европейский политикъ

НАУМОВ ЮРИЙ AKA CRAZY_SCRIPT

Спецвыпуск: Хакер, номер #068, стр. 068-032-5

Неотъемлемой частью работы IPSec является протокол, с помощью которого устанавливаются доверительные отношения, согласования параметров безопасности и создается общий секретный ключ. Согласования, связанные с ключом, принято называть сопоставлением безопасности или SA (Security Association) и разделять на два типа:

1 SA основного режима - обеспечивает защиту самого согласования IKE.

2 SA быстрого режима - обеспечивает защиту трафика приложения.

Настройка требований безопасности производится при помощи достаточно гибкой настройки действия фильтра как в основном, так и в быстром режиме. Подытожить все вышесказанное можно схемой этапов работы IPSec.

1 Данные в приложении передаются функции аутентификации и обеспечения целостности плюс поддержка цифровой подписи.

2 Шифрование данных открытым ключом.

3 Данные пересылаются по сети зашифрованными пакетами в защищенном туннеле.

4. В туннеле снова происходит шифрование. На этот раз используется так называемый «ключ сеанса».

5 В конце туннеля идет дешифровка с помощью личного ключа.

6 Данные добираются до компьютера, и проверяется подлинность отправителя.

7 Пользователь получает сообщение.

[правильная политика.]

Я не прочь порассуждать на эту тему еще: уж слишком она обширная. Но цель статьи - не разбор служб каталогов, не ознакомление с параметрами и установками, а разъяснение сути. Остальное каждый может без труда изучить самостоятельно. Ну а если возникнут вопросы – помогу, чем смогу. Удачи!

Device Lock

КОМПАНИЯ «СМАРТ ЛАЙН ИНК» РАЗРАБАТЫВАЕТ ПРОДУКТ DEVICELOCK - СРЕДСТВО ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА. ПРОГРАММА РАБОТАЕТ С ГРУППОВОЙ ПОЛИТИКОЙ WINDOWS И ПОЗВОЛЯЕТ ОСУЩЕСТВЛЯТЬ АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ СО СМЕННЫМИ НОСИТЕЛЯМИ. DEVICELOCK ВКЛЮЧАЕТ В СЕБЯ ТАКИЕ ВАЖНЫЕ ДОПОЛНИТЕЛЬНЫЕ ФУНКЦИИ КАК:

- ФУНКЦИЯ АУДИТА, КОТОРАЯ ИНФОРМИРУЕТ СИСТЕМНОГО АДМИНИСТРАТОРА О ТОМ, КТО И КОГДА ИМЕЛ ДОСТУП К СМЕННЫМ НОСИТЕЛЯМ НА КОМПЬЮТЕРЕ.

- ИНТЕГРАЦИЯ С ACTIVE DIRECTORY, КОТОРАЯ ПОЗВОЛЯЕТ СИСТЕМНЫМ АДМИНИСТРАТОРАМ УПРАВЛЯТЬ НАСТРОЙКАМИ DL ЧЕРЕЗ ГРУППОВЫЕ ПОЛИТИКИ. АДМИНИСТРАТОРЫ МОГУТ УСТАНАВЛИВАТЬ DEVICELOCK И ЕГО НАСТРОЙКИ НА ВСЮ СЕТЬ, ИСПОЛЬЗУЯ СТАНДАРТНЫЕ ИНСТРУМЕНТЫ УПРАВЛЕНИЯ.

- УСТАНОВКА ПРАВ ДОСТУПА, КАК ДЛЯ ИНДИВИДУАЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ, ТАК И ДЛЯ ГРУПП ПОЛЬЗОВАТЕЛЕЙ.

- НАЗНАЧЕНИЕ ПРИВИЛЕГИЙ ДОСТУПА ПО КЛАССУ.

- ВОЗМОЖНОСТЬ УСТАНОВКИ РЕЖИМА «ТОЛЬКО ДЛЯ ЧТЕНИЯ»

И ЕЩЕ МНОГОЕ ДРУГОЕ.

Установка оснасток

ВООБЩЕ ОСНАСТКА - ЭТО САМЫЙ ОСНОВНОЙ КОМПОНЕНТ КОНСОЛИ MMC. РАЗНОВИДНОСТЕЙ ОСНАСТОК ВСЕГО ДВЕ: ИЗОЛИРОВАННЫЕ ОСНАСТКИ (В ОСНОВНОМ ТЕРМИН УРЕЗАЮТ ДО «ОСНАСТКИ») И РАСШИРЕНИЯ. ОТЛИЧИЕ В ТОМ, ЧТО ОСНАСТКИ ПОСЛЕ ДОБАВЛЕНИЯ ПРИКРЕПЛЯЮТСЯ К ДЕРЕВУ КОНСОЛИ. РАСШИРЕНИЯ ЖЕ УСТАНАВЛИВАЮТСЯ К СУЩЕСТВУЮЩЕЙ ОСНАСТКЕ И МОГУТ РАБОТАТЬ С ЕЕ ОБЪЕКТАМИ. УСТАНОВКА ПРОИСХОДИТ ПУТЕМ «КОНСОЛЬ-> ДОБАВИТЬ/УДАЛИТЬ ОСНАСТКУ...», В ПОЯВИВШЕМСЯ ОКНЕ ВЫБИРАЕМ ЧТО НУЖНО И ЖМЕМ «ДОБАВИТЬ». ИЛИ ЧЕРЕЗ КОМАНДНУЮ СТРОКУ «MMC %SYSTEMROOT%\SYSTEM32\NAME.MSC».

В одну консоль можно устанавливать сразу несколько оснасток и даже несколько копий одной (в определенных случаях это выручает). Если компьютер является частью домена, mmc дает возможность загрузки оснасток, которые установлены локально, но доступны из AD.