12. Безопасность данных в Microsoft Windows for Workgroups

Сетевая операционная система Microsoft Windows for Workgroups допускает совместное использование таких ресурсов, как диски и принтеры рабочих станций. Кроме того, с использованием механизма передачи данных NetDDE возможна организация передачи сообщений или удаленной обработки данных.

В некоторых случаях необходимо ограничить доступ всех или некоторых пользователей к тем или иным ресурсам рабочих станций, выполняющих в сети роль серверов. В первой части книги мы рассказывали о том, что пользователи, распределяющие ресурсы своих станций в коллективное пользование, могут назначить пароли для доступа к ресурсам. Причем имеется возможность определения раздельных паролей для обеспечения полного или частичного доступа (например, пароль только для чтения и пароль для чтения и записи).

В этой главе мы рассмотрим некоторые из дополнительных возможностей обеспечения безопасности данных в сети Microsoft Windows for Workgroups, основанные на использовании специального приложения admincg.exe.

Это приложение входит в состав дистрибутива Microsoft Windows for Workgroups версии 3.11, но не устанавливается автоматически на диски рабочих станций, так как предназначено не для пользователей, а для системного администратора.

По этой же причине мы решили привести описание приложения admincfg.exe во второй части книги, адресованной системным администраторам.

12.1. Установка приложения ADMINCFG

Файл приложения admincfg.exe в компрессованном виде находится на последней дискете дистрибутива Microsoft Windows for Workgroups (название файла - admincfg.ex_).

Вы можете скопировать его любым способом в тот каталог, где установлена операционная система Microsoft Windows for Workgroups, а затем распаковать его при помощи программы expand.exe (которая входит в дистрибутив Microsoft Windows for Workgroups).

Распаковка может быть выполнена, например, из системного приглашения MS-DOS следующим образом:

c:\windows>expand admincfg.ex_ admincfg.exe

Если для установки Microsoft Windows for Workgroups на рабочие станции был использован каталог, образованный в результате административной установки Windows на диск файл-сервера Novell NetWare, приложение admincfg.exe находится в этом каталоге в готовом к использованию виде.

Для выполнения административной установки Microsoft Windows for Workgroups (так же, как и для выполнения административной установки Microsoft Windows версии 3.1) вы должны запустить программу setup.exe с параметром /A. Затем программе установки нужно указать путь к каталогу, расположенному на диске файл-сервера Novell NetWare. В этот каталог будут скопированы все файлы, расположенные на дистрибутивных дискетах, причем в процессе копирования они будут распакованы.

В дальнейшем установку Microsoft Windows for Workgroups на рабочие станции можно выполнять без использования дискет, запуская программу setup.exe из каталога административной установки.

12.2. Использование файла WFWSYS.CFG

При установке Microsoft Windows for Workgroups на рабочие станции в том каталоге, где находятся файлы Microsoft Windows for Workgroups, создается файл wfwsys.cfg . В этом файле хранятся параметры, имеющие отношение к безопасности данных.

Пользователь рабочей станции не может изменять файл wfwsys.cfg или копировать его с других рабочих станций, так как каждый экземпляр файла "привязывается" к диску рабочей станции. Если же этот файл удалить или переименовать, все функции Microsoft Windows for Workgroups, связанные с доступом к сети, станут недоступными для пользователя.

Единственный способ внесения изменений в файл wfwsys.cfg заключается в использовании для этого приложения admincfg.exe , которому посвящена данная глава. С помощью этого приложения можно редактировать файлы wfwsys.cfg, расположенные локально и на удаленных рабочих станциях Microsoft Windows for Workgroups, что облегчает централизованное управление сетью.

Дополнительно приложение admincfg.exe позволяет закрыть файл wfwsys.cfg паролем. Это нужно для того, чтобы пользователь не смог отредактировать его, просто запустив копию приложения admincfg.exe без ведома системного администратора.

12.3. Работа с приложением ADMINCFG

После того как вы скопировали файл admincfg.exe на локальный диск рабочей станции Microsoft Windows for Workgroups, создайте в любой подходящей группе приложения Program Manager пиктограмму, с помощью которой вы будете запускать admincfg.exe. При этом вы можете воспользоваться методиками, описанными в первых двух томах серии "Персональный компьютер - шаг за шагом".

Запустите приложение admincfg.exe .

На экране появится диалоговая панель "Open Security Configuration File", показанная на рис. 12.1.

Рис. 12.1. Диалоговая панель "Open Security Configuration File"

Пользуясь этой диалоговой панелью, вы должны выбрать файл wfwsys.cfg и затем нажать кнопку "OK".

На экране появится диалоговая панель "Security Settings" (рис. 12.2), с помощью которой можно изменять содержимое файла wfwsys.cfg .

Рис. 12.2. Диалоговая панель "Security Settings"

В левой части диалоговой панели расположена группа переключателей "Sharing Options", с помощью которой можно разрешать или запрещать предоставление ресурсов рабочей станции в коллективное пользование.

Если включить переключатель "Disable File Sharing", пользователь не сможет выделять диски и каталоги своей рабочей станции в коллективное пользование.

Аналогично, включение переключателя "Disable Print Sharing" приведет к невозможности превращения локального принтера рабочей станции в сетевой принтер, доступный с других рабочих станций.

После включения переключателя "Disable Network DDE Sharing" рабочая станция не сможет выступать как DDE-сервер, выполняющий запрос на удаленную обработку данных от других рабочих станций сети Microsoft Windows for Workgroups.

Заметим еще раз, что пользователь не сможет самостоятельно разрешить использование ресурсов рабочей станции, если это запрещено системным администратором при помощи приложения admincfg.exe . Особенно если системный администратор закрыл файл wfwsys.cfg паролем.

Поэтому если пользователь захочет предоставить ресурсы своей рабочей станции в коллективное пользование, ему необходимо обратиться с соответствующей просьбой к сетевому администратору.

С помощью кнопки "Passwords...", рсположенной в главном окне приложения admincfg.exe , системный администратор может изменять механизм использования паролей на рабочей станции.

Нажмите на эту кнопку. Вы увидите диалоговую панлеь "Password Settings" (рис. 12.3).

Рис. 12.3. Диалоговая панель "Password Settings"

С помощью переключателя "Disable Password Caching" можно отменить так называемое кэширование паролей.

Механизм кэширования паролей предназначен для облегчения работы пользователей с ресурсами, доступ к которым возможен только после предъявления пароля.

Все такие пароли хранятся в специальном файле. Если пользователь ввел первичный пароль при запуске Microsoft Windows for Workgroups, при включенном кэшировании паролей все ресурсы становятся доступны без повторного ввода пароля. Разумеется, русурсы будут доступны только при условии что пользователь хотя бы один раз ввел пароль и этот пароль оказался записан в файл паролей.

Если системный администратор отключит кэширование паролей, пользователю придется вводить пароль каждый раз, когда он попытается получить доступ к защищенному паролем ресурсу. Это повышает устойчивость системы защиты от несанкционированного доступа.

Включение переключателя "Show Share Passwords in Sharing Dialogs" наоборот, может снизить устойчивость системы защиты, так как приводит к отображению символов пароля в соответствующих диалоговых панелях.

В некоторых, особо ответственных случаях, системный администратор может разрешить использование пароля только в течении ограниченного времени. Затем пароль будет нужно изменить.

Для установки максимального периода времени, в течении которого можно пользоваться паролем, следует включить переключатель "Login Password Expiration". Вслед за этим в поле "days" нужно ввести период времени, в течение которого можно пользоваться одним и тем же паролем (в днях).

Один из критериев устойчивости пароля к "взлому" - его длина. Очевидно, что пароль, состоящий из 1-2 букв, можно разгадать очень быстро. Системный администратор может потребовать от пользователей указывать пароль, длина которого не короче заданной. Для этого нужно включить переключатель "Minimum Password Length" и в поле "characters" ввести требуемую минимальную длину пароля.

Как дополнительное средство для повышения устойчивости пароля можно использовать в пароле наряду с буквами еще и цифры. Если включить переключатель "Force Alphanumeric Passwords", пользователи будут вынуждены придумывать такие пароли, которые содержат смесь букв и цифр.

Если в сети имеются файл-серверы, выполненные на основе операционной системы Microsoft NT или Microsoft LAN Manager, можно установить такой режим, при котором пользователь может получить доступ к сети только в том случае, если он зарегистрирован в сервере Windows NT. Для этого нужно включить переключатель "Require Validated Logon to Windows NT or LAN Manager Domain".

И, наконец, при включении переключателя "Allow Caching of User-level Passwords" выполняется кэширование паролей пользователей, предназначенных для доступа к серверам Windows NT и LAN Manager. Так как этот режим уменьшает устойчивость защиты, по умолчанию он выключен.

Другие возможности появляются, если в диалоговой панели "Security Settings" нажать кнопку "Admin...". Вы увидите диалоговую панель "Administrator Settings" (рис. 12.4).

Рис. 12.4. Диалоговая панель "Administrator Settings"

С помощью этой панели можно изменить заголовок приглашения для ввода пароля при запуске Microsoft Windows for Workgroups, защитить файл конфигурации системы защиты wfwsys.cfg , а также выполнить редактирование файлов wfwsys.cfg, расположенных на других рабочих станциях сети Microsoft Windows for Workgroups.

Чтобы изменить заголовок приглашения, включите переключатель "Custom Logon Banner", и в поле "Text" введите текст приглашения.

Для защиты файла wfwsys.cfg от несанкционированного изменения пользователем нажмите кнопку "Set Password...", расположенную в группе органов управления "Configuration File Options". На экране появится диалоговая панель "Set configuration File Password" (рис. 12.5), с помощью которой можно указать пароль.

Рис. 12.5. Ввод пароля для защиты файла wfwsys.cfg

В этой диалоговой панели нужно ввести пароль два раза: первый раз в поле "Password", второй (для подтверждения) - в поле "Confirm Password". Затем следует нажать кнопку "OK".