้:

  • ทำงานจากบนลงล่าง
  • เก็บไฟล์ข้อมูลที่ใช้ร่วมกันไว้ด้วยกัน
  • ทำงานร่วมกับกลุ่มทุกครั้งที่เป็นไปได้
  • อย่าใช้สิทธิ์พิเศษ
  • อย่าให้สิทธิ์แก่ผู้ใช้เกินความจำเป็นจริงๆ (หลักการให้สิทธิ์น้อยที่สุด)

การตั้งค่าการอนุญาตจากบรรทัดคำสั่ง

ยูทิลิตีบรรทัดคำสั่ง cacls.exe ช่วยให้คุณสามารถดูและเปลี่ยนแปลงสิทธิ์ของไฟล์และโฟลเดอร์ได้ Cacls ย่อมาจาก Control ACLs - การจัดการรายการควบคุมการเข้าถึง
สวิตช์บรรทัดคำสั่งของยูทิลิตี้ Cacls
/ต- เปลี่ยนสิทธิ์การเข้าถึงไฟล์ที่ระบุในโฟลเดอร์ปัจจุบันและโฟลเดอร์ย่อยทั้งหมด
/อี- การเปลี่ยนแปลงรายการควบคุมการเข้าถึง (แทนที่ไม่ทั้งหมด)
/ค- ดำเนินการต่อหากเกิดข้อผิดพลาด "การเข้าถึงถูกปฏิเสธ"
/G ผู้ใช้: การอนุญาต- การจัดสรรสิทธิ์ที่ระบุให้กับผู้ใช้ หากไม่มีสวิตช์ /E สวิตช์จะแทนที่สิทธิ์ปัจจุบันโดยสมบูรณ์
/ผู้ใช้- เพิกถอนสิทธิ์การเข้าถึงสำหรับผู้ใช้ปัจจุบัน (ใช้กับสวิตช์ /E เท่านั้น)
/P ผู้ใช้:การอนุญาต- แทนที่การอนุญาตผู้ใช้ที่ระบุ
/D ผู้ใช้- ปฏิเสธการเข้าถึงของผู้ใช้ไปยังวัตถุ
ด้วยปุ่ม /G และ /P คุณต้องใช้ตัวอักษรตัวใดตัวหนึ่งตามรายการด้านล่าง (แทนคำว่าอนุญาต):
  • F (Full Control) - เทียบเท่ากับการเลือกช่องทำเครื่องหมาย Full Control บนแท็บ Security
  • C (เปลี่ยน) - เหมือนกับการเลือกช่องทำเครื่องหมาย Allow Modify
  • R (อ่าน) - เทียบเท่ากับการเลือกช่องทำเครื่องหมายอนุญาตให้อ่านและดำเนินการ
  • W (เขียน) - เทียบเท่ากับการเลือกช่องทำเครื่องหมายอนุญาตให้เขียน (เขียน)
Microsoft Windows XP ช่วยป้องกันไม่ให้ข้อมูลที่ละเอียดอ่อนตกไปอยู่ในมือของผู้ไม่หวังดี Encrypting File System (EFS) เข้ารหัสไฟล์บนดิสก์ อย่างไรก็ตาม โปรดทราบว่าหากคุณทำคีย์ถอดรหัสหาย ข้อมูลอาจถือว่าสูญหาย ดังนั้น หากคุณตัดสินใจที่จะใช้ประโยชน์จาก EFS คุณต้องสร้างบัญชีตัวแทนการกู้คืนและสำเนาสำรองของใบรับรองของคุณเองและใบรับรองตัวแทนการกู้คืน
หากคุณต้องการทำงานกับบรรทัดคำสั่งคุณสามารถใช้โปรแกรม cipher.exe คำสั่งการเข้ารหัสที่ไม่มีพารามิเตอร์จะแสดงข้อมูลเกี่ยวกับโฟลเดอร์ปัจจุบันและไฟล์ที่อยู่ในนั้น (ไม่ว่าจะเข้ารหัสหรือไม่ก็ตาม) ด้านล่างนี้คือรายการสวิตช์คำสั่งการเข้ารหัสที่ใช้บ่อยที่สุด
/อี- การเข้ารหัสโฟลเดอร์ที่ระบุ
/D- การถอดรหัสโฟลเดอร์ที่ระบุ
/S:โฟลเดอร์- การดำเนินการนี้ใช้กับโฟลเดอร์และโฟลเดอร์ย่อยทั้งหมด (แต่ไม่ใช่ไฟล์)
/ก- การดำเนินการถูกนำไปใช้กับไฟล์ที่ระบุและไฟล์ในโฟลเดอร์ที่ระบุ
/ก- การสร้างคีย์เข้ารหัสใหม่สำหรับผู้ใช้ที่เปิดใช้งานโปรแกรม หากมีการระบุคีย์นี้ คีย์อื่นๆ ทั้งหมดจะถูกละเว้น
/ร- การสร้างคีย์ตัวแทนการกู้คืนไฟล์และใบรับรอง รหัสและใบรับรองจะอยู่ในไฟล์ .CFX และสำเนาของใบรับรองจะอยู่ในไฟล์ .CER
/อ- อัปเดตคีย์การเข้ารหัสผู้ใช้หรือเอเจนต์การกู้คืนสำหรับไฟล์ทั้งหมดในไดรฟ์ในเครื่องทั้งหมด
/ยู/น- แสดงรายการไฟล์ที่เข้ารหัสทั้งหมดบนไดรฟ์ในเครื่องโดยไม่ต้องดำเนินการอื่นใด

ตัวแทนการกู้คืนข้อมูล

โดยปกติผู้ดูแลระบบจะได้รับการแต่งตั้งให้เป็นตัวแทนการกู้คืนข้อมูล ในการสร้างตัวแทนการกู้คืน คุณต้องสร้างใบรับรองการกู้คืนข้อมูลก่อน จากนั้นจึงกำหนดผู้ใช้ของคุณให้เป็นตัวแทนดังกล่าว
ในการสร้างใบรับรอง คุณต้องดำเนินการดังต่อไปนี้:
1. คุณต้องเข้าสู่ระบบในฐานะผู้ดูแลระบบ
2. ป้อน cipher /R บนบรรทัดคำสั่ง: ชื่อไฟล์
3. ป้อนรหัสผ่านสำหรับไฟล์ที่สร้างขึ้นใหม่ ไฟล์ใบรับรองมีนามสกุล .PFX และ .CER และชื่อที่คุณระบุ
หมายเหตุ: ไฟล์เหล่านี้อนุญาตให้ผู้ใช้ใดๆ ในระบบสามารถเป็นตัวแทนการกู้คืนได้ อย่าลืมคัดลอกลงในฟล็อปปี้ดิสก์และเก็บไว้ในที่ปลอดภัย หลังจากการคัดลอก ให้ลบไฟล์ใบรับรองออกจากฮาร์ดไดรฟ์ของคุณ
หากต้องการมอบหมายตัวแทนการกู้คืน:
1. เข้าสู่ระบบด้วยบัญชีที่ควรเป็นตัวแทนการกู้คืนข้อมูล
2. ในคอนโซลใบรับรอง ไปที่ส่วนใบรับรอง - ผู้ใช้ปัจจุบัน - ส่วนบุคคล (ผู้ใช้ปัจจุบัน - ส่วนบุคคล)
3. การดำเนินการ - งานทั้งหมด - นำเข้า (การดำเนินการ - งานทั้งหมด - นำเข้า) เพื่อเปิดตัวช่วยสร้างการนำเข้าใบรับรอง
4. นำเข้าใบรับรองการกู้คืน หากคุณใช้เครื่องมือเข้ารหัสไม่ถูกต้อง คุณอาจได้รับผลเสียมากกว่าผลดี
เคล็ดลับการเข้ารหัสโดยย่อ:
1. เข้ารหัสโฟลเดอร์ทั้งหมดที่คุณจัดเก็บเอกสาร
2. เข้ารหัสโฟลเดอร์ %Temp% และ %Tmp% เพื่อให้แน่ใจว่าไฟล์ชั่วคราวทั้งหมดได้รับการเข้ารหัส
3. เปิดใช้งานการเข้ารหัสสำหรับโฟลเดอร์เสมอ ไม่ใช่ไฟล์ จากนั้นไฟล์ทั้งหมดที่สร้างขึ้นในเวลาต่อมาจะถูกเข้ารหัสซึ่งมีความสำคัญเมื่อทำงานกับโปรแกรมที่สร้างสำเนาไฟล์ของตัวเองเมื่อทำการแก้ไขจากนั้นจึงเขียนทับสำเนาที่อยู่ด้านบนของต้นฉบับ
4. ส่งออกและป้องกันคีย์ส่วนตัวของบัญชีตัวแทนการกู้คืน แล้วลบออกจากคอมพิวเตอร์
5. ส่งออกใบรับรองการเข้ารหัสส่วนบุคคลของทุกบัญชี
6. อย่าลบใบรับรองการกู้คืนเมื่อเปลี่ยนแปลงนโยบายตัวแทนการกู้คืน เก็บไว้จนกว่าคุณจะแน่ใจว่าไฟล์ทั้งหมดที่ได้รับการคุ้มครองโดยใบรับรองเหล่านี้จะไม่ได้รับการอัปเดต
7. เมื่อพิมพ์ อย่าสร้างไฟล์ชั่วคราวหรือเข้ารหัสโฟลเดอร์ที่จะสร้างขึ้น
8. ป้องกันไฟล์เพจของคุณ ควรลบออกโดยอัตโนมัติเมื่อคุณออกจาก Windows

เครื่องมือสร้างเทมเพลตความปลอดภัย

เทมเพลตความปลอดภัยเป็นไฟล์ ASCII ธรรมดา ดังนั้นในทางทฤษฎีแล้ว เทมเพลตเหล่านี้สามารถสร้างขึ้นได้โดยใช้โปรแกรมแก้ไขข้อความทั่วไป อย่างไรก็ตาม ควรใช้สแน็ปอินเทมเพลตความปลอดภัยใน Microsoft Management Console (MMC) ในการดำเนินการนี้ คุณต้องป้อน mmc /a ในคอนโซลนี้ในบรรทัดคำสั่ง ให้เลือกเมนูไฟล์ - เพิ่ม/ลบ ในกล่องโต้ตอบ เพิ่มสแนปอินแบบสแตนด์อโลน ให้เลือก เทมเพลตความปลอดภัย - เพิ่ม
การจัดการอุปกรณ์
เทมเพลตความปลอดภัยจะอยู่ในโฟลเดอร์ \%systemroot%\security\templates จำนวนเทมเพลตที่มีอยู่แล้วภายในจะแตกต่างกันไปขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการและ Service Pack ที่ติดตั้ง
หากคุณขยายโฟลเดอร์ใดๆ ใน Security Templates บานหน้าต่างด้านขวาจะแสดงโฟลเดอร์ที่สอดคล้องกับองค์ประกอบที่ได้รับการควบคุม:
  • นโยบายบัญชี - จัดการรหัสผ่าน การล็อค และนโยบาย Kerberos
  • นโยบายท้องถิ่น - จัดการการตั้งค่าการตรวจสอบ สิทธิ์ผู้ใช้ และการตั้งค่าความปลอดภัย
  • บันทึกเหตุการณ์ - การจัดการพารามิเตอร์บันทึกของระบบ
  • กลุ่มที่ถูกจำกัด - การกำหนดองค์ประกอบของกลุ่มท้องถิ่นต่างๆ
  • บริการระบบ - เปิดและปิดใช้งานบริการและกำหนดสิทธิ์ในการแก้ไขบริการของระบบ
  • Registry - การกำหนดสิทธิ์ในการเปลี่ยนแปลงและดูรีจิสตรีคีย์
  • ระบบไฟล์ - จัดการสิทธิ์ NTFS สำหรับโฟลเดอร์และไฟล์

การป้องกันการเชื่อมต่ออินเทอร์เน็ต

เพื่อความปลอดภัยเมื่อเชื่อมต่ออินเทอร์เน็ต คุณต้อง:
  • เปิดใช้งานไฟร์วอลล์การเชื่อมต่ออินเทอร์เน็ตหรือติดตั้งไฟร์วอลล์บุคคลที่สาม
  • ปิดใช้งานการแชร์ไฟล์และเครื่องพิมพ์สำหรับเครือข่าย Microsoft
ไฟร์วอลล์การเชื่อมต่ออินเทอร์เน็ตเป็นส่วนประกอบซอฟต์แวร์ที่บล็อกการรับส่งข้อมูลที่ไม่ต้องการ การเปิดใช้งานไฟร์วอลล์การเชื่อมต่ออินเทอร์เน็ต:
  • เปิดแผงควบคุม - การเชื่อมต่อเครือข่าย
  • คลิกขวาที่การเชื่อมต่อที่คุณต้องการป้องกันและเลือกคุณสมบัติจากเมนู
  • ไปที่แท็บขั้นสูง เลือกช่องทำเครื่องหมายรักษาความปลอดภัยการเชื่อมต่ออินเทอร์เน็ตของฉัน

การใช้สแน็ปอินเทมเพลตความปลอดภัย คุณสามารถสร้างไฟล์ข้อความที่มีการตั้งค่าความปลอดภัยทั้งหมดสำหรับพื้นที่ปลอดภัยที่สนับสนุนโดยนโยบายความปลอดภัยท้องถิ่น สะดวกสำหรับการใช้คุณลักษณะด้านความปลอดภัยทั้งหมดที่มีใน Windows XP Professional ในส่วนนี้ เราจะแสดงวิธีสร้างเทมเพลต แก้ไขเทมเพลตที่มีอยู่ และใช้งานบน Windows XP Professional

สร้างเทมเพลต

ทำตามขั้นตอนเหล่านี้เพื่อเปิดใช้สแนปอินเทมเพลตความปลอดภัย และดูการตั้งค่านโยบายความปลอดภัยของคุณ

  1. เปิดข้อความ
  2. จากเมนูไฟล์ คลิกเพิ่ม/ลบ Snap-in จากนั้นคลิกเพิ่ม
  3. จากรายการ Snap-ins แบบสแตนด์อโลนที่มีอยู่ ให้เลือกเทมเพลตความปลอดภัย
  4. คลิกเพิ่มแล้วคลิกปิด
  5. คลิกตกลง สแน็ปอินเทมเพลตความปลอดภัยแสดงไว้ในรูปที่ 1 9.5.
  6. ในหน้าต่างด้านขวา คลิกไอคอน "+" เพื่อขยายเทมเพลตความปลอดภัย
  7. ขยาย C:\Windows\security\templates (C: คือไดรฟ์ที่จัดเก็บ Windows)
  8. เมื่อต้องการสร้างเทมเพลต คลิกสองครั้งที่เทมเพลตความปลอดภัย คลิกขวาที่โฟลเดอร์เทมเพลตเริ่มต้น จากนั้นคลิกเทมเพลตใหม่

สิ่งนี้จะสร้างเทมเพลตเปล่าซึ่งคุณสามารถกรอกทุกสิ่งที่เกี่ยวข้องกับนโยบายความปลอดภัยขององค์กรของคุณ หากต้องการบันทึกเทมเพลต ให้เปิดเมนูไฟล์แล้วคลิกบันทึกเป็น


ข้าว. 9.5.

การแก้ไขเทมเพลตที่มีอยู่

Windows XP Professional มาพร้อมกับเทมเพลตมากมายตั้งแต่แกะกล่อง พวกเขาสร้างรากฐานที่ดีสำหรับการสร้างนโยบายความปลอดภัยของคุณเอง คุณอาจมีนโยบายความปลอดภัยที่คุณต้องการปรับปรุงและนำไปใช้ในภายหลัง หากต้องการเปิดและแก้ไขเทมเพลตใดๆ ให้ดับเบิลคลิกเทมเพลตนั้นในหน้าต่างด้านซ้ายของสแนปอินเทมเพลตความปลอดภัย

บันทึก. แม้ว่าเทมเพลตการรักษาความปลอดภัยจะมาพร้อมกับเทมเพลตที่สร้างไว้ล่วงหน้า แต่ก็ควรพิจารณาให้ดีก่อนเพื่อให้แน่ใจว่าเทมเพลตเหล่านั้นเหมาะสมกับความต้องการขององค์กรของคุณ

เทมเพลตมีสี่ประเภทหลัก:

  • พื้นฐาน;
  • ปลอดภัย;
  • ความปลอดภัยระดับสูง
  • ผสม

เทมเพลตเหล่านี้แสดงถึงคุณลักษณะด้านความปลอดภัยต่างๆ ตั้งแต่ขั้นพื้นฐานไปจนถึงความปลอดภัยสูง เทมเพลตเบ็ดเตล็ดมีการตั้งค่าความปลอดภัยสำหรับบางหมวดหมู่ที่ยากต่อการวางภายในลำดับชั้นพื้นฐาน ปลอดภัย และความปลอดภัยสูง ประกอบด้วยการตั้งค่าสำหรับตัวเลือกต่างๆ เช่น Terminal Services และ Certificate Services รายการด้านล่างคือเทมเพลตบางส่วนที่มีอยู่ในแต่ละหมวดหมู่

  • Basicsv ตั้งค่าระดับความปลอดภัยพื้นฐานสำหรับเซิร์ฟเวอร์การพิมพ์และเซิร์ฟเวอร์ไฟล์
  • Securews ตั้งค่าระดับความปลอดภัยปานกลางสำหรับเวิร์กสเตชัน
  • Hisecdc ตั้งค่าระดับความปลอดภัยสูงสุดสำหรับตัวควบคุมโดเมน
  • Ocfiles ตั้งค่านโยบายความปลอดภัยสำหรับไฟล์เซิร์ฟเวอร์

เทมเพลตตัวอย่างใดๆ จากทั้งหมด 10 แบบเป็นสถานที่ที่ดีในการเริ่มพัฒนาความปลอดภัยของเครือข่าย อย่างไรก็ตาม เมื่อแก้ไขเทมเพลต ควรบันทึกไว้ในชื่อใหม่เพื่อไม่ให้เขียนทับเทมเพลตเก่า

การใช้เทมเพลตความปลอดภัย

การสร้างหรือแก้ไขเทมเพลตที่มีอยู่จะไม่เปลี่ยนการตั้งค่าความปลอดภัยของคุณ เมื่อต้องการทำการเปลี่ยนแปลงเหล่านี้ คุณต้องใช้เทมเพลตกับคอมพิวเตอร์ของคุณ หากต้องการใช้เทมเพลตที่สร้างขึ้นใหม่หรือแก้ไข ให้ทำดังต่อไปนี้

  1. ในนโยบายกลุ่ม คลิกสองครั้งที่การกำหนดค่าคอมพิวเตอร์ และขยายการตั้งค่า Windows
  2. คลิกขวาที่การตั้งค่าความปลอดภัย จากนั้นคลิกที่นโยบายการนำเข้า (รูปที่ 9.6)
  3. เลือกเทมเพลตที่คุณต้องการใช้
  4. คลิกที่ตกลง

หนึ่งในระบบปฏิบัติการไคลเอนต์ที่พบบ่อยที่สุดในปัจจุบันคือ Microsoft Windows XP เป็นการป้องกันคอมพิวเตอร์ไคลเอนต์ (คอมพิวเตอร์ของผู้ใช้ที่บ้านหรือที่ทำงาน) ที่จะกล่าวถึง ไม่มีความลับใดที่จะเริ่มการโจมตีจากเวิร์กสเตชันไคลเอนต์ได้ง่ายกว่า เนื่องจากผู้ดูแลระบบมักจะให้ความสนใจหลักในเรื่องของการป้องกันเซิร์ฟเวอร์เครือข่ายท้องถิ่น ไม่ต้องสงสัยเลยว่าสถานที่ทำงานจำเป็นต้องมีทั้งการป้องกันไวรัสและมาตรการการระบุตัวตนและการรับรองความถูกต้องของผู้ใช้ที่ได้รับการปรับปรุง อย่างไรก็ตาม ประการแรก ยังคงจำเป็นต้องรับประกันการป้องกันโดยใช้เครื่องมือในตัวของระบบปฏิบัติการ

การตั้งค่าความปลอดภัยของ Windows XP

ระบบปฏิบัติการ Windows XP มีระบบรักษาความปลอดภัยที่พัฒนาขึ้นซึ่งจำเป็นต้องกำหนดค่า เราหวังว่าคุณจะเข้าใจว่าต้องติดตั้ง Windows XP บนพาร์ติชัน NTFS และไม่แนะนำให้ใช้ระบบไฟล์ FAT32 ตามหลักการด้านความปลอดภัย (คุณสมบัติความปลอดภัยในตัวไม่สามารถใช้งานได้หากใช้ FAT32) หากคุณใช้ระบบไฟล์ FAT 32 ข้อความเกือบทั้งหมดในส่วนนี้จะไม่มีความหมายสำหรับคุณ วิธีเดียวที่จะเปิดใช้งานการอนุญาตระบบไฟล์ทั้งหมดคือการแปลงไดรฟ์เป็นรูปแบบ NTFS หลังจากติดตั้ง Windows XP ใหม่ทั้งหมด การตั้งค่าความปลอดภัยเริ่มต้นจะทำหน้าที่เป็นสวิตช์เปิด-ปิด อินเทอร์เฟซนี้เรียกว่า "การแชร์ไฟล์อย่างง่าย" ตามค่าเริ่มต้น การกำหนดค่านี้มีระดับความปลอดภัยต่ำ เกือบจะเหมือนกับการกำหนดค่ามาตรฐานของ Windows 95/98/Me หากคุณไม่พอใจกับการกำหนดค่านี้ คุณสามารถใช้ประโยชน์จากสิทธิ์การใช้งานไฟล์สไตล์ Windows 2000 ได้อย่างเต็มที่โดยเปิดโฟลเดอร์แบบกำหนดเองใน Explorer และเลือกเครื่องมือ > ตัวเลือกโฟลเดอร์ (เครื่องมือ > ตัวเลือกโฟลเดอร์) ไปที่แท็บดู ให้ค้นหาช่องทำเครื่องหมายในรายการใช้การแชร์ไฟล์แบบง่ายๆ

(แนะนำ) (ใช้การแชร์ไฟล์ (แนะนำ)) - และลบออก

คุณสมบัติโฟลเดอร์ เมื่อคุณปิดการใช้ร่วมกันแบบธรรมดา แท็บจะปรากฏขึ้นในกล่องโต้ตอบคุณสมบัติของโฟลเดอร์ใดๆความปลอดภัย

  • - เช่นเดียวกับการออกสิทธิ์อนุญาตไฟล์ สิทธิ์ทั้งหมดจะถูกจัดเก็บไว้ในรายการควบคุมการเข้าถึง (ACL) เมื่อตั้งค่าและลบการอนุญาต ให้ปฏิบัติตามหลักการพื้นฐานเหล่านี้:
  • ทำงานจากบนลงล่าง
  • ทำงานร่วมกับกลุ่มทุกครั้งที่เป็นไปได้
  • อย่าใช้สิทธิ์พิเศษ
  • อย่าให้สิทธิ์แก่ผู้ใช้เกินความจำเป็นจริงๆ (หลักการให้สิทธิ์น้อยที่สุด)

การตั้งค่าระบบปฏิบัติการ

ดังที่ได้กล่าวไปแล้ว คุณไม่สามารถกำหนดค่าคุณสมบัติความปลอดภัยในตัวบนระบบไฟล์ FAT32 ได้ ในเรื่องนี้จำเป็นต้องเลือกระบบไฟล์ NTFS ในขั้นตอนการติดตั้งระบบปฏิบัติการ (เค้าโครงดิสก์) หรือเริ่มการแปลงระบบไฟล์ทันทีหลังจากติดตั้งระบบปฏิบัติการ

การแปลงระบบไฟล์

หากต้องการแปลงดิสก์จาก FAT (FAT32) เป็น NTFS ให้ใช้ยูทิลิตี้แปลง ไวยากรณ์คำสั่ง: แปลงโวลุ่ม: /FS:NTFS ที่ไหน:

  • ปริมาณ- ระบุอักษรระบุไดรฟ์ (ตามด้วยเครื่องหมายโคลอน) จุดเมานต์หรือชื่อโวลุ่ม
  • /FS:NTFS- ระบบไฟล์สุดท้าย: NTFS;
  • /ว- เปิดใช้งานโหมดเอาต์พุตข้อความ
  • /CVTAREA:ชื่อไฟล์- ระบุไฟล์ที่ต่อเนื่องกันในโฟลเดอร์รูทเพื่อสำรองพื้นที่สำหรับไฟล์ระบบ NTFS
  • /ไม่มีความปลอดภัย- การตั้งค่าความปลอดภัยสำหรับไฟล์และโฟลเดอร์ที่แปลงแล้วจะพร้อมให้ทุกคนเปลี่ยนแปลงได้
  • /เอ็กซ์- บังคับให้ลบวอลุ่มนี้ (หากติดตั้งอยู่) หมายเลขอ้างอิงที่เปิดอยู่ทั้งหมดของไดรฟ์ข้อมูลนี้จะไม่ถูกต้อง
หากองค์กรของคุณใช้คอมพิวเตอร์จำนวนมาก คุณต้องพิจารณาขั้นตอนการติดตั้งระบบปฏิบัติการอัตโนมัติ มีสองตัวเลือกในการทำให้กระบวนการติดตั้งเป็นแบบอัตโนมัติ:
  • การติดตั้งอัตโนมัติ- ในกรณีนี้ แบตช์ไฟล์และสคริปต์ (เรียกว่าไฟล์ตอบกลับ) จะถูกใช้เพื่อปิดใช้งานพร้อมท์ของระบบปฏิบัติการ และดึงข้อมูลที่ต้องการจากไฟล์ตอบกลับโดยอัตโนมัติ
  • มีโหมดการติดตั้งอัตโนมัติห้าโหมดการคัดลอกแผ่นดิสก์ (การโคลน). ในกรณีนี้จะมีการเปิดตัวยูทิลิตี้สำหรับเตรียมระบบสำหรับการคัดลอก ( sysprep.exe ) ซึ่งจะลบตัวระบุความปลอดภัย (SID) จากนั้นดิสก์จะถูกคัดลอกโดยใช้โปรแกรมโคลนดิสก์เช่นผี (www.symantec.com/ghost) หรือรูปภาพไดรฟ์
(www.powerquest.com/driveimage) หลังจากการคัดลอกจะดำเนินการขั้นตอนการติดตั้งแบบ "บีบอัด" (5-10 นาที)

คุณได้ติดตั้งระบบปฏิบัติการแล้ว แต่งานที่ยากที่สุดและใช้เวลานานที่สุดยังรออยู่ข้างหน้า

ตามเอกสารการติดตั้งระบบปฏิบัติการใช้เวลาประมาณหนึ่งชั่วโมง - แต่ในความเป็นจริงการติดตั้งการกำหนดค่าการติดตั้งแพตช์สำคัญทั้งหมด (อัปเดต) จะใช้เวลาอย่างน้อย 4-5 ชั่วโมง (โดยมีเงื่อนไขว่าแพตช์ทั้งหมดอยู่ในฮาร์ดแล้ว ไดรฟ์หรือซีดีรอม และคุณไม่จำเป็นต้องดึงข้อมูลจากอินเทอร์เน็ต) คุณได้ติดตั้งระบบปฏิบัติการแล้ว มีสองวิธีในการติดตั้งแพตช์เพิ่มเติม:

  • ใช้บริการ Windows Update อัตโนมัติ เส้นทางนี้มีการอธิบายไว้ค่อนข้างดีในวรรณกรรม และไม่ต้องใช้ความพยายามใดๆ ในส่วนของโปรแกรมเมอร์ อย่างไรก็ตาม สมมติว่าองค์กรของคุณมีคอมพิวเตอร์อย่างน้อย 20 เครื่อง ในกรณีนี้คุณจะต้องใช้บริการนี้ 20 ครั้ง นี่ไม่ใช่วิธีที่ดีที่สุด แต่ถ้าคุณมีช่องทางที่รวดเร็วและฝ่ายบริหารไม่ต่อต้านการทุ่มเงินด้วยวิธีนี้ เส้นทางนี้อาจเหมาะกับคุณ อย่างไรก็ตาม โปรดทราบว่าเมื่อคุณติดตั้งระบบปฏิบัติการใหม่ คุณจะต้องดึงทุกอย่างออกมาอีกครั้ง
  • ใช้เครื่องสแกนความปลอดภัยเพื่อค้นหาแพตช์ที่จำเป็น (อัพเดต) ตัวอย่างเช่น พิจารณาสแกนเนอร์ Microsoft Base Security Analyzer ฟรี (บทความนี้จะไม่กล่าวถึงรายละเอียดวิธีการทำงานกับสแกนเนอร์นี้) สามารถดาวน์โหลดสแกนเนอร์นี้ได้ฟรีจากเว็บไซต์ Microsoft ในส่วน TechNet
    ก่อนเริ่มการทดสอบ คุณจะต้องแตกไฟล์ mssecure.xml จาก http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab ต้องวางไฟล์ mssecure.xml ในโฟลเดอร์เดียวกันที่มีการปรับใช้ Microsoft Base Security Analyzer ผลลัพธ์ของการสแกนจะเป็นรายการแพตช์ที่จำเป็นซึ่งคุณจะต้องติดตั้งบนพีซีเฉพาะ
ในความคิดของฉัน การใช้เครื่องสแกนความปลอดภัยเชิงพาณิชย์ เช่น LAN Guard Network Scanner หรือ XSpider จะสะดวกกว่า

เครื่องสแกนเครือข่าย LAN Guard

สแกนเนอร์นี้ได้รับการออกแบบมาเพื่อค้นหาช่องโหว่ในเครือข่ายคอมพิวเตอร์ไม่เพียงแต่บน Windows เท่านั้น อย่างไรก็ตาม ในกรณีของเรา คุณสามารถใช้มันเพื่อค้นหาช่องโหว่บนคอมพิวเตอร์เครื่องอื่นได้อย่างง่ายดาย คุณจะได้รับคำแนะนำให้ไปที่หน้ากระดานข่าวความปลอดภัยเฉพาะจาก Microsoft


ผลลัพธ์ของ LAN Guard Network Scanner

ในกรณีนี้ การติดตั้งการอัปเดตทำได้ง่ายกว่ามากและยังสามารถค้นหาได้อย่างแน่ชัดว่าการอัปเดตนี้ถูกสร้างขึ้นเพื่อกำจัดช่องโหว่ใดบ้าง การวิเคราะห์กระบวนการติดตั้งแพตช์แสดงไว้ในรูปที่ 1


อัพเดตกระบวนการจัดการการติดตั้ง

ควรสำรวจขั้นตอนเหล่านี้โดยละเอียด:

  • การวิเคราะห์- ดูสภาพแวดล้อมปัจจุบันและภัยคุกคามที่อาจเกิดขึ้น กำหนดแพตช์ที่ควรติดตั้งเพื่อลดภัยคุกคามต่อสภาพแวดล้อมของคุณ
  • วางแผน- พิจารณาว่าจำเป็นต้องติดตั้งแพตช์ใดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นและครอบคลุมช่องโหว่ที่ค้นพบ ตัดสินใจว่าใครจะเป็นผู้ดำเนินการทดสอบและติดตั้ง และขั้นตอนใดที่ควรดำเนินการ
  • การทดสอบ- ตรวจสอบแพตช์ที่มีอยู่และจัดหมวดหมู่ตามสภาพแวดล้อมของคุณ
  • การติดตั้ง- ติดตั้งแพตช์ที่จำเป็นเพื่อปกป้องสภาพแวดล้อมนี้
  • การตรวจสอบ- ทดสอบระบบทั้งหมดหลังจากติดตั้งแพตช์เพื่อให้แน่ใจว่าไม่มีผลข้างเคียงที่ไม่พึงประสงค์
  • ดู- ส่วนสำคัญของกระบวนการทั้งหมดคือการตรวจสอบแพตช์ใหม่และสภาพแวดล้อมของคุณอย่างรอบคอบ และค้นหาว่าแพตช์ใดที่บริษัทของคุณต้องการ หากในขณะที่เรียกดูคุณพบว่าจำเป็นต้องมีแพตช์ใหม่ ให้เริ่มใหม่ตั้งแต่ขั้นตอนแรก
บันทึก: ขอแนะนำอย่างยิ่งให้ทำสำเนาสำรองข้อมูลของระบบการทำงานทั้งหมดของคุณก่อนที่จะติดตั้งแพตช์

การตรวจสอบสภาพแวดล้อมเพื่อหาแพตช์ที่หายไป

เนื่องจากนี่เป็นกระบวนการที่กำลังดำเนินอยู่ คุณควรตรวจสอบให้แน่ใจว่าแพตช์ของคุณอัปเดตด้วยการตั้งค่าล่าสุด ขอแนะนำให้ติดตามข้อมูลแพทช์ล่าสุดอยู่เสมอ บางครั้งแพตช์ใหม่จะออก และคุณจำเป็นต้องติดตั้งมันในทุกสถานี ในกรณีอื่นๆ สถานีใหม่จะปรากฏบนเครือข่าย และจะต้องติดตั้งการอัพเดตที่จำเป็นทั้งหมดบนเครือข่าย คุณควรตรวจสอบสถานีทั้งหมดของคุณต่อไปเพื่อให้แน่ใจว่ามีการติดตั้งแพตช์ที่จำเป็นและเป็นปัจจุบันทั้งหมด โดยทั่วไปแล้ว ปัญหาของการติดตั้งแพตช์นั้นไม่ได้ง่ายอย่างที่คิดเมื่อเห็นแวบแรก อย่างไรก็ตาม การพิจารณาประเด็นนี้โดยสมบูรณ์นั้นอยู่นอกเหนือขอบเขตของบทความของเรา โปรดทราบว่าบางครั้งหลังจากติดตั้งแพตช์ถัดไปแล้ว ก็จำเป็นต้องติดตั้งแพตช์ก่อนหน้าใหม่อีกครั้ง อย่างน้อยก็ในทางปฏิบัติของฉัน สิ่งนี้เกิดขึ้นมากกว่าหนึ่งครั้ง สมมติว่ามีการติดตั้งแพตช์ทั้งหมดแล้ว และไม่มีช่องโหว่ในระบบของคุณ โปรดทราบว่าสถานะนี้เป็นเพียงช่วงเวลาปัจจุบันเท่านั้น ค่อนข้างเป็นไปได้ที่พรุ่งนี้คุณจะต้องติดตั้งแพตช์ใหม่ อนิจจากระบวนการนี้ดำเนินไปอย่างต่อเนื่อง

การกู้คืนไฟล์ระบบ

คุณสมบัติที่มีประโยชน์ - เว้นแต่ว่าคอมพิวเตอร์ของคุณจะถูกใช้สำหรับงานที่ใช้ทรัพยากรมาก เช่น เกมโดยเฉพาะ ก็เลยปล่อยทิ้งไว้ดีกว่า ในกรณีนี้ คอมพิวเตอร์จะสร้างสแนปชอตของไฟล์ระบบที่สำคัญเป็นระยะๆ (ไฟล์รีจิสตรี ฐานข้อมูล COM+ โปรไฟล์ผู้ใช้ ฯลฯ) และบันทึกเป็นจุดย้อนกลับ หากแอปพลิเคชันใดทำให้ระบบขัดข้องหรือหากบางสิ่งที่สำคัญเกิดความเสียหาย คุณสามารถทำให้คอมพิวเตอร์กลับสู่สถานะก่อนหน้า - ไปยังจุดย้อนกลับ จุดเหล่านี้ถูกสร้างขึ้นโดยอัตโนมัติโดยบริการ การคืนค่าระบบ(การคืนค่าระบบ) เมื่อเกิดสถานการณ์บางอย่าง เช่น การติดตั้งแอพพลิเคชั่นใหม่ การอัปเดต Windows การติดตั้งไดรเวอร์ที่ไม่ได้ลงนาม เป็นต้น สามารถสร้างจุดย้อนกลับได้ด้วยตนเอง - ผ่านอินเทอร์เฟซ การคืนค่าระบบ(การคืนค่าระบบ): เริ่ม > โปรแกรม > อุปกรณ์เสริม > เครื่องมือระบบ > การคืนค่าระบบ(เริ่ม > โปรแกรม > อุปกรณ์เสริม > เครื่องมือระบบ > การคืนค่าระบบ) ผลลัพธ์ที่คล้ายกันสามารถรับได้โดยใช้ยูทิลิตี้ msconfig.phpซึ่งเปิดจากโหมดบรรทัดคำสั่งหรือผ่านทาง เริ่ม > วิ่ง.


การคืนค่าระบบ

การกู้คืนไฟล์ระบบอาศัยบริการพื้นหลังที่มีผลกระทบต่อประสิทธิภาพการทำงานน้อยที่สุด และบันทึกสแนปช็อตที่ใช้พื้นที่ดิสก์ คุณสามารถจัดสรรจำนวนพื้นที่ดิสก์สูงสุดสำหรับบริการที่กำหนดได้ด้วยตนเอง คุณยังสามารถปิดใช้งานบริการสำหรับไดรฟ์ทั้งหมดได้อย่างสมบูรณ์ (โดยทำเครื่องหมายที่ช่องทำเครื่องหมายปิดใช้งานบริการการกู้คืน) เนื่องจากบริการกู้คืนไฟล์ระบบอาจส่งผลต่อผลลัพธ์ของโปรแกรมทดสอบ จึงมักจะปิดใช้งานก่อนการทดสอบ

การล้างดิสก์อัตโนมัติ

หากต้องการทำความสะอาดฮาร์ดไดรฟ์ของคุณจากไฟล์ที่ไม่จำเป็น ให้ใช้โปรแกรม cleanmgr.exe- ปุ่มโปรแกรม:

  • /dอักษรระบุไดรฟ์: - ระบุอักษรระบุไดรฟ์ที่จะถูกล้าง;
  • /sageset: n- คำสั่งนี้เปิดตัว Disk Cleanup Wizard และสร้างคีย์ในรีจิสทรีเพื่อบันทึกการตั้งค่า
  • /พารามิเตอร์ n สามารถรับค่าได้ตั้งแต่ 0 ถึง 65535ซาเกรุน: น
- ใช้เพื่อเปิดตัวช่วยสร้างการล้างข้อมูลบนดิสก์ด้วยพารามิเตอร์บางตัวที่ตั้งค่าไว้ล่วงหน้าโดยใช้คีย์ก่อนหน้า

เพื่อให้กระบวนการนี้เป็นไปโดยอัตโนมัติ คุณสามารถใช้ตัวกำหนดเวลางานได้

ในระหว่างกระบวนการติดตั้ง Windows XP (ไม่เหมือนกับกรณีของ Windows 9*/NT) ไม่มีตัวเลือกในการเลือกส่วนประกอบที่จำเป็น ในความคิดของฉัน นี่เป็นการตัดสินใจที่ถูกต้อง: คุณควรติดตั้งระบบปฏิบัติการที่มีนิสัยแปลกๆ ก่อน จากนั้นจึงตัดสินใจว่าจะเก็บอะไรไว้และจะกำจัดอะไรหลังจากใช้งานแล้ว อย่างไรก็ตามในหน้าต่าง เพิ่ม/ลบส่วนประกอบของ Windowsซึ่งมีอยู่ในแอปเพล็ต เพิ่มหรือลบโปรแกรมแผงควบคุมไม่มีอะไรให้ลบในทางปฏิบัติ - ส่วนประกอบหลายอย่างของ Windows ถูกซ่อนจากมือขี้เล่นของผู้ใช้ที่ไม่มีประสบการณ์มากนัก เพื่อแก้ไขปัญหานี้ ให้เปิดโฟลเดอร์ระบบ ข้อมูล(โดยค่าเริ่มต้น - C:\Windows\Inf) ให้ค้นหาไฟล์ที่นั่น sysoc.infให้เปิดคำนั้นและลบคำนั้นในทุกบรรทัด ซ่อน- สิ่งสำคัญคือการปล่อยให้รูปแบบไฟล์ไม่เปลี่ยนแปลง (นั่นคือสามารถลบได้เฉพาะ HIDE เท่านั้น แต่ไม่ควรแตะเครื่องหมายจุลภาคก่อนและหลังคำนี้) ตัวอย่างเช่น บรรทัดแหล่งที่มาและสิ่งที่ควรเกิดขึ้น: msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,ซ่อน,7 msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,7บันทึกไฟล์ sysoc.inf, เปิด เพิ่ม/ลบส่วนประกอบของ Windows- และเราเห็นรายการยาวกว่าที่เคยเป็นมามาก (รูปที่) จริงอยู่แม้ในกรณีนี้จะไม่สามารถลบออกได้มากนัก อย่างไรก็ตาม คุณสามารถทำสิ่งเดียวกันได้ทุกประการในกรณีของ Windows 2000...


หน้าต่างส่วนประกอบ Windows XP

คุณอาจถามคำถามที่สมเหตุสมผล: ทั้งหมดนี้เกี่ยวข้องกับความปลอดภัยอย่างไร? ประการแรก หากองค์กรของคุณมีนโยบายองค์กรเกี่ยวกับการใช้ซอฟต์แวร์ และตัวอย่างเช่น The Bat! หรือไคลเอนต์อีเมล Mozilla (Opera) คุณไม่ควรทิ้ง Outlook Express ที่รั่วไหลโดยสิ้นเชิงบนคอมพิวเตอร์และล่อลวงให้ผู้ใช้ใช้ไคลเอนต์นี้ ประการที่สอง หากคุณไม่ใช่สิ่งที่คุณกำหนดเองในการใช้บริการส่งข้อความโต้ตอบแบบทันที ก็ควรถอนการติดตั้ง Windows Messenger จะดีกว่า และสุดท้าย กำจัดส่วนประกอบที่คุณไม่ต้องการออกไป ซอฟต์แวร์ที่ไม่ได้ใช้น้อยลงหมายถึงโอกาสในการใช้งานในทางที่ผิดน้อยลง (และส่งผลให้องค์กรของคุณเสียหายทั้งโดยรู้ตัวหรือไม่รู้ตัว)

การกำหนดค่าโปรแกรมอัตโนมัติ

ปัญหาด้านความปลอดภัยที่พบบ่อยประการหนึ่งคือโปรแกรมม้าโทรจันที่ทำงานระหว่างกระบวนการบู๊ตของ Windows XP โปรแกรมสามารถเปิดได้โดยอัตโนมัติด้วยวิธีใดวิธีหนึ่งต่อไปนี้:

สำหรับผู้ใช้ที่กำหนดสำหรับผู้ใช้ทุกคน
  • สำคัญ วิ่ง(คอมพิวเตอร์) คีย์รีจิสทรี HKLM\Software\Microsoft\Windows\CurrentVersion\Run;
  • สำคัญ วิ่ง(ผู้ใช้) คีย์รีจิสทรี HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • สำคัญ เรียกใช้บริการ- ความแตกต่างระหว่าง RunServices และ Run คือเมื่อคุณเริ่มโปรแกรมในคีย์ RunServices โปรแกรมนั้นจะเปิดตัวเป็นกระบวนการบริการ และจะถูกจัดสรรเวลาตัวประมวลผลที่มีลำดับความสำคัญน้อยกว่าในขณะทำงาน เมื่อเปิดใช้งานในปุ่ม Run โปรแกรมจะเริ่มทำงานตามปกติโดยมีลำดับความสำคัญปกติ
  • โฟลเดอร์ ตัวกำหนดเวลางาน;
  • win.ini- โปรแกรมที่กำหนดเป้าหมายเป็น Windows เวอร์ชัน 16 บิตสามารถเพิ่มบรรทัดเช่น Load= และ Run= ลงในไฟล์นี้ได้
  • กุญแจ เรียกใช้ครั้งเดียวและ RunOnceEx- กลุ่มของคีย์รีจิสทรีที่มีรายการโปรแกรมที่ดำเนินการครั้งเดียวเมื่อคอมพิวเตอร์เริ่มทำงาน คีย์เหล่านี้อาจเกี่ยวข้องกับบัญชีเฉพาะสำหรับคอมพิวเตอร์ที่กำหนด HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\ Microsoft\ Windows\CurrentVersion\RunOnceEx;
  • นโยบายกลุ่ม- ประกอบด้วยสองนโยบาย (ชื่อ การเปิดตัวโปรแกรมเมื่อผู้ใช้เข้าสู่ระบบ- พบได้ในโฟลเดอร์ การกำหนดค่าคอมพิวเตอร์ > การกำหนดค่า Windows > เทมเพลตการดูแลระบบ > ระบบ > การเข้าสู่ระบบ(การกำหนดค่าคอมพิวเตอร์ > เทมเพลตการดูแลระบบ > ระบบ > การเข้าสู่ระบบ) และ การกำหนดค่าผู้ใช้ > การกำหนดค่า Windows > เทมเพลตการดูแลระบบ > ระบบ > การเข้าสู่ระบบ(การกำหนดค่าผู้ใช้ > เทมเพลตการดูแลระบบ > ระบบ > เข้าสู่ระบบ)
  • สคริปต์เข้าสู่ระบบ ปรับแต่งได้ นโยบายกลุ่ม: การกำหนดค่าคอมพิวเตอร์ > การกำหนดค่า Windows > สคริปต์และการกำหนดค่าผู้ใช้ > การกำหนดค่า Windows > สคริปต์(เข้าสู่ระบบและออกจากระบบ);
  • ไฟล์ autoexec.batในไดเร็กทอรีรากของดิสก์สำหรับบูต โปรแกรมทั้งหมดที่คุณต้องการเรียกใช้จะต้องดำเนินการในโหมด DOS จริง เนื่องจากการดำเนินการของแบตช์ไฟล์นี้เกิดขึ้นก่อนที่จะโหลดเชลล์กราฟิก ใช้เพื่อคัดลอกโมดูลโฆษณาที่ผู้ใช้ลบไปยังการทำงานอัตโนมัติจากโฟลเดอร์ที่ซ่อนอยู่ซ้ำแล้วซ้ำอีก
    • ในการกำหนดค่ารายการโปรแกรมที่เรียกโดยอัตโนมัติ Windows XP จะมียูทิลิตีรวมอยู่ด้วย การตั้งค่าระบบ(ยูทิลิตี้การกำหนดค่าระบบ) - Msconfig.exe ยูทิลิตี้นี้ช่วยให้คุณแสดงรายการโปรแกรมที่ดาวน์โหลดอัตโนมัติทั้งหมด หน้าต่างการทำงานของโปรแกรมแสดงดังรูป


    หน้าต่างการทำงานของ Msconfig

    การตั้งค่าอินเทอร์เน็ตเอ็กซ์พลอเรอร์

      แผงควบคุมอินเทอร์เน็ต\ปิดการใช้งานหน้าขั้นสูง

      แผงควบคุมอินเทอร์เน็ต\ปิดการใช้งานหน้าความปลอดภัย

      หน้าออฟไลน์\ปิดใช้งานการเพิ่มช่อง

      หน้าออฟไลน์\ปิดการใช้งานการเพิ่มตารางเวลาสำหรับหน้าออฟไลน์

      หน้าออฟไลน์\ปิดการใช้งานกำหนดการทั้งหมดสำหรับหน้าออฟไลน์

      หน้าออฟไลน์\ปิดการใช้งาน UI ของช่องอย่างสมบูรณ์

      หน้าออฟไลน์\ปิดใช้งานการดาวน์โหลดเนื้อหาที่สมัครสมาชิก

      หน้าออฟไลน์\ปิดใช้งานการแก้ไขและการสร้างกลุ่มกำหนดการใหม่

      หน้าออฟไลน์\ปิดการใช้งานการเปลี่ยนกำหนดการสำหรับหน้าออฟไลน์

      หน้าออฟไลน์ \ ปิดการใช้งานการบันทึกการเข้าชมหน้าออฟไลน์

      หน้าออฟไลน์\ปิดการใช้งานการลบช่อง

      หน้าออฟไลน์\ปิดการใช้งานการลบกำหนดการสำหรับหน้าออฟไลน์

      การตั้งค่า Outlook Express

      ปิดใช้งานการเปลี่ยนแปลงตัวเลือกหน้าขั้นสูง

      ปิดใช้งานการเปลี่ยนแปลงการตั้งค่าการปรับอัตโนมัติ

      ปิดใช้งานการเปลี่ยนแปลงการตั้งค่าใบรับรอง

      ปิดใช้งานการเปลี่ยนแปลงการตั้งค่าการเชื่อมต่อ

      ปิดใช้งานการเปลี่ยนแปลงการตั้งค่าพร็อกซี

      ปิดการใช้งานตัวช่วยสร้างการเชื่อมต่ออินเทอร์เน็ต

      ป้องกันไม่ให้ป้อนอัตโนมัติจากการบันทึกรหัสผ่าน

    ฉันอยากจะแนะนำให้ตั้งค่าขนาดแคชของ Internet Explorer เป็นขั้นต่ำ: หากแคชมีไฟล์ขนาดเล็กจำนวนสองหรือสามกิโลไบต์จำนวนหลายพันไฟล์ โปรแกรมป้องกันไวรัสจะทำงานช้ามากเมื่อสแกนโฟลเดอร์นี้ เพื่อปกป้อง Internet Explorer จากผู้ใช้ที่ "สร้างสรรค์" คุณสามารถใช้สิ่งต่อไปนี้: IExplorer: ซ่อนหน้าทั่วไปจากคุณสมบัติอินเทอร์เน็ตเพื่อซ่อนแท็บ ทั่วไปในการตั้งค่า Internet Explorer ให้เพิ่มลงในรีจิสทรี:
    "แท็บทั่วไป"=dword:1     IExplorer: ซ่อนหน้าความปลอดภัยจากคุณสมบัติอินเทอร์เน็ตเพื่อซ่อนแท็บ เมื่อคุณปิดการใช้ร่วมกันแบบธรรมดา แท็บจะปรากฏขึ้นในกล่องโต้ตอบคุณสมบัติของโฟลเดอร์ใดๆในการตั้งค่า Internet Explorer คุณควรเพิ่มสิ่งต่อไปนี้ลงในรีจิสทรี:
    "แท็บความปลอดภัย"=dword:1     IExplorer: ซ่อนหน้าโปรแกรมจากคุณสมบัติอินเทอร์เน็ตเพื่อซ่อนแท็บ โปรแกรมในการตั้งค่า Internet Explorer:
    "แท็บโปรแกรม"=dword:1     IExplorer: ซ่อนเพจขั้นสูงจากคุณสมบัติอินเทอร์เน็ตเพื่อซ่อนแท็บ นอกจากนี้, เพิ่ม:
    "แท็บขั้นสูง"=dword:1     IExplorer: ซ่อนหน้าการเชื่อมต่อจากคุณสมบัติอินเทอร์เน็ตและในที่สุดก็ต้องซ่อนแท็บ การเชื่อมต่อในการตั้งค่า Internet Explorer ให้เพิ่มสิ่งต่อไปนี้ลงในรีจิสทรี:
    "แท็บการเชื่อมต่อ"=dword:1     ปกป้องการเชื่อมต่ออินเทอร์เน็ตของคุณเพื่อความปลอดภัยเมื่อเชื่อมต่ออินเทอร์เน็ต คุณต้อง:
    • เปิดใช้งานไฟร์วอลล์การเชื่อมต่ออินเทอร์เน็ตหรือติดตั้งไฟร์วอลล์บุคคลที่สาม
    • ปิดการใช้งาน บริการแชร์ไฟล์และเครื่องพิมพ์สำหรับ Microsoft Networks.

    การเปิดใช้งานไฟร์วอลล์

      เปิด แผงควบคุม > การเชื่อมต่อเครือข่าย;

      คลิกขวาที่การเชื่อมต่อที่คุณต้องการป้องกันและเลือกจากเมนู คุณสมบัติ;

      ไปที่แท็บขั้นสูงและทำเครื่องหมายในช่องป้องกันการเชื่อมต่ออินเทอร์เน็ตของฉัน

    นโยบายการจำกัดซอฟต์แวร์

    นโยบายข้อจำกัดซอฟต์แวร์ช่วยให้ผู้ดูแลระบบสามารถกำหนดโปรแกรมที่สามารถทำงานบนเครื่องคอมพิวเตอร์ได้ นโยบายนี้ปกป้องคอมพิวเตอร์ที่ใช้ Microsoft Windows XP Professional จากข้อขัดแย้งที่ทราบ และป้องกันโปรแกรมที่ไม่พึงประสงค์ ไวรัส และม้าโทรจันไม่ให้ทำงาน นโยบายข้อจำกัดของซอฟต์แวร์ได้รับการผสานรวมอย่างสมบูรณ์กับ Microsoft Active Directory และ Group Policy นอกจากนี้ยังสามารถใช้กับคอมพิวเตอร์แบบสแตนด์อโลนได้

    ขั้นแรกผู้ดูแลระบบจะกำหนดชุดของแอปพลิเคชันที่ได้รับอนุญาตให้ทำงานบนคอมพิวเตอร์ไคลเอนต์ จากนั้นจึงกำหนดข้อจำกัดที่นโยบายจะนำไปใช้กับคอมพิวเตอร์ไคลเอนต์

    นโยบายการจำกัดซอฟต์แวร์ในรูปแบบดั้งเดิมประกอบด้วยระดับความปลอดภัยเริ่มต้นสำหรับการตั้งค่าและกฎที่ไม่จำกัดหรือถูกปฏิเสธที่กำหนดไว้สำหรับ GPO

    นโยบายนี้สามารถนำไปใช้กับโดเมน คอมพิวเตอร์เฉพาะที่ หรือผู้ใช้ นโยบายข้อจำกัดซอฟต์แวร์มีวิธีกำหนดโปรแกรมได้หลายวิธี รวมถึงโครงสร้างพื้นฐานตามนโยบายที่บังคับใช้กฎสำหรับการรันโปรแกรมเฉพาะ

    เมื่อรันโปรแกรม ผู้ใช้จะต้องปฏิบัติตามแนวทางที่กำหนดโดยผู้ดูแลระบบในนโยบายข้อจำกัดของซอฟต์แวร์

    นโยบายข้อจำกัดซอฟต์แวร์ใช้เพื่อทำสิ่งต่อไปนี้:

      การกำหนดว่าโปรแกรมใดที่ได้รับอนุญาตให้ทำงานบนคอมพิวเตอร์ไคลเอนต์

      การจำกัดการเข้าถึงไฟล์เฉพาะของผู้ใช้บนคอมพิวเตอร์ที่แชร์โดยผู้ใช้หลายคน

      กำหนดกลุ่มบุคคลที่มีสิทธิ์เพิ่มผู้เผยแพร่ที่เชื่อถือได้ลงในคอมพิวเตอร์ไคลเอนต์

      กำหนดผลกระทบของนโยบายต่อผู้ใช้ทั้งหมดหรือเฉพาะผู้ใช้บนคอมพิวเตอร์ไคลเอนต์

      ห้ามการดำเนินการของไฟล์ปฏิบัติการบนเครื่องคอมพิวเตอร์ แผนก โหนด หรือโดเมน

    สถาปัตยกรรมนโยบายการจำกัดซอฟต์แวร์มีตัวเลือกมากมาย

    นโยบายข้อจำกัดซอฟต์แวร์ช่วยให้ผู้ดูแลระบบสามารถกำหนดและควบคุมโปรแกรมที่ทำงานบนคอมพิวเตอร์ที่ใช้ Windows XP Professional ภายในโดเมนได้ คุณสามารถสร้างนโยบายที่บล็อกการทำงานของสคริปต์ที่ไม่ได้รับอนุญาต แยกคอมพิวเตอร์เพิ่มเติม หรือป้องกันไม่ให้แอปพลิเคชันทำงาน ตัวเลือกที่ดีที่สุดสำหรับการจัดการนโยบายข้อจำกัดซอฟต์แวร์ในองค์กรคือการใช้ Group Policy Objects และปรับแต่งแต่ละนโยบายที่คุณสร้างให้ตรงกับความต้องการของกลุ่มผู้ใช้และคอมพิวเตอร์ในองค์กรของคุณ

    ไม่แนะนำให้พยายามจัดการกลุ่มผู้ใช้ในสภาพแวดล้อมออฟไลน์ การใช้นโยบายการจำกัดซอฟต์แวร์อย่างเหมาะสมจะส่งผลให้มีการปรับปรุงความสมบูรณ์ ความสามารถในการจัดการ และลดต้นทุนรวมในการเป็นเจ้าของและบำรุงรักษาระบบปฏิบัติการบนคอมพิวเตอร์ขององค์กรในที่สุด

    นโยบายรหัสผ่าน

    การใช้รหัสผ่านที่ซับซ้อนซึ่งเปลี่ยนเป็นประจำจะช่วยลดโอกาสที่รหัสผ่านจะถูกแฮ็ก การตั้งค่านโยบายรหัสผ่านใช้เพื่อกำหนดระดับความซับซ้อนและระยะเวลาในการใช้รหัสผ่าน ส่วนนี้อธิบายการตั้งค่านโยบายความปลอดภัยทั้งหมดสำหรับพีซีระดับองค์กรและสภาพแวดล้อมที่มีความปลอดภัยสูง

    ใช้ตัวแก้ไขนโยบายกลุ่มเพื่อกำหนดการตั้งค่านโยบายกลุ่มที่เหมาะสมสำหรับโดเมน

    ข้อมูลเพิ่มเติม

      สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดการตั้งค่าความปลอดภัยใน Microsoft Windows XP เราขอแนะนำให้คุณอ่านคู่มือภัยคุกคามและการตอบโต้: การตั้งค่าความปลอดภัยใน Windows Server 2003 และ Windows XP ซึ่งสามารถดาวน์โหลดได้จาก http://go.microsoft.com/fwlink/ ?Linkld=15159 .

    บทสรุป



    บทความที่เกี่ยวข้อง