Защита данных и безопасность работы в корпоративных сетях

 

Понятие защита информации от несанкционированного доступа (НСД) подразумевает разграничение функциональных полномочий и доступа к информации с целью сохранения основных свойств защищаемой информации.

Технологическая безопасность – это система методов и средств предотвращения и выявления непредумышленных угроз безопасности функционирования при случайных, дестабилизирующих воздействиях и отсутствии злоумышленного влияния на систему.

Для обеспечения технологической безопасности и защиты информации от НСД могут быть применены перечисленные ниже методы и средства.

Физическая защита – осуществление контроля физического доступа к носителям информации, повреждением программ или данных и нелегальным разглашением информации.

Шифрование данных – изменение формата данных, так, чтобы их нельзя было прочитать.

Аутентификация – проверка подлинности логического объекта (отправителя данных) с целью запрещения несанкционированного доступа к ресурсам системы.

Пароль – уникальная строка символов, вводимая для аутентификации доступа при регистрации и ограничения входа в систему и доступа к ресурсам.

Сетевое администрирование – централизованное управление сетью, сетевыми ресурсами и доступом к этим ресурсам, а также обеспечение надежности и защиты сети.

Средства защиты в Windows 95/98 позволяют предотвращать несанкционированный доступ к сети и разделяемым ресурсам сетевых компьютеров. Вот что представляют собой эти средства.

Унифицированная регистрация. В Windows 95 пользователи могут входить во все сети и Windows 95 одновременно. Если пароль пользователя для Windows 95 или другой сети совпадает с паролем клиента основного входа в сеть, то Windows 95 на его основе автоматически пропускает как в свою, так и в другую сеть.

Защита на входе в Windows 95. Системная политика позволяет предотвратить вход пользователей в Windows 95, если не подтвержден их вход в сети Windows NT или Novell NetWare. Чтобы потребовать проверки доступа в Windows 95 контроллером домена Windows NT или сервером NetWare, следует применить политику (правило) Require Validation By Network For Windows Access (требовать для входа в Windows проверки пароля сетью).

Защита на уровне ресурсов или пользователей при одноранговом разделении ресурсов. При запуске на компьютере под управлением Windows 95 сервиса однорангового разделения ресурсов к сетевому принтеру, томам, каталогам и приводу CD-ROM этого компьютера можно подключаться с других компьютеров. Для защиты таких ресурсов в Windows 95 предусмотрена защита на уровне пользователей и на уровне ресурсов. При защите на уровне пользователей (user-level security) запрос на доступ к разделяемому ресурсу проходит через сервер Windows NT или NetWare, проверяющий права доступа. При защите на уровне разделяемых ресурсов (share-level security) сетевым ресурсам назначают пароль и только на его основе пользователи получают доступ к этим ресурсам.

Кэширование паролей. Когда пользователь первый раз набирает и сохраняет пароль при подключении к ресурсу, защищенному паролем, Windows 95 помещает (кэширует) пароль в специальном файле. Регистрация в системе с паролем для Windows 95 раскрывает этот файл и приводит к сопоставлению паролей, содержавшихся в этом файле, с паролем Windows 95. Для пользователя все выглядит так, будто пароли для Windows 95 и ресурсов, защищенных паролем, совпадают. Но если кэширование паролей отключено, то при подключении к ресурсам с такой защитой приходится каждый раз вводить пароль.

Редактор списка паролей. Эта утилита позволяет просматривать и удалять содержимое файлов со списками паролей пользователей.

Контроль паролей через системную политику. Системная политика позволяет принудительно устанавливать жесткие ограничения на использование паролей, а именно:

• отключать кэширование паролей;

• требовать буквенно-цифрового пароля для входа в Windows 95;

• устанавливать минимальную длину пароля для входа в Windows 95.

Другие виды системной политики. В Windows 95 можно определить свои правила системной политики, чтобы не допустить включения пользователями сервиса однорангового разделения ресурсов и принудительно установить другие виды защиты, например, запретить конфигурирование системных компонентов.

Windows 95/98 обеспечивает защиту на уровне пользователя и на уровне ресурсов при использовании сервиса однорангового разделения ресурсов.

· Защита на уровне разделяемых ресурсов защищает сетевые ресурсы компьютеров под управлением Windows 95/98 индивидуально назначаемыми паролями. Например, можно присвоить пароль каталогу или локальному принтеру. Чтобы получить к ним доступ, другим пользователям придется ввести соответствующий пароль. Если не присвоить пароль разделяемому ресурсу, каждый, у кого есть доступ к сети, сможет обратиться к этому ресурсу.

· Сквозная защита на уровне пользователя требует, чтобы сетевой сервер или домен аутентифицировал запросы пользователей на доступ к разделяемым ресурсам. Домен Windows NT или сервер NetWare, обеспечивающий защиту, предоставляет доступ к ресурсу, проверяя, соответствует ли имя и пароль пользователя содержимому его учетной записи на сервере или в домене. (Поскольку на сервере, обеспечивающем защиту, ведется список учетных записей пользователей и паролей для всей сети, хранить учетные записи на каждом компьютере под управлением Windows 95 не нужно.)

Планируя и реализуя защиту в сетевой среде Windows 95, следует выполнить ряд базовых операций:

• Создать учетные записи пользователей на сетевом сервере или контроллере домена, используемом для защиты на уровне пользователя.

• Установить сервис разделения файлов и принтеров и включить защиту на уровне пользователя или ресурса.

• Определить права доступа к ресурсам с защитой на уровне пользователя.

• Сделать одинаковыми пароли для входа в Windows 95 и в сеть и отключить кэширование паролей, если нет необходимости использовать это средство.

• Определить системную политику, ограничивающую возможности пользователей по настройке параметров системы и разделяемых ресурсов, и установить правила применения паролей.

Прежде чем сделать ресурсы компьютера под управлением Windows 95 разделяемыми, компьютер надо сконфигурировать под одну из двух видов защиты и установить службы доступа к файлам и принтерам через опцию Network (Сеть) в Control Panel (см. рис. 1.4).

 

 

Чтобы установить защиту на уровне разделяемых ресурсов для одного компьютера:

1. Необходимо установить сервис File and Printer Sharing for Microsoft Networks (Служба доступа к файлам и принтерам сетей Microsoft).

2. Раскрыть значок Network (Сеть) в окне Control Panel (панель управления), нажать ярлычок Access Control (управление доступом) и пометить переключатель Share-Level Access Control (на уровне ресурсов).

Чтобы установить защиту на уровне пользователя на компьютере в сети NetWare, необходимо:

1. Установить службу File and Printer Sharing services for NetWare Networks (Служба доступа к файлам и принтерам сетей NetWare).

2. Раскрыть значок Network (Сеть) в окне Control Panel (панель управления), нажать ярлычок Access Control (управление доступом) и пометить переключатель User-level Access Control (на уровне пользователя).

3. В поле Obtain List Of Users And Groups From (взять список пользователей и групп с сервера) ввести имя сервера NetWare.

Чтобы установить защиту на уровне пользователя на компьютере в сети Microsoft, необходимо:

1. Раскрыть значок Network (Сеть) в окне Control Panel (панель управления), нажать ярлычок Access Control (управление доступом) и пометить переключатель User-level Access Control (на уровне пользователя).

2. Ввести имя домена или рабочей станции Windows NT, на которых хранятся учетные записи пользователей.

Администрирование

 

Средства и агенты системного управления, поставляемые с Windows 95, поддерживают администрирование в трех областях, связанных с управлением:

• программным обеспечением операционной системы, в том числе драйверами, системным сервисом и компонентами пользовательского интерфейса. Здесь требуется распределять системное программное обеспечение, управлять конфигурациями систем и пользователей, обеспечивать защиту и резервное копирование данных;

• оборудованием, в том числе системной платой, платами расширения, жестким диском и CD-ROM, мониторами, стримерами, координатными устройствами и клавиатурой;

• прикладным программным обеспечением, которое нужно лицензировать и установить.

Windows 95 на базе реестра поддерживает удаленное управление параметрами оборудования и программного обеспечения – как на индивидуальных компьютерах, так и на множестве компьютеров в сети (посредством системной политики). Кроме того, на компакт-диске с дистрибутивом Windows 95 содержатся агенты для удаленного администрирования с использованием различных программных средств.

Рассмотрим важнейшие средства Windows 95, поддерживающие системное администрирование в корпоративных сетях.

Защита входа в систему и ресурсов. Администратор для ограничения входа в сеть и доступа к разделяемым ресурсам на компьютерах под управлением Windows 95 может воспользоваться преимуществами централизованных учетных записей, создаваемых в сетях Windows NT или Novell NetWare. Windows 95 обеспечивает кэширование паролей, что упрощает пользователям подключение к ресурсам с защитой паролем; в то же время администраторы сети могут регулировать эту функцию, проводя более жесткую политику в области защиты.

Профили пользователей. Если разрешено применение профилей пользователей, то при входе в сеть сотрудники получают доступ к своим конфигурациям рабочих столов. Это позволяет работать на одном компьютере нескольким пользователям, а “блуждающим” пользователям входить в сеть с разных компьютеров, сохраняя при этом привычную рабочую среду. Администраторы могут также применять обязательные профили пользователей, полезные для управления рабочими столами начинающих пользователей.

Системная политика. Администратор проводит системную политику для определения необходимых параметров системы, ограничения доступа к сети, присвоения прав доступа отдельным пользователям и т.д. Политика может проводиться по отношению к группам, отдельным пользователям или множеству компьютеров, обеспечивая полный контроль полномочий пользователей по настройке параметров компьютера и рабочего стола.

Удаленное администрирование. Встроенные средства удаленного администрирования помогают централизованно управлять сетевыми компьютерами, упрощая конфигурирование и сопровождение корпоративной сети.

Резервное копирование. Агенты резервного копирования, используемые вместе с Windows 95, поддерживают архивацию данных в сети без вмешательства пользователей.

Агенты системного администрирования. На компакт-диске Windows 95 имеются агенты для работы со средствами администрирования, поставляемыми разными поставщиками.

Реестр Windows 95. Windows 95 собирает информацию об оборудовании, параметрах системной конфигурации, приложениях и сохраняет ее в реестре (Registry). Реестр Windows 95 – структурированная база данных, объединяющая информацию о конфигурации и состоянии аппаратно-программных средств. Благодаря реестру эта информация становится доступна средствам администрирования, обеспечивая гибкость в управлении системой.

Средства и агенты, применяемые сетевыми администраторами, доступны из разных источников. Административное программное обеспечение устанавливается либо вместе с Windows 95, либо после установки операционной системы (через Control Panel).

При установке Windows 95 с дискет вместе с файлами операционной системы автоматически устанавливается и редактор системных правил. Эта программа позволяет модифицировать INI-файлы, CONFIG.SYS и AUTOEXEC.BAT. При установке Windows 95 с компакт-диска Setup устанавливает утилиту – редактор реестра, предназначенную для редактирования реестра. С дистрибутивных дисков Windows 95 можно установить следующие средства:

• Disk Defragmenter (дефрагментация диска), DriveSpace (Уплотнение диска), ScanDisk (проверка диска) и Microsoft Backup (Архивация данных);

• Net Watcher (инспектор сети).

А вот какие средства доступны в каталоге ADMIN\APPTOOLS на компакт-диске Windows 95 [их можно запускать прямо с компакт-диска или установить на жесткий диск через опцию Add/Remove Programs (Установка и удаление программ) в панели управления].

• Password List Editor (редактор списка паролей) – содержится в подкаталоге PWLEDIT;

• System Policy Editor (редактор системных правил) – содержится в подкаталоге POLEDIT.

И, наконец, следующие агенты и службы для удаленного администрирования находятся только на компакт-диске Windows 95 в каталоге ADMIN\NETTOOLS. [Их можно установить на локальный компьютер через опцию Network (сеть) в Control Panel].

• сервис Microsoft Remote Registry (в подкаталоге REMOTREG);

• агент Microsoft SNMP (в подкаталоге SNMP);

• агент Microsoft Network Monitor (в подкаталоге NETMON).