Add Usefs and Groups

Lisl Names From l5)\\GATEKEEPEFi- >J

NETWORK it Users Replicator SYSTEM #Users

Administrator

Users accessing this oliiect remotely *] Members can share directories and print" Supports file replication in a domain The operating system Ordinary users

Built-in account for administering the con

Aiadniril JFjrewa ........

J Guest Built-in account lor guest access lo the СI

Search...

Add Names:

GATEKEEPERMwacbinI

lype of Access; Full Control 3

Caned 1 Help

Рис. 6.9. Выберите тип доступа и учетную запись пользователя (или группу пользователей!

4. Щелкните по кнопке ОК и вернитесь в диалоговое окно Directory Permissions. Теперь в нем появится учетная запись f wadminl с правами доступа Full Control.

5. Выберите группу Administrators и щелкните мыщью по кнопке Remove (Удалить). Проделайте то же самое для группы Everyone. Теперь в диалоговом окне Directory Permissions будет видно, что доступ к папке могут иметь только пользователи fwadminl и SYSTEM. Поскольку были установлены флажки Replace Permissions и Replace Permissions on Existing Files, изменятся и права доступа ко всем файлам и подкаталогам папки f w.

На этом примере было продемонстрировано добавление или удаление стандартных прав доступа для выбранных пользователей или групп. Вернувшись к рис. 6.7, мы увидим, что после стандартного права доступа Full Control в круглых скобках записаны два других права доступа (All)(All). Как вы помните, существуют два типа прав доступа к каталогам (или папкам). Две строки в скобках обозначают специальные права доступа к каталогу и специальные права доступа, применяемые к создаваемым в каталоге файлам.

При модификации прав доступа в диалоговом окне Directory Permissions эти изменения повлияют только на новые файлы, созданные в каталоге. Для изменения прав доступа к существующим файлам и подкаталогам следует установить флажок Replace Permissions.

134 УКРЕПЛЕННЫЙ ХОСТ-КОМПЬЮТЕР

-*- I II III,,

В диалоговом окне Directory Permissions можно также изменить права доступа для пользователей и групп, доступ которым уже разрешен. Просто укажите пользователя при помощи мыши и задайте новое значение права доступа в меню Туре of Access. Кроме стандартных прав доступа, которые можно было выбрать в диалоговом окне Add Users and Groups (Добавить пользователей и группы), в списке Туре of Access также помечается пункт Special Directory Access (Специальный доступ к каталогу). При этом для объекта задаются специальные права доступа, а не стандартные.

На рис. 6.10 показано диалоговое окно Special Directory Access, позволяющее задать специальные права доступа к каталогу.

pecial Diiecloiy Access

Djrectoiy: C:SFW

.Name: fwadminl (Fiiewall AdmnistiatM)

« FulContraKI)

OUiM --------

r,Wcite(W)

Г EjjecuteM

Г DetetePI

Г" Change Eecmissions [P)

Г TalteQwnershiplQI

Cancel :

Help

Рис. 6.10. При помощи диалогового окна Special Directory Access

можно задать специальные права доступа

Выбрав нужные вам специальные права доступа, щелкните по кнопке ОК. После возврата в диалоговое окно Directory Permissions вы увидите, что текст Full Control поменялся на Special Access и изменилось значение специальных прав доступа к каталогу. Для изменения второго поля - специальных прав доступа к файлам - достаточно отметить в списке Туре of Access пункт Special File Access. Затем вы сможете выбрать специальные права доступа к создаваемым в каталоге файлам в диалоговом окне, аналогичном показанному на рис. 6.10.

Настройка регистрации и аудита

После задания прав доступа к ресурсам укрепленного компьютера следует убедиться в правильности настройки системных средств аудита и регистрации. Это настолько важная тема, что ей целиком посвящена глава 8.

Независимо от того, какую защиту удалось обеспечить при помощи прав доступа к файлам и каталогам, никогда нельзя быть уверенным в работоспособности такой защиты, если не следить за ситуацией. Для этого вы должны понимать и применять

НАРУШЕНИЕ ЗАЩИТЫ УКРЕПЛЕННОГО КОМПЬЮТЕРА 135

методы ведения log-файлов и мониторинга, такие как демон syslogd в UNIX и Event Viewer (Просмотр событий) в Windows NT. Кроме того, следует ввести процедуры, обеспечивающие частую проверку собранных данных и быстрое обнаружение любой подозрительной активности. Эти меры, важные для обеспечения безопасности всех систем в сети, имеют особое значение для укрепленного компьютера.

Выполнение proxy-сервера на укрепленном компьютере

Укрепленный компьютер часто используется для работы какого-либо proxy-сервера Proxy-серверы могут обеспечивать функционирование стандартных утилит TCP/IP (таких как FTP и Telnet), относительно новых протоколов (например HTTP) нли важных функций (скажем, электронной почты - протокол SMTP).

I Ргоху-серверы и шлюзы приложений описаны более подробно в главе 7.

[ 1 )

В этой главе мы обсуждали необходимость обеспечения максимальной защиты укрепленного компьютера и отмечали, что следует оставлять на нем только компоненты, необходимые для выполнения им своей функции. Эта функциональность определяется программами proxy-серверов. Если позволяют средства, лучше предусмотреть для каждого из важных proxy-серверов отдельный сервер, что позволит распределить нагрузку и, возможно, уменьшить время отклика.

При наличии нескольких компьютеров для одной службы можно также распределять нагрузку между несколькими серверами. Например, и Microsoft Proxy Server, и SQUID обеспечивают поддержку совместной работы нескольких proxy-серверов, позволяя тем самым выполнять обработку запросов при помощи распределенной иерархической сети серверов. В большой сети иерархия proxy-серверов гарантирует большую эффективность обслуживания запросов, чем один сервер.

Применение нескольких серверов потребует дополнительных усилий при установке и обслуживании. Но если каждая система будет использоваться только для одного proxy-сервера, поддерживать ее будет немного проще. Еще одно преимущество такого подхода состоит в том, что при отказе одного сервера другие службы не будут затронуты. Если несколько серверов предназначено для одной службы, то при потере одного из них запросы клиентов будут по-прежнему обслуживаться.

Нарушение защиты укрепленного компьютера

Поскольку укрепленный компьютер находится ближе всего к Internet, вероятность проникновения нарушителя именно в него самая высокая. Вот почему мы посвятили целую главу обсуждению создания максимально защищенной системы. Задачу