записки ремесленника

АЛЕКСАНДР ПРИХОДЬКО

Спецвыпуск: Хакер, номер #065, стр. 065-096-2

— ЗАЩИТА ОТ ВТОРЖЕНИЯ ЛОКАЛЬНЫМИ БРАНДМАУЭРАМИ;

— ЗАЩИТА АНТИВИРУСНЫМ ПО;

— ЗАЩИТА ОТ ПРОГРАММ РАЗРЯДА SPYWARE, ADWARE.

Как подсказывает жизненный опыт и если не учитывать редкие исключения, пользователи делятся на три группы: продвинутые, обыкновенные и враги. Я назвал врагами тех, кто плевать хотел и на твою админскую работу, и на политику безопасности, и даже на компьютер, за которым работает. К примеру, один пользователь, подопечный мне, постоянно ходил на сайты, зараженные разными вирусами. На его компьютере ругались антивирус, локальный файрвол и я, но пользователю все было до лампочки: «Вот есть компьютерщики. Что происходит с сетью и компьютером — это только их головная боль. Мое дело — лазить где хочу и делать что хочу». Как раз таких пользователей я называю врагами. Хуже всего, если враг занимает какую-нибудь должность на предприятии. Однако ты админ, и в твоих руках находится достаточно рычагов, чтобы, оставаясь белым и пушистым, смочь обрубить врагу руки по самые помидоры.

Теперь начинается самое интересное. Если ты еще не забыл, мы только что создали группы и занесли в них пользователей. Группы нужны для установки разрешений на информационные ресурсы сервера. В первом модуле я рассказал о том, что лучше раздавать все разрешения на ресурсы через группы — так ты избежишь потерь SID'ов. Что-то похожее на группы есть и в политике безопасности, только оно называется Organizational Unit и прячется вот здесь: Start-> Programs-> Administrative Tools-> Active Directory Users and Computers. По умолчанию доступ к созданию Organizational Unit отключен. Чтобы включить его, необходимо отметить галочкой пункт Advanced Features в меню View.

Теперь создаем три OU. Первое — для хороших друзей админа и благонадежных пользователей, эти люди не будут ограничены практически ни в чем. Второе OU — для простых пользователей. Подрежем некоторые возможности, чтобы админу жилось спокойнее. И третье — OU для врагов. Тут-то и развернемся.

Поехали. Правая кнопка мыши на имени домена — New-> Organizational Unit.

Названия своим OU придумай сам, чтобы запомнить, где и кто лежит. Для удобства я назову OU прямо соответственно видам пользователей — «Друзья», «Пользователи», «Враги». Особо не вдаваясь с теорию, скажу, что OU могут иметь иерархическую структуру: в OU могут находиться вложенные OU и т.д.

Кратко напомню о политиках, действующих в рамках домена.

Локальная политика безопасности — существует на всех персональных компьютерах, включая компьютер, на котором крутится контроллер домена.

Доменная политика — политика, действующая в домене. Распространяется на все компьютеры, зарегистрированные в домене.

Политика контроллера домена — областью ее действия является контроллер домена.

Политика сайта — распространяется на все домены, входящие в сайт.

Главное — помни, что, если используется политика безопасности, локальный компьютер пользователя будет подчиняться правилу LSDOU. Сейчас поясню. Сначала вступает в действие самая слабая политика — локальная (L). Затем начинает работать политика сайта (S), дальше — доменная политика (D), после чего, наконец, самая сильная политика — политика Organizational Unit (OU).