Полное руководство по Microsoft Windows XP
Шрифт:
После того как вы максимально откроетесь миру, вы дадите другим возможность связаться с вами. Иногда это полезно – например, когда вы получаете помощь от другого пользователя, даже если вы с ним никогда не встречались. С другой стороны, хакерская атака на ваш компьютер может оказать разрушительное воздействие.
В этой главе также описываются программа Мастер домашней сети (Home Networking Wizard) и технология Universal Plug and Play (UPnP). Оба эти средства Windows XP помогают сделать сетевое подключение более простым. Конечно, они служат для разных целей, так как их компьютерная конфигурация отличается.
Архитектура коммуникационной подсистемы
Прежде чем перейти к коммуникациям, рассмотрим архитектуру коммуникационной подсистемы. На рис. 19.1 отражена только локальная часть коммуникационной структуры, в главе 17 рассказывается об архитектуре удаленной сети. Тем не менее, если вы посмотрите внимательно, то увидите все три основных типа подключения, названных в главе 18, в том числе подключение удаленного доступа (Dial-Up Networking), программу номеронабирателя Телефон (Phone Dialer) и прямое кабельное подключение (Direct Cable Connection). В следующем списке приводятся описания всех компонентов коммуникационной подсистемы:
Рисунок 19.1. Архитектура
• API-телефония (Telephony API – TAPI). Все модемно-зависимые службы собраны в этом API. Он предоставляет интерпретацию команд для новых приложений Windows XP. Когда какое-нибудь приложение запрашивает информацию об установке или о состоянии модема, данный модуль транслирует нужные сведения. TAPI может сконфигурировать модем с виртуальной точки зрения, но VCOMM продолжает управлять текущим портом. Команды модема поступают через порт от TAPI. TAPI обладает большими возможностями, чем VCOMM. Он состоит из множества файлов DLL на жестком диске. Например, TAPIUI.DLL содержит все элементы пользовательского интерфейса, в то время как TAPISNAP.DLL предоставляет внутреннюю привязку консоли управления MMC, необходимую для настройки опций TAPI. Специальная библиотека TAPIPERF.DLL включает счетчики, которые позволяют следить за выполнением TAPI;
• 16-разрядный коммуникационный API Windows (Windows 16-bit Communications API). Это модуль, который получает инструкции от 16-разрядного приложения и преобразует их в 32-разрядные инструкции, которые Windows XP способна распознать. Для одной инструкции API может понадобиться работа целого модуля подробных инструкций. Windows XP использует не 16-разрядную версию коммуникационных инструкций Windows, а 32-разрядный API, описанный в следующем пункте. Старые 16-разрядные инструкции не имели прочной среды, которую предоставляет Windows XP. Но вместо того, чтобы написать новый 16-разрядный модуль для старых приложений, Microsoft предоставляет доступ к новому интерфейсу через эти инструкции и модуль COMM.DRV (см. ниже);
• 32-разрядный коммуникационный API Windows (Windows 32-bit Communications API). Это расширенный набор 32-разрядных инструкций для Windows XP. Как и его 16– разрядный «коллега», 32-разрядный API преобразует запросы приложения в команды, которые Windows может выполнить. Windows XP также избавилась от файла VCOMM.386, разместив все его компоненты внутри 32-разрядного коммуникационного API. VCOMM.386 был статичным устройством VxD, который раньше всегда загружался во время запуска компьютера. Частью выполняемой файлом работы была загрузка драйверов всех портов (см. рис. 19.1). Другие части Windows также назывались VCOMM.386, хотя соответствующие им API решали разные специфические задачи для портов. KERNEL32.DLL теперь выполняет все эти функции. В результате скорость связи повысилась за счет снижения количества обращений коммуникационной подсистемы;
• поставщик услуг Unimodem (Unimodem Service Provider). Это специальный драйвер для модема. Он преобразует групповые команды, получаемые от модуля TAPI, в такие, которые ваш модем способен распознать. Поддержка Unimodem в предыдущих версиях Windows существовала внутри единственного модуля. В Windows XP для этих целей используются два модуля: MODEM.SYS и MODEMCSA.SYS;
• COMM.DRV. Это самый старый модуль в коммуникационной системе: даже дата его создания старая (хотя дата файла новая). Под Windows 3.х этот модуль выполнял коммуникационные задачи, назначаемые API. Windows XP – это переключающий уровень для 32-разрядных инструкций, содержащихся в 32-разрядном API связи и VCOMM.386. Позитивный аспект состоит в том, что скорость исполнения программ связи возрастает, даже если вы используете старое 16-разрядное приложение. Однако есть и недостаток: корпорация Microsoft решила сохранить старый набор 16-разрядных инструкций вместо того, чтобы модернизировать его до более полного 32-разрядного набора;
• клиенты (Clients). VCOMM.386 (который был добавлен в 32-разрядный API связи) обслуживает не только коммуникационную подсистему. Каждый раз, когда какой-нибудь другой подсистеме Windows требуется доступ к порту, ей также приходится обращаться к VCOMM.386. API, которые функционируют как клиенты, передают запросы в данный модуль. Это внутренняя функция Windows XP, которую вы не заметите, но вы должны знать о наличии взаимодействия между подсистемами. Неправильная работа порта не всегда является результатом проблем со связью или печатью; она может быть вызвана взаимодействием с другой подсистемой;
• SERIAL.SYS. Это драйвер последовательного порта, фактический его обработчик. Другой драйвер, также ассоциированный с последовательным портом, – SERIALUI.DLL – предоставляет интерфейс, который используется во время настройки последовательных портов;
• PARPORT.SYS. Это драйвер параллельного порта. В отличие от последовательного порта, параллельным обычно управляла подсистема печати. Следовательно, он основан на MSPRINT.SYS для обслуживания пользовательского интерфейса;
• IRSIR.SYS. Это порт для инфракрасной связи. Обычно он присутствует на портативном компьютере, но любая машина, снабженная ИК портом, может его задействовать. В большинстве случаев инфракрасный порт также ассоциируется с параллельным или последовательным портом (иногда с обоими). Программа связи пересылает данные через программы последовательного или параллельного порта, прежде чем дело дойдет до драйверов ИК порта. Указанный драйвер также работает с драйвером протокола IRDA.SYS и с энумератором шины IRENUM.SYS для обеспечения полного пакета инфракрасной связи;
• MODEM.SYS. Установить модем немного более сложно, чем драйвер другого порта, поддерживаемого VCOMM.386. Этот драйвер работает и с последовательным, и с параллельным портом, обеспечивая услуги модема для остальной части Windows. Он также отвечает за внесение изменений в модемные настройки в реестре. Каждый раз, когда вы меняете элементы модема, данный модуль записывает их в реестр. Как и драйвер последовательного порта, драйвер VxD не предусматривает никаких элементов интерфейса. Он основан на MODEMUI.DLL, обеспечивающем такие услуги. Для поддержки драйверов служат файлы MODEM.CPL и MODEMCSA.SYS;
• строки команд модема, хранящиеся в реестре. Это заключительное звено в цепочке. Многие из верхних модулей основываются на таких элементах
В отличие от многих других, коммуникационная подсистема кажется довольно простой, но это не совсем так. Существует риск недооценить ее влияние на остальную часть Windows, если не считать количество способов ее взаимодействия с другими подсистемами. Центральной частью здесь является файл KERNEL32.DLL, который загружает драйверы портов, предоставляет доступ к ним во время системных операций и, как правило, управляет способом взаимодействия Windows с внешним миром. В главе 25 рассматриваются некоторые дефекты данной подсистемы.
Виртуальная частная сеть
Большинство пользователей знают, как подключение удаленного доступа позволяет устанавливать связь с Internet. Однако начальные подключения к Internet, которые вы устанавливаете, недостаточно защищены. Любой, имеющий соответствующие средства, может отследить ваши подключения к серверу и точно определить, что вы делаете. Более того, нетрудно изменить содержание сообщений, посылаемых на сервер, и повлиять на результат подключения.
Современные средства коммуникации позволяют сделать связь более безопасной с помощью шифрования и электронной подписи для каждого пакета информации, циркулирующего между клиентом и сервером. Существует множество доступных методов, но большинство из них основано на сертификатах для целей идентификации. Конечно, эти методы коммуникаций также неудобны для клиента и сервера, и по-прежнему существует шанс, что кто-нибудь расшифрует данные, которыми вы обменялись, при наличии достаточного времени. Брешь в безопасности является одной из проблем при создании защищенного канала связи между двумя сторонами сетевого соединения, которые не знают друг друга.Примечание
Виртуальная частная сеть (Virtual Private Networking – VPN) – стандартное средство Windows XP. Если вы используете старую версию Windows, скорее всего, это средство на вкладке Установка Windows (Windows Setup) диалогового окна Установка и удаление программ (Add/Remove Programs) отсутствует. К тому времени, когда вы будете читать эти строки, Microsoft, возможно, уже сделает виртуальную частную сеть встроенным средством Windows, загруженным из Internet. Подробности вы найдете на сайте Microsoft: http://www.microsoft.com/.
Виртуальная частная сеть предлагает второе подключение между клиентом и сервером, полностью защищенное и основанное на двух сторонах, которые соединяются, имея некоторое представление друг о друге. Как правило, виртуальная частная сеть поддерживает выделенный протокол типа PPTP (Point-to-Point Tunneling Protocol – протокол передачи данных между узлами). В итоге сеанс связи начинается с того, что вы дозваниваетесь Internet-провайдеру, чтобы получить доступ к Internet с помощью протокола TCP/IP, а затем используете виртуальную частную сеть для создания второго подключения посредством протокола PPTP.
Инсталляция поддержки для виртуальной частной сети и создание VPN-подключения
Мы уже обсудили создание разных аппаратных, программных и сетевых подключений. Процесс создания VPN-подключения похож на прямое кабельное подключение. Нужно изменить только один параметр – см. раздел «Прямое кабельное подключение» главы 18. Когда вы захотите установить VPN-соединение, используйте процедуру, описанную в разделе «Подключение удаленного доступа» главы 18.
Требования безопасности для виртуальных частных сетей
Когда вы создаете VPN-соединение, необходимо не только подключение на обоих концах, но и план обеспечения безопасности сети. Каждый раз, когда вы открываете новый метод соединения для вашей компании, какой-нибудь хакер планирует воспользоваться этой «дырой» в вашей системе безопасности. Виртуальная частная сеть не меньше других привлекает внимание злоумышленников.
В главе 22 описаны все процедуры, необходимые для защиты системы. В любом случае вам нужно знать, что защищать и от кого. Когда вы создаете VPN-соединение с компьютерной системой, убедитесь, что доступ к ней могут получить только те, кто его запрашивает. Вам придется потратить время на то, чтобы приучить пользователей применять соответствующий пароль, и разработать локальную стратегию защиты машины, для которой требуются сложные пароли: чем более сложным для взлома будет пароль, тем больше времени понадобится хакеру на получение доступа.
Учтите, что даже самая лучшая в мире система безопасности не остановит того, кто действительно захочет взломать вашу систему. При желании хакеры найдут щель в вашей броне, поэтому лучше всего поискать в системе признаки несанкционированного входа. Взломщики часто стирают файлы или фальсифицируют регистрационную запись, чтобы замести следы. Необходимо проверять регистрационные записи, которые указывают на ненормальное использование. Например, если Джейн внезапно стала работать дома ночью, следует спросить ее, действительно она работает или просто кто-то применяет ее учетную запись. Многие пользователи не догадываются, что кто-то другой эксплуатирует их учетную запись, и это обнаруживается, только если вы спросите.
Другое средство защиты хранит вашу виртуальную частную сеть отключенной, когда вы с ней не работаете. Если вы управляете небольшой фирмой и планируете сделать перерыв на несколько дней, отключите VPN. Хакерам нравится атаковать системы, когда никого нет дома, так что вы сможете частично помешать их попыткам, убедившись, что доступ к сети закрыт, прежде чем уехать.
Служба управления доступом в Internet
В Windows XP есть свойство, революционное в сфере доступа в Internet для домашних пользователей и сотрудников небольших фирм, где имеются несколько компьютеров. Это свойство называется Служба управления доступом в Internet (Internet Connection Sharing – ICS). В прежние времена при попытке перейти в интерактивный режим мне приходилось сначала связываться с пользователями других компьютеров, работающими в офисе (у нас было только три линии связи), чтобы убедиться, что линия, оставленная для модема, свободна. С появлением службы управления доступом в Internet такие проблемы исчезли. Все могут использовать одну и ту же линию, чтобы подключиться к Internet.
Предупреждение
Применять службы управления доступом в сети, где установлен сервер Windows NT/2000, небезопасно. Ничего ужасного с вашим оборудованием не произойдет, но может нарушиться правильная работа сети. С одной стороны, ICS автоматически попытается настроить ваш IP-адрес на 192.168.0.1. Это безопасный для использования адрес, но в сети его может не быть. В результате появятся сообщения об ошибке на сервере ICS, извещающие, что вы не можете войти в домен Windows NT/2000, и ICS-сервер не будет отвечать.