KnigaRead.com/
KnigaRead.com » Компьютеры и Интернет » Программное обеспечение » Питер Нортон - Полное руководство по Microsoft Windows XP

Питер Нортон - Полное руководство по Microsoft Windows XP

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Питер Нортон, "Полное руководство по Microsoft Windows XP" бесплатно, без регистрации.
Перейти на страницу:

Ниже рассматриваются три главные зоны защиты, которые поддерживает Windows XP: локальная, сетевая и Internet. Применяя каждое из этих трех колец защиты, вы можете быть уверены, что в вашей системе безопасности не останется крупных брешей.

Настройка локальных параметров безопасности

Основная защита начинается с локальной машины. После того как кто-нибудь получает доступ к вашему компьютеру, система защиты здесь находится в опасности. Например, «троян» способен инфицировать машину, предоставив взломщику несанкционированный доступ к ней. Машина как будто защищена, но хакер может входить в нее в любое время из зоны Internet или другого соединения. Опытные взломщики делают все это так, что вы ни о чем не будете подозревать. Ведь если вы знаете, что существует проблема, вы будете принимать меры, чтобы устранить ее. Профессиональные хакеры очень аккуратны: когда вы начинаете понимать, что появилась проблема, уже бывает слишком поздно.

...

Правило Питера Нортона: в каких случаях возникают условия для проникновения злоумышленников в систему?

Когда я посещаю сайт, чтобы дать консультацию по защите сетей, первый знак опасности, который я вижу, – уровень самонадеянности. Если кто-то считает, что взломщик не сможет проникнуть в его систему, я почти уверен, что злоумышленник найдет способ это сделать. Я могу также предсказать, что сетевой администратор даже не догадается о проникновении, пока кто-нибудь не привлечет его внимание.

Вы когда-нибудь думали о самой концепции программного обеспечения по защите сетей? Программист разрабатывает ПО, которое вы используете. Опытный взломщик, знакомый с такими принципами, способен взломать любое программное обеспечение. Все, что ему потребуется, – разгадать ход мыслей программиста при создании ПО и поразмыслить, как это обойти.

Итак, если вы не можете рассчитывать на программное обеспечение по защите сети, зачем оно вообще? Во-первых, ПО действует как прямое средство предупреждения пользователям, которые, по существу, честны и действительно не хотят проблем. Во-вторых, оно может вызвать затруднения даже у искусного взломщика – это даст вам время, чтобы отреагировать и предотвратить серьезные последствия. Наконец, хорошее программное обеспечение по поддержке безопасности сети предоставляет расширенные диагностические средства – и в случае, если система защиты не стала препятствием для взломщика, указанные средства позволят вам вовремя принять необходимые меры. Только в одном программное обеспечение не помогает: оно не в силах предотвратить проникновение взломщика вообще.

Предположите, что кто-то собирается взломать вашу систему. Как только вы это осознаете, начните искать бреши в защите. Качественное программное обеспечение поможет обнаружить промахи или несанкционированный вход (который может выражаться в нарушении чьей-либо нормальной структуры системного доступа или в необычном числе повторений пароля). К сожалению, поиск и анализ ошибок – единственный путь предотвращения повреждения системы.

Windows XP делает больше, чем предыдущие версии данной ОС, чтобы обеспечить безопасность ваших машин. И это несмотря на то, что пользователи Windows 9x, казалось, получили все преимущества новой системы, а пользователи Windows 2000 еще более выиграли от улучшенной локальной защиты. Одной из наиболее важных функций являются параметры настройки локальной политики безопасности. Настройка локальной защиты определяет, как Windows XP будет вести себя в данной ситуации. Если вы сообщаете системе, что каждый пользователь должен иметь пароль длиной не менее пяти символов, Windows XP делает эту установку обязательной.

...

Примечание

В отличие от Windows 9x, пользователи не смогут легко обходить политику защиты Windows XP. Если они отвергают такую политику, значит, сами хотят этого. В Windows 9x система защиты была слишком формальной; в Windows XP пользователь не сможет обойти защиту, просто оставляя окно входа в систему незаполненным или вводя другое имя: Windows XP разрешает вход только владельцам пароля.

Другой важной победой системы защиты Windows XP является улучшенная защита данных на томах NTFS. (Том – это часть жесткого диска, которая работает как отдельный диск.) Windows XP имеет более новую версию NTFS, чем Windows 2000. Эта новая версия включает расширенные возможности шифрованной файловой системы (Encrypted File Support – EFS). Например, когда вы шифровали файл под Windows 2000, только один пользователь мог открыть его. Версия NTFS для Windows XP позволяет многим пользователям совместно применять зашифрованный файл. Основные действия при работе с файловой системой NTFS не изменились, но некоторые функции защиты были модифицированы, чтобы реализовать требуемую политику и аудит более широко и квалифицированно (см. главу 13).

К сожалению, многие из этих преимуществ предлагаются только пользователям Windows XP Professional Edition. Пользователи Windows XP Home Edition имеют доступ к некоторым функциям, например надежной защите пароля, но не могут устанавливать другие опции, в частности систему EFS. Если вам необходимы средства защиты системы в полном объеме, инсталлируйте Windows XP Professional Edition.

...

Примечание

Важно учитывать уровень компетентности разных пользователей при обработке ими получаемой информации. Например, многие специалисты подвергли сомнению жизнеспособность такого средства, как Паспорт. ЫЕТ (Passport), – интерактивной базы данных зарегистрированных пользователей корпорации Microsoft. Люди, применяющие Паспорт. ЫЕТ, подвергаются опасности, потому что взломщики уже разработали способы получения доступа к их паспортным данным. Более подробная информация об этой проблеме приведена на сайте http://www.infoworld.com/articles/op/xml/01/09/10/010910opliyinqston.xml. Следовательно, хранение данных в местах, где вы не в состоянии физически защитить их от взлома, – рискованная вещь. Вы должны предпринять все возможные шаги, чтобы защитить свою частную информацию.

Теперь, когда вы знаете, какие средства защиты при реализации локальной политики безопасности может предложить Windows XP, рассмотрим программное средство, которое обычно управляет ими. Оснастка Локальные параметры безопасности (Local Security Settings snapin) на консоли управления MMC содержит большое количество параметров, которые изменяют способы доступа к вашей машине и любой присоединенной сети. Рис. 22.1 показывает, как выглядит эта оснастка. Вы найдете ее в папке Администрирование на панели управления, если дважды щелкнете по значку Локальная политика безопасности (Local Security Policy).

Рисунок 22.1. Оснастка Локальные параметры безопасности дает возможность изменять и машинные, и сетевые настройки

Как видите, программа встроенной локальной защиты делит настройки на функциональные зоны. Комбинация параметров определяет вашу локальную политику безопасности. Windows XP также поддерживает групповую политику безопасности. Администратор осуществляет эту политику на контроллере домена (основном сервере). Параметры настройки групповой политики отменяют локальные, так что локальное изменение настройки не гарантирует изменения в сети.

Политики учетных записей

Папка Политики учетных записей (Account Policies) задает доступ в систему для каждого пользователя. Она состоит из вложенных папок Политика паролей (Password Policy) и Политика блокировки учетной записи (Account Lockout Policy) – см. рис. 22.1. Можно рассматривать первую папку как средство предоставления доступа, а вторую – как средство отказа в доступе. Из всех папок, которые вы можете изменять, эти наиболее важные. Помните: лучший способ предотвратить разрушение системы заключается в том, чтобы не впустить туда взломщиков.

Папка Политика паролей содержит пункты, которые задают способ входа в систему для различных пользователей. Рис. 22.1 показывает настройки по умолчанию для этой папки. Как видите, средства, используемые по умолчанию, не очень многообещающие. Чтобы сделать условия доступа на компьютер более жесткими, включите опцию Требовать неповторяемости паролей (Password History), которая будет напоминать пользователям о периодической смене пароля. Я рекомендую задавать максимум 30 дней между заменами пароля. Однако, если вы работаете с секретными данными, не помешает даже еженедельная замена (можно, конечно, предложить и ежедневные замены, но они быстро измотают вас).

Одна настройка в папке Политика паролей особенно важна. Обратите внимание на опцию Пароль должен отвечать требованиям сложности (Password Must Meet Complexity Requirements). Включите ее, и пользователям придется выбрать уникальные пароли, содержащие три категории символов из четырех доступных: числа, прописные буквы, символы нижнего регистра и специальные символы. Когда вы добавляете это требование к минимальной длине пароля (по крайней мере, шесть символов), разгадать его станет еще труднее.

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*