Работа с модула за защита на шаблони. Настройки на Internet Explorer. Промяна на настройките на шаблона за защита
Колкото и да е странно, опитът в преподаването на курсове в Защита на Windows 2000 и Windows сървър 2003 г. в нашия учебен център показва, че дори сега, в началото на 2004 г., тоест четири години след въвеждането на Active Directory, квалифицираните специалисти нямат ясно разбиране за груповите политики, основният инструмент за конфигуриране на Active Directory. По-специално, възможността за копиране на разрешения за файлове и настройки на регистъра с помощта на групови правила е от голям интерес в нашите курсове. Тази статия е посветена на този въпрос.
Политики и шаблони
Всички читатели вероятно са запознати с инструментите за проверка на настройките за защита на компютъра за съответствие с шаблон и редактиране на шаблони за защита на компютъра - модулите за защита на шаблони и конфигуриране и анализ на сигурността. Обучението за работа с тези инструменти е включено в програмата на официалните курсове на Microsoft; използването им е описано в литературата (вижте например „Мрежова сигурност на Базиран на Windows 2000: Обучителен курс по MCSE.“ М.: Руско издание, 2001 г.), включително в статии в списания („Всичко наведнъж“ от С. Гордейчик в № 1 Windows & .NET Magazine/RE за 2003 г.; „Дизайнер на шаблони за сигурност“ от М. Минаси в № 5 Windows & .Net Magazine/RE за същата година). Всички тези материали споменават, че шаблоните за сигурност могат да бъдат импортирани в групови политики, като по този начин се възпроизвеждат настройките, записани в тях. Във всички статии се казва, че с помощта на шаблони за защита можете да конфигурирате разрешения за обекти на файловата система и настройки на системния регистър. Но никъде не се набляга на това. Нека запълним празнината.
 |
| Екран 1: Добавка за шаблони за защита |
Нека да разгледаме добавката за шаблони за защита (вижте Фигура 1). Ако отворите някой от наличните в системата шаблони, ще видим, че съдържа разклонения Файлова система, Регистър и системни услуги. Тези клонове съхраняват информация за разрешенията за обекти на файловата система, настройките на регистъра и съответно услугите. Просто щракнете двукратно върху който и да е обект в тези клонове и щракнете върху бутона Редактиране на защитата в прозореца, който се отваря - ще се отвори стандартен прозорец за редактиране на списъка с разрешения за обект. Малко хора знаят, че достъпът до системните услуги може да бъде ограничен и чрез задаване на разрешения: някой има право само да преглежда състоянието на услугата, някой има право да спира и стартира услугата и т.н.
Ако обектът, който ви интересува, не е в списъка, трябва да изберете Добавяне на файл или папка, Добавяне на ключ или Добавяне на системна услуга от менюто Всички задачи, след което отидете на обекта на вашия компютър, ако съществува, или въведете пълния път към файла/папката или регистъра на параметрите от клавиатурата. От услугите можете да изберете само тези, които са налични на компютъра, на който се изпълнява конзолната добавка.
Можете да конфигурирате системните настройки в съответствие с това, което е посочено в шаблона, по три начина: с помощта на модула за конфигуриране и анализ на сигурността, чрез командния ред с помощта на командата Secedit и чрез групови правила. Последната опция е за предпочитане пред останалите, тъй като ви позволява да копирате тези настройки на голям брой компютри наведнъж. Инкременталните шаблони за сигурност (вижте гореспоменатата статия от S. Gordeychik) също са удобни за прилагане с помощта на групови политики и техния механизъм за наследяване на параметри.
Можете да импортирате съдържанието на шаблон за защита във всеки GPO, както показва Фигура 2, и след това да промените настройките, които искате.
В конзолната добавка на редактора на групови правила за желания GPO изберете клона Настройки на компютъра - Настройки на Windows - Настройки за защита. След като извикате менюто Всички задачи за този клон, трябва да изберете елемента Правила за импортиране и в прозореца, който се отваря, изберете необходим файлс INF разширение, съдържащо параметрите на необходимия защитен шаблон. След това можете да редактирате тези настройки. Съответният интерфейс напълно възпроизвежда интерфейса за редактиране на шаблон за защита в модула за защита на шаблони.
Къде да вземем шаблони
Шаблоните могат да се вземат от различни места. На първо място, има стандартен набор от шаблони за защита, които идват с операционната система. Пълен прегледТакива шаблони се съдържат в публикациите, споменати по-горе; само ще отбележа, че разрешенията за файлове и ключове в регистъра са конфигурирани само в следните шаблони:
- Basicws.inf, Basicsv.inf и Basicdc.inf са шаблони за защита със стандартни настройки по подразбиране за Windows 2000 Professional, Windows 2000 Server и Windows 2000 домейн контролери; те не се прилагат за компютри, работещи под Windows Server 2003;
- Setup Security.inf е шаблон за защита с параметри, използвани веднага след инсталирането за всеки конкретен компютър под Windows контрол 2000, Windows XP или Windows Server 2003; не трябва да се импортира чрез групови правила, с изключение на много подобни настройки за всички компютри в OU, вместо това можете да включите в груповите правила скрипт, съдържащ извиквания на Secedit за този шаблон;
- Compatws.inf е шаблон, който отслабва сигурността за съвместимост с по-стари програми; съдържа, наред с други неща, по-малко строги ограничения за достъп до системни файлове;
- Ocfilesw.inf и Ocfiles.inf - шаблони, описващи стандартни разрешения за достъп до файлове допълнителни компонентивключено в Windows 2000: Internet Explorer 5.0, NetMeeting, IIS 5.0 и др.
Освен това Microsoft пуска шаблони за защита, съдържащи настройки за своите приложни програми, както и системни компоненти, които не са описани в стандартните шаблони. Сред тях:
- Notssid.inf - шаблон, който изключва от списъците за достъп Windows сървър 2000 споменаване на групата за терминални услуги; може да се използва като инкрементален на тези компютри, където планирате да използвате стар софтуер в режим на терминален сървър;
- Certificate Services.inf - шаблон за защита с параметри за услугата за сертификати на Windows 2000;
- Файл и печат incremental.inf - шаблон с настройки за Windows 2000 или Windows Server 2003 (трябва да се изтегли от уебсайта Версия на Microsoft, съответстващ на версията операционна система), който играе ролята на файлов и печат сървър;
- Infrastructure Incremental.inf - шаблон с настройки за Windows 2000 или Windows Server 2003 сървър, който обслужва мрежовата инфраструктура - съдържащ DNS, WINS, DHCP услуги и др.;
- IIS Incremental.inf - шаблон с настройки за Windows сървъра, работещ с IIS услуги;
- Exchange DC Incremental.inf, Exchange Back End Incremental.inf и OWA Front End Incremental.inf - шаблони с настройки за Microsoft Exchange елементи.
Горният списък далеч не е пълен; нови шаблони се появяват редовно.
Някои организации и отдели също предлагат свои собствени версии на шаблони за сигурност. Тези модели засягат списъците за достъп до файлове и компоненти на систематачрез регистъра. По-специално, Агенцията за национална сигурност на САЩ предлага своите шаблони за Windows 2000 ( www.nsa.gov) и Националния институт за стандарти и технологии на САЩ ( www.nist.gov). За Windows Server 2003 и двете организации препоръчват използването на шаблоните, предоставени с Windows Systems Security Guide. Windows платформасървър 2003" ( Microsoft WindowsРъководство за защита на Server 2003).
Шаблоните, предлагани от NIST, могат да представляват интерес за „любителите на антики“, защото заедно с файловете, включени в стандартната инсталация на операционната система Windows 2000 Professional, те описват списъци за достъп за файлове и ключове в регистъра, съответстващи на Netscape Navigator 4.6, инсталиран на компютър.
Направи си сам
Представете си ситуация: искате да разпределите настройки за достъп до обекти на програма, инсталирана на компютър, чрез шаблони за сигурност или групови правила, но не можете да намерите готов шаблон, описващ тази програма. В този случай ще трябва да направите шаблона сами.
Ако програмата е проектирана със стандартно разположение на компонентите, тогава всичко е просто: трябва да добавите папката на програмата към шаблона, по подразбиране C: Program Files и стойността на системния регистър HKEY_LOCAL_MACHINESoftware. За тези обекти има смисъл да се задават разрешения: Администратори - Пълен контрол, Потребители - Четене с наследяване на разрешения от дъщерни обекти. Тези програмни файлове, в който инсталаторът на приложението пише системна папка%Windir%System32 и папката C:Program FilesCommon Files ще наследят подобни разрешения от посочените папки. В случай на програма със стандартно разположение на компонентите, всички персонализирани индивидуални параметри за потребителя се записват в неговия профил, пътя, към който програмата изисква от системата, както и в клона на регистъра HKEY_CURRENT_USER.
За съжаление, не всички програми са написани със стандартно разположение на компонентите. В този случай е необходимо изследване на програмата както по време на процеса на инсталиране, така и по време на по-нататъшна работа. Тук можете да използвате и двете стандартни средстваРегистриране и одитиране на събития в Windows, както и допълнителни помощни програми. Има две безплатни комунални услуги, разработен от Sysinternals (www.sysinternals.com), Filemon и Regmon. Те са предназначени да проследяват операциите с файлове и регистър. В този случай е трудно да се използва одит на достъп до обекти за записване на събития за сигурност на Windows, тъй като използването му изисква конфигурация на ниво отделни обекти - папки, файлове и ключове в регистъра, и те все още трябва да бъдат идентифицирани за новоинсталирана програма. Регистрация на събитието и Одит на WindowsЩе трябва обаче да го активирате: трябва да активирате регистрацията на събития в категорията за проследяване на процеси. За какво - ще бъде казано по-долу.
 |
| Екран 3: Filemon |
Препоръчваме ви да стартирате Filemon (Фигура 3) и Regmon непосредствено преди да стартирате помощната програма за инсталиране на програмата и да съберете информация за операциите с файлове и регистър, които се случват по време на процеса на внедряване. След това най-важното е да запазите получените протоколи, преди да рестартирате компютъра след инсталиране на програмата.
Регистрационните файлове, създадени от Filemon и Regmon, са CSV текстови файлове, които могат да бъдат импортирани в Excel или Access за анализ. Тези регистрационни файлове записват всички операции, в хронологичен ред, които са извършени на компютъра, както по време на инсталационната програма, така и по време на работата на системните услуги или други програми, изпълнявани по това време. Следователно обработката на регистрационния файл се свежда до две основни операции: първо, трябва да филтрирате всички операции, с изключение на записите на файлове и записите в системния регистър, и след това да отхвърлите всички операции, с изключение на тези, инициирани от инсталационната програма (или услугата Microsoft Installer, процеса MSIExec) и процеси, породени от процесните инсталации. За да идентифицирате тези процеси, трябва да анализирате журнала за проверка на събитията в категорията Проследяване на процеси.
За останалите записи трябва да създадете отчет, изброяващ включените обекти - файлове, папки и ключове в регистъра. Този отчет трябва да бъде експортиран в текстов файл, след което минимален допълнителен дизайн ще го превърне в готов защитен шаблон:
- трябва да се раздели на две части, отделно за файловете, отделно за ключовете в регистъра;
- Преди тези части трябва да вмъкнете стандартни заглавки: преди списъка със секции на системния регистър и преди списъка с файлове.
След това трябва да вмъкнете общ стандартен хедър в началото на файла, да поставите всеки ред в кавички и да го поставите в края на реда след кавичките: “,0,”D:AR(A;CI;KA;;; BA)(A;CI;KR;; ;BU)"" (точно този текст, само външните кавички да се махнат). Можете да възпроизведете този ред на вашия компютър, като направите тестов образец с разрешения, зададени за един файл и един ключ на системния регистър, и след това отворите съответния INF файл в Notepad (вижте по-долу). списък 1). Резолюциите, показани в списъка, съответстват на стандартните разделителни способности по подразбиране в Windows средаСървър 2003.
Излишно е да казвам, че полученият шаблон за настройки трябва първо да бъде тестван, преди да бъде разпространен чрез групови правила. В повечето случаи най-вероятно няма да е възможно незабавно да създадете работещи настройки.
Факт е, че много програми записват своите междинни работни данни директно в папката на програмата, а не в папката, посочена в променлива на средата%TEMP%. Често е необходимо да се използват такива програми, написани за Windows 95/98/ME, тъй като по една или друга причина не е необходимо да се чакат нови версии, написани, като се вземат предвид изискванията на многопотребителска операционна система, която осигурява контрол на достъпа до ресурси. Ако зададете разрешенията, посочени по-горе за файлове и папки (Администратори - Пълен контрол, Потребители - Четене и изпълнение, наследяване на разрешения от папката към дъщерни обекти), тогава такава програма може да бъде стартирана и използвана напълно само ако имате администраторски права за този компютър. В този случай отново ще трябва да използвате мониторинг на събития, но не по време на процеса на инсталиране, а по време на ежедневна работапрограми.
Отново трябва да използвате помощните програми Filemon и Regmon, да активирате регистрацията на събития в категорията за проследяване на процеси, за да идентифицирате дъщерните процеси, стартирани от тази програма, и да проследите и тяхната дейност. Освен това е необходимо да се активира регистрацията на събития в категорията Използване на потребителски права: възможно е, за да се гарантира функционалността на програмата, потребителите да трябва да получат някои системни привилегии, които администраторът първоначално има.
Когато обработвате протоколи, получени с помощта на програмите Filemon и Regmon, трябва:
- оставят записи, свързани с дейността на основния програмен процес и неговите дъщерни процеси, чийто списък ще бъде предоставен чрез анализ на журнала Windows регистрацияотносно събития в категорията Проследяване на процеси;
- като използвате стандартните инструменти на програмата, в която се импортират протоколи за мониторинг във формат CSV за обработка, създайте отчет за всеки ресурс, достъпен от въпросните процеси, и посочете списъка с типове достъп, поискани от процесите;
- Този отчет трябва да бъде анализиран и съдържащите се в него файлове и ключове на регистъра да бъдат добавени към шаблона за защита, създаден в резултат на наблюдение на инсталацията, предоставяйки съответните разрешения на групата Потребители.
Освен това трябва да анализирате регистъра на събитията за сигурност на Windows за събития в категорията Използване на потребителски права, свързани с процесите, които се изследват. Ако споменава системни привилегии, които не са предоставени по подразбиране на групата Потребители, ще трябва да добавите настройки към раздела Локални правила - Присвояване на потребителски права в шаблона за защита на програмата, които предоставят съответните права и привилегии на групата Потребители. Би било по-добре да не правите това, тъй като разширяването на правата на групата Потребители отслабва защитата на компютъра, но ако в противен случай необходима програмане работи, няма къде да отиде.
Друг начин
Ако Windows XP или Windows Server 2003 е инсталиран на машината, вместо да манипулирате Filemon и Regmon, можете да промените прекия път на програмата, така че да стартира в режим на емулация работна средапо-рано Windows версии. Но ако се използва емулация, различна от Windows NT/2000, работата в този режим води до увеличени права този процесна ниво локален администратор или дори системно ниво, което отрича цялата защита, предоставена от операционната система. Следователно в корпоративна среда едва ли си струва да използвате тази възможност - рискът е твърде голям. От вас обаче зависи да оцените нивото на риска, да го сравните с придобитото удобство и, въпреки че в крайна сметка може да се наложи шефът ви да вземе решение, вие отново носите отговорност за последствията. В допълнение, такива настройки за пряк път на програмата, за разлика от разрешенията за файлове и регистър, не могат да бъдат копирани чрез шаблони за защита и групови правила.
Алексей Соцки е учител в центъра за обучение, има сертификати MCSE, MCT. С него може да се свържете на:
1. „Пазачът“ на пула от уникални идентификатори за сигурност е
2. 1000 GB форма
3. 1000 TB формуляр
5. Active Directory може да бъде запитван с помощта на протокола
6. Поддържа се Active Directory
7. Тъй като дължината на веригата се увеличава, производителността на диска
8. CIFS е протокол
9. FAT съдържа записи
10. GPO Default Domain Policy съдържа
11. Intellimirror е внедрен в зони, които включват
12. Intellimirror се реализира с помощта на
13. Intellimirror се реализира с помощта на
14. IP е протокол
15. IPSec осигурява VPN връзка
16. IP адреси в домейна in-addr. arpa се записват
17. ISDN се използва за предаване на данни
18. LDAP указва път за именуване, който дефинира
19. MFT е
20. NetBIOS е презентационният слой
21. NLB Manager ви позволява да промените конфигурацията
22. NLB извършва филтриране на пакети
23. NLB прихваща пакети
24. NT4 изпълнява преобразуване на име, ако името NetBIOS
25. OU организира определени обекти на домейн във формуляра
26. RSS работи само на томове, форматирани с
27. Поддържа се RSS
28. Може да се приложи филтриране за сигурност
29. Извиква се UDP версията на FTP
30. Компонентите на Windows се използват за конфигуриране
32. Windows Server 2003 може да бъде
33. Windows Server 2003 осигурява операции за дистанционно управление чрез
34. WINS се използва за имена
35. WINS показва IP адреси
36. Автономен корен има
37. Администраторите управляват клъстера с помощта на
38. Можете да активирате и конфигурирате ключалки
39. Аплетът RIS Wizard е проектиран да позволява
40. Базата данни на ниво гора, която съдържа обектни класове и атрибути за всички обекти, съдържащи се в Active Directory, се нарича
41. Без поддръжка за големи прозорци при предаване на данни през TCP/IP, максималният размер на прозореца обикновено е равен на
42. Още подробни настройки NTFS защитата може да бъде зададена
43. Повечето от настройките, свързани с Intellimirror, обикновено се задават в модула GPOE, в раздела
44. Бързото извършване на обратно търсене с помощта на зоната за обратно търсене се извършва с помощта на
45. В DOS 4.0 FAT записите имаха размера
46. RIS използва технология за съхранение на елементи
47. Услугата за време е активирана в Windows Server 2003
48. Windows Server 2003 използва метод за криптиране за IPSec
49. Windows Server 2003 използва файлова система
50. В Windows Server 2003, модулът за IP Монитор за сигурностосигурява
51. В Windows Server 2003 домейн акаунтите се съхраняват и управляват
52.V автономна система DFS root се съхранява
53. Можете да включвате хора в глобални групи
54. В домейн акаунтите представляват
55.V имена на домейнистаршинство
56. Информацията за малък дъмп включва
57. Кои версии на Windows Server 2003 включват NLB?
58. Какви опции са налични за инсталируеми приложения?
59. Кой помощен файл описва настройките на правилата за безжична мрежа?
60. Кой помощен файл описва настройките на политиката за ограничаване на софтуера?
61. В кой режим не се създават универсални групи?
62. В сървърен клъстер всеки компютър се извиква
63. Б минимални изискванияМрежовата инфраструктура на RIS включва използването
64. В нормален режим системният ключ се записва в системния регистър с помощта на
65. Организационните единици могат да включват
66. Сертификатът обикновено включва информация
67. DCE средата използва модел
68. Мониторингът може да се извършва за оптимизиране на производителността
69. Каква е основната разлика CSV файловеот TSV файлове?
70. В горната част на транспортния слой на OSI модела, мрежовата архитектура на Windows Server 2003 има интерфейс
71. Вместо FAT таблица, NTFS използва специален файл, наречен
72. Номерът на вътрешната мрежа е
73. Извиква се времето за предаване и потвърждение за приемане
74. Всички компютри в клъстер могат да бъдат посочени с помощта на
75. Всички протоколни стекове работят на Windows компютър Server 2003, предават своите заявки за мрежови услуги
76. Всички броячи, свързани с файла за виртуална памет, се съдържат в обекта
77. Всички текущи потребители на мрежата, включително гости и потребители от други домейни, са включени в групата
78. Изберете възможни ключове за chkdsk:
79. Изберете от следните командни записи на конзолата за възстановяване:
80. Изберете типове DNS заявки от записите по-долу:
81. Изберете помощните файлове, свързани с групови правила Windows Server 2003 от записите по-долу:
82. Изберете от следните командни записи на конзолата за възстановяване:
83. Изберете от записите под типовете Настройки за сигурностНастройки в възела за конфигурация на компютъра, достъпни чрез групови правила:
84. Изберете типовете зони, поддържани и внедрени от GPO?
85. Изберете форматите на регистрационните файлове от записите по-долу:
86. Изберете разделите на диалоговия прозорец RSOP:
87. Маркирайте възможните източници на справочна информация:
88. От следните записи подчертайте предимствата на FAT32 пред FAT:
89. Изберете групите вградени контейнери от записите по-долу:
90. Изберете от следните записи групите, които съществуват на членски сървър, работещ под Windows Server 2003:
91. Изберете от записите по-долу действията, които притежателят на съответните правомощия може да извърши:
92. Изберете домейни от записите по-долу най-високо ниво:
93. Изберете Nlb команди от записите по-долу. exe:
94. Изберете компонентите на DFS от записите по-долу:
95. Изберете компонентите на SFNW5 от записите по-долу:
96. Изберете от следните RIR организационни записи:
97. Изберете от следните записи инструментите за групови правила, използвани за управление:
98. Изберете средствата от записите по-долу достъп до мрежатане са включени в 64-битовите версии на Windows Server 2003:
99. Изберете от следните записи типовете доверителни взаимоотношения в Windows Server 2003:
100. Изберете от записите под възлите, които съдържат информация за услугите, които работят в мрежата:
101. Идентифицирайте DHCP подобренията, направени в Windows Server 2003 от следните записи:
102. Изберете TCP/IP помощни програми от записите по-долу:
103. Изберете събития от системния доставчик:
104. Идентифицирайте компонентите на TCP хедъра:
105. Изберете съществуващите GPO в Windows Server 2003:
106. Изберете онези обекти, които се съдържат във всяка система:
107. Къде могат да бъдат разположени домейн групите?
108. Къде се записват данни при възникване на събитие, генерирано от операционната система или приложение?
109. Основният компонент на Kerberos е
110. Основният браузър е по подразбиране
111. Глобалните групи могат да съдържат
112. Глобални групи, в които не може да се постави местни груписе наричат доверени домейни
113. Група компютри, които работят заедно като едно цяло, се нарича
114. Една група може да съдържа
115. Извиква се групата от настройки, които определят работната среда на потребителя
116. Извиква се група от отделни сървъри, работещи заедно като една система
117. Групови политикиприлагам
118. Групите, които се създават, за да определят правомощията и правата на потребителите, са винаги
119. Репликират се данни с най-висок пореден номер на актуализация
120. Данните, записани от приложенията, се съхраняват в папка
121. Двоичният лог файл има разширение
122. Дисковите квоти са
123. За Windows Server 2003 най-често срещаната топология е
124. За да добавите или премахнете домейни в гората, използвайте ролята
125. За достъп до файлови и печатни ресурси на NetWare сървъри използвайте услугата
126. За кой от следните обекти е подходящ NLB?
127. NLB може да се използва за кой от следните протоколи?
128. Какви натоварвания могат да бъдат характеризирани?
129. За домейн контролерите търсеното време е времето
130. За да коригирате използването на софтуер
131. Малък дъмп изисква суап файл от поне
132. За да определите компонента на името на DNS на обект на Active Directory, използвайте
133. Използва се услуга за наблюдение и управление на сменяеми устройства за съхранение
134. За да поддържате съответния продукт на нивото на текущите промени, както и да коригирате проблеми, възникнали след пускането на този продукт, използвайте
135. Използва се съобщение за търсене на DHCP сървъри
136. За сегментиране различни видовеизползват се рамки, които могат да съществуват в дадена мрежа
137. За да създадете и поддържате връзки от точка до точка, PPP използва
138. За да бъдат тръстовете на домейни и гори преходни, съответният тръст трябва
139. За да опростите администрирането на домейна,
140. За какво Windows Server 2003 използва сертификати?
141. За какво се използва KDC?
142. За какво се използва групирането?
143. Какви са помощните програми за планиране на капацитет на трети страни, използвани за Windows Server 2003?
144. За какво са публичните IP адреси?
145. Преди да се договори за наем потенциален клиент DHCP работи
146. Доверителните отношения между корените на два различни домейна на една и съща гора са от тип
148. Извиква се домейн в друг домейн
149. Достъпът до ресурсите на домейна се разрешава в зависимост от
150. Единицата за поставяне на файлове в NTFS е
151. Ако поддръжката на IGMP Multicast е активирана, съответният мултикаст IP адрес трябва да е валиден IP адрес
152. Ако времето не може да се синхронизира три пъти подред, тогава периодът до успешна синхронизация ще бъде равен на
153. Ако група е създадена на компютър, който не е домейн контролер, мога ли да избера типа на групата като "локален"?
154. Ако потребител или приложение извлече втори файл в рамките на десет секунди от първия файл, той се извиква
155. Ако потребител трябва да използва файл, който няма кеширани данни на тома, се извиква процес
156. Ако са изтекли 50% от времето от текущия наемен период, тогава клиентът влиза в състояние
157. Ако синхронизирането на времето е успешно три пъти подред, като се използва период от 45 минути, тогава се задава нов период, равен на
158. Ако е създадена група, това е по подразбиране
159. Ако състоянието на сървър в клъстер се промени, активните сървъри стартират процес, наречен
160. Регистрационните файлове за проследяване са различни от регистрационните файлове на брояча
161. Дневниците за проследяване следят събитията
162. Извикват се задачите, които потребителите могат да изпълняват при работа с обекти на NTFS диск
163. Извикват се задачите, които потребителите могат да изпълняват, когато работят с настройките на компютъра или домейна
164. Извикват се FAT записи, които сочат към всеки блок за разпределение за фрагментиран файл
165. Извършва се запис на статистика на работа или използване на системата за локални и отдалечени системи
167. Стойността на приоритета може да се промени
168. Стойности, които се използват за измерване на производителността на продукти като процесори, видео карти, устройства за съхранение твърди дискове, приложенията и системите като цяло се наричат
169. Извиква се идентичен споделен ресурс на друг сървър в DFS
170. От колко полета се състои IP хедъра?
171. От записите, изброени по-долу, маркирайте интерфейсите на потребителския режим:
172. От записите по-долу маркирайте IPSec възможностите:
173. От записите по-долу маркирайте контейнерите, които са създадени в Windows Server 2003:
174. От записите по-долу изберете имената на протоколите за рутери:
175. От записите по-долу изберете обектите, чиято информация се съдържа в Active Directory:
176. От записите по-долу изберете обектите, които се намират във всяка система:
177. От следните записи маркирайте правилата за проверка, които можете да използвате, за да подобрите защитата на Windows Server 2003:
178. От записите по-долу идентифицирайте ролите на ниво гора:
179. От записите по-долу маркирайте скриптовете, които могат да се изпълняват с помощта на WSH:
180. От записите по-долу маркирайте съобщението, използвано от клиентите, за да поискат конкретен IP адрес:
181. От записите по-долу маркирайте съобщението, използвано от сървърите за отказ на съгласие на клиент за IP адрес:
182. От записите по-долу изберете специални групи:
183. От записите по-долу изберете онези обекти, които могат да бъдат включени в групи:
184. От записите по-долу изберете помощни програми за работа с Active Directory:
185. От дефинициите по-долу идентифицирайте типовете DNS записи:
186. От елементите по-долу маркирайте записите в системния регистър от страна на клиента:
187. Има двоично представяне на IP адрес: .... На кой IP адрес отговаря?
188. UPN името за влизане е определено
189. Името, което потребителите виждат в DFS, се извиква
190. Информацията за акаунта на домейн се съхранява
191. Информацията за сигурност, която е добавена към файла, който се възстановява, съдържа
192. Използване на RSS
193. Типът на използваното IPSec криптиране се определя от
194. С помощта на GPOE можете
195. Атрибутите на файла трябва да включват
196.К важни ресурси, чийто мониторинг е задължителен за всеки сървър, трябва да бъдат приписани
197. Опциите на журнала за резервна операция включват:
198. Към опциите за местоположения на файлове, когато архивиранетрябва да се припише
199. Вградените потребителски акаунти трябва да включват
200. Основните предимства на NLB за приложения включват
201. Групите на контейнера Users трябва да включват
202. Действията, които могат да бъдат извършени от притежателя на съответните правомощия, трябва да включват
203. Домейните от първо ниво трябва да включват
204. Записите в регистъра от страна на клиента трябва да включват
205. Информацията, която SYSKEY може да защити, включва:
206. Информацията, съдържаща се в сертификата, трябва да включва
207. Клъстерните технологии на Microsoft Windows Server 2003 включват
Developer Project предлага поддръжка за полагане на изпити за курсове за обучениеИнтернет университет по информационни технологии ИНТУИТ (ИНТУИТ). Отговорихме на изпитните въпроси на 380 курса INTUIT (INTUIT), общо въпроси, отговори (някои въпроси от курса INTUIT имат няколко верни отговора). Актуален каталог с отговори на изпитни въпроси за курсове INTUITпубликуван на уебсайта на асоциация Developer Project на адрес: http://www. dp5.su/
Потвърждение на верните отговориможете да намерите в секция “ГАЛЕРИЯ”, горно меню, където са публикувани резултатите от изпитите за 100 курса (сертификати, сертификати и приложения с оценки).
Още въпроси за 70 курсаи отговорите на тях са публикувани на сайта http://www. dp5.su/, и са достъпни за регистрирани потребители. За други изпитни въпроси за курсове INTUIT, ние предоставяме платени услуги(вижте горния раздел на менюто „ПОРЪЧАЙТЕ УСЛУГА“. Условия за поддръжка и помощ при полагане на изпити учебна програмаИНТУИТпубликуван на: http://www. dp5.su/
Бележки:
- грешките в текстовете на въпросите са оригинални (INTUIT грешки) и не се коригират от нас поради следната причина - по-лесно се избират отговори на въпроси с конкретни грешки в текстовете;
- някои въпроси може да не са включени в този списък, тъй като са представени в графична форма. Списъкът може да съдържа неточности във формулировката на въпросите, което се дължи на дефекти в разпознаването на графики, както и на корекции от разработчиците на курса.
Оборудване в MMC конзолата ви помага да получите информация за настройките за защита на локалния компютър. Ако даден потребител не може да изпълнява определени локални или отдалечени задачи, причината за това може да е, че настройките за защита, които потребителят е приложил, са твърде строги.
Въпреки че вероятността това да се случи е малка, никога не подценявайте потребителя. Излишно е да казвам, че има ситуации, при които нов администратор, след като е научил, че има такова нещо като „сигурност“, ограничава достъпа до сървъра толкова много, че никой не може да получи достъп до сървъра. Именно в такива ситуации оборудването идва на помощ Конфигурация и анализ на сигурността.
Конфигурация и анализ на сигурносттае MMC конзолна добавка, така че за да я отворите, трябва да заредите конзолната добавка в конзолата за управление. За да направите това, изпълнете следната последователност от действия:
1. Изберете Старт > Изпълнение, влезте mmcв диалоговия прозорец Бягайи щракнете върху бутона добре.
2.
В MMC конзолата натиснете клавишната комбинация
3. Кликнете върху бутона Добавете.
5. Кликнете върху бутона затворив диалоговия прозорец Добавяне на самостоятелна добавка. След това щракнете върху бутона добрев диалоговия прозорец Добавяне/премахване на добавка.
След това сте готови да извършите системен анализ. Анализът изисква тестване на системата спрямо известен модел на сигурност. За диагностични цели е най-лесно да използвате шаблона по подразбиране при анализиране. В Windows Server 2003 и Windows XP шаблонът по подразбиране се съхранява във файла настройка security.inf(или DC Security.infза домейн контролери) и представлява настройките за сигурност, които ще се използват веднага след инсталирането на операционната система.
Шаблонът Setup Security е подобен на основните шаблони, използвани в Windows 2000 и по-стари операционни системи.
За да анализирате настройките за сигурност на системата, изпълнете следната последователност от действия:
1. Кликнете щракнете с десния бутонмишка на щракване Конфигурация и анализ на сигурносттаи изберете отбор .
2. За целите на тестването можете да създадете нова базаданни, така че в полето Име на файлдиалогов прозорец Отворете базата даннивлизам тести щракнете върху бутона Отворете.
3. Сега, в диалоговия прозорец Импортиране на шаблонизберете файл настройка security.infи щракнете върху бутона Отворете.
4. След като импортирате шаблона, можете да започнете да анализирате настройките за сигурност на системата. За да направите това, щракнете с десния бутон върху модула Конфигурация и анализ на сигурносттаи изберете отбор Анализирайте компютъра сега.
5. В диалоговия прозорец Извършване на анализвъведете нов път към регистрационния файл за грешки или оставете стария път към файла и щракнете върху бутона OK.
Завършването на системния анализ ще отнеме няколко минути. След като анализът приключи, модулът ще покаже списък с настройки за сигурност. Разликите от шаблона за защита са много лесни за забелязване, тъй като разликите са подчертани с червен X.
Никога не знаете на какво ще се натъкнете, особено когато работите в мрежата на някой друг. Практически пример: веднъж авторът на статията не успя да се свърже с определен сървър, въпреки че необходимите папки бяха предоставени за публичен достъп. Както се оказа по-късно, сървърът изискваше използването на криптиран канал за предаване на данни и клиентите не можеха да предоставят криптиран канал, дори ако потребителят го поиска.
С други думи, клиентът се опита да започне сесия със сървъра и сървърът отговори: „Ще комуникираме само по криптиран канал.“ Клиентът възрази: „Не, няма да има криптиран канал.“ На което сървърът отговори: „Чат с вашия потребител“. Въпреки че тази аналогия може да изглежда глупава, не забравяйте, че този проблем беше лесно открит чрез преглед на отчета за модула Конфигурация и анализ на сигурносттаза разлики в настройките на криптирания канал на сървъра и на клиентските компютри.
Понякога е достатъчно да знаеш това необходим инструментсъществува. Много хора рядко, ако изобщо използват щракването Конфигурация и анализ на сигурността, но самото знание за съществуването на такова оборудване може да направи потребителя герой на деня.
Шаблони за сигурност
При разглеждане на оборудването Конфигурация и анализ на сигурносттаОказа се, че за да се извърши анализ на настройките за сигурност, трябва да има известен модел за сигурност, с който да се сравнява.
Ако трябва да видите и конфигурирате настройките на шаблона, преди да стартирате системен анализ, можете да използвате Шаблони за сигурност. За да заредите модула, можете да използвате процедурата, описана в предишния раздел, ако не сте го направили преди.
След като модулът се зареди в конзолата, можете да започнете да преглеждате и анализирате настройките за всеки от шаблоните за защита.
В CG No. 40 за 2006 г. беше публикувана статията ми за функциите за сигурност, вградени в Windows XP. В него описах компонентите и възможностите, които XP има, за да осигури приемливо ниво на защита. Тогава пренебрегнах такава важна помощна програма като мениджъра за редактиране местни политикисигурност. Днес искам да коригирам този пропуск и да говоря конкретно за тази помощна програма (фиг. 1). Естествено се предлага в стандартен комплектпомощни програми, които идват с която и да е дистрибуция на Windows, която не е била редактирана с помощта на помощни програми за изграждане на дистрибуция и т.н. Е, да започваме.
Първо, няколко думи за това как можете да стигнете до тази много помощна програма. Най-лесният начин е да използвате командата Run, която е достъпна в менюто Start (клавишна комбинация Win+R). В реда трябва да въведете следната комбинация: secpol.msc /s. Знаейки, че по този начин можете да извиквате приложения от папката system32, намираме отговора на следващия въпрос, свързан с местоположението на помощната програма. За тези, които се смятат за фенове на контролния панел, мога да кажа следното: връзката към конзолата се намира в елемента от менюто, наречен Администрация. Когато говоря за помощната програма, няма да навлизам в плевелите и да се опитвам да тласкам обикновените потребители с информация относно настройката на политика за публичен ключ за файловата система за кодиране (EFS), за която писах в гореспоменатата статия. Това просто няма смисъл, защото... за обикновен потребител това е просто ненужно, но за тези, които все още искат да разберат за това, можете да използвате описанието на параметъра, което е достъпно в прозореца за редактиране на всяка политика в съседния раздел, наречен „Обяснение на параметъра“ ( Фиг. 2). Ще се спра по-подробно на политиките на акаунта. Ще дам някои препоръки, ще обясня по-подробно целта на тази или онази политика и ще изразя мнението си относно използването/неизползването й.
Правилата за акаунти са разделени на две групи: правила за пароли и правила за блокиране на акаунти. Всяка група съдържа списък с политики, които всъщност могат да бъдат редактирани. Първият параметър е максималната възраст на паролата, която определя времето в дни, през което паролата може да се използва, преди системата да изиска от потребителя да промени паролата. Това е много удобно, защото... времето за хакване е ограничено и съответно нападателят ще трябва да работи усилено, за да се справи и да има време да направи нещо с документите на потребителя. Стойността по подразбиране е 42, бих ви посъветвал да оставите стойността по подразбиране, защото... За локалната машина на крайния потребител политиката не е критична. Следващата политика се нарича „минимална дължина на паролата“. За локална машина ще бъде от значение в редки случаи. Целта на политиката е да ограничи минималния размер на паролата. Ако работите сами на компютър, тогава политиката, както беше споменато по-горе, няма смисъл. Друг е въпросът дали локален компютъризползвани от различни потребители. В този случай си струва да настроите политика, така че да не се използват пароли от, да речем, два знака. Минималната възраст на паролата е политика, която определя след колко време потребителят може да смени паролата с друга. Както при първата политика, времето се брои в дни. Стандартната стойност е 0 и означава, че потребителят може да промени паролата по всяко удобно за него време. Правилото „паролата трябва да отговаря на изискванията за сложност“, когато е активирано, изисква от потребителя да предостави парола, която отговаря на следните изисквания:
Паролата не трябва да съдържа име сметкапотребителско име или фрагменти от потребителско име, по-дълги от два знака.
. Паролата трябва да се състои от поне шест знака.
. Паролата трябва да съдържа знаци, които попадат в три от следните четири категории:
. латински главни букви (A-Z);
. латински малки букви (a-z);
. числа (0-9);
. символи, различни от букви и цифри (например !, $, #, %).
. Съответствието с тези изисквания се проверява при промяна или създаване на пароли.
Правилото е деактивирано по подразбиране на локални машини, но работи на домейн контролери.
Следната политика ви позволява да контролирате неповтарянето на паролите, като същевременно може да помни предишни пароли от 1 до 24 включително. На локалната машина е деактивиран (стойността на съхранените пароли е 0) по подразбиране, но на домейн контролери отново е активиран и стойността е 24. Той също така ви позволява да съхранявате пароли с помощта на обратимо криптиране. Тази настройка за защита определя дали операционната система използва обратимо криптиране за съхраняване на пароли. Тази политика осигурява поддръжка за приложения, които използват протоколи, които изискват паролата на потребителя за удостоверяване. Съхраняването на пароли, криптирани с помощта на обратими методи, е подобно на съхраняването им в обикновен текст. Следователно тази политика трябва да се използва само в изключителни случаи, когато нуждите на приложението са по-важни от защитата с парола. Тази политика е необходима, когато използвате протокола за удостоверяване CHAP (Challenge-Handshake Authentication Protocol) в инструментите отдалечен достъпили IAS (Internet Authentication Services). Изисква се и при използване на кратко удостоверяване в Интернет информационни услуги (IIS).
Името на следната политика, която вече е в групата правила за блокиране на акаунт, говори сама за себе си: Блокиране на акаунт. Естествено, политиката определя колко време ще бъде заключен акаунт след определен брой неправилно въведени пароли. Стойността може да бъде зададена от 0 (сметката не е блокирана) до 99 999 минути. Има смисъл само ако следната политика е в сила, наречена праг на блокиране. Това е броят на неуспешните опити за влизане, преди акаунтът да бъде заключен. Стойността се приема в диапазона от 0 (както обикновено, стойността, при която политиката е пасивна) и до 999. След блокиране, ако политиката за блокиране на акаунта не е активирана, само администраторът може да възстанови акаунта. Неуспешни опити за въвеждане на пароли на работни станции или сървъри-членове, които са заключени чрез клавишната комбинация Ctrl+Alt+Del или използване на защитени с парола скрийнсейвъри, се считат неуспешни опитивход. Нулиране на брояча за блокиране след - параметър, който ви позволява да нулирате брояча на неуспешно влизане чрез определено време(1 - 99 999 минути), удобно нещо, което ви предпазва от достигане на „черно“ число, равно на прага на блокиране в рамките на един месец. Параметърът директно зависи от включеното заключване на акаунта.
Това е всичко, всъщност. Кратък преглед на правилата на акаунта, които могат да се променят от помощната програма Местни опциисигурността приключи. Статията разглежда само една област от политиките за сигурност. За тези, които се интересуват, ще кажа, че е възможно да се конфигурират локални политики, включително политика за одит, присвояване на потребителски права и настройки за сигурност. Бих ви посъветвал да прегледате настройките за сигурност, защото... Настройките там са най-интересни и много полезни. Можете да конфигурирате политики за ограничаване на софтуера и политики за защита на IP. По този начин, като се задълбочите в локалните настройки за сигурност, можете доста добре да повишите нивото на защита на вашия компютър, но бъдете внимателни: прочетете внимателно описанията на правилата и не докосвайте настройки, чиято цел не разбирате.
Евгений Кучук, [имейл защитен], SAСигурност гр.
Страница 13 от 15
Настройка на защитата на Windows XP
операционна зала Windows система XP има разработена система за сигурност, която обаче трябва да бъде конфигурирана (съгласно Windows по подразбиране XP Professional предоставя на потребителя много опростен интерфейс за сигурност, който ви позволява да задавате стойностите на много ограничен брой параметри за достъп въз основа на членството във вградени групи). Надяваме се, че разбирате, че Windows XP трябва да бъде инсталиран на NTFS дялове и че използването на файловата система FAT32 не се препоръчва от съображения за сигурност (вградените функции за сигурност просто не могат да бъдат реализирани с FAT32). Ако използвате файловата система FAT32, почти всички твърдения в този раздел ще бъдат безсмислени за вас. Единственият начин да активирате всички разрешения на файловата система е да конвертирате устройството в NTFS формат.След почистване Windows инсталацииНастройките за защита по подразбиране на XP действат като превключватели за включване и изключване. Този интерфейс се нарича Simple по подразбиране. общ достъп(Опростено споделяне на файлове).
Тази конфигурация има ниско нивобезопасност, почти идентична със стандартната Конфигурация на Windows 95/98/Аз.
Ако не сте доволни от тази конфигурация, можете да се възползвате от пълната мощ на разрешенията за файлове в стила на Windows 2000. За да направите това, отворете произволна папка в Explorer и изберете Инструменти - Опции за папки. Отидете в раздела Изглед, намерете квадратчето Използване на споделяне на файлове (препоръчително) в списъка и премахнете отметката от него (За да промените тази опция, трябва да сте член на групата администратори).
Когато изключите простото споделяне, в диалоговия прозорец със свойства на всяка папка се появява раздел Защита.
Същото важи и за издаването на разрешения за файлове. Всички разрешения се съхраняват в списъците за контрол на достъпа (ACL).
Когато задавате и премахвате разрешения, следвайте тези основни принципи:
- Работете отгоре надолу.
- Магазин споделени файловеданни заедно.
- Работете с групи, когато е възможно.
- Не използвайте специални разрешения.
- Не давайте на потребителите повече разрешения, отколкото са абсолютно необходими (принцип на най-малко разрешения).
Задаване на разрешение от командния ред
Помощната програма за команден ред cacls.exe ви позволява да преглеждате и променяте разрешенията за файлове и папки. Cacls е съкращение от Control ACLs - управление на списъците за контрол на достъпа.Превключватели на командния ред на помощната програма Cacls
/Т- Промяна на правата за достъп определени файловев текущата папка и всички подпапки
/Е- Промяна на списъка за контрол на достъпа (не напълно замяната му)
/C- Продължете, ако възникне грешка „достъпът е отказан“.
/G потребител: разрешение- Разпределяне на определеното разрешение на потребителя. Без превключвателя /E той напълно замества текущите разрешения
/R потребител- Отменя правата за достъп за текущия потребител (използва се само с ключа /E)
/P потребител: разрешение- Замяна на определени потребителски права
/D потребител- Отказва достъп на потребителя до обекта
С клавишите /G и /P трябва да използвате една от изброените по-долу букви (вместо думата permission):
- F ( пълен достъп) - еквивалентно на поставяне на отметка в квадратчето Разреши пълен контрол в раздела Сигурност.
- C (промяна) - идентично с поставянето на отметка в полето Allow Modify
- R (четене) - еквивалентно на поставяне на отметка в полето Allow Read & Execute
- W (запис) - еквивалентен на поставяне на отметка в квадратчето Разрешаване на писане (Писане).
Ако предпочитате да работите с командния ред, можете да използвате програмата cipher.exe. Командата за шифроване без параметри показва информация за текущата папка и файловете, намиращи се в нея (независимо дали са криптирани или не). По-долу е даден списък на най-често използваните превключватели на шифровани команди
/Е- Криптиране на определени папки
/D- Дешифриране на определени папки
/S:папка- Операцията се отнася за папката и всички подпапки (но не и файлове)
/А- Операцията се прилага към посочените файлове и файлове в посочените папки
/К- Създаване на нов ключ за криптиране за потребителя, стартирал програмата. Ако този ключ е указан, всички останали се игнорират
/Р- Създаване на ключ и сертификат на агент за възстановяване на файлове. Ключът и сертификатът се поставят във файла .CFX, а копие на сертификата се поставя във файла .CER
/U- Актуализирайте потребителския ключ за криптиране или агента за възстановяване за всички файлове на всички локални дискове
/U/N- Избройте всички криптирани файлове на локални дискове без никакви други действия
Агент за възстановяване на данни
Администраторът обикновено се назначава като агент за възстановяване на данни. За да създадете агент за възстановяване, първо трябва да създадете сертификат за възстановяване на данни и след това да посочите един от вашите потребители като такъв агент.За да създадете сертификат, трябва да направите следното:
1. Трябва да влезете като администратор
2. Влезте команден редшифър /R: име на файл
3. Въведете паролата си отново създадени файловеФайловете със сертификати имат разширение .PFX и .CER и име, което посочите.
ЗАБЕЛЕЖКА: Тези файлове позволяват на всеки потребител в системата да стане агент за възстановяване. Не забравяйте да ги копирате на дискета и да ги съхранявате на сигурно място. След копирането изтрийте файловете със сертификати от вашия твърд диск.
За да зададете агент за възстановяване:
1. Влезте с акаунта, който трябва да стане агент за възстановяване на данни
2. В конзолата за сертификати отидете на секцията Сертификати - Текущ потребител - Лични (Текущ потребител - Лични)
3. Действие - Всички задачи - Импортиране (Действия - Всички задачи - Импортиране), за да стартирате съветника за импортиране на сертификати
4. Импортирайте сертификата за възстановяване Ако използвате инструментите за шифроване неправилно, можете да се окажете с повече вреда, отколкото полза.
Кратки съвети за криптиране:
1. Шифровайте всички папки, в които съхранявате документи
2. Шифровайте папките %Temp% и %Tmp%. Това ще гарантира, че всички временни файлове са криптирани
3. Винаги активирайте криптиране за папки, не за файлове. След това всички файлове, създадени впоследствие в него, се криптират, което се оказва важно при работа с програми, които създават свои собствени копия на файлове при редактиране и след това презаписват копията върху оригинала
4. Експортирайте и защитете личните ключове на акаунта на агента за възстановяване и след това ги изтрийте от компютъра
5. Експортиране лични удостоверениякриптиране на всички акаунти
6. Не изтривайте сертификати за възстановяване, когато променяте правилата на агента за възстановяване. Запазете ги, докато не сте сигурни, че всички файлове, защитени с тези сертификати, няма да бъдат актуализирани.
7. Когато печатате, не създавайте временни файлове и не шифровайте папката, в която ще бъдат създадени
8. Защитете файла на страницата. Трябва да се премахне автоматично, когато излезете от Windows
Създател на шаблони за сигурност
Шаблоните за защита са обикновени ASCII файлове, така че на теория те могат да бъдат създадени с помощта на обикновен текстов редактор. Въпреки това е по-добре да използвате модула за защита на шаблони Microsoft конзолиКонзола за управление (MMC). За да направите това, в командния ред трябва да въведете mmc /a в тази конзола, изберете менюто Файл - Добавяне/Премахване. В диалоговия прозорец Добавяне на самостоятелна конзолна добавка изберете Шаблони за защита - Добавяне.Управление на оборудването
Шаблоните за защита се намират в папката \%systemroot%\security\templates. Броят на вградените шаблони варира в зависимост от версията на операционната система и инсталираните сервизни пакети.
Ако разгънете която и да е папка в Шаблони за защита, десният панел ще покаже папки, които съответстват на контролирани елементи:
- Правила за акаунти - управлявайте пароли, ключалки и политики за Kerberos
- Местни правила - управлявайте настройките за проверка, потребителските права и настройките за сигурност
- Event Log - управление на параметрите на системния регистър
- Ограничени групи - дефиниране на елементи от различни локални групи
- Системни услуги - активиране и деактивиране на услуги и даване на правото за промяна на системните услуги
- Регистър - задаване на разрешения за промяна и преглед на ключове в системния регистър
- Файлова система - управлява NTFS разрешения за папки и файлове
Защита на интернет връзката
За да осигурите сигурност при свързване с интернет, трябва:- Активирайте защитната стена за интернет връзка или инсталирайте защитна стена на трета страна
- Деактивирайте споделянето на файлове и принтери за мрежи на Microsoft
- Отворете контролния панел - Мрежови връзки
- Щракнете с десния бутон върху връзката, която искате да защитите, и изберете Свойства от менюто
- Отидете в раздела Разширени, поставете отметка в квадратчето Защитете моята интернет връзка