Tinitiyak ang seguridad sa Windows NT. Pag-edit ng mga kasalukuyang template. Gumawa ng bagong template ng seguridad

Victor Kulagin, Sergey Matveev, Alexander Osadchuk

Ang problema ng computer security ay hindi na bago. Ang bawat taong gumagamit ng mga network ng computer ay nangangailangan ng mga tool sa seguridad. Ipinapakita ng mga istatistika na sa karamihan ng mga kaso, ang hindi awtorisadong pagpasok sa isang system ay maiiwasan kung ang tagapangasiwa ng system ay magbibigay pansin sa mga hakbang sa seguridad. Ang pagiging epektibo ng pagtiyak ng seguridad ng mga computer system ay palaging nakasalalay sa kalidad ng mga setting ng software at hardware. Ang Windows NT operating system ay may maraming hanay ng mga tampok ng seguridad. Gayunpaman, ang mga default na halaga ng mga parameter ng proteksyon ay hindi palaging nakakatugon sa mga kinakailangan. Tingnan natin ang mga pangunahing tool at pamamaraan ng seguridad na kasama sa Windows NT 4.0 at 5.0.

Pisikal na proteksyon

Kabilang sa mga pisikal na paraan ng proteksyon ang:

  • pagtiyak ng seguridad ng mga lugar kung saan matatagpuan ang mga server ng network;
  • paghihigpit sa pisikal na pag-access sa mga server, hub, switch, network cable at iba pang kagamitan sa mga hindi awtorisadong tao;
  • paggamit ng mga paraan ng proteksyon laban sa pagkawala ng kuryente.

Pangangasiwa ng Account

Kasama sa mga feature ng Account Manager ang suporta para sa pagtukoy at pag-authenticate ng mga user sa pag-login. Ang lahat ng kinakailangang setting ay nakaimbak sa database ng Account Manager. Kabilang dito ang:

  • mga account ng gumagamit;
  • mga account ng grupo;
  • mga account sa computer ng domain;
  • mga domain account.

Ang database ng Account Manager ay isang system registry hive na matatagpuan sa HKEY_LOCAL_MACHINE branch at tinatawag na SAM (Fig. 1). Tulad ng lahat ng iba pang mga pantal, ito ay nakaimbak sa isang hiwalay na file sa %Systemroot%\System32\Con fig directory, na tinatawag ding SAM. Ang direktoryo na ito ay karaniwang naglalaman ng hindi bababa sa dalawang SAM file: isa na walang extension - ang database ng account mismo; ang pangalawa ay may extension na .log - ang log ng transaksyon sa database.

Ang pinakakawili-wili ay ang seksyon ng mga user account: nag-iimbak sila ng impormasyon tungkol sa mga pangalan at password. Dapat tandaan na ang mga password ay hindi nakaimbak sa text form. Pinoprotektahan sila ng isang pamamaraan ng hashing. Hindi ito nangangahulugan na nang hindi nalalaman ang password sa plain text, ang isang umaatake ay hindi tatagos sa system. Kapag kumokonekta sa isang network, hindi kinakailangang malaman ang teksto ng password ay sapat na. Samakatuwid, ito ay sapat na upang makakuha ng isang kopya ng SAM database at kunin ang hashed password mula dito.

Kapag nag-i-install ng Windows NT, ang pag-access sa %Systemroot%\System32\Config\sam file ay na-block para sa mga regular na programa. Gayunpaman, gamit ang Ntbackup utility, maaaring kopyahin ito ng sinumang user na may mga Back up na file at direktoryo. Bilang karagdagan, maaaring subukan ng isang umaatake na i-overwrite ang kopya nito (Sam.sav) mula sa direktoryo ng %Systemroot%\System32\Config o ang naka-archive na kopya (Sam._) mula sa direktoryo ng %Systemroot%\Repair.

Samakatuwid, upang maprotektahan ang impormasyong nakaimbak sa database ng SAM, kinakailangan ang sumusunod:

  • ibukod ang mga booting server sa DOS mode (i-install ang lahat ng mga partisyon sa ilalim ng NTFS, huwag paganahin ang pag-boot mula sa floppy at CD drive, ipinapayong magtakda ng isang password sa BIOS (bagaman ang panukalang ito ay matagal nang hindi napapanahon, dahil ang ilang mga bersyon ng BIOS ay may "mga butas" para sa pagsisimula ang computer na walang password , pagkatapos ng lahat, ang umaatake ay mawawalan ng oras upang mag-log in sa system);
  • limitahan ang bilang ng mga user na may mga karapatan sa Backup Operator at Server Operator;
  • pagkatapos ng pag-install o pag-update, tanggalin ang Sam.sav file;
  • kanselahin ang pag-cache ng impormasyon sa seguridad sa mga computer ng domain (ang mga pangalan at password ng huling sampung user na dating nakarehistro sa computer na ito ay naka-save sa lokal na pagpapatala nito). Gamit ang Regedt32 utility, idagdag sa seksyon ng pagpapatala
  • HKEY_LOCAL_MACHINE\Microsoft|Windows NT\CurrentVersion\WinLogon:
  • CachedLogonsCount parameter
  • I-type ang REG_SZ
  • Halaga 0

Isa sa mga tanyag na paraan ng pagtagos sa isang sistema ay ang paghula ng password. Upang labanan ito, karaniwan nilang itinatakda ang user account na i-lock (Account Lockout) pagkatapos ng isang tiyak na bilang ng mga hindi matagumpay na pagsubok sa pag-log in, gamit ang User Manager utility sa dialog box ng Patakaran sa Account, na maa-access sa pamamagitan ng menu ng Mga Patakaran/Mga Account (Fig. 2) .

Ang isang magandang exception ay ang administrator account. At kung may karapatan siyang mag-log in sa pamamagitan ng network, nagbubukas ito ng butas para sa tahimik na paghula ng password. Para sa proteksyon, inirerekumenda na palitan ang pangalan ng Administrator user, itakda ang pag-lock ng account, pagbawalan ang administrator na mag-log in sa system sa pamamagitan ng network, ipagbawal ang pagpapadala ng mga SMB (tinalakay sa ibaba) na mga packet sa pamamagitan ng TCP/IP (ports 137,138,139), i-set up ang pag-log ng mga hindi matagumpay na pag-login;

  • kinakailangang ipakilala ang pag-filter ng mga password na inilagay ng user, i-install ang Service Pack 2 o 3 (ginagamit ang dynamic na library na Passfilt.dll).
    • Kapag gumagawa ng bagong password, sinusuri ng library na ito na:
    • Ang haba ng password ay hindi bababa sa anim na character;
  • naglalaman ng tatlong set ng apat na umiiral na:
  • malalaking grupo ng alpabetong Latin A, B, C,…, Z;
  • maliliit na grupo ng alpabetong Latin a,b,c,…,z;
  • Arabic numeral 0,1,2,…,9;
    • di-arithmetic (espesyal) na mga character tulad ng mga bantas.

Ang password ay hindi binubuo ng username o anumang bahagi nito.

Upang paganahin ang pag-filter na ito, kailangan mong pumunta sa seksyon ng pagpapatala

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

idagdag

Pagprotekta sa mga file at direktoryo (mga folder)

Ang Windows NT 4.0 operating system ay sumusuporta sa FAT (File Allocation Table) at NTFS (New Technology File System) na mga file system. Alalahanin natin na ang una ay sinusuportahan ng mga kilalang operating system gaya ng MS-DOS, Windows 3.X, Windows 95/98 at OS/2, ang pangalawa ay sinusuportahan lamang ng Windows NT. Ang FAT at NTFS ay may iba't ibang mga katangian ng pagganap, iba't ibang hanay ng mga tampok na ibinigay, atbp. Ang pangunahing pagkakaiba sa pagitan ng NTFS file system at iba pa (FAT, VFAT (Virtual File Allocation Table), HPFS) ay ito lamang ang nakakatugon sa pamantayan ng seguridad ng C2 sa partikular, ang NTFS ay nagbibigay ng proteksyon para sa mga file at direktoryo kapag na-access nang lokal . Ang pagprotekta sa mga mapagkukunan gamit ang FAT ay maaaring ayusin gamit ang mga karapatan sa pag-access:

Magbasa, Magsulat, Buo.

Kaya, maaari naming irekomenda ang paglikha ng NTFS disk partition sa halip na FAT. Kung kailangan mo pa ring gumamit ng FAT partition, kailangan mong gawin itong hiwalay na partition para sa MS-DOS application at huwag maglagay ng Windows NT system files dito.

Sa operating system ng Windows NT, ang kontrol sa pag-access sa mga file at direktoryo ng NTFS ay hindi nakasalalay sa administrator, ngunit sa may-ari ng mapagkukunan at kinokontrol ng sistema ng seguridad gamit ang access mask na nilalaman sa mga entry ng ACL.

Kasama sa access mask ang pamantayan (I-synchronize, Write_Owner, Write_Dac, Read_Control, Delete), partikular (Read (Write)_Data, Append_Data, Read(Write)_Attributes, Read(Write)_ExtendedAttributes, Execute) at generic (Generic_Read(Write), Generic_Execute ) mga karapatan sa pag-access. Lahat ng mga karapatang ito ay kasama sa Discretionary Access Control List (DACL). Bilang karagdagan, ang access mask ay naglalaman ng kaunti na tumutugma sa Access_System_Security right. Kinokontrol ng karapatang ito ang access sa system access control list (SACL).

Tinutukoy ng DACL kung aling mga user at grupo ang pinapayagan o tinanggihan ng access sa isang ibinigay na mapagkukunan. Ito ang listahang ito na maaaring pamahalaan ng may-ari ng bagay.

Tinukoy ng SACL ang uri ng access na tinukoy ng may-ari, na nagiging sanhi ng system na bumuo ng mga entry sa pag-audit sa log ng kaganapan ng system. Ang system administrator lang ang namamahala sa listahang ito.

Sa katunayan, para sa pangangasiwa, hindi mga indibidwal na karapatan sa pag-access ang ginagamit, ngunit ang mga pahintulot ng NTFS. Ang mga pahintulot ay nahahati sa:

indibidwal - isang hanay ng mga karapatan na nagbibigay-daan sa iyo na bigyan ang user ng access ng isang uri o iba pa (Talahanayan 1.1);

pamantayan - mga hanay ng mga indibidwal na pahintulot para sa pagsasagawa ng mga aksyon sa isang tiyak na antas sa mga file o direktoryo (Talahanayan 1.2);

espesyal - isang kumbinasyon ng mga indibidwal na pahintulot na hindi tumutugma sa anumang karaniwang hanay (Talahanayan 1.3).

Bilang default, kapag nag-i-install ng Windows NT at ang NTFS file system, medyo "maluwag" na mga pahintulot ang nakatakda, na nagpapahintulot sa mga ordinaryong gumagamit na ma-access ang isang bilang ng mga file at direktoryo ng system. Halimbawa:

Ang %systemroot% at %systemroot%\system32 na mga direktoryo ay may pahintulot na Baguhin ang pangkat ng Lahat bilang default. Kung, pagkatapos i-install ang Windows NT, ang FAT ay kasunod na na-convert sa NTFS, ang pahintulot na ito para sa pangkat na ito ay nakatakda sa lahat ng mga file at subdirectory ng %systemroot%. Ang pagprotekta sa data ng direktoryo ay nagsasangkot ng wastong pagtatakda ng mga pahintulot. Sa mesa 2 ay nagpapakita ng mga halaga ng pahintulot para sa mga direktoryo. Sa halip na pangkat ng Lahat, kailangan mong lumikha ng pangkat ng Mga User at gamitin ito.

Mayroong ilang mga file ng operating system na matatagpuan sa root directory ng system partition, na kailangan ding protektahan sa pamamagitan ng pagtatalaga ng mga sumusunod na pahintulot (Talahanayan 3).

Tandaan na ang mga naturang pahintulot ay magpapahirap sa mga user na i-install ang software. Imposible ring sumulat sa mga .ini na file sa direktoryo ng system.

Inirerekomenda na panatilihing pinakamababa ang bilang ng mga user na may mga karapatan ng administrator. Mas mainam na tanggalin nang buo ang Guest account, bagama't naka-disable na ito sa panahon ng pag-install (bilang default), at sa halip na ang account na ito, lumikha ng sarili mong pansamantalang account para sa bawat user na may naaangkop na mga pahintulot at karapatan.

Proteksyon sa pagpapatala

Ang Windows NT system registry ay isang database na naglalaman ng impormasyon tungkol sa pagsasaayos at mga halaga ng parameter ng lahat ng mga bahagi ng system (mga aparato, operating system at mga application). Ang pangunahing registry hives ay matatagpuan sa HKEY_LOCAL_MACHINE branch at tinatawag na SAM, SECURITY, SOFTWARE at SYSTEM. Ang SAM hive, tulad ng alam na natin, ay ang database ng Account Manager, ang SECURITY ay nag-iimbak ng impormasyon na ginagamit ng lokal na Security Manager (LSA). Ang SOFTWARE hive ay naglalaman ng mga parameter at setting ng software, at ang SYSTEM hive ay naglalaman ng data ng configuration na kinakailangan para i-boot ang operating system (mga driver, device, at serbisyo).

Dapat na limitado ang access ng user sa mga field ng registry. Magagawa ito gamit ang Regedt32 utility.

Ang mga default na pahintulot upang ma-access ang mga registry key na itinakda sa system ay hindi maaaring baguhin ng mga ordinaryong user. Dahil ang ilang registry key ay naa-access ng mga miyembro ng grupong Everyone, pagkatapos i-install ang Windows NT, dapat mong baguhin ang mga pahintulot sa key (Talahanayan 4).

Upang ma-access ang seksyon

HK EY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\PerfLib maaari mong ganap na tanggalin ang grupong Everyone, at sa halip ay idagdag ang INTERACTIVE na pangkat na may Read right.

Upang paghigpitan ang malayuang pag-access sa Windows NT system registry, gumamit ng entry sa H key KEY_LOCAL_MACHINE\System\CurrentcontrolSet\Control\SecurePipeServers\winreg. Bilang default, ang mga miyembro ng Administrators group ay may karapatan na malayuang ma-access ang registry. Walang ganitong partition ang workstation at dapat itong gawin. Tanging ang mga user at pangkat na tinukoy sa listahan ng mga karapatan sa pag-access sa tinukoy na seksyon ang binibigyan ng malayuang pag-access sa registry. Ang ilang registry key ay dapat gawing available sa ibang mga user o grupo sa network; Upang gawin ito, maaaring tukuyin ang mga seksyong ito sa mga parameter ng Machine at Users ng HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers\winreg\AllowedPaths subsection.

Seguridad ng SMB Server

Ang pag-access sa mga file at printer sa isang network sa operating system ng Windows NT ay ibinibigay ng isang SMB (Server Message Block) server, na tinatawag lamang na server o LAN Manager server. Pinatutunayan ng SMB ang isang kliyente na nagtatangkang mag-access ng impormasyon sa network. Mayroong dalawang operating mode ng control system: checking sa resource level (Share Level) at checking sa user level (User Level). Hindi sinusuportahan ng Windows NT ang pag-access sa antas ng mapagkukunan.

Sa pag-verify sa antas ng user, nagsasagawa ang server ng pagkilala sa user batay sa isang database ng mga account. Ang SMB protocol ay nagbibigay ng seguridad sa unang sandali ng session, pagkatapos ang lahat ng data ng user ay ipinapadala sa network sa malinaw na teksto. Kung gusto mong tiyakin ang pagiging kumpidensyal ng impormasyon, dapat kang gumamit ng software o hardware encryption para sa transport channel (halimbawa, PPTP, kasama sa Windows NT).

Maaaring ma-spoof o ma-hijack ang mga session ng SMB protocol. Maaaring i-hijack ng gateway ang session ng SMB at makakuha ng parehong access sa file system bilang ang lehitimong user na nagpasimula ng session. Ngunit ang mga gateway ay bihirang ginagamit sa mga lokal na network. At kung ang ganoong pagtatangka ay ginawa ng isang computer sa isang Ethernet o Token Ring network kung saan matatagpuan ang SMB client o server, malamang na hindi ito magtagumpay, dahil medyo mahirap i-intercept ang mga packet.

Ang kakayahang magpadala ng password ng user sa malinaw na text sa network ay ginagawang mahina ang system. Pagkatapos i-install ang Service Pack 3, awtomatikong hindi pinapagana ng operating system ang kakayahang magpadala ng password sa malinaw na teksto, ngunit may mga SMB server na hindi tumatanggap ng naka-encrypt na password (halimbawa, Lan Manager para sa UNIX). Upang paganahin ang paglipat ng isang "malinaw" na password, kailangan mong itakda ito sa pagpapatala sa seksyon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

Parameter Paganahin angPlainTextPassword
Uri REG_DWORD
Ibig sabihin 1

Dapat tandaan na binago ng Microsoft ang SMB protocol, na tinatawag na SMB Signing. Sa kasong ito, ibe-verify ng kliyente at server ang pagiging tunay ng bawat mensaheng dumarating sa SMB protocol. Upang gawin ito, isang elektronikong lagda ang inilalagay sa bawat mensahe ng SMB na nagpapatunay na alam ng kliyente o server na nagpadala ng mensahe ang password ng user. Kaya, pinatutunayan ng electronic signature na ang SMB command, una, ay nilikha ng partidong nagmamay-ari ng password ng user; pangalawa, ito ay nilikha sa loob ng balangkas ng partikular na sesyon na ito; at pangatlo, orihinal ang mensaheng ipinadala sa pagitan ng server at ng kliyente.

Upang paganahin ang pag-verify ng mga electronic na lagda sa mga mensahe ng SMB, dapat mong i-install ang Service Pack 3 at magtakda ng mga parameter sa server at client registry, para sa server - sa seksyong HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

Parameter Paganahin angSecuritySignature
Uri REG_DWORD
Ibig sabihin 1

Kung ang value ay 0 (default), ang suporta sa SMB Signing ay hindi pinagana sa server. Hindi tulad ng server, ang halaga ng EnableSecuritySignature ng kliyente ay 1 na bilang default.

Kapag nasimulan ang server, ang mga folder ng pagbabahagi ng administratibo ay nilikha, na nagbibigay ng access sa root directory ng volume. Bilang default, ang access sa mga mapagkukunang ito ay limitado sa mga miyembro ng Administrators, Backup Operators, Server Operators, at Power Users group. Kung gusto mong bawiin ang pag-access sa kanila, kailangan mong pumunta sa seksyon ng pagpapatala HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

Seguridad ng IIS Server

Ang Microsoft Internet Information Server (IIS) ay nilikha upang pag-isahin ang pagpapatakbo ng lahat ng serbisyo sa Internet. Ito ay isang lubos na pinagsama-samang pakete ng mga serbisyo sa panig ng server na sumusuporta sa HTTP, FTP at Gopher.

Ang seguridad ng IIS ay batay sa mga tampok ng seguridad ng Windows NT. Kabilang dito ang:

  • mga user account. Upang maiwasan ang hindi awtorisadong pag-access sa IIS host, dapat mong kontrolin ang mga user account. Kasama rin sa mga pangunahing paraan ng proteksyon ang: gamit ang form na "Internet Guest", pagrehistro gamit ang isang user name at password (ayon sa scheme ng pagpapatunay ng Windows NT) at pagpili ng mahirap hulaan na mga password;
  • pag-install ng NTFS;
  • mga karapatan sa pag-access. Ang pangunahing mekanismo ng pag-access sa pamamagitan ng server ng IIS ay hindi kilalang pag-access. Sa mga mekanismo ng pagpapatunay, tanging ang Windows NT Challenge-Response, na ginagamit ng HTTP server, ang maaaring ituring na medyo secure. Samakatuwid, huwag gamitin ang pangunahing pamamaraan ng pagpapatunay, dahil ang username at password ay ipinadala sa network sa malinaw;
  • pagbabawas ng bilang ng mga protocol at hindi pagpapagana ng serbisyo ng Server. Sa pamamagitan ng pagbawas sa bilang ng mga protocol na ginagamit ng mga adapter ng network, madadagdagan mo nang malaki ang seguridad. Upang pigilan ang mga user na tingnan ang mga pagbabahagi ng IIS, huwag paganahin ang serbisyo ng Server. Ang hindi pagpapagana sa serbisyong ito ay magpapahirap sa mga umaatake na makahanap ng mga kahinaan sa iyong system;
  • proteksyon ng impormasyon sa FTP. Palaging gumagamit ang FTP ng seguridad sa antas ng user. Nangangahulugan ito na upang ma-access ang FTP server, ang gumagamit ay dapat dumaan sa isang pamamaraan ng pagpaparehistro. Maaaring gamitin ng serbisyo ng IIS FTP ang database ng badyet ng gumagamit ng Windows NT Server upang matukoy ang mga user na gustong makakuha ng access. Gayunpaman, sa pamamaraang ito, ipinapadala lamang ng FTP ang lahat ng impormasyon sa malinaw na teksto, na lumilikha ng panganib ng pagharang ng mga pangalan ng user at password.

Ang problema sa pagsisiwalat ng password ay inaalis kapag ang FTP server ay na-configure upang payagan ang hindi kilalang pag-access. Kapag nag-log in nang hindi nagpapakilala, ang user ay dapat magpasok bilang username anonymous at ang iyong postal (e-mail) address bilang password. Ang mga hindi kilalang user ay may access sa parehong mga file na pinapayagang i-access ng badyet lVSR_computememe.

Bilang karagdagan, maaari mo lamang payagan ang hindi kilalang pag-access sa serbisyo ng FTP server ng Windows NT IIS. Ang pagpipiliang ito ay mabuti dahil hindi nito pinapayagan ang mga password na ma-declassify sa pampublikong network. Ang anonymous na FTP access ay pinagana bilang default;

  • kontrol sa pag-access sa pamamagitan ng IP address. Mayroong karagdagang opsyon upang kontrolin ang pag-access sa IIS server - pagpapahintulot o pagtanggi sa pag-access mula sa mga partikular na IP address (Larawan 5). Halimbawa, maaari mong tanggihan ang pag-access sa iyong server mula sa isang partikular na IP address; sa parehong paraan, maaari mong gawin ang isang server na hindi naa-access sa buong network. Sa kabilang banda, maaari mong payagan lamang ang ilang mga node na ma-access ang server;
  • mga scheme ng pag-encrypt. Upang matiyak ang seguridad ng mga packet habang naglalakbay sila sa network, dapat gumamit ng iba't ibang mga scheme ng pag-encrypt. Ang pangangailangan para sa naturang proteksyon ay dahil sa ang katunayan na kapag nagpapadala ng mga packet sa network, posible ang frame interception. Karamihan sa mga scheme ng pag-encrypt ay gumagana sa loob ng application at transport layer ng OSI model. Ang ilang mga scheme ay maaaring gumana sa mas mababang antas. Ang mga sumusunod na protocol ay ginagamit: SSL, PCT, SET, PPTP, PGP.

Pag-audit

Ang pag-audit ay isa sa mga tool sa proteksyon ng network ng Windows NT. Maaari itong magamit upang subaybayan ang mga aksyon ng gumagamit at ilang mga kaganapan sa system sa network. Ang mga sumusunod na parameter tungkol sa mga pagkilos na ginawa ng mga user ay naitala:

  • nakumpletong aksyon;
  • ang pangalan ng user na nagsagawa ng aksyon;
  • petsa at oras ng pagpapatupad.

Ang isang audit na ipinatupad sa isang domain controller ay nalalapat sa lahat ng domain controller. Ang pag-set up ng pag-audit ay nagbibigay-daan sa iyong piliin ang mga uri ng mga kaganapan na ila-log at matukoy kung aling mga parameter ang ila-log.

Sa mga network na may kaunting mga kinakailangan sa seguridad, i-audit:

  • matagumpay na paggamit ng mga mapagkukunan lamang kung kailangan mo ang impormasyong ito para sa pagpaplano;
  • Para sa mga network na may katamtamang mga kinakailangan sa seguridad, i-audit:
  • matagumpay na paggamit ng mahahalagang mapagkukunan;
  • matagumpay at hindi matagumpay na mga pagtatangka na baguhin ang diskarte sa seguridad at mga patakarang pang-administratibo;
  • matagumpay na paggamit ng sensitibo at kumpidensyal na impormasyon.
  • Sa mga network na may mataas na kinakailangan sa seguridad, i-audit:
  • matagumpay at hindi matagumpay na mga pagtatangka upang irehistro ang mga gumagamit;
  • matagumpay at hindi matagumpay na paggamit ng anumang mapagkukunan;
  • matagumpay at hindi matagumpay na mga pagtatangka na baguhin ang diskarte sa seguridad at mga patakarang pang-administratibo.

Ang pag-audit ay naglalagay ng karagdagang pag-load sa system, kaya mag-log lamang ng mga kaganapan na talagang interesado.

Itinatala ng Windows NT ang mga kaganapan sa tatlong log:

  • Log ng system(log ng system) ay naglalaman ng mga mensahe ng error, babala, at iba pang impormasyon mula sa operating system at mga bahagi ng third-party. Ang listahan ng mga kaganapang naka-log sa log na ito ay paunang tinukoy ng operating system at mga bahagi ng third-party at hindi mababago ng user. Ang log ay nasa file na Sysevent.evt.
  • Log ng seguridad(Security Log) ay naglalaman ng impormasyon tungkol sa matagumpay at hindi matagumpay na mga pagtatangka na magsagawa ng mga aksyon na naitala ng mga tool sa pag-audit. Ang mga kaganapan na naka-log sa log na ito ay tinutukoy ng diskarte sa pag-audit na iyong tinukoy. Ang log ay nasa Secevent.evt file.
  • Log ng aplikasyon(Application Log) ay naglalaman ng mga mensahe ng error, mga babala at iba pang impormasyon na ginawa ng iba't ibang mga application. Ang listahan ng mga kaganapang naka-log sa log na ito ay tinutukoy ng mga developer ng application. Ang log ay nasa Appevent.evt file.

Ang lahat ng mga log ay matatagpuan sa %Systemroot%\System32\Config folder.

Kapag pumipili ng mga kaganapan na ia-audit, isaalang-alang ang posibilidad ng pag-apaw ng log. Upang i-configure ang log, gamitin ang dialog box ng Event Log Settings (Figure 6).

Gamit ang window na ito maaari mong pamahalaan ang:

  • ang laki ng mga naka-archive na log (ang default na laki ay 512 KB, maaari mong baguhin ang laki mula 64 hanggang 4,194,240 KB);
  • pamamaraan para sa pagpapalit ng hindi napapanahong mga entry sa journal;
    • I-overwrite ang Mga Kaganapan ayon sa Pangangailangan - kung puno ang log kapag nagre-record ng mga bagong kaganapan, tatanggalin ng operating system ang mga pinakalumang kaganapan;
    • I-overwrite ang Mga Kaganapan na Mas Matanda kaysa X Araw - kung puno na ang log, kapag nagre-record ng mga bagong kaganapan, ang mga mismong kaganapan ay tatanggalin, ngunit kung mas matanda ang mga ito sa X araw, kung hindi, ang mga bagong kaganapan ay hindi papansinin;
    • Huwag I-overwrite ang Mga Kaganapan - kung puno na ang log, ang mga bagong kaganapan ay hindi naitala. Ang pag-clear sa log ay ginagawa nang manu-mano.

Upang tingnan ang impormasyon tungkol sa mga error at babala, pati na rin ang matagumpay at hindi matagumpay na paglulunsad ng gawain, gamitin ang programa ng Event Viewer. Ang organisasyon ng pag-access sa mga log ay inilarawan sa talahanayan. 5.

Bilang default, ang pag-audit ay hindi pinagana at walang security log ang pinapanatili.

Ang unang hakbang sa pagpaplano ng diskarte sa pag-audit ay ang piliin ang mga kaganapang susuriin sa dialog box ng Patakaran sa Pag-audit ng utility ng User Manager para sa Mga Domain (User Manager) (Figure 7).

Narito ang mga uri ng mga kaganapan na maaaring mairehistro:

  • Logon at Logoff - pagrehistro ng isang user sa system o pag-log out dito, pati na rin ang pagtatatag at pagsira ng koneksyon sa network;
  • File at Object Access - access sa mga folder, file at printer na napapailalim sa pag-audit;
  • Paggamit ng Mga Karapatan ng Gumagamit - paggamit ng mga pribilehiyo ng user (maliban sa mga karapatang nauugnay sa pag-log in at out sa system);
  • Pamamahala ng Gumagamit at Grupo - paglikha, pagbabago at pagtanggal ng mga account ng user at pangkat, pati na rin ang mga pagbabago sa mga paghihigpit sa account;
  • Mga Pagbabago sa Patakaran sa Seguridad - mga pagbabago sa mga pribilehiyo ng user, diskarte sa pag-audit at patakaran sa tiwala;
  • I-restart, Shutdown at System - pag-restart o pag-shut down ng computer ng user; ang paglitaw ng isang sitwasyon na nakakaapekto sa seguridad ng system;
  • Pagsubaybay sa Proseso - mga kaganapan na nagiging sanhi ng pagsisimula at pagwawakas ng mga programa.

Ang pag-set up ng mga function ng pag-audit ay inilarawan sa dokumentasyon ng Windows NT. Bilang karagdagan, isasaalang-alang namin ang mga sumusunod na uri ng pag-audit:

Pag-audit ng mga pangunahing bagay. Bilang karagdagan sa mga file at folder, printer at system registry key, naglalaman ang Windows NT ng mga pangunahing bagay na hindi nakikita ng karaniwang gumagamit. Available lang ang mga ito sa mga developer ng application o device driver. Upang paganahin ang pag-audit ng mga bagay na ito, dapat mong paganahin ang pag-audit ng mga kaganapan ng uri ng File at Object Access sa User Manager at gamitin ang Registry Editor upang itakda ang halaga ng parameter:

Sangay HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Pangalan AuditBaseObjects
Uri REG_DWORDValue 1

Pag-audit ng pribilehiyo. Kabilang sa mga posibleng karapatan ng gumagamit, mayroong ilang mga pribilehiyo na hindi nasuri sa system kahit na pinagana ang pag-audit ng pribilehiyo. Ang mga pribilehiyong ito ay ipinapakita sa talahanayan. 6.

Upang paganahin ang pag-audit ng mga pribilehiyong ito, dapat mong gamitin ang Registry Editor upang idagdag ang sumusunod na parameter:

Sangay HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa:
Pangalan FullPrivilegeAuditing
Uri REG_BINARY
Ibig sabihin 1

Mga Serbisyo sa Seguridad ng Windows NT 5.0

Ang seguridad ng Windows NT 5.0 ay nagbibigay-daan sa lahat ng mga bagong diskarte sa pagpapatunay ng user at proteksyon ng data. Kabilang dito ang:

  • Buong pagsasama sa Windows NT 5.0 Active Directory upang magbigay ng scalable na pamamahala ng account sa malalaking domain na may naiaangkop na kontrol sa pag-access at pamamahagi ng mga karapatang pang-administratibo;
  • Kerberos authentication protocol version 5 ay isang security standard para sa Internet, na ipinatupad bilang pangunahing network logon authentication protocol;
  • pagpapatunay gamit ang mga sertipiko batay sa mga pampublikong susi;
  • secure na mga channel sa network batay sa pamantayan ng SSL;
  • file system na may encryption.

Ang Windows NT 5.0 Distributed Security Services ay nag-iimbak ng impormasyon ng account sa Active Directory. Mga kalamangan ng isang aktibong direktoryo:

  • Maaaring ipamahagi ang mga account ng user at grupo sa mga container - mga dibisyon(Yunit ng Organisasyon, OU). Ang isang domain sa loob ng isang hierarchical namespace ay maaaring maglaman ng anumang bilang ng mga dibisyon. Nagbibigay-daan ito sa mga organisasyon na makamit ang pagkakapare-pareho sa pagitan ng mga pangalan na ginamit sa network at ang istraktura ng enterprise.
  • Sinusuportahan ng Active Directory ang mas malaking bilang ng mga object at may mas mahusay na performance kaysa sa registry. Maaaring suportahan ng Windows NT federated domain tree ang mas kumplikadong istruktura ng organisasyon.
  • Ang pangangasiwa ng account ay napabuti gamit ang mga bagong graphical na aktibong tool sa pamamahala ng direktoryo, pati na rin ang mga script na nag-a-access sa mga aktibong object ng COM na direktoryo.
  • Sinusuportahan ng Directory Replication Services ang maraming kopya ng mga account. Ngayon ang impormasyon ay maaaring ma-update para sa anumang kopya ng account (hindi na kailangang paghiwalayin ang mga controller ng domain sa pangunahin at backup). Ang light-weight na Directory Access Protocol (LDAP) at mga serbisyo ng pagtitiklop ay nagbibigay ng mga mekanismo para sa pag-link ng direktoryo ng Windows NT 5.0 sa iba pang X.500-based at LDAP na mga direktoryo sa enterprise.

Upang magbigay ng compatibility sa mga kasalukuyang kliyente, magbigay ng mas epektibong mekanismo ng seguridad, at paganahin ang interoperability sa magkakaibang network, sinusuportahan ng Windows NT ang ilang mga protocol ng seguridad. Ang arkitektura ng Windows NT ay hindi nagpapataw ng mga paghihigpit sa paggamit ng ilang mga protocol ng seguridad.

Susuportahan ng Windows NT 5.0 ang:

  • Protocol sa pagpapatunay ng Windows NT LAN Manager (NTLM), na ginagamit sa Windows NT 4.0 at mga nakaraang bersyon ng Windows NT;
  • Kerberos authentication protocol version 5, pinapalitan ang NTLM bilang pangunahing protocol para sa network access sa Windows NT 5.0 domain resources;
  • Protocol ng Distributed Password Authentication (DPA); salamat sa DPA, ang isang user na nakatanggap ng isang password sa pagpaparehistro ay maaaring kumonekta sa anumang Internet site na inihatid ng organisasyong ito;
  • mga protocol na batay sa mga pampublikong key at pangunahing ginagamit para sa komunikasyon sa pagitan ng mga browser at Web server. Ang de facto na pamantayan dito ay naging protocol na Secure Sockets Layer (SSL).

Para sa pare-parehong pag-access sa iba't ibang mga protocol, isang bagong Win32 application programming interface ang binuo - Interface ng Provider ng Suporta sa Seguridad(Security Support Provider Interface, SSPI). Binibigyang-daan ka ng SSPI na ihiwalay ang pagpapatunay ng user, na maaaring isagawa gamit ang iba't ibang protocol, mula sa mga serbisyo at application na gumagamit nito. Ang interface ng SSPI ay binubuo ng ilang hanay ng mga pamamaraan na magagamit sa mga application program na gumaganap:

  • pamamahala ng mandato(Credential Management) gumagana sa impormasyon ng kliyente (password, ticket, atbp.);
  • pamamahala ng konteksto(Context Management) - paglikha ng konteksto ng seguridad ng kliyente;
  • suporta sa pagmemensahe(Suporta sa Mensahe) - pagsuri sa integridad ng ipinadalang impormasyon (gumagana sa loob ng konteksto ng seguridad ng kliyente);
  • pamamahala ng pakete(Package Management) - pumili ng security protocol.

Ang Kerberos authentication protocol ay tumutukoy sa pakikipag-ugnayan sa pagitan ng mga kliyente at ng serbisyo ng pagpapatotoo Sentro ng pamamahagi ng susi(Key Distribution Center, KDC). Windows NT 5.0 na katumbas ng domain kaharian ng Kerberos(Kerberos realm), ngunit tatawagin pa ring domain sa operating system na ito. Ang pagpapatupad ng Kerberos sa Windows NT 5.0 ay batay sa RFC1510. Kung ikukumpara sa NTLM, ang Kerberos authentication protocol ay may mga sumusunod na pakinabang:

  • mas mabilis na koneksyon sa pagitan ng kliyente at server; dahil ang server ay hindi kailangang makipag-ugnayan sa domain controller upang patunayan ang user, pagpapabuti ng scalability ng network ng computer;
  • Ang mga transitive trust na relasyon sa pagitan ng mga domain ay nagpapasimple sa pangangasiwa ng isang kumplikadong network.

Magtatampok ang Windows NT 5.0 ng bagong tool sa seguridad ng impormasyon naka-encrypt na file system(Naka-encrypt na File System, EFS), na nagbibigay-daan sa iyong mag-imbak ng mga file at folder sa naka-encrypt na anyo. Salamat dito, malulutas ng mga corporate at indibidwal na gumagamit ang problema ng posibleng pagtagas ng lihim na impormasyon kapag ang isang laptop computer o hard drive ay ninakaw mula sa isang server. Ang naka-encrypt na impormasyon ay mananatiling hindi naa-access kahit na mayroong pisikal na pag-access sa hard drive.

ComputerPress 2"1999

Kagamitan sa MMC console ay tumutulong sa iyo na makakuha ng impormasyon tungkol sa mga setting ng seguridad ng lokal na computer. Kung hindi magawa ng user ang ilang lokal o malayong gawain, ang dahilan nito ay maaaring masyadong mahigpit ang mga setting ng seguridad na inilapat ng user.

Bagama't mababa ang posibilidad na mangyari ito, huwag kailanman maliitin ang gumagamit. Hindi na kailangang sabihin, may mga sitwasyon kung saan ang isang bagong tagapangasiwa, nang malaman na mayroong bagay na tulad ng "seguridad," ay naghihigpit sa pag-access sa server nang labis na walang sinuman ang makaka-access sa server. Sa ganitong mga sitwasyon na ang kagamitan ay madaling gamitin Pag-configure at Pagsusuri ng Seguridad.

Pag-configure at Pagsusuri ng Seguridad ay isang snap-in ng MMC, kaya para buksan ito dapat mong i-load ang snap-in sa management console. Upang gawin ito, gawin ang sumusunod na pagkakasunud-sunod ng mga aksyon:

1. Pumili Magsimula > Tumakbo, pumasok mmc sa dialog box Takbo at mag-click sa pindutan OK.

2. Sa MMC console, pindutin ang key combination upang magdagdag ng mga bagong kagamitan.

3. Mag-click sa pindutan Idagdag.

5. Mag-click sa pindutan Isara sa dialog box Magdagdag ng Standalone Snap-in. Pagkatapos nito, mag-click sa pindutan OK sa dialog box Magdagdag/Mag-alis ng Snap-in.

Pagkatapos nito, handa ka nang magsagawa ng pagsusuri sa system. Ang pagsusuri ay nangangailangan ng pagsubok sa system laban sa isang kilalang pattern ng seguridad. Para sa mga layunin ng diagnostic, pinakamadaling gamitin ang default na template kapag nagsusuri. Sa Windows Server 2003 at Windows XP, ang default na template ay naka-imbak sa file setup ng seguridad.inf(o DC Security.inf para sa mga controllers ng domain) at kumakatawan sa mga setting ng seguridad na gagamitin kaagad pagkatapos ma-install ang operating system.

Ang template ng Setup Security ay katulad ng mga Basic na template na ginamit sa operating system ng Windows 2000 at mga naunang operating system.

Upang suriin ang mga setting ng seguridad ng system, gawin ang sumusunod na pagkakasunud-sunod ng mga aksyon:

1. Mag-right-click sa snap-in Pag-configure at Pagsusuri ng Seguridad at pumili ng isang pangkat .


2. Para sa mga layunin ng pagsubok, maaari kang lumikha ng isang bagong database, kaya sa field Pangalan ng File dialog box Buksan ang Database pumasok pagsubok at mag-click sa pindutan Bukas.

3. Ngayon, sa dialog box Mag-import ng Template piliin ang file setup ng seguridad.inf at mag-click sa pindutan Bukas.


4. Pagkatapos i-import ang template, maaari mong simulan ang pagsusuri sa mga setting ng seguridad ng system. Upang gawin ito, mag-right-click sa snap-in Pag-configure at Pagsusuri ng Seguridad at pumili ng isang pangkat Suriin ang Computer Ngayon.


5. Sa dialog box Magsagawa ng Pagsusuri magpasok ng bagong path sa error log file o umalis sa lumang file path at mag-click sa OK button.

Ang pagsusuri ng system ay tatagal ng ilang minuto upang makumpleto. Kapag kumpleto na ang pagsusuri, magpapakita ang snap-in ng listahan ng mga setting ng seguridad. Ang mga pagkakaiba mula sa template ng seguridad ay napakadaling makita, dahil ang mga pagkakaiba ay naka-highlight sa isang pulang X.

Hindi mo alam kung ano ang iyong makakaharap, lalo na kapag nagtatrabaho sa network ng ibang tao. Isang praktikal na halimbawa: sa sandaling ang may-akda ng artikulo ay hindi nakipag-ugnayan sa isang partikular na server, bagama't ang mga kinakailangang folder ay ibinigay para sa pampublikong pag-access. Nang maglaon, ang server ay nangangailangan ng paggamit ng isang naka-encrypt na channel para sa paghahatid ng data, at ang mga kliyente ay hindi makakapagbigay ng isang naka-encrypt na channel, kahit na hiniling ito ng user.

Sa madaling salita, sinubukan ng kliyente na magsimula ng isang session sa server at tumugon ang server: "Makikipag-usap lamang kami sa isang naka-encrypt na channel." Ang kliyente ay tumutol: "Hindi, hindi magkakaroon ng naka-encrypt na channel." Kung saan sumagot ang server: "Makipag-chat sa iyong user." Bagama't ang pagkakatulad na ito ay maaaring mukhang hangal, tandaan na ang problemang ito ay madaling natuklasan sa pamamagitan ng pagtingin sa snap-in na ulat Pag-configure at Pagsusuri ng Seguridad para sa mga pagkakaiba sa mga setting ng naka-encrypt na channel sa server at sa mga computer ng kliyente.

Minsan sapat na upang malaman na ang kinakailangang tool ay umiiral. Maraming tao ang bihira, kung sakaling, gumamit ng snap Pag-configure at Pagsusuri ng Seguridad, ngunit ang mismong kaalaman sa pagkakaroon ng naturang kagamitan ay maaaring gawing bayani ng araw ang gumagamit.

Mga Template ng Seguridad

Kapag isinasaalang-alang ang kagamitan Pag-configure at Pagsusuri ng Seguridad Ito ay lumabas na upang maisagawa ang pagsusuri ng mga setting ng seguridad, dapat mayroong isang kilalang pattern ng seguridad kung saan ihahambing.

Kung kailangan mong tingnan at i-configure ang mga setting ng template bago patakbuhin ang pagsusuri ng system, maaari mong gamitin ang Mga Template ng Seguridad. Upang i-load ang snap-in, maaari mong gamitin ang pamamaraang inilarawan sa nakaraang seksyon kung hindi mo pa nagagawa ito dati.

Kapag na-load na ang snap-in sa console, maaari mong simulang tingnan at suriin ang mga setting para sa bawat isa sa mga template ng seguridad.

Pahina 13 ng 15

Pagse-set up ng seguridad ng Windows XP

Ang operating system ng Windows XP ay may binuo na sistema ng seguridad, na, gayunpaman, ay kailangang i-configure (bilang default, ang Windows XP Professional ay nagbibigay sa user ng isang napaka-pinasimpleng interface ng seguridad na nagbibigay-daan sa iyo upang itakda ang mga halaga ng isang limitadong bilang ng mga parameter ng access batay sa membership sa mga built-in na grupo). Umaasa kami na naiintindihan mo na ang Windows XP ay dapat na mai-install sa mga partisyon ng NTFS, at ang paggamit ng FAT32 file system ay hindi inirerekomenda para sa mga kadahilanang pangseguridad (ang mga built-in na tampok sa seguridad ay hindi maaaring ipatupad sa FAT32). Kung gumagamit ka ng FAT32 file system, halos lahat ng mga pahayag sa seksyong ito ay magiging walang kabuluhan sa iyo. Ang tanging paraan upang paganahin ang lahat ng mga pahintulot ng file system ay i-convert ang drive sa NTFS na format.
Pagkatapos ng malinis na pag-install ng Windows XP, ang mga default na setting ng seguridad ay kumikilos bilang mga on-off switch. Ang interface na ito ay tinatawag na Simple File Sharing bilang default.
Ang configuration na ito ay may mababang antas ng seguridad, halos kapareho ng karaniwang Windows 95/98/Me configuration.
Kung hindi ka nasisiyahan sa pagsasaayos na ito, maaari mong samantalahin ang buong kapangyarihan ng mga pahintulot ng file na istilo ng Windows 2000 Upang gawin ito, buksan ang isang random na folder sa Explorer at piliin ang Mga Tool - Mga opsyon sa folder. Pumunta sa tab na View, hanapin ang Checkbox na Gamitin ang Pagbabahagi ng File (inirerekomenda) sa listahan at i-uncheck ito (Upang baguhin ang opsyong ito, dapat ay miyembro ka ng Administrators group).

Kapag na-off mo ang simpleng pagbabahagi, lalabas ang tab na Seguridad sa dialog box ng mga katangian ng anumang folder.
Ang parehong ay totoo para sa pag-isyu ng mga pahintulot ng file. Ang lahat ng mga pahintulot ay naka-imbak sa Access Control Lists (ACLs).
Kapag nagtatakda at nag-aalis ng mga pahintulot, sundin ang mga pangunahing prinsipyong ito:

  • Magtrabaho mula sa itaas hanggang sa ibaba.
  • Panatilihing magkasama ang mga nakabahaging data file.
  • Makipagtulungan sa mga grupo hangga't maaari.
  • Huwag gumamit ng mga espesyal na pahintulot.
  • Huwag bigyan ang mga user ng higit pang mga pahintulot kaysa sa talagang kinakailangan (prinsipyo ng hindi bababa sa mga pahintulot).

Pagtatakda ng pahintulot mula sa command line

Ang cacls.exe command line utility ay nagpapahintulot sa iyo na tingnan at baguhin ang mga pahintulot ng file at folder. Ang Cacls ay maikli para sa Control ACLs - pamamahala ng listahan ng kontrol sa pag-access.
Cacls utility command line switch
/T- Baguhin ang mga pahintulot sa pag-access sa mga tinukoy na file sa kasalukuyang folder at lahat ng mga subfolder
/E- Pagbabago sa listahan ng kontrol sa pag-access (hindi ito ganap na pinapalitan)
/C- Magpatuloy kung may naganap na error na "na-access ang tinanggihan".
/G user:permission- Paglalaan ng tinukoy na pahintulot sa gumagamit. Kung wala ang /E switch, ganap nitong pinapalitan ang kasalukuyang mga pahintulot
/R user- Binawi ang mga karapatan sa pag-access para sa kasalukuyang gumagamit (ginagamit lamang sa /E switch)
/P user:permission- Pinapalitan ang tinukoy na mga pahintulot ng user
/D user- Tinatanggihan ang access ng user sa object
Gamit ang /G at /P key, dapat mong gamitin ang isa sa mga titik na nakalista sa ibaba (sa halip na ang salitang pahintulot):
  • F (Full Control) - Katumbas ng checkbox ng Full Control sa tab na Security.
  • C (baguhin) - kapareho ng pagsuri sa Allow Modify checkbox
  • R (read) - katumbas ng paglalagay ng check sa Allow Read & Execute na checkbox
  • W (write) - katumbas ng paglalagay ng check sa Allow writing (Write) checkbox
Ang Microsoft Windows XP ay tumutulong na maiwasan ang sensitibong data na mahulog sa maling mga kamay. Ang Encrypting File System (EFS) ay nag-encrypt ng mga file sa disk. Gayunpaman, pakitandaan na kung mawala mo ang decryption key, maaaring ituring na nawala ang data. Samakatuwid, kung magpasya kang samantalahin ang EFS, dapat kang lumikha ng isang account sa ahente sa pagbawi at isang backup na kopya ng iyong sariling sertipiko at sertipiko ng ahente sa pagbawi.
Kung mas gusto mong magtrabaho kasama ang command line, maaari mong gamitin ang cipher.exe program. Ang utos ng cipher na walang mga parameter ay nagpapakita ng impormasyon tungkol sa kasalukuyang folder at ang mga file na matatagpuan dito (kung sila ay naka-encrypt o hindi). Nasa ibaba ang isang listahan ng mga pinakakaraniwang ginagamit na cipher command switch
/E- Pag-encrypt ng mga tinukoy na folder
/D- Pag-decryption ng mga tinukoy na folder
/S:folder- Nalalapat ang operasyon sa folder at lahat ng mga subfolder (ngunit hindi mga file)
/A- Ang operasyon ay inilalapat sa tinukoy na mga file at mga file sa tinukoy na mga folder
/K- Paglikha ng bagong encryption key para sa user na naglunsad ng program. Kung ang key na ito ay tinukoy, lahat ng iba ay hindi papansinin
/R- Paglikha ng file recovery agent key at certificate. Ang susi at sertipiko ay inilalagay sa .CFX file, at isang kopya ng sertipiko ay inilalagay sa .CER file
/U- I-update ang user encryption key o recovery agent para sa lahat ng file sa lahat ng lokal na drive
/U/N- Ilista ang lahat ng naka-encrypt na file sa mga lokal na drive nang walang anumang iba pang aksyon

Ahente sa Pagbawi ng Data

Ang administrator ay karaniwang itinalaga bilang Data Recovery Agent. Upang lumikha ng isang ahente sa pagbawi, kailangan mo munang lumikha ng isang sertipiko ng pagbawi ng data at pagkatapos ay italaga ang isa sa iyong mga gumagamit bilang isang ahente.
Upang lumikha ng isang sertipiko kailangan mong gawin ang mga sumusunod:
1. Kailangan mong mag-log in bilang Administrator
2. Ipasok ang cipher /R sa command line: pangalan ng file
3. Ilagay ang password para sa mga bagong likhang file na may extension na .PFX at .CER at ang pangalan na iyong tinukoy.
TANDAAN: Ang mga file na ito ay nagbibigay-daan sa sinumang user sa system na maging isang recovery agent. Siguraduhing kopyahin ang mga ito sa isang floppy disk at iimbak ang mga ito sa isang ligtas na lugar. Pagkatapos makopya, tanggalin ang mga file ng certificate mula sa iyong hard drive.
Upang magtalaga ng ahente sa pagbawi:
1. Mag-log in gamit ang account na dapat maging data recovery agent
2. Sa Certificates console, pumunta sa Certificates - Kasalukuyang User - Personal na seksyon
3. Pagkilos - Lahat ng Gawain - Pag-import (Mga Pagkilos - Lahat ng Gawain - Pag-import) upang ilunsad ang Certificate Import Wizard
4. I-import ang sertipiko ng pagbawi Kung gumamit ka ng mga tool sa pag-encrypt nang hindi tama, maaari kang humantong sa mas maraming pinsala kaysa sa mabuti.
Maikling tip sa pag-encrypt:
1. I-encrypt ang lahat ng folder kung saan ka nag-iimbak ng mga dokumento
2. I-encrypt ang %Temp% at %Tmp% na mga folder. Titiyakin nito na ang lahat ng pansamantalang file ay naka-encrypt
3. Palaging paganahin ang pag-encrypt para sa mga folder, hindi mga file. Pagkatapos ang lahat ng mga file na kasunod na nilikha dito ay naka-encrypt, na lumalabas na mahalaga kapag nagtatrabaho sa mga programa na lumikha ng kanilang sariling mga kopya ng mga file kapag nag-e-edit, at pagkatapos ay i-overwrite ang mga kopya sa tuktok ng orihinal.
4. I-export at protektahan ang mga pribadong key ng recovery agent account, at pagkatapos ay tanggalin ang mga ito mula sa computer
5. I-export ang mga personal na sertipiko ng pag-encrypt ng lahat ng mga account
6. Huwag tanggalin ang mga sertipiko sa pagbawi kapag binabago ang mga patakaran ng ahente sa pagbawi. Panatilihin ang mga ito hanggang sa makatiyak ka na ang lahat ng mga file na protektado ng mga certificate na ito ay hindi maa-update.
7. Kapag nagpi-print, huwag gumawa ng mga pansamantalang file o i-encrypt ang folder kung saan sila gagawin
8. Protektahan ang iyong page file. Dapat itong awtomatikong maalis kapag lumabas ka sa Windows

Tagabuo ng Template ng Seguridad

Ang mga template ng seguridad ay mga ordinaryong ASCII file, kaya sa teorya ay maaari silang gawin gamit ang isang regular na text editor. Gayunpaman, ito ay mas mahusay na gamitin ang Security Templates snap-in sa Microsoft Management Console (MMC). Upang gawin ito, sa command line na kailangan mong ipasok ang mmc /a sa console na ito, piliin ang File - Add/Remove menu. Sa dialog box na Magdagdag ng Standalone Snap-in, piliin ang Mga Template ng Seguridad - Magdagdag.
Pamamahala ng kagamitan
Ang mga template ng seguridad ay matatagpuan sa folder na \%systemroot%\security\templates. Ang bilang ng mga built-in na template ay nag-iiba depende sa bersyon ng operating system at naka-install na mga service pack.
Kung palawakin mo ang anumang folder sa Mga Template ng Seguridad, ang kanang pane ay magpapakita ng mga folder na tumutugma sa mga kinokontrol na elemento:
  • Mga Patakaran sa Account - pamahalaan ang mga password, lock at mga patakaran ng Kerberos
  • Mga Lokal na Patakaran - pamahalaan ang mga setting ng pag-audit, mga karapatan ng user at mga setting ng seguridad
  • Log ng Kaganapan - pamamahala ng mga parameter ng log ng system
  • Mga Restricted Group - pagtukoy sa mga elemento ng iba't ibang lokal na grupo
  • Mga Serbisyo ng System - paganahin at huwag paganahin ang mga serbisyo at italaga ang karapatang baguhin ang mga serbisyo ng system
  • Registry - pagtatalaga ng mga pahintulot upang baguhin at tingnan ang mga registry key
  • File System - pamahalaan ang mga pahintulot ng NTFS para sa mga folder at file

Proteksyon ng koneksyon sa internet

Upang matiyak ang seguridad kapag kumokonekta sa Internet, dapat mong:
  • Paganahin ang Internet Connection Firewall o mag-install ng third party na firewall
  • Huwag paganahin ang Pagbabahagi ng File at Printer para sa Microsoft Networks
Ang firewall ng koneksyon sa Internet ay isang bahagi ng software na humaharang sa hindi gustong trapiko. Pag-activate ng Internet Connection Firewall:
  • Buksan ang Control Panel - Mga Koneksyon sa Network
  • Mag-right-click sa koneksyon na gusto mong protektahan at piliin ang Properties mula sa menu
  • Pumunta sa tab na Advanced, lagyan ng check ang Secure my Internet connection checkbox

Gamit ang snap-in ng Security Templates, maaari kang lumikha ng mga text file na naglalaman ng lahat ng mga setting ng seguridad para sa mga secure na lugar na sinusuportahan ng lokal na patakaran sa seguridad. Ito ay maginhawa para sa paggamit ng lahat ng mga tampok ng seguridad na magagamit sa Windows XP Professional. Sa seksyong ito, ipapakita namin sa iyo kung paano lumikha ng isang template, baguhin ang isang umiiral na template, at gamitin ito sa Windows XP Professional.

Lumikha ng isang template

Sundin ang mga hakbang na ito upang ilunsad ang snap-in ng Mga Template ng Seguridad at tingnan ang iyong mga setting ng patakaran sa seguridad.

  1. Buksan ang MMS.
  2. Mula sa menu ng File, i-click ang Add/Remove Snap-in at pagkatapos ay i-click ang Add.
  3. Mula sa Available na Standalone Snap-in na listahan, piliin ang Security Templates.
  4. I-click ang Magdagdag at pagkatapos ay i-click ang Isara.
  5. I-click ang OK. Ang snap-in ng Security Templates ay ipinapakita sa Fig. 9.5.
  6. Sa kanang window, i-click ang icon na "+" upang palawakin ang Mga Template ng Seguridad.
  7. Palawakin ang C:\Windows\security\templates (C: ay ang drive kung saan naka-imbak ang Windows).
  8. Para gumawa ng template, i-double click ang Security Templates, i-right click ang default na templates folder, at pagkatapos ay i-click ang New Template.

Gagawa ito ng blangkong template kung saan maaari mong punan ang lahat ng nauugnay sa patakaran sa seguridad ng iyong organisasyon. Para i-save ang template, buksan ang File menu at i-click ang Save As.


kanin. 9.5.

Pag-edit ng mga kasalukuyang template

Ang Windows XP Professional ay may kasamang ilang mga template sa labas ng kahon. Lumilikha sila ng magandang pundasyon para sa pagbuo ng sarili mong patakaran sa seguridad. Maaaring mayroon kang patakarang panseguridad sa lugar na gusto mong pagbutihin at ilapat sa ibang pagkakataon. Upang buksan at i-edit ang anumang template, i-double click ito sa kaliwang window ng snap-in ng Security Templates.

Tandaan. Bagama't ang Mga Template ng Seguridad ay may mga pre-built na template, magandang ideya na tingnan muna ang mga ito nang mabuti upang matiyak na angkop ang mga ito para sa mga pangangailangan ng iyong organisasyon.

Mayroong apat na pangunahing uri ng mga template:

  • basic;
  • ligtas;
  • mataas na antas ng seguridad;
  • halo-halong.

Ang mga template na ito ay kumakatawan sa isang hanay ng mga tampok ng seguridad, mula sa Basic hanggang High Secure. Ang iba't ibang mga template ay nagbibigay ng mga setting ng seguridad para sa ilang mga kategorya na mahirap ilagay sa loob ng Basic, Secure, at High Secure hierarchy. Naglalaman ang mga ito ng mga setting para sa mga opsyon gaya ng Terminal Services at Certificate Services. Nakalista sa ibaba ang ilan sa mga template na nasa loob ng bawat kategorya.

  • Basicsv Itinatakda ang pangunahing antas ng seguridad para sa print server at file server.
  • Securews Itinatakda ang katamtamang antas ng seguridad para sa mga workstation.
  • Itinatakda ng Hisecdc ang pinakamataas na antas ng seguridad para sa mga controller ng domain.
  • Ocfiless Itinatakda ang patakaran sa seguridad para sa mga file server.

Ang alinman sa sampung sample na template ay isang magandang lugar upang simulan ang pagbuo ng seguridad sa network. Gayunpaman, kapag binago ang isang template, makatuwirang i-save ito sa ilalim ng isang bagong pangalan upang ang lumang template ay hindi ma-overwrite.

Paglalapat ng Mga Template ng Seguridad

Ang paggawa o pag-edit ng umiiral na template ay hindi nagbabago sa iyong mga setting ng seguridad. Upang gawin ang mga pagbabagong ito, dapat mong ilapat ang template sa iyong computer. Upang maglapat ng bagong gawa o na-edit na template, gawin ang sumusunod.

  1. Sa Patakaran ng Grupo, i-double click ang Computer Configuration at palawakin ang Mga Setting ng Windows.
  2. Mag-right-click sa Mga Setting ng Seguridad at pagkatapos ay mag-click sa Patakaran sa Pag-import (Larawan 9.6).
  3. Piliin ang template na gusto mong gamitin.
  4. Mag-click sa OK.

Ang isa sa mga pinakakaraniwang operating system ng kliyente sa kasalukuyan ay ang Microsoft Windows XP. Ito ay ang proteksyon ng computer ng kliyente (ang computer ng isang gumagamit sa bahay o opisina) na tatalakayin. Hindi lihim na mas madaling simulan ang anumang pag-atake mula sa workstation ng kliyente, dahil tradisyonal na binibigyang pansin ng mga administrador ang mga bagay ng proteksyon sa mga lokal na server ng network. Walang alinlangan, ang mga lugar ng trabaho ay nangangailangan ng parehong proteksyon laban sa virus at pinahusay na mga hakbang sa pagkilala at pagpapatunay ng user. Gayunpaman, una sa lahat, kinakailangan pa rin upang matiyak ang proteksyon gamit ang mga built-in na tool ng operating system.

Pagse-set up ng seguridad ng Windows XP

Ang operating system ng Windows XP ay may binuo na sistema ng seguridad, na, gayunpaman, ay kailangang i-configure. Umaasa kami na naiintindihan mo na ang Windows XP ay dapat na mai-install sa mga partisyon ng NTFS, at na ang paggamit ng FAT32 file system ay hindi inirerekomenda batay sa mga prinsipyo ng seguridad (ang mga built-in na tampok sa seguridad ay hindi maaaring ipatupad kung FAT32 ang ginagamit). Kung gumagamit ka ng FAT 32 file system, halos lahat ng mga pahayag sa seksyong ito ay magiging walang kabuluhan sa iyo. Ang tanging paraan upang paganahin ang lahat ng mga pahintulot ng file system ay i-convert ang drive sa NTFS na format. Pagkatapos ng malinis na pag-install ng Windows XP, ang mga default na setting ng seguridad ay kumikilos bilang mga on-off switch. Ang interface na ito ay tinatawag na "Simple File Sharing" bilang default. Ang configuration na ito ay may mababang antas ng seguridad, halos kapareho ng karaniwang Windows 95/98/Me configuration. Kung hindi ka nasisiyahan sa pagsasaayos na ito, maaari mong samantalahin ang buong kapangyarihan ng mga pahintulot ng file na istilo ng Windows 2000 sa pamamagitan ng pagbubukas ng custom na folder sa Explorer at pagpili Mga Tool > Mga Opsyon sa Folder (Mga Tool > Mga opsyon sa folder). Pumunta sa tab Tingnan , hanapin ang checkbox sa listahan Gumamit ng simpleng pagbabahagi ng file

(inirerekomenda) (Gumamit ng File Sharing (inirerekomenda)) - at alisin ito.

Mga katangian ng folder Kapag na-off mo ang simpleng pagbabahagi, lalabas ang isang tab sa dialog box ng mga katangian ng anumang folder. Kaligtasan

  • . Ang parehong ay totoo para sa pag-isyu ng mga pahintulot ng file. Ang lahat ng mga pahintulot ay naka-imbak sa Access Control Lists (ACLs). Kapag nagtatakda at nag-aalis ng mga pahintulot, sundin ang mga pangunahing prinsipyong ito:
  • Magtrabaho mula sa itaas hanggang sa ibaba
  • Makipagtulungan sa mga grupo hangga't maaari
  • Huwag gumamit ng mga espesyal na pahintulot
  • Huwag bigyan ang mga user ng higit pang mga pahintulot kaysa sa talagang kinakailangan (prinsipyo ng hindi bababa sa mga pahintulot).

Pag-set up ng operating system

Tulad ng nabanggit na, hindi mo mai-configure ang mga built-in na tampok ng seguridad sa FAT32 file system. Sa pagsasaalang-alang na ito, kinakailangan ang alinman sa piliin ang NTFS file system sa yugto ng pag-install ng operating system (disk layout), o upang simulan ang pag-convert ng file system kaagad pagkatapos i-install ang OS.

Pag-convert ng file system

Upang i-convert ang isang disk mula sa FAT (FAT32) sa NTFS, gamitin ang Convert utility. Syntax ng command: I-CONVERT volume: /FS:NTFS saan:

  • dami- tumutukoy sa drive letter (sinusundan ng colon) mount point o volume name;
  • /FS:NTFS- panghuling sistema ng file: NTFS;
  • /V- paganahin ang mode ng output ng mensahe;
  • /CVTAREA:filename- tumutukoy ng magkadikit na file sa root folder upang magreserba ng espasyo para sa NTFS system file;
  • /WalangSeguridad- Ang mga setting ng seguridad para sa mga na-convert na file at folder ay magiging available para baguhin ng lahat;
  • /X- sapilitang pag-alis ng volume na ito (kung ito ay naka-mount). Magiging invalid ang lahat ng bukas na handle sa volume na ito.
Kung ang iyong organisasyon ay gumagamit ng isang malaking bilang ng mga computer, kailangan mong isaalang-alang ang proseso ng pag-automate ng pag-install ng OS. Mayroong dalawang mga pagpipilian para sa pag-automate ng proseso ng pag-install:
  • Awtomatikong pag-install. Sa kasong ito, ginagamit ang isang batch file at isang script (tinatawag na response file) upang hindi paganahin ang mga prompt ng operating system at awtomatikong makuha ang kinakailangang data mula sa mga response file.
  • Mayroong limang mga mode ng awtomatikong pag-install. Pagkopya ng disc (pag-clone). Sa kasong ito, ang utility para sa paghahanda ng system para sa pagkopya ay inilunsad ( sysprep.exe ), na nag-aalis ng Security Identifier (SID). Ang disk ay pagkatapos ay kinopya gamit ang isang disk cloning program tulad ng Multo (www.symantec.com/ghost) o Larawan ng Drive
(www.powerquest.com/driveimage). Pagkatapos ng pagkopya, isang "compressed" na pamamaraan ng pag-install ay isasagawa (5-10 minuto).

Na-install mo na ang operating system, ngunit ang pinakamahirap at pinakamatagal na bahagi ng trabaho ay nasa unahan pa rin.

Ayon sa dokumentasyon, ang pag-install ng OS ay tumatagal ng halos isang oras - ngunit sa katunayan, ang pag-install, pag-configure, pag-install ng lahat ng mga kritikal na patch (mga update) ay tatagal ng hindi bababa sa 4-5 na oras (ito ay ibinigay na ang lahat ng mga patch ay nasa hard drive na. o CD-ROM at hindi mo kailangang hilahin ang mga ito mula sa Internet). Kaya, na-install mo ang operating system. Mayroong dalawang paraan upang higit pang mag-install ng mga patch:

  • gamitin ang awtomatikong serbisyo ng Windows Update. Ang landas na ito ay lubos na inilarawan sa panitikan at hindi nangangailangan ng anumang pagsisikap sa bahagi ng programmer. Gayunpaman, ipagpalagay natin na ang iyong organisasyon ay may hindi bababa sa 20 mga computer. Sa kasong ito, kakailanganin mong gamitin ang serbisyong ito ng 20 beses. Hindi ito ang pinakamahusay na paraan, ngunit kung mayroon kang isang mabilis na channel at ang pamamahala ay hindi laban sa ganitong paraan ng pagtatapon ng pera, kung gayon ang landas na ito ay maaaring angkop sa iyo. Gayunpaman, tandaan na kapag muling na-install mo ang OS, kakailanganin mong bunutin muli ang lahat;
  • gumamit ng anumang scanner ng seguridad upang maghanap para sa mga kinakailangang patch (mga update). Halimbawa, isaalang-alang ang libreng Microsoft Base Security Analyzer scanner (hindi tatalakayin ng artikulong ito nang detalyado ang mga paraan ng pagtatrabaho sa scanner na ito). Maaaring ma-download ang scanner na ito nang libre mula sa website ng Microsoft sa seksyong TechNet.
    Bago magsimula ang pagsubok, kakailanganin mong i-extract ang mssecure.xml file mula sa http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab Dapat ilagay ang mssecure.xml file sa parehong folder , kung saan naka-deploy ang Microsoft Base Security Analyzer. Ang resulta ng pag-scan ay isang listahan ng mga kinakailangang patch na kakailanganin mong i-install sa isang partikular na PC.
Sa palagay ko, mas maginhawang gumamit ng mga komersyal na scanner ng seguridad tulad ng LAN Guard Network Scanner o XSpider.

LAN Guard Network Scanner

Idinisenyo ang scanner na ito upang maghanap ng mga kahinaan sa mga network ng computer hindi lamang batay sa Windows. Gayunpaman, sa aming kaso, madali mo itong magagamit upang maghanap ng mga kahinaan sa isang hiwalay na computer. Papayuhan kang bisitahin ang mga partikular na pahina ng bulletin ng seguridad mula sa Microsoft.


Resulta ng LAN Guard Network Scanner

Sa kasong ito, mas madaling mag-install ng mga update, at posible ring malaman kung ano mismo ang kahinaan na ginawa ng update na ito upang alisin. Ang isang pagsusuri ng proseso ng pag-install ng patch ay ipinapakita sa Fig.


I-update ang proseso ng pamamahala ng pag-install

Ito ay nagkakahalaga ng paggalugad ng mga hakbang na ito nang mas detalyado:

  • Pagsusuri. Tingnan ang kasalukuyang kapaligiran at mga potensyal na banta. Tukuyin ang mga patch na dapat i-install upang mabawasan ang mga banta sa iyong kapaligiran.
  • Plano. Tukuyin kung aling mga patch ang kailangang i-install upang maglaman ng mga potensyal na banta at masakop ang mga natuklasang kahinaan. Magpasya kung sino ang magsasagawa ng pagsubok at pag-install at kung anong mga hakbang ang dapat gawin.
  • Pagsubok. Suriin ang magagamit na mga patch at ikategorya ang mga ito para sa iyong kapaligiran.
  • Pag-install. I-install ang mga kinakailangang patch upang maprotektahan ang kapaligirang ito.
  • Pagsubaybay. Subukan ang lahat ng mga system pagkatapos mag-install ng mga patch upang matiyak na walang mga hindi gustong epekto.
  • Tingnan. Ang isang mahalagang bahagi ng buong proseso ay maingat na suriin ang mga bagong patch at ang iyong kapaligiran, at alamin kung ano mismo ang mga patch na kailangan ng iyong kumpanya. Kung habang nagba-browse ay nakakita ka ng pangangailangan para sa mga bagong patch, magsimulang muli mula sa unang hakbang.
Tandaan: Lubos na inirerekomenda na gumawa ng backup na kopya ng iyong buong gumaganang system bago mag-install ng mga patch.

Sinusuri ang kapaligiran para sa mga nawawalang patch

Dahil ito ay isang patuloy na proseso, dapat mong tiyakin na ang iyong mga patch ay napapanahon sa pinakabagong mga setting. Inirerekomenda na panatilihing napapanahon ang pinakabagong impormasyon sa patch. Minsan may inilabas na bagong patch - at kailangan mong i-install ito sa lahat ng istasyon. Sa ibang mga kaso, lilitaw ang isang bagong istasyon sa network, at dapat na mai-install dito ang lahat ng kinakailangang update. Dapat mong patuloy na suriin ang lahat ng iyong mga istasyon upang matiyak na mayroon silang lahat ng kailangan at kasalukuyang mga patch na naka-install. Sa pangkalahatan, ang isyu ng pag-install ng mga patch ay hindi kasing simple ng tila sa unang tingin. Gayunpaman, ang buong pagsasaalang-alang sa isyung ito ay lampas sa saklaw ng aming artikulo. Pakitandaan na minsan pagkatapos mag-install ng kasunod na patch, kinakailangan na muling i-install ang nauna. Hindi bababa sa aking pagsasanay ito ay nangyari nang higit sa isang beses. Kaya, ipagpalagay natin na ang lahat ng mga patch ay naka-install at walang mga butas sa iyong system. Mangyaring tandaan na ang estado na ito ay para lamang sa kasalukuyang sandali sa oras - ito ay lubos na posible na bukas ay kailangan mong mag-install ng mga bagong patch. Ang prosesong ito, sayang, ay tuloy-tuloy.

Pagbawi ng mga file ng system

Isang kapaki-pakinabang na tampok - maliban kung ang iyong computer ay ginagamit lamang para sa mga gawaing masinsinang mapagkukunan tulad ng mga laro. Kaya mas mabuting iwanan ito. Sa kasong ito, pana-panahong lumilikha ang computer ng mga snapshot ng mga kritikal na file ng system (mga file ng pagpapatala, database ng COM+, mga profile ng gumagamit, atbp.) at ini-save ang mga ito bilang isang rollback point. Kung ang anumang application ay nag-crash sa system o kung ang isang mahalagang bagay ay nasira, maaari mong ibalik ang computer sa dati nitong estado - sa rollback point. Ang mga puntong ito ay awtomatikong nilikha ng serbisyo System Restore(System Restore) kapag lumitaw ang ilang partikular na sitwasyon, tulad ng pag-install ng bagong application, pag-update ng Windows, pag-install ng hindi nakapirmang driver, atbp. Ang mga rollback point ay maaari ding gawin nang manu-mano - sa pamamagitan ng interface System Restore(System Restore): Start > Programs > Accessories > System Tools > System Restore(Start > Programs > Accessories > System Tools > System Restore). Ang isang katulad na resulta ay maaaring makuha gamit ang utility msconfig, na inilunsad mula sa command line mode o sa pamamagitan ng Magsimula > Tumakbo.


System Restore

Ang pagbawi ng system file ay umaasa sa isang serbisyo sa background na may kaunting epekto sa pagganap at nagtatala ng mga snapshot na kumukuha ng espasyo sa disk. Maaari mong manu-manong ilaan ang maximum na halaga ng espasyo sa disk para sa isang ibinigay na serbisyo. Maaari mo ring ganap na huwag paganahin ang serbisyo para sa lahat ng mga drive (sa pamamagitan ng pagsuri sa checkbox na I-disable ang serbisyo sa pagbawi). Dahil ang serbisyo ng System File Recovery ay maaaring makaapekto sa mga resulta ng mga test program, kadalasan ay hindi pinagana bago ang pagsubok.

Awtomatikong paglilinis ng disk

Upang linisin ang iyong hard drive mula sa mga hindi kinakailangang file, gamitin ang program cleanmgr.exe. Mga susi ng programa:

  • /d driveletter: - ay nagpapahiwatig ng drive letter na iki-clear;
  • /sageset: n- inilulunsad ng command na ito ang Disk Cleanup Wizard at lumilikha ng key sa registry upang i-save ang mga setting.
  • /Ang n parameter ay maaaring tumagal ng mga halaga mula 0 hanggang 65535; sagerun: n
- ginagamit upang ilunsad ang Disk Cleanup Wizard na may ilang mga parameter na itinakda nang maaga gamit ang nakaraang key.

Upang i-automate ang prosesong ito, maaari mong gamitin ang task scheduler.

Sa panahon ng proseso ng pag-install ng Windows XP (hindi katulad ng kaso sa Windows 9*/NT), walang opsyon na piliin ang mga kinakailangang bahagi. Sa palagay ko, ito ang tamang desisyon: dapat mo munang i-install ang operating system kasama ang lahat ng mga quirks nito - at pagkatapos lamang, pagkatapos magtrabaho kasama nito, magpasya kung ano ang dapat panatilihin at kung ano ang aalisin. Gayunpaman, sa bintana Magdagdag/Mag-alis ng Mga Bahagi ng Windows, na nasa applet Magdagdag o Mag-alis ng Mga Programa control panel, halos walang dapat tanggalin - marami sa mga bahagi ng Windows ay nakatago mula sa mapaglarong mga kamay ng hindi masyadong karanasan na mga gumagamit. Upang malutas ang problemang ito, buksan ang folder ng system Inf(bilang default - C:\Windows\Inf), hanapin ang file doon sysoc.inf, buksan ito at tanggalin ang salita sa lahat ng linya nito MAGTAGO. Ang pangunahing bagay ay iwanan ang format ng file na hindi nagbabago (iyon ay, ITAGO lamang ang maaaring tanggalin, ngunit ang mga kuwit bago at pagkatapos ng salitang ito ay hindi dapat hawakan). Halimbawa, ang source line at kung ano ang dapat mangyari: msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,itago,7 msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,7 I-save ang file sysoc.inf, bukas Magdagdag/Mag-alis ng Mga Bahagi ng Windows- at nakikita namin ang isang mas mahabang listahan kaysa sa kung ano ang orihinal (Fig.). Totoo, kahit na sa kasong ito ay hindi posible na alisin ang marami. Sa pamamagitan ng paraan, maaari mong gawin ang eksaktong parehong bagay sa kaso ng Windows 2000...


Window ng Mga Bahagi ng Windows XP

Maaari kang magtanong ng isang makatwirang tanong: ano ang kinalaman ng lahat ng ito sa seguridad? Una, kung ang iyong organisasyon ay may corporate policy sa paggamit ng software at, halimbawa, The Bat! o ang Mozilla (Opera) email client, kung gayon hindi ka dapat mag-iwan ng ganap na tumutulo na Outlook Express sa computer at tuksuhin ang user na gamitin ang kliyenteng ito. Pangalawa, kung hindi kaugalian para sa iyo na gamitin ang serbisyo ng instant messaging, mas mahusay na i-uninstall ang Windows Messenger. At sa wakas, alisin ang mga sangkap na hindi mo na kailangan. Ang mas kaunting hindi nagamit na software ay nangangahulugan ng mas kaunting mga pagkakataon upang maling gamitin ito (at samakatuwid, sinasadya o hindi sinasadya, makapinsala sa iyong organisasyon).

Pag-configure ng Mga Awtomatikong Programa

Ang isa sa mga karaniwang problema sa seguridad ay ang mga programang Trojan horse na tumatakbo sa panahon ng proseso ng boot ng Windows XP. Maaaring awtomatikong ilunsad ang programa sa isa sa mga sumusunod na paraan:

para sa isang naibigay na gumagamit; para sa lahat ng mga gumagamit;
  • susi Takbo(computer) registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run;
  • susi Takbo(user) registry key HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • susi RunServices. Ang pagkakaiba sa pagitan ng RunServices at Run lang ay kapag sinimulan mo ang isang programa sa RunServices key, ilulunsad ito bilang isang proseso ng serbisyo at bibigyan ng mas kaunting priyoridad na oras ng processor habang tumatakbo. Kapag inilunsad sa Run key, magsisimula ang programa gaya ng dati nang may normal na priyoridad;
  • mga folder Taga-iskedyul ng Gawain;
  • panalo.ini. Ang mga program na nagta-target ng 16-bit na bersyon ng Windows ay maaaring magdagdag ng mga linya tulad ng Load= at Run= sa file na ito;
  • mga susi RunOnce At RunOnceEx.
  • Isang pangkat ng mga registry key na naglalaman ng isang listahan ng mga program na isasagawa nang isang beses kapag nagsimula ang computer. Ang mga key na ito ay maaari ding nauugnay sa isang partikular na account para sa isang partikular na computer na HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software Microsoft\ Windows\CurrentVersion\RunOnceEx; patakaran ng grupo . Naglalaman ng dalawang patakaran (pinangalanan Paglulunsad ng mga programa kapag nag-log in ang user ). Natagpuan sa mga folder Computer Configuration > Windows Configuration > Administrative Templates > System > Logon (Computer configuration > Administrative Templates > System > Logon) at Configuration ng User > Configuration ng Windows > Administrative Templates > System > Logon
  • (Configuration ng user > Administrative Templates > System > Logon); mga script sa pag-login. Nako-customize Patakaran ng Grupo: Configuration ng Computer > Configuration ng Windows > Mga Script at Configuration ng User > Configuration ng Windows > Mga Script
  • (pag-login at pag-logout); file autoexec.bat
    • sa root directory ng boot disk. Ang lahat ng mga program na gusto mong patakbuhin mula dito ay dapat na isagawa sa totoong DOS mode, dahil ang pagpapatupad ng batch file na ito ay nangyayari bago ang graphical na shell ay na-load. Ginagamit ito upang kopyahin ang mga module ng advertising na tinanggal ng user sa Autorun mula sa isang nakatagong folder nang paulit-ulit. Upang i-configure ang listahan ng mga awtomatikong tinatawag na program, ang Windows XP ay may kasamang utility Setup ng system


    (System Configuration Utility) - Msconfig.exe. Ang utility na ito ay nagpapahintulot sa iyo na magpakita ng isang listahan ng lahat ng awtomatikong na-download na mga programa. Ang gumaganang window ng programa ay ipinapakita sa Fig.

    Msconfig working window

      Mga Setting ng Internet Explorer

      Internet Control Panel\Disable Security Page

      Mga offline na pahina\Huwag paganahin ang pagdaragdag ng mga channel

      Mga offline na pahina\Huwag paganahin ang pagdaragdag ng mga iskedyul para sa mga offline na pahina

      Offline Pages\Disable all schedules for offline pages

      Mga offline na pahina\Huwag paganahin ang channel UI

      Mga offline na pahina\Huwag paganahin ang pag-download ng nilalaman ng subscription

      Mga offline na pahina\Huwag paganahin ang pag-edit at paggawa ng mga bagong pangkat ng iskedyul

      Mga offline na pahina\Huwag paganahin ang pagbabago ng mga iskedyul para sa mga offline na pahina

      Mga offline na pahina \ Huwag paganahin ang pag-log ng mga hit sa mga offline na pahina

      Mga offline na pahina\Huwag paganahin ang pagtanggal ng mga channel

      Mga offline na pahina\Huwag paganahin ang pagtanggal ng mga iskedyul para sa mga offline na pahina

      Pagse-set up ng Outlook Express

      Huwag paganahin ang pagbabago ng mga pagpipilian sa Advanced na pahina

      Huwag paganahin ang pagbabago ng mga setting ng auto-tuning

      Huwag paganahin ang pagbabago ng mga setting ng certificate

      Huwag paganahin ang pagbabago ng mga setting ng koneksyon

      Huwag paganahin ang pagbabago ng mga setting ng proxy

      Huwag paganahin ang Internet Connection Wizard

      Pigilan ang AutoFill sa pag-save ng mga password

    Gusto kong irekomenda ang pagtatakda ng laki ng cache ng Internet Explorer sa pinakamababa: kung ang cache ay naglalaman ng libu-libong isang daang maliliit na file na may sukat na dalawa o tatlong kilobytes, kung gayon ang anumang antivirus ay gagana nang napakabagal kapag ini-scan ang folder na ito. Upang protektahan ang Internet Explorer mula sa mga "mapag-imbento" na mga user, maaari mong gamitin ang sumusunod: IExplorer: Itago ang Pangkalahatang Pahina mula sa Internet Properties Upang itago ang isang tab Heneral sa mga setting ng Internet Explorer, idagdag sa registry:
    "GeneralTab"=dword:1     IExplorer: Itago ang Security Page mula sa Internet Properties Upang itago ang isang tab Kapag na-off mo ang simpleng pagbabahagi, lalabas ang isang tab sa dialog box ng mga katangian ng anumang folder. sa mga setting ng Internet Explorer, dapat mong idagdag ang sumusunod sa registry:
    "SecurityTab"=dword:1     IExplorer: Itago ang Pahina ng Mga Programa mula sa Internet Properties Upang itago ang isang tab Mga programa sa mga setting ng Internet Explorer:
    "ProgramsTab"=dword:1     IExplorer: Itago ang Advanced na Pahina mula sa Internet Properties Upang itago ang isang tab Bukod pa rito, idagdag:
    "AdvancedTab"=dword:1     IExplorer: Itago ang Pahina ng Mga Koneksyon mula sa Internet Properties At sa wakas ay itago ang tab Mga koneksyon sa mga setting ng Internet Explorer, idagdag ang sumusunod sa registry:
    "ConnectionsTab"=dword:1     Pinoprotektahan ang iyong koneksyon sa Internet Upang matiyak ang seguridad kapag kumokonekta sa Internet, dapat mong:
    • buhayin ang Internet Connection Firewall o mag-install ng third-party na firewall;
    • huwag paganahin Serbisyo sa Pagbabahagi ng File at Printer para sa Microsoft Networks.

    Pag-activate ng firewall

      Bukas Control Panel > Mga Koneksyon sa Network;

      Mag-right-click sa koneksyon na gusto mong protektahan at pumili mula sa menu Mga Katangian;

      Pumunta sa tab na Advanced at lagyan ng check ang checkbox na Protektahan ang aking koneksyon sa Internet.

    Patakaran sa Paghihigpit sa Software

    Ang isang patakaran sa paghihigpit ng software ay nagpapahintulot sa isang administrator na tukuyin ang mga program na maaaring tumakbo sa lokal na computer. Pinoprotektahan ng patakaran ang mga computer na nagpapatakbo ng Microsoft Windows XP Professional mula sa mga kilalang salungatan at pinipigilan ang mga hindi gustong program, virus, at Trojan horse na tumakbo. Ang Patakaran sa Paghihigpit ng Software ay ganap na isinama sa Microsoft Active Directory at Group Policy. Maaari din itong gamitin sa mga standalone na computer.

    Tinutukoy muna ng administrator ang hanay ng mga application na pinapayagang tumakbo sa mga computer ng kliyente, at pagkatapos ay itinakda ang mga paghihigpit na ilalapat ng patakaran sa mga computer ng kliyente.

    Ang isang patakaran sa paghihigpit ng software sa orihinal nitong anyo ay binubuo ng isang default na antas ng seguridad para sa mga hindi pinaghihigpitan o tinanggihang mga setting at mga panuntunang tinukoy para sa isang GPO.

    Maaaring ilapat ang patakaran sa isang domain, mga lokal na computer, o mga user. Ang isang patakaran sa paghihigpit ng software ay nagbibigay ng ilang paraan upang tukuyin ang isang programa, pati na rin ang isang imprastraktura na nakabatay sa patakaran na nagpapatupad ng mga panuntunan para sa pagpapatakbo ng isang partikular na programa.

    Kapag nagpapatakbo ng mga program, dapat sumunod ang mga user sa mga alituntuning itinakda ng administrator sa Patakaran sa Paghihigpit ng Software.

    Ginagamit ang mga patakaran sa paghihigpit ng software upang gawin ang mga sumusunod:

      pagtukoy kung aling mga programa ang pinapayagang tumakbo sa mga computer ng kliyente;

      paghihigpit sa access ng user sa mga partikular na file sa mga computer na ibinahagi ng maraming user;

      pagtukoy sa lupon ng mga tao na may karapatang magdagdag ng mga pinagkakatiwalaang publisher sa mga computer ng kliyente;

      tukuyin ang epekto ng patakaran sa lahat ng mga user o mga user lamang sa mga computer ng kliyente;

      ipinagbabawal ang pagpapatupad ng mga executable na file sa lokal na computer, departamento, node, o domain.

    Ang arkitektura ng patakaran sa paghihigpit ng software ay nagbibigay ng isang hanay ng mga opsyon.

    Ang patakaran sa paghihigpit ng software ay nagpapahintulot sa isang administrator na tukuyin at kontrolin ang mga program na tumatakbo sa mga computer na nagpapatakbo ng Windows XP Professional sa loob ng isang domain. Posibleng gumawa ng mga patakarang humaharang sa pagpapatupad ng mga hindi awtorisadong script, higit pang ihiwalay ang mga computer, o pumipigil sa paggana ng mga application. Ang pinakamagandang opsyon para sa pamamahala ng mga patakaran sa paghihigpit ng software sa isang enterprise ay ang paggamit ng Mga Bagay sa Patakaran ng Grupo at iangkop ang bawat patakarang gagawin mo sa mga pangangailangan ng mga pangkat ng user at computer ng iyong organisasyon.

    Ang pagtatangkang pamahalaan ang mga pangkat ng mga user sa isang offline na kapaligiran ay hindi hinihikayat. Ang wastong aplikasyon ng mga patakaran sa paghihigpit ng software ay magreresulta sa pinabuting integridad, pamamahala, at sa huli ay pagbawas sa kabuuang halaga ng pagmamay-ari at suporta ng mga operating system sa mga computer ng isang organisasyon.

    Patakaran sa Password

    Ang paggamit ng mga kumplikadong password na regular na binabago ay binabawasan ang posibilidad na ma-hack ang mga ito. Ginagamit ang mga setting ng patakaran sa password upang matukoy ang antas ng pagiging kumplikado at tagal ng paggamit ng password. Inilalarawan ng seksyong ito ang lahat ng mga setting ng patakaran sa seguridad para sa Enterprise PC at High Security na mga kapaligiran.

    Gamitin ang Group Policy Editor upang i-configure ang naaangkop na mga setting ng Group Policy para sa domain.

    Higit pang impormasyon

      Para sa higit pang impormasyon tungkol sa pag-configure ng mga setting ng seguridad sa Microsoft Windows XP, inirerekomenda namin na suriin mo ang Mga Banta at Pagtutol: Gabay sa Mga Setting ng Seguridad sa Windows Server 2003 at Windows XP, na maaaring ma-download mula sa http://go.microsoft.com/fwlink/ ?Linkld=15159 .

    Konklusyon



    MGA KAUGNAY NA ARTIKULO