Адміністрування малої локальної мережі
Проблема ефективного адміністрування мереж різного розміру і топології була завжди. Створювалися програми, адміністратори також писали програми самі, під свої потреби і т.п. Однак універсальну річ так і не створили. Звичайно, є маса гідних програм, які мають на увазі велику кількість операцій з хостами в мережі, однак ситуації передбачені не всі. В кінцевому підсумку в якийсь момент доводиться вдаватися до іншої утиліти.
Це було невелике відступ від теми, сьогодні мова не буде йти про утиліти, ну хіба що про те, як використовувати конкретні варіанти в налаштуванні мережі. Я розповім, яким чином налаштувати права на хостах мережі - так, щоб ніхто не зміг зробити будь-які операції, наприклад, знести деякі файли системи або, скажімо, поставити програму, яка не потрібна взагалі на цій машині. Для цього ми скористаємося допомогою звичайних методів тестування, при цьому хочу звернути вашу увагу, що на кожному хості робити наведені операції доведеться вручну, при цьому застосовані зміни будуть діяти виключно для користувачів. Загалом, не буду ходити навколо, почну.
Незважаючи на те, що робота буде вестися з-під учеткі користувача, все одно залишається ризик інсталяції деяких програм і / або видалення системних файлів. Для того, щоб не було таких проблем, необхідно зробити одну операцію. Вона налаштує права доступу до файлів на диску С: /.
Завдання: обмежити права на доступ і т.д. користувача до системного диску, але при цьому зберегти працездатність програм, що запускаються від імені користувача та встановлених на С: /. Запускаємо провідник і виконуємо наступні операції: Сервіс - Властивості папки - Вид - Використовувати простий спільний доступ до файлу (відключається). Після цього натискаємо правою клавішею миші по іконці диска С: і вибираємо з'явилася там вкладку Безпека, в ній натискаємо Додати і додаємо групу користувачі (або конкретного користувача), встановлюємо права так, як показано на рис.1, і готово. Якщо ви наробите помилок і з-під обліковим записом адміністратора доступ теж буде закритий, то поправити це досить просто, але зробити це можна виключно з адмінській правами. Там же, де і права, вибираємо додатково у вікні вкладку Власник. З доступних користувачів вибираємо прийнятного, ставимо галочку Змінити власника субконтейнерів і об'єктів та натискаємо Застосувати. Після закінчення обраний користувач матиме повний доступ до диска. Ще раз нагадаю, що це можна зробити тільки з-під обліковим записом адміністратора.
Заборона запуску додатків
Як вам сподобається, якщо крім усього іншого, користувач і програми запускати зможе тільки строго певні? Непогано, правда? Для цього нам знадобиться простий твикер. Я наведу приклад, використовуючи твикер XPTweaker. Отже, запускаємо програму і вибираємо меню Файли і диски, а там вкладку Програми. Встановлюємо значення Заборонити запуск додатків, крім зазначених у списку і вносимо ті програми, з якими можна працювати (рис.2). Таким чином систему найкраще налаштовувати, коли запис користувача має права адміністратора, так як ми налаштували запуск програм за допомогою твікера, забрали права адміністратора і наділили правами користувача, а інші настройки справили з-під облікового запису Адміністратор.
Ось ми і налаштували все. Залишилося тільки знайти програму, яка дозволить через мережу з адмінській комп'ютера контролювати файли, керувати віддаленим хостом і т.д. Таких програм безліч, перераховувати все я не буду (сказав ще на початку статті), відповім, як прийнято на форумах, гугл вам на допомогу. Розгляну я сьогодні всього одну, вона називається Remote Control Pro. Власне, можливості програми досить класичні для додатків такого роду. Це робота з файлами, управління віддаленим хостом з контрольного вікна, відстеження активності мережі, вимикання / перезавантаження віддаленого хоста, контроль / зміна активних процесів і т.д. Загалом, як і говорив - стандартно. Моя версія програми має англійську мову меню. Власне, я ніколи не пробував знайти версію з русифікацією, тому не можу сказати, чи є вона взагалі. Знову ж таки, вважаю, що, погуглити, можна знайти відповідь. Крім того, я б вам радив навчитися використовувати адміністраторські програми з англійським інтерфейсом, це істотно полегшить вам подальше життя.
Для початку необхідно встановити клієнтську частину на керований комп'ютер, це можна зробити, якщо вибрати перший пункт в меню Tools. Відкриється віконце, показане на рис.3, де вам необхідно буде ввести ip, ім'я хоста або вибрати комп'ютер з мережі. Ввести обліковий запис, з-під якої буде виконаний вхід і установка (це Адміністратор), пароль і слідувати вказівкам майстра.
Для установки з'єднання необхідно вибрати в меню connection пункт new. Ввести ім'я хоста або ip, натиснути Далі і вибрати Едвансед, а там Аутентификация (рис.4). Вводимо ім'я користувача та пароль, під якими будемо входити і підключатися до клієнтської частини, і готово.
Євген Кучук, q # 64; sa-sec.org SASecurity gr.