Информационная безопасность малого бизнеса
Игорь Козлов, editor@ci.ru
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Информационная безопасность малого бизнеса
Игорь Козлов, editor@ci.ru
Все функции безопасности Internet Explorer 6 могут быть настроены и защищены с помощью групповой политики. Существует большое число параметров безопасности на базе объектов GPO для управления различными компонентами обозревателя IE, поэтому главное внимание обращено на четыре основные ветви (a, b, c и d в следующей процедуре). Редактор объекта групповой политики обеспечивает подробности о последствиях всех параметров в четырех ветвях. Внимательно прочитайте каждое описание и протестируйте эффективность нужного параметра перед его применением.
Откройте консоль управления групповой политики. Создайте новый объект групповой политики (GPO), например Internet Explorer 6. Политики Internet Explorer содержатся в следующих четырех ветвях дерева политики в редакторе объекта групповой политики. Настройте каждый объект политики во всех четырех ветвях в соответствии с потребностями организации.
Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Internet Explorer. В этой ветви находятся дополнительные политики безопасности для более глубокого блокирования параметров безопасности, нежели в самом обозревателе. Одна из наиболее полезных политик - Зоны безопасности: не разрешать пользователям изменение политики. По умолчанию эта политика отключена в объекте GPO. Если включить политику, то она запрещает пользователю изменять любые настройки безопасности в параметрах обозревателя. Корпорация Microsoft рекомендует установить этот параметр в значение "Включено". Даже локальные администраторы не могут изменять эти параметры после того, как они заданы групповой политикой. Существует несколько других политик, которые можно включить, некоторые из них предназначены для безопасности, другие нет. Внимательно прочитайте описания перед включением.
Конфигурация компьютера, Административные шаблоны, Система, Параметры связи через Интернет. Эта ветвь предназначена специально для Windows XP SP2. Она содержит 20 новых политик, начиная с предназначенных для функций публикации в Web до поддержки мультимедиа. Одна политика - Отключить службу сопоставления файлов Интернет, запрещает обозревателю открывать приложения, связанные с расширениями файлов для содержимого, загружаемого из Web-узла. Эта функция похожа на автоматическое открытие операционной системой программы "Блокнот" для файлов с расширением TXT. Другая политика - Отключить выполнение печати через HTTP-протокол, предназначена для того, чтобы запретить пользователю печатать через Интернет или интрасеть с использованием протокола HTTP. Эта политика не влияет на возможность пользователей иметь собственный HTTP-принтер. Внимательно прочитайте описания перед включением.
Конфигурация пользователя, Конфигурация Windows, Настройка Internet Explorer, Безопасность, Программы. Эти два раздела содержат параметры и политики, которые влияют на безопасность обозревателя. Оба раздела содержат параметры пользовательского уровня, которые находятся в отдельных параметрах безопасности/конфиденциальности обозревателя. Рекомендуется использовать минимальные установки Microsoft, но конфигурации должны соответствовать требованиям организации.
Web-узлы можно добавлять ко всем зонам, кроме Интернет. Тщательно выбирайте Web-узлы, добавляемые в зоны "Местная интрасеть", "Надежные узлы" и "Ограниченные узлы", так как они применяются ко всем рабочим станциям и серверам, связанным с объектом GPO.
Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Internet Explorer. Эта ветвь содержит детальные настройки для ограничения изменений параметров Web-обозревателя, вместо того чтобы полностью запретить пользователям вносить изменения. Эти параметры применяются к изменениям таких элементов, как элементы управления временными файлами Интернет и домашняя страница. Эта ветвь содержит много параметров, и корпорация Microsoft рекомендует администраторам читать описания и тестировать параметры перед их использованием в рабочей среде.
Рекомендуемые параметры пользователя для Internet Explorer (включены по умолчанию).
Завершив работу с редактором политики, свяжите новый объект GPO со всеми доменами, содержащими рабочие станции и серверы Windows. Настройте Фильтры безопасности для объекта GPO по группам, пользователям и компьютерам, на которые должен воздействовать этот объект GPO. Некоторые политики предназначены для компьютеров, другие применяются только для пользователей.
Для защиты Internet Explorer от "изобретательных" пользователей можно воспользоваться следующим: IExplorer: Hide General Page from Internet Properties.
В заключение хотелось бы рекомендовать размер кэша Internet Explorer выставлять в минимум: поскольку, если в кэше несколько тысяч мелких файлов размером в два-три килобайта, то любой антивирус при сканировании данной папки будет работать очень медленно.
Утилита GPUpdate обновляет настройки групповой политики на базе Active Directory. После настройки групповой политики можно подождать, пока параметры будут применены к клиентским компьютерам в стандартных циклах обновления. По умолчанию обновление повторяется каждые 90 минут, с произвольным отклонением плюс или минус 30 минут. С помощью этой процедуры можно ускорить тестирование применения политики на рабочих станциях.
Чтобы обновить групповую политику между стандартными циклами, используйте утилиту GPUpdate следующим образом: на рабочем столе Windows XP SP2 нажмите кнопку Пуск, а затем выберите пункт Выполнить. В поле Открыть, введите cmd, а затем нажмите кнопку ОК. На экране появится окно командной строки. В командной строке введите GPUpdate, а затем нажмите кнопку ОК. Чтобы закрыть командную строку, введите exit, а затем нажмите Ввод.
Согласно документации, установка ОС занимает около часа, но на самом деле установка, настройка, установка всех критических патчей (обновлений) займет, по меньшей, мере 4-5 часов (это при условии, что все патчи уже есть на жестком диске или CD-ROM и вам не нужно загружать их из Интернет). Для дальнейшей установки обновлений есть два пути:
При использовании сканера безопасности гораздо проще устанавливать обновления, поскольку появляется возможность узнать, для устранения какой именно уязвимости создано данное обновление. Анализ процесса установки обновлений приведен на рис. 1.
Поскольку процесс этот непрерывен, вам следует убедиться в том, что ваши обновления соответствуют последним установкам. Рекомендуется постоянно следить за выходом обновлений, систематически запуская сканер безопасности на рабочих станциях. Вообще, вопрос установки обновлений не так прост, как это кажется на первый взгляд. Однако полное рассмотрение этого вопроса выходит за пределы нашей статьи.
Следует учесть, что иногда после установки последующего обновления возникает необходимость в переустановке предыдущего. По крайней мере, в моей практике такое встречалось неоднократно.
Итак, предположим, что все обновления установлены и "дырок" в вашей системе нет. Учтите, что это состояние только на текущий момент времени - вполне возможно, что завтра вам придется устанавливать новые обновления. Процесс этот, увы, беспрерывен.
Примечание: настоятельно рекомендуется сделать резервную копию всей рабочей системы до инсталляции обновлений.
Еще одна полезная для обеспечения безопасной работы ПК функция, однако, ее следует включать только в том случае, если ваш компьютер не используется для ресурсоемких задач, например, работы с базами данных. При этом компьютер периодически создает копии критичных системных файлов (файлы реестра, COM+ база данных, профили пользователей и т. д.) и сохраняет их как точку восстановления. Если какое-либо приложение повредит систему или если что-то важное будет испорчено, вы сможете вернуть компьютер в предыдущее состояние.
Точки восстановления автоматически создаются службой Восстановления системы (System Restore) и при возникновении некоторых ситуаций, например, установке нового приложения, обновления Windows, установке неподписанного драйвера и т. п. Точки восстановления можно создавать и вручную - через интерфейс Восстановления системы (System Restore): Пуск - Программы - Стандартные - Служебные - Восстановление системы (Start - Programs - Accessories - System Tools - System Restore). Аналогичный результат можно получить и с помощью утилиты msconfig, которая запускается из режима командной строки или через Пуск - Выполнить.
Восстановление системных файлов опирается на фоновую службу, которая минимально сказывается на быстродействии и записывает снимки, отнимающие часть дискового пространства. Вы можете вручную отвести максимальный объем дискового пространства для данной службы. Можно также полностью отключить службу для всех дисков (поставив галочку "Отключить службу восстановления"). Поскольку служба восстановления системных файлов может влиять на результаты тестовых программ, то перед тестированием ее обычно отключают.
В процессе установки Windows XP не предусмотрена возможность выбора необходимых компонентов. На мой взгляд, это правильное решение: сначала следует установить операционную систему, а уже затем, поработав с ней, решать, что оставить, а от чего избавиться.
Однако при этом в окне Add/Remove Windows Components, которое присутствует в апплете Add or Remove Programs контрольной панели, удалять-то практически нечего - многие из составляющих Windows скрыты от шаловливых ручек не слишком опытных пользователей. Для решения этой проблемы открываем системную папку Inf (по умолчанию - C:\Windows\Inf), находим там файл sysoc.inf, открываем его и удаляем во всех его строках слово HIDE. Главное при этом - оставить неизменным формат файла (то есть удалению подлежит только HIDE, запятые же до и после этого слова трогать не следует).
Для примера - исходная строка и то, что должно получиться:
Сохраняем файл sysoc.inf, открываем Add/Remove Windows Components - и видим уже куда более длинный список, чем тот, что был изначально. Правда, и в этом случае много удалить не получится. Вы можете задать резонный вопрос: а какое отношение имеет все это к безопасности? Во-первых, если в вашей организации существует корпоративная политика в области использования программного обеспечения и в ней в качестве почтового клиента выбран, например, The Bat! или почтовый клиент Mozilla (Opera), то не стоит оставлять на компьютере Outlook Express и вводить пользователя в искушение пользоваться этим клиентом. Во-вторых, если у вас не принято использовать службу мгновенных сообщений, то Windows Messenger лучше удалить. И, наконец, избавьтесь от просто ненужных вам компонент. Меньше неиспользуемого ПО - меньше возможностей использовать его не по назначению (а, следовательно, вольно или невольно нанести вред вашей организации).
Одна из типичных проблем, связанных с безопасностью, это запуск программ типа "троянский конь" в процессе загрузки Windows XP. Поэтому хотя бы раз в неделю запускайте программу msconfig (Пуск - Выполнить), чтобы проверить, какие утилиты загружаются при старте. Программа может быть запущена автоматически одним из следующих способов:
Для настройки списка автоматически вызываемых программ в состав Windows XP входит утилита Настройка системы (System Configuration Utility) - Msconfig.exe, которую можно вызвать из командной строки. Эта утилита позволяет вывести список всех автоматически загружаемых программ. Рабочее окно программы приведено на рис 4.
Политика ограниченного использования программ позволяет администратору определить программы, которые могут быть запущены на локальном компьютере. Возможно создание политик, которые блокируют выполнение несанкционированных сценариев, дополнительно изолирующих компьютеры или препятствующих запуску приложений. Оптимальным вариантом для управления политикой ограниченного использования программ на предприятии является использование объектов групповой политики и адаптация каждой созданной политики к требованиям групп пользователей и компьютеров организации. Данная политика защищает компьютеры от известных конфликтов и предотвращает запуск нежелательных программ, вирусов и "троянских коней". Хотя политика ограниченного использования программ полностью интегрирована с Microsoft Active Directory и групповой политикой, тем не менее, ее можно использовать также на автономных компьютерах.
В случае использования данной политики администратор вначале определяет набор приложений, которые разрешается запускать на клиентских компьютерах, а затем устанавливает ограничения, которые будут применяться политикой к клиентским компьютерам. Политика ограниченного использования программ в исходном виде состоит из заданного по умолчанию уровня безопасности для неограниченных или запрещенных параметров и правил, определенных для объекта групповой политики и может применяться в домене, для локальных компьютеров или пользователей. Политика ограниченного использования программ предусматривает несколько способов определения программы, а также инфраструктуру на основе политики, обеспечивающую применение правил выполнения определенной программы.
Политики ограниченного использования программ применяются для выполнения следующих действий: определение программ, разрешенных для запуска на клиентских компьютерах; ограничение доступа пользователей к конкретным файлам на компьютерах, на которых работает несколько пользователей; определение круга лиц, имеющих право добавлять к клиентским компьютерам доверенных издателей; определение влияния политики на всех пользователей или только пользователей на клиентских компьютерах; запрещение запуска исполняемых файлов на локальном компьютере, в подразделении, узле или домене.
Поскольку в данной статье рассматриваются вопросы, связанные с безопасностью операционной системы, очень важно обратить ваше внимание на возможность отключения неиспользуемых системных сервисов. Для того, чтобы выполнить это действие, необходимо выбрать Панель управления - Администрирование - Службы.
Напомню, как работать со службами. Кликнув на одну из них, вы увидите окно с четырьмя закладками: Общие, Вход в систему, Восстановление, Зависимости. По сути дела, наиболее важными являются две - первая и последняя. На первой вкладке, Общие, вы можете прочитать название службы, ее функции, исполняемый файл, а также установить тип запуска: авто, вручную, отключено. Так как нам предстоит деактивировать ненужные системные сервисы, мы будет выбирать тип "отключено". На последней вкладке, Зависимости, вы можете увидеть, с какими из служб выбранный вами сервис находится в зависимости, то есть, если служба отключена или неправильно работает, на каких зависимых от нее сервисах это может отразиться.
Примечание: Прежде чем начать удаление ненужных служб, рекомендуется сохранить первоначальные настройки, чтобы избежать возможных конфликтов. Для этого нужно пройти по HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serviсes и кликнув правой кнопкой, выбрать пункт "Экспортировать". Далее сохраняем данные в .reg-файл.
Служба удаленного управления реестром (Remote Registry Service) - позволяет удаленно управлять системным реестром. Если служба остановлена, то редактировать реестр может только локальный пользователь. Надеюсь, лишних вопросов не возникает.
Служба сообщений (Messenger) - данная служба позволяет получать и отправлять сообщения. Часто используется для розыгрышей и спама. Оно вам нужно?
Служба терминалов (Terminal Service) - одной из функций службы является предоставление услуг Remote Desktop. Несомненно, данный сервис не является безопасным, поэтому нуждается в отключении, что и делаем.
NetMeeting Remote Desktop Sharing - служба позволяет определенным пользователям получать доступ к рабочему столу Windows. Давно вы пользовались Windows NetMeeting? И пользовались ли вообще?
Telnet - позволяет удаленным пользователям работать с машиной по протоколу Telnet. Если вы не пользуетесь данными услугами, отключение произойдет незаметно.
Shared-ресурсы всегда были и будут одной из главных головных болей пользователей Windows XP. Изначально задуманный как неоценимая помощь для пользователей, находящихся в локальных сетях, проект содержал множество потенциальных уязвимостей, которыми и пользовались злоумышленники при захвате удаленной машины. Но, не удержавшись, дам совет пользователям локальных сетей. Если при работе вам столь необходимо часто обмениваться файлами, для этого есть более безопасные методы.
Если вы хотите повысить безопасность своих данных и контролировать к ним доступ, ваша задача - отключить расшаренные ресурсы, к чему и приступим. Заглянув в свойства диска C, затем на вкладку Sharing, мы увидим, что у нас имеется расшаренный диск. Выключить эту фукцию можно, отметив опцию Do not share This Folder. Так же нужно сделать со всеми логическими дисками, имеющими место у вас в системе.
Еще одна особенность Windows XP - появление папки Shared Documents (Общие документы). Перемещаем в папку любой файл, и он доступен по сети. Чтобы прекратить данное безобразие, в который раз воспользуемся услугами редактора системного реестра. Пройдем сюда - HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}, и удалим этот раздел реестра, после чего папка станет недоступна.
Все бы хорошо, но расслабляться еще рано. В системе присутствует протокол под названием NetBIOS, который также следует удалить от греха подальше. Суть протокола заключается в том, что он предоставляет удаленный доступ к файлам и папкам и может раскрыть нежелательную информацию о компьютере. Сомнений не осталось? Тогда в свойствах используемого соединения, во вкладке Свойства протокола TCP/IP - Дополнительно выбираем пункт "Отключить NetBIOS через TCP/IP". Там же убираем галочку напротив сервиса Доступ к файлам и принтерам сети Microsoft.
Обеспечение безопасности сети требует постоянной работы и пристального внимания к деталям. Пока "в Багдаде все спокойно", эта работа заключается в предсказании возможных действий злоумышленников, планировании мер защиты и постоянном обучении пользователей. Если же вторжение состоялось, то необходимо в кратчайшие сроки обнаружить брешь в системе защиты, ее причину и метод вторжения. Формируя политику обеспечения безопасности, администратор, прежде всего, проводит инвентаризацию ресурсов, защита которых планируется, идентифицирует пользователей, которым требуется доступ к каждому из этих ресурсов, и выясняет наиболее вероятные источники опасности для каждого из этих ресурсов. Имея эту информацию, можно приступать к построению политики обеспечения безопасности, которую пользователи будут обязаны выполнять.
Политика обеспечения безопасности - это не обычные правила, которые и так всем понятны. Она должна быть представлена в форме серьезного печатного документа. А чтобы постоянно напоминать пользователям о важности обеспечения безопасности, можно разослать копии этого документа по всему офису, чтобы эти правила всегда были перед глазами сотрудников.
Хорошая политика обеспечения безопасности включает несколько элементов, в том числе следующие.
Список ресурсов, которые обычно являются целями вторжений, можно найти в документе RFC 1244 по адресу http://www.rfc-editor.org. Все вторжения можно разделить на пять классов, в зависимости от того, что является их целью.
Хорошая политика обеспечения безопасности, понятная всем пользователям, - это нечто гораздо большее, чем просто средство предотвращения некоторых возможных проблем. Хорошей практикой является процедура регулярного повторного ознакомления пользователей с этой политикой, наравне с инструктажем по технике безопасности на рабочем месте. Это не должно быть пустой формальностью. Важно, чтобы пользователи сознавали, какую ответственность они берут на себя одновременно с правом доступа к корпоративной компьютерной сети.
Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам и т. п. Когда сетевое соединение выходит за пределы вашей зоны влияния, например в точке подключения к внешнему провайдеру, то контроль за физическими аспектами сети, разумеется, теряется, и остается полагаться на другие методы, такие как шифрование и туннелирование. Но оборудование в помещении компании должно находиться под пристальным наблюдением.
Как бы глупо это ни звучало, но от несанкционированного доступа часто спасает простой дверной замок. Серверы, на которых хранятся важные или уязвимые данные, не должны стоять открыто на столе или в незапертой комнате, куда может зайти кто угодно. Аналогичным образом должны защищаться маршрутизаторы, концентраторы, коммутаторы и другие устройства. Комнаты с компьютерами должны закрываться на замок или находиться под круглосуточным наблюдением. Если кто-то из сотрудников компании работает круглосуточно, то это комнату закрывать не обязательно, но только в том случае, если персонал не дежурит по одному. В идеале доступ в подобные помещения должен контролироваться, например, путем регистрации в журнале.
Резервные носители, такие как ленты или перезаписываемые компакт-диски, должны быть защищены так же, как и исходные данные. Недопустимо хранить резервные копии на сервере или рабочей станции, оставлять картриджи и CD на столе или в незапертом ящике.
При обновлении сети и установке новых рабочих станций и серверов старое, ненужное оборудование часто передают сотрудникам компании или другим организациям, например, школам. В политике обеспечения безопасности должно быть правило, согласно которому со всех жестких дисков, подлежащих списанию, должны быть удалены данные, а при необходимости - заново установлена легальная копия операционной системы. Там же должна быть описана процедура утилизации использованных компакт-дисков и картриджей с резервными копиями. При малейшем подозрении, что на них могла сохраниться важная информация, которую можно восстановить, лучше сначала разбить эти носители и только потом выбросить. Хорошим средством уничтожения информации с таких носителей является магнитное устройство "тотального" стирания.
Кроме физического, следует ограничить и программный доступ к сети. И все равно, независимо от того, насколько хорошо налажен контроль доступа (http://securityrussia.com/accesscontrol/), всегда найдется человек, который нарушит эту защиту. Поэтому необходимо иметь возможность проследить сетевые события и определить по ним, не пытался ли кто-то вторгнуться в сеть, и насколько это удалось. Существует несколько типовых механизмов управления доступом к сети: пользовательские учетные записи и пароли, физические идентификаторы, защита ресурсов.
Во многих операционных системах важной частью этой схемы является концепция владения ресурсами. Например, в OpenVMS и Windows Server 2003 отслеживаются пользователи, создающие ресурсы (такие как файлы). Владельцы таких ресурсов имеют право изменять режим защиты файла и предоставлять другим пользователям полномочия, необходимые для работы с этим файлом. То же самое, хотя и в меньшей степени, можно сказать об операционных системах Unix/Linux.
Если в сети не хранятся сверхсекретные данные, то для доступа к ресурсам обычно достаточно логина и пароля. Управление такими системами обычно не представляет сложностей. В Windows 2000/XP и Server 2003 можно создавать обособленные защищенные зоны управления - домены. Сетевой администратор может предоставить пользователям домена права доступа к ресурсам любого компьютера, будь то сервер или рабочая станция. Кроме того, при сотрудничестве администраторов между доменами могут быть установлены доверительные отношения, в результате чего пользователи получат доступ к сетевым ресурсам другого домена по той же учетной записи и паролю. В Windows 2000 и более поздних версиях для разграничения доступа к важным ресурсам могут применяться групповые политики.
В Novell NetWare для этого применяется служба Novel Directory Services, которая предоставляет пользователю регистрационное сетевое имя. Каждый пользователь представляется в каталоге объектом User, в свойствах которого содержится информация о его паролях и соединениях.
В операционных системах Unix концепция домена отсутствует. Вместо этого каждый хост Unix содержит файл паролей, где хранится информация о каждом пользователе, включая шифрованный пароль. Для доступа к ресурсам других сетевых хостов пользователь Unix должен либо зарегистрироваться на этом компьютере, либо использовать прокси. Утилиты TCP/IP, такие как FTP и Telnet, часто пересылают пароли пользователей по сети открытым текстом и поэтому являются легкой добычей для хакера.
В Unix для выполнения обычных сетевых операций, таких как копирование или печать файлов или регистрация на удаленной системе, используются утилиты удаленной работы, обычно называемые r-командами (их имена начинаются буквой r). Такие утилиты очень полезны в сетевой среде, где один пользователь работает на нескольких компьютерах, но часто вызывают проблемы с безопасностью: ведь для выполнения команды на удаленном хосте пользователю достаточно иметь действительную для этого хоста учетную запись.
Вместо пароля право доступа определяется записью в файле /etc/hosts.equiv или .rhosts. Удаленный компьютер доверяет компьютеру, на котором пользователь выполняет r-команду, если находит в одном из этих файлов соответствующую запись. Каждая запись файла /etc/hosts.equiv содержит имя хоста и имя пользователя и позволяет идентифицировать пользователей и хосты, которым разрешено выполнять соответствующие команды. Поэтому ввода пароля не требуется. Считается, если пользователь зарегистрировался на удаленном хосте, то он уже прошел аутентификацию. Файл .rhosts работает подобным образом, но находится в домашнем каталоге пользователя. Удаленные пользователи, указанные в этом файле, могут выполнять действия на основании своих учетных записей.
Несмотря на то, что в большинстве операционных систем Unix и Linux сохранились базовые r-команды, теперь у них появилась альтернатива - утилиты защитной оболочки (Secure Shell, SSH), обеспечивающие передачу данных подобно r-командам, но с аутентификацией и шифрованием. Более подробные сведения о SSH можно получить по адресу http://www.ssh.com/products/ssh/, а бесплатные версии SSH-утилит - на сайте http://www.openssh.com.
Все это очень напоминает механизм доверительных отношений Windows NT/2000/Server 2003/XP, но все же это разные механизмы. Злоумышленник легко может выдать себя за удаленный узел и получить доступ к системе Unix/Linux посредством r-команд.
Фоновые процессы, выполняющие различные функции на серверах Windows, называются службами. В операционных системах Unix также есть аналогичные фоновые процессы, называемые демонами. И те, и другие процессы являются фоновыми - не требуют взаимодействия с клавиатурой и выполняются на компьютере, ожидающем запуска некоторой функции. Иногда они могут стать причиной нарушения системы защиты.
Следует ознакомиться с фоновыми процессами, выполняемыми на всех серверах сети, и отключить лишние. Например, в системах Unix есть много фоновых демонов, связанных с набором протоколов TCP/IP. На одних компьютерах они нужны, на других же используются, в лучшем случае, только некоторые из них. В таблице перечислены некоторые демоны, которые нередко можно отключить.
| Службы TCP/IP, которые иногда можно отключить | |
|---|---|
| Служба | Описание |
| uucp | копирование с одного компьютера Unix на другой |
| finger | получение информации о пользователях |
| tftp | простейший протокол передачи файлов (Trivial File Transfer Protocol) |
| talk | возможность обмена данными по сети между пользователями |
| bootp | предоставление клиентам информации о сети |
| systat | получение информации о системе |
| netstat | получение информации о сети, такой как текущие соединения |
| rusersd | получение информации о пользователях, зарегистрированных в данный момент |
| rexd | удаление работающей утилиты |
Например, служба tftp является упрощенным вариантом FTP. Она компактна и обычно легко реализуется в виде перепрограммируемого ПЗУ. Поэтому эта служба полезна в некоторых устройствах, требующих загрузки операционной системы с хоста. Однако следует учесть, что, в отличие от FTP, служба tftp не имеет доступа к механизмам управления и, таким образом, имя пользователя и пароль для нее неприменимы. А поскольку аутентификации нет, то отсутствие правильной настройки, например, разрешения использования только в определенных целях может привести к серьезным нарушениям системы защиты.
На серверах Windows есть две утилиты из состава Resource Kit, которые позволяют установить и запустить в режиме службы практически любую программу или пакетный файл. Это INSTRV.EXE, которая применяется для установки исполняемых программ, и SRVANY.EXE, которую можно использовать для превращения в службу других файлов. На сервере, где часто регистрируется несколько пользователей, можно внести в план регулярного обслуживания просмотр работающих служб и отключение или удаление тех из них, которые не были установлены при исходной установке операционной системы или не поставляются с продуктами, установленными на данном компьютере. Для этого нужно регулярно проводить инвентаризацию всего, что работает на каждом сервере. Информация, полученная в результате такой инвентаризации, может использоваться и в других целях, например, при переустановке сервера после аварии.
Цель: гарантировать использование по назначению компьютеров и телекоммуникационных ресурсов Компании ее сотрудниками, независимыми подрядчиками и другими пользователями.
Следующая политика, ее правила и условия касаются всех пользователей компьютерных и телекоммуникационных ресурсов и служб компании, где бы эти пользователи ни находились. Нарушения этой политики влекут за собой дисциплинарные воздействия, вплоть до увольнения и/или возбуждения уголовного дела. Данная политика может периодически изменяться и пересматриваться по мере необходимости.
Руководство компании имеет право, но не обязано проверять любой или все аспекты компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение данной политики. Компьютеры предоставляются сотрудникам Компании с целью помочь им более эффективно выполнять свою работу.
Компьютерная и телекоммуникационная системы принадлежат Компании и могут использоваться только в рабочих целях.
Сотрудники Компании не должны рассчитывать на конфиденциальность информации, которую они создают, посылают или получают с помощью принадлежащих Компании компьютеров и телекоммуникационных ресурсов.
Пользователям компьютеров следует руководствоваться перечисленными ниже мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя (но не ограничиваются) следующее: хост-компьютеры, серверы файлов, рабочие станции, автономные компьютеры, мобильные компьютеры, программное обеспечение, а также внутренние и внешние сети связи (Интернет, коммерческие интерактивные службы и системы электронной почты), к которым прямо или косвенно обращаются компьютерные устройства Компании.
Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, касающиеся интеллектуальной собственности.
Все, что создано на компьютере, в том числе сообщения электронной почты и другие электронные документы, может быть проанализировано руководством Компании.
Пользователям не разрешается устанавливать на компьютерах и в сети Компании программное обеспечение без разрешения системного администратора.
Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя. Электронная почта от юриста Компании или представляющего ее адвоката должна содержать в колонтитуле каждой страницы сообщение: "Защищено адвокатским правом/без разрешения не пересылать".
Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов.
Запрещается использование без предварительного письменного разрешения компьютерных и телекоммуникационных ресурсов и служб Компании для передачи или хранения коммерческих либо личных объявлений, ходатайств, рекламных материалов, а также разрушительных программ (вирусов и/или самовоспроизводящегося кода), политических материалов и любой другой информации, на работу с которой у пользователя нет полномочий или предназначенной для личного использования.
Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. Пользователи несут ответственность за все транзакции, которые кто-либо совершит с помощью их пароля.
Возможность входа в другие компьютерные системы через сеть не дает пользователям права на подключение к этим системам и на использование их без специального разрешения операторов этих систем.
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru