Windows Vista. Для профессионалов
Шрифт:
Программа certutil.exe
Расположение: %systemroot%\system32\certutil.ехе.
Если предыдущая программа командной строки была предназначена только для работы с центром сертификации, то эта предназначена для работы с сертификатами и службой сертификатов домена Active Directory. Она поддерживает очень большое количество возможностей и предназначена для работы в домене, поэтому на страницах данной книги параметры этой программы описаны не будут. Описание всех возможностей программы можно просмотреть, введя команду certutil /?.
При работе с программой может понадобиться просмотр ее файла журнала. Он расположен в каталоге %systemroot% и имеет название certutil.log.
Управление дискамиCLSID-номер оснастки: {dbfca500-8c31-11d0-aa2c-00a0c92749a3}.
Библиотека: dmdskmgr.dll.
Используется в стандартных консолях: compmgmt.msc, diskmgmt.msc.
С помощью данной оснастки можно добавить, удалить или отредактировать параметры разделов жесткого диска, установленного на компьютере. С ее помощью вы можете увеличивать размер тома (для динамических дисков), форматировать разделы, изменять файловую систему, изменять букву диска, изменять активный раздел (раздел, который содержит загрузочные файлы, его также называют системным).
Работа с данной оснасткой, как и ее интерфейс, совершенно не изменились. При добавлении оснастки вы можете выбрать компьютер, информацию которого она должна отображать. После
Оснастка Управление дисками имеет одно расширение, которое можно отключить. Это расширение VSSUI.
Общие папкиCLSID-номер оснастки: {58221C65-EA2 7-11CF-ADCF-0 0AA0 0A8 0 033}.
Библиотека: filemgmt.dll.
Используется в стандартных консолях: compmgmt.msc, f smgmt.msc.
С помощью данной оснастки можно просмотреть список общих папок данного компьютера, а также список открытых по сети в данный момент файлов и список созданных сетевых сессий. Используя оснастку Общие папки, можно создавать, удалять или редактировать параметры общих папок.
Перед загрузкой оснастки ее нужно настроить. Для этого предназначен мастер. Он предложит вам указать компьютер, данные которого будут загружены в оснастку, а также те из частей оснастки, которые будут отображаться (либо только папки общего доступа, сессии или открытые файлы, либо все вместе).
Работа с оснасткой Общие папки операционной системы Windows Vista полностью аналогична работе с оснасткой предыдущих версий Windows, поэтому на страницах данной книги мы не будем рассматривать ее работу.
В операционной системе Windows Vista присутствует стандартная программа командной строки предыдущих версий Windows openf iles.ехе (Расположение: %systemroot% \system32\openfiles.exe). С ее помощью также можно просмотреть список открытых в данный момент файлов общих каталогов. Для этого применяется команда openf iles.ехе /query. А с помощью команды openfiles.exe/disconnect <параметры> можно завершить работу определенного пользователя с открытым в данный момент ресурсом общего доступа. Описание ее параметров можно отобразить с помощью команды openfiles.exe/disconnect /?.
Кроме того, в Windows Vista данная программа стала поддерживать новый параметр – /Local. Если воспользоваться командой openf iles.ехе/Local on, то программа openfiles.exe будет отображать не только список открытых файлов из каталогов общего доступа, но и список локальных открытых файлов. Выполнение приведенной выше команды присваивает значение 4 0 0 0 параметру REG_DWORD-типа GlobalFlag ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Session Manager.
Работа с сетью
Монитор IP-безопасностиCLSID-номер оснастки: {57C596D0-9370-40C0-BA0D-AB491B63255D}.
Библиотека: ipsmsnap.dll.
Используется в стандартных консолях: нет.
Оснастка Монитор IP-безопасности также практически не изменилась. Основным ее назначением является слежение за работой локальной политики IP-безопасности, назначаемой оснасткой Локальные параметры безопасности. Однако с помощью команды Добавить компьютер контекстного меню раздела оснастки можно выбрать удаленный компьютер, работу политик которого нужно проконтролировать.Примечание
Сведения о работе драйвера IPSec можно просмотреть с помощью счетчиков производительности объекта IPSec Driver. Благодаря ему можно узнать те же сведения, что и с помощью статистики данной оснастки.
Можно также воспользоваться счетчиками объектов Generic IKE and AuthIP, IPSec AuthlPv4, IPSec AuthlPv6, IPSec IKEv4 и IPSec IKEv6.
Оснастка не имеет расширений и каких-нибудь параметров, настраиваемых при ее загрузке в консоль управления Microsoft, поэтому после загрузки оснастки перед вами отобразится ее основное окно (рис. 5.4). Мы не будем подробно рассматривать работу данной оснастки, но кратко описать ее возможности все же стоит.
Оснастка Монитор IP-безопасности состоит из следующих разделов.
• Активная политика – это новый раздел, которого не было в оснастке для операционных систем Windows ХР. Он отображает такие сведения о применяемой в данный момент политике, как ее название, описание, дата последнего изменения, хранилище политики, а также остальные сведения, используемые при работе вашего компьютера в составе домена Active Directory.
Рис. 5.4. Окно оснастки Монитор IP-безопасности
• Основной режим – определяет параметры работы протокола IPSec в основном режиме. Раздел включает в себя следующие подразделы.
– Универсальные фильтры – отображает сведения о применяемом фильтре (о его настройках).
– Специальные фильтры – содержит список специальных фильтров, отдельно для входящих и исходящих пакетов.
С помощью контекстного меню данного подраздела можно выполнить поиск совпадающих фильтров. Для этого нужно воспользоваться командой Найти совпадающие фильтры.
В отображенном после выбора команды окне можно ввести IP-адрес, порт узла источника и узла назначения, используемый протокол, а также указать, среди фильтров для каких пакетов будет выполняться поиск (входящих или исходящих) (рис. 5.5).
– Политики IKE – содержит применяемое в данный момент действие политики IKE.
– Статистика – определяет общую статистику, например статистику по основному и быстрому режиму, а также общее количество принятых пакетов и количество поврежденных пакетов.
– Сопоставление безопасности – содержит список сопоставлений безопасности.
• Быстрый режим – определяет параметры работы протокола IPSec в быстром режиме. Раздел включает в себя те же подразделы, что и раздел Основной режим.
Единственным его отличием является то, что его подраздел Статистика определяет сведения о других статистических параметрах. Например, к ним относятся следующие сведения, определяющие количество:
• активных сопоставлений безопасности (SA);
• разгруженных сопоставлений безопасности;
• незаконченных операций с ключами;
• удаленных ключей;
• повторно сгенерированных ключей;
• активных туннелей;
• поврежденных пакетов SPI;
• незашифрованных или непроверенных пакетов;
• и т. д.
Локальные параметры безопасностиCLSID-номер оснастки: {DEA8AFA0-CC85-11d0-9CE2-0080C7221EBD}.
Библиотека: ipsecsnp.dll.
Используется в стандартных консолях: secpol.msc.
С помощью предыдущей оснастки мы выполняли мониторинг работы политик IPSec, однако если вы не создали ни одной политики IPSec, то мониторинг ни к чему не приведет. Как раз для создания политик IPSec и служит оснастка Локальные параметры безопасности.
При ее загрузке можно указать компьютер, политики которого будут настраиваться, после чего формирование настроек оснастки будет закончено. Оснастка не имеет расширений.Создание политики IPSec
Если вы в первый раз запускаете данную оснастку,
Окно свойств имеет две вкладки: Правила и Общие.
• Правила – с помощью данной вкладки можно создать правила политики или изменить параметры уже созданного правила. По умолчанию уже будет создано правило, которое разрешает соединяться со всеми компьютерами без использования туннелирования, но на основе выбранного ранее метода аутентификации. Чтобы изменить это правило, нужно нажать кнопку Изменить, после чего отобразится окно Свойства: Изменить правило, состоящее из вкладок Методы безопасности и Методы проверки подлинности. С помощью вкладки Методы безопасности можно выбрать, будет использоваться только создание контрольной суммы каждого переданного пакета или также будет выполняться шифрование каждого пакета. С помощью вкладки Методы проверки подлинности можно изменить способ аутентификации компьютера источника и компьютера назначения.
Можно также воспользоваться кнопкой Добавить, чтобы создать новое правило. После этого запустится мастер, который предложит вам указать IPv4 и 1Ру6-адрес компьютера, если вы хотите организовать туннель, выбрать сеть, для которой будет применяться правило (любое сетевое соединение, соединение в пределах локальной сети или удаленное соединение), создать новые фильтры или выбрать уже созданный фильтр, создать способ взаимодействия с фильтром и выбрать способ аутентификации.
• Общие – позволяет изменить название и описание политики, а также определить интервал обновления политики и настроить такие параметры ключей PFS, как количество сессий или минут, после которого будет генерироваться новый ключ PFS, а также алгоритм шифрования, который будет использоваться для ключа PFS.
Все политики IPSec, создаваемые с помощью данной оснастки, хранятся как подразделы с именами вида ipsecPolicy{CLSID-номер} ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\MicrosoftWindows\IPSec\ Policy\Local.Создание фильтров политики
Но, кроме политики, нужно также создать один или несколько фильтров и действия при их применении. Это можно сделать как в процессе создания нового правила, как было сказано раньше, так и с помощью команды Управление списками 1Р-фильтра и действиями фильтра контекстного меню раздела оснастки Локальные параметры безопасности. После ее выбора отобразится одноименное окно, которое имеет две вкладки: Управление списками фильтров IP и Управление действиями фильтра.
• Управление списками фильтров IP – позволяет создать новый фильтр в списке фильтров (кнопка Добавить) или изменить параметры уже существующего (кнопка Изменить). При создании нового фильтра вам предложат указать адреса возможных компьютеров-источников и компьютеров-назначений, пакеты которых не будут отбрасываться, а также тип используемого протокола.
• Управление действиями фильтра – дает возможность создать новое действие (кнопка Добавить) или изменить параметры уже существующего (кнопка Изменить). При создании нового действия нужно указать, будут пакеты, подходящие под критерии фильтра, пропускаться, отбрасываться или для них будет отключена политика безопасности, будет ли разрешено создание небезопасного подключения, если безопасное подключение не поддерживается, будет использоваться только проверка целостности пакетов или также будет выполняться их шифрование.
Все фильтры, создаваемые с помощью данной оснастки, хранятся как подразделы с именами вида ipsecFilteriCLSID-номер} ветви системного реестра Windows HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof t Windows\ IPSec\ Policy\Local.Установка политики по умолчанию
После того как вы создадите политику, ее нужно установить для использования по умолчанию. Для этого в контекстном меню политики нужно выбрать команду Назначить. После этого все соответствующие политике соединения будут устанавливаться с помощью протокола IPSec, а оснастка Монитор IP-безопасности будет отображать параметры работы созданной вами политики. Если же нужно отключить политику, чтобы больше не использовались безопасные подключения, достаточно в контекстном меню политики выбрать команду Снять.
Название политики, используемой по умолчанию, хранится в параметре строкового типа ActivePolicy ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows\IPSec\Policy\Local.
Конфигурация клиента NAPCLSID-номер оснастки: {albc4eca-66b2-44e8-9915-be02e84438ba}.
Библиотека: napsnap.dll.
Используется в стандартных консолях: NAPCLCFG.MSC.
Данная оснастка является нововведением операционной системы Windows Vista. С ее помощью можно настроить параметры работы компонента NAP операционной системы, позволяющего блокировать сетевой доступ к вашему компьютеру другим компьютерам, не удовлетворяющим определенным вами требованиям. Учтите, что для работы механизма NAP необходимо, чтобы работала служба Агент защиты сетевого доступа.
При загрузке оснастки вам будет предложено подключиться к используемой базе данных механизма NAP локального компьютера или создать новую базу данных (или выбрать уже существующую, но не используемую по умолчанию).
Основное окно оснастки представлено на рис. 5.6.
Оснастка состоит из следующих подразделов: Клиенты системы ограничений, Параметры интерфейса пользователя, Параметры регистрации работоспособности. Далее мы рассмотрим их подробнее. Но сначала обратите внимание на команду Свойства контекстного меню раздела оснастки. С ее помощью отображается окно, в котором можно включить журналы трассировки для механизма NAP, а также указать режим трассировки: базовый, дополнительный или режим отладки.
Примечание
Сведения о работе механизма NAP заносятся в журнал Журналы приложений и служб → Microsoft → Windows → Network Access Protection.
Подраздел Клиенты системы ограничений
Данный подраздел содержит в себе набор различных клиентов, доступ к которым можно ограничить на основе указанных в подразделе Параметры регистрации работоспособности правил. По умолчанию присутствуют следующие клиенты:
• Клиент принудительного карантина для DHCP – имеет идентификатор 79617 и определяет клиентов DHCP;