записки ремесленника

АЛЕКСАНДР ПРИХОДЬКО

Спецвыпуск: Хакер, номер #073, стр. 073-094-2

И последняя закладка P2P Eliminator. Отмечаешь галочкой Block Peer To Peer Networks when detected. Остальное оставляешь по умолчанию. Не забываешь нажать Apply. Ну вот, теперь мы готовы создавать пользователей. Раскрываем закладку User and Groups. Заходим в Users. Там уже есть один пользователь, Admin. Теперь подготовим почву к массовому созданию пользователей, - создадим группы с различными правами доступа. Заходим на закладку Groups и создаем три группы: AllowAll - все разрешить (это для себя и своих людей), DenyAll - все запретить (потом пригодится, пользователи для нее найдутся), и SomeAllow - разрешить кое-что (для нейтральных).

Теперь разьясню смысл этих групп. Ты заходишь в Traffic Policy, создаешь, например, правило Deny и источником указываешь группу DenyAll, в Actions указываешь запрет всего. Теперь, если нужно отключить пользователя-нарушителя от Сети, ты ему просто меняешь группу с SomeAllow на Deny. Естественно, для всех трех групп правила должны быть созданы. Рекомендую для группы SomeAllow разрешить ограниченный набор сервисов (HTTP, HTTPS и там уже на твое усмотрение - здесь, кстати, можно отстрелить «аську» и «ирку»). Для группы AllowAll, опять же, разрешаешь все на свое усмотрение. Теперь переходим на закладку Users и начинаем создавать пользователей. Да, чуть не забыл, еще необходимо заставить пользователей проходить аутентификацию на файрволе. В группе Users зайди на закладку Authentication Options и отметь Always require users to be authenticated when accessing web pages.

Теперь для входа в интернет юзер должен набирать свой пароль. Если он в Internet Explorer’e поставит галочку «Запомнить пароль», то он будет попадать в Сеть сразу (до первой перезагрузки файрвола). Потом опять нужно будет ввести пароль. Теперь возвращаемся на закладку User Account. Нажимаем ADD и начинаем заполнять анкету пользователя. Поле Name (логин) заполняем на английском языке (старые версии Кerio не понимали русских букв и не пускали пользователя с русским именем). Пункт Full Name заполняем на русском языке и пишем полные данные, чтобы потом понимать, о ком из пользователей идет речь. Description заполняешь по желанию, - он несет только информационную нагрузку. Отмечаешь галочкой This user has an individual configuration, устанавливаешь пароль, жмешь Next. На второй страничке выбираешь группу для пользователя, Next. На третьей странице ничего не делаешь, Next. На четвертой устанавливаешь квоту пользователю.

Сразу блокируешь трафик пользователя при достижении лимита (Block any further traffic). Если при создании пользователя ты указал его мыло, то, отметив галочкой Notify user by email when quote exceeded, ты заставишь файрвол писать письма юзеру (оно тебе надо?). Next. На пятой странице на свое усмотрение разрешаешь-запрещаешь скрипты пользователю. Next. Если на шестой странице ты отметишь галочкой Specific host IP adresses, то учетная запись пользователя будет действительна только для машины с указанным IP-адресом. Finish. Пользователь создан. Apply. Теперь ты потратишь некоторое время, чтобы завести пользователей. Можно, конечно, засосать пользователей с Active Directory, но тут уж вопрос религии. Используя вышеописанный способ, ты четко контролируешь, кого создал и с какими правами. С пользователями разобрались.