Современные сетевые операционные системы Windows XP Professional

"Общий Ресурс" - это  сетевое имя папки, под ним  она будет отображаться в ЛВС.  Сетевое имя не обязательно  должно совпадать с именем  самой папки.

"Разрешить изменение  файлов по сети" - позволяет  пользователям копировать в эту  папку свои файлы, а так же  изменять ваши. По соображениям  безопасности не стоит открывать  полный доступ к системным  папкам (Windows, Program Files) и содержащим  важные для вас данные. Лучше  всего создать специальную папку  для входящих файлов (например Income) и открыть полный доступ только  к ней.

 

Расширенный общий доступ к файлам

 

Собственно, это основной режим, известный ещё со времён Windows 2000. Как правило, для работы в домашней сети достаточно режима "Простой  общий доступ к файлам", однако, если требуется более серьёзное  разграничение, необходимо включить "Расширенный  общий доступ", для этого, в любом окне нужно выбрать: Сервис > Свойства папки > Вид, и убрать галочку с параметра "Использовать простой общий доступ к файлам".

"Предельное число пользователей" - имеет смысл ограничивать только  в очень больших сетях или на слабых компьютерах.

"Кэширование" - знакомая  по Internet Explorer функция, которая позволяет  переписывать содержимое папок себе на жесткий диск, чтобы в случае отключения удаленного компьютера работа с документами не прервалась.

"Разрешения" - настройки  пользователей, которым будет  доступна данная папка.

Необходимое условие для  нормальной работы в расширенном  режиме состоит в том, чтобы на компьютере, к которому вы обращаетесь, существовала учетная запись с таким  же именем и паролем, как и на вашем. Причем пароль не должен быть пустым.

Например, вы пытаетесь c компьютера с именем SYS01 получить доступ к папке "Pictures", находящейся на компьютере Server из под учетной записи User01. При  этом на компьютере Server также должна существовать учетная запись User01. Если нет, тогда её необходимо создать. Создать  новые учетные записи в Windows XP можно  на закладке. "Пуск">"Настройка">"Панель Управления">"Учетные записи пользователей". Учетная запись "Гость" позволяет получать доступ любому пользователю, с любого компьютера входящего в сеть, логично назначить гостевой доступ в ограниченном режиме.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Безопасность  в Windows XP

1. Стратегия безопасности Windows XP

 

Модель безопасности Windows XP Professional основана на понятиях аутентификации и авторизации. При аутентификации проверяются идентификационные данные пользователя, а при авторизации - наличие у него прав доступа к ресурсам компьютера или сети. В Windows XP Professional также имеются технологии шифрования, которые защищают конфиденциальные данные на диске и в сетях: например, EFS (Encrypting File System), технология открытого ключа.

 

Аутентификация

 

Регистрируясь на компьютере для получения доступа к ресурсам локального компьютера или сети, пользователь должен ввести свое имя и пароль. В Windows XP Professional возможна единая регистрация для доступа ко всем сетевым ресурсам. Таким образом, пользователь может войти в систему с клиентского компьютера по единому паролю или смарт-карте и получить доступ к другим компьютерам домена без повторного ввода идентификационных данных. Главный протокол безопасности в доменах Windows 2000 - Kerberos версии 5. Для аутентификации на серверах под управлением Windows NT 4.0 и доступа к ресурсам доменов Windows NT клиенты Windows XP Professional используют протокол NTLM. Компьютеры с Windows XP Professional, не принадлежащие к домену, также применяют для аутентификации протокол NTLM. Используя Windows XP Professional в сети с активным каталогом (Active Directory), можно управлять безопасностью регистрации с помощью параметров политики групп, например, ограничивать доступ к компьютерам и принудительно завершать сеансы работы пользователей спустя заданное время. Можно применять предварительно сконфигурированные шаблоны безопасности, соответствующие требованиям к безопасности данной рабочей станции или сети. Шаблоны представляют собой файлы с предварительно сконфигурированными параметрами безопасности, которые можно применять на локальном компьютере или импортировать в групповые политики активного каталога. Эти шаблоны используются в неизменном виде или настраиваются для определенных нужд.

 

Авторизация

 

Авторизация позволяет контролировать доступ пользователей к ресурсам. Применение списков управления доступом (access control list, ACL) и прав доступа NTFS гарантирует, что пользователь получит доступ только к нужным ему ресурсам, например, к файлам, дискам (в том числе сетевым), принтерам и приложениям. С помощью групп безопасности, прав пользователей и прав доступа можно одновременно управлять безопасностью как на уровне ресурсов, так и на уровне файлов, папок и прав отдельных пользователей.

 

Группы безопасности

 

Группы безопасности упрощают управление доступом к ресурсам. Можно  приписывать пользователей к  группам безопасности, а затем  предоставлять этим группам права  доступа. Можно добавлять пользователей  к группам безопасности и удалять  их оттуда в соответствии с потребностями  этих пользователей. Оснастка MMC Computer Management позволяет создавать учетные записи пользователей и помещать их в локальные группы безопасности. Можно предоставлять пользователям права доступа к файлам и папкам и определять действия, которые пользователи могут выполнять над ними. Можно разрешить и наследование прав доступа. При этом права доступа, определенные для каталога, применяются ко всем его подкаталогам и находящимся в них файлам. Среди групп безопасности, локальных для домена и компьютера, имеется ряд предварительно сконфигурированных групп, в которые можно включать пользователей.

 

Администраторы (Administrators) обладают полным контролем над локальным  компьютером и правами на совершение любых действий. При установке Windows XP Professional для этой группы создается  и назначается встроенная учетная  запись Администратор (Administrator). Когда  компьютер присоединяется к домену, по умолчанию к группе Администраторы добавляется группа Администраторы домена (Domain Administrators).

 

Опытные пользователи (Power Users) обладают правами на чтение и запись файлов не только в личных папках, но и за их пределами. Они могут устанавливать  приложения и выполнять многие административные действия. У членов этой группы такой  же уровень прав доступа, что и  у групп Пользователи (Users) и Опытные  пользователи (Power Users) в Windows NT 4.0.

 

Пользователи (Users) в отношении  большей части системы имеют  только право на чтение. У них  есть право на чтение и запись только файлов их личных папок. Пользователи не могут читать данные других пользователей (если они не находятся в общей  папке), устанавливать приложения, требующие  модификации системных каталогов  или реестра, и выполнять административные действия. Права пользователей в Windows XP Professional более ограниченны по сравнению с Windows NT 4.0.

 

Гости (Guests) могут регистрироваться по встроенной учетной записи Guest и  выполнять ограниченный набор действий, в том числе выключать компьютер. Пользователи, не имеющие учетной записи на этом компьютере, или пользователи, чьи учетные записи отключены (но не удалены), могут зарегистрироваться на компьютере по учетной записи Guest. Можно устанавливать права доступа для этой учетной записи, которая по умолчанию входит во встроенную группу Guests. По умолчанию учетная запись Guest отключена. Можно сконфигурировать списки управления доступом (ACL) для групп ресурсов или групп безопасности и по мере необходимости добавлять/удалять из них пользователей или ресурсы, что облегчает управление правами доступа и их аудит. Это также позволяет реже изменять ACL. Можно предоставить пользователям права на доступ к файлам и папкам и указать действия, которые можно выполнять с ними. Можно также разрешить наследование прав доступа; при этом права доступа к некоторой папке применяются и к ее подкаталогам и находящимся в них файлам. При работе с Windows XP Professional в составе рабочей группы или в изолированном режиме вам предоставляются права администратора, и у вас есть все права по отношению ко всем функциям безопасности ОС. Если компьютер под управлением Windows XP Professional включен в сеть, параметры безопасности определяет сетевой администратор.

 

Политика групп

 

Параметры политики групп  позволяют назначать ресурсам права  доступа, а также предоставлять права доступа пользователям. Это нужно для того, чтобы требовать запуска определенных приложений только в заданном контексте безопасности (тем самым снижая риск воздействия на компьютер нежелательных приложений, например, вирусов) и конфигурировать различные права доступа для множества клиентских компьютеров. Можно сконфигурировать права доступа на эталонном компьютере, который будет использован как базовый образ для установки на другие рабочие станции, гарантируя, таким образом, стандартизованное управление безопасностью даже в отсутствие Active Directory. Функции аудита позволяют обнаруживать попытки отключить или обойти защиту ресурсов. Можно задействовать предварительно сконфигурированные шаблоны безопасности, соответствующие требованиям безопасности для данной рабочей станции или сети. Шаблоны безопасности - это файлы с предварительно установленными параметрами безопасности, которые применяют к локальному компьютеру или импортируют в групповые политики активного каталога (Active Directory). Шаблоны безопасности используются в неизменном виде или настраиваются в соответствии с определенными задачами.

 

Шифрование

 

EFS (Encrypting File System) позволяет  зашифровать данные на жестком  диске. Риск кражи портативных  компьютеров особенно велик, а  с помощью EFS можно усилить  безопасность путем шифрования  данных на жестких дисках портативных  компьютеров компании. Эта предосторожность  защищает информацию и идентификационные  данные от несанкционированного доступа.

 

2. Корпоративная безопасность

 

Windows XP Professional поддерживает  ряд функций защиты избранных  файлов, приложений и других ресурсов. В их числе списки управления  доступом (ACL), группы безопасности  и групповая политика, а также  средства конфигурирования и  управления этими функциями. В  совокупности они обеспечивают  мощную, но гибкую инфраструктуру  управления доступом в корпоративных  сетях. Windows XP поддерживает тысячи  относящихся к безопасности параметров конфигурации, которые можно применять и по отдельности. В Windows XP также есть предопределенные шаблоны безопасности, обычно используемые без изменений или как основа для особой настройки конфигурации безопасности. Эти шаблоны безопасности применяются при: создании ресурса, такого как общая папка или файл; при этом вы вправе воспользоваться заданными по умолчанию ACL или настроить их в соответствии со своими потребностями; распределении пользователей по стандартным группам безопасности, таким как Users, Power Users и Administrators, и принятии заданных по умолчанию параметров ACL; использовании предоставляемых ОС шаблонов групповой политики - Basic (основной), Compatible (совместимый), Secure (безопасный) или Highly Secure (высокобезопасный). Каждая из особенностей системы безопасности Windows XP - списки ACL, группы безопасности и групповая политика - имеет параметры по умолчанию, которые разрешается изменять в соответствии с требованиями организации. Предприятия также вправе применять соответствующие средства для реализации и настройки управления доступом. Многие из этих средств, такие как оснастки Microsoft Management Console, представляют собой компоненты Windows XP Professional, другие поставляются в составе комплекта ресурсов Windows XP Professional Resource Kit.

 

3. Управляемый доступ к сети

 

Windows XP содержит встроенную  подсистему безопасности для  предотвращения вторжений. Ее работа базируется на ограничении прав любого, кто пытается получить доступ к компьютеру из сети до привилегий гостевой учетной записи. Взломщикам или вообще не удастся получить доступ к компьютеру и перебором паролей получить дополнительные привилегии, или они получат только ограниченный гостевой доступ.

 

Управление сетевой проверкой  подлинности

 

Все большее число систем под управлением Windows XP Professional подключается к Интернету напрямую, а не через домены. Поэтому продуманная система управления доступом (в том числе устойчивыми паролями и разрешениями, сопоставленными учетными записями) важна как никогда ранее. Для обеспечения безопасности следует избегать анонимных параметров управления доступом, обычно связанных с открытыми средами, подобными Интернету. Вот почему в Windows XP Professional по умолчанию все пользователи, вошедшие по сети, работают под учетной записью Guest. Это исключает для злоумышленника возможность войти в систему через Интернет под локальной учетной записью Администратор (Administrator), у которой нет пароля.

 

4. Упрощенное совместное использование  ресурсов

 

Модель совместного использования  и безопасности для локальных  учетных записей позволяет выбрать модель безопасности на основе применения исключительно гостевой учетной записи (Guest) либо классическую (Classic) модель безопасности. В гостевой модели при любых попытках войти в систему локального компьютера через сеть применяется только гостевая учетная запись. В классической модели пользователи при доступе через сеть входят в систему локального компьютера под своими учетными записями. На компьютерах в составе домена эта политика не применяется, а по умолчанию используется гостевая учетная запись. Если гостевая учетная запись существует и ей назначен пустой пароль, сетевые пользователи смогут войти в систему и получить доступ к любому ресурсу, разрешенному для доступа учетной записи Guest. При включенной политике “force network logons using local accounts to authenticate as Guest” локальные учетные записи должны аутентифицироваться как учетная запись Guest при доступе через сеть. Эта политика служит для ограничения разрешений локальной учетной записи, обращающейся к системным ресурсам на другом сетевом компьютере. Кроме того, на компьютерах, поддерживающих модель упрощенной защиты общих ресурсов, диалоговое окно Security Properties заменено упрощенным диалоговым окном Shared Documents Properties.

 

5. Ограничение на учетные записи  с пустыми паролями

 

Для безопасности пользователей, не защитивших свою учетную запись паролем, в Windows XP Professional такие учетные  записи разрешено применять только для входа в систему компьютера с его консоли. По умолчанию учетные записи с пустыми паролями запрещено применять для входа в систему удаленно по сети и вообще для любых других действий по входу в систему, кроме как с физической консоли компьютера. Например, нельзя задействовать службу вторичного входа в систему (RunAs - запуск от имени) для запуска программ под учетной записью с пустым паролем локального пользователя. Назначение пароля локальной учетной записи устраняет указанное ограничение на вход через сеть, а также предоставляет ей доступ по сети к любым ресурсам, на которые у нее есть права. Если ваш компьютер не расположен в физически защищенном помещении, рекомендуется назначать пароли всем локальным учетным записям пользователей. Несоблюдение этого требования ведет к тому, что любой пользователь, получивший физический доступ к компьютеру, может войти в систему под учетной записью без пароля. Это особенно важно для переносных компьютеров, на которых следует предусмотреть устойчивые пароли для всех локальных учетных записей пользователей. Указанное ограничение не относится к доменным учетным записям, а также к локальной гостевой учетной записи. Если учетная запись Guest с пустым паролем существует, под ней можно войти в систему и обратиться к любому ресурсу, разрешенному ей для доступа. Если требуется отключить ограничение на вход через сеть без пароля, надо соответствующим образом настроить локальную политику безопасности (Local Security Policy).