Большую опасность, особенно для систем Windows 95 / 98 играют вирусы. Обязательно следует на каждый компьютер установить антивирусный пакет (например, AVP лаборатории Касперского) и периодически обновлять его антивирусную БД.
Крайне не рекомендуется для исполняемых файлов давать право доступа Write пользователям, которым такое право не нужно. Обычно достаточно оставить его администраторам, а для остальных пользователей – право читать и выполнять их.
Хороший системный администратор должен несколько раз в сутки просматривать системный журнал контроллера домена и серверов. При большом количестве журналов можно поискать в Интернете и установить специальные средства чтения и объединения системных журналов нескольких компьютеров Windows NT в одну БД.
Рекомендуется разрешать пользователям применять алфавитно-цифровые пароли длинной не менее 7 символов и помнить 5 последних паролей. Автоматическую смену паролей рекомендуется ставить каждые 45 дней.
Для проверки паролей пользователей на стойкость рекомендуется использовать программу L0phtCrack, запустив которую на контроллере домена с администраторскими правами, можно выяснить, насколько быстро открываются пароли пользователей.
Рекомендуется как можно раньше устанавливать на используемые программные продукты так называемые заплатки (hotfix) и Service Pack’и. Информацию о них обычно можно получить с WWW-сайта производителя (например, www.microsoft.com).
Если вы хотите быть в курсе последних обнаруженных “дыр” в системе Windows NT, а также получать другую, относящуюся к безопасности NT информацию, вы можете подписаться на список рассылки NTBugTraq (www.ntbugtraq.com).
Чтобы построить действительно защищенную систему, необходимо каждый день просматривать этот и ему подобные списки рассылки и, узнав об обнаруженных уязвимостях, своевременно на них реагировать.
Среди наиболее серьезных факторов, препятствующих подключению внутренних сетей организаций любого масштаба к Интернету, нельзя не назвать проблемы обеспечения безопасности, управляемости и цены. Для их эффективного решения и предназначены брандмауэры и серверы кэширования информации.
Большинство людей знакомо с термином "брандмауэр". Он широко распространен и вполне обоснованно применяется для обозначения аппаратного или программного обеспечения, которое используется для ограничения возможностей доступа в корпоративную сеть организации из Интернета. Как правило, брандмауэры реализуют защиту на нескольких уровнях — обычно, на транспортном и сетевом уровнях. Однако, нередко брандмауэрами называют и маршрутизаторы, имеющие лишь функцию фильтрации пакетов. Кроме того, брандмауэр обычно предоставляет некоторый механизм уведомления сетевого администратора о происходящей “атаке” или “вторжении”. Некоторые продукты этой группы поддерживают также организацию виртуальных частных сетей (virtual private networks, VPN), соединяющих географически разделенные сегменты. Применение VPN позволяет реализовать недорогое защищенное соединение, например, между офисом филиала и главной штаб-квартирой корпорации по общедоступной коммуникационной инфраструктуре.
Если брандмауэры обеспечивают безопасность, то серверы кэширования и прокси-серверы — повышение производительности сети и снижение издержек. Благодаря кэшированию потребности пользователей удается удовлетворить, не передавая данные на большие расстояния по общедоступному Интернету или по корпоративной сети. В результате сокращается сетевой трафик и уменьшается коэффициент загрузки сети. В дополнение к этому, многие прокси-серверы позволяют сетевым администраторам указывать, с какими из служб Интернета могут работать их пользователи. Эти возможности называют контролем доступа пользователей и фильтрацией сервисов.
Кэширование информации уже давно играет важную роль в работе многих крупных предприятий и компаний - поставщиков Интернет-услуг (Internet Service Provider, ISP). Сегодня эта технология прокладывает себе путь в вычислительные системы менее крупных организаций, а в будущем кэширование информации, очевидно, станет важнейшей функцией для компаний любого масштаба. Все более широкое применение Интернет-технологий для построения корпоративных интрасетей и внедрение в практику push-систем, которые обеспечивают заблаговременную доставку информации по Интернету или интрасети на рабочее место пользователя, приведут, по-видимому, к дополнительному увеличению спроса на прокси-серверы.
Прокси-сервер остается более или менее прозрачным для остальных участников коммуникационного процесса — пользователя и источника информации в Интернете. Пользователь, осуществляющий доступ к Интернету со своего настольного компьютера, не должен замечать присутствия прокси-сервера между ним и Всемирной сетью помимо тех случаев, когда он пытается обратиться к службе или к узлу Интернета, доступ к которым ему закрыт. А для Web-сервера, получающего по Интернету запросы от прокси-сервера, они должны быть неотличимы от запросов, полученных непосредственно от средства просмотра Web-ресурсов или FTP-клиента.
Описанный сценарий требует, чтобы прокси-сервер был двусторонним, то есть компьютер, на котором он работает, должен быть оснащен двумя сетевыми интерфейсами: один для подключения к сети предприятия, а второй — для связи с внешним миром, в данном случае — с Интернетом
Microsoft Proxy Server 2.0 представляет собой брандмауэр с расширяемым набором функций и сервер кэширования информации, применение которого на предприятии любых масштабов позволяет повысить безопасность доступа к Интернету, а также сократить время отклика и повысить эффективность функционирования сети в среднем на 50%.
Microsoft Proxy Server входит в состав семейства серверных приложений Microsoft BackOfficeÒ.
Microsoft Proxy Server выполняет опережающее кэширование ресурсов, к которым пользователи обращаются чаще всего, обеспечивая их постоянную актуальность и доступность. Данные автоматически заблаговременно загружаются из сети и обновляются на основе эвристических алгоритмов, учитывающих статистику обращений.
В дополнение к защите на уровне приложений и защите на уровне коммуникационных каналов этот продукт поддерживает динамическую фильтрацию пакетов. Он дополнен также функциями выдачи предупреждающих уведомлений и ведения регистрационного журнала, которые необходимы пользователям брандмауэров. Сверх того, совместное использование Microsoft Proxy Server с модернизированной службой Routing and Remote Access Service ОС Windows NT Server позволяет реализовать экономичные и защищенные виртуальные частные сети (Virtual Private Network, VPN).
Microsoft Proxy Server может играть важную роль в комплексной стратегии обеспечения безопасности информационной системы организации. Пользователям предлагается широкий выбор фильтров для защиты от вирусов и вредоносных программных компонентов, основанных на технологиях Java и ActiveXÔ, средств блокировки доступа к нежелательным узлам, а также других средств защиты, производимых независимыми компаниями и опирающихся на платформу Microsoft Proxy Server.
MS Proxy Server, используемый в нашей типовой сети, должен выполнять следующие функции:
- служить шлюзом между внутренней сетью организации и сетью Интернет. Т.о., организации для подключения к Интернету можно не получать от провайдера блок IP-адресов, а достаточно всего одного адреса;
- выполнять функции Web Proxy, в том числе кэшировать информацию, запрашиваемую пользователями внутренней сети по протоколу HTTP;
- выполнять функции WinSock Proxy и Socks Proxy, обеспечивая прозрачный доступ в Интернет для приложений, работающих под управлением ОС Windows и приложений, поддерживающих протокол Socks;
- разграничивать доступ в Интернет на уровне пользователей, используя список пользователей и групп Windows NT (Web Proxy, WinSock Proxy);
- разграничивать доступ в Интернет на уровне компьютеров (Sock Proxy);
- выполнять динамическую фильтрацию TCP, UDP и IP-пакетов, контролируя трафик различных служб в направлении внутренней сети и наоборот (брандмауэр);
- служить шлюзом для доступа к серверам внутренней сети из сети Интернет по таким протоколам, как SMTP, POP3, HTTP.
MS Proxy Server 2.0 должен устанавливаться на компьютер, работающий под управлением Windows NT 4.0 Server с установленным MS Internet Information Server и Service Pack 3 или выше.
Перед установкой необходимо знать IP-адреса внутренней сети и IP-адрес внешнего интерфейса компьютера, на который устанавливается прокси-сервер.
Т.к. WebProxy для кэширования может использовать только раздел жесткого диска с файловой системой NTFS, на жестком диске должен быть как минимум один такой раздел.