Локальные сети

       программы, шифрующие информацию;

       программы, скрывающие информацию;

       программы, не шифрующие информацию, но блокирующие несанкционированный  доступ или ограничивающие доступ к данным.

       На  практике многие программы  могут одновременно относиться к разным типам. К примеру, некоторые программы, не шифрующие информацию, но блокирующие несанкционированный доступ к ней, могут также скрывать эту информацию на жестком диске, чтобы соответствующие файлы или папки не отображались в проводнике.

       Программы, блокирующие или  ограничивающие доступ к данным, так же как и программы, скрывающие информацию, нельзя считать абсолютно надежными. В то же время они позволяют работать с данными очень быстро, что является их неоспоримым преимуществом. Программы, в которых применяются криптографические методы защиты, то есть шифрование данных, гарантируют высокую надежность, но процесс шифрования и расшифровки требует времени и скорость его выполнения зависит от вычислительной мощности компьютера.

       В домашней локальной  сети без использования  сервера, возможно, ограничить доступ только паролем, так как информация, хранящаяся на компьютерах пользователей, является не столь важной, как допустим информация в офисах или предприятиях, где у пользователей только ограничений доступ к информации. В данном проекте нет необходимости применять  

дополнительные  средства защиты данных.   

        5.2 Доступ к ресурсам  серверов и рабочих  станций

       Рабочие станции под управлением Microsoft Windows XP могут состоять в составе рабочей группы или домена. На рабочих станциях, членах рабочих групп доступ пользователей и глобальные параметры конфигурируются на самой рабочей станции. Управление доступом пользователей и глобальными параметрами на членах домена осуществляется на двух уровнях: локальной системы и домена. На отдельных компьютерах доступ пользователей конфигурируют на уровне локальной системы, а одновременно для нескольких систем или ресурсов, входящих в домен, — на уровне домена.

       Задачи, описанные ниже, можно  выполнить, либо войдя  в систему локально, либо подключившись с удаленной системы.

       В Windows XP различаются учетные записи пользователей и учетные записи групп (в составе которых могут состоять пользователи). Учетные записи пользователей (user accounts) предназначены для отдельных людей, а учетные записи групп (group accounts), или просто группы (groups), — для упрощения администрирования совокупностей пользователей. В систему можно войти под учетной записью пользователя, но нельзя — под учетной записью группы,

       В Windows XP два типа учетных  записей пользователей:

       Локальные учетные записи пользователей (local user accounts) определяются на локальном компьютере. Они обладают доступом только к локальному компьютеру и должны пройти аутентификацию, чтобы получить доступ к сетевым ресурсам. Эти записи создаются в оснастке Local users and groups (Локальные пользователи и группы).  
Доменные учетные записи пользователей (domain user accounts) определяются в службе каталогов Active Directory. Для получения доступа к ресурсам домена они выполняют разовый вход с предъявлением пароля. Эти записи создаются в оснастке Active Directory Users and Computers (Пользователи и компьютеры Active Directory). Каждая учетная запись пользователя содержит имя, применяемое для входа в систему. В Windows XP такое имя состоит из двух частей:  
  имя пользователя — текстовый идентификатор учетной записи,  
  рабочая группа или домен — местоположение учетной записи.

       Так, для пользователя WRSTANEK, учетная запись которого создана в рабочей группе MICROSOFT, полное имя для входа в Windows XP MICROSOFT\wrstanek. WRSTANEK вправе войти в систему своей локальной рабочей станции, состоящей в рабочей группе MICROSOFT, однако для получения доступа к ресурсам домена ему нужно пройти аутентификацию (проверку подлинности) в домене. В домене полное имя для входа в систему состоит из имени учетной записи и имени домена, разделенных символом @. Так, полное имя пользователя WRSTANEK в домене technology.microsoft. При просмотре и назначении привилегий и разрешений в Windows XP применяются имена пользователей, однако главным отличительным параметром учетной записи является идентификатор безопасности (security identifier, SID). SID — это уникальный код, генерируемый при создании учетной записи и состоящий из идентификатора безопасности группы или домена и уникального идентификатора пользователя. При работе с учетными записями подсистема безопасности Windows XP применяет только эти идентификаторы, а не имена. SID выполняют несколько функций, но главное их преимущество в том, что, во-первых, администратор может изменять имена пользователей и, во-вторых, учетные записи можно удалять, не беспокоясь, что кто-то получит доступ к ресурсам, создав запись с тем же именем.

       Когда создается имя  пользователя, Windows XP связывает его с конкретным SID. После удаления учетной записи ее SID становится недействительным. Если позже создать запись с тем же именем, новый пользователь не получит привилегий и разрешений прежнего, так как у новой учетной записи другой SID. Учетным записям пользователей можно сопоставлять определенные пароли и открытые сертификаты. Пароль (password) — это секретная строка аутентификации учетной записи. Открытый сертификат (public certificate) — это фактически открытый ключ пользователя, подписанный полномочным центром сертификации. Для интерактивного входа в систему нужно ввести пароль, а для входа по смарт-карте — предъявить открытый сертификат.

       При установке Windows XP создает  несколько стандартных  учетных записей  пользователей. Вот перечень встроенных учетных записей, аналогичных записям в доменах Windows.  
Administrator (Администратор) предоставляет полный доступ к файлам, каталогам, службам и другим средствам. Ее нельзя отключить или удалить. В Active Directory эта учетная запись обладает доступом и привилегиями на всем домене. На локальном компьютере ее возможности обычно ограничены локальной системой.  
Guest (Гость) предназначена для пользователей, которым нужен однократный или нерегулярный доступ к системе. Хотя члены этой группы имеют ограниченные системные привилегии, этой учетной записи следует уделить особое внимание, так как из-за нее могут появится проблемы с безопасностью в системе.  
HelpAssistant — запись, под которой работают в системе специалисты, получившие приглашение для удаленной помощи. Эта запись обладает возможностями, необходимыми для локального входа в систему через службу Terminal Services (Службы терминалов).  
Support используется встроенной службой Help and Support (Справка и поддержка). Она включена в группу Управление доступом и глобальными параметрами и имеет право на вход в систему в качестве пакетного задания, благодаря чему способна выполнять обновление в пакетном режиме.

       Имя учетной записи имеет  вид Support_<iW>, где <id> — определенное число, например Support_388945aO. Прежде чем изменять встроенную учетную запись, обратите внимание на ее свойства и членство в группах: многие из них включены в несколько групп. Членство в группах предоставляет либо ограничивает доступ к системным ресурсам.

       Так, будучи членом группы HelpServicesGroup, учетная запись Support, может пользоваться службой Help and Support. Помимо встроенных, в Windows XP есть специальные учетные записи (или псевдозаписи) для выполнения системных операций. Они доступны лишь в локальной системе, и их параметры нельзя изменить средствами администрирования пользователей. Кроме того, пользователи не могут войти в систему под этими учетным записям. Вот они.

         LocalSystem служит для запуска системных процессов и обработки задач в режиме ОС. Обладает правом Log on as a service (Вход в качестве службы). Большинство служб выполняется под этой учетной записью. Некоторым службам дается привилегия взаимодействия с рабочим столом. Службы, которым требуются дополнительные привилегии и права на вход в систему, запускаются под учетной записью LocalSystem или NetworkService;  
LocalService служит для запуска служб, нуждающихся в дополнительных привилегиях и правах на вход в локальную систему. Службы, запускаемые под ней, по умолчанию получают право Log on as a service и привилегии Change the system time (Изменение системного времени) и Generate security audits (Создание журналов безопасности). Под этой записью запускаются службы Alerter (Оповещатель), Messenger (Служба сообщений), Remote Registry (Удаленный реестр), Smart card (Смарт-карты), Smart card helper (Модуль поддержки смарт-карт), SSDP discovery service (Служба обнаружения SSDP), TCP/IP NetBIOS Helper (Модуль поддержки NetBIOS через TCP/IP), Uninterruptible power supply (Источник бесперебойного питания) и WebClicnt (Веб-клиент); 158 Часть II Администрирование Microsoft Windows XP Professional  
NetworkService служит для запуска служб, нуждающихся в дополнительных привилегиях и правах на вход в локальную систему и сеть. Как и в случае с LocalService, службы, запускаемые под этой записью, получают право Log on as a service и привилегии Change the system time и Generate security audits.

       Вот эти службы: Distributed Transaction Coordinator (Координатор  распределенных транзакций), DNS Client (DNS-клиент), Performance Logs and Alerts (Журналы оповещения и производительности) и Remote Procedure Call (RPC) Locator [Локатор удаленного вызова процедур (RPC)].

       Основные  сведения об учетных  записях групп

       Благодаря группам, в Windows XP можно  предоставлять разрешения близким по типу пользователям, кроме того, упрощается управление учетными записями. Член группы, имеющей доступ к определенному ресурсу, также получает доступ к этому ресурсу. Таким образом,

чтобы разрешить пользователю доступ к нужным ему  ресурсам, достаточно ввести его в состав подходящей группы. Заметьте: в систему компьютера можно войти под учетной записью пользователя, но никак не группы. Так как имена групп в разных доменах Active Directory и рабочих группах могут совпадать, при обозначении групп часто применяют составные имена

       типа <имя_домена>\<имя_группы> или <рабочая_группа>\<имя__группы>, например Technology\Gmarketing — это группа GMarketing в домене (или рабочей группе) Technology.

       В Windows XP три типа групп:  
локальные группы (local groups) определены и используются на локальном компьютере; они создаются в оснастке Local Users and Groups (Локальные пользователи и группы).  
группам безопасности (security groups) назначен дескриптор безопасности; такие группы создаются в домене средствами оснастки Active Directory Users and Computers (Пользователи

  и компьютеры Active Directory).  
группы распространения (distribution groups) используются в качестве списка рассылки электронной почты; таким группам SID не назначаются; группы распространения создаются в домене средствами оснастки Active Directory Users and Computers. Управление доступом и глобальными параметрами Глава 6 159 Как и учетные записи пользователей, учетные записи групп идентифицируются по уникальным идентификаторам безопасности (SID). То есть после удаления и повторного создания учетной записи группы с тем же именем новая группа не наследует разрешения и привилегии «старой», так как получает другой SID.

       Предоставляя  дополнительные полномочия пользователю, его  включают в одну или  несколько следующих встроенных груп.

         Administrators (Администраторы) являются локальными администраторами и обладают полным доступом к рабочей станции. Они вправе создавать учетные записи, изменять состав групп, устанавливать принтеры, управлять общими ресурсами и пр. Следует очень осторожно

подходить к включению новых  пользователей в  эту группу.  
Backup Operators (Операторы архива) имеют право архивировать/восстанавливать файлы/каталоги на рабочей станции независимо от имеющихся у них прав па доступ к файлам. Примечание Операторы архива обладают привилегиями для выполнения особых административных задач, таких как архивирование и восстановление системных файлов. По умолчанию группа операторов пуста. Это нужно главным образом для того, чтобы указанные права выделялись явно и осознанно.  
Guests (Гости) имеют очень ограниченные привилегии: опи получают удаленный доступ к системе и ее ресурсам, но большинство других задач им недоступно.  
Network Configuration Operators (Операторы сетевой конфигурации) управляют сетевыми параметрами рабочей станции, а также обладают правом изменять параметры протокола TCP/IP (Transmission Control Protocol/Internet Protocol) и выполнять другие задачи по конфигурированию сети;  
Power Users (Опытные пользователи) обладают, помимо привилегий, имеющихся у членов группы Users, дополнительными правами, позволяющими, в частности, изменять конфигурацию компьютера и устанавливать программы. Если вы считаете, что пользователям рабочей станции с Windows XP надо предоставить дополнительные возможности управления, Microsoft рекомендует включить их в эту группу, что позволит им выполнять ограниченный круг задач по администрированию своих рабочий станций.  
Remote Desktop Users (Пользователи удаленного рабочего стола) вправе пойти в систему рабочей станции с другого компьютера средствами служб Terminal Services (Службы терминалов) и Remote Desktop (Удаленный рабочий стол). После входа права таких пользователей определяются тем, в какие еще группы они включены. Членам группы Administrators эта привилегия предоставляется автоматически (однако, чтобы администратор смог войти в систему рабочей станции, на ней надо разрешить вход с другого компьютера).  
Users (Пользователи) — это основные пользователи рабочей станции с Windows XP. Поэтому у членов этой группы больше ограничений, чем привилегий: они могут локально входить на рабочую станцию, иметь локальный профиль, блокировать рабочую станцию и завершать работу ОС. Обычно для настройки доступа пользователей достаточно групп Users, Power Users и Administrators. Членство в них соответствует следующим конфигурациям учетных записей: Restricted User (Ограниченный доступ), Standard User (Обычный пользователь) или Other/Administrators (Другой/Администраторы).

        5.3 Физический доступ к коммуникационным узлам

       Коммуникационные  узелы обеспечивают интеграцию локальных  сетей подразделений  в единое целое  и являющиеся шлюзами  в системы какого либо учреждения или  фирмы и глобальные сети.