უსაფრთხოება windows-ის ქვეშ
ანუ ყველა დროის, დიდი თავსატკივარი....
File sharing ამაზე იმდენია სათქმელი, რომ გადავწყვიტე მთელი გვერდი დამეთმო, ასევე გამეყო ორად: ერთი, რაც უნდა გავაკეთოთ ყველა შემთხვევაში და მეორე, ე.წ. Advanced-დად. პირველ რიგში, საერთოდ თუ იყენებთ file sharing-ს? თუ არა, მოდით საერთოდ მოვუგრიხოთ კისერი (ხოლო ვინც იყენებს, იქნება მითითებული, რას არ უნდა შეეხოს)! პირველ რიგში შედით ”ჩემი კომპიუტერის” (My Computer) თვისებებში (properties) და Computer name-ში დააჭირეთ Change ღილაკს, სისტემა გააწევრიანეთ რამე ”იდიოტურ” სახელიან Work Group-ში (თუ ქსელი გაქვთ, გააწევრინეთ მხოლოდ თქვენს ჯგუფში!), რომ ვინმე ახალბედას ჯგუფის სახელს არ დაემთხვას და მასთან არ მოხვდეთ ქსელში.. ასევე, კომპს დაარქვით რამე ისეთი სახელი, რომ შემტევს თვალში არ მოხვდეს. ამის მერე სიტემა უნდა გადაიტვირთოს.
ასევე, თუ თქვენ არ იყენებთ ეწ. ლოკალურ ქსელს ანუ არ სტუმრობთ სხვის შარინგებს, თამამად შეგილიათ ამორთოთ client for Microsoft ... ამის მერე სასურველია გამორთოთ ე.წ. კონსოლური წვდომა და ქსელიდან წვდომა შეკვეცოთ ყველა აკაუნტზე Guest-ის გარდა. ამას თუ იზამთ, გაშარინგებულ ფაილებს უნდა დაამატოთ ხოლმე უფლებები Guest-ზე, ანუ Guest-ს მისცეთ ამ ფაილებთან წვდომა. მოკლედ, კლასიკური წვდომის გამოსართავად შევდივართ ამ მისამართზე: Control Panel -> Administrative Tools -> Local Security Policy -> Local Policies -> Security Options და პარამეტრს ვრთავთ Guest only - local users authenticate as Guest-ზე, აქედან გამოდის, რომ თუ ვინმე კიდევ შეძლებს server-ის სერვისით დაკავშირებას, ის ვერ მიიღებს Guest-ზე მეტ უფლებებს. Server Service Advanced! როგორც დაგპირდით განვიხილავ, სერვერის სერვისს დეტალურად, ე.წ. Advanced ცვლილებების შესატანად. მოდით, რახან Control Panel -> Administrative Tools -> Local Security Policy -> Local Policies -> Security Options ფანჯარა ღია გვაქვს, აქიდანვე გავაგრძელოთ. პირველ რიგში გავხსნათ Named Pipes that can be accessed anonymously და შიგთავსი გავწმინდოთ. იმისთვის, რომ ვერავითარი ბრძანება ვერ შესრულდეს პაროლის გარეშე. იგივე უნდა გავაკეთოთ პარამეტრზე Shares that can be accessed anonymously, რომ ნაჩვენები შარინგებიც ვერავინ ვერ ნახოს უპაროლოდ, უუფლებოდ. ახლა დაგვრჩა რეესტრთან ურთიერთობა, შევდივართ ადმინის უფლებებით regedit-ში და განყოფილებაში HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ვეძებთ გასაღებს restrictanonymous, რომელსაც ექნება მნიშვნელობა 0, რაც შემტევს მაინც აძლევს შანსს. ჩვენ შეგვიძლია მივანიჭოთ მნიშვნელობა 1, ამ დროს მართალია ეწ. null სესია დაიბლოკება, იგივე არასანქცინირებული წვდომა ცვლადზე PCI$ (ეს ცვლადი კი შეიცავს მთელ ინფოს კომპიუტერზე). თუმცა ამის მიუხედავად, მაინც შესაძლოა ვინმე დაუკავშირდეს კომპს, ჰეშის ამოგდებით, ამიტომ უნდა მივანიჭოთ ამ ცვლადს მნიშვნელობა 2. ამ დროს კი გვექნება უკუ ჩვენებები, იმ შემთხვევაში თუ ჩვენ კომპზე არსებობს შარინგები (ზოგჯერ არ შემოუშვებს კლიენტს) ან თუ თქვენი სისტემა არის დომეინ კონტროლერი, ამ დროს აირევა საერთოდ სისტემა. ასე რომ,ამ შემთხვევაში ამ პარამეტრის შეცვლა მიზანშეწონილი არაა. მეორე ”ხვრელი” რაც აქვს ამ სერვისს, არის ის რომ ავტომატურად შარინგდება ყველა დისკის ძირი, ანუ მაგალითად C დისკი მთლინად და ერქმევა C$, ასევე D, E... და კიდევ ვინდოუსის საქაღალდე სახელით ADMIN$. როგორც ხვდებით ეს არ გვაწყობს! ამიტომ მივდივართ რეესტრის ამ მისამართზე: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters და ვქმნით ახალ DWORD პარამეტრს, სახელად AutoShareWks და ვანიჭებთ მნიშვნელობა 0-ს.
ზოგადად, როცა შარინგს არ იყენებთ, ჯობია საერთოდ გათიშოთ სერვერის სერვისი, ამისთვის სერვისების მართვიდან უბრალოდ გააუქმეთ და გამორთეთ. ყველა ცვლილება რომ გააქტიურდეს, სისტემა უნდა გადატვირთოთ. |
|
კარგი სტატიაა, მაგრამ ამ საიტს მგონი განახლება აკლიაა :) იზრუნეე ადმინო