Vvmebel.com

Новости с мира ПК
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка безопасности xp

Настройка Windows XP SP2 на полную БЕЗОПАСНОСТЬ

Сначало отключим нежелательные службы:
Нажмём на клавиатуре (WIN+R) и введём » msconfig » перейдём на закладку Службы. Здесь мы будем отключать ненужные сервисы и службы:
(Отключайте службы только в том случае если вы не пользуетесь их функциями)

Сервер папки обмена — дает возможность удаленным пользователям просматривать вашу папку обмена. Отключаем.

Сервер — обычно компьютер, предоставляющий общие ресурсы пользователям сети. Отключено.

Модуль поддержки NetBIOS через TCP/IP — обеспечивает работу SMB-протокола. Отключаем.

Защищенное хранилище — служба, сохраняющая локальные и интернет-пароли. ОТКЛЮЧАЕМ.

Диспетчер автоподключений удаленного доступа — представьте себе такую ситуацию: вы открываете свежесохраненную страницу, а на ней присутствует баннер, который ссылается на другую страницу, и ваш explorer рьяно хочет подключиться к нету. Представили? Вам оно надо? Отключаем.

Диспетчер сеанса справки для удаленного рабочего стола — а если возьмут, да и помогут . Отключаем.

Удаленный реестр — позволяет удаленно управлять вашим реестром. Отключаем.

Вторичный вход в систему — позволяет запускать специфические процессы с правами другой учетной записи. Отключаем.

Служба терминалов — дает возможность работать на вашем компьютере удаленному пользователю при помощи утилиты Remote Desktop. Отключено.

Telnet — Сервер удаленного управления через командную строку. Отключаем.

Теперь начнём редактировать реестр. Нажмём на клавиатуре (WIN+R) и введём » regedit «

2 В прошлых версиях Windows 9x сохранение паролей было большой проблемой. Теперь это не так, Windows 2000 и XP защищают эту информацию значительно лучше. Но, опять же, вам решать, позволить операционной системе хранить пароли на диске или нет. Это касается паролей пользователей и сетевых паролей.
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork] «DisablePwdCaching»=’1′

3 Запрашивать пароль при возвращении к работе из режима ожидания
[HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSystemPower] «PromptPasswordOnResume»=’1′

4 Отмена сохранения паролей в Internet Explorer
Если вы доверяете компании Микрософт в хранении паролей и другой конфиденциальной информации, то можете разрешить Windows хранить пароль доступа в Интернет на диске своего компьютера, но это не очень хорошая идея.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings] «DisablePasswordCaching»=’1′

5 Запрет доступа для анонимных пользователей
Анонимный пользователь может получить доступ к списку пользователей и открытых ресурсов, чтобы это запретить, можно воспользоваться этим ключом.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA] «RestrictAnonymous»=’1′

6 Данными действиями мы запретим просмотр пользователям с правами Гостя журналов системы

1 Отключение «Удаленной помощи» (Remote Assistance and Desktop Sharing).
Для этого жмём Win (слева от левого ALt) + Break или Мой компьютер -> Свойства -> Удалённые сеансы и на одноимённой вкладке снимаем галочки.

2 Если вы не используете Windows Messenger (большинство людей даже не задумывается об его использовании ), то почему бы ни удалить его вовсе? Каждый раз при загрузке системы Messenger тоже стартует, замедляет при этом процесс загрузки, пожирает системные ресурсы и открывает соответствующий порт (при наличие эксплойта к нему можно взломать Windows). А для того, чтобы его удалить, надо всего лишь один раз в командной строке (Пуск -> Выполнить) напечатать следующее: «RunDll32 advpack.dll,LaunchINFSection %windir%INFmsmsgs.inf,BLC.Remove» и нажать «OK». После этой операции вам будет предложено перезагрузиться. После перезагрузки Messenger у себя на компьютере вы больше не найдете.

3 Зайди в папку «Администрирование -> Управление компьютером -> Локальные пользователи и группы -> Пользователи» в этом каталоге удаляем все учётные записи кроме Администратора, Гостя, и Твоей. После этого блокируем и запароливаем учётную запись Гостя, и лучше поменять именами Администратора и Гостя.

4 Зайди в папку Администрирование и открывай иконку с одноименным названием, далее найди там раздел Локальные политик->Политика аудита. Настраивай следующие параметры: Аудит входа в систему (Успех, Отказ) и Аудит изменения политики (Успех, Отказ). Настройка аудит позволит тебе вычислить попытки входа в систему по учетной записи Администратор (она же Гость), что в дальнейшем тебе позволит заранее узнать о наглых посягательств на твою ОСь.

5 Дальше опять зайди в папку «Администрирование -> Локальная политика безопасности» будем назначать права пользователей. Смело открывай там же «Назначение прав пользователя» и установи следующие параметры: «Восстановление файлов и каталогов» и «Архивирование файлов и каталогов» (там должна присутствовать, только группа Администраторы.), «Доступ к компьютеру из сети» (удаляй всех на фиг, у тебя же машина не сервер какой нибудь =)), «Отказ в доступе к компьютеру из сети» (смело добавляй группу Администраторы и Гостей, это тебе позволит избежать потом многих проблем, да же если у тебя все-таки взломают учтенную запись с правами Администратора, никто не сможет получить доступ к твоему компьютеру удалено.

6 «Администрирование -> Локальная политика безопасности -> Параметры безопасности» и настраивай следующие параметры:
«Автоматически отключать сеансы пользователей по истечении разрешенного времени» (ставь Включить),
«Длительность простоя перед отключением сеанса» (скажем так я у себя на компьютере ставлю 10 минут),
«Дополнительные ограничения для анонимных подключений» (установи в значение «Нет доступа, без явного разрешения анонимного доступа»),
«Использовать цифровую подпись со стороны клиента (Всегда)» (Включить), «Использовать цифровую подпись со стороны клиента (по возможности)» (Включить),
«Использовать цифровую подпись со стороны сервера (Всегда)» (Включить), «Использовать цифровую подпись со стороны сервера (по возможности)» (Включить),
«Не отображать последнего имени пользователя в диалоге входа» (Включить), «Отключить CTRL+ALT+DEL запрос на вход в систему» (Отключено),
«Разрешить доступ к дисководам компакт-дисков только локальным пользователям» (включить),
«Разрешить доступ к НГМД только локальным пользователям» (Включить), «Уровень проверки подлинности LAN Manager» (Посылать ответ только NTLMv2, отказывать LM и NTLM).

Настройка безопасности xp

Expert
Инженер технической поддержки

Дата регистрации: 27.07.2006
Сообщения: 1,462
Деньги: 25.413 копеек
Имя в миру: Алексей
Откуда: Москва

Отсутствую

Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Мы надеемся, что вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы – преобразовать диск в формат NTFS.

После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа «включить-выключить». Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing). Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.

Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис -> Свойства папки (Tools -> Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его.

Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность. Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List – ACL).

При установке и удалении разрешений руководствуйтесь следующими основными принципами:

1. Работайте по схеме «сверху-вниз».
2. Храните общие файлы данных вместе.
3. Работайте с группами везде, где это только возможно.
4. Не пользуйтесь особыми разрешениями.
5. Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

Установка разрешения из командной строки

Утилита командной строки cacls.exe доступна в Windows XP Professional позволяет просматривать и изменять разрешения файлов и папок. Cacls – сокращение от Control ACLs – управление списками управления доступом.

Читать еще:  Безопасность систем электронной почты

Ключи командной строки утилиты cacls

/T — Смена разрешений доступа к указанным файлам в текущей папке и всех подпапках
/E — Изменение списка управления доступом (а не полная его замена)
/C — Продолжить при возникновении ошибки «отказано в доступе»
/G — пользователь:разрешение Выделение пользователю указанного разрешения. Без ключа
/E — полностью заменяет текущие разрешения
/R — пользователь Отменяет права доступа для текущего пользователя (используется только с ключом /E)
/P — пользователь:разрешение Замена указанных разрешений пользователя
/D — пользователь Запрещает пользователю доступ к объекту

С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):

F (полный доступ) – эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.
C (изменить) – тождественно установке флажка Разрешить Изменить (Modify)
R (чтение) – эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)
W (запись) – равнозначно установке флажка Разрешить запись (Write)

Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System — EFS) шифрует файлы на диске. Однако, следует иметь ввиду, что если вы утратите ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществанми EFS, необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления. Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe.

Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). Ниже приведен список наиболее часто используемых ключей команды cipher

/E — Шифрование указанных папок
/D — Расшифровка указанных папок
/S:папка — Операция применяется к папке и всем вложенным подпапкам (но не файлам)
/A — Операция применяется к указанным файлам и файлам в указанных папках
/K — Создание нового ключа шифрования для пользователя, запустившего программу. Если этот ключ задан, все остальные игнорируются
/R — Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл .CFX, а копия сертификата в файле .CER
/U — Обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках
/U /N — Вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий

Агент восстановления данных

Агентом восстановления данных (Data Recovery Agent) назназначается обычно администратор. Для создания агента восстановления нужно сначала сохдать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.
Чтобы создать сертификат нужно сделать следующее:

1. Нужно войти в систему под именем Администратор
2. Ввести в командной строке cipher /R: имя файла
3. Введите пароль для вновь создаваемых файлов

Файлы сертификата имеют расширение .PFX и .CER и указанное вами имя.

ВНИМАНИЕ! Эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.

Для назначения агента восстановления:

1. Войти в систему под учетной записью, которая должна стать агентом восстановления данных
2. В консоли Сертификаты перейдите в раздел Сертификаты – Текущий пользователь -> Личные (Current User -> Personal)
3. Действие -> Все задачи -> Импорт (Actions -> All Tasks -> Import) для запуска мастера импорта сертификатов
4. Проведите импорт сертификата восстановления

При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.

Краткие рекомендации по шифрованию:

1. Зашифруйте все папки, в которых вы храните документы
2. Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов
3. Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала
4. Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера
5. Экспортируйте личные сертификаты шифрования всех учетных записей
6. Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.
7. При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться
8. Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows

Конструктор шаблонов безопасности

Шаблоны безопасности являются обыкновенными ASCII – файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File – Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates – Add.
Управление оснасткой

Шаблоны безопасности расположены в папке %systemroot%securitytemplates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.

Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:

• Account Policies – управление паролями, блокировками и политиками Kerberos
• Local Policies – управление параметрами аудита, пользовательскими правами и настройками безопасности
• Event Log – управление параметрами системного журнала
• Restricted Groups – определение элементов различных локальных групп
• System Services – включение и отключение служб и присвоение права модификации системных служб
• Registry – назначение разрешений на изменение и просмотр разделов реестра
• File System – управление разрешениями NTFS для папок и файлов

Защита подключения к Интернет

Для обеспечения безопасности при подключении к Интернет необходимо:

• Активизировать брандмауэр подключения к Интернет (Internet Connection Firewall) или установить брандмауэр третьих фирм
• Отключить Службу доступа к файлам и принтерам сетей Microsoft

Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик.

• Активация Брандмауэра подключения к Интернет.
• Откройте Панель управления – Сетевые подключения
• Щелкните правой кнопкой мыши на соединении, которое вы хотите защитить и выберите из меню пункт Свойства
• Перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет

Изложенные выше рекомендации не являются исчерпывающим материалом по настройке безопасности операционной системы Windows XP Professional, однако надеюсь, они смогут помочь вам в этом нелегком процессе.

Отключение центра безопасности в Windows XP.

Windows XP имеет встроенную защиту, которая отслеживает деятельность или наличие функции автоматического обновления брандмауэра Windows и вирусная защита для предоставляемых третьими участниками антивирусного программного обеспечения. Когда один или более компонент безопасности, не был установлен или выключен, или не работают, центр обеспечения безопасности Windows будет менять цвет в разделе на жёлтый или красный для предупреждения и привлечения внимания.

Службы центра безопасности в области уведомлений будут также выдавать предупреждающее сообщение с красным или желтым значком, что ваш компьютер может оказаться под угрозой.

Центр обеспечения безопасности в Windows XP может быть выключен, так что система не будет контролировать, существует ли антивирусное программное обеспечение, правильно ли оно установлено и запущено, или межсетевой экран и функция автоматического обновления были отключены.Для этого сделайте следующее :

  1. Нажмите на кнопку Пуск, выберите команду Панель управления.
  2. Выберите пункт «Администрирование» (если вы не видите его, дважды щелкните на «Производительность и обслуживание» ).
  3. Дважды щелкните «Услуги«.
  4. Найдите и дважды щелкните на имени службы «Центр обеспечения безопасности«. Так же можно щёлкнуть правой кнопкой мыши на «Центр безопасности» и выбрать в меню «Свойства«.
  5. В вкладке «Общие«, кроме «Тип запуска«, измените значение параметра с автоматического на «Disabled«. Это полностью отключит центр безопасности навсегда, даже после перезагрузки компьютера.
Читать еще:  Политика безопасности сети предприятия

  1. Нажмите на кнопку «Стоп» в нижней части диалогового окна, чтобы остановить центр обеспечения безопасности непосредственно в процессе сессии текущего журнала.

После отключения Security Center, вам больше не будут выходить предупреждающие оповещения системы безопасности (Ваш компьютер может оказаться под угрозой, и т.д.). Но есть и но, ваша система может быть подвержена угрозе вирусов, вредоносного и шпионского ПО , если ваша анти — вирусная программа не функционирует должным образом. Чтобы включить центр безопасности снова, просто выберите «Автоматически» в шаге 5 выше. Если вы хотите запустить центр обеспечения безопасности на некоторое время или сразу после установки ,установите как тип запуска на «Автоматический«, щелкните на кнопке «Пуск» и следуйте пунктам,как описано выше.

Одной из самых социальных сетей в Рунете считается портал сайт «Вконтакте.ру», вконтакте вход на сайт ежедневно осуществляют миллионы посетителей.

Общие сведения о локальной и доменной политиках безопасности

Выполняя настройку компьютеров, системные администраторы в первую очередь должны обращать внимание на их безопасность. Что же это такое? Это совокупность функций, регулирующих безопасную работу ПК и управляющихся посредством локального объекта GPO.

Настройка политики безопасности на компьютерах с Windows XP, «Семёрка»

Настройку данных функций осуществляют (в Windows XP, «Семёрка») пользователи вручную через через специальную консоль «Local Group Politics Editor» (редактор локальных политик безопасности) или «Local Security Politics». Окно «Local Group Politics Editor» используют при необходимости внести изменения в политику учётной записи домена, управляемой посредством Active Directory. Через консоль «Local Group Politics Editor» производится настройка параметров учётных записей и регулируется безопасность на локальных хостах. Для открытия окна настроек Local Security Policy (в Windows XP, «Семёрка») нужно сделать следующее.

Нажимаем кнопку «Start» и в поисковом поле открывающемся меню вводим название окна Local Security Policy (см. рисунок ниже).

Нажав комбинацию кнопок +R, открываем пункт «Run», в поле ввода которого вводим sесpol.msc и нажимаем на ОК.

Сначала необходимо проверить, что учётный пользовательский аккаунт находится в администраторской группе (Windows XP, «Семёрка»). Для открытия консольного приложения ММС (в Windows XP, «Семёрка» ) нажимаем кнопку «Start» и в поисковом поле вводим mmс, после чего нажимаем на «Enter». В пустом консольном окне ММС нажимаем на надпись «Console» и выбираем «Add or Remove». В открывшемся окне выбираем консоль «Local Group Politics Editor» и нажимаем на Add. В открывшемся диалоговом окне нужно найти и нажать на «Обзор», указать необходимые компьютеры и нажать на «Ready». В окне «Add or Remove» нажимаем на ОК. Находим открытую консоль «Local Group Politics Editor» и переходим на пункт «Computer Configuration», а после этого открываем «Security Parameters».

При подсоединении вашего рабочего места к сети с доменом (Windows Сервер 2008), безопасность определяется политикой Active Directory или политика того подразделения, к которому относится компьютер.

Как применить Security Policy к компьютерам, являющимися локальными (с системой Windows XP и так далее), или подсоединённому к домену

Сейчас мы подробно рассмотрим последовательность настроек Local Security Policy и увидим различия между особенностями политики безопасности на локальном компе с Windows (XP, «Семёрка» и так далее) и на компе, подсоединённом к доменной сети через Windows Сервер 2008 R2.

Особенности настроек Security Policy на локальном компьютере

Следует напомнить, что все действия, проводимые здесь, выполнялись под учётным аккаунтом, входящим в администраторскую группу (Windows XP, «Семёрка») на локальном компьютере или в группу «Domen Administrators» (Windows Сервер 2008), в подсоединённом к доменной сети узле.

Чтобы выполнить этот пример необходимо сначала присвоить гостевому учётному аккаунту другое имя. Для этого выполняем следующие действия.

  1. Открывается консольное приложение «Local Security Politics» или выполняется переход в узел «Security Parameters» консоли «Local Group Politics Editor»;
  2. Переходим в раздел «Local Politics», а потом — в «Security Parameters»;
  3. Двойным нажатием на кнопку мышки открываем «User’s accounts: Rename guest user account»;
  4. В поле ввода прописываем Гостевая запись и нажимаем ОК.
  5. Компьютер нужно перезагрузить. (В Windows XP для этого нужно нажать на Завершение работы и нажать на Restart).

Заново включив комп, проверяем использование Security Policy к вашей ЭВМ. Для этого открывается Control Panel и в окне «User’s Accounts» переходим по ссылке «Другой учётный аккаунт. Управление». В открытом окне можно будет увидеть список всех учётных записей вашей локальной машины, куда входит и переименованный гостевой пользовательский учётный аккаунт.

Применяем Security Policy для компьютеров, подключенных к доменной сети через Windows Сервер 2008 R2

Этот пример показывает последовательность операций для запрета изменения пользовательского пароля для учётной записи Test_ADUser. Напомним, что изменять параметры Security Policy возможно только будучи в группе «Domen’s administrators». Делаем следующее.

Нажимаем на «Start» и в поисковом поле вводим ММС и нажимаем «Enter». Нажимаем на надпись «Console» и выбираем строку «Add or Remove». На экране сразу появится диалоговое окно. В нём нужно выбрать оснастку «Local Group Politics Editor» и там нажать на «Обзор», чтобы выбрать компьютер.

В появившемся окне выбираем нужные компьютеры и нажимаем Done.

  1. В окне «Add or Remove» нажимаем ОК.
  2. Находим открывшуюся консоль «Local Group Politics Editor» и переходим на узел «Computer Configuration» и там открываем узел «Security ParametersLocal Computer/Security Parameters»
  3. Находим параметр «Доменный контроллер: запретить изменения пароля учётных аккаунтов» и нажимаем на него два раза мышкой.
  4. В появившемся окне выбираем «Включить» и нажимаем ОК.
  5. Перезагружаемся.

После включения компьютеров проверяем изменения в Security Policy, перейдя на консоль ММС. В открывшейся консоли добавляем составляющую «Local users and computers» и пробуем поменять пароль своего учётного аккаунта.

Прочитав эту статью, мы разобрались с особенностями методов использования Local Security Policy (на компах с Windows XP, «Семёркой», Windows Сервер 2008). В вышеприведенных примерах показаны иллюстрации c настройками Local Security Policy на компьютерах, которые являются локальными, и компьютерах, которые подключёны к доменной сети.

Настройка системы безопасности Windows XP своими руками

В прошлой части нашей статьи мы подробно рассматривали установку и оптимизацию Windows XP на рабочей станции своими руками. Теперь, когда WinXP настроена и работает без тормозов, пришло время позаботиться об информационной безопасности.

Настройка системы безопасности Windows XP

Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Мы надеемся, что вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы – преобразовать диск в формат NTFS.

После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа «включить-выключить». Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing). Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.

Читать еще:  Удалить антивирус макафи

Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис -> Свойства папки (Tools -> Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его.

Рис. 11. Свойства папки

Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность. Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List – ACL).

При установке и удалении разрешений руководствуйтесь следующими основными принципами:

Работайте по схеме «сверху-вниз».

Храните общие файлы данных вместе.

Работайте с группами везде, где это только возможно.

Не пользуйтесь особыми разрешениями.

Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

Установка разрешения из командной строки

Утилита командной строки cacls.exe доступна в Windows XP Professional позволяет просматривать и изменять разрешения файлов и папок. Cacls – сокращение от Control ACLs – управление списками управления доступом.

Ключи командной строки утилиты cacls

/T — Смена разрешений доступа к указанным файлам в текущей папке и всех подпапках

/E — Изменение списка управления доступом (а не полная его замена)

/C — Продолжить при возникновении ошибки «отказано в доступе»

/G — пользователь:разрешение Выделение пользователю указанного разрешения. Без ключа

/E — полностью заменяет текущие разрешения

/R — пользователь Отменяет права доступа для текущего пользователя (используется только с ключом /E)

/P — пользователь:разрешение Замена указанных разрешений пользователя

/D — пользователь Запрещает пользователю доступ к объекту

С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):

F (полный доступ) – эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.

C (изменить) – тождественно установке флажка Разрешить Изменить (Modify)

R (чтение) – эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)

W (запись) – равнозначно установке флажка Разрешить запись (Write)

Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System — EFS) шифрует файлы на диске. Однако, следует иметь ввиду, что если вы утратите ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществанми EFS, необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления. Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe.

Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). Ниже приведен список наиболее часто используемых ключей команды cipher

/E — Шифрование указанных папок

/D — Расшифровка указанных папок

/S:папка — Операция применяется к папке и всем вложенным подпапкам (но не файлам)

/A — Операция применяется к указанным файлам и файлам в указанных папках

/K — Создание нового ключа шифрования для пользователя, запустившего программу. Если этот ключ задан, все остальные игнорируются

/R — Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл .CFX, а копия сертификата в файле .CER

/U — Обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках

/U /N — Вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий

Устранение проблем с разрешениями

Агент восстановления данных

Агентом восстановления данных (Data Recovery Agent) назназначается обычно администратор. Для создания агента восстановления нужно сначала сохдать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.
Чтобы создать сертификат нужно сделать следующее:

Нужно войти в систему под именем Администратор

Ввести в командной строке cipher /R: имя файла

Введите пароль для вновь создаваемых файлов

Файлы сертификата имеют расширение .PFX и .CER и указанное вами имя.

ВНИМАНИЕ! Эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.

Для назначения агента восстановления:

Войти в систему под учетной записью, которая должна стать агентом восстановления данных

В консоли Сертификаты перейдите в раздел Сертификаты – Текущий пользователь -> Личные (Current User -> Personal)

Действие -> Все задачи -> Импорт (Actions -> All Tasks -> Import) для запуска мастера импорта сертификатов

Проведите импорт сертификата восстановления

При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.

Краткие рекомендации по шифрованию:

Зашифруйте все папки, в которых вы храните документы

Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов

Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала

Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера

Экспортируйте личные сертификаты шифрования всех учетных записей

Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.

При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться

Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows

Конструктор шаблонов безопасности

Шаблоны безопасности являются обыкновенными ASCII – файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File – Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates – Add.
Управление оснасткой

Шаблоны безопасности расположены в папке %systemroot%securitytemplates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.

Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:

Account Policies – управление паролями, блокировками и политиками Kerberos

Local Policies – управление параметрами аудита, пользовательскими правами и настройками безопасности

Event Log – управление параметрами системного журнала

Restricted Groups – определение элементов различных локальных групп

System Services – включение и отключение служб и присвоение права модификации системных служб

Registry – назначение разрешений на изменение и просмотр разделов реестра

File System – управление разрешениями NTFS для папок и файлов

Защита подключения к Интернет

Для обеспечения безопасности при подключении к Интернет необходимо:

Активизировать брандмауэр подключения к Интернет (Internet Connection Firewall) или установить брандмауэр третьих фирм

Отключить Службу доступа к файлам и принтерам сетей Microsoft

Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик.

Активация Брандмауэра подключения к Интернет.

Откройте Панель управления – Сетевые подключения

Щелкните правой кнопкой мыши на соединении, которое вы хотите защитить и выберите из меню пункт Свойства

Перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет

Изложенные выше рекомендации не являются исчерпывающим материалом по настройке безопасности операционной системы Windows XP Professional, однако надеюсь, они смогут помочь вам в этом нелегком процессе.

Ссылка на основную публикацию
Adblock
detector
×
×