Установка, настройка безопасной сети.

Привет всем. Я снова с вами уважаемые читатели блогов, вот наконец-то появилось свободное время для написания новой статейки.

Я даже не думал писать эту статью но по просьбам трудящихся решил помочь всем у кого возникают вопросы, проблемы с установкой, настройкой безопасной локальной сети (без домена Active Directory). Статейка не замысловатая, ничего сложного нету, многие в ней не найдут ничего нового, интересного но всё же она нужна. Очень полезна будет для новичков, содержит интересные дополнения, фишки и решения некоторых проблем.

Оглавления.
1) Объединяем  компьютеры между собой.
2) Настройка сетевых карт.
3) Настройка доступа.
4) Модель доступа.
5) Создание учётных записей.
6) Создание общей папки.

1) Объединяем  компьютеры между собой

Начнём с проводов.
Нам потребуется сетевой кабель («витая пара»), а так же коннекторы RJ-45.
Монтаж коннектора на кабель лучше осуществлять при помощи специального инструмента, клещей, есть умельцы которые обжимают коннекторы отвёрткой, честно говоря ужасно не удобно, да и травмоопасно, пробовал как то раз.

Обжимаем кабель

Для прямого соединения 2-х компьютеров.

Кросс-линковый (перекрестный, кроссоверный) порядок обжима витой пары,

Для соединения n-количества компьютеров со свитчем.

Прямая-разводка. Кросс-разводка

Внешний вид коннектора RJ-45 с нумерацией разъемов

2) Настройка сетевых карт.

Открываем Сетевые подключения, выбираем сетевой интерфейс, кликаем на «Свойства», на вкладке «Общие» выбираем протокол TCP/IP , свойства, вписываем вручную IP адрес, например 192.168.1.1 и маску подсети 255.255.255.0.

Также далее проделываем на всех компьютеров только последнею цифру ip адреса меняем 192.168.1.2

3) Настройка доступа.

После того когда мы соединили все компьютеры, настроили сетевые карты, займёмся настройкой общего доступа к ресурсам компьютера.

Опишу как настроить общий доступ к ресурсам, защищая самого владельца, многие обычно пренебрегают безопасностью.

Первым делом необходимо убедиться в том, что задействована Служба общего доступа к файлам и принтерам. Проверить это можно в свойствах сетевого соединения.

Брандмауэр

Если у компьютера есть подключение к интернету то стоит поставить фаервол, на остальные компьютеры в сети можно не ставить.

В виндовсе есть свой стандартный Брандмауэр, который пропускает через себя весь трафик, для каждого проходящего пакета принимает решение пропускать его или отклонить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил. Вообще брандмауэр настраивается автоматически, он обычно запрашивает разрешения на какое либо действие но всё же виндовый Фаер желательно вообще выключить, и корректно настроить фаервол стороннего производителя.
Например я использую Kerio, описание правил выложены в статье настраиваем интернет для домашней сети…

4) Модель доступа

Гостевая модель доступа работает по умолчанию в windows, пользователи ходят через учётку гость, вход бер паролей.

Гостевую модель доступа стоит отключить.

Через гостя вирусня любит ходить частенько, не безопасна эта модель доступа.

Выключаем учётку Гость.

Пуск, выбираем Выполнить, вводим CONTROL ADMINTOOLS далее управление компьютером, переходим к категории Локальные пользователи и группы, затем выбираем Пользователей, дважды щелкаем по учетной записи Гость и ставим флажок Отключить учетную запись.

Либо нажимаем Пуск, выбираем Выполнить, вводим GPEDIT.MSC в открывшейся оснастке находим ветвь Назначение прав пользователя, затем — пункт Отказ в доступе к компьютеру по сети, дважды щелкаем по нему, добавить — дополнительно — поиск выбираем учётку Гость.

Отключаем простой общий доступ.

Это можно сделать так же двумя способами. Первый и самый простой это открыть вкладку Свойства папки (Мой компьютер в меню Сервис выбрать Свойства папки) достаточно снять галочку, использовать простой общий доступ к файлам, как показано на рисунке

Второй способ, через политики безопасности, вводим  команду GPEDIT.MSC в окошко Выполнить меню Пуск, мы попадаем в окно оснастки редактора групповых политик, далее, следуя по дереву, находим Параметры безопасности пункт Сетевой доступ: модель совместного доступа и безопасности… меняем настройки.

Теперь все пользователи из сети, которые будут пытаться зайти на шары  данного компьютера будут сталкиваться с запросом логина и пароля для доступа.

Сохранения настроек в политиках происходят не сразу, можно либо перезагрузиться , либо выполнить команду обновления gpupdate /force.

5) Создание учётных записей

Следующим шагом нужно задать пароль на администратора а так же завести учётные записи с паролями ( Панель управления — Учётные записи пользователей или выполнить CONTROL USERPASSWORDS2 ) для всех пользователей которым можно заходить на шары данного компьютера, если задать учётки идентичны учёткам под которыми сидят пользователи то больше запроса на вход в компьютер вы не увидите, данные совпали и учетная запись имеет соответствующие права, то доступ разрешается. Если совпал только логин, то доступ запрещается и выдается ошибка.

Если же таких верительных данных нет в локальной базе, то пользователь считается «Гостем» и дальнейшие действия производятся в зависимости от состояния этой учетной записи (включена или отключена) и прав доступа, в т.ч. и доступа по сети. В этом случае, если «Гость» отключен или ему запрещен доступ по сети, а также в случае если происходит попытка авторизоваться с пустым паролем, но подобные действия запрещены политикой безопасности, то Windows пошлет запрос и пользователь увидит окно с предложением ввести правильные имя пользователя и пароль, стоит ввести логин и пароль учётки которая присутствует в базе и тогда будет разрешен доступ. Если включить «Гостя», то можно задать смешанный режим доступа, когда существуют ресурсы, право доступа к котором дано «Гостю» и, возможно прочим пользователям, а также защищенные папки, куда разрешен доступ определенным лицам на чтение или на запись.

Можно конечно не создавать учётки для всех пользователей просто все будут заходить под одной учёткой, конечно способ не гибок.

Авто-вход.

Если вам лень вводить пароль каждый раз и вам не охото видеть при старте список пользователей, то воспользуйтесь утилитой, вызываемой командой CONTROL USERPASSWORDS2 из командной строки или из меню Пуск — Выполнить

Выделяем пользователя под которым вы работаете снимаем галочку, жмём применить windows запросит пароль от учётки которая была выделена, вводим пароль сохраняем. Всё теперь ваша учётка будет грузиться автоматически.

Либо через реестр можно указать какую учётку грузить автоматически.

Выполнить команду REGEDIT

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Создать параметр типа Reg_sz   AutoAdminLogon и присвоить ему значение 1. Далее создать 2 параметра REG_SZ:
DefaultUserName
DefaultPassword

и в качестве значений параметров указать логин пользователя и его пароль.

Интересные дополнения.

Чтобы обойти процедуру автоматического входа или войти в систему от имени другого пользователя, удерживайте клавишу SHIFT после завершения сеанса или перезапуска Windows XP. Это приводит к изменению только процедуры первого входа в систему. Для применения измененной процедуры в дальнейшем администратор должен настроить следующий параметр реестра:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

Параметр:ForceAutoLogon
Тип: REG_SZ
Данные: 1

Ещё одна полезная фишка.

Бывают ситуации когда при входе на удалённый компьютер приходится вводить логин и пароль далее нажимают сохранить пароль, а вот чтобы потом отучить компьютер от авто входа по сохранённому паролю нужно зайти в учётные записи пользователей выбрать пользователя под которым был сохранён пароль, в левой части окна есть строчка Управление сетевыми пароля, открываем и удаляем сохранённый пароль.

6) Создание общей папки

Создадим папку в корне жесткого диска, щёлкаем правой кнопкой мыши по папке и выбираем пункт Свойства, переходим на вкладку Доступ, переключаем в положение Открыть общий доступ к этой папке, теперь нажимаем кнопку Разрешения, выставляем разрешения на сетевой доступ к папке. Удаляем  доступ для всех, ( удалить слово Все) Жмём добавить — Дополнительно- Поиск — выбираем пользователей для которых нужно открыть доступ к папке. Для тех у кого на жестяке файловая система NTFS можно не только выставить права на сетевой доступ к папке но и обеспечить ограничения для локального доступ . Как обычно добавляем пользователей нужных нам далее переходим на вкладку Безопасность и добавляем пользователей которым на данном компьютере можно открывать данную папку, так же не забываем выставить им права.

Создание скрытого ресурса.

Если в конце названия общего ресурса проставить знак доллара — $, то папка будет не видна из сети, открыть её можно будет только если вы введёте в адресной строке имя папки, например \\192.168.1.1\shara$.

По умолчанию все жестяки являются скрытыми общими ресурсами.

К примеру, для доступа к диску C нужно ввести C$ да и все.

Ошибки Нет доступа. Отказано в доступе. Диск защищен от записи.

Правой кнопкой мыши на папке которая не открывается, Свойства — Безопасность — Дополнительно —  Владелец, выбираете владельца под которым вы работаете, ставите галочку заменить владельца…, в безопасности проверяем полный ли доступ у вашего аккаунта.

Ну вот вроде и всё, надеюсь не чего не забыл важного.

Удачи