Желідегі компьютердің қауіпсіздігін қамтамасыз ету. Қосылуларды жалпы баптау басқаруларын пайдалану Жұмыстың мақсаты

Қауіпсіздікті басқару үшін кез-келген жүйе:

• қол жетімділікті бақылауы;

• пайдаланушыларды анықтауы;

• қол жетімділікті шектеу немесе оған рұқсат беруі;

• тұтынушының әрекеттерін жазып отыруы;

• жүйелер арасындағы жабық өзара әрекеттесуді жүзеге асыруы;

• қате конфигурация қаупін барынша азайтуы

керек.
Шифрлеу, математикалық алгоритмді (шифрді) пайдаланып хабарламаны жасыру үдерісі және тек құқылы тараптарға белгілі құпия мән (кілт) – барлық заманауи компьютерлік қауіпсіздіктің негізін құрайды.

Шифрлау тұтынушының жеке басын немесе компьютерді растау, деректерді тексеру немесе сақтау кезінде, байланыс ағынында мәліметтер мазмұнын жасыру үшін қолданылады.

Операциялық жүйе сенімді болуы үшін ол өзінің рұқсат етілмеген өзгерістерге ұшырамағанына және ақпараттың басқа тұтынушылардан қауіпсіз сақтала алатынына кепілдік беруге қабілетті болуы керек. Windows файлдарға, соның ішінде Windows жүйесін жүктеуді қамтамасыз ететін файлдарға қол жетімділікті басқару үшін NTFS файлдық жүйесінің шешімдері мен рұқсаттарын пайдаланады.

Рұқсаттар тұтынушылар мен тұтынушылар топтарына файлдық жүйенің әр функциясы үшін берілуі мүмкін. Файлдар оларға қол жетімділікті компьютер өшірілген кезде де қамтамасыз ету үшін дискте шифрленіп сақталуы мүмкін.

Windowsтың желілік қауіпсіздігі хэштелген Kerberos құпия сөздерінің, топтық саясат пен IPSec саясаттарының репозитарий ретінде пайдаланылатын Active Directory көмегімен басқарылады. Active Directory сонымен қатар қауіпсіздік принципалдары (рұқсат берілетін объекттер) арасындағы қатынастарды анықтайды.

Windows Kerberos-ты желі арқылы тұтынушының тіркеу деректерін тексеру үшін қолданады. Kerberos – бұл үшінші тараптың сенімді қауіпсіздік жүйесі болып табылады. Өзара әрекеттесетін екі шектік нүкте де Kerberos серверіне сенімді болғандықтан, олар бір-біріне де сенеді. Kerberos серверлері басқа Kerberos серверлеріне сене алады, сондықтан үлкен қашықтыққа бөлінген желілердегі шектік нүктелер арасында айқындығы расталған өзара әрекеттесу сеанстарын орнатуға мүмкіндік беретін транзитивтік сенімді қатынастар құрылуы мүмкін. Kerberos жүйесі Active Directory-мен интеграцияланған (доменнің барлық контроллерлері Kerberos кілттерін үлестіру орталықтары – Kerberos Key Distribution Center – болып табылады) және оның бір домен ағашына қосылуы автоматты түрде транзиттік екі жақты сенімдік қатынастар тудырады.

Топтық саясаттар қауіпсіздік талаптарын орнату және домендегі, кеңседегі немесе OU контейнеріндегі компьютерлер мен тұтынушылардың тіркеу жазбаларын конфигурациялау үшін қолданылады. Топтық саясаттарды іс жүзінде компьютерлер мен тұтынушылардың барлық қауіпсіздік элменттерін басқару үшін қолдануға болады.

Топтық саясаттар Active Directoryдің Users and Computers (Пайдаланушылар және компьютерлер) жабдықшасынан (оснастка) Active Directory Sites and Services (сайттар мен қызметтер) жабдықтамасынан басқарылады.

IPSec – бұл Интернеттің IP-дестелердің шынайылығын қамтамасыз етуге және IP-дестелерге салынған деректерді шифрлауға арналған стандарты. IPSec көптеген түрлі қауіпсіздік алгоритмдерімен жұмыс істейді және қалыпты көлік режимінде немесе Интернет сияқты ашық желідегі жабық арнаны эмуляциялау үшін туннель режимінде жұмыс істей алады.

Интернет дәуіріндегі қауіпсіздік дегеніміз – белгісіз компьютерлерден тарайтын сессияларды белсенді түрде бұғаттау, тұтынушыларды ашық шифрлау кілттерінің сертификаттары негізінде авторлау, файлдар мен каталогтарды пайдалануды тексеру, деректерді тасымалдауды шифрлау және құқылы тұтынушылардың вирустар мен трояндық аттарды кездейсоқ белсендіруіне жол бермеу.

Нашар дайындалған Windows NT4-тен сабақ ала отырып, Windows тұтынушыларды аутентификациялау, деректерді шифрлеу, қауіпсіз қосылуларды қамтамасыз ету, рұқсатсыз қол жеткізулерге тыйым салу және қауіпсіздікті тұтастай басқару сияқты күрделі құралдар жиынтығын ұсынады. Үнсіз келісім бойынша қызметтер жиынтығы көмегімен Windowsты кез-келген басқа бұқаралық нарыққа арналған негізгі операциялық жүйелерге қарағанда көбірек қауіпсіз етуге болады – соның ішінде UNIXтің немесе Linuxтің барлық нұсқаларына қарағанда – және басқару және қауіпсіз күйде пайдалану оңайырақ. Соған қарамастан Windows бәрін алдын ала ескере алмайды, өйткені Microsoft және басқа үшінші тараптағы программалық жасақтама жеткізушілері Internet Explorer, Outlook және Office сияқты тұтынушылық өнімдердің қауіпсіздігінен гөрі пайдаланудың қарапайымдылығына басымдық береді.

Бұл бағдарламалардың барлығында желі әкімшілерінен үнемі қырағылықты талап ететін олардың сценарийлік кіріктірілген процессорлары болғандықтан, қауіпсіздіктегі елеулі кемшіліктер бар. Windows сонымен қатар осы мәселелерді шешуге көмектесе алады. Бірақ Майкрософт өзінің тұтынушылар үшін құрылған соңғы өнімдерінде қауіпсіздікке аса көңіл бөле қоймайды, сондықтан сіздің желіңіздегі осы бағдарламалардан туындаған қауіпсіздік мәселелерін болдырмаудың жалғыз жолы – оларды мүлдем пайдаланбау.

Windows XP операциялық жүйесінің SP2 әкімшілік шаблондарына қосымша параметрлер қосылған. Бұл параметрлерді баптау үшін барлық GPO жаңа Windows XP SP2 әкімшілік шаблондары көмегімен жаңартылуы керек. Кері жағдайда, Windows брандмауэрін баптау параметрлері қол жетімді болмайды.

Windows XP SP2 операциялық жүйесінің басқаруымен жұмыс істейтін компьютерлерде GPO объектілерін Топтық саясат объектілері редакторы (Group Policy Object Editor) жабдықшасы (оснастка) орнатылған Microsoft басқару консолі (Microsoft Management Console – MMC) көмегімен жаңартуға болады.

GPO объектілерін жаңартқаннан кейін Сіз Windows XP SP2 операциялық жүйесі басқаруымен жұмыс істейтін компьютерлер үшін брандмауэр параметрлерін баптай аласыз.