Угрозы для компьютера из локальной сети

Если вы подключены к локальной сети, то возникает две проблемы, требующие решения. Во-первых, вы должны обезопасить свои личные файлы, которые следует скрыть от доступа других пользователей сети. Во-вторых, нужно обеспечить доступ к тем файлам, которые вы желаете выставить на всеобщее пользование.

Для решения этих задач в большинстве случаев используют возможности NTFS, с помощью которого распределяют права всех пользователей сети. То есть, вы должны на своем компьютере создать несколько учетных записей для тех пользователей, которые будут иметь доступ к вашим разделенным ресурсам через локальную сеть. С этими разделенными ресурсами нужно быть очень осторожным и не выложить по случайности на общее обозрение диск С или папку «Мои документы». Для этого вы выбираете конкретную папку, которую желаете не скрывать от остальных пользователей сети, открываете «Свойства» этой папки и открываете вкладку «Доступ», в которой нужно выбрать пункт «Открыть общий доступ к этой папке». Затем переходите на вкладку «Безопасность» и указываете, какие группы пользователей имеют право доступа к этой папке (то есть, кто может читать, изменять и редактировать файлы, находящиеся в этой папке).

Лучше ограничивать круг возможных пользователей, которым позволено иметь доступ. Но если вдруг вам надо разрешить доступ для всех пользователей локальной сети, тогда следует сделать следующее: разблокировать гостевую учетную запись и установить разрешение в свойствах этой папки. Не забывайте, что в Windows XP Professional учетная запись гостя заблокирована с целью повышения безопасности. Это можно увидеть, пройдя следующий путь: «Управление компьютером» — «Локальные пользователи и группы» — «Пользователи». Также следует снять блокировку в: «Панель управления» — «Администрирование» — «Локальная политика безопасности» — «Параметры безопасности» — «Локальные политики» — «Назначение прав пользователя» (кликнув на строке «Отказ в доступе к компьютеру из сети», удалите из перечня заблокированных пользователей запись Гостя).

Также в Windows XP присутствует папка «Общие документы». Те файлы, которые в ней находятся или будут находиться, автоматически станут доступны всем пользователям этой локальной сети. Если же вы хотите это изменить и сами управлять ресурсами общего пользования, тогда удалите такой раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}. После чего выполните перезагрузку компьютера и вы увидите, что папка «Общие документы» исчезла.

В локальных сетях маленьких фирм такой способ разделения прав пользователей наиболее распространенный. Но kompik63.ru считает, что в нем есть некий недостаток, а именно – вам придется открывать порты NetBIOS, что приведет к частичной девуализации настроек безопасности. Для IP-адресов, использующих локальную сеть, нужно будет открыть порты 137, 138 и 139. при этом нужно следить за тем, чтобы они оставались закрыты для доступа в/с интернета. Не все фаерволы способны удачно разграничивать правила, что применяются к внешним или внутренним адресам. Наиболее продвинутым здесь является Norton Internet Security, который имеет вместе с мастером настройки локальной сети возможность настройки локальной сети, с помощью создания независимых профилей. Но как бы там не было, грамотно настроить систему безопасности – задание не с простых. Кроме того, где гарантия, что кому-нибудь среди пользователей внутренней сет не придет в голову мысль поискать прорехи именно в вашем компьютере.

Если у вас есть необходимость обмениваться файлами, используя городскую или «дворовую» LAN, тогда для повышения безопасности стоит отказаться от инструментов Windows и перейти к использованию FTP-сервера. После этого вы только лишь перекроете стандартный обмен файлами, но и сможете контролировать пропуск каждого входящего соединения, то есть пользователи сети, желающие скачать у вас некий файл, не смогут перебить вам выход в сеть. К тому же FTP-серверы способны создавать учетные записи для пользователей, запрещать или, наоборот, позволять анонимный доступ, а также устанавливать лимиты времени работы в сети и количества потоков. Также можно создать некое требование, соответственно с которым каждый, кто желает скачать любой файл с вашего ПК, должен сначала загрузить что-то на ваш жесткий диск. Самым распространенным среди FTP-серверов является Serv-U.

Итак, мы уже поговорили о том, как обеспечить доступ к файлам через локальную сеть. Теперь следует сосредоточить внимание на том, чтобы это не пошло нам во вред. Во-первых, выясните, нет ли в вашей системе лишних пользователей. В диалоговом окне «Управление компьютером» нужно заблокировать учетную запись гостя на вкладке пользователей (если она не нужна). А вот стандартную учетную запись SUPPORT_xxxxxxxx вообще нужно удалить. Она нужна для того, чтобы можно было получать техническую поддержку от производителя, но в то же время является потенциально небезопасной.

После этого запустите меню «Локальная политика безопасности», выберите «Параметры безопасности» — «Локальные политики» — «Назначение прав пользователя» и взгляните на такие параметры: «Access this computer from the network», «Deny access to this computer from the network», «Deny logon through Terminal Services», «Allow logon through Terminal Services», «Deny logon locally», «Log on locally». Думаете, что нереально знать их всех и их обозначение. Но на самом деле это реально. Для начала изучите все параметры secpol.msc и gpedit.msc. Они помогут поднять уровень безопасности вашей системы. К примеру, для отдельного пользователя можно сделать удаленный доступ к ПК, при этом запретить локальный вход для того, чтобы никто не мог загрузить ваш компьютер в ваше отсутствие. Поэтому поменяйте значение параметра «Deny logon locally» так, чтобы в перечне локально заблокированных записей был выбранный вами пользователь. Здесь же вы можете также запретить отдельным пользователям доступ из сети. При этом нужно правильно настроить параметр «Deny access to this computer from the network».

Вообще-то, работать в локальной сети или в интернете под учетной записью с ограниченными правами гораздо безопасней.

Вы заметили, что буквально после каждой загрузки компьютера открывается скрытый доступ к локальным дискам. Это происходит для пользователей, которые входят в группу администраторов. Если нет необходимости постоянного выполнения такого действия, тогда лучше отключить эту функцию (но лучше уточнить у администратора сети). Для этого нужно в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters установить параметр «AutoShareServer» для сервера или «AutoShareWks» для рабочей станции. Это можно реализовать с помощью System Policy Editor — POLEDIT.EXE. Чтобы проверить скрытые файлы общего доступа необходимо проверить параметр «Windows NT» — «Network» — «Sharing» — «Create Hidden Drive Shares». Иногда при отключении этих параметров возникают ошибки, тогда попробуйте вернуть все назад, как было.

Все что нам осталось рассмотреть по этой теме – это защита учетных записей паролями. Если, не дай Бог, кто-нибудь подсмотрит или как-то узнает ваш пароль, все пропало, заходи кому не лень. Если вы в своей домашней многопользовательской системе поставите пароль от детей, то это еще можно как-то защитить. Даже если ваш ребенок проявит удивительные хакерские способности и сломает ваш пароль, то здесь можно только порадоваться. Но если речь идет о рабочей сети, то последствия могут не показаться столь радостными.

kompik63.ru рекомендует запомнить раз и навсегда, ваш пароль должен быть очень сложным, не менее 14 знаков. Вы можете взять, к примеру, строчку с любимого романа (вводить знаки лучше на кириллице). Никогда не создавайте пароль в идее одного слова, его с легкостью можно сломать с помощью словаря.

И не забывайте блокировать ваш ПК, когда куда-то удаляетесь.

Угрозы для компьютера из локальной сети: 2 комментария

  1. Отличная статья. Рад видеть, что в наш информационный век находиться все больше интересных и познавательных ресурсов. А про несколько учетных записей, действительно полезно — у нас у самих проблема безопасности в офисе стоит.

  2. Согласен статья не плохая, но не смотря на это защитить себя на 100% не возможно! У хакеров множество способов для доступа к вам на компьютер. Например: Хакер удаленно отключает антивирус, юзер даже моргнуть не успеет ( поверьте это возможно, сам имел дело с подобным софтом). Затем он удаленно подключается к вашему компу, запускает пару прог, и все! Он имеет доступ к вашему компу, а дальше он может восстановить все стандартные настройки и ваши файлы будут под всеобщим обозрением! Вот так!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *