Опубликован: 11.08.2008 | Уровень: специалист | Доступ: платный | ВУЗ: Сибирская автомобильно-дорожная академия
Лекция 5:

Центр обеспечения безопасности (Windows Security Center) в операционной системе Windows XP SP2

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >

4.6. Лабораторная работа. Настройка брандмауэра

В этой лабораторной работе вы выполните настройку брандмауэра с помощью групповой политики и проверите его работу. В целях минимизации предварительных требований для выполнения работ будет использоваться групповая политика "Локальный компьютер". Компьютер client02 входит в рабочую группу (т. е. не введен в домен). Компьютер client01 может входить в рабочую группу или быть включенным в домен.

Предварительные требования

Для выполнения данной работы необходимо наличие двух (можно виртуальных) компьютеров под управлением Windows XP SP2 с настройками по умолчанию (в том числе - "брандмауэр Windows включен"). Один компьютер - client01 (IP=192.168.0.11/255.255.255.0). Второй компьютер - client02 (IP=192.168.0.12/255.255.255.0). Учетная запись администратора на обоих компьютерах - "Administrator", пароль - "P@ssw0rd".

Лабораторная работа 1 выполняется на компьютерах client01 (установка тестовых подключений с компьютером client02) и client02 (настройка брандмауэра, службы Telnet).

4.6.1. Упражнение 1. Проверка межсетевого взаимодействия

Вы проверите прохождение пакетов ICMP между компьютерами до и после отключения брандмауэра.

  1. Зарегистрируйтесь на компьютере client01 под учетной записью Administrator с паролем P@ssw0rd.
  2. Откройте командную строку. Для этого выполните команду "Пуск | Выполнить", введите cmd и нажмите OK.
  3. Выполните команду ping 192.168.0.12. Статистика обмена пакетами должна сообщить о 100%-ной потере пакетов. (Почему?)
  4. Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.
  5. Выключите брандмауэр. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра выберите вариант "Выключить" и нажмите OK. Вы сразу увидите уведомление Центра обеспечения безопасности "Безопасность компьютера может быть под угрозой. Брандмауэр не включен".
  6. Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.
  7. Выполните команду ping 192.168.0.12. Статистика обмена пакетами должна сообщить об отсутствии потерь пакетов. (Почему?)

4.6.2. Упражнение 2. Включение службы Telnet

Вы включите службу Telnet на компьютере client02, создадите учетную запись для подключения к ней. Проверите подключение к службе Telnet с компьютера client01.

  1. Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.
  2. Создайте учетную запись user3 с паролем P@ssw0rd. Для этого выполните команду "Пуск | Выполнить", введите compmgmt.msc, нажмите OK. Разверните узел "Локальные пользователи и группы". Откройте контекстное меню элемента "Пользователи" и выполните команду "Новый пользователь...". В поле "Пользователь" введите user3. Укажите пароль - "P@ssw0rd". Отключите параметр "Потребовать смену пароля при следующем входе в систему" и нажмите кнопку "Создать".
  3. Создайте группу TelnetClients и добавьте в эту группу учетную запись user3. Для этого откройте контекстное меню элемента "Группы" и выполните команду "Создать группу...quot;. В поле "Имя группы" введите TelnetClients. Нажмите кнопку "Добавить". В появившемся окне в поле "Введите имена выбираемых объектов" введите user3 и нажмите кнопку "OK". Нажмите кнопку "Создать".
  4. Изменим тип запуска службы Telnet с "Отключено" на "Вручную" и запустим ее. Для этого выполните команду "Пуск | Выполнить", введите services.msc, нажмите OK. В правой части окна найдите службу Telnet и дважды щелкните по ней левой кнопкой мыши. В появившемся окне выберите Тип запуска "Вручную". Нажмите кнопку "Применить". Нажмите кнопку "Пуск". Запомните значение параметра "Исполняемый файл" ( C:\WINDOWS\system32\tlntsvr.exe ). Это значение нам понадобится при настройке исключения в брандмауэре. Нажмите кнопку "OK".
  5. Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.
  6. Выполните команду telnet 192.168.0.12. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию … … Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер…" введите команду exit. Нам удалось подключиться к Telnet-серверу.
  7. Переключитесь на компьютер client02.
  8. Включите брандмауэр. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра выберите вариант "Включить" и нажмите OK.
  9. Выполните команду telnet 192.168.0.12. Должно появиться сообщение: "Подключение к 192.168.0.12… Не удалось открыть подключение к этому узлу, на порт 23: Сбой подключения". (Почему?)

4.6.3. Упражнение 3. Настройка исключения для порта

На компьютере client02 с помощью групповой политики "Локальный компьютер" вы настроите исключение для порта TCP 23 (разрешим входящие подключения на этот порт из локальной подсети) и проверите подключение к службе Telnet с компьютера client01.

  1. Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.
  2. Откройте редактор групповой политики "Локальный компьютер". Для этого выполните команду "Пуск | Выполнить", введите gpedit.msc, нажмите OK.
  3. Откройте узел "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Стандартный профиль".
  4. Включите параметр "Брандмауэр Windows: Защитить все сетевые подключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "OK".
  5. Отключите параметр "Брандмауэр Windows: Не разрешать исключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Отключен" и нажмите кнопку "OK".
  6. Включите параметр "Брандмауэр Windows: Задать исключения для портов". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "Показать…". Нажмите кнопку "Добавить…". В появившемся окне введите строку "23:TCP:localsubnet:enabled:Telnet Port". Нажмите кнопку "OK". Нажмите кнопку "OK".
  7. Применим групповую политику. Для этого выполните команду "Пуск | Выполнить", введите gpupdate, нажмите OK.
  8. Просмотрите параметры брандмауэра. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра на закладке "Общие" должно быть отображено "Некоторые параметры управляются групповой политикой", и все параметры должны быть заблокированы для изменения. На закладке "Исключения" должно появиться исключение "Telnet Port".
  9. Откройте командную строку. Для этого выполните команду "Пуск | Выполнить", введите cmd и нажмите OK.
  10. Проверим состояние службы Telnet и порт, который эта служба прослушивает. Для этого выполните команду tlntadmn. На экран будут выведены параметры службы Telnet. Обратите внимание на параметр "Порт Telnet" и "Состояние". Они должны быть равны 23 и Stopped соответственно.
  11. Запустим службу Telnet. Для этого выполните команду tlntadmn start. В случае успешного запуска на экран будет выведено "The service was started successfully".
  12. Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.
  13. Выполните команду telnet 192.168.0.12. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию ... ... Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер…" введите команду exit. Нам удалось подключиться к Telnet-серверу.

4.6.4. Упражнение 4. Настройка исключения для программы

Как вы видели в упражнении 2, службе Telnet соответствует исполняемый файл " C:\WINDOWS\system32\tlntsvr.exe ".

На компьютере client02 с помощью групповой политики "Локальный компьютер" вы настроите исключение для этого исполняемого файла (разрешим входящие подключения для этой программы из локальной подсети) и проверите подключение к службе Telnet с компьютера client01. После этого вы измените номер порта для службы Telnet на 1000 и проверите, что подключение к службе Telnet все еще возможно (брандмауэр сам определяет порт, по которому работает указанный исполняемый файл, и разрешает открытые им входящие подключения).

  1. Зарегистрируйтесь на компьютере client02 под учетной записью Administrator с паролем P@ssw0rd.
  2. Откройте редактор групповой политики "Локальный компьютер". Для этого выполните команду "Пуск | Выполнить", введите gpedit.msc, нажмите OK.
  3. Откройте узел "Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Windows, Стандартный профиль".
  4. Включите параметр "Брандмауэр Windows: Защитить все сетевые подключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "OK".
  5. Отключите параметр "Брандмауэр Windows: Не разрешать исключения". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Отключен" и нажмите кнопку "OK".
  6. Отключите параметр "Брандмауэр Windows: Задать исключения для портов". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Отключен" и нажмите кнопку "OK".
  7. Включите параметр "Брандмауэр Windows: Задать исключения для программ". Для этого дважды щелкните левой кнопкой мыши по этому параметру. В открывшемся окне выберите вариант "Включен" и нажмите кнопку "Показать…". Нажмите кнопку "Добавить…". В появившемся окне введите строку "%windir%\system32\tlntsvr.exe:localsubnet:enabled: Telnet server". Нажмите кнопку "OK". Нажмите кнопку "OK".
  8. Применим групповую политику. Для этого выполните команду "Пуск | Выполнить", введите gpupdate, нажмите OK.
  9. Просмотрите параметры брандмауэра. Для этого выполните "Пуск | Панель управления | Центр обеспечения безопасности | Брандмауэр Windows". В окне настроек брандмауэра на закладке "Общие" должно быть отображено "Некоторые параметры управляются групповой политикой", и все параметры должны быть заблокированы для изменения. На закладке "Исключения" должно появиться исключение "Telnet Server".
  10. Откройте командную строку. Для этого выполните команду "Пуск | Выполнить", введите cmd и нажмите OK.
  11. Проверим состояние службы Telnet и порт, который эта служба прослушивает. Для этого выполните команду tlntadmn. На экран будут выведены параметры службы Telnet. Обратите внимание на параметр "Порт Telnet". Он должен быть равен 23.
  12. Если параметр "Состояние" равен "Stopped", то запустите службу Telnet. Для этого выполните команду tlntadmn start. В случае успешного запуска на экран будет выведено "The service was started successfully".
  13. Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.
  14. Выполните команду telnet 192.168.0.12. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию ... ... Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер..." введите команду exit. Нам удалось подключиться к Telnet-серверу.
  15. Переключитесь на компьютер client02. Вернитесь в окно с командной строкой.
  16. Изменим порт для службы Telnet на значение 1000. Для этого выполните команду tlntadmn config port=1000. На экране должно появиться сообщение "Параметры успешно обновлены".
  17. Переключитесь на компьютер client01. Вернитесь в окно с командной строкой.
  18. Выполните команду telnet 192.168.0.12 1000. Должно появиться приветствие программы-клиента Microsoft Telnet. На вопрос "Вы намерены передать информацию ... ... Послать в любом случае (y/n)" введите n и нажмите "Enter". На запрос "login" введите user3. На запрос "password" введите P@ssw0rd. После появления сообщения "Вас приветствует Telnet-сервер..." введите команду exit. Нам удалось подключиться к Telnet-серверу на порт 1000, не меняя настроек брандмауэра.

4.8. Резюме

"Центр обеспечения безопасности Windows" является прекрасным примером дружественного интерфейса для контроля функционирования таких важных для безопасности компьютера компонентов, как "брандмауэр", "система автоматического обновления" и антивирусное ПО. Он информирует пользователя о состоянии этих компонентов и рекомендует пользователям, как выполнить их правильную настройку.

При подключении компьютера к домену "Центр обеспечения безопасности Windows" перестает уведомлять пользователя о проблемах с безопасностью Windows. Считается, что в этом случае параметрами безопасности должен управлять администратор домена [ [ 4.3 ] ] - например, через групповую политику.

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Татьяна Крыжановская
Татьяна Крыжановская
Украина, Одесса
Valeriya Gubareva
Valeriya Gubareva
Россия