Windows Vista. Для профессионалов - Роман Клименко

• Быстрый режим – определяет параметры работы протокола IPSec в быстром режиме. Раздел включает в себя те же подразделы, что и раздел Основной режим.

Рис. 5.5. Окно поиска совпадающих фильтров

Единственным его отличием является то, что его подраздел Статистика определяет сведения о других статистических параметрах. Например, к ним относятся следующие сведения, определяющие количество:

• активных сопоставлений безопасности (SA);

• разгруженных сопоставлений безопасности;

• незаконченных операций с ключами;

• удаленных ключей;

• повторно сгенерированных ключей;

• активных туннелей;

• поврежденных пакетов SPI;

• незашифрованных или непроверенных пакетов;

• и т. д.

Локальные параметры безопасности

CLSID-номер оснастки: {DEA8AFA0-CC85-11d0-9CE2-0080C7221EBD}.

Библиотека: ipsecsnp.dll.

Используется в стандартных консолях: secpol.msc.

С помощью предыдущей оснастки мы выполняли мониторинг работы политик IPSec, однако если вы не создали ни одной политики IPSec, то мониторинг ни к чему не приведет. Как раз для создания политик IPSec и служит оснастка Локальные параметры безопасности.

При ее загрузке можно указать компьютер, политики которого будут настраиваться, после чего формирование настроек оснастки будет закончено. Оснастка не имеет расширений.

Создание политики IPSec

Если вы в первый раз запускаете данную оснастку, то ее основное окно будет пустым и вам сначала придется создать новую политику. Для этого нужно воспользоваться командой Создать политику безопасности IP контекстного меню раздела оснастки. После этого отобразится Мастер политики IP-безопасности, который предложит вам ввести название новой политики, ее описание, указать, будет ли при установлении соединения использоваться правило по умолчанию, а также способ аутентификации соединения. Возможна аутентификация с помощью протокола Kerberos (может применяться при подключении вашего компьютера к домену Active Directory), с помощью сертификата (может применяться, если в вашей сети имеется центр сертификации) или с помощью пароля. После того как вы укажете способ аутентификации, работа мастера создания политики будет завершена. Заметьте, что в последнем окне мастера установлен флажок Изменить свойства. Если вы его не снимете, то после завершения работы мастера отобразится окно свойств созданной вами политики. Конечно, его можно будет отобразить и потом, выбрав команду Свойства из контекстного меню созданной политики.

Окно свойств имеет две вкладки: Правила и Общие.

• Правила – с помощью данной вкладки можно создать правила политики или изменить параметры уже созданного правила. По умолчанию уже будет создано правило, которое разрешает соединяться со всеми компьютерами без использования туннелирования, но на основе выбранного ранее метода аутентификации. Чтобы изменить это правило, нужно нажать кнопку Изменить, после чего отобразится окно Свойства: Изменить правило, состоящее из вкладок Методы безопасности и Методы проверки подлинности. С помощью вкладки Методы безопасности можно выбрать, будет использоваться только создание контрольной суммы каждого переданного пакета или также будет выполняться шифрование каждого пакета. С помощью вкладки Методы проверки подлинности можно изменить способ аутентификации компьютера источника и компьютера назначения.

Можно также воспользоваться кнопкой Добавить, чтобы создать новое правило. После этого запустится мастер, который предложит вам указать IPv4 и 1Ру6-адрес компьютера, если вы хотите организовать туннель, выбрать сеть, для которой будет применяться правило (любое сетевое соединение, соединение в пределах локальной сети или удаленное соединение), создать новые фильтры или выбрать уже созданный фильтр, создать способ взаимодействия с фильтром и выбрать способ аутентификации.

• Общие – позволяет изменить название и описание политики, а также определить интервал обновления политики и настроить такие параметры ключей PFS, как количество сессий или минут, после которого будет генерироваться новый ключ PFS, а также алгоритм шифрования, который будет использоваться для ключа PFS.

Все политики IPSec, создаваемые с помощью данной оснастки, хранятся как подразделы с именами вида ipsecPolicy{CLSID-номер} ветви системного реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsIPSec PolicyLocal.

Создание фильтров политики

Но, кроме политики, нужно также создать один или несколько фильтров и действия при их применении. Это можно сделать как в процессе создания нового правила, как было сказано раньше, так и с помощью команды Управление списками 1Р-фильтра и действиями фильтра контекстного меню раздела оснастки Локальные параметры безопасности. После ее выбора отобразится одноименное окно, которое имеет две вкладки: Управление списками фильтров IP и Управление действиями фильтра.

• Управление списками фильтров IP – позволяет создать новый фильтр в списке фильтров (кнопка Добавить) или изменить параметры уже существующего (кнопка Изменить). При создании нового фильтра вам предложат указать адреса возможных компьютеров-источников и компьютеров-назначений, пакеты которых не будут отбрасываться, а также тип используемого протокола.

• Управление действиями фильтра – дает возможность создать новое действие (кнопка Добавить) или изменить параметры уже существующего (кнопка Изменить). При создании нового действия нужно указать, будут пакеты, подходящие под критерии фильтра, пропускаться, отбрасываться или для них будет отключена политика безопасности, будет ли разрешено создание небезопасного подключения, если безопасное подключение не поддерживается, будет использоваться только проверка целостности пакетов или также будет выполняться их шифрование.

Все фильтры, создаваемые с помощью данной оснастки, хранятся как подразделы с именами вида ipsecFilteriCLSID-номер} ветви системного реестра Windows HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosof t Windows IPSec PolicyLocal.

Установка политики по умолчанию

После того как вы создадите политику, ее нужно установить для использования по умолчанию. Для этого в контекстном меню политики нужно выбрать команду Назначить. После этого все соответствующие политике соединения будут устанавливаться с помощью протокола IPSec, а оснастка Монитор IP-безопасности будет отображать параметры работы созданной вами политики. Если же нужно отключить политику, чтобы больше не использовались безопасные подключения, достаточно в контекстном меню политики выбрать команду Снять.

Название политики, используемой по умолчанию, хранится в параметре строкового типа ActivePolicy ветви реестра HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindowsIPSecPolicyLocal.

Конфигурация клиента NAP

CLSID-номер оснастки: {albc4eca-66b2-44e8-9915-be02e84438ba}.

Библиотека: napsnap.dll.

Используется в стандартных консолях: NAPCLCFG.MSC.

Данная оснастка является нововведением операционной системы Windows Vista. С ее помощью можно настроить параметры работы компонента NAP операционной системы, позволяющего блокировать сетевой доступ к вашему компьютеру другим компьютерам, не удовлетворяющим определенным вами требованиям. Учтите, что для работы механизма NAP необходимо, чтобы работала служба Агент защиты сетевого доступа.

При загрузке оснастки вам будет предложено подключиться к используемой базе данных механизма NAP локального компьютера или создать новую базу данных (или выбрать уже существующую, но не используемую по умолчанию).

Основное окно оснастки представлено на рис. 5.6.

Рис. 5.6. Окно оснастки Конфигурация клиента NAP

Оснастка состоит из следующих подразделов: Клиенты системы ограничений, Параметры интерфейса пользователя, Параметры регистрации работоспособности. Далее мы рассмотрим их подробнее. Но сначала обратите внимание на команду Свойства контекстного меню раздела оснастки. С ее помощью отображается окно, в котором можно включить журналы трассировки для механизма NAP, а также указать режим трассировки: базовый, дополнительный или режим отладки.

...

Примечание

Сведения о работе механизма NAP заносятся в журнал Журналы приложений и служб → Microsoft → Windows → Network Access Protection.

Подраздел Клиенты системы ограничений

Данный подраздел содержит в себе набор различных клиентов, доступ к которым можно ограничить на основе указанных в подразделе Параметры регистрации работоспособности правил. По умолчанию присутствуют следующие клиенты:

• Клиент принудительного карантина для DHCP – имеет идентификатор 79617 и определяет клиентов DHCP;

• Клиент принудительного карантина для удаленного доступа – его идентификатор равен 79618, определяет клиентов удаленного доступа;

• Сторона, использующая IPSec – имеет идентификатор 79619 и определяет клиентов, работающих через протокол IPSec;

• Клиент принудительного карантина шлюза сервера терминалов – его идентификатор равен 79621, определяет клиентов шлюза терминальной службы;