21307

Центр обеспечения безопасности (Windows Security Center) в операционной системе Windows XP SP2

Лекция

Информатика, кибернетика и программирование

Лекция: Центр обеспечения безопасности Windows Security Center в операционной системе Windows XP SP2 В этой лекции будет рассмотрен Центр обеспечения безопасности Windows Windows Security Center входящий в состав Windows XP SP2. С помощью этого инструмента пользователь имеет возможность не только контролировать состояние перечисленных выше компонентов но и получать рекомендации по устранению возникающих с этими компонентами проблем В этом занятии будет рассмотрен Центр обеспечения безопасности Windows Windows Security Center входящий...

Русский

2013-08-02

1.16 MB

5 чел.

4. Лекция: Центр обеспечения безопасности (Windows Security Center) в операционной системе Windows XP SP2

В этой лекции будет рассмотрен "Центр обеспечения безопасности Windows" (Windows Security Center), входящий в состав Windows XP SP2. Он разработан компанией Microsoft для автоматической проверки состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). С помощью этого инструмента пользователь имеет возможность не только контролировать состояние перечисленных выше компонентов, но и получать рекомендации по устранению возникающих с этими компонентами проблем

В этом занятии будет рассмотрен "Центр обеспечения безопасности Windows" (Windows Security Center), входящий в состав Windows XP SP2. Он разработан компанией Microsoft для автоматической проверки состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). С помощью этого инструмента пользователь имеет возможность не только контролировать состояние перечисленных выше компонентов, но и получать рекомендации по устранению возникающих с этими компонентами проблем [[24]].

Прежде всего Для изучения материалов этого занятия необходим один компьютер под управлением операционной системы Windows XP Professional SP2 с настройками по умолчанию.

Для выполнения лабораторных работ необходимо два компьютера под управлением операционной системы Windows XP Professional SP2 с настройками по умолчанию.

4.1. Введение

Если ваш компьютер подключен к компьютерной сети (неважно, Интернет это или Интранет), то он уязвим для вирусов, атак злоумышленников и других вторжений. Для защиты компьютера от этих опасностей необходимо, чтобы на нем постоянно работали межсетевой экран (брандмауэр) и антивирусное ПО (с последними обновлениями) [[25]]. Кроме того, необходимо, чтобы все последние обновления были также установлены на вашем компьютере.

Не каждый пользователь может постоянно следить за этим. Не каждый пользователь знает, как это осуществить. И даже если пользователь компетентен в этих вопросах, у него просто может не хватать времени на такие проверки. Компания Microsoft позаботилась обо всех этих пользователях, включив в состав SP2 для Windows XP такой инструмент. Он называется "Центр обеспечения безопасности Windows" (Windows Security Center) (рис. 4.1).

Рис. 4.1.  Центр обеспечения безопасности Windows

Основное назначение этого инструмента - информировать и направлять пользователя в нужном направлении. Во-первых, он постоянно контролирует состояния трех основных компонентов ОС (брандмауэр, антивирус, система автоматического обновления). Если параметры любого из этих компонентов не будут удовлетворять требованиям безопасности компьютера, то пользователь получит соответствующее уведомление. Например, на рис. 4.2 представлено одно из таких уведомлений.

Рис. 4.2.  Оповещение

Во-вторых, при открытии "Центра обеспечения безопасности Windows" пользователь может не только получить конкретные рекомендации о том, как исправить сложившуюся ситуацию, но также узнать, где находятся другие настройки, связанные с безопасностью компьютера, и где на сайте Microsoft можно прочитать дополнительную информацию по обеспечению безопасности.

Необходимо сразу отметить, что при подключении компьютера к домену в "Центре обеспечения безопасности Windows" не отображаются сведения о состоянии безопасности компьютера (рис. 4.3) и не выполняется отправка сообщений безопасности. Считается, что в этом случае параметрами безопасности должен управлять администратор домена [[26]].

Чтобы включить "Центр для обеспечения безопасности Windows" для компьютера, входящего в состав домена, необходимо в групповой политике домена включить параметр "Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Центр обеспечения безопасности, Включить "Центр обеспечения безопасности" (только для компьютеров в домене)".

Рис. 4.3.  Центр обеспечения безопасности Windows

4.2. Параметры безопасности Windows

Чтобы открыть "Центр обеспечения безопасности Windows", нажмите кнопку "Пуск", выберите команду "Панель управления", затем дважды щелкните на значок "Центр обеспечения безопасности" (рис. 4.4).

Рис. 4.4.  Значок

Окно Центра обеспечения безопасности Windows можно условно разделить на три части (рис. 4.5):

Рис. 4.5.  Центр обеспечения безопасности

Ресурсы. Здесь располагаются ссылки для перехода к Интернет-ресурсам, ко встроенной в Windows справочной службе и к окну настройки параметров оповещений.

Компоненты безопасности. Здесь располагаются информационные элементы трех основных компонентов безопасности: брандмауэр, автоматическое обновление, антивирусная защита.

Параметры безопасности. Здесь располагаются кнопки перехода к настройкам безопасности следующих компонентов: обозреватель Internet Explorer, автоматическое обновление, брандмауэр Windows.

Рассмотрим эти части более подробно.

4.2.1. Ресурсы

В разделе 1 (см. рис. 4.5-1) первые три ссылки предназначены для перехода на соответствующие страницы на сайте Microsoft. Предпоследняя ссылка предназначена для открытия справочной службы Windows на странице "Общие сведения о центре обеспечения безопасности Windows". Последняя ссылка предназначена для открытия окна "Параметры оповещений" (рис. 4.6).

Рис. 4.6.  Параметры оповещений

Если на компьютере установлен брандмауэр и антивирусное ПО, не определяемое Центром обеспечения безопасности, вы можете отключить соответствующие оповещения (см. рис. 4.6).

4.2.2. Компоненты безопасности

В разделе 2 (см. рис. 4.5-2) каждое информационное табло сообщает о состоянии соответствующего компонента. На рис. 4.7 представлены возможные состояния.

Рис. 4.7.  Состояния информационных табло

Состояния A-C понятны без комментариев. Состояние D - "Не найдено" - соответствует невозможности определить присутствие соответствующего ПО (например, антивирус или брандмауэр). Состояние E - "Срок истек" - возможно для антивирусной защиты, когда обновления антивирусных баз устарели. Состояние F - "Не наблюдается" - соответствует отключенному контролю над соответствующим компонентом.

Как указано в [[24]], Центром обеспечения безопасности применяется двухуровневый подход к определению состояния компонентов:

Проверка содержимого реестра и файлов со сведениями о состоянии ПО (Microsoft получает перечень файлов и параметров реестра от производителей ПО).

Сведения о состоянии ПО передаются от установленных программ средствами инструментария WMI (Windows Management Instrumentation - Инструментарий управления Windows).

На рис. 4.8 представлено одно из возможных состояний компонента "Брандмауэр". Нажав кнопку "Рекомендации…", вы получите возможность либо включить брандмауэр (рис. 4.9, кнопка "Включить сейчас"), либо отключить наблюдение за состоянием этого компонента (рис. 4.9, параметр "Я самостоятельно устанавливаю и слежу за брандмауэром").

Рис. 4.8.  Состояние "Брандмауэра"

Рис. 4.9.  Рекомендация

После нажатия кнопки "Включить сейчас" (см. рис. 4.9), если брандмауэр Windows будет успешно запущен, на экране появится соответствующее сообщение (рис. 4.10).

Рис. 4.10.  Сообщение

На рис. 4.11 представлено одно из возможных состояний компонента "Автоматическое обновление". Нажав кнопку "Включить автоматическое обновление", вы задействуете рекомендуемый компанией Microsoft режим работы системы "Автоматическое обновление" (рис. 4.12). Подробнее о настройках "Автоматического обновления" вы можете прочитать в разделе 4.4.

Рис. 4.11.  Состояние "Автоматического обновления"

Рис. 4.12.  Автоматическое обновление

Обратите внимание, что в зависимости от выставленного режима работы "Автоматического обновления" (см. рис. 4.12) в окне "Центра обеспечения безопасности" указывается краткое описание этого режима.

На рис. 4.13 представлено одно из возможных состояний компонента "Защита от вирусов". Нажав кнопку "Рекомендации…", вы получите лаконичные указания (рис. 4.14): "включить антивирусную программу" (если она выключена), "установить другую антивирусную программу". В этом окне вы можете отключить наблюдение за состоянием этого компонента (параметр "Я самостоятельно устанавливаю и слежу за антивирусом").

Рис. 4.13.  Состояние "Защиты от вирусов"

Рис. 4.14.  Рекомендация

4.2.3. Параметры безопасности

Как уже было указано ранее, в разделе 3 (см. рис. 4.5-3) расположены кнопки перехода к настройкам безопасности следующих компонентов: обозреватель Internet Explorer, автоматическое обновление, брандмауэр Windows.

Нажав кнопку , вы попадете на закладку "Безопасность" в окне настроек обозревателя Internet Explorer (рис. 4.15). Подробнее об этих параметрах вы можете прочитать в разделе 4.3.

Рис. 4.15.  Настройки Internet Explorer

Нажав кнопку , вы откроете окно настроек "Автоматического обновления" (см. рис. 4.12). Подробнее о них вы можете прочитать в разделе 4.4.

Нажав кнопку , вы попадете в соответствующее окно настроек (рис. 4.16). Подробнее об этих настройках вы можете прочитать в разделе 4.5.

Рис. 4.16.  Настройки Брандмауэра Windows

В Windows XP SP2 для обозначения настроек, касающихся безопасности (см. например, рис. 4.16), а также при оповещениях о состоянии безопасности компьютера (см. например, рис. 4.2) используются следующие значки [[26]]:

- Означает важные сведения и параметры безопасности.

- Оповещает о потенциальном риске нарушения безопасности.

- Ситуация более безопасна. На компьютере используются рекомендуемые настройки безопасности.

- Предупреждение: ситуация потенциально опасна. Измените настройки параметров безопасности, чтобы повысить безопасность компьютера.

- Использовать текущие настройки параметров безопасности не рекомендуется.

4.3. Свойства обозревателя

Как уже указывалось ранее, нажав кнопку  в "Центре обеспечения безопасности Windows", вы попадете в окно настроек обозревателя Internet Explorer на закладку "Безопасность" (рис. 4.17).

Рис. 4.17.  Настройки безопасности Internet Explorer

Рассмотрим параметры, доступные на этой закладке. В верхней части расположены четыре зоны: Интернет, Местная интрасеть, Надежные узлы, Ограниченные узлы. В табл. 4.1 дано описание для каждой зоны.

Таблица 4.1. Описание зонЗона Какие узлы может содержать зона

Интернет Содержит все веб-узлы, которые не помещены в другие зоны

Местная интрасеть Может содержать указанные вами узлы. Может содержать все узлы интрасети, не перечисленные в других зонах, все узлы, подключаемые минуя прокси-сервер, все сетевые пути (UNC)

Надежные узлы Может содержать указанные вами узлы

Ограниченные узлы Может содержать указанные вами узлы

Для всех зон, кроме зоны "Интернет", вы можете определить входящие в зону узлы. Для этого необходимо выбрать нужную зону (см. рис. 4.17) и нажать кнопку "Узлы...". Для зоны "Местная интрасеть" в этом случае откроется окно, представленное на рис. 4.18. Если вы хотите указать конкретные узлы, нажмите кнопку "Дополнительно…". В результате появится окно, представленное на рис. 4.19. Аналогичное окно будет открыто, если вы будете определять узлы, входящие в зоны "Надежные узлы" и "Ограниченные узлы". Только для зоны "Ограниченные узлы" будет отсутствовать параметр "Для всех узлов этой зоны требуется проверка серверов (https:)".

Рис. 4.18.  Местная интрасеть

Рис. 4.19.  Задание конкретных узлов

Каждой зоне можно присвоить нужный уровень безопасности: высокий, средний, ниже среднего, низкий. Низкий уровень безопасности соответствует минимальной защите и применяется для узлов, которым вы полностью доверяете.

Выберите нужную зону (см. рис. 4.17) и нажмите кнопку "По умолчанию". Закладка "Безопасность" изменит свой вид (рис. 4.20). В нижней части окна вы можете определить нужный уровень безопасности. Если вы не хотите использовать предлагаемые уровни безопасности, вы можете нажать кнопку "Другой…" и определить все параметры безопасности самостоятельно (рис. 4.21).

Рис. 4.20.  Настройки безопасности Internet Explorer

Рис. 4.21.  Параметры безопасности

Описанные выше настройки безопасности обозревателя Internet Explorer также доступны через групповую политику (Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Internet Explorer, Панель управления обозревателем, Страница безопасности).

4.4. Автоматическое обновление

Как уже указывалось ранее, нажав кнопку  в "Центре обеспечения безопасности Windows", вы откроете окно настроек "Автоматического обновления" (рис. 4.22).

Рис. 4.22.  Параметры автоматического обновления

Встроенная в Windows XP справочная система очень подробно описывает систему автоматического обновления. Для того чтобы воспользоваться этой справкой, щелкните по надписи "Как работает автоматическое обновление?" (см. рис. 4.22). Остановимся только на некоторых моментах.

Во-первых, необходимо различать понятия "загрузка" и "установка" обновлений. Загрузка означает процесс передачи файлов обновлений с сервера Microsoft (или с внутреннего сервера обновлений в организации) на компьютер пользователя. Установка обозначает собственно процесс инсталляции обновлений на компьютере пользователя. Возможна ситуация, когда обновления загружены на пользовательский компьютер, но еще не установлены.

Во-вторых, если вы выбрали вариант "Автоматически" (см. рис. 4.22), то обновления будут загружаться и устанавливаться в указанное вами время. Если компьютер в указанное время всегда выключен, то установка обновлений никогда не выполнится. При регистрации на компьютере пользователь с правами локального администратора может запустить установку вручную, не дожидаясь запланированного времени. При наступлении запланированного времени пользователю будет выдано соответствующее предупреждение о начале установки обновлений. Если в этот момент в системе работает администратор, у него будет возможность отложить установку до следующего запланированного времени. У других пользователей (без прав администратора) возможности отменить запланированную установку обновлений не будет [[23]].

Во всех остальных случаях (кроме варианта "отключить автоматическое обновление") уведомления о существующих обновлениях для вашего компьютера (готовых к загрузке или к установке) будут появляться только при регистрации на вашем компьютере пользователя с правами локального администратора. Таким образом, если на компьютере вы постоянно работаете с учетной записью, не входящей в группу локальных администраторов, то установка обновлений никогда не выполнится.

Описанные выше настройки автоматического обновления также доступны для настройки через групповую политику (Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Windows Update). Кроме того, только через групповую политику можно задать дополнительные параметры. Например, можно указать адрес внутреннего сервера обновлений, который централизованно получает обновления с серверов Microsoft и отдает их внутренним компьютерам организации. В качестве примера такого сервера можно привести Microsoft® Windows Server™ Update Services (WSUS).

4.5. Брандмауэр Windows

Как уже указывалось ранее, нажав кнопку  в "Центре обеспечения безопасности Windows", вы откроете окно настроек "Брандмауэра Windows" (рис. 4.23).

Рис. 4.23.  Настройки Брандмауэра Windows

Если вы щелкните по надписи "Подробнее о брандмауэре Windows" (см. рис. 4.23), то сможете прочитать краткую информацию о возможностях брандмауэра (межсетевого экрана), входящего в состав Windows XP SP2. Нет необходимости повторять эту информацию здесь.

Отметим лишь, что, в отличие от продуктов других производителей, встроенный брандмауэр Windows предназначен только для контроля входящего трафика, т.е. он защищает компьютер только от внешних вторжений. Он не контролирует исходящий трафик вашего компьютера. Таким образом, если на ваш компьютер уже попал троянский конь или вирус, которые сами устанавливают соединения с другими компьютерами, брандмауэр Windows не будет блокировать их сетевую активность.

Кроме того, по умолчанию брандмауэр защищает все сетевые соединения, и запрос входящего эха по протоколу ICMP запрещен. Это означает, что если на компьютере включен брандмауэр Windows, то проверять наличие такого компьютера в сети с помощью команды PING - бессмысленное занятие.

Очень часто в организациях, где используется программное обеспечение, требующее разрешения входящих соединений на пользовательские компьютеры, возникает необходимость открыть некоторые порты на компьютерах с установленной Windows XP SP2. Для решения этой задачи необходимо задать исключения в настройках брандмауэра Windows. Существует два способа решить эту задачу [[27]]:

Можно задать исключение, указав программу, требующую входящие соединения. В этом случае брандмауэр сам определит, какие порты необходимо открыть, и откроет их только на время выполнения указанной программы (точнее, на время, когда программа будет прослушивать этот порт).

Можно задать исключение, указав конкретный порт, по которому программа ожидает входящие соединения. В этом случае порт будет открыт всегда, даже когда эта программа не будет запущена. С точки зрения безопасности этот вариант менее предпочтителен.

Существует несколько способов задать исключение в настройках брандмауэра Windows [[28]]. Можно воспользоваться графическим интерфейсом (рис. 4.24). Этот вариант достаточно подробно освещен в Центре справки и поддержки Windows XP SP2. Можно использовать доменную групповую политику. Этот вариант предпочтителен при большом количестве компьютеров в организации. Рассмотрим его более подробно.

Рис. 4.24.  Закладка Исключения

Параметры Брандмауэра Windows в групповой политике размещаются в узле "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows".

При настройке через групповую политику вам необходимо настроить два профиля [[28]]:

Профиль домена. Настройки этого профиля используются, когда компьютер подключен к сети, содержащей контроллер домена организации.

Стандартный профиль. Настройки этого профиля применяются, когда компьютер не подключен к сети, содержащей контроллер домена организации. Например, если ноутбук организации используется в командировке и подсоединен к Интернету через Интернет-провайдера. В этом случае настройки брандмауэра должны быть более строгими по сравнению с настройками доменного профиля, так как компьютер подключается к публичной сети, минуя межсетевые экраны своей организации.

Рассмотрим, как задать исключения для программы и для заданного порта. В качестве конкретного примера возьмем обращение Сервера администрирования Kaspersky Administration Kit к компьютеру, на котором установлен Агент администрирования, для получения информации о состоянии антивирусной защиты (подробнее см. лекцию 5). В этом случае необходимо, чтобы на клиентском компьютере был открыт порт UDP 15000 или разрешен прием входящих сообщений программой "C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe".

4.5.1. Создание исключения для программы

Настроим параметры групповой политики так, чтобы брандмауэр всегда работал, но пропускал входящие соединения для программы "C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe". Укажем также, что эта программа будет принимать входящие соединения только с адреса 192.168.0.1.

Для этого необходимо изменить параметры (табл. 4.2), расположенные в узле "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Профиль домена". Параметры, не указанные в этой таблице, могут иметь состояние "Не задана".

Таблица 4.2. Параметры групповой политикиПараметр Состояние

Брандмауэр Windows: Защитить все сетевые подключения Включена

Брандмауэр Windows: Не разрешать исключения Отключена

Брандмауэр Windows: Задать исключения для программ Включена. %programfiles%\Kaspersky Lab\NetworkAgent\klnagent.exe:192.168.0.1:enabled:KasperskyAgent

Формат задания исключения для программ следующий [[28]]:

ProgramPath:Scope:Enabled|Disabled:ApplicationName

где ProgramPath - путь к программе и имя файла,

Scope - один или несколько адресов, разделенных запятыми (например, "*" - все сети (кавычки не указываются); 192.168.0.1 - один адрес; 192.168.10.0/24 - подсеть; "localsubnet" - локальная подсеть),

Enabled|Disabled - состояние исключения (включено или выключено),

ApplicationName - описание исключения (текстовая строка).

После применения этих параметров (см. табл. 4.2) окно настроек брандмауэра будет выглядеть так (рис. 4.25). Обратите внимание на надпись "Некоторые параметры управляются групповой политикой".

Рис. 4.25.  Закладка "Общие"

Как видно на рисунке, настройки брандмауэра теперь закрыты для изменения локальным пользователям (в том числе с правами администратора). На рис. 4.26 представлена закладка "Исключения", на которой отмечено значение, добавленное групповой политикой домена.

Рис. 4.26.  Закладка "Исключения"

4.5.2. Создание исключения для порта

Настроим параметры групповой политики так, чтобы брандмауэр всегда работал, но пропускал входящие соединения с адреса 192.168.0.1 на порт UDP 15000.

Для этого необходимо изменить параметры (табл. 4.3), расположенные в узле "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Профиль домена". Параметры, не указанные в этой таблице, могут иметь состояние "Не задана".

Таблица 4.3. Параметры групповой политикиПараметр Состояние

Брандмауэр Windows: Защитить все сетевые подключения Включена

Брандмауэр Windows: Не разрешать исключения Отключена

Брандмауэр Windows: Задать исключения для портов Включена. 15000:UDP:192.168.0.1:enabled:Kaspersky Agent Port

Формат задания исключения для программ следующий [[28]]:

Port#:TCP|UDP:Scope:Enabled|Disabled:PortName

где Port# -номер открываемого порта,

TCP|UDP - тип порта,

Scope - один или несколько адресов, разделенных запятыми (например, "*" - все сети (кавычки не указываются); 192.168.0.1 - один адрес; 192.168.10.0/24 - подсеть; "localsubnet" - локальная подсеть),

Enabled|Disabled - состояние исключения (включено или выключено),

PortName - описание исключения (текстовая строка).

4.6. Лабораторная работа. Настройка брандмауэра

В этой лабораторной работе вы выполните настройку брандмауэра с помощью групповой политики и проверите его работу. В целях минимизации предварительных требований для выполнения работ будет использоваться групповая политика "Локальный компьютер". Компьютер client02 входит в рабочую группу (т. е. не введен в домен). Компьютер client01 может входить в рабочую группу или быть включенным в домен.

Предварительные требования

Для выполнения данной работы необходимо наличие двух (можно виртуальных) компьютеров под управлением Windows XP SP2 с настройками по умолчанию (в том числе - "брандмауэр Windows включен"). Один компьютер - client01 (IP=192.168.0.11/255.255.255.0). Второй компьютер - client02 (IP=192.168.0.12/255.255.255.0). Учетная запись администратора на обоих компьютерах - "Administrator", пароль - "P@ssw0rd".

Лабораторная работа 1 выполняется на компьютерах client01 (установка тестовых подключений с компьютером client02) и client02 (настройка брандмауэра, службы Telnet).

4.6.1. Упражнение 1. Проверка межсетевого взаимодействия

Вы проверите прохождение пакетов ICMP между компьютерами до и после отключения брандмауэра.

Зарегистрируйтесь на компьютере client01 под учетной записью Administrator с паролем P@ssw0rd.

Откройте командную строку. Для этого выполните команду "Пуск | Выполнить", введите cmd и нажмите OK.

Выполните команду ping 192.168.0.12. Статистика обмена пакетами должна сообщить о 100%-ной потере пакетов. (Почему?)

Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.

Выключите брандмауэр. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра выберите вариант "Выключить" и нажмите OK. Вы сразу увидите уведомление Центра обеспечения безопасности "Безопасность компьютера может быть под угрозой. Брандмауэр не включен".

Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.

Выполните команду ping 192.168.0.12. Статистика обмена пакетами должна сообщить об отсутствии потерь пакетов. (Почему?)

4.6.2. Упражнение 2. Включение службы Telnet

Вы включите службу Telnet на компьютере client02, создадите учетную запись для подключения к ней. Проверите подключение к службе Telnet с компьютера client01.

Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.

Создайте учетную запись user3 с паролем P@ssw0rd. Для этого выполните команду "Пуск | Выполнить", введите compmgmt.msc, нажмите OK. Разверните узел "Локальные пользователи и группы". Откройте контекстное меню элемента "Пользователи" и выполните команду "Новый пользователь...". В поле "Пользователь" введите user3. Укажите пароль - "P@ssw0rd". Отключите параметр "Потребовать смену пароля при следующем входе в систему" и нажмите кнопку "Создать".

Создайте группу TelnetClients и добавьте в эту группу учетную запись user3. Для этого откройте контекстное меню элемента "Группы" и выполните команду "Создать группу...quot;. В поле "Имя группы" введите TelnetClients. Нажмите кнопку "Добавить". В появившемся окне в поле "Введите имена выбираемых объектов" введите user3 и нажмите кнопку "OK". Нажмите кнопку "Создать".

Изменим тип запуска службы Telnet с "Отключено" на "Вручную" и запустим ее. Для этого выполните команду "Пуск | Выполнить", введите services.msc, нажмите OK. В правой части окна найдите службу Telnet и дважды щелкните по ней левой кнопкой мыши. В появившемся окне выберите Тип запуска "Вручную". Нажмите кнопку "Применить". Нажмите кнопку "Пуск". Запомните значение параметра "Исполняемый файл" (C:\WINDOWS\system32\tlntsvr.exe). Это значение нам понадобится при настройке исключения в брандмауэре. Нажмите кнопку "OK".

Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.

Выполните команду telnet 192.168.0.12. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию … … Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер…" введите команду exit. Нам удалось подключиться к Telnet-серверу.

Переключитесь на компьютер client02.

Включите брандмауэр. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра выберите вариант "Включить" и нажмите OK.

Выполните команду telnet 192.168.0.12. Должно появиться сообщение: "Подключение к 192.168.0.12… Не удалось открыть подключение к этому узлу, на порт 23: Сбой подключения". (Почему?)

4.6.3. Упражнение 3. Настройка исключения для порта

На компьютере client02 с помощью групповой политики "Локальный компьютер" вы настроите исключение для порта TCP 23 (разрешим входящие подключения на этот порт из локальной подсети) и проверите подключение к службе Telnet с компьютера client01.

Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.

Откройте редактор групповой политики "Локальный компьютер". Для этого выполните команду "Пуск | Выполнить", введите gpedit.msc, нажмите OK.

Откройте узел "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Стандартный профиль".

Включите параметр "Брандмауэр Windows: Защитить все сетевые подключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "OK".

Отключите параметр "Брандмауэр Windows: Не разрешать исключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Отключен" и нажмите кнопку "OK".

Включите параметр "Брандмауэр Windows: Задать исключения для портов". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "Показать…". Нажмите кнопку "Добавить…". В появившемся окне введите строку "23:TCP:localsubnet:enabled:Telnet Port". Нажмите кнопку "OK". Нажмите кнопку "OK".

Применим групповую политику. Для этого выполните команду "Пуск | Выполнить", введите gpupdate, нажмите OK.

Просмотрите параметры брандмауэра. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра на закладке "Общие" должно быть отображено "Некоторые параметры управляются групповой политикой", и все параметры должны быть заблокированы для изменения. На закладке "Исключения" должно появиться исключение "Telnet Port".

Откройте командную строку. Для этого выполните команду "Пуск | Выполнить", введите cmd и нажмите OK.

Проверим состояние службы Telnet и порт, который эта служба прослушивает. Для этого выполните команду tlntadmn. На экран будут выведены параметры службы Telnet. Обратите внимание на параметр "Порт Telnet" и "Состояние". Они должны быть равны 23 и Stopped соответственно.

Запустим службу Telnet. Для этого выполните команду tlntadmn start. В случае успешного запуска на экран будет выведено "The service was started successfully".

Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.

Выполните команду telnet 192.168.0.12. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию ... ... Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер…" введите команду exit. Нам удалось подключиться к Telnet-серверу.

4.6.4. Упражнение 4. Настройка исключения для программы

Как вы видели в упражнении 2, службе Telnet соответствует исполняемый файл "C:\WINDOWS\system32\tlntsvr.exe".

На компьютере client02 с помощью групповой политики "Локальный компьютер" вы настроите исключение для этого исполняемого файла (разрешим входящие подключения для этой программы из локальной подсети) и проверите подключение к службе Telnet с компьютера client01. После этого вы измените номер порта для службы Telnet на 1000 и проверите, что подключение к службе Telnet все еще возможно (брандмауэр сам определяет порт, по которому работает указанный исполняемый файл, и разрешает открытые им входящие подключения).

Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.

Откройте редактор групповой политики "Локальный компьютер". Для этого выполните команду "Пуск | Выполнить", введите gpedit.msc , нажмите OK.

Откройте узел "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Стандартный профиль".

Включите параметр "Брандмауэр Windows: Защитить все сетевые подключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "OK".

Отключите параметр "Брандмауэр Windows: Не разрешать исключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Отключен" и нажмите кнопку "OK".

Отключите параметр "Брандмауэр Windows: Задать исключения для портов". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Отключен" и нажмите кнопку "OK".

Включите параметр "Брандмауэр Windows: Задать исключения для программ". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "Показать…". Нажмите кнопку "Добавить…". В появившемся окне введите строку "%windir%\system32\tlntsvr.exe:localsubnet:enabled: Telnet server". Нажмите кнопку "OK". Нажмите кнопку "OK".

Применим групповую политику. Для этого выполните команду "Пуск | Выполнить", введите gpupdate, нажмите OK.

Просмотрите параметры брандмауэра. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра на закладке "Общие" должно быть отображено "Некоторые параметры управляются групповой политикой", и все параметры должны быть заблокированы для изменения. На закладке "Исключения" должно появиться исключение "Telnet Server".

Откройте командную строку. Для этого выполните команду "Пуск | Выполнить", введите cmd и нажмите OK.

Проверим состояние службы Telnet и порт, который эта служба прослушивает. Для этого выполните команду tlntadmn. На экран будут выведены параметры службы Telnet. Обратите внимание на параметр "Порт Telnet". Он должен быть равен 23.

Если параметр "Состояние" равен "Stopped", то запустите службу Telnet. Для этого выполните команду tlntadmn start. В случае успешного запуска на экран будет выведено "The service was started successfully".

Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.

Выполните команду telnet 192.168.0.12. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию ... ... Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер..." введите команду exit. Нам удалось подключиться к Telnet-серверу.

Переключитесь на компьютер client02. Вернитесь в окно с командной строкой.

Изменим порт для службы Telnet на значение 1000. Для этого выполните команду tlntadmn config port=1000. На экране должно появиться сообщение "Параметры успешно обновлены".

Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.

Выполните команду telnet 192.168.0.12 1000. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию ... ... Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер..." введите команду exit. Нам удалось подключиться к Telnet-серверу на порт 1000, не меняя настроек брандмауэра.

4.8. Резюме

"Центр обеспечения безопасности Windows" является прекрасным примером дружественного интерфейса для контроля функционирования таких важных для безопасности компьютера компонентов, как "брандмауэр", "система автоматического обновления" и антивирусное ПО. Он информирует пользователя о состоянии этих компонентов и рекомендует пользователям, как выполнить их правильную настройку.

При подключении компьютера к домену "Центр обеспечения безопасности Windows" перестает уведомлять пользователя о проблемах с безопасностью Windows. Считается, что в этом случае параметрами безопасности должен управлять администратор домена [[26]] - например, через групповую политику.


 

А также другие работы, которые могут Вас заинтересовать

18749. Молодая семья и ее характеристики 21.03 KB
  Молодая семья и ее характеристики. Определение функции особенности проблемы молодой семьи. Молодая семья относится к особым фундаментальным группам общества. Она одновременно является и социальной группой и социальным институтом. Ученым потребовалось немало времен...
18750. Система социального обеспечения молодых семей 21.06 KB
  Система социального обеспечения молодых семей. Социальные проблемы молодой семьи. Социальное обеспечение как технология работы с молодой семьей. Виды и порядок социального обеспечения в связи с отцовством материнством и детством. Учреждения социального обслуживания...
18751. Формы работы с молодой семьей 27.13 KB
  Формы работы с молодой семьей. Информационная методическая медикосоциальная социальнопедагогическая реабилитационная и другие виды работы с молодой семьей. Вся социальная работа с молодыми семьями проводится в основном через территориальные службы социальной
18752. Теоретические и практические аспекты организации досуга молодежи 23.86 KB
  Теоретические и практические аспекты организации досуга молодежи. Досуг молодежи как проблема и как ценность определение теории досуга свободное время и досуг – соотнесение понятий формы организованного и неорганизованного досуга формы организации досуга на лично...
18753. ФЦП «Жилище» как механизм решения жилищных проблем молодой семьи 17.28 KB
  ФЦП Жилище как механизм решения жилищных проблем молодой семьи. Нацпроект Доступное и комфортное жилье гражданам России. Жилищные проблемы молодых семей и механизмы её решения. ФЦП Жилище как механизм решения жилищных проблем. Ипотечное кредитование как инструм
18754. Молодёжная субкультура 26.26 KB
  Молодёжная субкультура. Классификации молодежных субкультур по различным основаниям.Условия жизни в большом городе создают предпосылки для объединения молодёжи в разнообразные группы движения являющиеся фактором сплочения формирующие коллективное сознание в эт
18755. Характеристики молодежной субкультуры 29.86 KB
  Характеристики молодежной субкультуры. Субкультура от лат. sub под и культура совокупность специфических социальнопсихологических признаков норм ценностей стереотипов вкусов и т. п. влияющих на стиль жизни и мышления определённых номинальных и реальных групп
18756. Система работы с молодежью, оказавшейся в трудной жизненной ситуации (ТЖС) 21.4 KB
  Система работы с молодежью оказавшейся в трудной жизненной ситуации ТЖС. Понятие и сущность ТЖС. Особенности молодёжи оказавшейся в ТЖС. Технологии социальной работы с молодежью оказавшейся в ТЖС. Типы и виды учреждений и организаций работающих с подростками и молод...
18757. Система социального обслуживания молодежи 22.33 KB
  Система социального обслуживания молодежи. Понятие и сущность социального обеспечения социального обслуживания социальной защиты и социальной работы. Закон о социальном обслуживании населения 1995 г. Социальные гарантии и минимальные социальные стандарты. Особенно