НОУ ІНТУЇТ | лекція | Центр забезпечення безпеки (Windows Security Center) в операційній системі Windows XP SP2

  1. 4.4. автоматичне оновлення Як вже зазначалося раніше, натиснувши кнопку в "Центрі забезпечення...
  2. 4.5.1. Створення виключення для програми
  3. 4.5.2. Створення виключення для порту

4.4. автоматичне оновлення

Як вже зазначалося раніше, натиснувши кнопку Як вже зазначалося раніше, натиснувши кнопку   в Центрі забезпечення безпеки Windows, ви відкриєте вікно налаштувань Автоматичного оновлення (   Мал в "Центрі забезпечення безпеки Windows", ви відкриєте вікно налаштувань "Автоматичного оновлення" ( Мал. 4.22 ).


Мал.4.22.

Параметри автоматичного оновлення

Вбудована в Windows XP довідкова система дуже докладно описує систему автоматичного оновлення. Для того щоб скористатися цією довідкою, клацніть по напису "Як працює автоматичне оновлення?" (Див. Мал. 4.22 ). Зупинимося лише на деяких моментах.

По-перше, необхідно розрізняти поняття "завантаження" і "установка" оновлень. Завантаження означає процес передачі файлів оновлень з сервера Microsoft (або з внутрішнього сервера оновлень в організації) на комп'ютер користувача. Установка позначає власне процес інсталяції оновлень на комп'ютері користувача. Можлива ситуація, коли поновлення завантажені на комп'ютер користувача, але ще не встановлені.

По-друге, якщо ви вибрали варіант "Автоматично" (див. Мал. 4.22 ), То оновлення будуть завантажуватися і встановлюватися у вказаний вами час. Якщо комп'ютер в зазначений час завжди вимкнений, то установка оновлень ніколи не виконається. При реєстрації на комп'ютері користувач з правами локального адміністратора може запустити установку вручну, не чекаючи запланованого часу. При настанні запланованого часу користувачеві буде видане відповідне попередження про початок установки оновлень. Якщо в цей момент в системі працює адміністратор, у нього буде можливість відкласти установку до наступного запланованого часу. У інших користувачів (без прав адміністратора) можливості скасувати заплановану установку оновлень не буде [ [3.9] ].

У всіх інших випадках (за винятком випадку "відключити автоматичне оновлення") повідомлення про існуючі оновлення для вашого комп'ютера (готових до завантаження або до установки) будуть з'являтися тільки при реєстрації на вашому комп'ютері користувача з правами локального адміністратора. Таким чином, якщо на комп'ютері ви постійно працюєте з обліковим записом, що не входить в групу локальних адміністраторів, то установка оновлень ніколи не виконається.

Описані вище настройки автоматичного оновлення також доступні для налаштування через групову політику (Конфігурація комп'ютера, Адміністративні шаблони, Компоненти Windows, Windows Update). Крім того, тільки через групову політику можна задати додаткові параметри. Наприклад, можна вказати адресу внутрішнього сервера оновлень, який централізовано отримує оновлення з серверів Microsoft і віддає їх внутрішнім комп'ютерам організації. Як приклад такого сервера можна привести Microsoft Описані вище настройки автоматичного оновлення також доступні для налаштування через групову політику (Конфігурація комп'ютера, Адміністративні шаблони, Компоненти Windows, Windows Update) Windows Server Update Services (WSUS).

4.5. брандмауер Windows

Як вже зазначалося раніше, натиснувши кнопку Як вже зазначалося раніше, натиснувши кнопку   в Центрі забезпечення безпеки Windows, ви відкриєте вікно налаштувань брандмауера Windows (   Мал в "Центрі забезпечення безпеки Windows", ви відкриєте вікно налаштувань "брандмауера Windows" ( Мал. 4.23 ).


Мал.4.23.

Налаштування брандмауера Windows

Якщо ви клацніть по напису "Детальніше про брандмауер Windows" (див. Мал. 4.23 ), То зможете прочитати коротку інформацію про можливості брандмауера (брандмауера), що входить до складу Windows XP SP2. Немає необхідності повторювати цю інформацію тут.

Відзначимо лише, що, на відміну від продуктів інших виробників, вбудований брандмауер Windows призначений тільки для контролю вхідного трафіку, тобто він захищає комп'ютер тільки від зовнішніх вторгнень. Він не контролює вихідний трафік вашого комп'ютера. Таким чином, якщо на ваш комп'ютер вже потрапив троянський кінь або вірус, які самі встановлюють з'єднання з іншими комп'ютерами, брандмауер Windows не блокуватиме їх мережеву активність.

Крім того, за замовчуванням брандмауер захищає всі мережеві з'єднання, і запит входить луни по протоколу ICMP заборонений. Це означає, що якщо на комп'ютері включений брандмауер Windows, то перевіряти наявність такого комп'ютера в мережі за допомогою команди PING - безглузде заняття.

Дуже часто в організаціях, де використовується програмне забезпечення, що вимагає дозволу вхідних з'єднань на комп'ютери користувачів, виникає необхідність відкрити деякі порти на комп'ютерах зі встановленою Windows XP SP2. Для вирішення цього завдання необхідно поставити виключення в настройках брандмауера Windows. Існує два способи вирішити цю задачу [ [4.5] ]:

  1. Можна задати виключення, вказавши програму, що вимагає вхідні з'єднання. В цьому випадку брандмауер сам визначить, які порти необхідно відкрити, і відкриє їх тільки на час виконання зазначеної програми (точніше, на час, коли програма буде прослуховувати цей порт).
  2. Можна задати виключення, вказавши конкретний порт, по якому програма очікує вхідні з'єднання. В цьому випадку порт буде відкритий завжди, навіть коли ця програма не буде запущена. З точки зору безпеки цей варіант менш привабливий.

Існує кілька способів поставити виключення в настройках брандмауера Windows [ [4.6] ]. Можна скористатися графічним інтерфейсом ( Мал. 4.24 ). Цей варіант досить докладно висвітлено в Центрі довідки та підтримки Windows XP SP2. Можна використовувати доменну групову політику. Цей варіант кращий при великій кількості комп'ютерів в організації. Розглянемо його більш детально.


Мал.4.24.

Закладка Винятки

Параметри брандмауера Windows у груповій політиці розміщуються в вузлі "Конфігурація комп'ютера, Адміністративні шаблони, Мережа, Мережеві підключення, Брандмауер Windows".

Під час налаштування через групову політику вам необхідно налаштувати два профілі [ [4.6] ]:

  1. Профіль домену. Налаштування цього профілю використовуються, коли комп'ютер підключений до мережі, що містить контролер домену організації.
  2. Стандартний профіль. Налаштування цього профілю застосовуються, коли комп'ютер не підключений до мережі, що містить контролер домену організації. Наприклад, якщо ноутбук організації використовується у відрядженні і приєднаний до Інтернету через Інтернет-провайдера. В цьому випадку настройки брандмауера повинні бути більш суворими в порівнянні з настройками доменного профілю, так як комп'ютер підключається до публічної мережі, минаючи міжмережеві екрани своєї організації.

Розглянемо, як задати виключення для програми і для заданого порту. Як конкретний приклад візьмемо звернення Сервера адміністрування Kaspersky Administration Kit до комп'ютера, на якому встановлений Агент адміністрування, для отримання інформації про стан антивірусного захисту (докладніше див. "Захист від шкідливого програмного забезпечення на прикладі Windows Defender" ). У цьому випадку необхідно, щоб на клієнтському комп'ютері був відкритий порт UDP 15000 або дозволений прийом вхідних повідомлень програмою "C: \ Program Files \ Kaspersky Lab \ NetworkAgent \ klnagent.exe".

4.5.1. Створення виключення для програми

Налаштуємо параметри групової політики так, щоб брандмауер завжди працював, але пропускав вхідні з'єднання для програми "C: \ Program Files \ Kaspersky Lab \ NetworkAgent \ klnagent.exe". Зазначимо також, що ця програма буде приймати вхідні з'єднання тільки з адреси 192.168.0.1.

Для цього необхідно змінити параметри ( табл. 4.2 ), Розташовані у вузлі "Конфігурація комп'ютера, Адміністративні шаблони, Мережа, Мережеві підключення, Брандмауер Windows, Профіль домену". Пункти, які не зазначені в цій таблиці, можуть мати стан "Чи не задана".

Таблиця 4.2. Параметри групової політики Параметр Стан Брандмауер Windows: Захистити всі мережеві підключення Включено Брандмауер Windows: Не дозволяти виключення Відключено Брандмауер Windows: Задати виключення для програм Включено. % Programfiles% \ Kaspersky Lab \ NetworkAgent \ klnagent.exe: 192.168.0.1: enabled: KasperskyAgent

Формат завдання виключення для програм наступний [ [4.6] ]:

ProgramPath: Scope: Enabled | Disabled: ApplicationName

де ProgramPath - шлях до програми і ім'я файлу,

Scope - один або кілька адрес, розділених комами (наприклад, "*" - всі мережі (лапки не вказуються); 192.168.0.1 - один адреса; 192.168.10.0/24 - підмережа; "localsubnet" - локальна підмережа),

Enabled | Disabled - стан виключення (увімкнене),

ApplicationName - опис виключення (текстовий рядок).

Після застосування цих параметрів (див. табл. 4.2 ) Вікно налаштувань брандмауера буде виглядати так ( Мал. 4.25 ). Зверніть увагу на напис "Деякі параметри управляються груповою політикою".


Мал.4.25.

Закладка "Загальні"

Як видно на малюнку, настройки брандмауера тепер закриті для зміни локальним користувачам (в тому числі з правами адміністратора). на Мал. 4.26 представлена ​​закладка "Винятки", на якій відзначено значення, доданий груповою політикою домену.


Мал.4.26.

Закладка "Винятки"

4.5.2. Створення виключення для порту

Налаштуємо параметри групової політики так, щоб брандмауер завжди працював, але пропускав вхідні з'єднання з адреси 192.168.0.1 на порт UDP 15000.

Для цього необхідно змінити параметри ( табл. 4.3 ), Розташовані у вузлі "Конфігурація комп'ютера, Адміністративні шаблони, Мережа, Мережеві підключення, Брандмауер Windows, Профіль домену". Пункти, які не зазначені в цій таблиці, можуть мати стан "Чи не задана".

Таблиця 4.3. Параметри групової політики Параметр Стан Брандмауер Windows: Захистити всі мережеві підключення Включено Брандмауер Windows: Не дозволяти виключення Відключено Брандмауер Windows: Задати виключення для портів Включено. 15000: UDP: 192.168.0.1: enabled: Kaspersky Agent Port

Формат завдання виключення для програм наступний [ [4.6] ]:

Port #: TCP | UDP: Scope: Enabled | Disabled: PortName

де Port #-номер відкривається порту,

TCP | UDP - тип порту,

Scope - один або кілька адрес, розділених комами (наприклад, "*" - всі мережі (лапки не вказуються); 192.168.0.1 - один адреса; 192.168.10.0/24 - підмережа; "localsubnet" - локальна підмережа),

Enabled | Disabled - стан виключення (увімкнене),

PortName - опис виключення (текстовий рядок).

Для того щоб скористатися цією довідкою, клацніть по напису "Як працює автоматичне оновлення?