Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2)




НазваниеКонтроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2)
Дата конвертации31.05.2013
Размер445 b.
ТипПротокол



Контроллер домена (Computer1) и рядовой член домена (Computer2)

  • Контроллер домена (Computer1) и рядовой член домена (Computer2)

  • Сетевой монитор (Network Monitor)



Протоколы безопасности сети используются для управления и защиты аутентификации, авторизации, конфиденциальности, целостности данных и невозможности отрицания авторства (nonrepudiation).

  • Протоколы безопасности сети используются для управления и защиты аутентификации, авторизации, конфиденциальности, целостности данных и невозможности отрицания авторства (nonrepudiation).

  • К основным протоколам безопасности в сетях относятся: Kerberos, NTLM (New Technology Local Area Network Manager), IPSec (Internet Protocol Security) и их подвиды





Шаблоны безопасности — мощный инструмент управления сетевой безопасностью. Проще всего использовать его и анализировать политики безопасности с помощью в консоли с оснастками Шаблоны безопасности (Security Templates) и Анализ и настройка безопасности (Security Configuration and Analysis).

  • Шаблоны безопасности — мощный инструмент управления сетевой безопасностью. Проще всего использовать его и анализировать политики безопасности с помощью в консоли с оснастками Шаблоны безопасности (Security Templates) и Анализ и настройка безопасности (Security Configuration and Analysis).



Создадите консоль, которая позволит просматривать, настраивать или копировать шаблоны безопасности, добавлять новые папки для хранения шаблонов, а также применять шаблоны к компьютеру

  • Создадите консоль, которая позволит просматривать, настраивать или копировать шаблоны безопасности, добавлять новые папки для хранения шаблонов, а также применять шаблоны к компьютеру

  • Работа с шаблонами в консоли никак не повлияет на безопасность компьютера



1. Выберите Пуск (Start)\Выполнить (Run), в открывшемся окне введите mmс и щелкните ОК.

  • 1. Выберите Пуск (Start)\Выполнить (Run), в открывшемся окне введите mmс и щелкните ОК.

  • 2. В меню Консоль (Console) выберите Добавить или удалить оснастку (Add/Remove Snap-In).

  • 3. В одноименном окне щелкните кнопку Добавить (Add).

  • 4. В окне Добавить изолированную оснастку (Add Standalone Snap-In) выберите Шаблоны безопасности (Security Templates) и щелкните кнопку Добавить (Add).

  • 5. Выберите оснастку Анализ и настройка безопасности (Security Configuration and Analysis), щелкните Добавить, а затем Закрыть (Close).

  • 6. Щелкните ОК, чтобы добавить выбранные оснастки в консоль.

  • 7. Сохраните консоль, выбрав в меню Консоль пункт Сохранить как (Save As). В поле имени файла введите Security Configuration Management и щелкните Сохранить (Save).



1. В окне Проводника создайте новую папку с именем Custom Templates.

  • 1. В окне Проводника создайте новую папку с именем Custom Templates.

  • 2. Откройте консоль Security Configuration Management.

  • 3. Щелкните Шаблоны безопасности (Security Templates) правой кнопкой и выберите Новый путь для поиска шаблонов (New Template Search Path).

  • 4. Выберите папку Custom Templates и щелкните ОК. В консоли Security Configuration Management появится новая папка.

  • Рекомендуется никогда не изменять шаблоны по умолчанию, а новые (или существующие, которые надо изменить) шаблоны размещать в отдельном месте.



Копирование существующего шаблона

  • Копирование существующего шаблона

  • 1. В консоли Шаблоны безопасности (Security Templates) щелкните файл Securews.inf правой кнопкой и выберите Сохранить как (Save As).

  • 2. В качестве места хранения выберите созданную ранее папку Custom Templates, а в качестве имени файла — Test1. Щелкните Сохранить (Save).

  • Изменение шаблона

  • 1. Раскройте папку Custom Templates в консоли Security Configuration Management. Чтобы увидеть шаблон Test1, возможно придется обновить консоль.

  • 2. Раскройте разделы шаблона Test1.

  • 3. Раскройте узел Локальные политики (Local Policies) и выберите Параметры безопасности (Security Options).



4. Найдите в правой панели разделы Сетевой доступ (Network Access) и Сетевая безопасность (Network Security) и изучите их значения. Обратите внимание, что значение политики — Не определено (Not defined);

  • 4. Найдите в правой панели разделы Сетевой доступ (Network Access) и Сетевая безопасность (Network Security) и изучите их значения. Обратите внимание, что значение политики — Не определено (Not defined);

  • 5. Дважды щелкните политику Завершение работы: разрешить завершение работы системы без выполнения входа в систему (Shutdown: Allow System to Be Shut Down Without Having to Log on). Откроется окно свойств политики.

  • 6. Установите флажок Определить следующий параметр политики в шаблоне (Define This Policy Setting in The Template) (если он еще не установлен) и отметьте переключатель Отключен (Disabled).

  • 7. Щелкните ОК.

  • 8. Сохраните внесенные изменения, щелкнув правой кнопкой имя шаблона и выбрав в контекстном меню Сохранить (Save).



Модификация шаблона путем редактирования М-файла

  • Модификация шаблона путем редактирования М-файла

  • 1. В окне Проводника перейдите в папку Custom Template.

  • 2. Дважды щелкните шаблон Test1, чтобы открыть его в окне Блокнот (Notepad).

  • 3. Изучите раздел [Registry Values]. Здесь изменяют или добавляют разделы реестра, на которые подействует шаблон в случае его применения.

  • Применение шаблона

  • 1. Создайте шаблон отката командой:

  • secedit /generaterollback /cfg testl.inf /rbk testlrollback.inf /log test1rollback.log

  • 2. В консоли Security Configuration Management щелкните узел Анализ и настройка безопасности (Security Configuration And Analysis) правой кнопкой и выберите Открыть базу данных (Open Database). База данных не образуется автоматически, поэтому сначала надо ее создать.



3. Введите имя базы данных в текстовое поле Имя файла (File Name) и щелкните кнопку Открыть (Open). Поскольку в п. 1 создан шаблон отката, то можно без опаски применять созданный нами шаблон.

  • 3. Введите имя базы данных в текстовое поле Имя файла (File Name) и щелкните кнопку Открыть (Open). Поскольку в п. 1 создан шаблон отката, то можно без опаски применять созданный нами шаблон.

  • 4. В окне Импорт шаблона (Import Template) выберите шаблон Testl.inf и щелкните кнопку Открыть (Open).

  • 5. Щелкните узел Анализ и настройка безопасности правой кнопкой и выберите Настроить компьютер (Configure Computer Now).

  • 6. На запрос подтверждения местоположения журнала ошибок щелкните ОК. Журнал ошибок позволяет узнать, когда и какие шаблоны применялись к компьютеру.

  • 7. Дождитесь окончания процесса конфигурирования и закройте консоль, не сохраняя ее.



Может случиться так, что после изменения параметров безопасности обнаруживается, что компьютер стал недоступен из сети или наоборот степень его защиты стала ниже требуемой.

  • Может случиться так, что после изменения параметров безопасности обнаруживается, что компьютер стал недоступен из сети или наоборот степень его защиты стала ниже требуемой.

  • Если перед применением шаблона был создан шаблон отката, систему можно вернуть в исходное состояние.

  • Если также надо вернуть разрешения файловой системы и реестра в состояние, в котором они находились после установки, можно применить один из установочных шаблонов по умолчанию.

  • Если этого не нужно, достаточно применить шаблон отката.



Восстановление конфигурации параметров безопасности путем применения шаблона отката

  • Восстановление конфигурации параметров безопасности путем применения шаблона отката

  • 1. В консоли Security Configuration Management щелкните узел Анализ и настройка безопасности (Security Configuration And Analysis) правой кнопкой и выберите Импорт шаблона (Import Template).

  • 2. В одноименном окне выберите шаблон TestlroIIback.inf.

  • 3. Установите флажок Очистить эту базу данных перед импортом (Clear This Database Before Importing) и щелкните кнопку Открыть. Если флажок не установить, будет применена информация из обоих шаблонов.

  • 4. Щелкните узел Анализ и настройка безопасности правой кнопкой и выберите Настроить компьютер (Configure Computer Now).

  • 5. Щелчком ОК подтвердите местоположение файла журнала ошибок.

  • 6. Закройте консоль Security Configuration Management.



При конфигурировании систем часто используют политики безопасности, но затем о них благополучно забывают и при возникновении неполадок оказывается, что никто не помнит, какие значения параметров задавались.

  • При конфигурировании систем часто используют политики безопасности, но затем о них благополучно забывают и при возникновении неполадок оказывается, что никто не помнит, какие значения параметров задавались.

  • С помощью оснастки Анализ и настройка безопасности (Security Configuration and Analysis) можно сравните текущие значения параметров с эталонным шаблоном.



1. В консоли Security Configuration Management щелкните узел Анализ и настройка безопасности (Security Configuration And Analysis) правой кнопкой и выберите Импорт шаблона (Import Template).

  • 1. В консоли Security Configuration Management щелкните узел Анализ и настройка безопасности (Security Configuration And Analysis) правой кнопкой и выберите Импорт шаблона (Import Template).

  • 2. Выберите шаблон Test1.inf и щелкните кнопку Открыть (Open).

  • 3. Щелкните узел Анализ и настройка безопасности правой кнопкой и выберите Анализ компьютера (Analyze Computer Now).

  • 4. Щелчком OK подтвердите местоположение файла журнала ошибок. По завершении анализа вы сможете исследовать в консоли параметры базы данных и отличия от политики.



5. Поочередно раскройте каждый из узлов и внимательно ознакомьтесь с изменениями, которые представлены в правой панели. Изменения помечены красным крестом. Обратите внимание на столбцы Параметр базы данных (Database Setting) и Параметр компьютера (Computer Setting) — по ним вы сможете точно определить различия, а также обратите внимание на не проанализированные элементы — возможно, придется изучать их вручную.

  • 5. Поочередно раскройте каждый из узлов и внимательно ознакомьтесь с изменениями, которые представлены в правой панели. Изменения помечены красным крестом. Обратите внимание на столбцы Параметр базы данных (Database Setting) и Параметр компьютера (Computer Setting) — по ним вы сможете точно определить различия, а также обратите внимание на не проанализированные элементы — возможно, придется изучать их вручную.

  • 6. Закройте консоль.



IPSec — это сложный протокол, который служит для:

  • IPSec — это сложный протокол, который служит для:

    • аутентификации и шифрования трафика между двумя компьютерами;
    • блокирования определенного входящего и исходящего трафика;
    • разрешения определенного входящего и исходящего трафика.
  • Политики IPSec (IPSec policies) можно рассматривать как набор фильтров пакетов, реализующих политику безопасности IP-трафика. Каждый фильтр (filter) описывает определенное действие сетевого протокола. Если входящий или исходящий трафик устройства (компьютера или иного оборудования IP-сети), на котором есть активная политика, удовлетворяет условиям одного из фильтров, соответствующие пакеты блокируются, пропускаются или перед дальнейшей пересылкой между источником и приемником устанавливается IPSec-подключение.



В Windows Server 2003, Windows 2000 и Windows XP Professional доступ к IP-безопасности можно получить через объект групповой политики (GPO) или в оснастке Управление политикой безопасности IP (IP Security Policy Management).

  • В Windows Server 2003, Windows 2000 и Windows XP Professional доступ к IP-безопасности можно получить через объект групповой политики (GPO) или в оснастке Управление политикой безопасности IP (IP Security Policy Management).



Создание пустой консоли

  • Создание пустой консоли

  • 1. Выберите Пуск(Start)\Выполнить (Run), в открывшемся окне введите mmc и щелкните ОК.

  • 2. В меню Консоль (Console) выберите Добавить или удалить оснастку (Add/Remove Snap-In).

  • 3. В одноименном окне щелкните кнопку Добавить (Add).

  • 4. В окне Добавить изолированную оснастку (Add Standalone Snap-In) выберите Управление политикой безопасности IP (IP Security Policy Management) и щелкните кнопку Добавить (Add).

  • 5. В окне Выбор компьютера или домена (Select Computer or Domain) щелкните Готово (Finish), оставив вариант по умолчанию Локальный компьютер (Local Computer). Щелкните Готово (Close). В окне Добавить или удалить оснастку указана выбранная оснастка Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer).



6. Щелкните ОК.

  • 6. Щелкните ОК.

  • 7. Сохраните консоль, выбрав в меню Консоль пункт Сохранить как (Save As), введите имя файла IP Security Policy Management и щелкните Сохранить (Save).

  • Создание запрещающей политики

  • 1. В консоли Политики безопасности щелкните узел Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) правой кнопкой и выберите Создать политику безопасности IP (Create IP Security Policy).

  • 2. В окне Мастер политики IP-безопасности (IP Security Policy Wizard) щелкните Далее (Next).

  • 3. В поле Имя (Name) введите block web server access. В поле Описание (Description) введите описательный текст и щелкните Далее.



4. Сбросьте флажок Использовать правило по умолчанию (Activate the default response rule) и щелкните Далее. Это правило разрешает небезопасную связь. В большинстве случаев это надо предотвратить, и правило удаляется. Его всегда можно при необходимости восстановить.

  • 4. Сбросьте флажок Использовать правило по умолчанию (Activate the default response rule) и щелкните Далее. Это правило разрешает небезопасную связь. В большинстве случаев это надо предотвратить, и правило удаляется. Его всегда можно при необходимости восстановить.

  • 5. Щелкните Готово (Finish).

  • 6. В окне свойств новой политики сбросьте флажок Использовать мастер (Use Add Wizard). Мастер позволяет создавать сложные политики, а при создании простых лишь усложняет дело. Щелкните кнопку Добавить (Add).

  • 7. На вкладке Список фильтров IP (IP Filter List) щелкните Добавить (Add).

  • 8. В поле Имя (Name) введите blocking, а в поле Описание (Description)— blocking protocols.



9. Сбросьте флажок Использовать мастер (Use Add Wizard) и щелкните кнопку Добавить (Add), чтобы добавить фильтр.

  • 9. Сбросьте флажок Использовать мастер (Use Add Wizard) и щелкните кнопку Добавить (Add), чтобы добавить фильтр.

  • 10. В списке Адрес назначения пакетов (Source Address) выберите Любой IP-адрес (Any IP Address), а в списке Адрес источника пакетов (Source Address) выберите Мой IP-адрес (My IP Address).

  • 11. На вкладке Протокол (Protocol) в поле со списком Выберите тип протокола (Select a protocol type) выберите TCP.

  • 12. В области Установка порта для протокола IP (Set The IP Protocol Port) выберите Пакеты на этот порт (to this port), введите 80 и щелкните OK.

  • 13. Выберите запись Blocking в списке IP-фильтры и перейдите на вкладку Действие фильтра (Filter Action).



14. Сбросьте флажок Использовать мастер (Use Add Wizard) и щелкните кнопку Добавить (Add), чтобы определить действие фильтра, то есть то, что происходит, когда фильтр активизируется. В данном случае фильтр блокирует любой входящий трафик через порт 80.

  • 14. Сбросьте флажок Использовать мастер (Use Add Wizard) и щелкните кнопку Добавить (Add), чтобы определить действие фильтра, то есть то, что происходит, когда фильтр активизируется. В данном случае фильтр блокирует любой входящий трафик через порт 80.

  • 15. На вкладке Методы безопасности (Security Methods) выберите вариант Блокировать (Block).

  • 16. На вкладке Общие (General) и в поле Имя (Name) введите block и щелкните ОК.

  • 17. На вкладке Действие фильтра (Filter Action) выберите действие Блокировать (Block), щелкните Закрыть (Close), а затем — ОК.

  • Создание политики не изменяет поведение компьютера — для этого надо применить политику: щелкнуть значок политики правой кнопкой и выбрать Назначить (Assign). На машине разрешается только одна активная политика.



Создание политики шифрования связи между двумя компьютерами

  • Создание политики шифрования связи между двумя компьютерами

  • Политики согласования должны практически совпадать на обоих компьютерах. Политику, которую определите, надо экспортировать, а затем импортировать на Computer2.

  • Если в домене Windows многие компьютеры используют одну политику, ее можно создать как часть объекта групповой политики (GPO).



1. В консоли Security Configuration Management щелкните правой кнопкой Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) и выберите Создать политику безопасности IP (Create IP Security Policy).

  • 1. В консоли Security Configuration Management щелкните правой кнопкой Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) и выберите Создать политику безопасности IP (Create IP Security Policy).

  • 2. В окне Мастер политики IP-безопасности (IP Security Policy Wizard) щелкните Далее (Next).

  • 3. В поле Имя (Name) введите encrypt telnet traffic. В поле Описание (Description) введите описательный текст и щелкните Далее.

  • 4. Сбросьте флажок Использовать правило по умолчанию (Activate the default response rule) и щелкните Далее, а затем — Готово (Finish).

  • 5. В окне свойств политики перейдите на вкладку Общие (General) и щелкните кнопку Параметры (Settings), чтобы просмотреть и скорректировать параметры обмена ключами.



6. В окне Параметры обмена ключами (Key Exchange Settings) щелкните кнопку Методы (Methods). В окне Методы безопасности при обмене ключами (Key Exchange Settings) определяют особенности создания основного ключа. Хотя частое обновление ключей обеспечивает повышенную безопасности связи, оно часто отрицательно сказывается на производительности.

  • 6. В окне Параметры обмена ключами (Key Exchange Settings) щелкните кнопку Методы (Methods). В окне Методы безопасности при обмене ключами (Key Exchange Settings) определяют особенности создания основного ключа. Хотя частое обновление ключей обеспечивает повышенную безопасности связи, оно часто отрицательно сказывается на производительности.

  • 7. В окне Методы безопасности при обмене ключами выберите четвертый (последний) заданный по умолчанию метод защиты и щелкните кнопку Удалить (Remove). Затем удалите третий метод защиты. Должны остаться два первых метода.

  • Удаление двух методов и изменение группы Диффи-Хеллмана оставшихся методов защиты укрепляет безопасность основного ключа, но может отрицательно сказаться на производительности. Компьютер, пытающийся создать подключение, должен поддерживать по крайней мере один из двух оставшихся методов, иначе подключение создать не удастся.



8. Выберите один из оставшихся методов защиты и щелкните Изменить (Edit).

  • 8. Выберите один из оставшихся методов защиты и щелкните Изменить (Edit).

  • 9. В окне Алгоритмы безопасности IKE (IKE Security Algorithms) в поле со списком Группа Диффи-Хелмана (Diffie-Hellman Group) выберите Высокая (2048) [High (2048)]. Щелкните ОК. Повторите аналогичную операцию со вторым методом защиты.

  • Изменение группы Диффи-Хелмана способствует укреплению безопасности по двум причинам. Во-первых, для вычисления основного ключа используются большие простые числа; во-вторых, связь возможна только с другими компьютерами под управлением Windows Server 2003, потому что только они поддерживают этот параметр. Выбор самой надежной группы Диффи-Хелмана часто вызывает проблемы, так как пользователи с «устаревшими» ОС утрачивают способность создавать подключения. Это также может отрицательно сказаться на производительности, ведь ключ длиннее и ресурсов на шифрование затрачивается больше.



10. Два раза щелкните ОК, чтобы возвратиться к вкладке Общие. Затем перейдите на вкладку Правила (Rules).

  • 10. Два раза щелкните ОК, чтобы возвратиться к вкладке Общие. Затем перейдите на вкладку Правила (Rules).

  • 11. Установите флажок Использовать мастер (Use Add Wizard) и щелкните Добавить (Add), чтобы добавить правило.

  • 12. В окне Мастер создания новых правил IP-безопасности (Create IP Security Rule Wizard) щелкните Далее.

  • 13. На странице Конечная точка туннеля (Tunnel Endpoint) щелкните Далее. В этой политике туннель не нужен.

  • 14. На странице Тип сети (Network Type) щелкните Далее, приняв значение по умолчанию — Все сетевые подключения (All network connections). Эта политика действует независимо от того, где инициируется подключение.

  • 15. На странице Список фильтров IP (IP Filter List) щелкните Добавить (Add), чтобы создать список фильтров.

  • 16. В поле Имя (Name) введите negotiate, а в поле Описание (Description) — описательный текст.



17. Установите флажок Использовать мастер (Use Add Wizard) и щелкните кнопку Добавить (Add), чтобы добавить фильтр.

  • 17. Установите флажок Использовать мастер (Use Add Wizard) и щелкните кнопку Добавить (Add), чтобы добавить фильтр.

  • 18. В окне Мастер IP-фильтра (IP Filter Wizard) щелкните Далее (Next).

  • 19. В поле Описание (Description) введите описание фильтра и щелкните Далее.

  • 20. В поле со списком Адрес источника пакетов (IP traffic source) выберите Определенный IP-адрес (A Specific IP Address).

  • 21. В поле IP-адрес (IP Address) введите IP-адрес компьютера Computer1 и щелкните Далее.

  • 22. На странице Назначение IP-трафика (IP Traffic Destination) в поле со списком Адрес назначения (Destination Address) выберите Определенный IP-адрес (A Specific IP Address) и введите IP-адрес Computer2. Щелкните Далее.



23. На странице Тип IP-протокола (IP Protocol Type) выберите TCP и щелкните Далее.

  • 23. На странице Тип IP-протокола (IP Protocol Type) выберите TCP и щелкните Далее.

  • 24. В поле Пакеты на этот порт (to this port), введите 23, щелкните Далее, а затем — Готово (Finish).

  • 25. Щелкните ОК, чтобы возвратиться в окно Мастер правил безопасности.

  • 26. Выберите фильтр Negotiate и щелкните Далее.

  • 27. Выберите Требуется безопасность (Require Security) и щелкните Далее.

  • 28. В качестве метода аутентификации выберите Kerberos и щелкните Далее, а затем — Готово (Finish).

  • 29. Щелкните ОК, чтобы завершить создание правила. Щелкните ОК еще раз, чтобы закончить процедуру.



До назначения политики согласования надо позаботиться, чтобы на другом компьютере конфигурация политики совпадала.

  • До назначения политики согласования надо позаботиться, чтобы на другом компьютере конфигурация политики совпадала.

  • Один способ решения этой задачи — создать политику на другом компьютере вручную, но можно экспортировать политику с одного компьютера и импортировать на другой компьютер.



1. В консоли Управление политикой безопасности IP (IP Security Policy Management) на Computer1 щелкните Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) правой кнопкой и выберите Все задачи (All Таsks)\Экспортировать политики (Export Policies).

  • 1. В консоли Управление политикой безопасности IP (IP Security Policy Management) на Computer1 щелкните Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) правой кнопкой и выберите Все задачи (All Таsks)\Экспортировать политики (Export Policies).

  • 2. Перейдите к общей папке на Computer1, введите имя файла и щелкните Сохранить (Save).

  • 3. На Computer2 создайте консоль Управление политикой безопасности IP (IP Security Policy Management).

  • 4. Щелкните правой кнопкой Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) и выберите Все задачи (All аsks)\Импортировать политики (Import Policies).

  • 5. Выберите файл политики и щелкните Открыть (Open). Политика безопасности успешно скопирована на компьютер. Закройте все консоли и выйдите из системы обоих компьютеров.



Любую задачу, доступную в оснастке Управление политикой безопасности IP (IP Security Policy Management), можно выполнить с помощью команды Netsh.

  • Любую задачу, доступную в оснастке Управление политикой безопасности IP (IP Security Policy Management), можно выполнить с помощью команды Netsh.

  • Эта утилита позволяет делать то, что невозможно в оснастке, например: применение безопасности компьютера при запуске, определение ограничения трафика при загрузке, определение уровня диагностика, соблюдение ограничений трафика по умолчанию, выполнение строгой проверки CRL, журналирование IKE (Oakley), изменение интервалов записи в журналы и создание постоянной политики.



1. Выполните команду входа в Netsh, а затем переведите утилиту в статический контекст:

  • 1. Выполните команду входа в Netsh, а затем переведите утилиту в статический контекст:

  • Netsh

  • NetshMpsec static

  • 2. Создайте политику на Computer1 командой:

  • Add policy name="telnet“ description="only allow negotiated telnet from computer2 to computerl“ activatedefaultrule=no mmsecroethods="3D ES-MD5-3”

  • В этой политике надо задать два правила. Одно блокирует весь telnet-трафик, а второе организует согласование telnet между Computer2 и Computer1. Перед созданием правил надо задать список фильтров, сами фильтры и действие фильтра. Если создать фильтр для несуществующего списка фильтра, список фильтров создается автоматически.



3. Создайте список с одним фильтром, который реагирует на telnet, а в качестве IP-адреса источника задайте 192.168.92.x2 (Computer2):

  • 3. Создайте список с одним фильтром, который реагирует на telnet, а в качестве IP-адреса источника задайте 192.168.92.x2 (Computer2):

  • Add filter filterlist="telnet computer2"

  • srcaddr=192.168.x.2 dstaddr=Me description="computer2 telnet to computerl“ protocol=TCP mirrored=yes srcmask=32 dstmask=32 srcport=0 dstport=23

  • 4. Следующая команда определяет действие фильтра, согласующего telnet между Computer2 и Computerl:

  • Add filteraction name="negotiate computer2 telnet"

  • qmpfs=no inpass=no soft=no action=negotiate qmsecmethods="ESP[3DES,MD5]“



5. Добавьте правило, управляющее согласованием telnet:

  • 5. Добавьте правило, управляющее согласованием telnet:

  • Add rule name="telnetN" policy="telnet"filterlist="telnet computer2“

  • filteraction="negotiate computer2 telnet"

  • Kerberos=yes description="this rule negotiates telnet if the source computer is computer2“

  • 6. Подготовьте список фильтров и действие фильтра для второго правила: создайте список с одним фильтром, который реагирует на telnet и запрещает telnet-трафик с любых компьютеров:

  • Add filter filterlist="blocktelnet"

  • srcaddr=Any dstaddr=Me description="all telnet to computerl“

  • protocol=TCP mirrored=yes srcmask=24 dstmask=24 srcport=0 dstport=23



7. Добавьте действие фильтра — блокировка telnet-трафика:

  • 7. Добавьте действие фильтра — блокировка telnet-трафика:

  • Add filteraction name="block all telnet" inpass=yes action=block

  • 8. Создайте правило, управляющее согласованием telnet:

  • Add rule name="telnetN" policy="telnet"filterlist="blocktelnet"

  • filteraction="block all telnet“

  • Kerberos=yes description="this rule negotiates telnet if the source computer is computer2"

  • 9. Назначьте политику:

  • set policy name=telnet assign=yes

  • 10. Войдите в систему Computer2 как Администратор (Administrator) и откройте окно командной строки.



11. Откройте контекст Netsh. На Computer2 надо задать один список фильтров, с одним фильтром и действием. Это позволит согласовать telnet-подключение с Computed. Сначала создайте политику командой:

  • 11. Откройте контекст Netsh. На Computer2 надо задать один список фильтров, с одним фильтром и действием. Это позволит согласовать telnet-подключение с Computed. Сначала создайте политику командой:

  • Add policy name="telnet"

  • description="only allow negotiated telnet to computeri from computer2"

  • activatedefaultrule=no mmsecrnethods="3D ES-MD5-3"

  • 12. Затем создайте список фильтров:

  • Add filter filterlist="telnet computeri"

  • srcaddr=Me dstaddr=192.168.x.2 description="computer2 telnet to computeri"

  • protocol=TCP mirrored=yes srcmask=32 dstmask=32 srcport=0 dstport=23



13. Далее создайте действие фильтра:

  • 13. Далее создайте действие фильтра:

  • Add filteraction name="negotiate computer2 telnet"

  • qmpfs=no inpass=no soft=no action=negotiate

  • 14. Теперь добавьте правило, управляющее согласованием telnet:

  • Add rule name="telnetN" policy="telnet"filterlist = "telnet computeri"

  • filteraction="negotiate computer2 telnet"

  • Kerberos=yes description="this rule negotiates telnet to computeri"

  • 15. Назначите политику. Помните, что в каждый момент времени активна только одна политика. Эту команду надо выполнить на обоих компьютерах.

  • set policy name=telnet assign=yes

  • 16. Закройте Netsh.



1. На любом из компьютеров запустите Netsh:

  • 1. На любом из компьютеров запустите Netsh:

  • Netsh

  • Netsh>ipsec static

  • 2. Командой Show проверьте активную политику, чтобы убедиться в успешности применения политики:

  • show policy name=telnet level=verbose

  • 3. Перейдите в динамический режим:

  • Dynamic

  • 4. Включите диагностику и запись всех событий (по умолчанию определено значение 0, то есть запись отключена):

  • set config property=ipsecdiagnostics value=7



5. Установите интервал IPSec в 60 сек.:

  • 5. Установите интервал IPSec в 60 сек.:

  • set config property=ipsecloginterval value=60

  • 6. Отобразите информацию об основном и быстром режиме сопоставления командами Show Mmsas All и Show Qmsas All соответственно.

  • 7. Введите quit, чтобы выйти из Netsh



1. Откройте оснастку Монитор IP-безопасности на обоих компьютерах.

  • 1. Откройте оснастку Монитор IP-безопасности на обоих компьютерах.

  • 2. Убедитесь, что активна назначенная вами политика IPSec. Ознакомьтесь с параметрами активной политики. Совпадают ли они с теми, что были заданы?

  • 3. Последовательно дважды щелкните подузлы Сопоставления безопасности (Security Associations) узлов Основной режим (Main Mode) и Быстрый режим (Quick Mode) . Этот позволит узнать, какой метод шифрования используется.

  • 4. Закройте окна.



1. На Computerl создайте файл Test1.txt, щелкнув правой кнопкой общую папку Shared Captures в Проводнике (Windows Explorer), выбрав Создать (New) и Текстовый документ (Text Document). Затем укажите имя файла — Test1. txt — и щелкните ОК.

  • 1. На Computerl создайте файл Test1.txt, щелкнув правой кнопкой общую папку Shared Captures в Проводнике (Windows Explorer), выбрав Создать (New) и Текстовый документ (Text Document). Затем укажите имя файла — Test1. txt — и щелкните ОК.

  • 2. На Computer2 откройте окно командной строки и выполните Netcap с буфером 1 Мб и сохраните записанные данные в файл C:\Authentication.cap :

  • netcap /с:c:\authentication.cap /n:0

  • 3. При включенной записи данных подключитесь к общей папке \\Computer1\Captures\ на контроллере домена и дважды щелкните файл Testl.txt, чтобы открыть его в Блокноте (Notepad).



4. Измените содержимое файла и попытайтесь сохранить его. Появится сообщение о запрещении доступа, так как по умолчанию группе Все (All) предоставлено разрешение только на чтение.

  • 4. Измените содержимое файла и попытайтесь сохранить его. Появится сообщение о запрещении доступа, так как по умолчанию группе Все (All) предоставлено разрешение только на чтение.

  • 5. В другом окне командной строки подключитесь по telnet к контроллеру домена командой:

  • telnet computer1

  • 6. Вернитесь в окно командной строки для Netcap и нажмите клавишу «пробел», чтобы остановить сбор данных. В окне отобразится информация о названии файла с записанными данными.

  • 7. Откройте файл с записями в Network Monitor и найдите информацию, подтверждающую чтение файла. Текст в файле должен отображаться открытым текстом.

  • 8. Найдите согласование ISAKMP и кадры ESP.

  • 9. Закройте файл записи данных и окно сетевого монитора.





Похожие:

Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2) iconАккредитация Координационным центром национального домена сети Интернет в домене. Ru – 14 ноября 2008г
Аккредитация Координационным центром национального домена сети Интернет в домене. Ru 14 ноября 2008г
Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2) iconЗаведующая кафедрой «Архитектура, строительство и дизайн», член Союза художников России, член международной ассоциации аиап «Юнеско»

Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2) iconКонстанти́н Алекса́ндрович Ке́дров (род. 12 ноября 1942, Рыбинск Ярославской область) русский поэт, доктор философских наук, философ и литературный критик
Член Союза писателей СССР (1989). Член исполкома Российского пен-клуба. Член Международного союза дворян по линии рода Челищевых...
Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2) iconСъгласувано определение Съгласувано определение
С пълен член поясненията на подлога; с кратък член другите думи в изречението
Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2) iconРебенок полноценный член общества; Ребенок полноценный член общества
Ж. ж руссо в своем произведении «Эмиль, или о воспитании»: «Природа желает, чтобы дети были детьми, прежде чем стать взрослыми»
Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2) iconЛомоносов художник Мозаика Михаила Васильевича Ломоносова
М. В. Ломоносова. М. В. Ломоносов первый русский академик Петербургской ан, член Академии художеств, почётный член Стокгольмской...
Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2) iconДействительный член Академии художеств России Действительный член Академии художеств России
Основатель Института Гималайских исследований «Урусвати» научного учреждения нового типа (после Центрально-Азиатской экспедиции 1925-1928...
Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2) iconОбщая схема управления электродвигателем: контроллер (вычислительная часть), усилитель (напряжения, тока), двигатель (исполнитель)

Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2) iconАссоциированный член школ юнеско по сохранению всемирного культурного наследия Ассоциированный член школ юнеско по сохранению всемирного культурного наследия
Базовое учреждение проектов и программ в области гражданского образования и государственно-общественного управления образованием...
Контроллер домена (Computer1) и рядовой член домена (Computer2) Контроллер домена (Computer1) и рядовой член домена (Computer2) iconУченик 10 в класса
Аппаратные средства (собственно само устройство ввода и управляющее устройство контроллер) для преобразования информации из формы...
Разместите кнопку на своём сайте:
hnu.docdat.com


База данных защищена авторским правом ©hnu.docdat.com 2012
обратиться к администрации
hnu.docdat.com
Главная страница