Главная страница

Тест операционные системы ответы. Практикум для студентов специальности 230101 Вычислительные машины, комплексы, системы и сети


Скачать 0.83 Mb.
НазваниеПрактикум для студентов специальности 230101 Вычислительные машины, комплексы, системы и сети
АнкорТест операционные системы ответы
Дата27.01.2022
Размер0.83 Mb.
Формат файлаpdf
Имя файлаPart IV published.pdf
ТипПрактикум
#343308
страница4 из 11
1   2   3   4   5   6   7   8   9   10   11
OK для подтверждения операции анализа безопасности. В процессе проверки безопасности системы в окне состояния будет отображать- ся ход выполнения задания. По окончании анализа результаты отображаются в области сведений справа и появляется возможность просмотра и изменения необходимых настроек политик безопасности.
Если необходимо, просмотр файла журнала ошибок может быть осуще- ствлен посредством выбора соответствующей команды «Показать файл жур-
нала» в меню «Действие» на панели инструментов.
5. Последовательно проанализируйте параметры безопасности двух раз- делов «Политики паролей» и «Локальные политики», щелкнув манипуля- тором мышь по каждому из включенных подразделов. Обратите внимание, что в области сведений справа отображаются теперь три колонки с названиями
«Политика», «Параметр базы данных» и «Параметр компьютера», то есть имеется возможность сравнения действующих в системе и настраиваемых сис- темных параметров политик безопасности.
6. Измените в базе данных несколько выбранных самостоятельно пара- метров безопасности анализируемых политик. Для этого щелкните манипуля- тором мышь на выбранной политике и измените системное значение парамет- ра в появившемся диалоговом окне «Свойства», предварительно установив флажок «Определить следующую политику в базе данных». Описание сущ- ности изменяемого параметра безопасности доступно на соответствующей вкладке «Объяснение параметра» окна «Свойства».
Внимание! Имейте ввиду, что изменяемые системные параметры влия- ют только на базу данных, а не на текущие параметры компьютера.
Таким образом, сравнивая текущие параметры действующей в системе политики безопасности можно настроить необходимые системные параметры с целью их экспортирования в новый шаблон безопасности и дальнейшего ис- пользования в ОС Windows XP.
7. Экспортируйте базу данных только что измененных параметров в но- вый шаблон безопасности с именем MyThirdShablon. Сохраните консоль
MMC, выгрузите и загрузите ее снова. Проверьте наличие шаблона MyThird-
Shablon в оснастке «Шаблоны безопасности» и действительность изменения выбранных параметров политик безопасности внутри шаблона.

24
Таким образом, созданный шаблон безопасности теперь может быть, при необходимости, применен в системе способом, изученным в предыдущем за- дании лабораторной работы.
8. Закройте консоль администрирования MMC, сохранив ее.
При выполнении задания используйте следующие инструкции:

перенесите последовательность выполняемых действий по пунктам
3-7 в отчет (возможно приведение графических фрагментов, сде- ланных с экрана, в качестве демонстрационного материала),

сделайте вывод о проделанной работе и запишите его в отчет.
Контрольный вопрос:
Какой системный путь и имя файла журнала ошибок задействован по умолчанию в ОС Windows XP при организации анализа и настройки безопас- ности посредством одноименной оснастки?
С каким системным шаблоном безопасности осуществляется сравнение параметров анализируемого шаблона MyFirstShablon в текущем задании?
Для чего применяется команда «Настроить компьютер…» в меню
«Действие» или в контекстном выпадающем меню оснастки «Анализ и на-
стройка безопасности»?
Задание №7.1г. Изучение основных возможностей программного сред- ства «Брандмауэр подключения к Интернету» в среде ОС Windows XP на конкретных примерах.
Теперь, когда основные действия по предотвращению несанкциониро- ванного локального проникновения определены, необходимо обеспечить до- полнительный уровень защиты от потенциальных атак извне. Одним самых важных, штатных компонентов защиты ОС Windows XP от внешних угроз яв- ляется инструмент, ограничивающий обмен информацией между локальной средой и сетью Интернет, «Брандмауэр подключения к Интернету» (Inter-
net Connection Firewall, ICF), коротко брандмауэр или сетевой экран.
ICF представляет собой достаточно мощную систему защиты, которая отслеживает все аспекты работы линий связи и проверяет исходные и конеч- ные адреса информационных пакетов. Для предотвращения попадания неже- лательного трафика в локальную сеть из Интернета ICF содержит список всех соединений контролируемого компьютера, располагающихся в специальной таблице. Входящий трафик сравнивается с данными из этой таблицы и при не- совпадении входящие пакеты блокируются. В частности, это препятствует атакам в виде сканирования портов из сети Интернет. При этом стоит помнить, что ICF блокирует любой пакет, неожиданно приходящий в локальную сеть, включая те, которые могут быть полезны пользователю, например, пакеты электронной почты. Поэтому ICF необходимо сконфигурировать таким обра-

25 зом, чтобы исключить подобные коллизии и пропускать сообщения, направляя их соответствующему адресату.
Для ознакомления с базовыми возможностями брандмауэра ICF в среде
ОС Windows XP выполните следующее:
1. Включите ICF в среде ОС Windows XP. Для этого необходимо вы- брать сетевое подключение («Пуск | Панель управления | Сетевые подклю-
чения»), предполагаемое к защите посредством ICF. Затем, либо из контекст- ного меню выбрать команду «Свойства», либо щелкнуть по команде «Изме-
нение настроек подключения» слева в группе команд «Сетевые задачи». В окне «Свойства сетевого подключения» на вкладке «Дополнительно» необ- ходимо щелкнуть по кнопке «Параметры» брандмауэра Windows и закрыть несанкционированный доступ из сети, выбрав «Включить (рекомендуется)» на появившейся вкладке «Общие».
2. Для обеспечения контроля за действиями ICF в системе предусмотрен механизм ведения журнала безопасности, который позволяет создавать список действий системы защиты, а именно установку запрета или разрешения на трафик со стороны ICF. Это бывает весьма полезно при организации безопас- ной среды. Включение процесса документирования за действиями ICF осуще- ствляется на вкладке «Дополнительно» брандмауэра Windows. Для этого не- обходимо щелкнуть по кнопке «Параметры» в разделе «Ведение журнала
безопасности», поставить опциональные флажки напротив «Записывать
пропущенные пакеты» и «Записывать успешные подключения». Подтвер- дите операцию, нажав OK.
Кроме того, имеется возможность регулировать дополнительную функ- циональность по протоколу управляющих сообщений Интернета ICPM (в ча- стности, позволяющего компьютерам в сети обмениваться информацией об ошибках). Список запросов из сети Интернет, на которые будет отвечать кон- фигурируемый компьютер, представлен в виде набора параметров в разделе
«Протокол ICMP» на вкладке «Дополнительно».
Включите протоколирование следующих сообщений:

входящих эхо-запросов;

входящих меток времени;

входящих запросов маршрутизатора;

переадресацию.
Уместно отметить, что по своей сути журнал ICF является программным средством, также предназначенным для аудита системы безопасности наряду с теми, что были достаточно подробно изучены в лабораторной работе № 5. К числу подобных средств также следует отнести автономную оснастку «Про-
смотр событий», расширение «Политика аудита» в рамках оснастки «Поли-
тика «Локальный компьютер», а также рассмотренную в предыдущем зада- нии оснастку «Анализ и настройка безопасности».
В частности, посредством расширения «Политика аудита» можно осу- ществлять проверку и регистрацию событий в следующих категориях:

26

управление учетной записью,

ввод-вывод данных в сети,

доступ к конкретному объекту (файлу или каталогу),

изменение политик сети,

попытки использования специальных привилегий,

загрузка пользовательских процессов,

другие системные действия.
Поскольку аудит в значительной степени расходует системные ресурсы, необходимо заранее определиться с элементами, требующими контроля (ины- ми словами, надо четко представлять себе что необходимо контролировать, чтобы излишне не нагружать систему).
3. Журнал ICF имеет свой уникальный формат. В заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному времени, и список доступных полей для регистрационных записей (табл. 7.2).
Польза журнала безопасности ICF состоит в том, что после его просмотра можно обнаружить попытки несанкционированного доступа к сети. Изучив по- ля action, scr-ip и dst-ip, в частности, можно определить, пытается ли кто-то по- вредить сеть в целом или вывести из строя какое-то определенное устройство.
В любой текстовый редактор загрузите журнал безопасности ICF, рас- полагающийся в системном каталоге C:\Windows\pfirewall.log и найдите все его отмеченные атрибуты, поля и изучите содержимое журнала в целом, вос- пользовавшись таблицей 7.2. Вероятно, может оказаться, что осуществленных записей в журнале ICF будет не слишком много — это связано с тем, что жур- нал безопасности был активирован сравнительно недавно.
Дополнительно журнал безопасности ICF может быть переименован и сохранен в место, путь к которому системный администратор определяет са- мостоятельно. Это удобно в том случае, когда имеется необходимость вести несколько отчетов, например, по дням недели или времени дня. Размер файла журнала безопасности ICF может быть изменен на вкладке «Параметры
журнала» с установленного в 4Мб по умолчанию до 32Мб по необходимости.
4. Иногда в процессе работы возникает необходимость не контролиро- вать брандмауэром ICF трафик, проходящий в сети через доверенные специа- лизированные приложения, например, приложения контроля информационных пакетов, торрент-клиенты или трафик, проходящий через определенные от- крытые порты, например, настроенные под так называемый «портфорвар- динг». Для этих целей в ICF предусмотрена возможность исключений.
Для активации данной возможности по отношению к программам на вкладке «Исключения» брандмауэра Windows добавьте, для примера, вы- бранное приложение, генерируемый трафик которого не будет контролиро- ваться впредь. Закройте окно «Добавление программы» и обратите внимание на то, что только что выбранная программа появилась в области исключений
«Программы и службы» на исследуемой вкладке (напротив неконтролируе-

27 мого приложения стоит флажок активации, снятие которого обратно приводит к контролю трафика этого приложения).
Таблица 7.2. Поля ввода данных в журнале безопасности ICF

п/п.
Поле
журнала
безопас-
ности
ICF
Описание поля
1.
Action
Операция, перехваченная брандмауэром Windows.
Входящие данные включают в себя: OPEN, CLOSE,
DROP, INFO-EVENTS-LOST (указывается количество произошедших событий, не сохраненных в журнале).
2.
Date
Дата ввода файла в формате YY-MM-DD (год-месяц- день).
3.
Dst-ip
IP-адрес конечного пункта доставки пакета.
4.
Dst-port
Номер порта конечного пункта доставки пакета.
5.
Icmpcode Число, обозначающее поле кода в ICMP-сообщении.
6.
Icmptype
Число, обозначающее поле ввода текста в ICMP- сообщении.
7.
Info
Поле для ввода информации о событии, которое зави- сит от типа действия.
8.
Protocol
Протокол связи. Если это не TCP, UDP или ICMP, то здесь указывается цифра.
9.
Size
Размер пакета (байт).
10. Scr-ip
IP-адрес устройства-отправителя.
11. Scr-port
Номер порта отправителя.
12. Tcpack
TCP-номер подтверждения пакета.
13. tcp-flags
TCP-флаг, указываемый в начале пакета:
A – Ack (важность поля подтверждения),
F – Fin (последний пакет),
P – Psh (функция «проталкивания» пакета),
S – Syn (синхронизация последовательности номеров),
U – Urg (важность поля указателя срочности).
14. Tcpsyn
TCP-последовательность номеров пакетов.
15. Tcpwin
TCP-размер окна (байт).
16. Time
Время регистрации файла в формате HH:MM:SS (ча- сы:минуты:секунды).

28 5. Аналогичным образом добавьте в исключения порты TCP и UDP с номером 33474 и наименованием «µTorrent», иногда используемые для орга- низации обмена данными посредством одноименного торрент-клиента.
При выполнении задания используйте следующие инструкции:

перенесите последовательность выполняемых действий по пунктам
1-5 в отчет (возможно приведение графических фрагментов, сде- ланных с экрана, в качестве демонстрационного материала),

сделайте вывод о проделанной работе и запишите его в отчет.
Контрольный вопрос:
Какие альтернативные аппаратно-программные средства защиты ком- пьютеров в сети Вам известны?
Изученные в первом задании лабораторной работы инструменты и воз- можности не являются исчерпывающими для всеобъемлющей организации се- тевой безопасности в ОС (спектр специализированных программных средств, предназначенных для локальной и сетевой защиты компьютера, достаточно широк, а его детальное рассмотрение в лабораторном практикуме не представ- ляется возможным), однако в первом приближении они позволяют обезопа- сить локальную рабочую среду и в некоторой степени защитить ее от сетевого проникновения извне.
Безопасность компьютера не ограничивается только лишь обеспечением сохранности данных, передаваемых по сети. Кроме того, имеется ряд дополни- тельных возможностей, которые реализуются в ОС при взаимодействии двух подсистем: безопасности и ввода/вывода. Основные возможности, возникаю- щие при таком взаимодействии, главным образом, ориентированы на обеспе- чение безопасности отдельных объектов (файлов и каталогов) в рамках файло- вой системы. Рассмотрению этих вопросов будет посвящено следующее учеб- ное задание настоящей лабораторной работы.
7.3.2. Учебное задание №2. Изучение базовых возможностей обеспече- ния безопасности объектов файловой системы NTFS в среде ОС Windows XP.
Порядок выполнения:
Термины FAT и NTFS являются общими названиями файловых систем
(ФС), каждая из которых включает в себя несколько различных модификаций.
Например, имеются следующие разновидности ФС FAT: FAT12, FAT16 и
FAT32 и, напротив, существует две версии ФС NTFS — v.4.0 и v.5.0.
Если ранее в ОС Windows NT использовалась ФС NTFS v.4.0, то ОС
Windows XP предлагает самую последнюю версию ФС NTFS — v.5.0, пред- ставленную еще в ОС Windows 2000. Хотя ФС обеих версий приспособлены к

29 взаимному чтению и записи объектов (файлов и каталогов), в ОС Windows XP имеется ряд преимуществ, которыми ОС Windows NT не наделена. К их числу, например, относятся:

возможности создания «точек повторной обработки», которыми
ОС Windows NT не в состоянии воспользоваться при обращении к жесткому диску с ОС Windows XP;

также, ОС Windows NT будет игнорировать квоты дискового про- странства, установленные под управлением ОС Windows XP;

кроме того, ОС Windows NT в отличие от ОС Windows XP не смо- жет ни читать, ни делать запись в шифрованных файлах;

и наконец, ОС Windows NT будет игнорировать журнал изменений, доступный в ОС Windows XP.
Указанные особенности делают ФС NTFS v.5.0 мощным инструментом безопасности с встроенными возможностями администрирования, который при правильном применении обеспечивает более продуктивную и эффектив- ную организацию системы. Это обстоятельство выгодно отличает данную ФС от ее предыдущей версии и, тем более, от ФС FAT, в сравнении с которой также имеется ряд отличительных особенностей:

ФС NTFS обеспечивает безопасность на уровне файлов, в отличие от общей безопасности ФС FAT;

при помощи ФС FAT имеется возможность запретить или разре- шить доступ из сети к части дискового пространства, в то время как с помощью ФС NTFS можно установить доступ к конкретным объ- ектам (файлам и каталогам);

ФС NTFS тесно взаимосвязана с подсистемой безопасности ОС, в целом, и взаимодействует с подсистемой безопасности сети, в част- ности.
Задание №7.2а. Изучение возможностей квотирования дискового про- странства в среде ОС Windows XP на конкретных примерах.
Известно, что «памяти никогда не бывает много!». Это утверждение, в полной мере, относится к внешней памяти жесткого диска. В этой связи, ад- министратору сетевых ресурсов необходимо контролировать расход доступ- ной в его распоряжении внешней памяти. В ФС NTFS имеется штатное про- граммное средство, позволяющее это делать — оно позволяет ограничивать свободное пространство на жестком диске, предполагаемое к выделению поль- зователям.
Процесс выделения пользователю определенного объема внешней памя- ти жесткого диска называется квотированием, а сам выделяемый объем — со- ответственно, квотой на дисковое пространство. Квотирование дискового про- странства в организации необходимо с целью его безопасного расходования.
Если свободное пространство на жестком диске ограничено, квоты помогут

30 избежать потери исключительно важных данных, которые просто могут не уместиться на заполненный до отказа диск.
В ОС Windows XP квотирование дискового пространства позволяет вы- полнять следующие действия.

Уведомлять пользователя о том, что он превысил порог выдачи предупреждения (но при этом еще не израсходовал свою квоту).

Не допускать запись на жесткий диск после того, как пользователь исчерпал отведенную ему квоту.
Квотирование диска работает индивидуально в отношении каждого пользователя и каждого тома. При этом квоты «прозрачны» для пользователя.
Когда он смотрит на доступное пространство диска, то видит, сколько оста- лось от выделенной ему части. После исчерпания квоты на диске, дальнейшее сохранение данных невозможно. В этом случае пользователь может удалить объекты (файлы и каталоги) или передать их в собственность другого пользо- вателя, чтобы освободить дисковое пространство, или же попросить сетевого администратора об увеличении котируемого объема.
При установлении пользователям квот необходимо помнить несколько принципиальных моментов. Квотируемый жесткий диск должен быть отфор- матирован в ФС NTFS. Лицо, выдающее квоты, должно иметь полномочия ад- министратора. Порог выдачи предупреждения должен быть процентов на де- сять меньше, чем сама квота. Например, квота в 1Гб должна сопровождаться порогом выдачи предупреждения в 900Мб. Когда пользователь израсходует выделенные 900Мб, в регистрационном журнале будет сделана соответствую- щая запись; когда порог квотирования в 1Гб будет превышен, осуществляется запрет на дальнейшее использование жесткого диска и также делается соот- ветствующая запись в журнале регистрации.
Для ознакомления с возможностями квотирования дискового простран- ства в среде ОС Windows XP выполните следующее.
1   2   3   4   5   6   7   8   9   10   11


написать администратору сайта