Windows Vista. Для профессионалов Клименко Роман
Отображение данного мастера можно запретить с помощью параметра REG_DWORD-типа DisableNetworkProjector, расположенного в ветви реестра HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\NetworkProjector. Для этого достаточно данному параметру присвоить значение 1.
• OptionalFeatures.ехе – отображает окно Компоненты Windows.
• p2phost.ехе – открывает окно Соседние пользователи.
• PresentationSettings.ехе – отображает окно Параметры режима презентации. Оно доступно только для пользователей ноутбуков. Кроме того, вы можете воспользоваться следующими параметрами данной программы:
– /stop – завершает работу модуля презентации;
– /start – запускает модуль презентации.
Примечание
Отображение данного окна можно запретить с помощью параметра REG_DWORD-типа NoPresentationSettings, расположенного в ветви реестра HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\PresentationSettings. Для этого достаточно данному параметру присвоить значение 1.
• SystemPropertiesAdvanced.ехе – отображает окно Свойства системы, открытое на вкладке Дополнительно.
• SystemPropertiesComputerName.exe – открывает окно Свойства системы на вкладке Имя компьютера.
• SystemPropertiesHardware.ехе – отображает окно Свойства системы, открытое на вкладке Оборудование.
• SystemPropertiesPerformance.exe – открывает вкладку Визуальные эффекты окна Параметры быстродействия.
• SystemPropertiesProtection.exe – отображает окно Параметры быстродействия.
• SystemPropertiesRemote.ехе – открывает окно Свойства системы на вкладке Удаленное использование.
• Tabcal.ехе – отображает окно калибровки компонента Tablet PC операционной системы Windows Vista (Средство калибровки дигитайзера).
• utilman.exe – открывает окно Центр специальных возможностей.
• Wuapp.exe – отображает окно Центр обновления Windows.
На этом закончим рассмотрение стандартных программ операционной системы Windows Vista.
Глава 5 Консоль упраления Microsoft
• Работа с консолью управления Microsoft
• Стандартные оснастки
Консоль управления Microsoft представляет собой программный интерфейс (набор функций Win32 API), а также оболочку, в контексте которой выполняются специально созданные программы (оснастки), позволяющие настраивать тот или иной компонент операционной системы и управлять им.
Кроме оснасток, в работе с консолью управления Microsoft часто используется такое понятие, как консоль. Она представляет собой отдельное окно консоли управления Microsoft, в которое уже при запуске загружается одна или несколько оснасток операционной системы Windows. Консоли представляют собой XML-файлы специального формата, имеющие расширение MSC. Каждая консоль, кроме загружаемых оснасток, характеризуется своей версией. Например, в операционной системе Windows ХР используются консоли второй версии.
В Windows Vista используется консоль управления Microsoft версии 6.0 (в Windows ХР – версия 5.1), которая имеет некоторые изменения по сравнению со своей предшественницей. Основное изменение заключается в том, что новая консоль управления Microsoft создает консоли третьей версии, тогда как предыдущими операционными системами используется вторая версия (то есть консоли Windows Vista не будут работать в Windows ХР). Хотя пока это только косметическое изменение. Как уже было сказано раньше, консоль представляет собой обычный XML-файл (текстовый), и если вы откроете консоль Windows Vista в Блокноте и измените ее версию (в теге ConsoleVersion=), то скорее всего данная консоль будет работать и в предыдущих версиях консоли управления Microsoft.
После запуска консоли управления Microsoft перед вами отобразится окно, представленное на рис. 5.1.
Рис. 5.1. Окно консоли управления Microsoft
Основное поверхностное отличие данной версии консоли управления Microsoft от предыдущих версий заключается в новом поле Действия, которое можно видеть на рис. 5.1. Данное поле дублирует собой назначение содержимого меню Действия.
Если же появление нового поля Действия вам много радости не доставило, то его отображение можно запретить. Однако это можно сделать только для каждой оснастки по отдельности. Например, чтобы запретить отображение поля Действия для оснастки Папка (она является единственной, которая загружается вместе со всеми консолями, а также вместе с консолью управления Microsoft), нужно присвоить параметру REG_DWORD-типа SuppressActionsPane, расположенному в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\SnapIns\ {C96401CC-0E17-11D3-885B-00C04F72C717}, значение 1. После этого консоль управления Microsoft больше не будет содержать поля Действия, но как только вы загрузите в нее новую оснастку, для которой не запрещено отображение этого поля, и перейдете в нее, поле Действия опять появится.
Если же необходимо запретить отображение поля Действия для всех оснасток консоли управления Microsoft, то достаточно снять флажок Панель действия в окне Настройка вида. Это окно отображается после выбора команды Настроить из меню Вид.
С помощью подраздела системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\MMC\SnapIns можно также запретить отображение расширенного окна оснастки (отображение слева от содержимого оснасток описания выделенного в данный момент элемента). Если вы не обладаете большим монитором и не используете огромные разрешения экрана, то используемый по умолчанию расширенный вид оснасток может только мешать, занимая ненужным описанием лишнее место. В этом случае достаточно удалить подраздел {B708457E-DB61-4C55-A92F-0D4B5E9B1224} из указанной ветви реестра , чтобы консоль управления Microsoft приобрела стандартный вид, используемый в Windows 2000.5.1. Работа с консолью управления Microsoft
Чтобы добавить оснастку к консоли управления Microsoft, нужно в меню Файл выбрать команду Добавить/Удалить оснастку (или нажать комбинацию клавиш CtrL+M). После этого отобразится окно Добавление и удаление оснастки. По сравнению с предыдущими версиями консоли управления Microsoft, это окно очень изменилось (рис. 5.2).
Рис. 5.2. Окно Добавление и удаление оснастки
Чтобы добавить оснастку к консоли управления Microsoft, нужно дважды щелкнуть кнопкой мыши на нужной оснастке, расположенной в поле Доступные оснастки. После этого может отобразиться окно настройки новой оснастки, и она появится в поле Выбранные оснастки.
Кроме добавления оснасток, с помощью данного окна можно определить расширения, содержащиеся в оснастке, которые будет разрешено использовать. Для этого служит кнопка Изменить расширения. В окне Добавление и удаление оснастки можно также настроить дополнительные параметры добавления оснастки, например добавление оснастки не в корень оснасток, а в выбранную в данный момент папку. Для этого применяется кнопка Дополнительно.
После того как вы выберете нужные оснастки и настроите их, нужно нажать кнопку ОК, и выбранные оснастки отобразятся в консоли управления Microsoft. Когда вы закончите работу с нужными оснастками и попытаетесь закрыть консоль управления Microsoft, она спросит у вас, хотите ли вы создать новую консоль на основе загруженных в данный момент оснасток. Все пользовательские консоли сохраняются в каталоге %userprofile%\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Administrative Tools.
Однако не всегда можно загрузить выбранную вами оснастку. С помощью групповых политик можно запретить запуск определенных из них. Для этого применяется подраздел групповых политик Конфигурация пользователя Административные шаблоны Компоненты Windows Консоль управления (ММС) Запрещенные и разрешенные оснастки. Групповые политики данного подраздела для запрета запуска определенной оснастки создают параметр REG_DWORD-типа Restrict_Run в ветви реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\ {CLSID-номер оснастки} и присваивают ему значение 1.
В подразделе Конфигурация пользователя Административные шаблоны Компоненты Windows Консоль управления (ММС) можно также встретить следующие групповые политики, которые изменяют параметры REGDWORD-типа ветви реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC:
• Запретить пользователям использовать авторский режим – установка данной политики изменяет значение параметра реестра RestrictAuthorMode, что запрещает запуск консолей в авторском режиме, а также запуск программы mmc.ехе;
• Ограничить пользователей списком явно разрешенных оснасток – установка этой политики изменяет значение параметра реестра RestrictToPermittedSnapins, что запрещает запуск любых оснасток операционной системы.
Вы уже узнали, как добавить оснастку в консоль управления Microsoft. Но как же хранятся сведения об оснастках в реестре? Каждая оснастка представляет собой ActiveX-объект, настройки которого хранятся в соответствующем подразделе корневого раздела HKEY_CLASSES_ROOT. Но присутствие подраздела оснастки в данном корневом разделе еще не говорит о том, что оснастка отобразится в окне Добавление и удаление оснастки. Список всех оснасток, доступных консоли управления Microsoft, хранится в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ MMC\SnapIns. Он содержит набор дочерних подразделов, названных в честь CLSID-номера оснастки. Каждый из них может хранить следующие параметры.
• About – этот параметр строкового типа указывает CLSID-номер ActiveX-объекта, который определяет окно, отображаемое после выбора команды 0 программе из меню Справка консоли.
• DisableWatson – имеет тип REG_DWORD и определяет, будут ли ошибки в работе данной оснастки найдены стандартной отладочной программой Windows Vista.
• NameStringlndirect – этот параметр строкового типа содержит название оснастки, отображаемое в окне Добавление и удаление оснастки. Если же данный параметр отсутствует в ветви реестра , то название оснастки определяется параметром строкового типа NameString.
• Provider – имеет строковый тип и определяет создателя этой оснастки.
• SuppressActionsPane – этот параметр RE_DWORD-типа определяет, будет ли для данной оснастки отображаться поле Действия.
• Version – параметр имеет строковый тип и определяет версию этой оснастки.
Кроме того, в разделе оснастки могут находиться два дочерних подраздела. Первый называется StandAlone. Если он присутствует в разделе оснастки, то она будет отображаться в окне Добавление и удаление оснастки. Второй же называется NodeTypes. Он определяет CLSID-номер ActiveX-объектов расширений (эти объекты описаны в соответствующих подразделах ветви реестра HKEY_LOCAL_MACHINE\ SOFTWARE\Microsof t\MMC\NodeTypes), которые входят в состав данной оснастки. Именно список этих расширений можно отредактировать с помощью кнопки Изменить расширения окна Добавление и удаление оснастки.5.2. Стандартные оснастки
Большинство оснасток операционной системы Windows Vista перешли из предыдущих версий данной операционной системы. Поэтому, несмотря на то что некоторые из них существенно изменились, пользователь, уже имевший дело с оснастками предыдущих версий, легко разберется в оснастках Windows Vista.
Интерфейс некоторых стандартных оснасток операционной системы изменился, однако их функциональные возможности остались на том же уровне, поэтому нельзя сказать о чем-то кардинально новом в оснастках Windows Vista. Однако пользоваться ими так же удобно и легко, как и раньше.
На страницах данной книги мы подробно рассмотрим не только новые оснастки, но и те, которые уже были в предыдущих версиях Windows и, как показала практика, работа с которыми затруднительна для рядового пользователя. Остальные же оснастки будут рассмотрены лишь поверхностно.
Работа с файлами и файловой системой
Сертификаты
CLSID-номер оснастки: {53D6AB1D-2488-11D1-A28C-00C04FB94F17}.
Библиотека: certmgr.dll.
Используется в стандартных консолях: certmgr.msc.
С помощью оснастки Сертификаты можно управлять следующими сертификатами: пользовательскими, удаленной или локальной службы, а также локального или удаленного компьютера.
Выбрать, какие именно сертификаты нужно загрузить, можно при добавлении оснастки Сертификаты в консоль управления Microsoft. При этом отобразится окно настройки оснастки, содержащее переключатель Эта оснастка всегда будет управлять сертификатами для, который можно установить в любое из следующих положений: моей учетной записи пользователя, учетной записи службы, учетной записи компьютера. Если вы выберете управление сертификатом службы или сертификатом компьютера, то следующим шагом мастера будет выбор компьютера, к которому нужно подключиться. Если вы выберете управление сертификатом службы, то на выборе компьютера работа мастера не закончится – после этого также нужно будет выбрать из списка конкретную службу.
Независимо от того, чьи сертификаты вы загружаете, окно оснастки Сертификаты будет содержать следующие подразделы.
• Личные – содержит персональные сертификаты. По умолчанию они есть только у пользователей и у компьютера. Персональный сертификат компьютера удостоверяет его сетевое имя. У пользователей же существует два персональных сертификата. Первый из них принадлежит шифрованной файловой системе EFS. Второй же определяет доверительные отношения в одноранговых сетях.
• Доверенные корневые центры сертификации – включает в себя сертификаты доверенных корневых центров, среди которых есть сертификаты не только известных центров сертификации Интернета, но и сертификат локального компьютера. Список таких сертификатов по умолчанию одинаков как для пользователей или служб, так и для компьютера.
• Доверительные отношения в предприятии – хранит сертификаты, определяющие доверительные отношения в предприятии. По умолчанию данный раздел пуст.
• Промежуточные центры сертификации – содержит сертификаты основных промежуточных центров сертификации. Этот раздел включает в себя два подраздела: Список отзыва сертификатов и Сертификаты. Первый из них определяет список отзыва сертификатов, а второй – сертификаты промежуточных центров. Данные списки по умолчанию одинаковы как для пользователей или служб, так и для компьютера.
• Объект пользователя Active Directory – хранит сертификаты объектов пользователя Active Directory. Если ваш компьютер не входит в домен Active Directory, то данный список будет пуст.
• Доверенные издатели – определяет список доверенных издателей, сертификаты которых будут считаться истинными.
• Сертификаты, к которым нет доверия – определяет список сертификатов, которым доверять нельзя. По умолчанию данный раздел содержит несколько сертификатов Microsoft с истекшим временем жизни.
• Сторонние корневые центры сертификации – указывает сертификаты сторонних корневых центров сертификации.
• Доверенные лица – определяет сертификаты пользователей, которым можно доверять. По умолчанию доверенным пользователем является ваша учетная запись.
• Доверенные корневые сертификаты смарт-карты – указывает доверенные сертификаты смарт-карт.
Вы также можете выполнить поиск определенного сертификата, вместо того чтобы искать его в одном из подразделов. Для этого в контекстном меню раздела оснастки Сертификаты (или ее определенного подраздела) нужно выбрать команду Поиск сертификатов. После этого отобразится окно, с помощью которого можно выполнить поиск на основе введенной строки текста. При этом поиск может вестись в имени того, кому выдан сертификат (элемент Кому выдан раскрывающегося списка Искать в поле) или кем выдан сертификат (Кем выдан), в серийном номере сертификата (Серийный номер), а также в хэше MD5 (Хэш MD5) или SHA1 (Хэш SHA1).
Если вы нашли нужный вам сертификат, то с помощью его контекстного меню можно выполнить такие задачи, как просмотр сведений о нем (кому и кем выдан, серийный номер, когда выдан и на какой срок, хэши сертификата, является ли на данный момент действующим и т. д.), просмотр параметров работы сертификата, а также экспортирование сертификата.
Чтобы просмотреть сведения о сертификате, нужно выбрать команду Открыть.
Чтобы просмотреть параметры сертификата, нужно выбрать команду Свойства. После этого отобразится окно, представленное на рис. 5.3. С помощью вкладки Общие можно изменить название сертификата и его описание, а также выбрать те из доступных назначений сертификата, которые будут действовать на вашем компьютере. С помощью вкладки Перекрестные сертификаты можно указать дополнительные адреса, из которых будет выполняться загрузка перекрестных сертификатов.
Рис. 5.3. Настройка параметров работы сертификата
Чтобы экспортировать сертификат, нужно выбрать команду Все задачи Экспорт. Сертификат можно и импортировать. Для этого нужно в контекстном меню дочернего подраздела оснастки Сертификаты выбрать команду Все задачи Импорт.
Программа certreq.exe
Расположение: %systemroot%\system32\certreq.ехе.
Для работы с центром сертификатов можно использовать новую программу командной строки certreq.ехе. Описание ее возможностей можно просмотреть, используя команду certreq /?. Основные же способы применения данной программы описаны ниже.
• CertReq – отправляет запрос к центру сертификации. После ввода данной команды отобразится окно выбора файла запроса.
• CertReq – Submit <файл запроса> – отправляет запрос к центру сертификации. Для просмотра дополнительных параметров данной команды введите CertReq – Submit —?.
• CertReq – Retrieve – ^идентификатор запроса> – возвращает ответ на предыдущий запрос к центру сертификации. Для просмотра дополнительных параметров данной команды введите CertReq – Retrieve —?.
• CertReq – New – создает новый запрос на основе INF-файла настроек запроса. Можно как указывать путь к INF-файлу в данной команде, так и не указывать. Если INF-файл указан не будет, то после ввода команды отобразится окно выбора INF-файла. Для просмотра дополнительных параметров данной команды введите CertReq – New —?.
• CertReq – Accept <-machine или – user> – устанавливает полученный сертификат PKCS #7 или Х.509 в контексте данного компьютера или текущего пльзователя. В данной команде можно как указывать путь к сертификату, так и не указывать. Если сертификат не указан, то после ввода команды отобразится окно выбора сертификата. Для просмотра дополнительных параметров данной команды введите CertReq – Accept —?.
• CertReq – Policy – создает взаимное свидетельство или квалифицированный запрос для существующего файла запроса. В данной команде можно как указывать путь к запросу, так и не указывать. Если путь к запросу не указан, то после ввода команды отобразится окно выбора файла запроса. Для просмотра дополнительных параметров данной команды введите CertReq – Policy —?.
• CertReq – Sign – подписывает файл запроса. В данной команде можно как указывать путь к файлу запроса, так и не указывать. Если путь к запросу не указан, то после ввода данной команды отобразится окно выбора файла запроса. Для просмотра дополнительных параметров данной команды введите CertReq – Sign —?.Программа certutil.exe
Расположение: %systemroot%\system32\certutil.ехе.
Если предыдущая программа командной строки была предназначена только для работы с центром сертификации, то эта предназначена для работы с сертификатами и службой сертификатов домена Active Directory. Она поддерживает очень большое количество возможностей и предназначена для работы в домене, поэтому на страницах данной книги параметры этой программы описаны не будут. Описание всех возможностей программы можно просмотреть, введя команду certutil /?.
При работе с программой может понадобиться просмотр ее файла журнала. Он расположен в каталоге %systemroot% и имеет название certutil.log.
Управление дискамиCLSID-номер оснастки: {dbfca500-8c31-11d0-aa2c-00a0c92749a3}.
Библиотека: dmdskmgr.dll.
Используется в стандартных консолях: compmgmt.msc, diskmgmt.msc.
С помощью данной оснастки можно добавить, удалить или отредактировать параметры разделов жесткого диска, установленного на компьютере. С ее помощью вы можете увеличивать размер тома (для динамических дисков), форматировать разделы, изменять файловую систему, изменять букву диска, изменять активный раздел (раздел, который содержит загрузочные файлы, его также называют системным).
Работа с данной оснасткой, как и ее интерфейс, совершенно не изменились. При добавлении оснастки вы можете выбрать компьютер, информацию которого она должна отображать. После этого оснастка будет добавлена.
Оснастка Управление дисками имеет одно расширение, которое можно отключить. Это расширение VSSUI.
Общие папкиCLSID-номер оснастки: {58221C65-EA2 7-11CF-ADCF-0 0AA0 0A8 0 033}.
Библиотека: filemgmt.dll.
Используется в стандартных консолях: compmgmt.msc, f smgmt.msc.
С помощью данной оснастки можно просмотреть список общих папок данного компьютера, а также список открытых по сети в данный момент файлов и список созданных сетевых сессий. Используя оснастку Общие папки, можно создавать, удалять или редактировать параметры общих папок.
Перед загрузкой оснастки ее нужно настроить. Для этого предназначен мастер. Он предложит вам указать компьютер, данные которого будут загружены в оснастку, а также те из частей оснастки, которые будут отображаться (либо только папки общего доступа, сессии или открытые файлы, либо все вместе).
Работа с оснасткой Общие папки операционной системы Windows Vista полностью аналогична работе с оснасткой предыдущих версий Windows, поэтому на страницах данной книги мы не будем рассматривать ее работу.
В операционной системе Windows Vista присутствует стандартная программа командной строки предыдущих версий Windows openf iles.ехе (Расположение: %systemroot% \system32\openfiles.exe). С ее помощью также можно просмотреть список открытых в данный момент файлов общих каталогов. Для этого применяется команда openf iles.ехе /query. А с помощью команды openfiles.exe/disconnect <параметры> можно завершить работу определенного пользователя с открытым в данный момент ресурсом общего доступа. Описание ее параметров можно отобразить с помощью команды openfiles.exe/disconnect /?.
Кроме того, в Windows Vista данная программа стала поддерживать новый параметр – /Local. Если воспользоваться командой openf iles.ехе/Local on, то программа openfiles.exe будет отображать не только список открытых файлов из каталогов общего доступа, но и список локальных открытых файлов. Выполнение приведенной выше команды присваивает значение 4 0 0 0 параметру REG_DWORD-типа GlobalFlag ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Session Manager.
Работа с сетью
Монитор IP-безопасностиCLSID-номер оснастки: {57C596D0-9370-40C0-BA0D-AB491B63255D}.
Библиотека: ipsmsnap.dll.
Используется в стандартных консолях: нет.
Оснастка Монитор IP-безопасности также практически не изменилась. Основным ее назначением является слежение за работой локальной политики IP-безопасности, назначаемой оснасткой Локальные параметры безопасности. Однако с помощью команды Добавить компьютер контекстного меню раздела оснастки можно выбрать удаленный компьютер, работу политик которого нужно проконтролировать.Примечание
Сведения о работе драйвера IPSec можно просмотреть с помощью счетчиков производительности объекта IPSec Driver. Благодаря ему можно узнать те же сведения, что и с помощью статистики данной оснастки.
Можно также воспользоваться счетчиками объектов Generic IKE and AuthIP, IPSec AuthlPv4, IPSec AuthlPv6, IPSec IKEv4 и IPSec IKEv6.
Оснастка не имеет расширений и каких-нибудь параметров, настраиваемых при ее загрузке в консоль управления Microsoft, поэтому после загрузки оснастки перед вами отобразится ее основное окно (рис. 5.4). Мы не будем подробно рассматривать работу данной оснастки, но кратко описать ее возможности все же стоит.
Оснастка Монитор IP-безопасности состоит из следующих разделов.
• Активная политика – это новый раздел, которого не было в оснастке для операционных систем Windows ХР. Он отображает такие сведения о применяемой в данный момент политике, как ее название, описание, дата последнего изменения, хранилище политики, а также остальные сведения, используемые при работе вашего компьютера в составе домена Active Directory.
Рис. 5.4. Окно оснастки Монитор IP-безопасности
• Основной режим – определяет параметры работы протокола IPSec в основном режиме. Раздел включает в себя следующие подразделы.
– Универсальные фильтры – отображает сведения о применяемом фильтре (о его настройках).
– Специальные фильтры – содержит список специальных фильтров, отдельно для входящих и исходящих пакетов.
С помощью контекстного меню данного подраздела можно выполнить поиск совпадающих фильтров. Для этого нужно воспользоваться командой Найти совпадающие фильтры.
В отображенном после выбора команды окне можно ввести IP-адрес, порт узла источника и узла назначения, используемый протокол, а также указать, среди фильтров для каких пакетов будет выполняться поиск (входящих или исходящих) (рис. 5.5).
– Политики IKE – содержит применяемое в данный момент действие политики IKE.
– Статистика – определяет общую статистику, например статистику по основному и быстрому режиму, а также общее количество принятых пакетов и количество поврежденных пакетов.
– Сопоставление безопасности – содержит список сопоставлений безопасности.
• Быстрый режим – определяет параметры работы протокола IPSec в быстром режиме. Раздел включает в себя те же подразделы, что и раздел Основной режим.
Рис. 5.5. Окно поиска совпадающих фильтров
Единственным его отличием является то, что его подраздел Статистика определяет сведения о других статистических параметрах. Например, к ним относятся следующие сведения, определяющие количество:
• активных сопоставлений безопасности (SA);
• разгруженных сопоставлений безопасности;
• незаконченных операций с ключами;
• удаленных ключей;
• повторно сгенерированных ключей;
• активных туннелей;
• поврежденных пакетов SPI;
• незашифрованных или непроверенных пакетов;
• и т. д.
Локальные параметры безопасностиCLSID-номер оснастки: {DEA8AFA0-CC85-11d0-9CE2-0080C7221EBD}.
Библиотека: ipsecsnp.dll.
Используется в стандартных консолях: secpol.msc.
С помощью предыдущей оснастки мы выполняли мониторинг работы политик IPSec, однако если вы не создали ни одной политики IPSec, то мониторинг ни к чему не приведет. Как раз для создания политик IPSec и служит оснастка Локальные параметры безопасности.
При ее загрузке можно указать компьютер, политики которого будут настраиваться, после чего формирование настроек оснастки будет закончено. Оснастка не имеет расширений.Создание политики IPSec
Если вы в первый раз запускаете данную оснастку, то ее основное окно будет пустым и вам сначала придется создать новую политику. Для этого нужно воспользоваться командой Создать политику безопасности IP контекстного меню раздела оснастки. После этого отобразится Мастер политики IP-безопасности, который предложит вам ввести название новой политики, ее описание, указать, будет ли при установлении соединения использоваться правило по умолчанию, а также способ аутентификации соединения. Возможна аутентификация с помощью протокола Kerberos (может применяться при подключении вашего компьютера к домену Active Directory), с помощью сертификата (может применяться, если в вашей сети имеется центр сертификации) или с помощью пароля. После того как вы укажете способ аутентификации, работа мастера создания политики будет завершена. Заметьте, что в последнем окне мастера установлен флажок Изменить свойства. Если вы его не снимете, то после завершения работы мастера отобразится окно свойств созданной вами политики. Конечно, его можно будет отобразить и потом, выбрав команду Свойства из контекстного меню созданной политики.
Окно свойств имеет две вкладки: Правила и Общие.
• Правила – с помощью данной вкладки можно создать правила политики или изменить параметры уже созданного правила. По умолчанию уже будет создано правило, которое разрешает соединяться со всеми компьютерами без использования туннелирования, но на основе выбранного ранее метода аутентификации. Чтобы изменить это правило, нужно нажать кнопку Изменить, после чего отобразится окно Свойства: Изменить правило, состоящее из вкладок Методы безопасности и Методы проверки подлинности. С помощью вкладки Методы безопасности можно выбрать, будет использоваться только создание контрольной суммы каждого переданного пакета или также будет выполняться шифрование каждого пакета. С помощью вкладки Методы проверки подлинности можно изменить способ аутентификации компьютера источника и компьютера назначения.
Можно также воспользоваться кнопкой Добавить, чтобы создать новое правило. После этого запустится мастер, который предложит вам указать IPv4 и 1Ру6-адрес компьютера, если вы хотите организовать туннель, выбрать сеть, для которой будет применяться правило (любое сетевое соединение, соединение в пределах локальной сети или удаленное соединение), создать новые фильтры или выбрать уже созданный фильтр, создать способ взаимодействия с фильтром и выбрать способ аутентификации.
• Общие – позволяет изменить название и описание политики, а также определить интервал обновления политики и настроить такие параметры ключей PFS, как количество сессий или минут, после которого будет генерироваться новый ключ PFS, а также алгоритм шифрования, который будет использоваться для ключа PFS.
Все политики IPSec, создаваемые с помощью данной оснастки, хранятся как подразделы с именами вида ipsecPolicy{CLSID-номер} ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\MicrosoftWindows\IPSec\ Policy\Local.Создание фильтров политики
Но, кроме политики, нужно также создать один или несколько фильтров и действия при их применении. Это можно сделать как в процессе создания нового правила, как было сказано раньше, так и с помощью команды Управление списками 1Р-фильтра и действиями фильтра контекстного меню раздела оснастки Локальные параметры безопасности. После ее выбора отобразится одноименное окно, которое имеет две вкладки: Управление списками фильтров IP и Управление действиями фильтра.
• Управление списками фильтров IP – позволяет создать новый фильтр в списке фильтров (кнопка Добавить) или изменить параметры уже существующего (кнопка Изменить). При создании нового фильтра вам предложат указать адреса возможных компьютеров-источников и компьютеров-назначений, пакеты которых не будут отбрасываться, а также тип используемого протокола.
• Управление действиями фильтра – дает возможность создать новое действие (кнопка Добавить) или изменить параметры уже существующего (кнопка Изменить). При создании нового действия нужно указать, будут пакеты, подходящие под критерии фильтра, пропускаться, отбрасываться или для них будет отключена политика безопасности, будет ли разрешено создание небезопасного подключения, если безопасное подключение не поддерживается, будет использоваться только проверка целостности пакетов или также будет выполняться их шифрование.
Все фильтры, создаваемые с помощью данной оснастки, хранятся как подразделы с именами вида ipsecFilteriCLSID-номер} ветви системного реестра Windows HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof t Windows\ IPSec\ Policy\Local.Установка политики по умолчанию
После того как вы создадите политику, ее нужно установить для использования по умолчанию. Для этого в контекстном меню политики нужно выбрать команду Назначить. После этого все соответствующие политике соединения будут устанавливаться с помощью протокола IPSec, а оснастка Монитор IP-безопасности будет отображать параметры работы созданной вами политики. Если же нужно отключить политику, чтобы больше не использовались безопасные подключения, достаточно в контекстном меню политики выбрать команду Снять.
Название политики, используемой по умолчанию, хранится в параметре строкового типа ActivePolicy ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows\IPSec\Policy\Local.
Конфигурация клиента NAPCLSID-номер оснастки: {albc4eca-66b2-44e8-9915-be02e84438ba}.
Библиотека: napsnap.dll.
Используется в стандартных консолях: NAPCLCFG.MSC.
Данная оснастка является нововведением операционной системы Windows Vista. С ее помощью можно настроить параметры работы компонента NAP операционной системы, позволяющего блокировать сетевой доступ к вашему компьютеру другим компьютерам, не удовлетворяющим определенным вами требованиям. Учтите, что для работы механизма NAP необходимо, чтобы работала служба Агент защиты сетевого доступа.
При загрузке оснастки вам будет предложено подключиться к используемой базе данных механизма NAP локального компьютера или создать новую базу данных (или выбрать уже существующую, но не используемую по умолчанию).
Основное окно оснастки представлено на рис. 5.6.
Рис. 5.6. Окно оснастки Конфигурация клиента NAP
Оснастка состоит из следующих подразделов: Клиенты системы ограничений, Параметры интерфейса пользователя, Параметры регистрации работоспособности. Далее мы рассмотрим их подробнее. Но сначала обратите внимание на команду Свойства контекстного меню раздела оснастки. С ее помощью отображается окно, в котором можно включить журналы трассировки для механизма NAP, а также указать режим трассировки: базовый, дополнительный или режим отладки.
Примечание
Сведения о работе механизма NAP заносятся в журнал Журналы приложений и служб Microsoft Windows Network Access Protection.
Подраздел Клиенты системы ограничений
Данный подраздел содержит в себе набор различных клиентов, доступ к которым можно ограничить на основе указанных в подразделе Параметры регистрации работоспособности правил. По умолчанию присутствуют следующие клиенты:
• Клиент принудительного карантин для DHCP – имеет идентификатор 79617 и определяет клиентов DHCP;
• Клиент принудительного карантина для удаленного доступа – его идентификатор равен 79618, определяет клиентов удаленного доступа;
• Сторона, использующая IPSec – имеет идентификатор 79619 и определяет клиентов, работающих через протокол IPSec;
• Клиент принудительного карантина шлюза сервера терминалов – его идентификатор равен 79621, определяет клиентов шлюза терминальной службы;
• Клиент принудительного карантина для ЕАР – имеет идентификатор 79623 и определяет клиентов ЕАР.
По умолчанию на указанные выше клиенты не распространяются правила механизма NAP. Чтобы указать применения правил для одного из клиентов, нужно в его контекстном меню выбрать команду Включить.
Сведения о клиентах, которые доступны в оснастке, находятся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\napagent\ Qecs. Каждый клиент имеет в данной ветви реестра свой подраздел, название которого соответствует идентификатору клиента. В этих подразделах находятся общие сведения о клиентах. А вот информация о том, включен клиент или нет, содержится в других подразделах – в параметре REG_DWORD-типа Enabled подразделов, названных в честь идентификатора клиента, ветви реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\napagent\LocalConfig\Qecs.
Подраздел Параметры интерфейса пользователя
С помощью данного подраздела можно указать изображение и имя, которое будет отображаться напротив одного из подключенных в данный момент клиентов, для которых действуют правила NAP. Для этого применяется команда Свойства контекстного меню элемента Параметры интерфейса пользователя.
Сведения, устанавливаемые с помощью данного подраздела, содержатся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ napagent\LocalConfig\UI\1049.Подраздел Параметры регистрации работоспособности
Данный подраздел позволяет настроить правила, которые будут применяться для включенных с помощью подраздела Клиенты системы ограничений клиентов, а также группу, которая сможет обходить созданные правила. Он содержит следующие дочерние подразделы: Политика запроса и Группы доверенных серверов.
Подраздел Политика запроса включает в себя следующие правила.
• Алгоритм хэширования – дает возможность указать алгоритм, который должен использоваться при создании хэша. По умолчанию используется алгоритм shalRSA, но можно выбрать один из алгоритмов MD5, MD4, MD2 и т. д.
• Поставщик службы криптографии – позволяет указать службу криптографии, которую клиент должен использовать при подключении. По умолчанию используется служба Microsoft RSA Schannel Cryptographic Provider.
С помощью подраздела Группы доверенных серверов можно указать группу компьютеров, которые могут подключаться к включенным клиентам подраздела Клиенты системы ограничений, даже если их настройки не соответствуют указанным в правилах параметрам. Для этого в контекстном меню подраздела нужно выбрать команду Создать, после чего в отобразившемся мастере следует указать название группы, а также добавить в нее IP– или URL-адреса компьютеров.
Параметры создаваемых с помощью данного подраздела групп содержатся в подразделах ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\napagent\LocalConfig\Enroll\HcsGroups\<Ha3BaHMe группы>.
Окно Защита сетевого доступаРасположение: %systemroot%\system32\NAPSTAT.ехе.
Кроме оснастки Конфигурация клиента NAP, для работы с компонентом NAP операционной системы можно также использовать программу napstat.ехе. С ее помощью можно просмотреть текущее состояние работы данного компонента, а также список сетевых подключений, которые разрешены или запрещены NAP.
После запуска программы в области уведомлений появится сообщение о том, запущен ли в данный момент компонент NAP. Если служба Агент защиты сетевого доступа в данный момент не запущена, то не будет работать и компонент NAP. Контекстное меню данного напоминания содержит две команды: Защита сетевого доступа и Папка сетевых подключений. С помощью первой можно отобразить одноименное окно, которое определяет, имеете ли вы доступ к сетевой среде. С помощью же второй команды отображается окно Сетевые подключения, содержащее список сетевых подключений и адаптеров, которые установлены на вашем компьютере.Работа с компонентом NAP с помощью классов WMI
Если вы знакомы с инструментарием управления Windows, то получить доступ к NAP сможете и в создаваемых вами сценариях или с помощью таких стандартных программ операционной системы, как wbemtest.ехе и WMIC. Для этого в операционной системе Windows Vista появилось новое пространство имен \\root\ NAP. Оно включает в себя три класса: NAP_Client, NAP_SystemHealthAgent и NAP EnforcementClient.
• NAPClient – управляет работой службы операционной системы Агент защиты сетевого доступа. По умолчанию в репозитарии CIM существует один экземпляр данного класса, имеющий название @. Он поддерживает следующие свойства, доступные только для чтения.
– Description – содержит описание службы Агент защиты сетевого доступа. Тип: string.
– fixupURL – определяет URL-адрес, если клиенту запрещен доступ к компьютеру. Тип: string.
– Name – содержит название службы Агент защиты сетевого доступа. Тип: string.
– napEnabled – определяет, запущена ли служба Агент защиты сетевого доступа в данный момент. Тип: boolean.
– napProtocolVersion – указывает версию протокола, используемого службой Агент защиты сетевого доступа. Тип: string.
– probationTime – определяет время истечения испытательного срока, если клиент NAP находится на нем. Тип: string.
– systemlsolationState – указывает состояние клиента NAP на локальном компьютере. Если данное свойство возвращает значение 1, то доступ к сети локальному компьютеру разрешен. Если свойство возвращает 2, то клиент находится на испытательном сроке. Если же свойство возвращает значение 3, то доступ к сети для данного компьютера запрещен. Тип: uint32.
• NAP_SystemHealthAgent – содержит информацию о зарегистрированных клиентах SHA. Данный класс включает в себя следующие свойства, доступные только для чтения.
– Description – содержит описание данного клиента SHA (Security Health Agent). Тип: string.
– fixupState – отображает состояние адресной записи клиента SHA. Возможны следующие возвращаемые состояния: «успех», «в прогрессе», «не обновлено». Тип: uint32.
– friendlyName – определяет название клиента SHA. Тип: string.
– id – является ключевым. Оно определяет идентификатор клиента, по которому можно получить доступ к свойствам данного экземпляра класса. Тип: uint32.
– infoClsid – содержит CLSID-номер, который определяет интерфейс INapComponentlnfo СОМ-сервера. Тип: string.
– isBound – определяет, ограничен ли клиент SHA агентом NAP. Тип: boolean.
– percentage – указывает процент выполнения приготовлений. Если значение свойства равно 101, то данное свойство не поддерживается. Тип: uint8.
– registrationDate – определяет дату регистрации данного клиента SНА. Тип: string.