При работе по сети существует несколько типов опасностей – подключение к беспроводным сетям злоумышленников, имитирующим сети общего доступа; подключение зараженных ПК к корпоративной сети; и попытка неуправляемых ресурсов получить доступ к закрытым для них ресурсам. Перечисленные опасности могут загрузить сетевого администратора на весь рабочий день и заставить беспокойно ворочаться всю ночь. ОС Windows Vista может облегчить борьбу со всеми этими опасностями благодаря дополнительным функциям сетевой защиты, простым в настройке и все объемлющим одновременно.
Собственная архитектура Wi-Fi в Windows Vista имеет широкую поддержку новейших протоколов безопасности, в том числе корпоративной и персональной версии протокола Wi-Fi Protected Access (WPA) 2, протокола PEAP-TLS и протокола PEAP-MS-CHAP v2 (защищенный наращиваемый протокол аутентификации с обеспечением безопасности на транспортном уровне и с протоколом взаимной аутентификации). Такая широкая поддержка обеспечивает возможность взаимодействия между Windows Vista и почти всеми беспроводными устройствами. Windows Vista анализирует характеристики беспроводной сетевой карты, что позволяет по умолчанию выбрать наиболее безопасный протокол при подключении к беспроводной сети или создании такой сети. При помощи платформы EAP-HOST ОС Windows Vista может поддерживать специализированные механизмы аутентификации, разработанные поставщиком беспроводных устройств или какой-либо организацией.
В ОС Windows Vista реализованы многочисленные усовершенствования клиентской части беспроводного соединения, позволяющие отражать ненаправленные беспроводные атаки. Такой клиент автоматически подключается только к сетям, указанным пользователем в списке разрешенных сетей, или подключается по прямому требованию пользователя. Ко временным сетям он автоматически не подключается. Кроме того, клиент выдает предупреждение, если пользователь собирается установить соединение с ненадежной сетью. Активный поиск разрешенных сетей клиент осуществляет по сокращенному списку и только по указанию пользователя, что усложняет злоумышленникам задачу определения названия сети, к которой пользователь пытается подключиться, и подмены ее своей сетью с тем же именем.
|
|
Собственный клиент беспроводного соединения ОС Windows Vista поддерживает функцию единого входа (SSO), осуществляющую аутентификацию пользователя в сети на уровне Layer 2 в необходимый момент времени с учетом настроек сетевой безопасности, причем вход в сеть и вход в систему Windows при этом взаимосвязаны. После создания профиля единого входа вход в сеть будет осуществляться раньше входа в систему Windows. Эта возможность позволяет выполнять такие операции, как обновление групповой политики, запуск скриптов регистрации, начальная загрузка по беспроводной сети, требующие подключения к сети прежде входа пользователя в систему.
Сетевой экран с дополнительными функциями безопасности обеспечивает новый уровень сетевой защиты в системе Windows с поддержкой фильтрации входящих и исходящих пакетов и функции повышения стойкости служб (Windows Service Hardening). Если сетевой экран обнаруживает, что поведение какой-либо службы Windows отклоняется от нормального поведения, описанного в сетевых правилах системы повышения стойкости служб, то он блокирует эту службу. Данный сетевой экран поддерживает и функцию разрешенного обхода (Authenticated Bypass), позволяющую некоторым компьютерам после проверки их подлинности службой IPsec обходить правила сетевого экрана для выполнения таких задач, как удаленное управление.
|
|
Одно из наиболее существенных изменений в сетевом экране заключается в его объединении со службой IPSec. Раньше для создания многоуровневой совокупности правил сетевой безопасности администраторам приходилось полагаться на два отдельных инструмента – сетевой экран и средство применения протокола IPsec и управления им. В Windows Vista для защиты сети от несанкционированного доступа администраторы могут создавать простые правила сетевой безопасности, объединяющие правила сетевого экрана и правила IPSec. Благодаря такому объединению можно осуществлять сквозную передачу данных по сети после установления подлинности обменивающихся сторон с обеспечением расширяемого многоуровневого доступа к доверенным сетевым ресурсам и/ или защиты конфиденциальности и целостности данных.
Администратор может логически разделить корпоративную сеть на зоны, доступ в которые может быть предоставлен любому компьютеру (в том числе с правами гостя), или только компьютерам, прошедшим аутентификацию в домене (отделение домена). Кроме того, администратор может отделить некоторые серверы, доступ к которым следует предоставлять только определенной группе пользователей или компьютеров, например, сервер приложений отдела кадров с разрешением доступа только компьютерам отдела кадров (отделение сервера), как показано на рисунке 9.
|
|
Рисунок 9 – Пример изолированной сети
Вирусы или черви могут проникать в частные сети через портативные компьютеры и быстро заражать другие компьютеры. При подключении компьютера с ОС Windows Vista к сети на основе сервера Windows Server под кодовым названием "Longhorn" (следующая версия Windows Server) поддерживается функция защиты сетевого доступа (NAP), обеспечивающая снижение риска прямого подключения зараженных компьютеров к частным сетям или их подключения по туннелю VPN. Если на компьютере с ОС Windows Vista не установлены последние обновления по безопасности, нет образов вирусов или обнаружены другие нарушения корпоративных требований по безопасности, то NAP не предоставляет этому компьютеру полный доступ к сети. Вместо этого данный компьютер будет подключен к ограниченной сети, где на него можно скачать и установить обновления, образы вирусов или конфигурационные настройки, необходимые для соответствия действующим требованиям по защите от вирусов.
Практическая часть
Настройка сети
Все действия выполняются пользователем "Администратор" или другим, с достаточным уровнем полномочий. Сперва нужно зайти в Центр управления сетями и общим доступом, для этого нам нужно зайти в меню «Пуск -> Панель управления» и выбрать пункт Центр управления сетями и общим доступом, как показано на рисунке 10.
Рисунок 10 – Панель управления
Откроется окно, в этом окне нужно выбрать пункт «Управление сетевыми подключениями», как показано на рисунке 11.
Рисунок 11 – Центр управления сетями и общим доступом
Откроется следующее окно, которое показывает наличие сетевых подключений. Нужно выбрать то подключение, которое и будет настраиваться для локальной сети, щелкнуть по нему правой кнопкой мыши и выбрать пункт «Свойства», как показано на рисунке 12.
Рисунок 12 – Сетевые подключения
В открывшемся окне следует выбрать пункт «Протокол Интернета версии 4 (TCP/IP v4)» (если отсутствует галочка, то нужно ее поставить) и нажать кнопку «Свойства». Можно еще снять галочку с пункта «Протокол Интернета версии 6 (TCP/IP v6), как показано на рисунке 13.
Рисунок 13 - Свойства
Откроется окно, в котором предлагается настроить несколько пунктов, таких как:
· IP-адрес
· маска подсети
· основной шлюз
· предпочитаемый DNS-сервер
· альтернативный DNS-сервер
Можно указать эти параметры вручную, а можно сделать так чтобы система автоматически настраивала все эти параметры, для этого нужно просто поставить маркер напротив пунктов «Получить IP-адрес автоматически» и «Получить адрес DNS-сервера автоматически» как показано на рисунке 14.
Рисунок 14 – Свойства TCP/IP v4
Список литературы
· К. Заклер «Компьютерные сети» (учебное пособие, 2007год);
· https://www.thevista.ru/ (информационный портал)
· Пол Мак-Федрис Microsoft Windows Vista. Полное руководство = Microsoft Windows Vista Unleashed. — М.: «Вильямс», 2007. — С. 864.