Тест операционные системы ответы. Практикум для студентов специальности 230101 Вычислительные машины, комплексы, системы и сети

24
Таким образом, созданный шаблон безопасности теперь может быть, при необходимости, применен в системе способом, изученным в предыдущем за- дании лабораторной работы.
8. Закройте консоль администрирования MMC, сохранив ее.
При выполнении задания используйте следующие инструкции:

перенесите последовательность выполняемых действий по пунктам
3-7 в отчет (возможно приведение графических фрагментов, сде- ланных с экрана, в качестве демонстрационного материала),

сделайте вывод о проделанной работе и запишите его в отчет.
Контрольный вопрос:
Какой системный путь и имя файла журнала ошибок задействован по умолчанию в ОС Windows XP при организации анализа и настройки безопас- ности посредством одноименной оснастки?
С каким системным шаблоном безопасности осуществляется сравнение параметров анализируемого шаблона MyFirstShablon в текущем задании?
Для чего применяется команда «Настроить компьютер…» в меню
«Действие» или в контекстном выпадающем меню оснастки «Анализ и на-
стройка безопасности»?
Задание №7.1г. Изучение основных возможностей программного сред- ства «Брандмауэр подключения к Интернету» в среде ОС Windows XP на конкретных примерах.
Теперь, когда основные действия по предотвращению несанкциониро- ванного локального проникновения определены, необходимо обеспечить до- полнительный уровень защиты от потенциальных атак извне. Одним самых важных, штатных компонентов защиты ОС Windows XP от внешних угроз яв- ляется инструмент, ограничивающий обмен информацией между локальной средой и сетью Интернет, «Брандмауэр подключения к Интернету» (Inter-
net Connection Firewall, ICF), коротко брандмауэр или сетевой экран.
ICF представляет собой достаточно мощную систему защиты, которая отслеживает все аспекты работы линий связи и проверяет исходные и конеч- ные адреса информационных пакетов. Для предотвращения попадания неже- лательного трафика в локальную сеть из Интернета ICF содержит список всех соединений контролируемого компьютера, располагающихся в специальной таблице. Входящий трафик сравнивается с данными из этой таблицы и при не- совпадении входящие пакеты блокируются. В частности, это препятствует атакам в виде сканирования портов из сети Интернет. При этом стоит помнить, что ICF блокирует любой пакет, неожиданно приходящий в локальную сеть, включая те, которые могут быть полезны пользователю, например, пакеты электронной почты. Поэтому ICF необходимо сконфигурировать таким обра-

25 зом, чтобы исключить подобные коллизии и пропускать сообщения, направляя их соответствующему адресату.
Для ознакомления с базовыми возможностями брандмауэра ICF в среде
ОС Windows XP выполните следующее:
1. Включите ICF в среде ОС Windows XP. Для этого необходимо вы- брать сетевое подключение («Пуск | Панель управления | Сетевые подклю-
чения»), предполагаемое к защите посредством ICF. Затем, либо из контекст- ного меню выбрать команду «Свойства», либо щелкнуть по команде «Изме-
нение настроек подключения» слева в группе команд «Сетевые задачи». В окне «Свойства сетевого подключения» на вкладке «Дополнительно» необ- ходимо щелкнуть по кнопке «Параметры» брандмауэра Windows и закрыть несанкционированный доступ из сети, выбрав «Включить (рекомендуется)» на появившейся вкладке «Общие».
2. Для обеспечения контроля за действиями ICF в системе предусмотрен механизм ведения журнала безопасности, который позволяет создавать список действий системы защиты, а именно установку запрета или разрешения на трафик со стороны ICF. Это бывает весьма полезно при организации безопас- ной среды. Включение процесса документирования за действиями ICF осуще- ствляется на вкладке «Дополнительно» брандмауэра Windows. Для этого не- обходимо щелкнуть по кнопке «Параметры» в разделе «Ведение журнала
безопасности», поставить опциональные флажки напротив «Записывать
пропущенные пакеты» и «Записывать успешные подключения». Подтвер- дите операцию, нажав OK.
Кроме того, имеется возможность регулировать дополнительную функ- циональность по протоколу управляющих сообщений Интернета ICPM (в ча- стности, позволяющего компьютерам в сети обмениваться информацией об ошибках). Список запросов из сети Интернет, на которые будет отвечать кон- фигурируемый компьютер, представлен в виде набора параметров в разделе
«Протокол ICMP» на вкладке «Дополнительно».
Включите протоколирование следующих сообщений:

входящих эхо-запросов;

входящих меток времени;

входящих запросов маршрутизатора;

переадресацию.
Уместно отметить, что по своей сути журнал ICF является программным средством, также предназначенным для аудита системы безопасности наряду с теми, что были достаточно подробно изучены в лабораторной работе № 5. К числу подобных средств также следует отнести автономную оснастку «Про-
смотр событий», расширение «Политика аудита» в рамках оснастки «Поли-
тика «Локальный компьютер», а также рассмотренную в предыдущем зада- нии оснастку «Анализ и настройка безопасности».
В частности, посредством расширения «Политика аудита» можно осу- ществлять проверку и регистрацию событий в следующих категориях:

26

управление учетной записью,

ввод-вывод данных в сети,

доступ к конкретному объекту (файлу или каталогу),

изменение политик сети,

попытки использования специальных привилегий,

загрузка пользовательских процессов,

другие системные действия.
Поскольку аудит в значительной степени расходует системные ресурсы, необходимо заранее определиться с элементами, требующими контроля (ины- ми словами, надо четко представлять себе что необходимо контролировать, чтобы излишне не нагружать систему).
3. Журнал ICF имеет свой уникальный формат. В заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному времени, и список доступных полей для регистрационных записей (табл. 7.2).
Польза журнала безопасности ICF состоит в том, что после его просмотра можно обнаружить попытки несанкционированного доступа к сети. Изучив по- ля action, scr-ip и dst-ip, в частности, можно определить, пытается ли кто-то по- вредить сеть в целом или вывести из строя какое-то определенное устройство.
В любой текстовый редактор загрузите журнал безопасности ICF, рас- полагающийся в системном каталоге C:\Windows\pfirewall.log и найдите все его отмеченные атрибуты, поля и изучите содержимое журнала в целом, вос- пользовавшись таблицей 7.2. Вероятно, может оказаться, что осуществленных записей в журнале ICF будет не слишком много — это связано с тем, что жур- нал безопасности был активирован сравнительно недавно.
Дополнительно журнал безопасности ICF может быть переименован и сохранен в место, путь к которому системный администратор определяет са- мостоятельно. Это удобно в том случае, когда имеется необходимость вести несколько отчетов, например, по дням недели или времени дня. Размер файла журнала безопасности ICF может быть изменен на вкладке «Параметры
журнала» с установленного в 4Мб по умолчанию до 32Мб по необходимости.
4. Иногда в процессе работы возникает необходимость не контролиро- вать брандмауэром ICF трафик, проходящий в сети через доверенные специа- лизированные приложения, например, приложения контроля информационных пакетов, торрент-клиенты или трафик, проходящий через определенные от- крытые порты, например, настроенные под так называемый «портфорвар- динг». Для этих целей в ICF предусмотрена возможность исключений.
Для активации данной возможности по отношению к программам на вкладке «Исключения» брандмауэра Windows добавьте, для примера, вы- бранное приложение, генерируемый трафик которого не будет контролиро- ваться впредь. Закройте окно «Добавление программы» и обратите внимание на то, что только что выбранная программа появилась в области исключений
«Программы и службы» на исследуемой вкладке (напротив неконтролируе-

27 мого приложения стоит флажок активации, снятие которого обратно приводит к контролю трафика этого приложения).
Таблица 7.2. Поля ввода данных в журнале безопасности ICF
№
п/п.
Поле
журнала
безопас-
ности
ICF
Описание поля
1.
Action
Операция, перехваченная брандмауэром Windows.
Входящие данные включают в себя: OPEN, CLOSE,
DROP, INFO-EVENTS-LOST (указывается количество произошедших событий, не сохраненных в журнале).
2.
Date
Дата ввода файла в формате YY-MM-DD (год-месяц- день).
3.
Dst-ip
IP-адрес конечного пункта доставки пакета.
4.
Dst-port
Номер порта конечного пункта доставки пакета.
5.
Icmpcode Число, обозначающее поле кода в ICMP-сообщении.
6.
Icmptype
Число, обозначающее поле ввода текста в ICMP- сообщении.
7.
Info
Поле для ввода информации о событии, которое зави- сит от типа действия.
8.
Protocol
Протокол связи. Если это не TCP, UDP или ICMP, то здесь указывается цифра.
9.
Size
Размер пакета (байт).
10. Scr-ip
IP-адрес устройства-отправителя.
11. Scr-port
Номер порта отправителя.
12. Tcpack
TCP-номер подтверждения пакета.
13. tcp-flags
TCP-флаг, указываемый в начале пакета:
A – Ack (важность поля подтверждения),
F – Fin (последний пакет),
P – Psh (функция «проталкивания» пакета),
S – Syn (синхронизация последовательности номеров),
U – Urg (важность поля указателя срочности).
14. Tcpsyn
TCP-последовательность номеров пакетов.
15. Tcpwin
TCP-размер окна (байт).
16. Time
Время регистрации файла в формате HH:MM:SS (ча- сы:минуты:секунды).

28 5. Аналогичным образом добавьте в исключения порты TCP и UDP с номером 33474 и наименованием «µTorrent», иногда используемые для орга- низации обмена данными посредством одноименного торрент-клиента.
При выполнении задания используйте следующие инструкции:

перенесите последовательность выполняемых действий по пунктам
1-5 в отчет (возможно приведение графических фрагментов, сде- ланных с экрана, в качестве демонстрационного материала),

сделайте вывод о проделанной работе и запишите его в отчет.
Контрольный вопрос:
Какие альтернативные аппаратно-программные средства защиты ком- пьютеров в сети Вам известны?
Изученные в первом задании лабораторной работы инструменты и воз- можности не являются исчерпывающими для всеобъемлющей организации се- тевой безопасности в ОС (спектр специализированных программных средств, предназначенных для локальной и сетевой защиты компьютера, достаточно широк, а его детальное рассмотрение в лабораторном практикуме не представ- ляется возможным), однако в первом приближении они позволяют обезопа- сить локальную рабочую среду и в некоторой степени защитить ее от сетевого проникновения извне.
Безопасность компьютера не ограничивается только лишь обеспечением сохранности данных, передаваемых по сети. Кроме того, имеется ряд дополни- тельных возможностей, которые реализуются в ОС при взаимодействии двух подсистем: безопасности и ввода/вывода. Основные возможности, возникаю- щие при таком взаимодействии, главным образом, ориентированы на обеспе- чение безопасности отдельных объектов (файлов и каталогов) в рамках файло- вой системы. Рассмотрению этих вопросов будет посвящено следующее учеб- ное задание настоящей лабораторной работы.
7.3.2. Учебное задание №2. Изучение базовых возможностей обеспече- ния безопасности объектов файловой системы NTFS в среде ОС Windows XP.
Порядок выполнения:
Термины FAT и NTFS являются общими названиями файловых систем
(ФС), каждая из которых включает в себя несколько различных модификаций.
Например, имеются следующие разновидности ФС FAT: FAT12, FAT16 и
FAT32 и, напротив, существует две версии ФС NTFS — v.4.0 и v.5.0.
Если ранее в ОС Windows NT использовалась ФС NTFS v.4.0, то ОС
Windows XP предлагает самую последнюю версию ФС NTFS — v.5.0, пред- ставленную еще в ОС Windows 2000. Хотя ФС обеих версий приспособлены к

29 взаимному чтению и записи объектов (файлов и каталогов), в ОС Windows XP имеется ряд преимуществ, которыми ОС Windows NT не наделена. К их числу, например, относятся:

возможности создания «точек повторной обработки», которыми
ОС Windows NT не в состоянии воспользоваться при обращении к жесткому диску с ОС Windows XP;

также, ОС Windows NT будет игнорировать квоты дискового про- странства, установленные под управлением ОС Windows XP;

кроме того, ОС Windows NT в отличие от ОС Windows XP не смо- жет ни читать, ни делать запись в шифрованных файлах;

и наконец, ОС Windows NT будет игнорировать журнал изменений, доступный в ОС Windows XP.
Указанные особенности делают ФС NTFS v.5.0 мощным инструментом безопасности с встроенными возможностями администрирования, который при правильном применении обеспечивает более продуктивную и эффектив- ную организацию системы. Это обстоятельство выгодно отличает данную ФС от ее предыдущей версии и, тем более, от ФС FAT, в сравнении с которой также имеется ряд отличительных особенностей:

ФС NTFS обеспечивает безопасность на уровне файлов, в отличие от общей безопасности ФС FAT;

при помощи ФС FAT имеется возможность запретить или разре- шить доступ из сети к части дискового пространства, в то время как с помощью ФС NTFS можно установить доступ к конкретным объ- ектам (файлам и каталогам);

ФС NTFS тесно взаимосвязана с подсистемой безопасности ОС, в целом, и взаимодействует с подсистемой безопасности сети, в част- ности.
Задание №7.2а. Изучение возможностей квотирования дискового про- странства в среде ОС Windows XP на конкретных примерах.
Известно, что «памяти никогда не бывает много!». Это утверждение, в полной мере, относится к внешней памяти жесткого диска. В этой связи, ад- министратору сетевых ресурсов необходимо контролировать расход доступ- ной в его распоряжении внешней памяти. В ФС NTFS имеется штатное про- граммное средство, позволяющее это делать — оно позволяет ограничивать свободное пространство на жестком диске, предполагаемое к выделению поль- зователям.
Процесс выделения пользователю определенного объема внешней памя- ти жесткого диска называется квотированием, а сам выделяемый объем — со- ответственно, квотой на дисковое пространство. Квотирование дискового про- странства в организации необходимо с целью его безопасного расходования.
Если свободное пространство на жестком диске ограничено, квоты помогут

30 избежать потери исключительно важных данных, которые просто могут не уместиться на заполненный до отказа диск.
В ОС Windows XP квотирование дискового пространства позволяет вы- полнять следующие действия.

Уведомлять пользователя о том, что он превысил порог выдачи предупреждения (но при этом еще не израсходовал свою квоту).

Не допускать запись на жесткий диск после того, как пользователь исчерпал отведенную ему квоту.
Квотирование диска работает индивидуально в отношении каждого пользователя и каждого тома. При этом квоты «прозрачны» для пользователя.
Когда он смотрит на доступное пространство диска, то видит, сколько оста- лось от выделенной ему части. После исчерпания квоты на диске, дальнейшее сохранение данных невозможно. В этом случае пользователь может удалить объекты (файлы и каталоги) или передать их в собственность другого пользо- вателя, чтобы освободить дисковое пространство, или же попросить сетевого администратора об увеличении котируемого объема.
При установлении пользователям квот необходимо помнить несколько принципиальных моментов. Квотируемый жесткий диск должен быть отфор- матирован в ФС NTFS. Лицо, выдающее квоты, должно иметь полномочия ад- министратора. Порог выдачи предупреждения должен быть процентов на де- сять меньше, чем сама квота. Например, квота в 1Гб должна сопровождаться порогом выдачи предупреждения в 900Мб. Когда пользователь израсходует выделенные 900Мб, в регистрационном журнале будет сделана соответствую- щая запись; когда порог квотирования в 1Гб будет превышен, осуществляется запрет на дальнейшее использование жесткого диска и также делается соот- ветствующая запись в журнале регистрации.
Для ознакомления с возможностями квотирования дискового простран- ства в среде ОС Windows XP выполните следующее.