Администрирование малой локальной сети
Проблема эффективного администрирования сетей разного размера и топологии была всегда. Создавались программы, администраторы также писали программы сами, под свои нужды и т.п. Однако универсальную вещь так и не создали. Конечно, есть масса достойных программ, которые подразумевают большое количество операций с хостами в сети, однако ситуации предусмотрены не все. В конечном итоге в какой-то момент приходится прибегать к другой утилите.
Это было небольшое отступление от темы, сегодня речь не будет идти об утилитах, ну разве что о том, как использовать конкретные варианты в настройке сети. Я расскажу, каким образом настроить права на хостах сети — так, чтобы никто не смог сделать какие-либо операции, например, снести некоторые файлы системы или, скажем, поставить программу, которая не нужна вообще на этой машине. Для этого мы воспользуемся стандартными средствами системы, при этом хочу обратить ваше внимание, что на каждом хосте делать приведенные операции придется вручную, при этом примененные изменения будут действовать исключительно для пользователей. В общем, не буду ходить вокруг да около, начну.
Разделение пользователей
Это один из самых важных моментов. Пользователи должны работать от имени пользователя, а администратор – от имени администратора. Иначе мы получим полный произвол относительно первых. Пользователь имеет ограниченные права на системе, что уже частично решает поставленную перед нами задачу. Для работы администратора лучше всего использовать встроенную учетную запись Администратор, которая имеет идентификатор безопасности 500. Она обладает гораздо большими правами, нежели обычные администраторы, и поэтому возможности администрирования тоже больше. При этом хочу обратить ваше внимание на пароль, который должен защищать учетную запись администратора. Он должен быть как минимум больше 14 символов, при этом должен содержать буквы верхнего и нижнего регистра и цифры — это усложнит возможные попытки взлома аккаунта. Все остальные аккаунты должны быть отключены вообще, делается это достаточно просто: Пуск – Панель управления – Администрирование – Управление компьютером – Локальные пользователи и группы – Пользователи. По ненужным аккаунтам кликаем правой клавишей мыши и выбираем свойства, там ставим галочку напротив "отключить учетную запись" и готово. Я бы еще посоветовал удалить группу "опытные пользователи". Делается данная операция из той же консоли, только вместо Пользователей выбираем Группы и удаляем. Если вы при установке системы забыли запаролить встроенного администратора, то сделать это можно опять же здесь. В Пользователях выбираем Администратор, кликам правой клавишей и выбираем Задать пароль. После пропускаем устрашающую запись и вводим пароль администратора.
Настройка доступа
Несмотря на то, что работа будет вестись из-под учетки пользователя, все равно остается риск инсталляции некоторых программ и/или удаления системных файлов. Для того, чтобы не было таких проблем, необходимо сделать одну операцию. Она настроит права доступа к файлам на диске С:/.
Задача: ограничить права на доступ и т.д. пользователя к системному диску, но при этом сохранить работоспособность программ, запускаемых от имени пользователя и установленных на С:/. Запускаем проводник и выполняем следующие операции: Сервис – Свойства папки – Вид – Использовать простой общий доступ к файлу (отключается). После этого кликаем правой клавишей мыши по иконке диска С: и выбираем появившуюся там вкладку Безопасность, в ней нажимаем Добавить и добавляем группу пользователи (или конкретного пользователя), устанавливаем права так, как показано на рис.1, и готово. Если вы наделаете ошибок и из-под учетной записи администратора доступ тоже будет закрыт, то поправить это довольно просто, но сделать это можно исключительно с админскими правами. Там же, где и права, выбираем дополнительно в открывшемся окне вкладку Владелец. Из доступных пользователей выбираем приемлемого, ставим галочку Изменить владельца субконтейнеров и объектов и нажимаем Применить. После окончания выбранный пользователь будет иметь полный доступ к диску. Еще раз напомню, что это можно сделать только из-под учетной записи администратора.
Windows Installer
Теперь перебираемся к службе Windows Installer. Если служба будет остановлена по дефолту, то некоторые программы просто не захотят инсталлироваться. При этом включить ее (службу) хватить прав только у админа. Ее можно найти, если пройти по следующему пути: Пуск — Панель управления – Администрирование – Службы. Находим необходимое, кликаем правой клавишей и выбираем тип запуска Вручную. Кроме того, во вкладке Вход в систему можно настроить возможность запуска службы при входе из-под администратора, при этом от пользователя она будет остановлена.
Запрет запуска приложений
Как вам понравится, если кроме всего прочего, пользователь и программы запускать сможет только строго определенные? Неплохо, правда? Для этого нам понадобится простой твикер. Я приведу пример, используя твикер XPTweaker. Итак, запускаем программу и выбираем меню Файлы и диски, а там вкладку Приложения. Устанавливаем значение Запретить запуск приложений, кроме указанных в списке и вносим те программы, с которыми можно работать (рис.2). Таким образом систему лучше всего настраивать, когда запись пользователя имеет права админа, так как мы настроили запуск приложений с помощью твикера, забрали права администратора и наделили правами пользователя, а остальные настройки произвели из-под учетной записи Администратор.
Remote софт
Вот мы и настроили все. Осталось только найти программу, которая позволит через сеть с админского компьютера контролировать файлы, управлять удаленным хостом и т.д. Таких программ множество, перечислять все я не буду (сказал еще в начале статьи), отвечу, как принято на форумах, гугл вам в помощь. Рассмотрю я сегодня всего одну, она называется Remote Control Pro. Собственно, возможности программы довольно классические для приложений такого рода. Это работа с файлами, управление удаленным хостом из контрольного окна, отслеживание активности сети, выключение/перезагрузка удаленного хоста, контроль/изменение активных процессов и т.д. В общем, как и говорил – стандартно. Моя версия программы имеет английский язык меню. Собственно, я никогда не пробовал найти версию с русификацией, поэтому не могу сказать, есть ли она вообще. Опять же, полагаю, что, погуглив, можно найти ответ. Кроме того, я бы вам советовал научиться использовать администраторские программы с английским интерфейсом, это существенно облегчит вам дальнейшую жизнь.
Для начала необходимо установить клиентскую часть на управляемый компьютер, это можно сделать, если выбрать первый пункт в меню Tools. Откроется окошко, показанное на рис.3, где вам необходимо будет ввести ip, имя хоста или выбрать компьютер из сети. Ввести учетную запись, из-под которой будет выполнен вход и установка (это Администратор), пароль и следовать указаниям мастера.
Для установки соединения необходимо выбрать в меню connection пункт new. Ввести имя хоста или ip, нажать Далее и выбрать Эдвансед, а там Аутентификация (рис.4). Вводим имя пользователя и пароль, под которыми будем входить и подключаться к клиентской части, и готово.
Вот мы и закончили настраивать хосты в локальной сети. Хотел бы сказать напоследок, что статья применима только в отношении к малым локальным сетям, так как вручную настраивать большие сети в компаниях не имеет смысла. Компания может выделить деньги, чтобы купить программу, позволяющую настроить это массово для всех хостов. Да, есть программы, которые помогут настроить это все быстрее, но они стоят денег, наша же задача была разобраться с проблемой без затраты средств, а рассматривать варез я не сильно хочу. Поэтому мы и прибегли к ручной настройке. Удачной вам настройки.
Евгений Кучук, q@sa-sec.org SASecurity gr.
Это было небольшое отступление от темы, сегодня речь не будет идти об утилитах, ну разве что о том, как использовать конкретные варианты в настройке сети. Я расскажу, каким образом настроить права на хостах сети — так, чтобы никто не смог сделать какие-либо операции, например, снести некоторые файлы системы или, скажем, поставить программу, которая не нужна вообще на этой машине. Для этого мы воспользуемся стандартными средствами системы, при этом хочу обратить ваше внимание, что на каждом хосте делать приведенные операции придется вручную, при этом примененные изменения будут действовать исключительно для пользователей. В общем, не буду ходить вокруг да около, начну.
Разделение пользователей
Это один из самых важных моментов. Пользователи должны работать от имени пользователя, а администратор – от имени администратора. Иначе мы получим полный произвол относительно первых. Пользователь имеет ограниченные права на системе, что уже частично решает поставленную перед нами задачу. Для работы администратора лучше всего использовать встроенную учетную запись Администратор, которая имеет идентификатор безопасности 500. Она обладает гораздо большими правами, нежели обычные администраторы, и поэтому возможности администрирования тоже больше. При этом хочу обратить ваше внимание на пароль, который должен защищать учетную запись администратора. Он должен быть как минимум больше 14 символов, при этом должен содержать буквы верхнего и нижнего регистра и цифры — это усложнит возможные попытки взлома аккаунта. Все остальные аккаунты должны быть отключены вообще, делается это достаточно просто: Пуск – Панель управления – Администрирование – Управление компьютером – Локальные пользователи и группы – Пользователи. По ненужным аккаунтам кликаем правой клавишей мыши и выбираем свойства, там ставим галочку напротив "отключить учетную запись" и готово. Я бы еще посоветовал удалить группу "опытные пользователи". Делается данная операция из той же консоли, только вместо Пользователей выбираем Группы и удаляем. Если вы при установке системы забыли запаролить встроенного администратора, то сделать это можно опять же здесь. В Пользователях выбираем Администратор, кликам правой клавишей и выбираем Задать пароль. После пропускаем устрашающую запись и вводим пароль администратора.
Настройка доступа
Несмотря на то, что работа будет вестись из-под учетки пользователя, все равно остается риск инсталляции некоторых программ и/или удаления системных файлов. Для того, чтобы не было таких проблем, необходимо сделать одну операцию. Она настроит права доступа к файлам на диске С:/.
Windows Installer
Теперь перебираемся к службе Windows Installer. Если служба будет остановлена по дефолту, то некоторые программы просто не захотят инсталлироваться. При этом включить ее (службу) хватить прав только у админа. Ее можно найти, если пройти по следующему пути: Пуск — Панель управления – Администрирование – Службы. Находим необходимое, кликаем правой клавишей и выбираем тип запуска Вручную. Кроме того, во вкладке Вход в систему можно настроить возможность запуска службы при входе из-под администратора, при этом от пользователя она будет остановлена.
Запрет запуска приложений
Remote софт
Вот мы и настроили все. Осталось только найти программу, которая позволит через сеть с админского компьютера контролировать файлы, управлять удаленным хостом и т.д. Таких программ множество, перечислять все я не буду (сказал еще в начале статьи), отвечу, как принято на форумах, гугл вам в помощь. Рассмотрю я сегодня всего одну, она называется Remote Control Pro. Собственно, возможности программы довольно классические для приложений такого рода. Это работа с файлами, управление удаленным хостом из контрольного окна, отслеживание активности сети, выключение/перезагрузка удаленного хоста, контроль/изменение активных процессов и т.д. В общем, как и говорил – стандартно. Моя версия программы имеет английский язык меню. Собственно, я никогда не пробовал найти версию с русификацией, поэтому не могу сказать, есть ли она вообще. Опять же, полагаю, что, погуглив, можно найти ответ. Кроме того, я бы вам советовал научиться использовать администраторские программы с английским интерфейсом, это существенно облегчит вам дальнейшую жизнь.
Для установки соединения необходимо выбрать в меню connection пункт new. Ввести имя хоста или ip, нажать Далее и выбрать Эдвансед, а там Аутентификация (рис.4). Вводим имя пользователя и пароль, под которыми будем входить и подключаться к клиентской части, и готово.
Евгений Кучук, q@sa-sec.org SASecurity gr.
Компьютерная газета. Статья была опубликована в номере 04 за 2009 год в рубрике сети
