Многие вопросы, связанные с безопасностью, с которыми мне приходится иметь дело самому, и которые поднимают в своих письмах читатели, касаются доступа пользователей к Internet. Несмотря на то, что неправильное использование Internet может вызывать многочисленные проблемы, не каждый системный администратор имеет возможность отключить пользователей от всемирной сети. Тем не менее, предприняв несколько простых шагов, можно сделать поведение пользователей в Internet более безопасным.
Унификация
Теоретически унифицировать клиентские операционные системы на каждом компьютере легко. Однако для большинства компаний воплощение подобной рекомендации в жизнь неосуществимо, по многим причинам. Максимум, на что можно надеяться – это унифицировать используемые приложения (хотя даже такой уровень унификации создает проблемы, самая существенная из которых – отказ Microsoft от поддержки старых версий своего программного обеспечения).
Но есть один элемент, который
обязательно следует унифицировать для всех
клиентов Microsoft – это Web-браузер. Microsoft
выпускает слишком много оперативных
исправлений, чтобы отслеживать
многочисленные версии браузеров и
программы коррекции к ним. Модернизируя все
клиентские машины до единой текущей версии Microsoft
Internet Explorer (IE), можно уменьшить количество
проблем, вызываемых Web-браузерами. Основное
преимущество этого подхода состоит в том,
что промежуток времени между выпусками
исправлений для текущей версии IE
значительно меньше, чем срок службы
программного кода. Кроме того, на домашней
странице IE есть прямые ссылки на последние
исправления для текущей версии IE (http://www.microsoft.com/windows/ie/default.asp).
Настройка сети на блокировку портов
Что
не перестает меня удивлять, когда я
разговариваю со многими системными
администраторами, так это отсутствие у них
достаточных знаний об устройстве и работе
сетей. Несмотря на наличие сетевой
составляющей в их обязанностях (и в
различных программах сертификации), многие
системные администраторы не считают сеть
частью своей работы. Основная причина такой
позиции заключается в том, что системные
администраторы занимаются компьютерным
оборудованием и программным обеспечением,
а сетевые администраторы имеют дело
непосредственно с сетью, и редко бывают
вовлечены в решение проблем, связанных с
компьютерами конечных пользователей, не
относящихся к функционированию сети.
Системные администраторы работают с
приложениями и контентом, а сетевые
администраторы - с потоками.
При
подготовке материалов, посвященных
проблемам безопасности при доступе
клиентских компьютеров в Internet, я получаю от
читателей множество писем, в которых
говорится, что эти проблемы решаются
блокировкой портов на брандмауэре или в
маршрутизаторе. Но как автор статей об
использовании блокировки портов в качестве
приема безопасности, я получаю равное
количество отзывов пользователей, которые
либо не знают, что такое блокировка порта,
либо спрашивают: "Как это делается?".
Некоторые читатели замечают, что если они
блокируют порты, то отключают приложения во
всей сети, хотя пытались повысить
безопасность лишь в небольшой ее части.
Больше
всего меня удивляет вопрос "Что такое
блокировка порта?". Каждый системный
администратор должен знать, как приложения
и устройства взаимодействуют между собой в
сети. Обычно я советую таким читателям
заглянуть в ближайший книжный магазин и
подобрать литературу по сетевой
архитектуре или по TCP/IP.
Группа
пользователей, которые задаются вопросом
"Как это делается?", пожалуй, самая
многочисленная. Эти читатели всерьез
интересуются способами повышения уровня
безопасности своих приложений и
компьютеров. В большинстве случаев, однако,
они не имеют полного контроля над
брандмауэрами и маршрутизаторами, поэтому
не могут блокировать отдельные порты, не
устанавливая персональные брандмауэры на
каждый компьютер, что влечет за собой новые
проблемы. Тем не менее, блокировка портов
может оказаться еще и эффективным приемом
защиты клиентских машин, и системные
администраторы должны обладать
достаточными знаниями об этом способе
защиты, для того чтобы выявлять проблемы
безопасности на клиентских компьютерах и
предлагать решения, даже если они не
обязаны принимать конкретные меры. Ключ к
максимально гибкому использованию
блокировки портов - в максимально
эффективной конфигурации сетевой среды.
Самый простой способ – сегментировать сеть
либо физически, либо виртуально (если она
оснащена правильно настроенным
коммутационным оборудованием, допускающим
виртуальное сегментирование). Тогда можно
применять блокировку портов (равно как и
другие ограничения сетевого трафика)
только на выбранных сегментах сети.
При
физической сегментации, как правило, сеть
разделяют на фрагменты по территориальному
признаку (например, одна часть – все
компьютеры на третьем этаже в восточном
крыле здания). Недостаток физической
сегментации в том, что она может не
соответствовать структуре отделов
организации. Напротив, виртуальная сеть
обычно формируется с использованием портов
коммутатора (т.е. к коммутирующему
устройству присоединяются физические
порты, а не порты TCP/IP, которые имеются в виду,
когда речь идет о блокировке портов), это
означает, что группировать пользователей
можно по любому произвольному набору
критериев. Например, в одну группу можно
включить тех пользователей, которым не
разрешается использовать AOL Instant Messenger (AIM), а
затем заблокировать порт, используемый AIM,
только для выбранных пользователей.
Использование политик
Самые
общие рекомендации по повышению уровня
безопасности клиентских компьютеров в Internet
относятся к групповым и локальным
политикам. Без сомнения, с этого следует
начать, когда потребуется ввести
ограничения на использование Internet,
особенно если уже применяются политики для
обеспечения контроля какого-либо другого
типа над компьютерами конечных
пользователей.
Единственное
препятствие к использованию групповых
политик – необходимость иметь дело с
различными операционными системами. В Windows
XP возможности политик расширены по
сравнению с Windows 2000, а те, в свою очередь,
отличаются от различных вариантов Windows 9x.
Впечатляет глубина детализации контроля в
политиках безопасности Windows XP. К сожалению,
когда я рассказываю пользователям об их
возможностях в Windows XP, самая
распространенная реакция - или "Как
сделать то же самое в Windows 2000?" или "Как
это делается в Windows 9x?".
Когда
вы обслуживаете много операционных систем,
приходится работать с "наименьшим общим
делителем" или создавать различные
политики для каждой версии операционной
системы. Если планируется расширять
использование настроек политик
безопасности на клиентских компьютерах,
необходимо создавать политики, принимая во
внимание особенности настроек
безопасности каждой операционной системы.
Чем больше дифференцированы настройки, тем
эффективнее работа конечных пользователей.
Дэвид Черников - главный технический редактор и директор тестовой лаборатории Windows 2000 Magazine. Пишет обзоры по компьютерам и продуктам уже более 15 лет, в том числе с 1992 года и по теме Windows NT. С ним можно связаться по адресу: david@win2000mag.com.