Windows Vista. Для профессионалов - Роман Клименко

• Клиент принудительного карантина для ЕАР – имеет идентификатор 79623 и определяет клиентов ЕАР.

По умолчанию на указанные выше клиенты не распространяются правила механизма NAP. Чтобы указать применения правил для одного из клиентов, нужно в его контекстном меню выбрать команду Включить.

Сведения о клиентах, которые доступны в оснастке, находятся в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesnapagent Qecs. Каждый клиент имеет в данной ветви реестра свой подраздел, название которого соответствует идентификатору клиента. В этих подразделах находятся общие сведения о клиентах. А вот информация о том, включен клиент или нет, содержится в других подразделах – в параметре REG_DWORD-типа Enabled подразделов, названных в честь идентификатора клиента, ветви реестра HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServicesnapagentLocalConfigQecs.

Подраздел Параметры интерфейса пользователя

С помощью данного подраздела можно указать изображение и имя, которое будет отображаться напротив одного из подключенных в данный момент клиентов, для которых действуют правила NAP. Для этого применяется команда Свойства контекстного меню элемента Параметры интерфейса пользователя.

Сведения, устанавливаемые с помощью данного подраздела, содержатся в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices napagentLocalConfigUI1049.

Подраздел Параметры регистрации работоспособности

Данный подраздел позволяет настроить правила, которые будут применяться для включенных с помощью подраздела Клиенты системы ограничений клиентов, а также группу, которая сможет обходить созданные правила. Он содержит следующие дочерние подразделы: Политика запроса и Группы доверенных серверов.

Подраздел Политика запроса включает в себя следующие правила.

• Алгоритм хэширования – дает возможность указать алгоритм, который должен использоваться при создании хэша. По умолчанию используется алгоритм shalRSA, но можно выбрать один из алгоритмов MD5, MD4, MD2 и т. д.

• Поставщик службы криптографии – позволяет указать службу криптографии, которую клиент должен использовать при подключении. По умолчанию используется служба Microsoft RSA Schannel Cryptographic Provider.

С помощью подраздела Группы доверенных серверов можно указать группу компьютеров, которые могут подключаться к включенным клиентам подраздела Клиенты системы ограничений, даже если их настройки не соответствуют указанным в правилах параметрам. Для этого в контекстном меню подраздела нужно выбрать команду Создать, после чего в отобразившемся мастере следует указать название группы, а также добавить в нее IP– или URL-адреса компьютеров.

Параметры создаваемых с помощью данного подраздела групп содержатся в подразделах ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesnapagentLocalConfigEnrollHcsGroups<Ha3BaHMe группы>.

Окно Защита сетевого доступа

Расположение: %systemroot%system32NAPSTAT.ехе.

Кроме оснастки Конфигурация клиента NAP, для работы с компонентом NAP операционной системы можно также использовать программу napstat.ехе. С ее помощью можно просмотреть текущее состояние работы данного компонента, а также список сетевых подключений, которые разрешены или запрещены NAP.

После запуска программы в области уведомлений появится сообщение о том, запущен ли в данный момент компонент NAP. Если служба Агент защиты сетевого доступа в данный момент не запущена, то не будет работать и компонент NAP. Контекстное меню данного напоминания содержит две команды: Защита сетевого доступа и Папка сетевых подключений. С помощью первой можно отобразить одноименное окно, которое определяет, имеете ли вы доступ к сетевой среде. С помощью же второй команды отображается окно Сетевые подключения, содержащее список сетевых подключений и адаптеров, которые установлены на вашем компьютере.

Работа с компонентом NAP с помощью классов WMI

Если вы знакомы с инструментарием управления Windows, то получить доступ к NAP сможете и в создаваемых вами сценариях или с помощью таких стандартных программ операционной системы, как wbemtest.ехе и WMIC. Для этого в операционной системе Windows Vista появилось новое пространство имен \root NAP. Оно включает в себя три класса: NAP_Client, NAP_SystemHealthAgent и NAP EnforcementClient.

• NAPClient – управляет работой службы операционной системы Агент защиты сетевого доступа. По умолчанию в репозитарии CIM существует один экземпляр данного класса, имеющий название @. Он поддерживает следующие свойства, доступные только для чтения.

– Description – содержит описание службы Агент защиты сетевого доступа. Тип: string.

– fixupURL – определяет URL-адрес, если клиенту запрещен доступ к компьютеру. Тип: string.

– Name – содержит название службы Агент защиты сетевого доступа. Тип: string.

– napEnabled – определяет, запущена ли служба Агент защиты сетевого доступа в данный момент. Тип: boolean.

– napProtocolVersion – указывает версию протокола, используемого службой Агент защиты сетевого доступа. Тип: string.

– probationTime – определяет время истечения испытательного срока, если клиент NAP находится на нем. Тип: string.

– systemlsolationState – указывает состояние клиента NAP на локальном компьютере. Если данное свойство возвращает значение 1, то доступ к сети локальному компьютеру разрешен. Если свойство возвращает 2, то клиент находится на испытательном сроке. Если же свойство возвращает значение 3, то доступ к сети для данного компьютера запрещен. Тип: uint32.

• NAP_SystemHealthAgent – содержит информацию о зарегистрированных клиентах SHA. Данный класс включает в себя следующие свойства, доступные только для чтения.

– Description – содержит описание данного клиента SHA (Security Health Agent). Тип: string.

– fixupState – отображает состояние адресной записи клиента SHA. Возможны следующие возвращаемые состояния: «успех», «в прогрессе», «не обновлено». Тип: uint32.

– friendlyName – определяет название клиента SHA. Тип: string.

– id – является ключевым. Оно определяет идентификатор клиента, по которому можно получить доступ к свойствам данного экземпляра класса. Тип: uint32.

– infoClsid – содержит CLSID-номер, который определяет интерфейс INapComponentlnfo СОМ-сервера. Тип: string.

– isBound – определяет, ограничен ли клиент SHA агентом NAP. Тип: boolean.

– percentage – указывает процент выполнения приготовлений. Если значение свойства равно 101, то данное свойство не поддерживается. Тип: uint8.

– registrationDate – определяет дату регистрации данного клиента SНА. Тип: string.

– vendorName – указывает производителя данного клиента SHA. Тип: string.

– Version – определяет версию данного клиента SHA. Тип: string.

• NAP_EnforcementClient – содержит информацию о зарегистрированных клиентах, доступ к которым можно ограничить (ЕС). Именно экземпляры этого класса отображаются в подразделе Клиенты системы ограничений оснастки Конфигурация клинета NAP. Данный класс включает в себя следующие свойства, доступные только для чтения.

– Description – содержит описание данного клиента ЕС. Тип: string.

– f riendlyName – определяет название клиента ЕС. Тип: string.

– id – является ключевым. Оно определяет идентификатор клиента ЕС, по которому можно получить доступ к свойствам данного экземпляра класса. Тип: uint32.

– infoClsid – содержит CLSID-номер, который определяет интерфейс INapComponentlnfo СОМ-сервера. Тип: string.

– isBound – определяет, ограничен ли клиент ЕС агентом NAP. Тип: boolean.

– registrationDate – указывает дату регистрации данного клиента ЕС. Тип: string.

– vendorName – определяет производителя данного клиента ЕС. Тип: string.

– Version – указывает версию данного клиента ЕС. Тип: string.

Безопасность

Диспетчер авторизации

CLSID-номер оснастки: {1F5EEC01-1214-4D94-80C5-4BDCD2014DDD}.

Библиотека: azroleui.dll.

Используется в стандартных консолях: azman.msc.

Данная оснастка представляет собой нововведение операционной системы Windows Vista. С ее помощью можно управлять хранилищем авторизации, которое включает в себя данные менеджера авторизации, необходимые для работы некоторых программ.

Оснастка Диспетчер авторизации может работать только на локальном компьютере, и после ее первого запуска вам предложат создать хранилище авторизации. Если вы этого не сделаете, то при следующем запуске оснастки она сообщит вам о том, что хранилище авторизации не обнаружено. В этом случае нужно в меню Действие консоли выбрать команду Параметры. После этого перед вами отобразится окно, в котором можно выбрать режим работы с хранилищем авторизации. По умолчанию используется режим администратора, в котором можно только управлять готовым хранилищем авторизации. Если же нужно создать новое хранилище авторизации, то требуется перейти в режим разработчика (установить переключатель окна в положение Режим разработчика). После этого в меню Действие появится новая команда – Новое хранилище авторизации, с помощью которой можно создать новое хранилище авторизации.

Окно, вызываемое командой Новое хранилище авторизации (рис. 5.7), позволяет выбрать путь к хранилищу авторизации, его описание, а также формат файла, в котором хранилище будет содержаться. Возможны следующие форматы файла.