Windows Vista. Для профессионалов

Оснастка не имеет расширений и каких-нибудь параметров, настраиваемых при ее загрузке в консоль управления Microsoft, поэтому после загрузки оснастки перед вами отобразится ее основное окно (рис. 5.4). Мы не будем подробно рассматривать работу данной оснастки, но кратко описать ее возможности все же стоит.

Оснастка Монитор IP-безопасности состоит из следующих разделов.

• Активная политика – это новый раздел, которого не было в оснастке для операционных систем Windows ХР. Он отображает такие сведения о применяемой в данный момент политике, как ее название, описание, дата последнего изменения, хранилище политики, а также остальные сведения, используемые при работе вашего компьютера в составе домена Active Directory.

Рис. 5.4. Окно оснастки Монитор IP-безопасности

• Основной режим – определяет параметры работы протокола IPSec в основном режиме. Раздел включает в себя следующие подразделы.

– Универсальные фильтры – отображает сведения о применяемом фильтре (о его настройках).

– Специальные фильтры – содержит список специальных фильтров, отдельно для входящих и исходящих пакетов.

С помощью контекстного меню данного подраздела можно выполнить поиск совпадающих фильтров. Для этого нужно воспользоваться командой Найти совпадающие фильтры.

В отображенном после выбора команды окне можно ввести IP-адрес, порт узла источника и узла назначения, используемый протокол, а также указать, среди фильтров для каких пакетов будет выполняться поиск (входящих или исходящих) (рис. 5.5).

– Политики IKE – содержит применяемое в данный момент действие политики IKE.

– Статистика – определяет общую статистику, например статистику по основному и быстрому режиму, а также общее количество принятых пакетов и количество поврежденных пакетов.

– Сопоставление безопасности – содержит список сопоставлений безопасности.

• Быстрый режим – определяет параметры работы протокола IPSec в быстром режиме. Раздел включает в себя те же подразделы, что и раздел Основной режим.

Единственным его отличием является то, что его подраздел Статистика определяет сведения о других статистических параметрах. Например, к ним относятся следующие сведения, определяющие количество:

• активных сопоставлений безопасности (SA);

• разгруженных сопоставлений безопасности;

• незаконченных операций с ключами;

• удаленных ключей;

• повторно сгенерированных ключей;

• активных туннелей;

• поврежденных пакетов SPI;

• незашифрованных или непроверенных пакетов;

• и т. д.

CLSID-номер оснастки: {DEA8AFA0-CC85-11d0-9CE2-0080C7221EBD}.

Библиотека: ipsecsnp.dll.

Используется в стандартных консолях: secpol.msc.

С помощью предыдущей оснастки мы выполняли мониторинг работы политик IPSec, однако если вы не создали ни одной политики IPSec, то мониторинг ни к чему не приведет. Как раз для создания политик IPSec и служит оснастка Локальные параметры безопасности.

Создание политики IPSec

Если вы в первый раз запускаете данную оснастку, то ее основное окно будет пустым и вам сначала придется создать новую политику. Для этого нужно воспользоваться командой Создать политику безопасности IP контекстного меню раздела оснастки. После этого отобразится Мастер политики IP-безопасности, который предложит вам ввести название новой политики, ее описание, указать, будет ли при установлении соединения использоваться правило по умолчанию, а также способ аутентификации соединения. Возможна аутентификация с помощью протокола Kerberos (может применяться при подключении вашего компьютера к домену Active Directory), с помощью сертификата (может применяться, если в вашей сети имеется центр сертификации) или с помощью пароля. После того как вы укажете способ аутентификации, работа мастера создания политики будет завершена. Заметьте, что в последнем окне мастера установлен флажок Изменить свойства. Если вы его не снимете, то после завершения работы мастера отобразится окно свойств созданной вами политики. Конечно, его можно будет отобразить и потом, выбрав команду Свойства из контекстного меню созданной политики.

Окно свойств имеет две вкладки: Правила и Общие.

• Правила – с помощью данной вкладки можно создать правила политики или изменить параметры уже созданного правила. По умолчанию уже будет создано правило, которое разрешает соединяться со всеми компьютерами без использования туннелирования, но на основе выбранного ранее метода аутентификации. Чтобы изменить это правило, нужно нажать кнопку Изменить, после чего отобразится окно Свойства: Изменить правило, состоящее из вкладок Методы безопасности и Методы проверки подлинности. С помощью вкладки Методы безопасности можно выбрать, будет использоваться только создание контрольной суммы каждого переданного пакета или также будет выполняться шифрование каждого пакета. С помощью вкладки Методы проверки подлинности можно изменить способ аутентификации компьютера источника и компьютера назначения.

Можно также воспользоваться кнопкой Добавить, чтобы создать новое правило. После этого запустится мастер, который предложит вам указать IPv4 и 1Ру6-адрес компьютера, если вы хотите организовать туннель, выбрать сеть, для которой будет применяться правило (любое сетевое соединение, соединение в пределах локальной сети или удаленное соединение), создать новые фильтры или выбрать уже созданный фильтр, создать способ взаимодействия с фильтром и выбрать способ аутентификации.

• Общие – позволяет изменить название и описание политики, а также определить интервал обновления политики и настроить такие параметры ключей PFS, как количество сессий или минут, после которого будет генерироваться новый ключ PFS, а также алгоритм шифрования, который будет использоваться для ключа PFS.

Создание фильтров политики

Но, кроме политики, нужно также создать один или несколько фильтров и действия при их применении. Это можно сделать как в процессе создания нового правила, как было сказано раньше, так и с помощью команды Управление списками 1Р-фильтра и действиями фильтра контекстного меню раздела оснастки Локальные параметры безопасности. После ее выбора отобразится одноименное окно, которое имеет две вкладки: Управление списками фильтров IP и Управление действиями фильтра.

• Управление списками фильтров IP – позволяет создать новый фильтр в списке фильтров (кнопка Добавить) или изменить параметры уже существующего (кнопка Изменить). При создании нового фильтра вам предложат указать адреса возможных компьютеров-источников и компьютеров-назначений, пакеты которых не будут отбрасываться, а также тип используемого протокола.

• Управление действиями фильтра – дает возможность создать новое действие (кнопка Добавить) или изменить параметры уже существующего (кнопка Изменить). При создании нового действия нужно указать, будут пакеты, подходящие под критерии фильтра, пропускаться, отбрасываться или для них будет отключена политика безопасности, будет ли разрешено создание небезопасного подключения, если безопасное подключение не поддерживается, будет использоваться только проверка целостности пакетов или также будет выполняться их шифрование.

Установка политики по умолчанию

После того как вы создадите политику, ее нужно установить для использования по умолчанию. Для этого в контекстном меню политики нужно выбрать команду Назначить. После этого все соответствующие политике соединения будут устанавливаться с помощью протокола IPSec, а оснастка Монитор IP-безопасности будет отображать параметры работы созданной вами политики. Если же нужно отключить политику, чтобы больше не использовались безопасные подключения, достаточно в контекстном меню политики выбрать команду Снять.

Название политики, используемой по умолчанию, хранится в параметре строкового типа ActivePolicy ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows\IPSec\Policy\Local.

CLSID-номер оснастки: {albc4eca-66b2-44e8-9915-be02e84438ba}.

Библиотека: napsnap.dll.

Используется в стандартных консолях: NAPCLCFG.MSC.

Данная оснастка является нововведением операционной системы Windows Vista. С ее помощью можно настроить параметры работы компонента NAP операционной системы, позволяющего блокировать сетевой доступ к вашему компьютеру другим компьютерам, не удовлетворяющим определенным вами требованиям. Учтите, что для работы механизма NAP необходимо, чтобы работала служба Агент защиты сетевого доступа.

При загрузке оснастки вам будет предложено подключиться к используемой базе данных механизма NAP локального компьютера или создать новую базу данных (или выбрать уже существующую, но не используемую по умолчанию).

Основное окно оснастки представлено на рис. 5.6.

Оснастка состоит из следующих подразделов: Клиенты системы ограничений, Параметры интерфейса пользователя, Параметры регистрации работоспособности. Далее мы рассмотрим их подробнее. Но сначала обратите внимание на команду Свойства контекстного меню раздела оснастки. С ее помощью отображается окно, в котором можно включить журналы трассировки для механизма NAP, а также указать режим трассировки: базовый, дополнительный или режим отладки.