Реферат Звіт з курсової роботи
| Вид материала | Реферат |
- Вимоги до курсової роботи з методики навчання іноземних мов І культур (2011рік) Загальна, 41.77kb.
- Критерії оцінювання якості виконання курсової роботи, 191.13kb.
- Методичні рекомендації щодо виконання курсової роботи 5 Структура І зміст курсової, 608.92kb.
- Методичні рекомендації для студентів спеціальності 03050901 «Бухгалтерський облік», 1826.99kb.
- Методичні рекомендація до написання курсової роботи з політекономії (економічній теорії), 237.18kb.
- Реферат тема курсової роботи «Міжнародна міграція робочої сили: суть, форми, види,, 334.71kb.
- Реферат текст курсової роботи 33 с., 33 джерела, 100.61kb.
- Реферат пояснювальна записка до курсової роботи, 495.62kb.
- Реферат об'єктом дослідження даної курсової роботи служить протокол динамічної маршрутизації, 654.46kb.
- Реферат об'єктом дослідження даної курсової роботи служить протокол динамічної маршрутизації, 552.98kb.
2.3.4 Виявлення системних файлів
Корисна функція — якщо тільки ваш комп'ютер не використовується виключно для ресурсоємних завдань типу ігор. Отже краще залишити її включеною. При цьому комп'ютер періодично створює зліпки критичних системних файлів (файли реєстру, Com+ база даних, профілі користувачів і так далі) і зберігає їх як точку відкоту. Якщо яке-небудь застосування знесе систему або якщо щось важливе буде зіпсовано, ви зможете повернути комп'ютер в попередній стан — до точки відкоту.
Ці крапки автоматично створюються службою Відновлення системи (System Restore) при виникненні деяких ситуацій типу установки нового застосування, оновлення Windows, установки непідписаного драйвера і тому подібне Точки відкоту можна створювати і уручну — через інтерфейс Відновлення системи (System Restore): Пуск > Програми > Стандартні > Службові > Відновлення системи (Start > Programs > Accessories > System Tools > System Restore).
Аналогічний результат можна отримати і за допомогою утиліти msconfig, яка запускається з режиму командного рядка або через Пуск > Виконати.
Відновлення системних файлів спирається на фонову службу, яка мінімально позначається на швидкодії і записує знімки, що віднімають частину дискового простору. Ви можете уручну відвести максимальний об'єм дискового простору для даної служби. Можна також повністю відключити службу для всіх дисків (поставивши галочку Відключити службу відновлення).
Оскільки служба відновлення системних файлів може впливати на результати тестових програм, то перед тестуванням її зазвичай відключають.
Автоматичне очищення диска:
Для проведення очищення жорсткого диска від непотрібних файлів використовується програма cleanmgr.exe. Ключі програми:
/d driveletter: — указує букву диска, яка очищатиметься;
/sageset: n — ця команда запускає майстер очищення диска і створює в реєстрі ключ для збереження параметрів. Параметр n може набувати значень від 0 65535;
/sagerun: n — використовується для запуску майстра очищення диска з певними параметрами, які були задані заздалегідь за допомогою попереднього ключа.
Для автоматизації цього процесу можна скористатися планувальником завдань.
Видалення "прихованих" компонентів:
В процесі установки Windows XP (на відміну від випадку з Windows 9*/nt) не передбачена можливість вибору необхідних компонентів. На мій погляд, це правильне рішення: спочатку слід встановити операційну систему зі всіма її чудасіями — а вже потім, попрацювавши з нею, вирішувати, що залишити, а від чого позбавитися.
Проте при цьому у вікні Add/remove Windows Components, яке присутнє в аплете Add or Remove Programs контрольній панелі, удалять-то практично нічого — багато з складових Windows приховані від пустотливих ручок не дуже досвідчених користувачів. Для вирішення цієї проблеми відкриваємо системну теку Inf (за умовчанням — C:\windows\inf), знаходимо там файл sysoc.inf, відкриваємо його і видаляємо у всіх його рядках слово HIDE. Головне при цьому — залишити незмінним формат файлу (тобто видаленню підлягає тільки HIDE, коми ж до і після цього слова чіпати не слід).
Для прикладу — початковий рядок і те, що повинне вийти:
msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7
msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,,7
Зберігаємо файл sysoc.inf, відкриваємо Add/remove Windows Components — і бачимо вже куди довший список, ніж той, що був спочатку. Правда, і в цьому випадку багато видалити не вийде. До речі, таким самим чином можна поступити і у випадку з Windows 2000.
2.3.5 Вікно компонентів Windows XP
Ви можете поставити резонне питання: а яке відношення має все це до безпеки?
По-перше, якщо у вашій організації існує корпоративна політика в області використання програмного забезпечення і в ній як поштовий клієнт вибраний, наприклад, The Bat! або поштовий клієнт Mozilla (Opera), то не варто залишати на комп'ютері наскрізь дірявий Outlook Express і вводити користувача в спокусу користуватися цим клієнтом.
По-друге, якщо у вас не прийнято використовувати службу миттєвих повідомлень, то Windows Messenger краще видалити.
І, нарешті, позбавтеся від просто непотрібних вам компонент. Менше невживаного ПО — менше можливостей використовувати його не за призначенням (а, отже, вільно або мимоволі завдати шкоди вашої організації).
2.3.6 Настройка автоматично виконуваних програм
Одна з типових проблем, пов'язаних з безпекою, це запуск програм типу "троянський кінь" в процесі завантаження Windows XP. Програма може бути запущена автоматично одним з наступних способів:
додавання в теку Автозавантаження для даного користувача;
додавання в теку Автозавантаження для всіх користувачів;
ключ Run (комп'ютера) ключ реєстру Hklm\software\microsoft\windows\currentversion\run;
ключ Run (користувача) ключ реєстру Hkcu\software\microsoft\windows\currentversion\run;
ключ Runservices. Різниця між Runservices і просто Run в тому, що при запуску програми в ключі Runservices вона буде запущена як обслуговуючий процес і при роботі їй буде виділено менше пріоритетного процесорного часу. При запуску ж в ключі Run програма запуститися як завжди з нормальним пріоритетом;
теки Планувальника завдань;
win.ini. Програми, призначені для 16-розрядних версій Windows, можуть додати рядки типу Load= і Run= цього файлу;
ключі Runonce і Runonceex. Група ключів реєстру, яка містить список програм, що виконуються одноразово у момент запуску комп'ютера. Ці ключі можуть відноситися і до конкретного облікового запису даного комп'ютера Hklm\software\microsoft\windows\currentversion\runonce Hklm\software\microsoft\windows\currentversion\runonceex Hkcu\software\microsoft\windows\currentversion\runonce Hkcu\software\microsoft\windows\currentversion\runonceex;
групова політика. Містить дві політику (з іменами Запуск програм при вході користувача в систему). Знаходяться в теках Конфігурація комп'ютера > Конфігурація Windows > Адміністративні шаблони > Система > Вхід в систему (Computer configuration > Administrative Templates > System > Logon) і Конфігурація користувача > Конфігурація Windows > Адміністративні шаблони > Система > Вхід в систему (User configuration > Administrative Templates > System > Logon);
сценарії входу в систему. Настроюються Групова політика: Конфігурація комп'ютера > Конфігурація Windows > Сценарії і Конфігурація користувача > Конфігурація Windows > Сценарії (входу в систему і виходу з системи);
файл autoexec.bat у кореневому каталозі завантажувального диска. Всі програми, які ви хочете запустити з нього, повинні виконуватися в реальному режимі DOS, оскільки виконання цього командного файлу відбувається до завантаження графічної оболонки. Використовується для того, щоб знову і знову копіювати в Автозапуск з прихованої теки рекламні модулі, які користувач видалив.
Для настройки списку програм, що автоматично викликаються, до складу Windows XP входить утиліта Настройка системи (System Configuration Utility) — Msconfig.exe. Ця утиліта дозволяє вивести список всіх автоматично завантажуваних програм.
2.3.7 Параметри Internet Explorer
Набудуйте рекомендовані параметри користувача для Internet Explorer в адміністративному шаблоні за вказаною адресою за допомогою редактора об'єктів групової політики.
Параметри користувача, що рекомендуються, для Internet Explorer (включені)
Меню оглядача \ Відключити параметр "Зберегти цю програму на диску"
Панель управління оглядачем \ Відключити сторінку "Додатково"
Панель управління оглядачем \ Відключити сторінку "Безпека"
Автономні сторінки \ Відключити додавання каналів
Автономні сторінки \ Відключити додавання розкладів для автономних сторінок
Автономні сторінки \ Відключити всі розклади для автономних сторінок
Автономні сторінки \ Повне відключення призначеного для користувача інтерфейсу каналів
Автономні сторінки \ Відключити завантаження вмісту підписки
Автономні сторінки \ Відключити редагування і створення нових груп розкладів
Автономні сторінки \ Відключити зміну розкладів для автономних сторінок
Автономні сторінки \ Відключити протоколювання звернень до автономних сторінок
Автономні сторінки \ Відключити видалення каналів
Автономні сторінки \ Відключити видалення розкладів для автономних сторінок
Настройка Outlook Express
Відключити зміну параметрів сторінки "Додатково"
Відключити зміну параметрів автонастроювання
Відключити зміну параметрів сертифікатів
В іключити зміну параметрів підключень
Відключити зміну параметрів проксі
Відключити майстер підключення до інтернету
Заборонити автозаповненню збереження паролів
Хотілося б рекомендувати розмір кеша Internet Explorer виставляти в мінімум: якщо в кеші тисяч сто дрібних файлів розміром в два-три кілобайти, то будь-який антивірус при скануванні даної теки працюватиме дуже поволі.
Для захисту Internet Explorer від "винахідливих" користувачів можна скористатися наступним:
Iexplorer: Hide General Page from Internet Properties
Щоб заховати вкладку Загальні в параметрах Internet Explorer'a, додайте в реєстр:
[Hkey_current_user\software\policies\microsoft\ Internet Explorer\control Panel]
"Generaltab"=dword:1
Iexplorer: Hide Securiry Page from Internet Properties
Щоб заховати вкладку Безпека в параметрах Internet Explorer'a, в реєстр слід додати:
[Hkey_current_user\software\policies\microsoft\ Internet Explorer\control Panel]
"Securitytab"=dword:1
Iexplorer: Hide Programs Page from Internet Properties
Щоб заховати вкладку Програми в параметрах Internet Explorer'a:
[Hkey_current_user\software\policies\microsoft\ Internet Explorer\control Panel]
"Programstab"=dword:1
Iexplorer: Hide Advanced Page from Internet Properties
Щоб заховати вкладку Додатково, додайте:
[Hkey_current_user\software\policies\microsoft\ Internet Explorer\control Panel]
"Advancedtab"=dword:1
Iexplorer: Hide Connections Page from Internet Properties
І, нарешті, щоб приховати вкладку Підключення в параметрах Internet Explorer'a, до реєстру внесіть:
[Hkey_current_user\software\policies\microsoft\ Internet Explorer\control Panel]
"Connectionstab"=dword: 1
А)Захист підключення до інтернету
Для забезпечення безпеки при підключенні до мережі Інтернет необхідно:
активізувати брандмауер підключення до інтернету (Internet Connection Firewall) або встановити брандмауер третіх фірм;
відключити Службу доступу до файлів і принтерів мереж Microsoft.
Б)Активація брандмауера
Відкрийте Панель управління > Мережеві підключення;
клацніть правою кнопкою миші на з'єднанні, яке ви хотіли б захистити, і виберіть з меню пункт Властивості;
перейдіть на вкладку Додатково, поставте галочку Захистити моє підключення Інтернет.
В)Політика обмеженого використання програм
Політика обмеженого використання програм дозволяє адміністраторові визначити програми, які можуть бути запущені на локальному комп'ютері. Політика захищає комп'ютери під управлінням Microsoft Windows XP Professional від відомих конфліктів і запобігає запуску небажаних програм, вірусів і "троянських коней". Політика обмеженого використання програм повністю інтегрована з Microsoft Active Directory і груповою політикою. Її можна використовувати також на автономних комп'ютерах.
Адміністратор спочатку визначає набір додатків, які дозволяється запускати на клієнтських комп'ютерах, а потім встановлює обмеження, які застосовуватимуться політикою до клієнтських комп'ютерів.
Політика обмеженого використання програм в початковому вигляді складається із заданого за умовчанням рівня безпеки для необмежених або заборонених параметрів і правил, визначених для об'єкту групової політики.
Політика може застосовуватися в домені, для локальних комп'ютерів або користувачів. Політика обмеженого використання програм передбачає декілька способів визначення програми, а також інфраструктура на основі політики, що забезпечує застосування правил виконання певної програми.
Запускаючи програми, користувачі повинні керуватися принципами, встановленими адміністратором в політиці обмеженого використання програм.
Політики обмеженого використання програм застосовуються для виконання наступних дій:
визначення програм, дозволених для запуску на клієнтських комп'ютерах;
обмеження доступу користувачів до конкретних файлів на комп'ютерах, на яких працює декілька користувачів;
визначення коло, мають право додавати до клієнтських комп'ютерів довірених видавців осіб;
визначення впливу політики на всіх користувачів або тільки користувачів на клієнтських комп'ютерах;
заборона запуску виконуваних файлів на локальному комп'ютері, в підрозділі, вузлі або домені.
Політика обмеженого використання програм дозволяє адміністраторові визначати і контролювати програми, що запускаються на комп'ютерах під управлінням Windows XP Professional в рамках домена. Можливе створення політик, які блокують виконання несанкціонованих сценаріїв, що додатково ізолюють комп'ютери або що перешкоджають запуску додатків. Оптимальним варіантом для управління політикою обмеженого використання програм на підприємстві є використання об'єктів групової політики і адаптація кожної створеної політики до вимог груп користувачів і комп'ютерів організації.
3. Реалізація рекомендованих параметрів безпеки на досліді
У попередніх розділах ми розглянули процес створення і настроювання мережі, і розглянули захист цієї операційної системи. Однак усе сімейство операційних систем NT розроблялося саме для забезпечення захисту, тому відповідні архітектурні елементи присутні в Windows XP Professional.
Windows XP Professional на відміну від деяких інших ОС вимагає наявності облікового запису для користувача до виконання будь-яких операцій на ПК. В інших ОС теж потрібно вводити пароль, але це пароль доступу до мережі, а не до операційної системи.
Облікові записи — невід'ємна частина Windows XP Professional, що надає великі можливості. Припустимо, користувачі Петро та Павло спільно використовують один комп'ютер. У Windows XP Professional можна зробити так, що Павло ніколи не отримає доступу до папок користувача Петра і навпаки.
Крім того, доступ до файлів і папок можна обмежити на основі повноважень. У Windows XP Professional дозволено застосування файлових систем FAT, FAT32 або NTFS. У кожній із двох файлових систем FAT ми отримуємо тільки обмежені можливості по управлінню доступом до файлів і папок, але в NTFS забезпечується повноцінне управління доступом як до файлів локального комп'ютера, так і до файлів у мережі.
У цьому розділі ми обговоримопитання створення облікового запису користувача, а також встановлення повноважень для доступу до спільних ресурсів, файлів і папок.
3.1 Облікові записи користувачів у Windows XP Professional
У Windows XP Professional необхідно створити обліковий запис користувача до того, як він отримає доступ до робочої станції, причому на відміну від Windows 9х до входу в систему заборонені будь-які операції.
Якщо ж комп'ютер Windows XP Professional входить у мережу клієнт/сервер, то доступні два типи облікових записів: локальні і доменні. Обліковий запис у домені визначає доступ до мережних ресурсів, для яких у користувача є повноваження. Звичайно такі облікові записи формуються адміністратором мережного сервера і зберігаються в спеціальному каталозі на сервері, яким може бути Active Directory (активний каталог) або каталог домена Windows NT.
Локальний обліковий запис діє тільки на локальний комп'ютер і зберігається в базі даних SAM (Security Accounts Manager, менеджер облікових записів безпеки, або просто менеджер безпеки). Такий обліковий запис формується в аплеті Користувачі і паролі (Users and Passwords), що ми розглянемо нижче.
Далі ми будемо обговорювати тільки локальні облікові записи користувачів, а адміністраторам мережних доменів (яким необхідно знати правила формування доменних облікових записів) рекомендуємо звернутися до книги: Майнази М., Андерсон К., Смит Б., Тумбі Д. Windows 2000 Server. M., Лорі, 2000.).
Спочатку потрібно обговорити типи облікових записів у системі Windows XP Professional. Є дві широкі категорії: користувачі і групи. Обліковий запис користувача ідентифікує окремого користувача системи по його імені і паролеві. Обліковий запис групи містить інші облікові записи і дозволяє «оптом» привласнити всім цим записам визначений набір привілеїв.
3.1.1 Типи користувачів
Існує три типи облікових записів користувачів:
1) Адміністратор комп'ютера (Computer Administrator). Цей обліковий запис дає повні і необмежені права на управління комп'ютером. Вона створюється під час установлення Windows XP Professional і не може бути вилучена із системи. Для створення нового облікового запису, зміни володіння файлами або об'єктами, встановлення ПО для всіх користувачів і т.д. потрібно ввійти в систему як Адміністратор комп'ютера (Computer Administrator).
2) Користувач з обмеженими правами (Limited). Цей обліковий запис призначений для звичайних і постійних користувачів комп'ютера, яким дозволено встановлювати ПО й обладнання або змінювати власне реєстраційне ім'я. Кожна людина з цим обліковим записом може змінити власний пароль і вхідну заставку системи.
3) Гість (Гость або Guest). Цей вбудований обліковий запис дозволяє ввійти в систему навіть тим користувачам, які не мають спеціально призначеного облікового запису. Для такого облікового запису не потрібний пароль, причому за замовчуванням сам цей обліковий запис відключений (і дозволяти його не рекомендується). Якщо необхідно надавати систему випадковим відвідувачам організації, краще щораз створювати окремий обліковий запис, який видаляється відразу після використання.
Група поєднує кілька облікових записів (у цьому її призначення). У групи адміністратор комп'ютера збирає користувачів з однаковими привілеями. За замовчуванням будь-яка система Windows XP Professional містить наступні вбудовані групи:
Адміністратори (Администраторы або Administrators). Дозволено будь-які операції на комп'ютері, заборонені всім іншим групам, наприклад завантаження і видалення драйверів пристроїв, управління аудитом безпеки або присвоювання власників файлам і пристроям.
- Оператори архіву (Операторы архива або Backup Operators). Дозволено реєстрацію на комп'ютері і виконання операцій резервного копіювання або відновлення. Однак членам цієї групи доступні не всі операції адміністрування. Оператори архіву можуть виключити систему, але не здатні змінити параметри безпеки.
- Гості (Гости або Guests). Мінімальний рівень доступу до мережних ресурсів, але з точки зору захисту краще не створювати цю групу.
- Оператори настроювання мережі (Операторы настройки сети або Network Configuration Operators). Можуть керувати мережною конфігурацією з адміністративним рівнем доступу. Членам цієї групи недоступні всі операції адміністрування, але вони можуть змінити характеристики мережного підключення або підключення, що комутується.
- Досвідчені користувачі (Опытные пользователи або Power Users). У них більші повноваження: вони можуть створювати новий принтер або спільні ресурси, змінювати системний час, їм дозволяється вимикання по команді іншої системи або зміна пріоритетів процесів. Але вони не можуть виконувати операції резервного копіювання, завантаження і вивантаження драйверів пристроїв або зміни власника.
- Користувачі віддаленного робочого столу (Remote Desktop Users). Отримують право на віддалений вхід у систему.
- Реплікатори (Репликаторы або Replicator). Мають право на дозвіл прийому файлів реплікації від серверів.
- Користувачі (Пользователи або Users). Здатні запускати програми й отримувати доступ до даних на комп'ютері, виключати ОС або звертатися по мережі до даних на інших комп'ютерах, але їм заборонено створювати спільні ресурси і локальні принтери.
- HelpServicesGroup (Група довідкової служби). Дістають права на доступ до Центра довідки і підтримки (Help and Support Center).
- IIS_WPG (Internet Information Services Worker Process Group (Група співробітників для роботи із сервером IIS). Ця група з'являється тільки після встановлення веб-сервера IIS. Члени групи отримують право на управління сервером IIS (причому тільки службами цього сервера, але не опублікованим на ньому інформаційним умістом).
3.2 Права користувачів
Права користувача — невід'ємна частина системи захисту Windows XP Professional. Розходження між адміністраторами і звичайними користувачами полягає в складі дозволених операцій. Наприклад, адміністратор може створити обліковий запис нового користувача, але це не здатний зробити звичайний користувач. В термінології Windows XP Professional дозвіл на виконання операції називається правом (right).
Подивимося, які права отримують у Windows XP Professional різні категорії користувачів:
- У Панелі управління (Панель управления або Control Panel) натисніть Продуктивність і обслуговування (Производительность и обслуживание або Performance and Maintenance), потім Адміністрування (Администрирование або Administrative Tools) і далі Локальна політика безпеки (Локальная политика безопасности або Local Security Policy) для відкриття вікна Локальні параметри безпеки (Локальные параметры безопасности або Local Security Settings).
Рис.1
- В панелі Параметри безпеки (Параметры безопасности або Security Settings) розкрийте значок Локальні політики (Локальные политики або Local Policies), потім натисніть Призначення прав користувача (Назначение прав пользователя або User Rights Assignment) – на панелі праворуч з'явиться список прав користувачів:
Рис.2