Примечание
В файл журнала брандмауэра помещается следующая информация: время поступления пакета, действие брандмауэра (блокировка пакета или его игнорирование), протокол, используемый для передачи пакета, исходный IP-адрес (и порт) и IP-адрес назначения (и порт), размер пакета, контрольные флаги протокола TCP.
• Opmode – выводит режимы работы брандмауэра, которые разрешены операционной системой.
• Portopening – отображает список портов-исключений, работа с сетью через которые не будет блокироваться брандмауэром.
• Service – выводит список служб-исключений, работа с сетью которых не будет блокироваться брандмауэром.
• State – отображает сведения о текущем состоянии брандмауэра (объединяет команды Portopening, Opmode, multicastbroadcastresponse и notifications).
• Multicastbroadcastresponse – определяет, разрешен ли режим однонаправленного ответа на широковещательные запросы.
• Notifications – определяет, будут ли отображаться уведомления о том, что брандмауэр заблокировал работу определенной программы.
• Add – позволяет добавить программу или порт, работа через который не будет блокироваться брандмауэром. Команда, в свою очередь, поддерживает следующие дочерние команды.
• Allowedprogram – добавить программу-исключение.
• Portopening – добавить порт-исключение.
• Set – дает возможность настроить параметры работы стандартного брандмауэра. Команда поддерживает следующие дочерние команды.
• Allowedprogram – позволяет изменить настройки определенной программы-исключения.
• Icmpsetting – дает возможность настроить параметры блокирования пакетов ICMP.
• Logging – позволяет настроить параметры ведения файла журнала.
• Opmode – дает возможность настроить режим работы брандмауэра (глобальный или для отдельного сетевого интерфейса).
• Portopening – позволяет изменить настройки определенного порта-исключения.
• Service – дает возможность разрешить или запретить блокирование определенной службы. С помощью данной команды можно управлять только определенными службами (ключевые слова, определяющие службы: FILEANDPRINT, REMOTEADMIN, REMOTEDESKTOP, UPNP, ALL).
• Notifications – позволяет настроить параметры отображения уведомлений при блокировании работы программы с сетью.
• Multicastbroadcastresponse – дает возможность определить, разрешен ли режим однонаправленного ответа на широковещательные запросы.
• Delete – позволяет удалить программу или порт, работа через которые ранее не блокировалась брандмауэром. Команда поддерживает следующие дочерние команды.
• Allowedprogram – удалить программу-исключение.
• Portopening – удалить порт-исключение.
• Reset – установить все настройки стандартного брандмауэра по умолчанию.
С помощью счетчиков производительности вы можете просмотреть информацию о получении и отправке пакетов ICMP разных типов. Для этого применяются счетчики объекта ICMP (или объекта ICMPv6). Например, с помощью данных счетчиков можно узнать следующее.
• Количество отправленных пакетов типа Destination Unreachable (место назначения недостижимо), Time Exceeded (истечение допустимого на передачу времени), Source Quench (принимающий узел не успевает обработать получаемые сообщения), Parameter Problem (параметры принятого сообщения ошибочны), Redirect (перенаправление), Echo Reply (эхо-ответы), Timestamp Reply (запрос на получение штампа времени), Address Mask (запрос на получение маски адреса). Соответственно, для этого применяются счетчики Отправлено сообщений \'Destination Unreachable\', Отправлено сообщений \'Time Exceeded\', Отправлено сообщений \'Source Quench\', Отправлено сообщений \'Parameter Problem\', Отправлено сообщений о перенаправлении/сек, Отправлено эхо-ответов/сек, Отправлено ответов штампа времени/сек, Отправлено ответов с маской адреса.
• Количество полученных пакетов типа Destination Unreachable, Time Exceeded, Source Quench, Parameter Problem, Redirect, Echo Reply, Timestamp Reply, Address Mask.
• Общее количество отправленных и полученных сообщений (счетчики Сообщений/сек, Получено сообщений/сек, Отправлено сообщений/сек), а также количество отправленных и полученных сообщений, которые не были обработаны из-за ошибки (счетчики Ошибок при получении сообщений, Ошибок исходящих сообщений).
Команда advfirewall. С помощью данной команды вы можете управлять новым стандартным брандмауэром операционной системы Windows Vista (реализованным в оснастке Брандмауэр Windows в режиме повышенной безопасности). Возможности данной команды будут описаны в гл. 8, посвященной сетевым функциям операционной системы.
Другие компоненты операционной системы
Службы компонентов
CLSID-номер оснастки: {C9BC92DF-5B9A-11D1-8F00-00C04FC2C17B}.
Библиотека: comsnap.dll.
Используется в стандартных консолях: comexp.msc, также можно запустить с помощью файла dcomcnf g.ехе.
Оснастка Службы компонентов является стандартной оснасткой операционных систем семейства Windows, но мало пользователей ее используют. С ее помощью можно просмотреть список зарегистрированных в системе СОМ-компонентов и приложений СОМ+, а также настроить параметры их взаимодействия с удаленными компьютерами и локальными пользователями. Благодаря данной оснастке можно также настроить работу координатора распределенных транзакций (MSDTC).
Используя оснастку, вы можете получить доступ к ActiveX-объектам как локального, так и удаленного компьютера. По умолчанию выполняется подключение к локальному компьютеру, но вы можете подключиться к удаленному компьютеру с помощью команды Создать → Компьютер контекстного меню раздела Компьютеры загруженной оснастки Службы компонентов.
Оснастка состоит из следующих разделов.
• Приложения С0М+ – позволяет управлять приложениями СОМ+, установленными на данном компьютере (приложение СОМ+ представляет собой набор компонентов СОМ, которые взаимодействуют друг с другом и выполняют управление очередями или реализуют возможность настройки параметров безопасности на основе ролей). С помощью контекстного меню данного раздела можно также установить новое приложение СОМ+ (команда Создать → Приложение). Естественно, это можно сделать и с помощью службы Установщик Windows.
Раздел содержит набор вложенных подразделов, которые и определяют приложения СОМ+. Одним из таких стандартных подразделов является подраздел Системное приложение. Он определяет параметры работы системного приложения, которое управляет функциями настройки и развертывания служб компонентов (то есть пользователи, имеющие доступ к данному приложению, могут управлять работой СОМ-компонентов и устанавливать новые).
Каждый из подразделов, в свою очередь, может включать в себя дочерние подразделы. Например, следующие.
– Компоненты – хранит список СОМ-компонентов данного приложения СОМ+. С помощью контекстного меню данного подраздела вы можете добавить новый СОМ-компонент к списку используемых. Для этого нужно выбрать команду Создать → Компонент, после чего отобразится мастер добавления компонентов, содержащий список всех зарегистрированных на компьютере СОМ-компонентов.
Каждый компонент может включать в себя два вложенных подраздела: Интерфейсы и Подписки. Первый содержит список всех интерфейсов, доступных компоненту (с помощью команды Свойства контекстного меню конкретного интерфейса можно настроить параметры его работы). Второй же определяет доступные компоненту подписки (с помощью команды Свойства контекстного меню конкретной подписки можно настроить параметры ее работы).
С помощью контекстного меню компонента можно выполнить такие действия над ним, как перемещение (команда Переместить) в другое приложение, которое поддерживает данный компонент, создание псевдонима для компонента (команда Псевдоним), выполняющего те же действия, но имеющего другой CLSID-номер, а также отключение данного компонента (команда Запретить). Однако следует заметить, что не все компоненты поддерживают приведенные выше действия.
– Устаревшие компоненты – хранит список устаревших СОМ-компонентов приложения СОМ+, которые больше не применяются, так как есть более новые версии. С помощью контекстного меню данного подраздела вы можете добавить новый СОМ-компонент к списку используемых. Для этого нужно выбрать команду Создать → Устаревший компонент, после чего отобразится мастер добавления компонентов, содержащий список всех зарегистрированных на компьютере СОМ-компонентов.
Работа с компонентами данного подраздела аналогична работе с компонентами подраздела Компоненты.
– Роли – определяет список ролей (категории пользователей, заданные разработчиком), на основе которых построена модель безопасности данного приложения.
Например, существуют такие роли, как Администратор, Считыватель, Серверное приложение, Любое приложение и Доверенный пользователь QC. Чтобы добавить пользователя к одной из приведенных выше ролей, нужно в контекстном меню подраздела Пользователи данной роли выбрать команду Создать → Роль. Если же нужно удалить пользователя из группы, то воспользуйтесь командой Удалить контекстного меню значка конкретного пользователя.
Пользователи, входящие в роль Администратор, имеют права доступа к данному приложению СОМ+ как на чтение, так и на запись. Им разрешено модифицировать любые параметры СОМ-компонентов, а также устанавливать новые СОМ-компоненты. По умолчанию данной ролью обладают пользователи, входящие в группу администраторов локального компьютера.
Пользователи, входящие в роль Любое приложение, имеют права запуска как серверных приложений СОМ+, так и библиотечных приложений СОМ+. По умолчанию данной ролью обладают все пользователи данного компьютера.
Пользователи, входящие в роль Доверенный пользователь QC, имеют право передачи сообщения для компонентов в очереди от имени других пользователей (то есть с присвоением идентификаторов других пользователей, например, от имени пользователя, имеющего больше полномочий, чем сам пользователь). По умолчанию данной ролью не может пользоваться ни один пользователь.
Пользователи, входящие в роль Считыватель, имеют права доступа к данному приложению СОМ+ только на чтение. Иначе говоря, им разрешено лишь просматривать текущие параметры работы СОМ-компонентов. По умолчанию данной ролью обладают все пользователи данного компьютера.
Пользователи, входящие в роль Серверное приложение, имеют права запуска серверных приложений СОМ+. По умолчанию данной ролью обладают все пользователи данного компьютера.
• Настройка DCOM – позволяет настраивать параметры запуска приложений СОМ (приложение СОМ представляет собой набор компонентов СОМ, которые взаимодействуют друг с другом, но не имеют модели безопасности, построенной на основе ролей) (рис. 5.20). Для этого в контекстном меню необходимого приложения СОМ нужно выбрать команду Свойства.
Рис. 5.20. Раздел Настройка DCOM оснастки Службы компонентов
• Работающие процессы – содержит список запущенных в данный момент процессов приложений СОМ+. С помощью команды Записать дамп контекстного меню необходимого приложения можно создать дамп памяти, в которой выполняется процесс, чтобы впоследствии проанализировать причины возникновения тех или иных ошибок.
• Координатор распределенных транзакций – хранит такие сведения о работе координатора распределенных транзакций, как список транзакций, в которых в данный момент участвует компьютер (раздел Список операций), а также список всех прошедших транзакций (раздел Статистика транзакций).
С помощью команды Свойства контекстного меню локальной службы координатора транзакций (раздел Локальная DTC) можно также настроить следующие параметры работы данной службы:
• путь к файлу журнала и его размер (вкладка Слежение);
• учетную запись пользователя, от имени которого будет запускаться служба DTC;
• другие параметры безопасности (вкладка Безопасность);
• настройки журнала трассировки работы службы (вкладка Ведение журнала).
Журнал трассировки содержит такие данные о транзакции, как ее код, время и сообщение о результате транзакции.
Все параметры трассировки координатора распределенных транзакций хранятся в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\Windows NT\ CurrentVersion\Tracing\MSDTC.
Параметры безопасности же хранятся в ветви реестра HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\MSDTC\Security.
Используя оснастку Службы компонентов, можно получить доступ к общим параметрам работы СОМ-компонентов. Для этого в контекстном меню раздела, определяющего компьютер, к которому вы подключены, нужно выбрать команду Свойства.Настройка общих параметров работы СОМ-компонентов
После выбора команды Свойства в контекстном меню нужного раздела отобразится окно, представленное на рис. 5.21.
Окно содержит следующие вкладки.
• Общие – позволяет указать описание данного компьютера.
• Параметры – дает возможность указать время ожидания следующей транзакции, а также прокси-серверы, используемые для приложений COM (RSN).
• Набор протоколов – определяет протоколы, с которыми будет работать служба DCOM. По умолчанию используется протокол ТСР\1Р. С помощью кнопки Свойства можно указать список портов, которые при этом будут использоваться.
• Безопасность СОМ – с помощью данной вкладки можно изменить права доступа определенных пользователей к СОМ-компонентам, используемые по умолчанию. Вкладка состоит из двух полей: Права доступа и Разрешения на запуск и активацию. С помощью первого поля можно определить права доступа определенных пользователей к приложениям, а с помощью второго – изменить разрешения определенных пользователей на запуск и активацию объектов.
Рис. 5.21. Окно настройки работы СОМ-компонентовПользователи, у которых есть разрешение на активацию, могут работать с приложениями, только если у них есть разрешение на доступ. Поэтому таким пользователям нужно предоставить оба разрешения.
• MSDTC – благодаря этой вкладке можно определить, будет использоваться локальный координатор или удаленный.
• Свойства по умолчанию – с помощью данной вкладки можно отключить работу службы DCOM. После этого локальные приложения СОМ не смогут работать с приложениями СОМ удаленного компьютера, однако на взаимодействие локальных приложений СОМ это не окажет никакого влияния. Вы также можете включить или отключить службы доступа к компьютеру из Интернета с помощью СОМ.
Рассмотрим последнюю вкладку. Обе указанные возможности изменяют параметры ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\01e. Отключение DCOM приводит к тому, что параметру строкового типа EnableDCOM присваивается значение N. Если же вы отключаете доступ к компьютеру из Интернета с помощью СОМ, то значение N присваивается параметру строкового типа EnableDCOMHTTP. При этом также включается использование прокси-сервера RPC (параметру типа REG_DWORD Enabled ветви HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Rpc\RpcProxy присваивается значение 1).
Кроме того, благодаря данной вкладке можно настроить параметры работы службы DCOM, для чего используются параметры поля Свойства связи DCOM по умолчанию. Например, с помощью данной вкладки можно настроить уровень проверки подлинности и уровень заимствования прав.
Уровень проверки прав, используемый по умолчанию, определяется в параметре REG_DWORD-типа LegacyAuthenticationLevel ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\01e. Возможны следующие уровни проверки подлинности.
• Отсутствует – проверка подлинности не выполняется. При этом значение параметра LegacyAuthenticationLevel равно 1.
• Подключиться – выполняется лишь при установке связи с удаленным приложением. Данный уровень подлинности используется по умолчанию. При этом значение параметра равно 2.
• Связь – проверка выполняется при каждом получении удаленным приложением запроса от клиента. При этом значение параметра равно 3.
• Пакет – выполняется для всех данных, получаемых удаленным приложением от клиента. При этом значение параметра равно 4.
• Целостности пакетов – проверка подлинности выполняется для всех данных, полученных как от клиента, так и от удаленного приложения. При этом значение параметра равно 5.
• Секретности пакетов – проверка выполняется для всех данных, полученных как от клиента, так и от удаленного приложения. Кроме того, все данные шифруются. При этом значение параметра равно б.
Уровень заимствования прав, используемый по умолчанию, определяется в параметре REG_DWORD-типа LegacylmpersonationLevel ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\01e. Возможны следующие уровни заимствования прав.
• Аноним – скрывает истинные полномочия клиента, используя минимальные полномочия. При этом значение параметра LegacylmpersonationLevel равно 1.
• Определить – позволяет запросить полномочия клиента в случае необходимости. Уровень используется по умолчанию. При этом и последующих значениях заимствования прав становится активным флажок Повышенная безопасность для отслеживания ссылок. Если он установлен, то значение параметра строкового типа LegacySecureRef erences, расположенного в ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\01e, равно Y. При ЭТОМ значение параметра LegacylmpersonationLevel равно 2.
• Олицетворение – по умолчанию использует полномочия клиента. Если сервер находится на другом компьютере, то полномочия клиента распространяются только на ресурсы, расположенные на компьютере сервера. При этом значение параметра LegacylmpersonationLevel равно 3.
• Делегирование – позволяет использовать полномочия клиента не только запущенному приложению СОМ, но и другим приложениям, которые запустит данное приложение. Иначе говоря, полномочия клиента распространяются не только на ресурсы компьютера сервера, но и на другие компьютеры, на которых запущено приложение СОМ. При этом значение параметра LegacylmpersonationLevel равно 4.Настройка параметров работы приложений СОМ+
Чтобы настроить параметры работы определенного приложения СОМ+, нужно в его контекстном меню выбрать команду Свойства. После этого отобразится окно, представленное на рис. 5.22.
Рис. 5.22. Окно настройки параметров работы приложения СОМ+Окно содержит следующие вкладки.
• Общие – содержит описание приложения СОМ+, а также его CLSID-номер.
• Безопасность – хранит настройки безопасности работы данного приложения СОМ+, среди которых встречаются уже знакомые вам по предыдущему окну уровень проверки подлинности и уровень заимствования прав.
• Удостоверение – определяет учетную запись пользователя, от имени которого запускается данное приложение СОМ+.
• Активация – указывает, является данное приложение библиотечным или серверным (к серверному приложению могут подключаться удаленные клиенты), а также использует ли оно протокол SOAP. Если протокол SOAP используется, то к приложению СОМ можно будет подключаться как к веб-службе XML. Доступ к веб-службам XML производится с помощью веб-сервера по протоколу HTTP или HTTPS.
• Очереди – определяет проверку подлинности сообщений очереди MSMQ, а также указывает, можно ли обратиться к данному приложению СОМ+ с помощью очередей MSMQ,
Очереди компонентов позволяют клиенту обратиться к службе из серверного приложения СОМ+, даже если оно временно недоступно. В этом случае запрос клиента помещается в очередь и обрабатывается, когда серверное приложение станет доступным.
• Дополнительно – определяет дополнительные параметры работы приложения. Например, будет ли оно автоматически завершать свою работу после определенного времени бездействия, будет ли запускаться в отладочном режиме, будут ли запрещены операции удаления и изменения.
• Дамп – указывает путь к файлу дампа приложения СОМ+, который будет создаваться с помощью команды Записать дамп контекстного меню запущенного приложения СОМ+, а также максимальное количество хранимых дампов.
• Группирование и перезапуск – определяет размер группы приложения, а также параметры его перезапуска.
По умолчанию размер группы равен 1, что соответствует отключению службы группирования приложений СОМ+. Использование нескольких приложений в группе запускает службу группирования приложений, благодаря чему повышается надежность системы, так как процессы с одним потоком масштабируются на группу.
В качестве параметров автоматического перезапуска можно указать максимальное время работы службы, максимальное количество используемой памяти, максимальное время ожидания ответа от приложения, максимальное количество вызовов или активизаций. Автоматический перезапуск приложения СОМ+ позволяет повысить стабильность работы данного приложения. Все дело в том, что, как правило, чем дольше приложение СОМ+ работает, тем больше оперативной памяти оно использует или тем медленнее работает из-за возникших внутренних ошибок. Перезапуск же приложения позволяет освободить ненужную оперативную память, а также избавиться от возникших ошибок.Настройка параметров безопасности приложений СОМ
Чтобы настроить параметры безопасности приложения СОМ, нужно выбрать команду Свойства контекстного меню нужного приложения. Напомню, что список зарегистрированных приложений СОМ содержится в разделе Настройка DCOM.
После этого отобразится окно, представленное на рис. 5.23.
Рис. 5.23. Окно настройки приложения СОМОкно содержит следующие вкладки.
• Общие – отображает CLSID-номер приложения СОМ, а также его тип и имя. С ее помощью можно изменить уже знакомый вам уровень проверки удаленным сервером подлинности клиента.
• Размещение – с помощью данной вкладки можно определить, на каком компьютере будет запускаться приложение. Приложение СОМ может запускаться на локальном компьютере, на указанном удаленном компьютере или на компьютере, который содержит данные приложения.
• Безопасность – благодаря этой вкладке можно настроить разрешения определенных пользователей на запуск и активацию приложения, на доступ к нему, а также на настройку приложения. При этом можно отдельно настроить разрешения для приложения, расположенного на локальном компьютере, и для приложения, расположенного на удаленном компьютере.
• Конечные узлы – с помощью данной вкладки можно определить набор протоколов и конечных узлов, доступных для клиентов сервера DCOM.
• Удостоверение – определяет учетные записи пользователя, от имени которого будет запускаться приложение СОМ.Расширения оснастки Службы компонентов
Как вы уже знаете, при загрузке оснасток с помощью окна Добавление и удаление оснастки, используя кнопку Изменить расширения, можно определить расширения оснастки, которые будет разрешено использовать (по умолчанию разрешено использовать все расширения). Оснастка Службы компонентов является одной из немногих, состоящих из расширений. Она состоит из двух расширений: Расширение страницы свойств DTC ММС и Оснастка DTC ММС. Если вы отключите первое расширение, то из окна настройки общих параметров работы СОМ-компонентов исчезнет вкладка MSDTC. Отключение же второго расширения приведет к невозможности работы с оснасткой Службы компонентов.
Диспетчер устройствCLSID-номер оснастки: {74246bfc-4c96-11d0-abef-0020af 6Ь0Ь7а}.
Библиотека: devmgr.dll.
Используется в стандартных консолях: compmgmt.msc, devmgmt.msc.
Оснастка позволяет просмотреть информацию об установленном на вашем компьютере оборудовании, список драйверов, которые им используются (или откатить недавно переустанавливаемые драйверы), а также список IRQ, которые назначены оборудованию.