Завдання до лабораторної роботи
Мета роботи
Настроювання захисту даних комп'ютерної мережі при використанні ОС Windows ХР
Лабораторна робота № 2
Визначення прав доступу до ресурсів операційної системи. Настроювання правил авторизації й прав доступу до мережних об'єктів і файлової системи сімейства операційних систем Windows для забезпечення захисту інформації. Ідентифікація комп'ютерів у мережі. Настроювання протоколів безпеки. Використання протоколів безпеки для віртуальних приватних мереж. Створення політики вилученого доступу.
Ключові положення
ОС Windows, починаючи з версії 2000, підтримує кілька методів контролю вхідного доступу. Одним з найбільш простих і одночасно самих потужних є фільтрація TCP/IP. Фільтрація TCP/IP корисна з погляду безпеки, оскільки працює в режимі ядра, на відміну від протилежних методів контролю вхідного доступу на комп'ютери, наприклад, фільтри політики IPSec або сервер маршрутизації й вилученого доступу, які залежать від процесів режиму користувача або служби робочих станцій і серверів.
Для контролю вхідного доступу за протоколом TCP/IP може бути використана комбінована схема із застосуванням фільтрації TCP/IP, фільтрів IPSec і фільтрації пакетів маршрутизації й вилученого доступу. Такий метод особливо ефективний, якщо потрібно контролювати як вхідні, так і вихідні пакети протоколу TCP/IP. Фільтрація TCP/IP дозволяє стежити тільки за вхідним доступом.
Ключові питання
1. Як надати іншим користувачам доступ до ресурсів вашого комп'ютера?
2. Як настроїти керування доступом на рівні ресурсів?
3. Як знайти потрібний ресурс у мережі?
4. Як створити логічний диск?
5. Як підключити мережний принтер?
6. Вам необхідно подивитися файл презентації, над яким ви працювали на іншому комп'ютері. Яким чином можна знайти цей файл? Опишіть способи знаходження мережного ресурсу.
7. Для чого потрібні утиліти ping, tracert, nslookup? У яких випадках, пов'язаних з безпекою мережі, можливе використання цих утиліт?
8. Які рівні безпеки дозволяє настроїти утиліта «Групові політики» (Group Policy)?
9. Опишіть призначення й функційні можливості вкладок меню «Панель керування» (Control Panel), «Мережа» (Network), «Протоколи TCP/IP».
10. Опишіть призначення служб Wins, DHCP, DNS.
11. Опишіть, які зміни в системі ви можете спостерігати, з використанням утиліт моніторингу.
1. Настроїти забезпечення безпеки стека протоколів TCP/IP, а також настроїти мережну ідентифікацію робочих станцій. Для цього в утиліті «Властивості комп'ютера» (Computer Properties) необхідно надати відомості про комп'ютер, настроївши мережне ім'я, робочу групу, опис, а також задати логічну адресу мережі, настроїти протоколи в утиліті «Мережне оточення» (My network places).
2. Настроїти безпеку, за допомогою додаткових вкладок в утиліті «Мережне оточення» (My network places).
3. Після виконання завдання з табл.2.3, визначте фізичну адресу мережного адаптера вашого комп'ютера і його доменне ім'я за допомогою утиліти cmd і команди ipconfig з параметром all.
4. Ознайомтеся з призначенням утиліт ping, tracert, nbtstat nslookup і їх ключами. Перевірте мережні з'єднання за допомогою даних утиліт.
5. Надайте користувачам мережі доступ до ресурсів комп'ютера забезпечивши, залежно від варіанта, необхідні політики безпеки прав доступу. Для надання прав користування файлом або принтером необхідно скористатися вкладкою «Конфігурація» (Configuration) утиліти «Мережа» (Network), де вибрати пункт «Доступ до файлів і принтерів» (File And Print Sharing). Для надання доступу до ресурсів і настроювання керування доступом, необхідно для початку визначити, хто має право працювати з ресурсами даного комп'ютера і який рівень доступу має кожний користувач. Щоб настроїти доступ на рівні ресурсів, необхідно у вікні утиліти «Мережа» (Network) відкрити вкладку «Керування доступом» (Access Control) і включити опцію «На рівні ресурсів» (Share-Level Access control). Щоб установити пароль і рівень доступу до певної директорії, необхідно з контекстного меню вибрати опцію «Доступ» (Sharing) і у вікні, що відкрилося, зробити необхідні настроювання. Для надання загального доступу до принтера, необхідно відкрити вікно утиліти «Мережа» (Network), вибрати вкладку «Конфігурація» (Configuration), «Доступ до файлів і принтерів» (File And Print Sharing). Щоб установити доступ до мережного принтера, необхідно відкрити папку «Принтери» (Printers) і додати мережний принтер. Для надання загального доступу до директорій, необхідно скористатися вікном «Властивості» (Properties) даної директорії та вкладкою «Доступ» (Sharing).
Підключіть мережний ресурс, у вигляді логічного диска, для цього необхідно скористатися контекстним меню «Властивості» (Properties) у вікні «Провідник» (Explorer), вибравши команду «Підключити мережний диск» (Map Network Driver). У діалоговому вікні, що з'явиться після виконання цих команд, необхідно призначити букву логічного диска, указати шлях до підключаємого диска і встановити опцію «Автоматично підключати при вході в систему» для підключення ресурсу при завантаженні ОС Windows.
6. Ознайомтесь з забезпеченням безпеки й захисту даних у мережі за допомогою утиліти «Групова політика» (Group Policy). Ознайомтесь з організацією і призначенням функції «Групової політики» (Group Policy). Розгляньте реалізацію «Об'єкти Групової політики» (Group Policy objects (GPOs)) і керування об'єктами GPOs. Зробіть необхідні настроювання групової політики, залежно від завдання, зазначеного у вашому варіанті. Вивчіть настроювання параметрів безпеки за допомогою даної утиліти.
7. Ознайомтеся з утилітами, що забезпечують моніторинг безпеки, за допомогою відстеження змін локальних і мережних даних і процесів системи. Запустіть і ознайомтесь з моніторингом процесів, що працюють за допомогою утиліти «Диспетчер завдань Windows». Запустіть і ознайомтеся з утилітою «Перегляд подій» (Event Viewer). Запустіть і ознайомтеся з утилітою «Продуктивність» (Performance). Залежно від варіанта докладно опишіть роботу однієї з утиліт.
Варіанти завдань для виконання лабораторної роботи:
1.1. Відкрийте загальний доступ до підключення Інтернет, дозволивши іншим користувачам використовувати підключення до Інтернет через мережний адаптер вашого комп'ютера, за допомогою вкладки «Властивості», «Підключення по локальній мережі».
1.2.Видаліть існуючі підключення мережних дисків за допомогою команди net use.
1.3. У параметрах безпеки утиліти «Групова політика» настройте політику користувальницьких паролів, задавши максимально можливі вимоги для забезпечення безпечної аутентифікації.
1.4.Опишіть призначення вкладки «Моніторинг продуктивності системи» утиліти «Диспетчер завдань Windows» з поясненням представлених у ній значень.
2.1. Настройте IР-адресу вашої робочої станції, укажіть маску підмережі класу B, а також вкажіть шлюз сервера за допомогою якого ви підключаєтеся до Інтернет.
2.2. Задайте підключення мережних дисків за допомогою команди net use.
2.3.У параметрах безпеки утиліти «Групова політика» настройте політику аудита, відповідно до вимог забезпечення безпеки в мережі.
2.4.Змініть пріоритет запущених процесів у вкладці «Процеси» утиліти «Диспетчер завдань Windows». Приведіть приклад необхідності такої зміни.
3.1.Задайте адреси DNS і WINS сервера в домен вашої мережі.
3.2. Відкрийте права доступу на принтер, підключений до вашого комп'ютера для загального користування певними групами домена, у який входить ваш комп'ютер.
3.3.У параметрах безпеки утиліти «Групова політика» настройте політику прав користувачів, вказавши обмеження на локальний вхід у систему, для груп, що не використовують дану робочу станцію. А також забороніть всім групам, крім адміністраторів, входити через службу терміналів.
3.4.Запустіть оснащення «Перегляд подій» із групи «Адміністрування», «Панель керування». Опишіть призначення значень вікна оснащення вкладок «Загальні» і «Фільтр».
4.1. Настройте статичну мережну IP-адресу вашого комп'ютера, настройте використання фільтрації TCP/IP, указавши порт ftp, як дозволений трафік.
4.2. Додайте мережний принтер, щоб надалі користуватися даним ресурсом.
4.3. У параметрах безпеки утиліти «Групова політика» настройте політику прав користувачів, вказавши групи для доступу до комп'ютера з мережі й права для груп, що можуть здійснювати завершення роботи системи.
4.4. Запустіть оснащення «Перегляд подій» із групи «Адміністрування», «Панель керування». Створіть новий вид журналу, задавши потрібний вид стовпців, фільтра, спосіб сортування.
5.1.Використовуючи правила фільтрації стека протоколів TCP/IP, заблокуйте весь вхідний трафік, за винятком порту TCP 80 для http і для протоколу захищених сокетів (SSL), указавши порт 443.
5.2. Задайте загальний доступ до диска на вашій робочій станції, тільки для груп домена, у якому перебуває ваш комп'ютер.
5.3.У параметрах безпеки утиліти «Групова політика» настройте політику прав користувачів, вказавши групу, що має право здійснювати вилучене завершення.
5.4.Приведіть опис дій, необхідний для перегляду подій на іншому комп'ютері.
6.1.Настройте стек протоколів TCP/IP на динамічну адресацію, за допомогою вкладки «Загальні», для підключення за локальною мережею, «Властивостей TCP/IP», вибравши опцію «Одержати IP-адресу автоматично».
6.2. На одному з комп'ютерів мережі перебуває директорія, з якої ви працюєте досить часто. Підключіть цю директорію до свого комп'ютера як логічний диск.
6.3. У параметрах безпеки утиліти «Групова політика» настройте локальну політику безпеки, визначивши необхідні параметри для інтерактивного входу в систему.
6.4. Приведіть перелік опцій, доступних для фільтрації журналів подій.
7.1.Перегляньте таблицю IP маршрутизації за допомогою команди route print. Опишіть результат роботи утиліти в протоколі.
7.2.Настройте управління доступом до ресурсів для персоналу відділу виробництва.
7.3.У параметрах безпеки утиліти «Групова політика» настройте локальну політику безпеки, визначивши необхідні параметри для цифрового підпису.
7.4.Опишіть, що являє собою оснащення «Продуктивність (Performance)». Опишіть призначення «Системного монітора (System monitor)» і «Журналу продуктивності (Performance Logs and Alerts)».
8.1.За допомогою вкладки «Перевірка дійсності» установіть настроювання, щоб виконати перевірку дійсності в мережі, якщо відомості про користувача й комп'ютер недоступні. Також настройте перевірку дійсності у гостя при неприступності відомостей про комп'ютер.
8.2.Настройте управління доступу до ресурсів мережі для персоналу відділу маркетингу.
8.3. У параметрах безпеки утиліти «Групова політика» настройте локальну політику безпеки, визначивши необхідні параметри для мережної безпеки.
8.4.Приведіть список параметрів, які дає можливість переглядати утиліта «Системного монітора» (System monitor).
9.1.Додайте статичний IP-маршрут, за допомогою наступного командного рядка: rout_dd_призначення_mask_маска_підмережі_ шлюз_metri _вартість_if_ інтерфейс. Де шлюз – це IP-адреса або ім'я вузла шлюзу, або маршрутизатора, використовуваного для перенапрямку. (Наприклад, route add 10.0.0.0 mask 255.0.0.0 192.168.0.1 metric 2)
9.2.Настройте управління доступом до ресурсів для персоналу відділу закупівель.
9.3.У параметрах безпеки утиліти «Групова політика» настройте локальну політику безпеки, визначивши необхідні параметри безпеки пристроїв.
9.4.Перелічте об'єкти, які найбільш часто використовуються для відстеження роботи системних компонентів утилітою «Системного монітора» (System monitor).
10.1.Використовуйте правила фільтрації стека протоколів TCP/IP для блокування всього вхідного трафіка, за винятком telnet .
10.2.Визначте результуючі дозволи на права доступу до директорії.Перегляньте всі мережні диски, підключені до вашої робочої станції, за допомогою команди net use.
10.3.У параметрах безпеки утиліти «Групова політика» настройте локальну політику безпеки, визначивши необхідні параметри безпеки для .облікових записів і членів домена.
10.4. Опишіть процес вибору частоти реєстрації, методу моніторингу та процес вибору комп'ютера, який буде використаний для моніторингу, за допомогою утиліти «Системного монітора» (System monitor).
11.1.Настройте параметри служби NetBIOS, за допомогою вкладки «Додаткові параметри TCP/IP», включивши NetBIOS через порт TCP/IP за замовчуванням.
11.2. Підключіть мережний диск D:\\, що перебуває на робочій станції вашого сусіда.
11.3. У параметрах безпеки утиліти «Групова політика» настройте політику безпечної конфігурації операційної системи Windows.
11.4.Перелічте можливості оснащення «Оповіщення журналу продуктивності» (Performance Logs and Alerts) .
12.1.За допомогою вкладки «Підключення по локальній мережі», настройте параметри брандмауера Windows заборонивши дистанційне керування робочим столом.
12.2. Змініть права доступу до будь-якої директорії. Сформуйте на своєму комп'ютері каталог з декількома файлами. Надайте ці файли для загального використання з різним рівнем доступу.
12.3. У параметрах безпеки утиліти «Групова політика» настройте профілі користувачів, сценарії входу в систему, можливості Ctrl+Alt+Del.
12.4.Використовуйте оснащення «Оповіщення журналу продуктивності» (Performance Logs and Alerts) для створення нових журналів лічильника, трасування, оповіщення.
Зміст протоколу
У звіт необхідно включити опис зроблених вами настроювань безпеки протоколу TCP/IP з поясненням призначення даних настроювань. Включіть опис настроювань безпеки локальних і мережних ресурсів робочих станцій.
Залежно від завдання у вашому варіанті, включіть докладний опис реалізованих вами політик безпеки, заданих в утиліті «Групові політики» (Group policy), з поясненням необхідності пророблених вами настроювань.
Залежно від завдання у вашому варіанті, опишіть одну з утиліт моніторингу.