Часть 2. Защита информации в Windows XP

Операционная система Windows XP позволяет людям работать на компьютере независимо друг от друга так, что каждый пользователь имеет свои настройки рабочего стола, свою папку «Мои документы», свой список установленных программ. При этом, каждый пользователь имеет свой идентификатор (имя) и пароль, используемые при входе в систему. Имя пользователя, его пароль, права доступа и другая служебная информация хранятся в учетной записи пользователя. Если учетная запись защищена паролем, то никто кроме самого пользователя, за исключением Администратора, не имеет доступа к его папке «Мои документы» и хранящимся в ней папкам и файлам. Но даже и Администратор не имеет доступа к зашифрованной или к защищенной (личной) папке пользователя.

 

Сразу после установки в Windows XP используется интерфейс, который называется Простой общий доступ. Работая с этим интерфейсом можно сделать личными только папки, хранящиеся в папке «Мои документы».

 

Администратор может отключить интерфейс простого общего доступа и пользоваться всей мощью разрешений для файлов в стиле Windows 2000. К сожалению, работа с этим интерфейсом требует очень серьезной подготовки, так как при неправильном задании параметров можно лишить доступа к компьютеру не только себя, но и других пользователей.

 

На виртуальных просторах Интернета развелось много любителей поживиться тем, что хранится на чужих компьютерах. Злоумышленник может проникнуть на компьютер следующими способами:

· прямой физический доступ;

· вирусы и нападение с помощью программ-червей, троянских коней;

· сетевые атаки.

Один из методов защиты данных – это ограничение доступа к компьютерам, определенным файлам или директориям. В Windows XP можно использовать одну из двух файловых систем: FAT32 или NTFS. К сожалению, в FAT32 нельзя организовать такую защиту. В то же время в NTFS ограничение доступа несложно применить даже на домашнем компьютере. В NTFS используются файлы регистрации операций, что позволяет восстановить диск после сбоя. К файлам и папкам этой файловой системы непросто получить доступ из других операционных систем. Поэтому следует отдать предпочтение NTFS. Файловую систему FAT32 в Windows XP следует использовать только тогда, когда на компьютере установлена еще и другая операционная система, не способная работать с NTFS, например, Windows 95, Windows 98 или Windows Millennium, так как если в разделах компьютера установлены разные файловые системы, обмен файлами между этими разделами невозможен.

 

Программные средства, которые требуют ввода паролей перед началом работы, применяются в Windows XP для защиты данных от несанкционированного использования. Нередко учетные записи пользователей не имеют паролей. Отсутствие паролей облегчает вход в систему, поскольку позволяет начать работу с нею, просто щелкнув клавишей мышки на имени пользователя. Однако в этом случае злоумышленник или вирус смогут легко проникнуть в компьютер из локальной сети, из Интернета.

После установки Windows XP запросит пароль для Администратора. Учетные записи и пароли для других пользователей устанавливает Администратор компьютера. В Windows XP обычносоздают учетные записи трех типов.

· Администратор компьютера. Этот пользователь имеет право устанавливать приложения, управлять файлами и учетными записями пользователей, настраивать методы защиты.

· Ограниченная учетная запись. Этот пользователь может работать с созданными им файлами и файлами из папки «Общие документы». Он также может вносить изменения в настройки своей учетной записи, такие как пароли, изображения и настройки рабочего стола. У такого пользователя нет доступа к папкам «Мои документы» других пользователей

· Гость. Это очень ограниченная учетная запись. Она позволяет пользователю выполнение таких задач, как путешествие по Интернету, проверка сообщений электронной почты.

Во избежание случайных повреждений системы рекомендуется в домашнем компьютере работать только с одной учетной записью типа Администратор, хотя их может быть несколько, и использовать эту запись для выполнения тех заданий, которые нельзя исполнить с помощью ограниченной учетной записи, например, дефрагментация диска. Для решения других задач лучше создать еще одну ограниченную учетную запись.

 

Создание учетной записи

 

Создать новую учетную запись или уничтожить существующую может только Администратор. Для создания учетной записи надо нажать кнопку «Пуск», открыть окно «Панели управления» и выбрать Учетные записи пользователей. Откроется окно с названием «Учетные записи пользователей», в котором вам предложат выбрать задание (рис.1):

· Изменение учетной записи

· Создание учетной записи

· Изменение входа пользователей в систему.

 

Рис. 1. Часть окна 1 «Учетные записи пользователей»

 

В этом же окне имеется окошко справки «Обучение», которое предоставляет возможность получить сведения о типах учетных записей, о правилах переключения пользователей. После щелчка по кружку, рядом с которым размещен текст «Создание учетной записи», появится окно «Учетные записи пользователей» (рис.2), в котором вас попросят задать имя новой учетной записи.

 

Рис.2. Часть окна 2 «Учетные записи пользователей»

 

Щелкнув клавишей мыши по кнопке «Далее», вы увидите новое окно (рис.3), где надо будете указать тип учетной записи:

· Администратор компьютера

· Ограниченная запись

 

Рис.3. Выбор типа создаваемой учетной записи

 

Нажмите кнопку «Создать учетную запись» и опять появится первое окно, в котором вас попросят выбрать задание. Если вы не собираетесь изменять созданную учетную запись, пока не защищенную паролем, закройте окно. Однако, для защиты системы от несанкционированного доступа учетные записи всех пользователей должны быть защищены паролями.

 

Для создания пароля следует выбрать в окне, представленном на рис.2, строку «Изменение учетной записи». В следующем окне вас спросят о том, что вы хотите изменить в учетной записи:

· Изменение имени

· Создание пароля

· Изменение изображения

· Изменение типа учетной записи

· Удаление учетной записи

Два последних пункта доступны только пользователю с учетной записью типа «Администратор». Остальные пользователи могут изменять имя, изображение и пароль своей записи. Система предлагает несколько изображений на выбор. Выберите пункт «Создание пароля».

Если администратор установит минимальную длину пароля не равной нулю, то система автоматически станет требовать пароль для всех учетных записей. Для установки длины пароля нажмите значок Администрирование в панели управления, затем значок Локальная политика безопасности в открывшемся окне с заголовком «Локальные параметры безопасности» (рис.4) выберите строку Политика учетных записей, затем – Политика паролей, дважды щелкните на значке Минимальная длина пароля в правой части окна. Откроется окно «Свойства: мин. Длина пароля» (рис. 4.). Минимальное количество символов пароля устанавливается в окошке «Длина пароля не менее». Ваш компьютер всегда будет защищен паролями, а вирусам и хакерам будет труднее в него забраться. Так же можно установить максимальный и минимальный сроки действия паролей, установить требование неповторяемости паролей. В соответствии с приведенными на рис.4 параметрами на компьютере не должно быть ни одной пары одинаковых паролей.

 

 

Рис.4. Установка минимальной длины пароля

 

 

Рис. 5. Установка требования минимальной длины пароля

Защита файлов и папок

 

Защитить папки и находящиеся в них файлы можно, только если на компьютере используется файловая система NTFS. Администратор имеет доступ ко всем папкам всех пользователей даже, если учетные записи защищены паролями. При этом, пользователи, работающие с ограниченными учетными записями, не могут просматривать, а тем более редактировать документы других пользователей, если эти документы хранятся в папках «Мои документы». Однако, любой файл, хранящийся в такой папке, можно сделать защищенным (личным), никому, кроме тех, кто знает пароль учетной записи, недоступным.

 

ВНИМАНИЕ! Личными (защищенными) можно сделать только те папки, которые хранятся в папке «Мои документы». Все файлы в защищенной папке также защищены.

 

Для того чтобы сделать папку личной достаточно выделить эту папку, щелкнуть правой кнопкой мыши по её имени, выбрать пункт контекстного меню Общий доступ и безопасность, а затем установить флажок у строки Отменить общий доступ к этой папке. Нельзя защитить отдельный файл. Все файлы и папки внутри той, для которой установлен флажок, становятся личными, защищенными.

 

В случае отключения общего доступа к папке могут возникнуть проблемы при переносе папок и файлов в другое место на диске: доступ к этой папке может оказаться отключенным. Это происходит потому, что при переносе папки сохраняются разрешения доступа к ней. Проблема решается копированием папки или файла, а не перемещением их. После копирования ненужный документ можно уничтожить.

 

Шифрование папок и файлов

 

В Windows XP имеется шифрующая файловая система (Encrypting File System – EFS), которая дает возможность шифровать папки и файлы на дисках NTFS. Все создаваемые в зашифрованной папке новые файлы автоматически шифруются системой. Только пользователь, зашифровавший файл, может получить доступ к нему. При обращении к такому файлу он автоматически расшифровывается, а при записи на диск снова шифруется. Пользователь даже не заметит, что работает с зашифрованным файлом.

 

При первом включении шифрования операционная система Windows XP создает сертификат EFS, в котором хранятся ключи, используемые для шифрования и расшифровки файлов. Следует хранить на дискете копии сертификата, так как при утере его в случае сбоя, например, из-за неожиданного отключения тока, использовать зашифрованные файлы будут невозможно. Сертификат позволяет работать с зашифрованными файлами на любом компьютере, если на нем установлена операционная система Windows XP.

В проводнике Windows XP используется зеленый шрифт для указания зашифрованных папок и файлов.

 

ВНИМАНИЕ! Сжатые файлы нельзя зашифровать, зашифрованные файлы нельзя сжать.

 

Для того чтобы зашифровать файл или папку выполните следующие действия.

· Откройте окно «Мой компьютер» и перейдите к файлу или папке, которую, собираетесь шифровать.

· Нажмите правой клавишей мыши папку (или файл). Появится контекстное меню, в котором следует выбрать Свойства, чтобы открыть окно «Свойства объекта».

· Нажмите Дополнительно, чтобы открыть окно «Дополнительные атрибуты», в котором надо отметить пункт Зашифровать содержимое для защиты данных.

· Нажмите ОК для того чтобы закрыть окно «Дополнительные атрибуты», а затем нажмите кнопку «Применить», для того чтобы открыть диалоговое окно «Подтверждение изменения атрибутов».

· Нажмите на кнопку «Применить изменения к данной папке, подпапкам и файлам», чтобы выбрать данный вариант.

· Нажмите ОК. Диалоговое окно «Подтверждение изменения атрибутов» закроется и откроется диалоговое окно «Применение атрибутов», отображая уровень продвижения процесса зашифровки.

· Нажмите ОК, для того, чтобы закрыть окно «Свойства объекта».

Когда пользователь в первый раз шифрует файл или папку в своей папке «Мои документы», система создает файл сертификата, в котором записаны ключи для шифрования и расшифровки. Файл сертификата имеет расширение.PFX (Personal Information Exchange). Всем пользователям следует хранить копии своих сертификатов шифрования. Если сертификаты в системе будут испорчены или пропадут, зашифрованные файлы будут утеряны.

 

Для создания копии сертификата (экспорта) выполните следующие действия.

· Войдите в компьютер под своим именем и со своим паролем (не надо использовать пароль администратора). Затем нажмите кнопку «Пуск» и щелкните на значке Интернет.

· В строке меню окна браузера выберите команду Сервис, а в открывшемся списке – Свойства обозревателя. Откроется диалоговое окно с названием «Свойства: Интернет» (рис.6). Выберите вкладку Содержание, а в ней – Сертификаты. Откроется окно «Сертификаты».

 

Рис. 6. Часть окна «Свойства: Интернет»

 

· В окне«Сертификаты» нажмите кнопку «Экспорт» для запуска Мастера экспорта сертификатов. Нажмите кнопку «Далее».

· Выберите пункт Да, экспортировать закрытый ключ. Нажмите кнопку «Далее» два раза.

· Укажите пароль для файла сертификата. Этот пароль может не совпадать с вашим паролем для входа в систему. Нажмите «Далее».

· Укажите путь к экспортируемому файлу и его имя. Нажмите «Далее» и «Готово».

Импорт (ввод) личного сертификата шифрования может понадобиться в двух случаях: исходный сертификат испорчен или возникла необходимость работать с зашифрованными файлами на другом компьютере. Сертификат позволяет пользователю работать с зашифрованными файлами на другом компьютере, если на этом ПК установлена операционная система Windows XP и используется интерфейс Windows 2000. Храните все свои сертификаты на носителе в надежном месте.

 

Для того чтобы импортировать личный сертификат шифрования выполните следующие действия.

· В панели управления выберите Свойства обозревателя. Откроется окно «Свойства: Интернет» (рис.6), в котором надо перейти на вкладку Содержание, нажать кнопку «Сертификаты», чтобы открыть диалоговое окно «Сертификаты».

· Нажмите кнопку «Импорт» для запуска Мастера импорта сертификатов. Нажмите «Далее».

· Укажите путь к сохраненному файлу сертификата и его имя (файл PFX). Нажмите «Далее».

· Введите пароль и установите прочие параметры импорта. Нажмите «Далее».

· Установите флажок Поместить все сертификаты в следующее хранилище, нажмите Обзор и выберите папку. Нажмите ОК, «Далее» и «Готово».

Защита от сетевых атак

 

Здесь рассматривается защита отдельного компьютера, например, домашнего. На ПК из сети могут пробраться троянцы, черви, руткиты и другие вредоносные программы. Троянец – вирус, который, маскируясь под полезную программу, может удалять и модифицировать данные, осуществлять сбор и пересылку информации, передачу управления компьютером удаленному пользователю. Червь – самовоспроизводящаяся программа, которая распространяется в основном по Сети. Руткит позволяет злоумышленникам скрытно контролировать компьютер и настолько ловко маскируется в системе, что не все антивирусные программы способны его обнаружить.

Домашний компьютер может представлять интерес для хакеров при организации атаки на один из серверов сети. Суть такой атаки заключается в том, что организуется огромное количество запросов к серверу (до нескольких сотен в секунду), в результате чего сервер зависает. Проникший на ваш компьютер вирус может без вашего ведома принять участие в такой атаке по сигналу извне. Подобные атаки были организованы на поисковик Yahoo, на сайт Windows Update корпорации Microsoft и другие серверы.

Программы, защищающие компьютер от вторжения из глобальной сети, называются брандмауэрами. Брандмауэр должен быть настроен так, чтобы он блокировал попытки доступа к компьютеру непредусмотренных программ, пытался идентифицировать их авторов, и уведомлял администратора о попытках таких запросов. Для защиты от хакерских атак в Windows XP включен брандмауэр ICF (Internet Connection Firewall, брандмауэр соединения с Интернетом). Брандмауэр Windows (по умолчанию включен) помогает защитить компьютер от вирусов и других угроз безопасности, например от попыток злоумышленников получить доступ к чужому компьютеру через Интернет.

Помогая обеспечить защиту компьютера, брандмауэр Windows блокирует непредусмотренные запросы на подключение к вашему компьютеру. Поскольку брандмауэр ограничивает обмен данными между компьютером и Интернетом, может потребоваться регулировка параметров для некоторых программ, которым требуется свободное подключение к Интернету. Для этих программ можно сделать исключение, чтобы они могли связываться через брандмауэр. Для выполнения этой процедуры необходимо войти в систему с учетной записью «Администратор».

· Откройте панель управления и выберите Брандмауэр Windows. Откроется окно «Брандмауэр Windows» (рис.7.).

· На вкладке Исключения в группе Программы и службы установите флажок для программы или службы, которую требуется разрешить, а затем нажмите кнопку OK.

Рис.7. Окно Брандмауэр Windows

Если программа или служба, которую требуется разрешить, не перечислена в диалоговом окне «Добавление программы », выполните следующие действия.

· В диалоговом окне «Добавление программы » нажмите кнопку «Обзор », найдите программу, которую требуется добавить, и дважды щелкните ее. (Программы обычно хранятся на компьютере в папке «Program Files».) Программа появится в группе Программы в диалоговом окне Добавление программы.

· Нажмите кнопку OK. Эта программа появится (с установленным флажком) на вкладке Исключения в группе Программы и службы.

· Нажмите кнопку OK.

Добавление исключения помогает поддерживать безопасность, так как брандмауэр открыт только в то время, когда программа ожидает подключения к ней.

Антивирусные программы

 

Операционная система Windows XP не включает антивирусные пакеты. Их надо устанавливать отдельно. Из зарубежных пакетов часто используются Norton Antivirus (http://www.symantec.com), Nod32, McAfee Inc. В России считается, что отечественные антивирусные пакеты лучше всего приспособлены к борьбе с продукцией российских вирусописателей. Самые известные пакеты - Doctor Web, Антивирус Касперского, Panda. Но антивирусами надо именно пользоваться, т.е. хотя бы раз в неделю (или месяц) производить полную проверку памяти и жесткого диска компьютера. И не забывайте периодически получать обновления для ваших антивирусов.

 

Проверяйте на вирусы все приходящие извне дискеты, а также программы, полученные из Интернета. Не оставляйте дискеты в дисководах, так как очень часто заражения вирусами происходит именно от вставленных дискет.

 

Выполняйте периодическое резервное копирование (архивирование) всех важных данных. Причем желательно иметь не менее двух копий (разных дат) с важными данными - помните скупой платит дважды.

 

НЕ ЗАБЫВАЙТЕ О ШИФРОВКЕ ВАЖНЫХ ДАННЫХ!

 

С помощью автоматического обновления Windows может регулярно проверять наличие последних важных обновлений для компьютера пользователя и устанавливать их автоматически. Используйте «Центр обеспечения безопасности» для проверки параметров безопасности и получения сведений о способах повышения безопасности компьютера с помощью брандмауэра Windows, автоматического обновления и антивирусных программ.

 

Лабораторная работа

 

ВНИМАНИЕ!!! Цифры, указанные в скобках (п.5, стр.6) в заданиях лабораторных работ, соответствуют НОМЕРАМ ПУНКТОВ и страницам в теоретической части методического пособия.

 

 

Выполните указанные преподавателем пункты заданий к части 1 и к части 2.

 

Задания к части 1

 

1. Ознакомьтесь с основными понятиями и концепциями операционной системы.

 

2. На рабочем столе ( п.3, стр. 3 ) найти Меню Пуск ( п.15, стр.12 ) и открыть его. Просмотреть все пункты меню, не выполняя активных действий, т.е. выбирая только кнопки ОК и Отменить. Открывающиеся окна (п.5, стр.6) закрыть кнопкой, находящейся в правом верхнем углу. Изучить оба стиля оформления меню Пуск: классический и стиль Windows XP.

 

3. Открыть папку Мой компьютер ( п.16, стр.15 ) и ознакомиться с его окном – пиктограммами и панелью инструментов. Открыть диск С:, дважды щелкнув по его пиктограмме. Создать на этом диске две папки с именами «Папка_1» и «Папка_2». Развернуть и восстановить окно одной из папок (п.5, стр.6).

 

4. Ознакомится с панелью управления ( п.19, стр.19 ). Изучить характеристики Системы и подключенных к ней технических устройств. Изучить оба стиля оформления Панели управления: классический и стиль по категориям (стиль Windows XP).

 

5. Для ознакомления работы с Мастерами ( п.10, стр.9 ) попытайтесь установить в системе принтер фирмы Brother. Для этого в окне Панель управления ( п.19, стр.19 ) дважды щелкните по пиктограмме Принтеры и выберите Установка принтера. Продолжайте работу с Мастером и не огорчайтесь неудаче.

 

6. Ознакомьтесь с запуском стандартных программ ( п.20, стр.21 ) из меню Пуск ( п.15, стр.12 ). В качестве примера запустите программу графического редактора Paint. Нарисуйте с его помощью простейшие геометрические фигуры и сохраните файл с именем ris1 в папке с именем Папка_1. Ознакомьтесь с программой Блокнот. С помощью этой программы создайте два файла File_1 и File_2, записав в них короткий текст, например, свое имя и фамилию. Сохраните эти файлы в папке Папка_2. Используя папку Мой компьютер ( п.16, стр.15 ) откройте эти файлы, просмотрите их и закройте.

 

7. Переместите файл ris1 в Корзину ( п.9, стр.8 ), а затем восстановите его.

 

8. Система позволяет осуществлять запуск программ в виде приложений к документам (файлам). Запустите редактор Paint через папку Мой компьютер ( п.16, стр.15 ), дважды щелкнув по пиктограмме файла. Создайте еще один графический файл ris2 и поместите его в папку «Папка_1».

 

9. Запустите программу Проводник ( п.22, стр. 22 ) через меню Пуск. Изучите окно программы Проводник.

 

10. Найдите созданные вами ранее файлы File_1 и File_2. Переместите их в папку «Папка_1» методами перетаскивания, вырезания-вставки и с использованием панели «Задачи для файлов и папок» окна Проводник. После каждого перемещения возвращайте эти файлы в папку «Папка_2».

 

11. Создайте новую папку НР с помощью программы Проводник и переместите в нее файлы ris1 и File_1. Переименуйте файл File_1.

 

12. Запустите с Рабочего стола ( п.3, стр.5 ) с помощью ярлыка (п.7, стр.7) программу Norton commander (создайте ярлык в случае его отсутствия). Удалите папку НР.

13. Создайте файлы MyFile_1 и MyFile_2. Создайте сжатую zip-папку, и поместите в нее созданные файлы. Извлеките из сжатой папки файл MyFile_1 (п.23, стр.26).

 

Задания к части 2

 

14. Получите у преподавателя два имени и два пароля для входа в компьютер и войдите в ПК, используя одно из имен.

15. Измените имя, картинку и пароль. Выйдите и снова войдите в компьютер с новым паролем. Продемонстрируйте полученные результаты преподавателю, а затем восстановите прежние имя. картинку и пароль (п.24, стр.19)

16. В папке «Мои документы» создайте два файла с именами Текст_1, Текст_2 и папку с именем «Моя папка». Скопируйте файл Текст_1 в папку «Моя папка» и сделайте эту папку защищенной (п.25, стр.33).

17. Зашифруйте файл Текст_2 и сохраните копию сертификата на носителе информации: дискете, флэш-карте (п.26, стр.33).

18. Выйдите из компьютера и войдите в него, используя выданную преподавателем вторую учетную запись (второе имя и пароль). Проверьте, доступна ли ваша папка «Мои документы» пользователю с другой учетной записью. Преподаватель может продемонстрировать возможности доступа к вашим файлам Администратора компьютера: файл Текст_1 доступен, зашифрованный файл Текст_2 и личная папка «Моя папка» - не доступны.

19. Откройте окно «Брандмауэр Windows». Проверьте, открыт ли общий доступ к папкам и файлам, к Microsoft Office Outlook/

Завершение работы

После предъявления работы преподавателю корректно завершите работу с системой.

 

Для завершения работы с системой выполните следующее.

· Щёлкните на кнопки «Пуск» на панели задач.

· Выберите в меню Пуск пункт Завершение работы.

· Выберите пункт Выключить компьютер в меню Завершение работы, выберите кнопку «Да» или нажмите клавишу «Enter».

Для перезагрузки ком

 

После выключения компьютера обычно требуется отключить монитор, нажав размещенную на мониторе кнопку его выключения.