Лекции (989962), страница 31
Текст из файла (страница 31)
Данные, зашифрованные при помощи одного из этих ключей, не могут быть дешифрованыэтим же ключом – для дешифровки необходим второй ключ. Такая схема позволяет организовать безопасное распространение ключей при котором нет необходимости скрывать открытый ключ: закрытый ключ остается у владельца,открытый – передается всем желающим. Любой человек может направитьзашифрованное сообщение адресату, используя его открытый ключ. При этомдругие пользователи, также имеющие открытый ключ адресата, не смогутпрочитать сообщение, т.к.
у них нет закрытого ключа. Более того, такая схемапозволяет организовать цифровую подпись документов и программ: по текстудокумента вычисляется необратимая хэш-функция (функция вида Y=f(X), вкоторой по значению Y нельзя получить значение X) и генерируется дайджестсообщения – обычно 128-битное число, результат вычисления хэш-функции.Если в тексте документа изменить хотя бы один бит, то его дайджест не совпадет с дайджестом, приложенным к документу. Чтобы приложенный к документу дайджест нельзя было подменить, он шифруется при помощи закрытогоключа отправителя. Любой человек, имеющий открытый ключ отправителя,может проверить корректность дайджеста, но только отправитель, имеющийзакрытый ключ, может сформировать корректный дайджест.В Windows 2000 асимметричные алгоритмы реализованы посредствоммеханизма сертификатов. Сертификаты — это своего рода электронные удостоверения пользователя (компьютера, службы), подписанные цифровой подписью Ляхевич А.Г., 2000 - 2002 годПродолжение табл.
5.7.Название разделаПримеры параметров, поясненияцентра сертификации, в которых указывается данные о пользователе (компьютере, службе), открытый ключ пользователя, дата начала и окончания действиясертификата. Сертификаты используются для проверки подлинности сервера/клиента, защиты от изменений содержимого электронной почты или кода программ, установки криптографически защищенных штампов времени в документах, шифровании и восстановлении файлов шифрованной файловой системыEFS, шифровании IP-трафика и т.д. Управление центром сертификацииосуществляется при помощи меню "Пуск/Настройка/Панель управления/Администрирование/Центр сертификации".Настройка "Политики открытого ключа" позволяет указать доверенныецентры сертификации и список доверенных сертификатов, указать параметрыавтоматического запроса сертификатов.
Она также позволяет создать агентавосстановления шифрованной файловой системы EFS - пользователя, которыйможет расшифровывать зашифрованные файлы других пользователей.6. Политики безопасПозволяет задать параметры безопасности для IP-соединений: разрешить соединости IPнение, запретить соединение или потребовать определенный метод проверкиличности пользователя (например, Kerberos), или алгоритм шифрования ипроверки целостности данных и адресов IP-пакетов. Требования устанавливаются в зависимости от типа подключения (по локальной сети или через удаленный доступ), IP- или DNS-адресов, типа протокола, и портов компьютеров,участвующих в соединении.
Фактически, настройка "Политики безопасностиIP" реализуют простой, но достаточно гибкий межсетевой экран (firewall).* - отсутствует в локальной политике безопасности. Ляхевич А.Г., 2000 - 2002 годТаблица 5.8.Групповая политика безопасности (подразделения/домена)НазваниеразделаПримеры параметров, пояснения1.
Конфигурация компьютера1.1.Конфигурацияпрограмм/ Установка программПозволяет автоматически установить необходимые программы всем пользователям вподразделении/домене. При этом на каждом конкретном компьютере программа только появляется в меню "Пуск" и реестре, а фактически устанавливается только в тотмомент, когда пользователь в первый раз запускает программу.1.2. Конфигурация WindowsСценарии (запуск,Позволяет задать сценарии (exe-, bat-, vba-, js-файлы), выполняющиеся на компьютезавершение)рах пользователей подразделения/домена (должна быть установлена Windows 2000)при запуске/выключении компьютера.ПараметрыФактически представляет собой еще один способ обратиться к меню "Политикабезопасностибезопасности домена" (см. выше).1.3.
Административные шаблоны/Компоненты WindowsNetMeetingПозволяет запретить/разрешить пользователям подразделения/домена удаленноеуправление рабочим столом при помощи NetMeeting. Подробнее см. раздел "Конфигурация пользователя/Конфигурация Windows".Internet ExplorerПозволяет установить общие для всех пользователей подразделения/домена настройки зон безопасности Internet Explorer и настройку разрешений зон безопасности(настройка зон безопасности и разрешений для этих зон выполняется в разделе"Конфигурация пользователя/Конфигурация Windows/Поддержка Internet Explorer).Пользователям будет запрещено самостоятельно изменять эти настройки.
Можнотакже определить обязательные настройки использования прокси-сервера. Подробнеесм. раздел "Конфигурация пользователя/Конфигурация Windows".ПланировщикПланировщик заданий отвечает за запуск по расписанию определенных программ.заданийМожно запретить пользователям подразделения/домена просматривать/создавать/удалять задачи, останавливать запущенные задачи до их полного завершения и т.д.УстановщикПозволяет определить обязательные параметры установщика Windows (установкаWindowsпрограмм) или вообще запретить его использование пользователями подразделения/домена.
В этом случае программное обеспечение смогут устанавливать толькоадминистраторы.1.4. Административные шаблоны/Системадля пользователей подразделения/домена позволяет определить список программ, запускающихсяавтоматически, при входе в систему, или вообще отключить автозапуск.
Можно отключить автоматическоешифрование для файлов, перемещаемых в зашифрованные папки и др.Вход в системуДля пользователей подразделения/домена можно задать синхронный запуск сценариеввхода в систему (рабочий стол не будет создан, пока не будут выполнены все сценарии) и асинхронный/синхронный режим выполнения сценариев (все сценарии выполняются параллельно/последовательно). Можно также определить максимальное времявыполнение сценариев и режим отображения команд сценария, принудительно завершать сеанс пользователя при ошибке в перемещаемом профиле.Дисковые квотыПозволяет настроить обязательные параметры использования дисковых квот дляпользователей подразделения/домена.
Пользователи, не имеющие право изменятьполитику безопасности, не смогут самостоятельно изменить эти параметры.DNS-клиентПозволяет принудительно определить основной DNS-суффикс для пользователейподразделения/домена.ГрупповаяЗадает параметры использования групповой политики: интервал и режим обновленияполитикаполитики (применения новых параметров политики), асинхронное применениеполитики (ускоряет загрузку, однако возможно формирование рабочего стола еще дополного применения всех параметров политики) и др.Защита файлов вЗащита файлов Windows проверяет системные файлы Windows на наличие в нихWindowsизменений. По умолчанию файлы сканируются только при установке программ.Использование этой политики позволяет задать сканирование системных файлов вовремя каждой загрузки системы.1.5. Административные шаблоны/СетьАвтономныеWindows 2000 позволяет кэшировать сетевые файлы на локальном компьютере дляфайлытого, чтобы они были доступны даже при отключении сети. Данная политика разрешает/запрещает использование автономных файлов, а также настраивает параметрыих использования. Ляхевич А.Г., 2000 - 2002 годПродолжение табл.
5.8.НазваниеразделаСеть и удаленныйдоступ к сети1.6. Административные шаблоны/ПринтерыПримеры параметров, поясненияWindows 2000 позволяет организовать для локальной сети общий доступ к удаленнойсети (например, Internet) через одно модемное подключение. Данная политика позволяет запретить администраторам, не имеющим право изменять данную политику,настраивать общий доступ. Подробнее см.
раздел "Конфигурация пользователя/Административные шаблоны/Сеть/Сеть и удаленный доступ к сети".Позволяет настроить режим публикации (объявления) и обзора (просмотра) сетевыхпринтеров и др. параметры.2. Конфигурация пользователя2.1.Конфигурацияпрограмм/ Установка программПоддержка InternetExplorerСценарии входа/выхода из системыПараметрыбезопасностиСлужбы удаленнойустановкиПеренаправлениепапкиNet MeetingInternet ExplorerПроводникКонсоль управления MicrosoftПланировщикзаданийУстановщикWindowsАналогично разделу 1.1.
(см. выше).Параметры, указанные в разделе "Конфигурация пользователя", частично совпадают спараметрами, указанными в разделе "Конфигурация компьютера". В таком случаепараметры раздела "Конфигурация компьютера" имеют более высокий приоритет.Однако стоит проверять разделы политик с совпадающими названиями, т.к. чащевсего содержимое этих разделов не дублирует, а дополняет друг-друга.2.2. Конфигурация WindowsПозволяет задать для пользователей подразделения/домена внешний вид InternetExplorer (заголовки окна, фон и кнопки панели инструментов, содержимое меню"Избранное", адрес домашней страницы), параметры подключения к Internet(например, прокси-сервер), настройки зон безопасности и разрешений для этих зон идр.
параметры.Позволяет задать для пользователей подразделения/домена сценарии, выполняющиесяпри входе/выходе пользователя из системы. Эти сценарии являются общими для всехпользователей подразделения/домена.Подраздел Политики открытого ключа/Доверительные отношения позволяет создатьсписок доверия сертификатов для пользователей подразделения/ домена.Позволяет настроить параметры установки для пользователей Подразделения/Домена:возможность выполнять выборочную установку, возможность автоматическойустановки, перезапуска установки и др. параметры.Позволяет задать для пользователей подразделения/домена расположение папок "Моидокументы", "Главное меню", "Рабочий стол".
Для различных пользователей/групппользователей можно указать различное расположение, или указать общее расположение для всех пользователей.2.3. Административные шаблоны / Компоненты WindowsПозволяет настроить обязательные для всех пользователей подразделения/доменапараметры Net Meeting: запретить общий доступ к приложениям, командной строке,окнам проводника, рабочему столу, удаленное управление при помощи Net Meeting,скрыть страницы настройки, ограничить пропускную способность сети или вообщезапретить передачу аудио- и видеоданных, запретить прием/передачу файлов,ограничить размер передаваемых файлов.Позволяет полностью контролировать внешний вид Web-браузера Internet Explorer(содержимое меню, кнопки, вкладки, запретить изменение настроек языков, цветов,прокси-сервера и др.), ограничить максимальный размер получаемых файлов,ограничить использование Windows Media, ShockWave Flash и др.
программ,связанных c Internet.Позволяет для пользователей подразделения/домена полностью контролироватьвнешний вид Проводника: содержимое меню, кнопки, запретить контекстное меню,скрыть значки "Мои документы", значки "Вся сеть", скрыть вкладку "Оборудование",скрыть некоторые диски локального компьютера, скрыть кнопку "Поиск", скрытькоманды подключения/ отключения сетевых дисков, команды и др.Позволяет для пользователей подразделения/домена ограничить возможность запускабольшинства меню конфигурирования Windows, в том числе из папки "Администрирование".Аналогично такому же разделу в "Конфигурации компьютера".Аналогично такому же разделу в "Конфигурации компьютера". Ляхевич А.Г., 2000 - 2002 годПродолжение табл.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
