21320

Безопасность сетей

Реферат

Информатика, кибернетика и программирование

Обеспечение безопасности сетей представляет собой сумму мероприятий направленных на предотвращение несанкционированного доступа к ресурсам сети а именно: Безопасность входа в систему Безопасность доступа к файловой системе Безопасность передачи данных по сети Физическая защита оборудования и помещений. Следует отметить что доступ к сети вообще говоря не означает полного доступа ко всем ресурсам. Поэтому в решении этой задачи предусмотрены как средства аутентификации пользователя так и средства описывающие права доступа к различным...

Русский

2013-08-02

113.46 KB

1 чел.

40

Безопасность сетей.

Обеспечение безопасности сетей представляет собой сумму мероприятий, направленных на предотвращение несанкционированного доступа к ресурсам сети, а именно:

  1.  Безопасность входа в систему
  2.  Безопасность доступа к файловой системе
  3.  Безопасность передачи данных по сети
  4.  Физическая защита оборудования и помещений.
  5.  Организация администрирования, аудита, защиты от персонала.

Эти мероприятия связаны друг с другом и обеспечиваются в рамках единой комплексной технологии обеспечения безопасности. Вот почему при изложение каждого отдельно  взятого типа защитных мероприятий необходимо учитывать требования, связанные с другими типами.

А. Безопасность входа в систему

Первый уровень защиты, очевидно, связан с обеспечением контроля за входом в систему. Его цель –

  1.  исключить несанкционированный доступ на входе в сеть
  2.  предоставить возможность проконтролировать историю обращений к сети.

Следует отметить, что доступ к сети, вообще говоря, не означает полного доступа ко всем ресурсам. Поэтому в решении этой задачи предусмотрены как средства аутентификации пользователя, так и средства описывающие права доступа к различным ресурсам сети. Что касается аудита и протоколирования событий на входе в сеть, то эти мероприятия направлены на обеспечение возможности анализа и восстановления потерь.

Обязательная процедура входа в систему.

Эта процедура основана на физическом контроле над действиями пользователя и предусматривает обязательное нажатие комбинации клавиш Ctrl+Alt+Del. Эта команда рассматривается BIOS как аппаратное прерывание. Таким образом, его невозможно эмулировать программными средствами и, например, фальсифицировать вход в систему с помощью ложного диалога с целью собрать пароли пользователей. (Впрочем все усилия легко могут быть сведены на нет пользователем раздающим свои данные по любому запросу из сети).

Последовательность действий, выполняемых операционной системой компьютера (ОС) несколько отличается при входе в сеть и локальном входе и представляет собой следующую последовательность.

  1.  Реакция на <Ctrl>+<Alt>+<Del>  состоит в запуске специального процесса (WinLogon), аутентификации пользователя.
  2.  В предоставленное окно пользователь вводит имя (Login) и пароль (Password), которые в зашифрованном виде WinLogon отсылает для проверки к распорядителю локальной безопасности (Local Security Authority - LSA). Если вход локальный (локальная учетная запись) LSA выдает запрос на аутентификацию «диспетчеру учетных записей» компьютера. В противном случае LSA создает защищенный канал связи (NetBIOS соединение) с сетевой службой NetLogon контроллера домена и выдает по нему запрос на аутентификацию Диспетчеру учетных записей контроллера домена (глобальная учетная запись). Понятие «учетная запись» будет подробно рассмотрено ниже. Здесь же ее можно толковать как запись в специализированной базе данных, предназначенную для реализации прав доступа к различным ресурсам сети и локального компьютера. Одним из важнейших элементов информации в этой базе данных служит идентификатор безопасности (Security IdentifierSID), позволяющий ОС однозначно идентифицировать учетную запись пользователя. SID - это основной ключ записи в базе со всеми вытекающими из этого определения требованиями – уникальность, недоступность для модификации и т.д..
  3.  Если Диспетчер учетных записей (локального компьютера или контроллера домена) подтвердил пароль, LSA создает выписку из базы данных, именуемую «маркер доступа». Маркер доступа включает в себя SID учетной записи пользователя, SID других записей, связанных с пользователем, Локальный уникальный идентификатор (Local Unique IdentifierLUID), который представляет собой некоторую комбинацию прав пользователя, построенную диспетчером на основе информации из базы данных. Кроме того Маркер доступа может содержать данные о NetBIOS соединении, если проверка осуществлялась «контроллером домена». Маркер доступа возвращается WinLogon процессу, который, в свою очередь передает «маркер доступа» ОС. ОС запускает процесс входа в систему для пользователя для установления рабочего окружения пользовательского процесса.

Основной вывод состоит в том, что в процессе идентификации пользователя участвует специальная служба, обеспечивающая обмен зашифрованными сообщениями и любые дальнейшие действия в компьютере выполняются с подтверждениями, устанавливаемыми Маркером доступа - специально организованной выпиской из базы данных учетных записей пользователей.

Существует модифицированный современный более простой вход в систему. По существу он не отличается от изложенного выше, но имеет более привлекательный интерфейс.

Похожим образом осуществляется обращение клиента на сервер.

  1.  Реагируя на обращение клиента на сервер, программное средство для сетевых клиентов генерирует диалоговое окно запроса имени (Login) и пароля (Password), и создает защищенный канал связи (NetBIOS соединение) с сетевой службой NetLogon сервера.
  2.  Программное средство для сетевых клиентов передает серверу имя и пароль в зашифрованном виде. WinLogon процесс сервера передает имя и зашифрованный пароль Распорядителю локальной безопасности (LSA). Если Учетная запись пользователя оказывается локальной для сервера (проверка аутентичности поручена серверу), LSA выдает запрос на аутентификацию Диспетчеру учетных записей сервера. В противном случае LSA создает защищенный канал связи службы NetLogon с контроллером домена и выдает по нему запрос на аутентификацию Диспетчеру учетных записей контроллера домена.
  3.  LSA создает маркер доступа, который возвращается WinLogon процессу, который, в свою очередь, связывает маркер доступа с NetBIOS соединением, созданным клиентом. В дальнейшем исполнение запросов клиента по этому соединению осуществляется под контролем этого Маркера доступа.

База данных учетных записей пользователей.

В Контроллере домена реализованы совершенно новые средства управления системой и администрирования, впервые появившиеся в Windows 2000

  1.  Active Directory — расширяемая и масштабируемая служба каталогов, в которой используется пространство имен, основанное на стандартной Интернет - службе именования доменов (Domain Name System, DNS);
  2.  IntelliMirror — средства конфигурирования, поддерживающие зеркальное отображение пользовательских данных и параметров среды, а также центральное администрирование установки и обслуживания программного обеспечения;
  3.  Terminal Services — службы терминалов, обеспечивающие удаленный вход в систему и управление другими системами Windows Server 2003;
  4.  Windows Script Host — сервер сценариев Windows для автоматизации таких распространенных задач администрирования, как создание учетных записей пользователей и отчетов по журналам событий.

Active Directory и административные шаблоны позволяют применять параметры безопасности ко всем рабочим станциям и серверам вашего учреждения. Иными словами, вы настраиваете защиту данных не каждого конкретного компьютера, а всего предприятия в целом

Windows Server 2003, Standard Edition, разработана для пре доставления служб и ресурсов другим системам в сети. Она сменила Windows NT 4.0 Server и Windows 2000 Server. Эта ОС обладает богатым набором функций и конфигурационных параметров. Windows Server 2003 поддерживает до двух центральных процессоров и до 4 Гбайт оперативной памяти

В настоящее время разработана Windows Server 2008 

Эта база представляет собой основной инструмент модели доступа к ресурсам как на локальном компьютере, так и на компьютере, осуществляющем управлением доступа в сети - Контроллере домена.

Прежде всего, отметим, что эта база содержит записи, называемые «учетная запись пользователя» в которой содержится;

  1.  имя пользователя (Login),
  2.  пароль (Password),
  3.  описание прав доступа при входе в систему,
  4.  упомянутый выше уникальный идентификатор SID
  5.  домашний каталог и другую информацию, имеющую отношение к использованию ресурсов.

Следует отметить, что права, декларируемые непосредственно в учетной записи имеют отношение ко всей системе в целом или к группам объектов, а не к конкретному ресурсу. Доступ к конкретным ресурсам определяется разрешениями, установленными непосредственно в самих объектах.

Представление информации о правах непосредственно в каждой учетной записи пользователя оказывается неудобным, если речь идет о десятках пользователей. Часто оказывается, что права однотипны для определенных групп пользователей. Кроме того, классификация пользователей с помощью создания групп приносит дополнительную гибкость системе. Поэтому в базе данных кроме учетных записей пользователей создаются записи типа «учетная запись группы». При этом, пользователь может быть отнесен в одну или несколько групп, а группа может включать в себя несколько пользователей. Основная функция группы состоит в «делегировании» прав всем пользователям, включенным в ее состав. В современных системах учетная запись пользователя получает общие права, относящиеся ко всей системе в целом только из групп, к которым она принадлежит. В результате учетная запись пользователя должна принадлежать, хотя бы к одной группе. Эта группа носит название «Все пользователи».

Основное правило делегирования прав, состоит в том, что учетные записи содержат «Права» (нет «Запретов») и эти права суммируются как в составе учетной записи пользователя, так и при наследовании прав группы. Есть только одно исключение – специально именованный набор прав «Nothing», запрещающий доступ ко всем ресурсам ( в т.ч. лишающий права на выполнение программ). Этот набор отменяет любые другие права.

Если учетная запись расположена на локальном компьютере (и используется для обеспечения доступа к локальному компьютеру), то носит название «Локальная учетная запись», альтернативной является «Глобальная учетная запись», расположенная на Контроллере домена, обслуживающем политику безопасности на отдельном участке сети. Таким образом, все вопросы, связанные с безопасностью домена разрешаются путем обращения к данным глобальных учетных записей. Следует отметить, что некоторые серверы (особенно это касается серверов баз данных) принимают на себя часть обязанностей контроллера домена, что, разумеется снижает общую безопасность сети.

Каждая учетная запись в базе содержит уникальный идентификатор записи – Идентификатор безопасности (Security IdentifierSID), однозначно определяющий запись. Это относится как к учетным записям пользователей, так и к учетным записям групп. Можно считать, что идентификатор безопасности играет роль ключа, с помощью которого заперты нужные ресурсы. Иными словами, ресурсы обладают механизмом, позволяющим с помощью ключа SID однозначно установить, какими правами для данного объекта обладает владелец этого SID.

Итак, ресурсы, то есть файлы, каталоги, принтеры и пр., которые могут быть повреждены или неправильно использованы, обладают защитным механизмом – замками, открываемыми пользователем с помощью SID его учетной записи и SID групп, членом которых является пользователь.

Набор идентификаторов безопасности, состоящий из SID учетной записи пользователя и SID групп, к которым пользователь принадлежит, носит упомянутое выше название Маркер доступа. Маркер доступа, как уже отмечалось, создается каждый раз при входе пользователя в систему. Таким образом, маркер доступа можно интерпретировать как связку ключей, доступных пользователю. Запущенные пользователем процессы (коды или сборки) получают от пользователя копию маркера доступа. Естественно, что процессы, запущенные другими процессами наследуют маркер пользователя. Маркер доступа никогда не покидает конкретный компьютер и не передается по сети. Так, при обращении клиента на сервер, маркер доступа, генерируемый WinLogon процессом на сервере, остается на нем и передается службе сервера (Server service), которая выполняет все необходимые для клиента действия. Одновременно создается локальный маркер доступа пользователя на основе учетной записи пользователя на рабочей станции. Этот маркер позволяет запускать процессы на стороне клиента. Таким образом, вероятность перехвата и возможного изменения маркера доступа отсутствует.

Упомянутые выше «замки», обладателями которых являются все ресурсы, представляют собой достаточно сложные объекты. Эти объекты, в зависимости от их функционального предназначения, предоставляют набор действий, которые можно осуществлять над ресурсом.

Так для объекта типа файл это может быть следующий набор:

  1.  Открытие
  2.  Закрытие
  3.  Чтение
  4.  Запись
  5.  Удаление
  6.  Изменение
  7.  Принятие права владения
  8.  Изменение права доступа
  9.  Полное запрещение доступа
  10.  Полный контроль

С принтером связаны действия:

  1.  Печать
  2.  Управление документами
  3.  Полное запрещение доступом
  4.  Полный контроль

Эти действия над ресурсом называются Объектными службами.

Фактически пользователь осуществляет доступ к ресурсам с помощью исполняемых процессором кодов. В современных системах, таких, как, .NET Framework, они реализованы в виде служб, написаны на разных языках и представляют собой байт-код. Байт-код в отличие от традиционного исполняемого кода предназначен для исполнения виртуальной машиной «на лету» и позволяет достичь независимости от языка проектирования и платформы исполнения. Хранится байт-код в виде скомпилированного проекта, который в терминах .NET носит название «Сборка». В дальнейшем мы будем использовать этот термин вместе с традиционным «код».

Помимо служб, ресурсы обладают различными свойствами, в частности:

  1.  тип объекта
  2.  дескриптор безопасности 
  3.  имя объекта
  4.  данные объекта (например, содержимое файла, если это файл),.

Последние три свойства называются атрибутами объекта.

В целом объект содержит тип, службы и атрибуты.

Дескриптор безопасности объекта это специальная структура, которая содержит информацию, необходимую для управления ресурсом. В ее состав входят:

  1.  SID владельца объекта. Владелец всегда обладает правом изменения установок в контролируемом списке управления доступом к ресурсу.
  2.  SID групп. Некоторые ресурсы могут быть связаны с учетной записью группы непосредственно, а не с помощью связей владельца. Эта часть дескриптора безопасности установлена для целей совместимости различных ОС.
  3.  Контролируемый список управления безопасностью (Data Access Control List - DACL). DACL это список Элементов управления доступом (Access Control EntriesACE). Каждый элемент ACE это структура, которая содержит SID и маску доступа, определяющую те службы объекта, доступ к которым разрешен для владельца этот SID (поэтому эти службы иногда называют правами доступа). Права доступа в DACL являются накопительными. Пусть, например, DACL имеет ACE, SID которого указывает на пользователя, а маска доступа на право «чтение» для файла. Кроме того в DACL есть ACE, SID которого указывает на группу, а маска на право «запись». Тогда процесс, обладающий маркером доступа, содержащем оба этих SID получит право как на чтение, так и на запись в этот файл. Существует только одно исключение – это запрещающий ACE, который запрещает процессу, обладающему соответствующим SID все типы доступа (службы) этого объекта.
  4.  Системный список управления доступом(System Access Control List - SACL) – список ASE, специально подвергаемых аудиту в процессах доступа к ресурсу.

Вообще говоря, не каждый объект имеет DACL и SACL. Это обстоятельство трактуется системой безопасности как отсутствие необходимости в проверке прав доступа или аудите. Не следует путать отсутствие с пустым DACL. Пустой DACL – это полный запрет на доступ для всех SID.

Права сгруппированы в наборы для более удобного применения. На платформе Windows в настоящий момент существуют следующие наборы:

  1.  FullTrust (полный доступ) - Этот набор разрешений предоставляет коду пользователя неограниченный доступ ко всем защищенным ресурсам. Этот набор разрешений является потенциально опасным; он открывает полный доступ к ресурсам компьютера, таким как файловая система и доступ в сеть, разрешая работу без контроля со стороны системы безопасности. Этот набор разрешений может быть получен только сборками, которым можно полностью доверять.
  2.  Everything (все)- имеет близкое к FullTrust значение. Этот набор разрешений предоставляет неограниченный доступ ко всем ресурсам покрываемым встроенными разрешениями. То есть к следующему списку:
  3.  Разрешить выполнение сборки
  4.  Разрешить вызовы в неуправляемые сборки
  5.  Утверждать любые предоставленные разрешения
  6.  Разрешить управление потоками (обмен данными между процессами)
  7.  Разрешить управление политиками
  8.  Разрешить управление политикой области
  9.  Разрешить управление участниками
  10.  Создать области применения и управлять ими
  11.  Разрешить инструмент форматирования при сериализации (т.е. при сохранении объектов)
  12.  Разрешить управление свидетельствами (каждая сборка обладает свидетельством)
  13.  Расширить инфраструктуру
  14.  Разрешить настройку удаленного взаимодействия

Единственное разрешение, отсутствующее в этом списке – это разрешение обходить проверку подлинности

  1.  SkipVerification (Обход проверки подлинности) - Предоставляет право обходить проверку подлинности
  2.  Execution (Выполнение) – Разрешает выполнение кода
  3.  Nothing (Полный запрет) - Запрещает доступ ко всем ресурсам, в т.ч. лишает права на выполнение
  4.  LocalIntranet (Локальная сеть) - Права по умолчанию, предоставленные приложениям в локальной сети интранет в составе:
  5.  Разрешить выполнение сборки
  6.  Утверждать любые предоставленные разрешения
  7.  Internet (Интернет) - Права по умолчанию, предоставленные приложениям Интернета в составе:
  8.  Разрешить выполнение сборки

Познакомиться с этими правами можно, например, используя меню Пуск - Панель управления – Администрирование - Microsoft .NET Framework Configuration, выбирая в папке, Пользователь /Набор разрешений соответствующее название набора. Подробное описание набора доступно из контекстного меню в свойствах файла «Безопасность».

Маркеры доступа процессов и дескрипторы безопасности объектов представляют собой правила доступа к ресурсам. Реализацией этих правил возложена на Монитор безопасности – специальную службу операционной системы, осуществляющую по требованию процессов манипуляцию с объектами. Когда процесс выдает запрос на выполнение некоторой операции над ресурсом, Операционная система проверяет с помощью Монитора безопасности права процесса на выполнение этой операции. Монитор безопасности сравнивает маркер доступа процесса с содержимым Контролируемого списка управления доступом объекта. Если имеется хотя бы один SID в маркере, совпадающий с SID в ACE DACL, который имеет маску, разрешающую эту операцию и нет запрещающего ACE с тем же SID, то Монитор безопасности дает «добро» на использование запрашиваемой службы объекта. Одновременно Монитор безопасности проверяет SACL на предмет регистрации в журнале безопасности событий, связанных с охраняемым объектом. При этом регистрируется, разумеется, как удачная, так и неудачная попытка доступа. При этом следует помнить, что аудит может быть отключен вручную непосредственно в Диспетчере пользователей.

Упомянутые выше службы могут оказаться общими для группы объектов или системы. Например, операция завершения работы ОС влияет на каждый объект в системе. В этом случае такие права устанавливаются для пользователя в его учетной записи (или в учетной записи связанной с ним группы). Диспетчер учетных записей размещает выписку прав этого типа из учетной записи пользователя и учетных записей связанных с ним групп в разделе LUID дескриптора безопасности. Монитор безопасности использует эти данные для определения возможности выполнения тех или иных служб.

Некоторые из таких прав приводятся в следующем списке:

  1.  Доступ к компьютеру из сети
  2.  Добавление рабочих станций к домену
  3.  Резервное копирование файлов и каталогов
  4.  Изменение системного времени
  5.  Принудительное дистанционное завершение
  6.  Загрузка и выгрузка драйверов устройств
  7.  Локальный вход в систему
  8.  Управление аудитом и журналом безопасности
  9.  Восстановление файлов и каталогов
  10.  Завершение работы системы
  11.  Владение файлами и иными объектами

Смысл этих прав понятен из названия.

Права имеют более высокий приоритет по отношению к разрешениям, установленным для конкретного объекта. Так, например, пользователь, обладающий правом Восстановление файлов и каталогов, как член группы «Операторы архива» может осуществить эту операцию несмотря на «разрешение» Nothing (запрет на доступ к ресурсу), установленный владельцем этого файла или каталога.

B. Основные этапы создания учетных записей.

Созданием, модификацией и аудитом состояния учетных записей занимается пользователь, обладающий правами администратора, учетная запись которого обычно использует набор разрешений FullTrust.

Для обслуживания базы данных администратор обычно использует удобные утилиты, такие как «Диспетчер пользователей для доменов» (User Manager for Domains  - UMD) если речь идет о контроллере домена или «Диспетчер пользователей» (User Manage r) если конфигурируется рабочая станция. Известно, что «рабочая группа» представляет собой более простой вариант организации сети, в котором каждый из компьютеров самостоятельно играет роль контроллера доступа к своим ресурсам. Управление базой учетных записей в рабочей группе содержит те же инструменты, что и в контроллере домена, за исключением некоторых специфических для домена опий.

Создание  нового пользователя начинается с процедур установки параметров, напрямую не связанных с описанной выше технологией работы Монитора безопасности. Эти параметры определяют жизненный цикл учетной записи и ее составных частей. Так, в диалоговом окне «Новый пользователь» (New User) устанавливаются следующие опции:

  1.  Пользователь должен изменить пароль при следующем входе (User must change password at next logon) – мера безопасности, позволяющая уменьшить вероятность несанкционированного доступа по документу администратора, содержащему список предоставленных пользователям паролей.
  2.   Пользователь не может изменить пароль (User cannot change password) - мера безопасности, позволяющая уменьшить вероятность несанкционированного доступа при низком уровне ответственности пользователей, или при необходимости использовать одну учетную запись для группы лиц.
  3.  Постоянный пароль (Password Never Expires) – мера безопасности, отменяющая правило установки истечения срока действия пароля, обычно устанавливаемого в политике учетной записи, обсуждение которой представлено ниже. Эта опция полезна для записей с существенно ограниченными правами, например, для гостевых пользователей с набором прав Nothing.
  4.  Кроме того, имеется возможность отключить учетную запись (Account Disabled), установив соответствующую опцию.

Различные настройки, связанные с учетной записью могут группироваться по функциональному назначению и носят названия политик безопасности. Так политика паролей учетной записи, помимо собственно значения пароля сопровождается установкой таких параметров, как:

  1.  Максимальный срок действия пароля (Maximum Password Age) – срок, действие которого понятно из названия параметра. Этот параметр может принимать как конкретное значение (в днях) так и значение «бессрочный».
  2.  Минимальный срок действия пароля (Minimum Password Age) – мера безопасности, создающая трудности в «заметании следов» после несанкционированного изменения пароля.
  3.  Минимальная длина пароля (Minimum Password Length). Препятствует созданию ненадежных паролей безответственными пользователями.
  4.  Уникальность пароля (Password Uniqueness). Заставляет пользователя каждый раз менять пароль на новое уникальное (ранее не встречавшееся) значение. Нерадивый пользователь лишается возможности повторить ранее введенный пароль. Его придется «придумать» заново.
  5.  Блокировка учетной записи (Account Lockout). Определяет способ блокировки при попытке взлома. Установка этого параметра предотвращает прямую атаку на пространство ключей для паролей.
  6.  Блокировка после…(Lockout After). Определяет допустимое количество ошибочных обращений. Обычно -3.
  7.  Сброс счетчика через…(Reset Count After). Задает временной интервал, в котором две неудачные попытки рассматриваются вместе. По истечении этого интервала очередная попытка рассматривается как первая. Обычно – 5 минут для избегания лобовой атаки.
  8.  Длительность блокировки (Lockout Duration). Этот параметр может принимать значение «навсегда» (forever). В этой ситуации блокировку может снять только администратор. Конечное значение определяется из модели поведения хакера – он должен потерять интерес к повторению атаки. Разумеется, следует учесть и предел терпения пользователя.
  9.  Принудительно отключать удаленного пользователя от сервера при завершении времени регистрации (Forcibly Disconnect Remote Users from Server When Logon Hours Expire). Удерживает пользователей от желания постоянно оставаться зарегистрированным в системе. Параметр направленный скорее не на безопасность, а на корректное поведение пользователей.
  10.  Для смены пароля пользователь должен войти в систему (User Must Log in to Change Password). При окончании действия пароля и выходе из системы пользователь лишается возможности войти самостоятельно. Придется воспользоваться услугами администратора. Дисциплинирует контроль пользователя за актуальностью пароля.

Установка политики обычно производится из меню Политики (Polices) Диспетчера пользователей или Диспетчера пользователей для доменов. Для установки политики паролей нужно выбрать Политика паролей (Password Policy).

Далее, при определении прав пользователя устанавливается принадлежность его к той или иной группе или нескольким группам. Основные условия, которыми пользуется администратор при выборе состава групп определяются конкретной политикой безопасности предприятия. При этом пользователь относится по возможности к меньшему количеству групп, так, чтобы его права не превышали права, установленные политикой безопасности предприятия, но, вместе с тем, обеспечивали необходимый доступ к ресурсам. Эта задача - задача классификации групп пользователей и назначение конкретным пользователям соответствующих групп представляет собой важную часть разработки политики безопасности сети.

Следующий этап, обычно, состоит в определении ограничений по времени при доступе в сеть. Соответствующее диалоговое окно Часы работы (Logon Hours) позволяет определить рабочий график доступа. Эта опция доступна из диалога Новый пользователь через соответствующую кнопку и обеспечивает меры безопасности, ограничивающие возможности доступа выделенным рабочим временем, которое создает определенные неудобства при попытках несанкционированного доступа.

Диалоговое окно Вход в систему (Logon To) также доступно из диалога Новый пользователь через соответствующую кнопку и предоставляет возможность установить список рабочих станций, с которых пользователь получает доступ к сетевым ресурсам. Эта мера безопасности также создает определенные неудобства для несанкционированного доступа, так как только с известных и удобных для пользователя рабочих станций возможен вход в сеть с данными его учетной записи.

Как уже отмечалось, имеется возможность установить Время истечения действия учетной записи (Account Expires) и тем самым ограничить ее использование. Соответствующее диалоговое окно доступно с помощью соответствующей кнопки в окне Новый пользователь. Этот механизм в основном предназначен для временных пользователей. Не следует путать время ограничения учетной записи с временем ограничения использования пароля. Ограниченный по времени пароль после потери актуальности не может быть восстановлен. Продление актуальности учетной записи – в руках администратора.

Теперь следует установить Контроль удаленного доступа к сети. Кнопка Связь (Dialing) в окне Новый пользователь. Диалоговое окно Сведения удаленного доступа (Dialing Information) предоставляет возможность установить пользователю возможность удаленного доступа, который создает удобство пользователю и массу проблем для безопасности системы.

Стандартное решение в организации удаленного доступа состоит в использовании специализированной Службы удаленного доступа (Remote Access ServiceRAS). При инициировании сеанса удаленного доступа RAS –сервер действует как Маршрутизатор для сетевого трафика по коммутируемой линии. В связи с значительной опасностью неорганизованного удаленного  доступа следует постоянно следить за уничтожением всех сервисных программ удаленного доступа и связи по коммутируемым линиям на всех клиентских компьютерах сети. Сервер удаленного доступа позволяет контролировать соединения с помощью обратного дозвона. Администратор имеет возможность занести телефонный номер в список номеров, разрешенных для доступа. При вызове пользователь посылает свой телефонный номер на сервер и разрывает связь. Получив телефонный номер, сервер, сверив его со списком, разрешает доступ и использует его для обратного дозвона. Тем самым гарантируется коммутация только с доверенными клиентами. Конкретные настройки для каждого пользователя осуществляются с помощью диалогового окна Администратор удаленного доступа (Remote Access Administrator). Кроме того, контроль удаленного доступа осуществляется с помощью опции Выбора протокола (Protocol selection). В этой опции можно задать один из трех протоколов сетевого обмена – TCP/IP – протокол интернет, IPX (NWLink) – протокол NetWare, NetBEUI – исходный протокол IBM и Microsoft – сетей. Выбор протокол, отличного от TCP/IP существенно ограничивает возможности несанкционированного доступа со стороны Интернет. Далее опция Шлюзование (Gateway isolation) позволяет определить для каждого протокола возможность установления соединения только с сервером и возможность пропуска соединения к остальным компонентам сети. Ограничение доступа в сеть уменьшает риск проникновения по линии удаленного доступа, но одновременно и ограничивает доступ внутренних пользователей к ресурсам, находящимся на сервере. Разрешение сетевого доступа по существу превращает сервер удаленного доступа в Маршрутизатор, работающий аналогично межсетевому шлюзу. Следующая опция Присвоение IP адресов позволяет точно установить, какие IP адреса будут присвоены удаленным пользователям. Это позволяет применить специализированные Экраны защиты (брандмауэры) для удаленных пользователей. Следующая опция Шифрование и аутентификация сообщений (Authentication Encryption) позволяет регулировать вопросы шифрования аутентификационных сообщений, содержащих пароли удаленных пользователей. В ней предусмотрена возможность устанавливать режим с использованием незашифрованной передачи пароля – Любая аутентификация, включая открытый текст. Этот режим и соответствующий протокол аутентификации (Password Authentication ProtocolPAP) использовались в старых операционных системах, связь с которыми возможно предусмотрена в выбранной модели сети. Разумеется незашифрованная передача пароля – прямой путь к несанкционированному доступу. Поэтому этот вариант следует исключить. Правильнее провести обновление средств клиентов. Стандартная настройка этой опции – Аутентификация с шифрованием (Require Encrypted Authentication). Эта установка позволяет осуществлять аутентификацию с любым поддерживаемым методом шифрования. Это может быть протокол PAP, разработанный фирмой Shiva - Shiva PAP, стандарт шифрования данных (Data Encryption StandardDES), Challenge Handshake Authentication ProtocolCHAP или MSCHAP – версия Microsoft протокола RSA Message Digest 4, устанавливаемая по умолчанию. Можно также установить Аутентификацию с Microsoft - шифрованием (Require Microsoft Encrypted Authentication), которая установит шифрование только по этому протоколу. Следующая настройка RAS –сервера состоит в установке Шифрования данных (Data Encryption), которая используется вместе с аутентификацией с Microsoft – шифрованием и позволяет передавать данные в шифрованном виде по соответствующему протоколу. Опция Использование порта (Port Usage) устанавливает ответственность за инициализацию соединения. Можно предоставить возможность инициализировать соединения RAS - Серверу, клиенту или им обоим. При этом следует придерживаться правила по которому серверы не должны инициировать исходящие соединения по линиям автоматической связи (за исключением, возможно, выхода в глобальную сеть). Опция Отключение (Disconnection) позволяет отключить конкретного пользователя при обнаружении нарушений правил доступа. Эта опция доступна из утилиты Администратор удаленного доступа (Remote Access Administrator). При этом можно воспользоваться какие – ни будь средства распознавания некорректного поведения, например на основе обучаемых нейро - компьютеров. Последняя опция RAS – Сервера позволяет установить Разрешение на удаленный доступ (Dial-in Permission). Эта опция устанавливает разрешение на удаленный доступ к сети только тем пользователям, которым он необходим. На администраторе лежит обязанность постоянно контроля над состоянием этой опции. Разрешение должно даваться только на действительно необходимый интервал времени.

Существует множество других методов удаленного доступа. Все устройства или службы предназначенные для внешних соединений должна быть проверены на возможность проникновения в сеть. Альтернативный подход состоит в использовании Дистанционного управления. Дистанционно управление означает управление мощным многопользовательским центральным компьютером с удаленного «домашнего» компьютера, аналогично тому, как использовались терминалы для управления большими компьютерами. При этом происходит обмен командами, посылаемыми с клавиатуры или с помощью мыши и видеоинформацией, отображаемой на дисплее. Каналы связи не используются для передачи непосредственно данных. Такие сетевые компьютеры носят название «тонких клиентов». Удаленный пользователь создает «черный вход в сеть» и управление безопасностью обеспечивается только самими средствами удаленного доступа. Это означает, что операционная система не различает удаленного и обычного пользователя.

Следующий шаг – это установление Политики учетной записи (Account Policy). Это одна из доступных в Диспетчере пользователей политик. Следует сразу отметить, что некоторые параметры влияют сразу на все учетные записи пользователей – вот почему политика не устанавливается в окне Новый пользователь. Все параметры этой политики имеют прямое отношение к безопасности. Эти установки уже обсуждались в качестве приведенного выше примера установок Политики паролей учетной записи.

Политика прав пользователей – доступна из меню Политики - Права пользователей в Диспетчере пользователей. Эта политика позволяет настроить некоторые важные права пользователей или групп пользователей. При этом можно расширить список доступных прав, установив опцию «Показать дополнительные права» (Show Advanced Users Rights). Однако, как уже отмечалось, права пользователям следует предоставлять только в крайних случаях и на временной основе. Разумеется за исключением пользователей стандартных групп, таких как, например Администраторы (Administrators). К таким «специальным» правам можно отнести:

  1.  Доступ к компьютеру из сети (Access This Computer from Network). Это просто право войти в домен, которое по умолчанию предоставлено группе «Все» (Everyone).
  2.  Добавление рабочей станции к домену (Add Workstations to the Domain). При этом добавленная в домен рабочая станция получает доступ к списку пользователей домена и глобальным группам. По умолчанию это право принадлежит членам группы Администраторы и группы Операторы сервера.
  3.  Архивирование файлов и каталогов (Back up Files and Directories). Это опасное для сети право, так как разрешает чтение всех файлов, независимо от прав файловой системы, назначенных пользователю. По умолчанию им обладают члены групп Администраторы, Операторы сервера и Операторы архива.
  4.  Обход перекрестной проверки (Bypass Traverse Checking). Позволяет перемещаться по структуре каталогов, даже если это запрещено правами файловой системы. Видеть можно, но ничего делать нельзя. Обычно это право предоставлено группе Все, поскольку напрямую не связано с реальной угрозой ресурсам.
  5.  Изменение системного времени (Change the System Time). Системное время оказывает влияние на процессы, происходящие в режиме реального времени и использовать его можно, как обычно, только по необходимости. По умолчанию это право групп Администраторы и Операторы сервера.
  6.  Принудительное завершение с удаленной системы (Force Shutdown from Remote System). Возможность завершить работу системы с соединения удаленного доступа. По умолчанию это право групп Администраторы и Операторы сервера.
  7.  Вход в качестве службы (Log on as Service). Право, позволяющее зарегистрироваться в контроллере домена в качестве службы. Нестандартная ситуация. По умолчанию право никому не принадлежит.
  8.  Локальный вход в систему (Log on Locally). Пользователь может воспользоваться этим правом для входа в контроллер домена с сервера (компьютера с серверной операционной системой). Достаточно опасное право, которое предоставлено группам Администраторы и Операторы сервера.
  9.  Управление аудитом и журналом безопасности (Manage Auditing and Security Log). Позволяет пользователям проводить аудит объектов файловой системы и обычно предоставлено группе Администраторы. Следует отметить, что обладателям этого права НЕ ДОСТУПНА настройка Политики аудита, то есть аудит такого пользователя невозможен. Право обычно предоставлено Администраторам.
  10.  Восстановление файлов и каталогов (Restore Files and Directories). Используется как дополнение к праву Архивирование файлов и каталогов и позволяет восстанавливать файлы и каталоги. Поскольку источник «восстановления» может оказаться «некорректным» это крайне опасное право по умолчанию принадлежит Администраторам, Операторам архива и сервера.
  11.  Завершение работы системы (Shut Down the System). Позволяет установить допуск пользователей к меню выключения. Актуально только для пользователей на контроллере домена. Пользователи рабочих станций используют это право без ограничений. По умолчанию принадлежит Администраторам и всем группам операторов.
  12.  Владение  файлами и другими объектами (Take Ownership of Files or other Objects). Позволяет пользователям стать владельцами объектов. Оно полезно, если владелец файла по какой-либо причине лишился права владения – например, истек срок действия его учетной записи. По умолчанию принадлежит Администраторам.

Теперь можно перейти к созданию Политики аудита.

Аудит.

Аудит предназначен для анализа произошедших в системе событий с целью обнаружения некорректного поведения процессов. Аудит основан на сборе информации об объектах с помощью настройки Политики аудита в Диспетчере пользователей аналогично настройкам других политик. В результате при включенном аудите определенные события будут регистрироваться в Журнале безопасности. Анализ Журнала безопасности (автоматизированный или ручной) может позволить обнаружить несанкционированные действия со стороны тех или иных процессов и поставить заслон на пути вредоносных программ. Как уже отмечалось, настройка политики аудита осуществляется с помощью Диспетчера пользователей. С помощью этой политики можно установит контроль над успешными и неудачными событиями в системе. Для этого в диалоговом окне Политики аудита необходимо выбрать события, доступные для аудита. Это могут быть следующие опции:

  1.  Вход и выход (Logon and Logoff). Эта опция включает записи всех возможных попыток входа в сеть и выхода из нее. Данные позволяют контролировать историю обращений в сеть.
  2.  Доступ к файлам и объектам (File and Object Access). Отслеживает доступ к файлам и другим объектам. При этом контролируются как отдельные файлы, для которых включен режим аудита, так и объекты, например диск или каталог.

Защита паролей

Первоначальная установка пароля пользователя, как уже отмечалось, осуществляется при создании учетной записи с помощью Диспетчера пользователей. При этом, можно заставить пользователя изменить установленный пароль при первом входе, разрешить ему менять пароль по его усмотрению или запретить ему изменение. В политике паролей предусмотрены срок действия, длина и уникальность пароля, а также параметры учетной записи, описывающие реакцию на некорректное использование пароля. Все эти меры, однако, могут быть уничтожены неправильным выбором пароля. Поэтому в Политике безопасности предприятия следует уделить самое пристальное внимание требованиям к выбору и смене паролей. Для группы администраторов, естественно, должны устанавливаться самые высокие требования по защите паролей.

Следующие правила позволяют избежать появления известных, связанных с самим паролем лазеек.

  1.  Длину пароля следует ограничить снизу значением, соответствующим возможностям пользователя распоряжаться ресурсами. Как уже отмечалось, эта длина должна быть в любом случае не менее 6 символов. При наличии особо охраняемых групп пользователей длина должна быть увеличена вдвое. Пользователей можно группировать в соответствии с степенью секретности информации, к которой у них имеется доступ. Можно предложить следующие 5 уровней секретности материалов:
  2.  Неклассифицированные – материалы этого уровня секретности не ограничены по распространению и изменению.
  3.  Важные – раскрытие или изменение этих материалов может нанести некоторый вред. Для сохранения этих материалов требуются специальные меры. Важные материалы могут быть градуированы по различным степеням важности. Обычно степени устанавливаются, если размер ущерба от несанкционированного доступа меняется в разы для различных степеней.
  4.  Секретные – раскрытие или изменение этой информации затрагивает вопросы существования организации или связанных с ней контрагентов.
  5.  Совершенно секретные – раскрытие или изменение этой информации безусловно приведет к гибели организации или связанных с ней контрагентов.

Каждое повышение класса опасности обычно сопровождается увеличением вдвое длины пароля.

  1.  Пароль – это набор символов, цифр и букв. Пароль - всегда шифр. Хороший пароль – это хорошо зашифрованный пароль. Поэтому в Политике безопасности предприятия следует предусмотреть правило шифрования для создания паролей. Пользователи всех групп опасности должны создаваться только с соблюдением этого правила.
  2.  В  Политике безопасности предприятия следует предусмотреть не только правила изменения, но и правила хранения и передачи паролей. Файл, содержащий зашифрованные пароли называется SAM и хранится в подкаталоге SYSTEM32/CONFIG. Этот файл находится в общем использовании всех пользователей, но постоянно открыт и поэтому к нему нет доступа. Однако резервные копии этого файла с расширением .SAV находятся в этом же каталоге. Кроме того, резервную копию этого файла содержит вспомогательный аварийный загрузочный диск (если он создан администратором). Далее команда <NET USER> показывает список пользователей в домене, а команда <NET LOCALGROUP Administrators> предоставит список членов группы администраторов. Команда <FINGER> (для систем на которой запущена служба Finger) осуществляет вывод сведений о пользователях удаленной системы, указанных в параметрах команды. Таким образом, следует предусмотреть защиту от доступа к указанным файлам, от вредоносного кода, исполняющего указанные команды, и от запуска нарушающих безопасность служб.

Эти меры помогут избежать несанкционированного проникновения в систему методами лобовой атаки.

Лобовая атака – процесс вскрытия паролей в файле паролей простым перебором с использованием списка сгенерированных паролей. Такая атака нередко называется также атакой на пространство ключей.

Словарная атака - близкий по смыслу термин – вариант лобовой атаки, при котором список паролей создается на основе использования вероятных, семантически оправданных терминов или слов обычного языка.

Системная политика

Ранее уже приводились примеры политик безопасности, связанных с учетной записью пользователя - политика учетной записи: политика паролей учетной записи, политика прав пользователей, политики аудита. Этого оказывается недостаточно при решении задач контроля за распределением доступа к ресурсам в конкретной сети. Необходимо иметь удобный инструмент организации собственных политик для тех или иных групп компьютеров или групп пользователей, регулируя, например, доступ к значениям ключей в реестре операционной системы. Такие, дополнительно созданные политики носят название Системных политик, поскольку имеют отношение к регламенту взаимодействия пользователей с Операционной системой.

Создание и редактирование Системных политик осуществляется с помощью Редактора системных политик (System Policy Editor), расположенного в группе мастеров администрирования и доступного из меню Пуск - Администрирование.

Политикой может называться любой набор установок, ограничивающих возможности пользователей и делающий более удобным процесс администрирования. Вообще говоря, все настройки в той или иной политике с помощью Редактора системных политик могут быть проделаны «вручную», например, с помощью Редактора реестра. Однако, Редактор системной политики предоставляет более удобный и, следовательно, надежный способ управления безопасностью компьютеров.

Системные опции, которые можно установить в той или иной политике представлены в виде древовидной структуры. Каждая ветвь соответствует определенному набору параметров системы.

Файлы, созданные редактором системной политики и предназначенные для конкретных компьютеров, групп компьютеров, пользователей, групп пользователей или всей сети в целом имеют расширение .POL. Можно подготовить несколько различных вариантов политик в независимом пространстве с тем, чтобы использовать разные политики при разных обстоятельствах.

Следует отметить, что изменения в реестре, установленные с помощью Редактора политик реализуются не сразу, а только после того, как политика записывается в определенное место при установлении связи с удаленным компьютером и пользователь входит в систему.

Существуют политики двух типов – компьютерные и пользовательские ( в том числе групповые). При этом, установки, предусмотренные компьютерной политикой затрагивают всех пользователей этого компьютера. Установки пользовательской политики затрагивают только определенного пользователя (группу пользователей). Для Windows NT группирование компьютеров при реализации политик не предусмотрено.

Всегда существуют политики по умолчанию Компьютерная политика по умолчанию (Default Computer Policy) и Пользовательская политика по умолчанию (Default User Policy). Эти политики предназначены для исполнения в том случае, если отсутствуют другие настроенные для этого пользователя или этого компьютера политики.

Как уже отмечалось, политики вступают в силу во время входа пользователя в систему, при этом процесс аутентификации выполняет необходимые изменения в реестре компьютера. Поэтому, после входа в систему, можно только менять политики для локального пользователя или локального компьютера, импорт новой политики с контроллера домена без повторного входа невозможен.

Файлы политик обычно располагаются в совместно используемом сетевом каталоге контроллера домена – winnt\system32\repl\export\. Следует отметить, что это стандартное место расположения можно изменить. Для этого следует установить новое место расположения файла политик в ключе реестра HKEY_LOCAL_MASHINE\System\CurrentControlSet\Control\Update, установив элемент UpdateMode = 2 и соответствующее значение элементы NetworkPath. (По умолчаию UpdateMode =1 и политика располагается в каталоге общих сетевых ресурсов Netlogon). NetworkPath должен представлять собой UNC путь, то есть иметь формат \\computername\sharename\filename.pol.

Создание новой политики с помощью Редактора политик начинается с выбора компьютера, для которого эта политика предназначена (выбор в меню редактора опции Edit-Add Computer). Любой компьютер при входе на сервер вначале будет искать компьютерную политику с именем, которым обладает подключаемый компьютер. Обнаружив политику, он применит эту политику к реестру компьютера. В противном случае он применит Компьютерную политику по умолчанию (Default Computer Policy).

Каждая политика может быть установлена в одно из следующих состояний:

  1.  Контролируется (Checked). Политика в действии. Возможно внесение изменений в свойства.
  2.  Очищено (Clear). Политика не задействована.
  3.  Серый фон (Gray). Опцию политики нельзя изменить клиентским компьютером и она сохраняет значение, установленное на сервере.

Политики по умолчанию (Default Computer Policy, Default User Policy) установлены в состояние Серый фон - опции этих политик нельзя изменить клиентским компьютером.

Установки политик имеют древовидную структуру, аналогичную структуре реестра. Устанавливая параметры ключей из различных разделов можно осуществить необходимую модификацию политики. Дерево компьютерной политики , в том числе политики Default Computer, для Windows NT включает в себя следующие разделы:

  1.  Сеть (Network)
  2.  Система (System)
  3.  Сеть Windows NT (Windows NT Network)
  4.  Принтеры Windows NT (Windows NT Printers)
  5.  Удаленный доступ Windows NT (Windows NT Remote Access)
  6.  Оболочка Windows NT (Windows NT Shell)
  7.  Система Windows NT (Windows NT System)
  8.  Профили пользователей Windows NT (Windows NT User Profiles)

Каждый раздел содержит набор ключей, которые позволяют модифицировать различные параметры. Список этих ключей приводится ниже. При этом, в качестве заголовка используется название представленного выше раздела политики, в качестве подзаголовков – имена ключей, содержащихся в соответствующем разделе. Подзаголовки следующего уровня – названия параметров (установок) и соответствующие им описания.

Сеть (Network)

  1.  Удаленная модификация (Remote Update) – ключ, содержащий описание места расположения файла Config.nt. Этот ключ содержит следующие установки:
  2.  Режим модификации (Update mode). По умолчанию UpdateMode =1 и политика располагается в каталоге общих сетевых ресурсов Netlogon. При UpdateMode = 2, операционная система выполнит поиск в указанном месте. (Естественно, структура файла политики аналогична с соответствующему разделу реестра HKEY_LOCAL_MASHINE\System\CurrentControlSet\Control\ Update, рассмотренного выше.)
  3.  Путь для ручной модификации (Path for manual update) – это место расположения файла политики в виде \\servrer\share\file.pol.
  4.  Показать сообщение об ошибках (Display error message). Разрешает отображать окно диагностики ошибок при доступе к файлу политик.
  5.  Баланс при загрузке (Load balancing) устанавливает возможность загружать файл политик с альтернативного (не основного) контроллера домена, минуя основной контроллер. Обычно используется в случаях перегруженности основного домена.

Система (System)

В реестре содержит 2 ключа:

  1.  SNTP Простой протокол управления сетью (Simple Network Management Protocol). Этот протокол описывает, как устройства на базе технологии Интернет – файловые серверы и клиенты – используют протокол TCP/IP. При этом службу SNMTP следует предварительно установить в системе и только после этого устанавливать следующие опции:
  2.  Объединения (Communities) позволяет добавлять устройства в SNTPобъединения
  3.  Допущенные менеджеры (Permitted Managers) устанавливает список тех, кто получит право управлять службой SNMP.
  4.  Внутренние прерывания для общедоступного объединения (Traps for Public Community) устанавливает список общедоступных объединений, получающих сообщения о внутренних прерываниях. Устанавливается обычно, если объединения не охватывают данный компьютер.
  5.  Выполнение (RUN) – ключ, содержащий список программ, которые выполняются при включении компьютера. Это могут быть как программы как ответственные за безопасность, так и административные действия – от поиска вирусов до восстановления содержимого диска в исходное состояние.
  6.  Пункты для выполнения (Items to run) устанавливает список программ, выполняемых при запуске операционной системы. В частности, для включения программ поиска вирусов в меню начальной загрузки следует установить опцию RUN Security Policy. 

Сеть Windows NT (Windows NT Network)

Содержит два ключа, которые контролируют скрытые совместно используемые ресурсы Windows NT – скрытые общие диски. (Важная цель для хакера). Следует по - возможности избегать использования общих ресурсов, пока не возникнет особая необходимость для их создания (например, для использования Административных средства контроля).

  1.  Создание скрытых общих дисков (Рабочая станция) (Create Hidden Drive Shares (Workstation)). При выборе этой опции рабочие станции Windows NT начинают создавать административные ресурсы C$, D$ и другие скрытые общие ресурсы, а также каталог Admin$. Обнуление этой опции запрещает их создание.
  2.  Создание скрытых общих дисков (Сервер) (Create Hidden Drive Shares (Server)) При выборе этой опции сервер Windows NT начинает создавать административные ресурсы C$, D$ и другие скрытые общие ресурсы, а также каталог Admin$. Обнуление этой опции запрещает их создание.

Принтеры Windows NT (Windows NT Printers)

Только одна из трех опций для принтеров имеет непосредственное отношение к безопасности – это опция Отключения управления просмотром (Disable Browse Thread).

  1.  Отключения управления просмотром на этом компьютере (Disable Browse Thread on this Computer). При выборе этой опции компьютер не сообщает программам просмотра сетевых ресурсов о существовании подключенных к нему принтеров. В списках принтер будет отсутствовать, однако, при этом сохраняется  возможность обращения к принтеру непосредственно по его адресу в сети.
  2.  Приоритет планировщика (Scheduler Priority) устанавливает приоритетность печати по отношению к прикладным программам.
  3.  Звуковой сигнал оповещения ошибки (Beep for Error Enabled) Установка этой опции заставит компьютер при возникновении ошибки печати подавать каждые 10 с звуковой сигнал.

Удаленный доступ Windows NT (Windows NT Remote Access)

Установки действуют на компьютерах с установленной службой удаленного доступа (Remote Access ServiceRAS).

  1.  Служба удаленного доступа (Remote Access ServiceRAS).
  2.  Максимальное число неудачных попыток аутентификации (Max Number of Unsuccessful Authentication Retries) определяет число попыток пользователя ввести свое имя и пароль. Значение по умолчанию равно 2. Это означает, что пользователь имеет три попытки ввода пароля при каждом соединении. Чем меньше количество попыток при каждом соединении, тем сложнее хакеру подобрать пароль.
  3.  Максимальный интервал времени для аутентификации (Max Time Limit for Authentication) определяет предел времени ожидания ввода пользователем имени и пароля. Значение по умолчанию равно 2 мин.
  4.  Время ожидания обратного вызова (Wait Interval for Callback) это время, в течение которого сервер будет задерживать обратный вызов клиента. Технология обратного вызова обсуждалась ранее. См. Контроль удаленного доступа к сети
  5.  Автоматическое разъединение (Auto Disconnect) значение, установленное в качестве времени автоматического разъединения связи устраняет возможность монопольного соединения.

Оболочка Windows NT (Windows NT Shell)

  1.  Заказные общие папки (Custom Shared Folders) устанавливает места хранения компонентов рабочего стола, что напрямую не связано с безопасностью, но, тем не менее доступно в редакторе. Этот ключ имеет следующие опции.
  2.  Заказные общие папки (Custom Shared Folders) представляет собой путь к месту хранения совместно используемых программ. По умолчанию это %SystemRoot\Profiles\AllUsers\StartMenu\Programs\
  3.  Заказные общие пиктограммы (Custom Shared Desktop Icons) представляет собой путь к месту хранения совместно используемых пиктограмм рабочего стола. По умолчанию это %SystemRoot\Profiles\AllUsers\StartMenu\ Desktop \
  4.  Заказное общее главное меню (Custom Shared Start Menu) путь к месту хранения совместно используемых элементов меню Start. По умолчанию это %SystemRoot\Profiles\AllUsers\StartMenu\ 
  5.  Заказная общая папка Автозагрузка (Custom Shared Start Folder) путь к месту хранения совместно используемых элементов Начальная загрузка (SturtUp) По умолчанию это %SystemRoot\Profiles\AllUsers\StartMenu\Programs\Sturtup\

Система Windows NT (Windows NT System)

В этом разделе можно установить параметры входа и детали поведения файловой системы. Эти конфигурации имеют прямое отношение к системе безопасности

  1.  Вход (Logon). Позволяет установить заголовок входа после аутентификации и способ выполнения сценариев входа.
  2.  Заголовок входа (Logon Bunner) информирует пользователя о надлежащем использовании компьютера в сети, в том числе о правах и обязанностях, назначении компьютеров и т.п. и состоит из частей:
    1.  Подпись (Caption) – информация, отражаемая в заголовке баннера.
    2.  Текст (Text) – основная часть сообщения.
  3.  Доступ к выключению из окна аутентификации (Enable  Shut Down from Authentication Dialog Box) – Наиболее безопасная для сохранности данных в компьютере установка состоит в предоставлении возможности пользователю осуществить выключение компьютера из окна аутентификации. Альтернативная установка приведет к попыткам выключения «вручную».
  4.  Не показывать на экране последнее зарегистрированное имя пользователя (Do  not display Last Logged On User Name) – эта установка предотвратит «подглядывание» имен пользователей хакером, но усложнит контроль использования техники Администратору.
  5.  Файловая система (File System). Три опции файловой системы предназначены главным образом для увеличения ее производительности.
  6.  Не создавать имена файлов длиной 8.3 для длинных имен (Do not Create 8.3 File Names for Long File Names) При отключении этой опции система умеет работать как с длинными именами (Windows допускает имена до 254 знаков), так и старыми – короткими именами MS-DOS.
  7.  Допускать дополнительные символы в именах файлов формата 8.3(Allow Extended Characters in 8.3 File Names) позволяет использовать набор символов Unicode в именах ASCII.
  8.  Не модифицировать время последнего доступа (Do not Update Last Access Time) По умолчанию после каждого доступа (в том числе чтения) файловая система NTFS изменит время последнего доступа для данного файла. Отключение опции существенно увеличит производительность, сократив время, затраченное на эту модификацию. Тем не менее в системах с повышенной секретностью следует оставлять эту опцию без изменения, поскольку это позволяет точнее осуществлять аудит.

Профили пользователей Windows NT (Windows NT User Profiles)

Опции профиля пользователей в основном влияют на производительность.

  1.  Удалить копии профилей «странствующих» пользователей (Delete Cached Copies of Roaming Profiles) – заставит клиентский компьютер всякий раз при выключении удалять профиль пользователя. Это экономит пространство на диске при большом числе пользователей, например, в студенческой аудитории.
  2.  Автоматически определять низкоскоростные соединения (Automatically Detect Slow Network Connections) Эта опция позволяет операционной системе выбирать способ осуществления связи при входе в систему (низкоскоростное или быстрое сетевое соединение).
  3.  Интервал ожидания низкоскоростного сетевого соединения (Slow Network Connections Timeout) Превышение времени установленного для загрузки профиля приведет к использованию профиля по умолчанию. По умолчанию значение 2000 мс.
  4.  Интервал ожидания ввода для диалоговых окон (Timeout for Dialog Boxes) Превышение интервала ожидания приведет к продолжению процесса без вмешательства пользователя. По умолчанию 30 с.

Файловые системы.

Терминология:

  1.  Кластер. Основная единица измерения информации, равная размеру нескольких секторов. (Параметр форматирования).
  2.  Раздел. Пространство на диске, содержащее том.
  3.  Том. Логическая структура файловой системы.
  4.  Сектор. Основная единица физической памяти.
  5.  Файловая система. Драйвер и структура используемая для хранения именованных данных в именованных контейнерах – файлах.
  6.  Форматирование. Создание Тома в разделе.

Файловые системы – основа компьютерной безопасности. Существуют 2 вида файловых систем:

  1.  FAT (File Allocation Table)система для MS DOS, Windows 95(NT), OS/2, Macintosh OS, Unix в различных вариантах. Представляет собой один слегка избыточный список, начиная с таблицы распределения и области с именами каталогов и кончая связанным списком кластеров, которые образуют файл. Нормально функционирует почти на любой ОС. Однако обладает недостатками, в том числе:
  2.  Низкая отказоустойчивость. Отсутствие методов восстановления файловой системы. Возможно появление ссылок на пустые места при неожиданном выключении компьютера. Необходимость использования специальных средств восстановления.
  3.  Единственный пользователь. Не содержит информации о владельцах объектов. Не предусмотрены меры безопасности. Несколько атрибутов – скрытые файлы или «только для чтения» легко изменить постороннему пользователю.
  4.  Неоптимальная стратегия обновления. Информация о каталогах расположена в первых секторах диска, которые обновляются всякий раз при каких – либо изменениях.
  5.  Неоптимальная фрагментация. Запись в первый свободный сектор, игнорируя неполное заполнение других секторов. Удаление неизбежно приводит к фрагментации.
  6.  Ограничение размера имен. Имя файла не более 8.3 символов. Более длинные имена хранятся в атрибутах файлов.
  7.  Ограничение объема. 2 Гб.

Сетевая безопасность может обеспечиваться на уровне разрешения доступа к совместно используемым сетевым ресурсам. Однако, такой вид безопасности не применим для служб, предоставляющих межсетевой доступ к локальной и анонимной учетной записям пользователей. (Используется в IISIntranet Information Server). В результате пользователи обладают незащищенным доступом к жесткому диску IIS сервера, установленного на FAT.

  1.  NTFS (New Technology File System). Обладает несколькими возможностями обеспечения отказоустойчивости:
  2.  Запись в файл регистрации транзакций (операций записи).
  3.  Быстрое восстановление.
  4.  Зеркальное отображение дисков. Точное дублирование данных.
  5.  Расщепление дисков с контролем четности.

Запись в файл регистрации транзакций. При записи в том NTFC оба состояния изменяемого файла первоначально записываются в специальном системном файле – файле транзакций. Затем, после удачной транзакции, журнал очищается. Этот процесс носит название прохождение контрольной точки. При невозможности завершить транзакцию происходит «откат» в первоначальное состояние с использованием предыдущей версии файла. ОС использует файл транзакций для восстановления, выполняя последовательно три операции:

  1.  Анализ. Определяет последовательность действий для восстановления каждого открытого файла.
  2.  Повторение. Пытается исправить данные, если в файле транзакций существует необходимая информация.
  3.  Возврат. Устанавливает данные в последнее известное нормальное состояние.

Запись в файл транзакций гарантирует стабильность файловой системы, но не гарантирует, что данные не будут потеряны в случае неожиданного выхода из строя системы.

Оперативная коррекция. NTFC автоматически определяет ошибку записи в секторе, помечает плохой кластер, выводит его из обращения и записывает данные в другой кластер. SCSI интерфейс поддерживает эту операцию на аппаратном уровне.

Зеркальное отображение дисков. NTFC предоставляет возможность создать в системе зеркальное отображение тома, хранящее те же данные. Это особенно важно для безопасного содержания загрузочных дисков.

Производительность NTFC. NTFC осуществляет кэширование данных и хранит их в кэше до тех пор, пока не предоставится удобный момент для записи не диск. Данные в КЭШе будут потеряны при сбое системы. Если определен зеркальный набор, чтение осуществляется с обоих дисков, что вдвое сокращает время доступа к файлу. При наличии расщепления дисков, данные распределяются по нескольким дискам, что пропорционально уменьшает время доступа. NTFC при сохранении поддерживает сжатие файлов, которое в среднем вдвое уменьшает объем файлов и, соответственно время записи-чтения. Однако на сервере приложений это приводит к снижению скорости выполнения операций.

Безопасность NTFC. NTFC предоставляет ряд мер защиты:

  1.  Права доступа, полученные на основе учетных записей.
  2.  Аудит. Информация о событиях, касающихся файловой системы может записываться в журнал безопасности. NTFC записывает время обращения к файлу по любому доступу. Чтобы сократить время обращения, затраченное на эту операцию, следует исключить эту опцию с помощью System policy Editor.  
  3.  Владение информацией. Пользователь, создавший файл или каталог становится его владельцем и имеет на него все права. Администратор может вступить в права владения файла или каталога.
  4.  Безопасное уничтожение файла. Сектора, не перечисленные в таблице размещения диска не доступны – данные из них не возвращаются. Всякий раз, когда требуется операция низкоуровневого доступа к кластеру диска, NTFC проверяет наличие кластера в таблице размещения. Если кластер отсутствует, то возвращаются нули, независимо от содержимого секторов. Однако сохраняется возможность считывания из других операционных систем.
  5.  Наборы томов. NTFC позволяет связать все диски в один большой диск, именуемый «набор томов». Это удобное средство отрицательно сказывается на безопасности из-за возникающей зависимости дисков в наборе – любой ошибочный диск испортит общение со всем набором. Производительность при этом не увеличивается.
  6.  Длинные имена файлов. 255 символов. Можно, используя редактор системной политики, ограничить размер до 8.3.
  7.  Выделение дисковых квот. Позволяет назначать определенным пользователям определенный объем свободного дискового пространства, однако Windows этого не делает, в отличие от других ОС. Это возможно с помощью программ сторонних разработчиков.

Права доступа. Как уже отмечалось, для каждого файла, каталога и тома устанавливается список управления доступом DACL, в котором перечислены пользователи и группы, обладающие правами доступа. Список содержит элементы управления доступом ASE. Следует отметить, что права доступа распространяются только на локальную машину и не имеют силы для сетевой службы. Права доступа обладают приоритетом над разрешениями на пользование общими ресурсами. К разрешениям пользования каталогами относятся:

  1.  Доступ запрещен. Препятствует любой попытке доступа к каталогу и файлам в нем.
  2.  Список. Позволяет просматривать имена файлов и каталогов и запрещает к ним доступ, если нет других прав доступа.
  3.  Чтение. Возможность открывать файлы и запусктьпрограммы.
  4.  Добавление. Возможность добавлять каталоги, даже если нет «чтения».
  5.  Изменение. Это чтение, добавление и удаление файлов и каталогов.
  6.  Полный контроль. Помимо изменения предоставляет владение файлом с возможностью изменения имени владельца и назначения разрешений.

Для установки разрешений можно использовать утилиту CACLS (Command-line Access Control ListS). Набранное в командной строке: CACLS  - отображает инструкцию по использованию команды.

Общий вид командыCACLS (в [] - необязательные параметры):

CACLS  имяФайла  [/T] [/E] [/C] [/G имя:доступ] [/R имя […]] [/P имя:доступ […]] [/D имя […]]

  1.  имяФайла - имя обрабатываемого файла. Для выбора нескольких файлов используются подстановочные знаки. При отсутствие необязательных параметров выводит содержимое таблицы управления доступом (ACL).
  2.  /TЗамена ACL для всех указанных файлов в текущем каталоге и всех подкаталогах.
  3.  /EИзменение ACL вместо ее замены.
  4.  /Cпродолжение при ошибках отказа в доступе.
  5.  /G – имя:доступ – определение разрешений для указанных пользователей. При этом доступ:
  6.  R – чтение
  7.  W – запись
  8.  C – изменение
  9.  F – полный доступ
  10.  /R имя – отзыв разрешений для пользователя. (Только вместе с /E)
  11.  /P имя:доступ – замена разрешение для указанного пользователя. При этом доступ:
  12.  N - отсутствует
  13.  R – чтение
  14.  W – запись
  15.  C – изменение
  16.  F – полный доступ
  17.  /D имя – запрет на доступ для указанного пользователя.
  18.  Сокращения (могут располагаться перед доступом):
  19.  (CI) – ASE будет унаследован папками
  20.  (IO) - ASE будет унаследован файлами
  21.  (OI) - ASE не будет применим к текущему файлу (только наследование).

При предоставлении разрешений рекомендуется придерживаться следующих правил:

  1.  Осуществлять жесткие меры безопасности ко всем без исключения файлам.
  2.  Заменить на всех дисководах, кроме загрузочных и системных, принятое по умолчанию Полный доступ (Full Control) для групп Все (Everyone)  и Пользователи домена (Domain Users).
  3.  Назначать права доступа только «по необходимости», разделив пользователей на необходимое количество групп.
  4.  Использовать Нет доступа (No Access) только при необходимости запрета другого разрешения доступа.
  5.  Использовать специальные утилиты третьих фирм для аудита и управления доступом.

Пример использования утилиты:

  1.  CD\WINNT\SYSTEM32\DRIVERS
  2.  CACLS *.* /E /C /P DomainUsers:R

Из-за большого числа совместно используемых ресурсов обязательно будут происходить конфликты прав доступа. Как участник нескольких группах пользователь в одних группах может обладать правами доступа, в других – нет. Поэтому используются следующие регламентирующие соглашения:

  1.  Администраторы всегда имеют полный доступ ко всем ресурсам системы, однако доступ может быть отклонен, если в DACL нет администратора, до тех пор, пока не будет получено право на владение объектом.
  2.  Права объединяются и назначается максимально возможный приоритет.
  3.  No Access имеет максимальный приоритет.
  4.  При наличии конфликта выбирается максимально строгое правило. Например, если право доступа к общему ресурсу «Полный контроль», а в файловой системе лишь «Чтение», файл становится доступным только для чтения.

Копирование файла в отличие от перемещения меняет права доступа на права нового файла в принимающем каталоге.

ПРИЛОЖЕНИЕ

Классическое меню Пуск (Classic Start Menu) применялось в предыдущих версиях Windows. По щелчку кнопки Пуск (Start) на экране появляется меню, открывающее доступ к остальным меню и командам.

Чтобы с помощью классического меню получить доступ к средствам администрирования, щелкните кнопку Пуск (Start), затем Программы (Programs), затем Администрирование (Administrative Tools). Доступ к Панели управления

6 Часть I Основы администрирования Windows Server 2003

(Control Panel) открывает одноименная команда из подменю Настройка (Settings).

Упрощенное меню Пуск (Simple Start Menu) позволяет быстро запускать часто используемые программы и команды. В нем, например, имеется команда непосредственно для выключения компьютера.

Чтобы с помощью упрощенного меню получить доступ к средствам администрирования, открывать промежуточное меню не нужно — в нем самом есть команда Администрирование (Administrative Tools). Другая команда сразу же откроет Панель управления (Control Panel).

Контроллеры домена и рядовые серверы

При установке Windows Server 2003 систему можно конфигурировать как рядовой сервер, контроллер домена или изолированный сервер. Различия между этими типами серверов чрезвычайно важны. Рядовые серверы являются частью домена, ноне хранят информацию каталога. Контроллеры домена хранят данные каталога и выполняют службы аутентификации и каталога в рамках домена. Изолированные серверы не являются частью домена и имеют собственную БД пользователей, поэтому изолированный сервер также аутентифицирует запросы на вход.

Windows Server 2003 не различает основные и резервные контроллеры домена, так как поддерживает модель репликации с несколькими хозяевами. В этой модели любой контроллер домена может обрабатывать изменения каталога и затем автоматически реплицирует их на другие контроллеры домена. В модели репликации с одним хозяином в Windows NT все происходит не так:

основной контроллер домена хранит главную копию каталога, а резервные — ее копии. Кроме того, Windows NT распространяет только БД диспетчера учетных записей безопасности (security access manager, SAM), a Windows Server 2003 — весь каталог информации, называемый хранилищем данных (data store). В нем есть наборы объектов, представляющие

  1.  учетные записи пользователей,
  2.  групп и компьютеров,
  3.  а также общие ресурсы, например
  4.  серверы,
  5.  файлы
  6.  и принтеры.

Домены, в которых применяются службы Active Directory, называют доменами Active Directory, чтобы отличать их от доменов Windows NT. Хотя Active Directory работает только с одним контроллером домена, в домене можно и нужно создать дополнительные контроллеры. Если один контроллер выходит из строя, для выполнения аутентификации и других важных задач можно задействовать другие.

В домене Active Directory любой рядовой сервер разрешается повысить до уровня контроллера домена без переустановки ОС, как того требовала Windows NT. Для превращения рядового сервера в контроллер следует лишь установить на него компонент Active Directory. Возможно и обратное действие: понижение контроллера домена до рядового сервера, если он не является последним контроллером домена в сети. Вот как повысить или понизить уровень сервера посредством мастера установки Active Directory.

1. Щелкните Пуск (Start).

2. Щелкните Выполнить (Run).

3. Наберите dcpromo в поле Открыть (Open) и щелкните ОК,

Роли серверов

В Windows Server 2003 конфигурация сервера основана на службах, которые он предоставляет. Службы можно добавлять или удалять в любой момент, используя Мастер настройки сервера (Configure Your Server).

1. Щелкните Пуск (Start).

2. Щелкните Программы (Programs) или Все программы (Аll Programs).

3. Щелкните Администрирование (Administrative Tools) и выберите Мастер настройки сервера (Configure Your Server).

4. Дважды щелкните Далее (Next). Windows Server 2003 соберет информацию о текущих ролях сервера. В окне Роль сервера (Server Role) отобразится список доступных ролей с указанием, заданы ли они уже. Добавить или удалить роль очень просто.

  1.  Если роль не настроена и вы хотите ее добавить, выделите ее название в столбце Роль сервера (Server Role) и щелкните Далее (Next). Затем следуйте инструкциям.
  2.  Если роль настроена и вы хотите ее удалить, выделите ее название в столбце Роль сервера (Server Role) и щелкните Далее (Next). Внимательно прочитайте все предупреждения, а затем следуйте инструкциям.

Любой сервер может поддерживать одну или более следующих ролей.

  1.  Контроллер домена (Domain controller) — сервер, на котором работают службы каталогов и располагается хранилище данных каталога. Контроллеры домена также отвечают за вход в сеть и поиск в каталоге. При выборе этой роли на сервере будут установлены DNS и Active Directory.
  2.  Почтовый сервер (POPS, SMTP) [Mail server (РОРЗ, SMTP)] -сервер, на котором работают основные почтовые службы РОРЗ (Post Office Protocol 3) и SMTP (Simple Mail Transfer Protocol), благодаря чему почтовые РОРЗ - клиенты домена могут отправлять и получать электронную почту. Выбрав эту роль, вы определяете домен по умолчанию для обмена почтой и создаете почтовые ящики. Эти службы удобны в небольших компаниях или при удаленном соединении, когда электронная почта необходима, но вполне может обойтись без функциональности Microsoft Exchange Server.
  3.  Сервер печати (Print, server) — сервер, организующий доступ к сетевым принтерам и управляющий очередями печати и драйверами принтеров. Выбор этой роли позволит вам быстро настроить параметры принтеров и драйверов
  4.  Сервер потоков мультимедиа (Streaming media server) — сервер, предоставляющий мультимедийные потоки другим системам сети или Интернета. Выбор этой роли приводит к установке служб Windows Media. Эта роль поддерживается только в версиях Standard Edition и Enterprise Edition.
  5.  Сервер приложений (Application server) — сервер, на котором выполняются Web-службы XML, Web-приложения и распределенные приложения. При назначении серверу этой роли на нем автоматически устанавливаются IIS, COM+ и Microsoft.NET Framework. При желании вы можете добавить к ним серверные расширения Microsoft FrontPage, а также включить или выключить ASP.NET.
  6.  Сервер терминалов (Terminal Server) — сервер, выполняющий задачи для клиентских компьютеров, которые работают в режиме терминальной службы. Выбор этой роли приводит к установке Terminal Server. Для удаленного управления сервером устанавливать Terminal Server не нужно. Необходимый для этого удаленный рабочий стол (Remote Desktop) устанавливается автоматически вместе с ОС.
  7.  Сервер удаленного доступа или VPN-сервер (Remote access/VPN server) — сервер, осуществляющий маршрутизацию сетевого трафика и управляющий телефонными соединениями и соединениями через виртуальные частные сети (virtual private network, VPN). Выбрав эту роль, вы запустите Мастер настройки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard). С помощью параметров маршрутизации и удаленного доступа вы можете разрешить только исходящие подключения, входящие и исходящие подключения или полностью запретить доступ извне.
  8.  Узел кластера серверов (Server cluster node) — сервер, действующий в составе группы серверов, объединенных в кластер. Выбор этой роли приводит к запуску Мастера создания кластера (New Server Cluster Wizard), позволяющего создать новую кластерную группу, или Мастера добавления узлов (Add Nodes Wizard), который поможет добавить сервер к существующему кластеру. Эта роль поддерживается только в версиях Enterprise Edition и Datacenter Edition.
  9.  Файл-сервер (File server) — сервер, предоставляющий доступ к файлам и управляющий им. Выбор этой роли позволит вам быстро настроить параметры квотирования и индексирования. Вы также можете установить Web-приложение для администрирования файлов. В этом случае будет установлен IIS и включены страницы ASP (Active Server Pages).
  10.  DHCP-сервер (DHCP Server) — сервер, на котором запущен DHCP (Dynamic Host Configuration Protocol), позволяющий автоматизировать назначение IP-адресов клиентам сети. При выборе этой роли на сервере будет установлен DHCP и запущен Мастер создания области (New Scope Wizard).
  11.  DNS-сервер (DNS Server) — сервер, на котором запущена служба DNS, разрешающая имена компьютеров в IP-адреса и наоборот. При выборе этой роли на сервере будет установлена DNS и запущен Мастер настройки DNS-сервера (Configure DNS Server Wizard).
  12.  WINS-сервер (WINS server) — сервер, на котором запущена служба WINS (Windows Internet Name Service), разрешающая имена NetBIOS в IP-адреса и наоборот. Выбор этой роли приводит к установке WINS.


 

А также другие работы, которые могут Вас заинтересовать

13951. Крокує осінь золота. Виразне читання пісні Б. Лепкого «Журавлі» 46 KB
  УРОК № 9 Тема.Крокує осінь золота. Виразне читання пісні Б. Лепкого Журавлі. Мета:розвивати навички виразного читання пам’ять учнів естетичні смаки вміння висловлювати власні судження про значення Батьківщини у житті людини; виховувати патріотичні почуття любов...
13952. Корупція. Стан, структура та тенденції розвитку корупції в Україні 270 KB
  Корупція в сучасних умовах стала чинником, який реально загрожує національній безпеці і конституційному ладу України. Це явище негативно впливає на різні сторони суспільного життя: економіку, політику, управління, соціальну і правову сфери, громадську свідомість, міжнародні відносини. Корумповані відносини все більше витісняють правові, етичні відносини між людьми, із аномалії поступово перетворюються у норму поведінки
13953. Вінграновський. «Грім» 77 KB
  УРОК № 10 Тема. М. Вінграновський. Грім. Мета: ознайомити учнів з окремими фрагментами біографії письменника його поезією; розвивати навички виразного читання ліричних творів визначення засобів художньої виразності та їхньої ролі у віршах; виховувати спостережли...
13954. Обработка документов XML с использованием средств DOM-анализаторов в языке Java 244 KB
  Абстрактный класс DocumentBuilder определяет интерфейс прикладного программирования – API (Application Program Interface) для получения экземпляров объекта Document из документа XML.
13955. «Що робить сонце уночі» М. Вінграновський 50 KB
  УРОК № 11 Тема. М. Вінграновський. Що робить сонце уночі. Мета: ознайомити з віршем письменника допомогти учням усвідомити його ідейнохудожній зміст; розвивати навички виразного читання коментування змісту ліричного твору його поетичних особливостей; навички само...
13956. Магнітний потік 2.9 MB
  Тема уроку. Магнітний потік. Мета: Формувати поняття магнітного потоку. Навчити учнів якісно визначати магнітний потік через контури різної площі в тому самому і в різних магнітних полях. Встановити зв'язок магнітного потоку з числом ліній магнітної індукції що прони
13957. Преобразование документов XML с использованием языка XSLT 565 KB
  Процесс преобразования входного документа в соответствии с описанными правилами называется применением преобразования к входному документу или просто выполнением преобразования. Это выполнение осуществляют специальные программы, которые называются процессорами XSLT.
13958. «Гусенятко» М. Вінграновський 45 KB
  УРОК № 12 Тема. М. Вінграновський. Гусенятко. Мета: ознайомити учнів з оповіданням письменника допомогти їм визначити думку про твір; розвивати навички виразного читання переказу прозових творів складання плану; виховувати любов до природи до всього живого гумані...
13959. Использование языка XSL для форматирования документов XML 519 KB
  Текстовый документ, содержащий объекты форматирования, т.е. элементы в пространстве имен fo:, называется документом FO. Этот документ описывает как общую компоновку отформатированного документа XML, так и его стилевое оформление.