Работа с сетями и Интернетом

Вопрос на засыпку: как можно, не устанавливая новую программу, примерно за десять секунд уничтожить защиту, нарушить стабильность и производительность компьютера? Если вы предположили, что с помощью кувалды, то вы ошиблись. Такой вариант потребует только двух секунд. Правильный ответ: «подсоединить компьютер к какой-нибудь компьютерной сети». Вы получили бы поощрительные баллы, если бы добавили: «оставив без изменений настройки защиты Windows 7>. Справедливости ради следует сказать, что Windows 7 является более защищенной, чем любые прежние версии Windows (из имеющих возможность работы в сетях), но, к сожалению, это не может нас полностью успокоить.

Безусловно, брандмауэр Windows 7 не мучает вас предупреждениями о каждом случае совместного доступа к файлам или синхронизации времени подобно тому, как это было в ХР, но, будучи настроенным «по умолчанию», он оставит ваш компьютер уязвимым для всех, кто знает, где искать.

Пользуясь инструкциями данной главы и главы 7, вы можете присоединять ваш компьютер к какой угодно локальной сети и Интернету, не беспокоясь о том, что Windows не выполнит свою задачу по поддержанию защиты ваших данных. Некоторые аспекты работы в сетях, такие как «домашние группы», совместное использование файлов и принтера, а также безопасность, рассмотрены исключительно в главе 7.

Создание сети

Несмотря на наличие брандмауэра, связь в Интернете не сильно отличается от связи с другими компьютерами у вас дома или на работе. Именно это сразу же позволяет Windows легко подсоединяться к сети, а также мешает при поиске и устранении неисправностей и в обеспечении защиты.

Основная терминология

Чтобы начать построение сети, необходимо знать несколько основных понятий, связанных с компьютерными сетями:

О Различие между локальными и удаленными ресурсами

Локальный ресурс — это папка на жестком диске вашего компьютера или принтер, физически соединенный с ним, то есть объект, доступ к которому осуществляется без подключения к сети. Удаленный ресурс — это объект, находящийся на другом компьютере, с которым ваш компьютер связан посредством сети. Например, веб-страница http://www.annoyances.org является удаленным файлом, а любой html-файл на вашем жестком диске является локальным файлом, хотя при просмотре в браузере они могут быть неотличимы. Microsoft старается убрать и оставшиеся различия, что иногда срабатывает, а иногда выходит боком. Например, к удаленным и локальным файлам Windows применяет разные ограничения, обусловленные требованиями защиты и правилами перетаскивания файлов, и эта особенность может вас неприятно удивить при работе с файлами.

О LAN в сравнении с WAN

LAN — это сокращение для Local Area Network (Локальная вычислительная сеть), которая представляет собой малую сеть компьютеров в домашних условиях или в небольшом учреждении, соединенных проводами или связанных радиосигналами. Подобным же образом WAN расшифровывается как Wide Area Network — Глобальная вычислительная сеть или сеть, образованная компьютерами, находящимися на больших расстояниях друг от друга (например, Интернет). Ethernet (передающая среда локальной вычислительной сети с шинной архитектурой) — это технология, по которой строится подавляющее большинство локальных вычислительных сетей на основе проводных соединений. Любой компьютер, способный работать в Windows 7, скорее всего, снабжен встроенным адаптером Ethernet, также называемым NIC - Network Interface Card — сетевая интерфейсная плата.

I В стандартной сети Ethernet возможна передача данных со скоростью до 10 ме-

I габит (Мбит) в секунду (Мбнт/с - см. термин «полоса пропускания», рас-смотренный далее). В высокоскоростной сети Ethernet (иногда обозначаемой «10/100») возможна передача данных со скоростью 100 Мбит/с, а в гигабитной сети — со скоростью 1000 Мбнт/с.

О Wi-Fi — технология беспроводного доступа

Wi-Fi - это современное условное обозначение для беспроводных вычислительных сетей, основанных на стандартах 802.11. Изначально основным был стандарт 802.11b, но его максимальная скорость равнялась 11 Мбит/с, и его вскоре вытеснил стандарт 802.1 lg (54 Мбит/с). Дальнейшее усовершенствование привело к созданию многоканального стандарта 802.1 lg и стандарта

802.1 In. Оба они обещают даже еще более высокие скорости и широкие диапазоны. Конечно, все эти разрекламированные характеристики предполагают работу в идеальных лабораторных условиях. Поэтому скорость на конкретном оборудовании будет составлять примерно треть оценочной (а может быть, даже и ниже в случае ухудшения приема), если, конечно, вы не построите для него вакуумную камеру.

я

I Следует также помнить, что для оптимального режима работы необходимо соче* J таемое между собой оборудование: для того, чтобы получить максимальную отдачу от сети «п», ваш ноутбук должен иметь возможность использовать радиочастоты *’ для «п*. К счастью, каждый из стандартов (за исключением стандарта 802.11а) совместим с прежними версиями, так что более старый ноутбук стандарта <g> будет работать в новой сети, хотя и с меньшей скоростью (со скоростью <g>). Естественно, если обычные для DSL (цифровой абонентской линии) и кабельного Интернета скорости составляют всего лишь 1 -3 Мбит/с, то более быстрый сигнал WiFi не поможет увеличить скорость получения вашей электронной почты.

О Bluetooth (технология беспроводной связи)

Bluetooth представляет собой беспроводной «стандарт» (данный термин здесь не совсем подходит) сетевой связи. Bluetooth никогда не вытеснит WiFi, да и не предназначен для этого. Скорее, это недорогая технология малой мощности, используемая обычно в сотовых телефонах высокого класса, некоторых ноутбуках, а также в карманных персональных компьютерах (КПК). Большинство людей впервые задействуют Bluetooth, используя гарнитуры сотовых телефонов или беспроводные мышки и клавиатуры, но его возможности шире (по крайней мере, теоретически). См. раздел «Как заставить Bluetooth работать», если вы не против потратить полдня на установку и переустановку его драйверов.

О Полоса пропускания

Полоса пропускания — это способность какого-либо сетевого соединения пропускать информацию (размер трубы, если можно так выразиться). Полоса пропускания измеряется в Кбит/с для медленных и в Мбит/с для более скоростных связей, таких как DSL, кабельных соединений или соединений Ethernet LAN, а также в Гбит/с для соединений, используемых большими корпорациями и интернет-провайдерами.

Полоса пропускания является ресурсом общего пользования. Если сетевое ** соединение способно передавать данные, скажем, со скоростью 1,5 Мбит/с, { ? и одновременно два компьютера скачивают большие файлы, каждый из них будет иметь в своем распоряжении полосу пропускания примерно 0,75 Мбит/с (или 768 Кбит/с).

Локальные сети на основе Ethernet могут передавать данные со скоростью до 1000 Мбит/с. Высокоскоростные широкополосные соединения (DSL и кабельный модем) обычно работают на скоростях от 1,0 до 8,0 Мбит/с, в то время как самые быстрые аналоговые модемы (помните такие?) осуществляют связь со скоростью допотопных времен — 56 Кбит/с, или 0,056 Мбит/с. Беспроводные соединения 3G (мобильный Интернет) из-за различных условий приема могут предложить различные характеристики от высоких 1 Мбит/с (если повезет) до примерно 100 Кбит/с (если вы находитесь в туннеле).

Для того чтобы перевести значение полосы пропускания в более удобные единицы, необходимо преобразовать биты в байты. Каждый байт содержит 8 битов, поэтому можно определить теоретическую максимальную скорость передачи данных соединения простым делением на 8. Например, переведем 384 Кбит/с:

384/8 = 48 Кбайт данных в секунду, что позволит передать файл размером 1 мегабайт немногим более чем за 20 секунд. Однако кроме передачи данных происходит еще и коррекция ошибок, а также снижение производительности, вызванное передачей множества повторяющихся элементов. Поэтому реальные характеристики будут всегда ниже, чем максимальные теоретические.

О TCP/IP

TCP/IP — это протокол или, точнее, набор протоколов, используемых во всех межсетевых соединениях и в современных локальных вычислительных сетях. Для тех, кого интересуют аббревиатуры, приведем расшифровку: TCP/IP включает в себя TCP (Transmission Control Protocol — протокол управления передачей), IP (Internet Protocol — межсетевой протокол), UDP (User Datagram Protocol — протокол пользовательских дейтаграм) и ICMP (Internet Control Message Protocol — межсетевой протокол управляющих сообщений). Замечательным свойством TCP/IP, а также причиной того, что он используется для каждого соединения с Интернетом, является то, что данные перед отправкой разделяются на пакеты. Пакеты независимо движутся к местам назначения и могут прийти не в том порядке, в каком они были отправлены. Затем принимающий компьютер заново собирает данные, располагая пакеты в правильном порядке. Предполагается, что из вышеперечисленных протоколов IP (или, скорее, IPv4) устареет примерно в 2011 году из-за нехватки адресов IPv4. Подобно необходимости отказаться от 32-битового Windows в пользу 64-битового варианта для поддержки оперативной памяти размером более 4 Гбайт, IPv4 находится в процессе замены на IPv6, для удовлетворения нужд на большее количество IP-адресов по всему миру В то время как IPv4 32-битового стандарта предлагает максимум 4,3 миллиарда адресов (IPv4 рассматривается в следующем абзаце), IPv6128-битового стандарта дает большее пространство, вмещающее 3,4x1038 уникальных адресов.

О 1Р-адреса

Адрес IPv4 представляет собой набор из четырех чисел (например, 207.238.132. 130), который соответствует отдельному компьютеру или устройству в сети, основанной на TCP/IP. Каждый элемент адреса может находиться в пределах от

0 до 255, обеспечивая 2564, то есть приблизительно 4,3 миллиарда, возможных сочетаний. Более новый стандарт IPv6 со 128-битовой адресацией использует адреса в 4 раза длиннее.

В Интернете используются специально выделенные машины под названием сервер доменных имен (domain name servers) для перевода имен узлов сети, например таких как http://www.annoyances.org, в соответствующие им цифровые адреса и обратно.

Л'

Два компьютера в одной сети не могут иметь одинаковый IP-адрес, но любой компьютер может иметь несколько IP-адресов. Маршрутизатор, о котором рас-{ Л» сказывается далее в данной главе, использует преобразование сетевых адресов (NAT — Network Address Translation), чтобы предоставить нескольким компьютерам совместное использование одного подключения к Интернету, то есть одного 1Р-адреса.

Для того чтобы соединить две сети между собой, сохранив при этом два отдельных набора IP-адресов, понадобится мост или маршрутизатор. Если вы установите на своем компьютере два сетевых адаптера, Windows может играть роль импровизированного моста; нужно просто выделить два соединения в окне Сетевые подключения (Network Connections), рассматриваемом ниже в этой главе, затем щелкнуть правой кнопкой мышки и выбрать Подключения типа мост (Bridge Connections). Предпочтительным вариантом, конечно, является маршрутизатор, так как он работает даже тогда, когда компьютер выключен, а также обеспечивает защиту межсетевым экраном.

О Порты TCP

Данные по протоколу TCP/IP перемещаются в компьютер и из компьютера через порты, при этом виртуальные двери открываются той программой, которая использует сетевое подключение. Например, программа электронной почты использует порт 25 для отправки электронной почты (с помощью протокола SMTP (Simple Mail Transfer Protocol — простой протокол передачи почты), а также порт 110 для ее получения с помощью протокола POP3 (Post Office Protocol version 3 — протокол почтового отделения версии 3). В это же время веб-браузер скачивает страницы через порт 80 с помощью протокола HTTP (HyperText Transfer Protocol — протокол передачи гипертекста).

Windows и некоторые прикладные программы обычно оставляют больше откры-Л%, тых портов, чем может понадобиться, делая компьютер потенциально уязвимым ^ к гтрограммам-шпионам, всплывающим окнам, вирусам, злоумышленникам и другим неприятностям. Для решения данной проблемы см. «Защита вашего компьютера в сети».

О Межсетевая защита и почему она нужна

Межсетевая защита (брандмауэр) может использоваться для ограничения несанкционированного доступа злоумышленников в вашу систему, закрытия лазеек, открытых вирусами и другими злонамеренными программами, а также для блокирования некоторых видов сетевого потока, что приводит к более эффективному использованию полосы пропускания.

Брандмауэр представляет собой слой защиты, который разрешает или запрещает сетевое подключение на основе заранее определенных правил. Эти правила обычно базируются на номере порта TCP, через который посылаются данные, на IP-адресе, из которого они исходят, и на том IP-адресе, куда данные направляются. Недостатком в данном случае является то, что брандмауэр с неправильной конфигурацией может вызвать больше проблем, чем он решает. Windows включает элементарные функции сетевой защиты, описанные ниже в данной главе, но программные брандмауэры работают не так хорошо, как защита на основе аппаратных средств наподобие тех, которые имеются в маршрутизаторах.

О Сетевые коммутаторы, точки доступа и маршрутизаторы

Сетевой коммутатор (свитч) позволяет соединять с помощью кабелей несколько компьютеров для образования локальной сети (см. рис. 6.1). Следует отметить,

что сетевой концентратор (хаб) делает практически то же самое, но с меньшей эффективностью. Без концентратора или коммуникатора лучшее, что можно сделать, — это соединить компьютеры с помощью сетевого кабеля определенной конфигурации (так называемый «нуль-хабный» кабель с перекрещивающимися парами), рассматриваемого далее в данной главе.

Беспроводная точка доступа, по существу, представляет собой коммуникатор (или концентратор) для беспроводной сети, позволяя соединять несколько компьютеров беспроводным способом. Без точки доступа беспроводным способом можно соединить между собой только два компьютера (это тоже рассматривается ниже).

И наконец, маршрутизатор представляет собой устройство, которое соединяет две сети и регулирует движение пакетов между ними. Например, маршрутизатор может подключать одноранговую рабочую группу к Интернету, позволяя совместное пользование единственным подключением к Интернету для всех компьютеров в учреждении (более подробно см. «Совместное пользование подключением к Интернету»). Большинство маршрутизаторов к тому же являются коммутаторами, точно так же, как беспроводные маршрутизаторы выступают в качестве беспроводных точек доступа. Вдобавок каждый современный маршрутизатор (беспроводной или нет) имеет встроенную межсетевую защиту (обычно более высокого качества по сравнению с программой межсетевой защиты, действующей в вашем компьютере), поэтому вы можете, в сущности, получить все, что нужно, в одном недорогом комплекте. Хорошей новостью является то, что Windows 7 включает в себя все, что нужно, чтобы воспользоваться преимуществом всех описанных стандартов и использовать их для доступа в Интернет или пользоваться файлами и устройствами совместно с другими компьютерами в сети. Плохая новость - почти никогда невозможно добиться, чтобы все работало должным образом — так, как обещает вам производитель.

Проводное соединение или беспроводное?

Проводное соединение — это менее удобно, но оно работает. Беспроводное соединение удобное, но капризное. К счастью, нет необходимости придерживаться только одной системы, а также не обязательно все планировать заранее.

Для получения наилучших результатов присоедините проводом настольный компьютер к маршрутизатору/коммуникатору/концентратору, если он находится рядом. На кабели не влияют ни слабый приемный сигнал, ни защитные коды, ни помехи, и кроме того, они постоянно обеспечивают максимальную скорость. Подключите один конец кабеля Ethernet к маршрутизатору или DSL/кабельному модему, а другой конец к компьютеру — и все готово; Windows настроит соединение, и вы окажетесь в сети в течение двух секунд без всяких проблем.

И если какой-нибудь мелкий грызун не прогрызет ваш кабель, он будет работать до тех пор, пока вы его не отсоедините.

Проводные соединения могут различаться по сложности и стоимости, в зависимости от ваших нужд, бюджета и размещения оборудования в учреждении. Для дополнительной помощи см. врезку «Инструкции по кабельному соединению» на с. 331. Например, если имеется два или более настольных компьютера в одной комнате, для проводного соединения нужно будет просто добавить коммутатор и по одному соединительному кабелю категории 5 для каждой машины, как показано на рис. 6.1. Большее количество компьютеров потребует коммутатора с большим количеством портов или, возможно, несколько коммутаторов, соединенных вместе,

и, конечно же, больше кабелей.

Если имеется только два компьютера, можно исключить коммутатор и просто соединить их недорогим кабелем с перекрещивающимися парами категории 5, как показано на рис. 6.2. Общая стоимость этого кабеля — $3,99.

Рис. 6.2. Быстрая рабочая группа без коммутатора; однако имеет свои ограничения, и ее лучше рассматривать только в качестве временного решения

В большинстве случаев нет смысла использовать кабель, чтобы подсоединить ноутбук к вашей сети, за исключением случаев, когда беспроводное соединение не работает. Конечно, если вы используете док-станцию для ноутбука, подсоединение проводами — более практичный способ, но это уже ваш выбор. Беспроводное соединение, конечно, приятнее, чем использование кабелей, и работает везде в пределах досягаемости маршрутизатора; не требуется просверливания отверстий в стенах

для размещения кабелей в доме или учреждении. На рис. 6.3 показано обычное беспроводное соединение четырех компьютеров (три персональных компьютера и один карманный персональный компьютер (КПК).

ИНСТРУКЦИИ ПО КАБЕЛЬНОМУ СОЕДИНЕНИЮ

В течение од ной-двух секунд после присоединения обоих концов сетевого кабеля на ваших устройствах должны засветиться соответствующие индикаторы. Они должны загореться непосредственно на сетевом адаптере - на обратной стороне настольного компьютера или сбоку на ноутбуке. (Отметим, что в некоторых устройствах используются многоцветные светодиоды, которые светятся зеленым, если соединение правильное, и красным, если неправильное). Быстро мигающий свет обычно указывает на то, что происходит передача данных; медленное мигание часто указывает, что где-то возникла проблема.

Подсоедините все кабели, когда коммутатор и другое оборудование включены, a Windows работает. Вы увидите, как включаются соответствующие световые индикаторы, показывая, что коммутатор, маршрутизатор или сетевой адаптер обнаружили новое соединение. Следует отметить, что световые индикаторы подтверждают только, что провода соединены правильно; они не показывают, правильно ли настроены драйверы и программы.

Используйте только соединительный кабель категории 5, за исключением нескольких специфических ситуаций, когда требуются кабели с перекрещивающимися парами категории 5. Для непосредственного соединения двух компьютеров (без концентратора, коммутатора или маршрутизатора) или двух коммутаторов следует использовать кабели с перекрещивающимися парами. В некоторых случаях, когда DSL/кабельный модем присоединяется к компьютеру с помощью соединительного кабеля, может потребоваться кабель с перекрещивающимися парами для соединения этих устройств с концентратором, коммутатором или маршрутизатором (естественно, для пашой уверенности следует обратиться к документации). В любом случае включение световых индикаторов указывает на то, что тип кабеля выбран правильно.

Стоит упомянуть, что новое оборудование (коммутаторы, маршрутизаторы и т. д.) в большинстве случаев способно автоматически определить тип используемого кабеля и работать в соответствии с ним.

При выборе длины кабеля следует добавлять запас в несколько десятков сантиметров; лучше слишком длинный, чем слишком короткий. Кроме того, нередко попадаются плохие кабели, поэтому следует иметь запасные кабели на случай» если световые индикаторы не загорятся.

Беспроводные соединения требуют большей наладки, чем кабельные, и менее надежны. Для Windows потребуется как минимум 5-10 секунд, чтобы подключиться к беспроводной сети с предварительно настроенной конфигурацией (и еще больше времени, если это делается впервые), а потеря связи возможна при переходе в другую комнату, при получении телефонного звонка или просто чихании.

I I Скорость может быть или не быть одним из факторов вашего выбора. WiFi далеко не такой быстрый, как проводной Ethernet; обычные беспроводные соединения

802.1 lg (с номинальной скоростью 54 Мбит/с) передают данные со скоростью 20-30 Мбит/с, и эта скорость может быстро упасть по мере ухудшения приема сигнала. Самые быстрые гигабитные соединения Ethernet передают данные со скоростью 600-700 Мбит/с, и качество приема на это не влияет. Конечно, разница в скорости чисто теоретическая, если вы используете только Интернет (при обычном широкополосном Интернете — всего лишь 1-6 Мбит/с), но если необходимо передавать файлы между компьютерами внутри рабочей группы, то проводной Ethernet затратит на это в несколько раз меньше времени. (Беспроводные соединения могут также добавить время запаздывания — задержки перед началом передачи данных, хотя в малых домашних сетях это обычно не заметно.)

А что, если вы хотите сохранить удобство беспроводного соединения и иметь скорость и надежность кабельных соединений? Краткий ответ: подождите примерно пять лет, пока усовершенствуются технологии, а затем возьмите последнее издание книги о неудобствах и недостатках Windows, чтобы узнать, почему нужно подождать еще пять лет. Еще более краткий ответ: когда ваше беспроводное соединение начнет барахлить или вам нужно перегнать много файлов, просто подсоедините ваш ноутбук, оснащенный WiFi, к сети с помощью кабеля. К счастью, правильно настроенная сеть не должна испытывать перебоев в работе, оперируя как с кабельными, так и с беспроводными компьютерами. На рис. 6.4 показана обычная одноранговая схема сети из двух настольных компьютеров и ноутбука, использующая беспроводное и «проводное» соединения.

Ключевая особенность беспроводного сетевого соединения, которая исключена при проводном соединении, — возможность вторжения «злоумышленников». При настройках по умолчанию у большинства беспроводных маршрутизаторов защитные функции не включены, а это означает, что любой компьютер с активным WiFi в пределах досягаемости может подсоединиться к вашей рабочей группе и использовать ваше подключение к Интернету. Обратитесь за помощью в обеспечении защиты вашей беспроводной сети и подсоединении к чужой незащищенной беспроводной сети соответственно к разделам «Настройка беспроводного маршрутизатора», который рассматривается далее, и «Выискивание зон доступа WiFi».

Настройка беспроводного маршрутизатора

Если вы прочитали решения, предложенные в этой главе, то, вероятно, заметили, что много раз были упомянуты маршрутизаторы (если нет, обратитесь к разделу «Основная терминология»). Маршрутизатор позволяет подключать компьютер (или рабочую группу) к Интернету и в то же время осуществляет их защиту с помощью встроенного брандмауэра. Беспроводной маршрутизатор делает то же самое, но, кроме того, добавляет беспроводную точку доступа, которая позволяет подключить устройства, оснащенные WiFi, друг к другу и к Интернету.

Обычная схема WiFi была показана на рис. б.З (как видите, без проводов), но вам, вероятно, захочется иметь что-нибудь более близкое к схеме, показанной далее на рис. 6.20, где беспроводной маршрутизатор обеспечивает доступ в Интернет для всех компьютеров. Вот как следует установить и настроить меры защиты, которые должны были бы быть активированы в изделии поставщиком, но это не всегда так:

1. Подсоедините DSL или кабельный модем (или любое широкополосное соединение, которое вы используете) к порту WAN или Интернету на маршрутизаторе.

2. С помощью кабеля Ethernet подсоедините хотя бы один компьютер к одному из пронумерованных портов на маршрутизаторе, даже если вы со временем собираетесь использовать для этого компьютера беспроводное подключение.

3. Удалите программу, поставленную в комплекте с маршрутизатором; она обычно только ухудшает работу. Вместо этого откройте веб-браузер на присоединенном компьютере и напечатайте адрес маршрутизатора в адресной строке. В большинстве случаев это 192.168.1.1, но у вашего маршрутизатора он может быть другой — обратитесь к документации маршрутизатора. На данном этапе может потребоваться войти в систему, используя имя пользователя и пароль, которые также указаны в документации, по крайней мере, должны быть указаны. Если вам не удастся подсоединиться к маршрутизатору и вы уверены, что сетевая плата вашего компьютера работает, обратитесь к врезке «Не можете подсоединиться к маршрутизатору?».

НЕ МОЖЕТЕ ПОДСОЕДИНИТЬСЯ К МАРШРУТИЗАТОРУ?

Если вы уверены, что используете правильный IP-адрес, но загрузить страницу настройки параметров маршрутизатора не удается, то наиболее вероятная причина этого в том, что ваш компьютер и маршрутизатор не находятся в одной подсети. Подсеть — это диапазон адресов, управляемых первыми тремя компонентами IP-адреса, и Windows 7 по умолчанию нравится подсеть 192.168,1 л

Это означает, что необходимо, чтобы первые три группы чисел (называемые октетами) IP-адреса компьютера совпадали с первыми тремя числам IP-адреса маршрутизатора, а четвертое число в адресах должно отличаться. Например, если адрес маршрутизатора 192.168.0.1, то вы не сможете подсоединиться к нему, пока вы не поменяете либо адрес компьютера на 192.168.0.x, (где х — любое число больше нуля), либо адрес маршрутизатора на 192.168.1.1.

Теоретически Windows должна сделать все это при использовании параметра Получить IP-адрес автоматически (Obtain an IP address automatically), описанного дач ее в этой главе, но это свойство известно тем, что не срабатывает, если подсети не совпадают. Если вы считаете, что проблема в этом, попробуйте установить иа компьютере статический IP-адрес, хотя бы временно, до тех пор, пока вы не сможете подключиться к маршрутизатору и изменить на нем конфигурацию на использование подсети 192.168'. 1.1.

4. Как только вы добьетесь того, что подсоединение к маршрутизатору работает, то увидите страницу настройки маршрутизатора, которая должна выглядеть примерно как представленная на рис. 6.5. Безусловно, страница настройки вашего маршрутизатора будет почти наверняка выглядеть по-другому, но большинство параметров все же будет присутствовать.

5. Выберите тип соединения из списка. Если ваше соединение с Интернетом требует указывать имя пользователя и пароль, выберите РРРоЕ (Point-to-Point Protocol over Ethernet — Протокол точка-точка по Ethernet). Если ваш поставщик услуг Интернета заранее определил единственный адрес для вашего подключения, выберите Статический IP (Static IP). В противном случае выберите Automatic Configuration — DHCP (Dynamic Host Configuration Protocol) — Автоматическая настройка — протокол динамической настройки конфигурации узла.

6. Если на предыдущем шаге вы выбрали РРРоЕ или Static IP, то, вероятно, нужно будет ввести 1Р-адреса DNS-серверов поставщика Интернета (ваш поставщик Интернета должен предоставить вам эти номера).

7. После этого нажмите Применить (Apply) или Сохранить параметры (Save Settings) внизу страницы.

8. Теперь у вас уже должен быть доступ в Интернет. Убедитесь в этом, открыв второе окно браузера (Ctrl+N) и посетив любой веб-сайт.

9. Как только у вас появится Интернет, воспользуйтесь возможностью обновления встроенных программ маршрутизатора так, как это описано в разделе «Переход к более новой версии маршрутизатора».

10. Затем обратитесь к странице настройки беспроводной связи маршрутизатора, похожей на представленную на рис. 6.6. Туда можно попасть по ссылке из главного меню или вкладки вверху страницы. Выберите новое имя (SSID — Service

Set Identifier — идентификатор беспроводной сети) для вашей беспроводной сети. Помните, что не следует путать SSID с именем сети Windows, обсуждае-мым в главе 7.

Для Windows SSID — это единственный способ отличить одну сеть от другой, поэтому следует выбрать для вашей сети уникальное имя. Если вы используете имя вроде «беспроводная сеть» или оставите имя по умолчанию (например, «linksys»), то на более позднем этапе можете столкнуться с трудностями. Например, если у соседа сеть WiFi с таким же именем, то у вас появятся проблемы в подсоединении к собственной сети. Или, если сеть у вас дома имеет такое же имя, как и на работе, даже и с другими установками кодирования (о них дальше в данном разделе), Windows придется преодолеть большие препятствия, чтобы распознать каждую из сетей как уникальную.

При выборе SSID следует также избегать имен, которые позволяют обнаружить ваше местоположение, таких, например, как ваш фактический адрес, ваша фамилия или название вашего предприятия. Злоумышленник, или в данном случае WiFi-паразит, может использовать эту дополнительную информацию, чтобы взломать вашу сеть.

И. Затем проверьте, включен или выключен параметр Беспроводное широковещание SSID (Wireless SSID Broadcast), и убедитесь, что он установлен так, как вы этого хотите.

Существуют различные мнения относительно! ого, хорошо или плохо отключать широковещание SSID. Ваше SSID является лазейкой к вашей беспроводной сети. Если вы транслируете SSID, то выставляете напоказ еще один кусок информации, которую кто-нибудь может использовать для подсоединения к вашей сети. Если он скрыт, а вы выбрали уникальное имя, то это создает трудности для взломщиков.

С другой стороны, скрытый SSID не обязательно гарантирует невидимость сети. На самом деле некоторые настройки в Windows могут быть использованы для раскрытия скрытого SSID (как описано в разделе «Выискивание зон доступа WiFi»), поэтому для защиты сети не полагайтесь исключительно на скрытие SSID.

12. Когда все сделано, нажмите Применить настройки (Apply Settings) или Сохранить (Save).

13. Затем, для лучшей защиты, вам захочется установить функцию кодирования маршрутизатора- Можно обычным способом сделать это, нажав на странице беспроводного соединения кнопку Encryption, WEP (Кодирование, WEP — Wireless Encryption Protocol — протокол беспроводного кодирования) или, как в примере на рис. 6.6, выбрав отдельную вкладку с названием Wireless Security (Защита беспроводной сети). На рис. 6.7 показана типичная страница установки беспроводного кодирования.

Сейчас Windows понимает несколько различных видов беспроводного кодирования, которые используются для того, чтобы помешать злоумышленнику подсоединиться к сети или шпионить в ней, если у него нет секретного ключа

кодирования. Конечно, некоторые виды кодирования лучше, чем другие. Для более подробного ознакомления обратитесь к врезке — «Выбор правильной схемы кодирования: WEP, WPA или WPA2?»

ВЫБОР ПРАВИЛЬНОЙ СХЕМЫ КОДИРОВАНИЯ: WEP, WPA, ИЛИ WPA2?

WEP — Wireless Encryption Protocol — протокол беспроводного кодирования.

WPA - WiFi Protected Access — защищенный доступ WiFi.

WPA2 - WiFi Protected Access of version 2 - защищенный доступ WiFi версии 2.

Кодируя беспроводную сеть, вы достигаете двух целей: избавляетесь от паразитов, которые в противном случае использовали бы ваш WiFi для бесплатного подключения к Интернету, и защищаете сеть от взлома и поиска ш|формацин в вашем компьютере.

Конечно, поскольку во многих беспроводных маршрутизаторах кодирование по умолчанию отключено, то что бы вы ни выбрали, это лучше, чем ничего. Следующие три наиболее распространенных стандарта для беспроводного кодирования по умолчанию поддерживаются в Windows:

WEP

Wired Equivalent Privacy (или Wireless Encryption Protocol) - протокол беспроводного кодирования — это первая схема защиты, включенная в ранние беспроводные маршрутизаторы, и к тому же самая слабая. Имея соответствующую программу, злоумышленник может легко вторгнуться в сеть, защищенную с помощью WEP, в течение нескольких минут с помощью атаки идентичным ключом. WEP следует пользоваться, только если у вас старые компьютеры и устройства, в которых нет поддержки WPA, описанного в следующем абзаце.

WPA

WiFi Protected Access (защищенный доступ WiFi) был создан в качестве временной меры против уязвимости в WEP. Если в вашей сети есть машины с Windows ХР, то для подсоединения к WPA-кодированной сети им потребуется Service Pack 2 (служебный пакет программ 2).

WPA2 или PSK

Лучше всего использовать именно его! Известный также как 802.1 И или PSK (Рге-Shared Key (Предварительный ключ)), WPA2 является завершенной формой WPA и считается сильнейшей общепринятой схемой кодирования для беспроводных сетей стандарта 802.11х. Любые беспроводные изделия, сертифицированные позже марта 2006 года, должны полностью поддерживать WPA2. В системе Windows ХР технология WPA2 поддерживается, только если установлено обновление WPA2/WPS IE (имеется в http://support.microsofl.com/kb/893357), где WPS IE — Wireless Provisioning Services Information Element — информационный элемент услуг контроля использования беспроводного соединения.

Чтобы использовать WPA в компьютерах с операционной системой Мае, потребуется программа AirPort 4.2 или ее более поздняя версия. Если ваш маршрутизатор не полностью поддерживает WPA2, то обратитесь к разделу «Переход к более новой версии маршрутизатора».

У тех, кто использует WPA или WPA2, имеется выбор между Personal (персональный) и Enterprise (корпоративный) вариантами. Как бы ни был привлекателен вариант Enterprise, для него необходим сервер RADIUS, используемый обычно в крупных компаниях. Поэтому для большинства домашних сетей и сетей малого бизнеса подходит вариант Personal. Далее, ваш маршрутизатор может поддерживать алгоритм шифрования AES (Advanced Encryption Standard — улучшенный стандарт шифрования) или TOP (Temporal Key Integrity Protocol — шифрование с использованием временных ключей) или оба. Более сильным алгоритмом из этих двух является AES, но он поддерживается только WPA2. Если вы испытываете трудности с AES, например не загружаются определенные веб-сайты, попробуйте перейти на TKIP (или наоборот). Если маршрутизатор позволяет, выберите оба, AES + TKIP, для облегчения поиска и исправления неисправностей, а затем в Windows выберите один из них.

Таким образом, для лучшей беспроводной защиты используйте WPA2-Personal с алгоритмами AES+TKIP.

14. Как только беспроводное шифрование активировано, необходимо выбрать ключ или фразу-пароль.

При использовании WPA или WPA2 вы печатаете слово или фразу на странице настройки маршрутизатора, а затем, для соединения, то же самое слово или фразу в Windows, как описано в разделе «Выискивание зон доступа WiFi». (На рис. 6.7 в качестве фразы-пароля выбрана фраза «Beware of the Leopard!» — «Берегись леопарда!».) Чем сложнее вводимая фраза-пароль, тем более защищенной будет ваша беспроводная сеть. Фраза-пароль в WPA может быть длиной от 8 до 63 знаков (байтов), но для защиты от возможных атак стандарт 802.1 li рекомендует фразу-пароль длиной не менее 20 знаков.

При использовании WEP ваш маршрутизатор может запросить вас напечатать фразу-пароль, но она будет использована для создания ключа. Ключи WEP

представляют собой шестнадцатеричные строки цифр (от 0 до 9) и букв (от А до F) длиной 10 или 26 знаков (для 64- и 128-битовой защиты соответственно). Для соединения необходимо ввести в Windows этот шестнадцатеричный ключ (а не фразу-пароль).

«А

IIрежде чем сохранить изменения, облегчите себе работу - воспользуйтесь воз* можностыо сохранить фразу-пароль или ключ. Выделите ключ (если их больше { ? одного, используйте первый — Key 1) и нажмите Ctrl+C для копирования в буфер обмена. Затем откройте какой-нибудь текстовый редактор (например, блокнот (Notepad)), и нажмите Ctrl+V для вставки в новый пустой документ. Сохраните этот файл на вашем Рабочем столе (или в USB-ключе памяти) для настройки на других компьютерах. Это позволит позже вставлять его в различные диалоговые окна, что легче, чем впечатывание.

15. Когда все сделано, щелкните на Применять настройки (Apply Settings) или Сохранить (Save) внизу страницы.

16. Отсоедините кабель, присоединяющий компьютер к маршрутизатору, и затем попробуйте беспроводное соединение, как описано ниже в разделе «Выискивание зон доступа WiFi». Обратитесь к врезке «Основная информация по размещению маршрутизатора» для ознакомления со способами улучшения качества приема, а значит, и характеристик беспроводной сети.

ОСНОВНАЯ ИНФОРМАЦИЯ ПО РАЗМЕЩЕНИЮ МАРШРУТИЗАТОРА

Крохотный WiFi-трансивер в вашем ноутбуке предназначен для того, чтобы ловить любую беспроводную сеть в пределах примерно 30 метров, может быть, и немного дальше, если у вас более новое оборудование. Если он находится внутри помещения, то сигналы ловятся не более чем через две или три стены и, возможно, через пол или потолок. Но размещение беспроводного маршрутизатора и расположение естественных препятствий вокруг него может значительно повлиять на силу и дальность приема WiFi-сигнала.

Предполагая, что используется схема подобно той, что изображена на рис. 6.20, необходимо, чтобы маршрутизатор находился в пределах досягаемости DSL или кабельного модема. Но если кабель от модема к маршрутизатору достаточной длины, у вас будет свобода выбора их расположения.

Маршрутизатор не должен находиться в ограниченном пространстве. Не стоит ставить его под стол, в ящик стола, позади металлического картотечного шкафа или на дно какого-нибудь сосуда Если к маршрутизатору обращаются несколько компьютеров, он должен, по возможности, располагаться посередине между ними. С помощью индикатора силы сигнала (рис. 6.10) протестируйте различные конфигурации. Рассмотрите возможность кабельного соединения стационарных компьютеров для того, чтобы оптимизировать размещение маршрутизатора для переносных компьютеров.

Стандарты 802.1 lb, g, и п работают в полосе 2,4 ГГц, которую также занимают беспроводные телефоны и микроволновые печи. Маршрутизаторы стандарта 802.1 In поддерживают и помехозащищенную полосу 5 ГГц, но, за исключением случаев, когда в сети работают только устройства 802.1 In или у маршрутизатора двухполосный излучатель, тогда он все равно будет работать на 2,4 ГГц. Это означает, что

лучше расположить маршрутизатор подальше от базовых станций беспроводных телефонов, устройств Bluetooth, телевизоров, радио или микроволновок.

Если после выбора расположения маршрутизатора вам понадобится большая даль-ность, чем он может обеспечить, рассмотрите возможность использования повторителя (расширитель диапазона) либо приобретите антенну. Имеется также ряд конструкций антенн под названием «сделай сам* как для маршрутизатора, так и для клиента (например, ноутбука), включая изобретательное использование банки из-под чипсов Pringles™.

Следует иметь в виду, что замена антенны сделает сигнал просто более-менее направленным и повлияет только на сигнал, выходящий из устройства, к которому антенна подсоединена.

?

Если вы установили шифрование, а затем не можете подсоединиться к марш* рутнзатору беспроводным способом, это, скорее всего, означает, что на вашем компьютере неправильно введен ключ шифрования. Для того чтобы устранить

-эту проблему, придется заново подсоединить компьютер к маршрутизатору с

помощью кабеля и изменить настройки. Если это не поможет, убедитесь, что на маршрутизаторе установлена новейшая прошивка (обратитесь к разделу «Переход к более новой версии маршрутизатора»), а на компьютере — новейшие драйверы беспроводной связи. В качестве последнего средства вернитесь согласно документации к исходным настройкам маршрутизатора и попытайтесь проделать все заново.

Безусловно, для защиты уязвимых данных необходимо использовать как можно больше защитных функций, однако не следует всецело на них полагаться. После того как вы настроили маршрутизатор, обязательно установите пароль для учетной записи пользователя Windows и внимательно следите, к каким ресурсам вы предоставляете совместный доступ, как это описано в главе 7.

Переход к более новой версии маршрутизатора

Программное обеспечение (иначе называемое прошивкой или программно-аппаратным средством) в большинстве маршрутизаторов плохое, по большей части из-за того, что ему не нужно быть лучше. Но вы не осознаете, насколько оно плохое, пока его не замените.

Большинство изготовителей оборудуют маршрутизаторы — беспроводные или иные — прошивками, которые могут быть модифицированы пользователями. Войдите на страницу настройки маршрутизатора через веб-браузер (рассматривается в предыдущем разделе), и где-то на главной странице или странице состояния вы увидите номер версии его прошивки. Затем надо посетить веб-сайт производителя, чтобы увидеть, имеются ли более новые версии для данной модели. Было бы совершенно естественно включить функцию автоматического обновления прошивки, но, кажется, никто не считает себя обязанным добавить ее к своим устройствам. Если возможность обновления имеется, скачайте файл на ваш Рабочий стол и, если необходимо, разархивируйте его. Загрузите файл через интерфейс маршрутизатора

и подождите несколько минут, пока он завершит обновление (процесс под названием «перепрограммирование прошивки»).

Конечно, в связи с тем, что изготовители маршрутизаторов предпочитают, чтобы вы купили новое оборудование, а не получили новые функции на старом, обновления редко содержат что-нибудь, кроме исправленных ошибок и, иногда, добавления поддержки для более новых протоколов шифрования, таких как WPA2 (рассмотрены ранее). Если вам повезет, то предложение производителя маршрутизатора окажется не единственным выбором.

Бесплатным, открытым альтернативным программным средством на основе Linux, которое улучшает характеристики и надежность, а также добавляет функции к прошивкам, поставляемым с маршрутизаторами от приблизительно 70 компаний, является DD-WRT. Его применение занимает не больше времени, чем обновление прошивки (примерно 5 минут), но польза от него существенно больше.

ОПЫТ ИСПОЛЬЗОВАНИЯ DD-WRT

У меня был ненадежный, двухлетней давности маршрутизатор WRT150N компании Linksys, который просто просился на свалку Скорости беспроводной передачи данных разочаровывали, а соединения были ненадежными. Но хуже всего было то, что маршрутизатор давал сбои во время активной работы, после чего требовалась перезагрузка. И это случалось по меньшей мере один-два раза в день. Некоторые считали, что причиной был перегрев, другие винили капризное оборудование.

После быстрого и безболезненного (не говоря уже о том, что бесплатного) перехода к новой версии DD-WRT эти проблемы исчезли. Больше не было никаких сбоев и никаких отказов в соединениях. До перехода к новой версии обычная скорость передачи данных при беспроводном соединении (согласно отчету, сделанному WinSCP) была 600-700 Кбайт/с, а с переходом к DD-WRT она почти утроилась, достигнув 1700-1800 Кбайт/с. И за 6 месяцев ни разу не потребовалась перезагрузка.

Кроме того, интерфейс DD-WRT лучше, чем Linksys, что видно на рис. 6.5,6.6 и 6.7. Список клиентов DHCP (Dynamic Host Configuration Protocol - протокол динами* ческой настройки узла), показывающий подсоединенные устройства и автоматически присвоенные им IP-адреса, можно увидеть на главной странице, вместо того чтобы искать их во вложенном списке 4-го уровня. Легче понять и использовать элементы управления для настройки ограничений брандмауэра и переадресации портов. Имеется больше возможностей контроля за сервисом UPnP (Universal Plug and Play — универсальная автоматическая настройка сетевых устройств, пригодная для любых Macs или iPhone (Internet-telephone — телефон с возможностями доступа к Интернету), находящихся в сети, и компьютеров, которые с ними соединены). Переход к новой версии добавил несколько приятных функций, в частности возможность установить беспроводную зону доступа, если, например, я захочу открыть в своем гараже кафе.

Короче говоря, прошивка DD-WRT бесплатно превратила ненадежный маршрутизатор в хороший.

-ifr— Выше см. врезку «Опыт использования DD-WRT*, где описан интересный

0% случай усовершенствования маршрутизатора компании Linksys. Бесплатной,

М?*’ 4 • но менее совершенной альтернативой DD.-WRT является проект OpenWRT

- (http://openwrt.org/).

OpenWRT представляет собой модульную систему и требует установки пакета интерфейсных программ наподобие X-Wrt (http://x-wrt.org/), если вам нужен графический веб-интефейс, подобный DD-WRT или прошивке вашею маршрутизатора.

Для начала зайдите на сайт http://www.dd-wrt.com/ и поищите в базе маршрутизаторов номер модели своего маршрутизатора. Если она есть в списке, щелкните на ссылке просмотра загрузок маршрутизатора. Вы увидите 5-10 различных вариантов. При первом перепрограммировании DD-WRT рекомендуется воспользоваться вариантом Mini или Mini Generic (Малая или Малая групповая). Вы загрузите файл с расширением .bin. Сохраните его на Рабочем столе.

Пока происходит переход к новой версии, у вас не будет подсоединения к Интернету (если вы только не подсоединитесь в обход маршрутизатора). Поэтом); прежде чем приступить, убедитесь, что у вас есть все файлы, документация и исходная прошивка (просто на всякий случай). Кроме того, некоторые маршрутизаторы требуют активации, которая бесплатна для личного пользования, так что, если это необходимо, создайте регистрационную запись на сайте http:// www.dd-wrt.com/ и посетите Центр активации (Activation Ctenter).

Когда все готово, используйте .bin-файл так же, как и при обновлении любой стандартной прошивки. Конкретные инструкции можно найти, обратившись к документации маршрутизатора или веб-сайта производителя.

При первом входе в новую версию маршрутизатора у вас спросят имя пользователя и пароль. Введите, соответственно, root и admin. Пароль вы можете позже поменять на вкладке Administration. Затем установите соединение с Интернетом, идентификатор беспроводной связи SSID и защиту соединения, как описано в предыдущем разделе «Настройка беспроводного маршрутизатора».

Выискивание зон доступа WiFi

Центром работы с беспроводной сетью в Windows является диалоговое окно Подключение к сети (Connect to a network), показанное на рис. 6.8. Это окно служит, в основном, в качестве анализатора сетевых пакетов WiFi (WiFi sniffer). Для того чтобы увидеть сети, находящиеся в пределах досягаемости, щелкните на крохотном индикаторе уровня сигнала, расположенном в области уведомления (блок панели задач) или откройте меню Пуск и выберите Подключить к (Connect То). Наличие маленькой желтой звездочки над значком панели задач показывает, что вы не соединились. Наличие одной или нескольких белых полосок показывает, что соединение активно.

Для вывода на экран окна Подключение к сети (Connect to a network) откройте меню Пуск и нажмите Подключить к (Connect То), если такой вариант имеется. Или же щелкните на значке сети в области уведомлений, а затем на ссылке Подключиться к сети (Connect to a Network). Или, если вы находитесь в Панель

Анализатор сетевых пакетов WiFi представляет собой программу (или устройство), которая быстро выискивает'сети WiFi в пределах досягаемости и предоставляет их список. Именно в этот момент в действие вступает настройка широковещания SSID, рассмотренная в разделе «Настройка беспроводного маршрутизатора». Пока маршрутизатор передает SSID в широковещательном режиме, любой сетевой анализатор в пределах досягаемости будет его видеть.

Выделите элемент списка и нажмите Соединить (Connect). Если сеть опознана как Сеть с задействованной защитой (Security-enabled network), для подключения к ней вам понадобится фраза-пароль или ключ. В том случае, если это ваша собственная сеть, вы можете просто вставить фразу-пароль из шага 14 раздела «Настройка беспроводного маршрутизатора» (с. 338). В противном случае придется получить ее от администратора данной конкретной зоны доступа.

Если вы включите вариант Соединить автоматически (Connect automatically) при подключении к сети, Windows сохранит SSID (идентификатор беспроводной

I ? сети) и фразу-пароль, и, таким образом, в следующий раз система сможет под-'' соединиться без вашей помощи, как только увидит эту зону доступа в пределах досягаемости. Для того чтобы увидеть список сохраненных сетей, откройте окно Управление беспроводными сетями (Manage Wireless Networks), рассмотренное в разделе «Поиск и устранение неисправностей беспроводных сетей».

Дело обстоит несколько иначе, если вы выключили режим широковещания SSID маршрутизатора. В этом случае ваша сеть WiFi либо отобразится в окне анализатора как Неименованная сеть (Unnamed Network), либо не отобразится вообще. Но что еще более важно, вам может понадобиться пойти другим путем для того, чтобы подключиться к этой скрытой сети (особенно если в пределах досягаемости имеется более чем одна «неименованная» сеть).

Во всплывающем окне Подключиться к сети (Connect to a network) щелкните на ссылке Открыть Центр управления сетями и общим доступом (Open Network and Sharing Center), расположенной в нижней его части. Затем на странице Центр управления сетями и общим доступом (Network and Sharing Center) щелкните на ссылке Настройка нового подключения или сети (Set up a new connection or network). Из появившегося списка выберите Подключиться к беспроводной сети вручную (Manually connect to a wireless network) и нажмите Далее (Next), чтобы открыть страницу, показанную на рис. 6.9.

В поле Имя сети (Network name) введите SSID (идентификатор беспроводной сети) точно в таком же виде, в каком он появляется на странице настройки маршрут»' затора, а затем выберите тот Тип шифрования (Security type), который использует маршрутизатор.

Теперь наступает очередь ключа шифрования или фразы-пароля. Несмотря на то что здесь указано: Ключ безопасности (Security Key), система Windows 7 только в том случае подразумевает «ключ», если используется более старое шифрование WEP В случае использования WPA или WPA2 введите фразу-пароль в соответствии с шагом 14 раздела «Настройка беспроводного маршрутизатора» (с. 338). При этом должны быть учтены заглавные буквы, пунктуация и пробелы. Выключите пара* метр Скрыть символы (Hide characters) для того, чтобы видеть, что вы делаете, а затеи вставьте ключ с помощью Ctrl+V.

Включите параметр Запускать это подключение автоматически (Start this connection automatically), а затем разберитесь, что подразумевает Microsoft под предупр^ ждением: Безопасность компьютера может быть под угрозой (Your computer's privacy might be at risk), появляющимся после включения параметра Подключаться, даже если сеть не производит широковещательную передачу (Connect even if the network is not broadcasting).

Махнуть рукой? Нигде в данном окне это не объясняется, но в сети на сайте http://technet.microsoft.com/en-us/library/bb726942.aspx опубликована позиция Microsoft: если вы выключите функцию пересылки SSID, могут случиться неприятности.

А происходит следующее: при подсоединении к нормальной широковещательной сети Windows, прежде чем соединяться, ждет до тех пор, пока не увидит настроенную вами сеть. Но при выключенной трансляции SSID на маршрутизаторе Windows непрерывно посылает сигнал, содержащий SSID, до тех пор, пока не найдет сеть. И как вы, возможно, успели догадаться, кто-то уже написал программу, которая «старается расслышать» любой компьютер, пытающийся подсоединиться к скрытой сети и записать любые SSID, на которые она наткнется.

Для того чтобы обнаружить SSID скрытой сети, взломщик должен находиться в пределах досягаемости компьютера и прослушивать его тот в момент, когда он пытается подсоединиться к вашей беспроводной сети. Если вы уже подсоединены дома или просматриваете интернет-страницы в кафе, Windows не будет посылать никаких сигналов. Более важно то, что если кто-нибудь обнаружит ваш SSID, то все равно не сможет подсоединиться к сети, пока в ней задействовано шифрование. На самом деле скрытый SSID не будет достаточной защитой сети, если является единственной мерой защиты, и это как раз то, что Microsoft подразумевает под своим непонятным предупреждением.

л

"*v Вышеупомянутый параметр Подключаться, даже если сеть не производит ши-

роковещательную передачу (Connect even if the network is not broadcasting) был { •, впервые представлен в Windows Vista. Если в сети работают какие-нибудь более старые компьютеры, скажем, с Windows ХР, то они не имеют этого параметра, если только вы не установили Wireless Client Update (пакет обновлений для клиента беспроводного соединения) с сайта http://support. microsoft.com/?kbid=917021

Таким образом, при подключении к домашней сети со скрытым SSID есть четыре варианта.

Первый вариант — последовать совету Microsoft и настроить беспроводной маршрутизатор на трансляцию его SSID.

В этом случае для защиты конфиденциальности положитесь на шифрование, о котором рассказывается в разделе «Настройка беспроводного маршрутизатора», и на аутентификацию, описанную в главе 7. Затем подключитесь к своей сети способом, описанным ранее в данном разделе.

Второй вариант — выключить настройки трансляции SSID маршрутизатора... и задействовать опцию Подключаться, даже если сеть не производит широковещательную передачу (Connect even if the network is not broadcasting). При этом компьютер автоматически будет подключаться к скрытой сети всегда, когда он находится в пределах ее досягаемости. Но в этом случае вы подвергаете риску ваш «секретный» SSID, который может быть раскрыт. Если вы пойдете этим путем, то обязательно зашифруйте свою сеть и используйте аутентификацию (рассматриваемую в главе 7) в полную силу.

Третий вариант — выключить установочные параметры трансляции SSIDмаршрутизатора... но не использовать опцию Подключаться, даже если сеть не производит широковещательную передачу (Connect even If the network is not broadcasting).

Но берегитесь — это ловушка!

Проблема состоит в следующем: так как сеть не осуществляет трансляцию. Windows никогда не подключится автоматически. Поэтому вам придется под* соединяться вручную. Но каким образом?

Когда вы нажимаете кнопку Далее (Next), Windows сохраняет ту сеть, которую вы только что настроили в окне Управление беспроводными сетями (Manage Wireless Networks — рассматривается в следующем разделе), но там нет кнопки Подключиться (Connect). Не пытайтесь также использовать окно Подключиться к беспроводной сети вручную (Manually connect to a wireless network), так как вас попросят установить еще одну новую сеть. И поскольку ваша сеть не осуществляет трансляцию, она не появится в окне Подключиться к сети (Connect to a network), но крайней мере пока еще не появится.

Решение состоит в том, чтобы подождать. В конечном итоге окно Подключиться к сети (Connect to a network) отобразит вашу скрытую сеть в списке, если она находится в пределах досягаемости. Система беспрерывно зондирует воздушны* волны в поисках сети, используя способ, описанный ранее в данном разделе, что, возможно, подрывает вашу конфиденциальность. Если по истечении нескольких минут вы не увидите вашу новую сеть, закройте все открытые окна сети и откройте заново окно Подключиться к сети (Connect to a network). Если это не поможет, перезагрузите Windows и попробуйте все снова.

Если точка входа в скрытую сеть никак не показывается, вам придется либо включить опцию Вещание SSID (SSID Broadcast) в маршрутизаторе, следуя, таш образом, совету Microsoft, либо использовать параметр Подключаться, даже если сеть не производит широковещательную передачу (Connect even if the network is not broadcasting), оставляя в то же время скрытым ваш SS1D.

Четвертый вариант — полностью отказаться от беспроводного варианта и использовать кабель.

Да, кабели — это мучение, но зато злоумышленники не смогут вторгнуться в вашу сеть без собственного кабеля. И безопасность в этом случае соответствует ожиданиям.

Вернемся на землю, или, более конкретно, к окну Подключиться к беспроводной сета вручную (Manually connect to a wireless network). Нажмите кнопку Далее (Next). Если иа данном этапе вы увидите сообщение: Сеть под названием ххх уже существует (A network called ххх already exists), обратитесь к разделу «Поиск и устранение неисправностей сетевых соединений». В противном случае Windows должна вам сказать, что она успешно добавила вашу сеть (successfully added your network).

Если бы вы использовали Подключаться автоматически (Start this connection automatically), Windows соединял бы вас в момент прочтения этих слов и у вас была бы только возможность нажать кнопку Закрыть (Close). В случае подсоединения вручную нажмите Подключиться к (Connect to) для того, чтобы вернуться к окну Подключиться к сети (Connect to a network), выберите новую сеть и нажмите Подключиться (Connect). Конечно, если это скрытая сеть, как описано ранее, то она здесь не появится и вам придется нажать кнопку Изменить параметры соединения (Change connection settings) и включить параметр Подключаться, даже если сеть не производит широковещательную передачу (Connect even if the network is not broadcasting).

Если Windows не осуществит подключение, обратитесь к разделу «Поиск и устранение неисправностей беспроводных сетей». Чтобы узнать о еще одном способе подключения к беспроводной сети, обратитесь к следующей врезке - «Быстрое и дешевое подключение к чужой WiFi-сети».

БЫСТРОЕ И ДЕШЕВОЕ ПОДКЛЮЧЕНИЕ К ЧУЖОЙ WIFI-СЕТИ

Предположим, вы и ваш коллега остановились в гостинице и у каждого из вас имеется ноутбук. Конечно же, гостиница предъявит счет за беспроводной Интернет, а вам не особенно хочется платить лишние деньги за два подключения, но и не хочется пользоваться Интернетом поочередно.

Или. возможно, кто-то из друзей придет к вам домой или в ваш кабинет и ему понадобится проверить электронную почту на своем компьютере. А если вам не хочется делиться фразой-паролем с первым встречным? Или если у его ноутбука нет функции беспроводного соединения?

Допустим, у вас типовая беспроводная сеть, похожая на ту, что показана на рис. 6.3 или 6.4. Конечно, вы можете подключить любой компьютер (при условии, что у него есть порт Ethernet) прямо к маршрутизатору с помощью соединительного кабеля категории 5 и мгновенно предоставить ему доступ в Интернет. Ну а что делать, если маршрутизатор находится в неудобном месте?

К счастью, любой компьютер с системой Windows может действовать в качестве межсетевого шлюза, направляя доступ в Интернет любому компьютеру, с которым он соединен физически, с помощью (рассмотренного дальше в данной главе) встроенного Средства общего доступа к подключению Интернета (Internet Connection Sharing). Вам только нужно подсоединить этот дополнительный ноутбук непосредственно к вашему компьютеру, а для этого обычно нужен только один кабель.

Если у ноутбука вашего гостя имеется порт Ethernet, а у подключенного к Интернету компьютера — незадействованный порт Ethernet (что вполне возможно, если он находится в беспроводной сети), просто соедините между собой оба компьютера с помощью кабеля с перекрещивающимися парами, и получится некое подобие проводной сети. Задействуйте на вашем компьютере Средство общего доступа к подключению Интернета (Internet Connection Sharing), и гость получит доступ в Интернет. Для вас было бы нежелательным использовать этот способ в качестве долговременного решения, но он достаточно хорош для быстрой загрузки электронной почты, понадобится лишь несколько минут и кабель стоимостью $4, и при этом защита вашей сети не подвергается большому риску.

Поиск и устранение неисправностей беспроводных сетей

Беспроводной доступ к сетям имеет тенденцию к сбоям в работе и иногда до того раздражает, что хочется рвать на себе волосы. Итак, что же делать, когда не получается подключиться к беспроводной сети, которую вы только что создали? Возможно, вы попытаетесь снова подключиться через окно Подключиться к сет (Connect to a network). Или, если вы подключаетесь к сети с помощью скрытого SSID (рассмотренного в предыдущем разделе), нажмите Установка подключения или сети (Set up a connection or network), чтобы снова ввести всю информацию о сети. Разумеется, Windows либо позволит вам завершить установку данной сет но она так и ие начнет работать, либо сообщит, что сеть с таким названием уже существует. Брррр!

Вместо этого вам следует перейти прямо к малоизвестному окну Управление беспроводными сетями (Manage Wireless Networks), изображенному на рис. 6.10. Сделать это можно по крохотной ссылке с тем же названием, расположенным в левой части окна Центр управления сетями и общим доступом (Network and Sharing Center).

Здесь вы увидите все беспроводные сети, которые вы когда-либо сохранили или настроили вручную, независимо от того, находятся ли они в пределах досягаемости. Дважды щелкните на любой сети в списке для появления окна Характеристики беспроводной сети (Wireless Network Properties), представленного на рис. 6.11. Все возможности этого окна изложены в разделе «Выискивание зон доступа WiFi».

Вот как решаются некоторые из наиболее распространенных проблем беспроводного соединения.

О Windows не может подключиться к ххх

Это может быть вызвано целым рядом причин, но Windows не скажет, какой именно причиной. Наиболее вероятной причиной, по крайней мере когда вы подключаетесь к шифрованной сети, является то, что введены неправильные фраза-пароль или ключ шифрования. Если данная сеть скрыта, вы, возможно, неверно ввели SSID (или, если в пределах досягаемости имеется несколько скрытых сетей, возможно, выбрали не ту сеть).

Если вы попросите Windows выяснить причину, она, вероятно, предположит, что сигнал слишком слабый, но если сеть появляется в списке с указанием силы сигнала по меньшей мере в две полоски, это маловероятно. Более вероятно, что это несуществующая сеть (возможно, в ноутбук когда-то была добавлена несуществующая сеть для приема входящих соединений) или она использует фильтрацию MAC-адресов, описание которой можно найти в разделе «Блокировка компьютеров с несанкционированным доступом».

О Нетранслирующая сеть не отображается

Если вы видите строку Неименованная сеть (Unnamed Network), не пытайтесь к ней подключиться, если вы раньше вручную установили скрытую сеть, как описано в разделе «Выискивание зон доступа WiFi». Либо вы установили ее неправильно, либо это скрытая сеть, принадлежащая кому-то другому. В любом случае попытка подключиться к этой сети ничего не изменит. Используйте окно Управление беспроводными сетями (Manage Wireless Networks), описанное ранее в данном разделе, для удаления этой сети и попробуйте снова добавить ее вручную.

О Транслирующая (нескрытая) сеть не отображается

Это может быть вызвано совместным использованием старого и нового оборудования. Например, большинство маршрутизаторов стандарта 802.1 In имеют возможность подсоединения более медленного оборудования (маршрутизаторов классов g и Ь). Если вы измените настройку так, чтобы могли подсоединяться только устройства класса п, то ноутбук, имеющий более старое устройство беспроводной связи — классов g или Ь, — не сможет подключиться к этой сет

"tv I Если у вас маршрутизатор стандарта 802.1 In, то можно установить разрешение т • I на подкл ючение только для устройств класса п, чтобы маршрутизатор мог рабо> ^ Л?’ тать исключите;,ьпо в полосе 5 ГГц. Если маршрутизатор не двухдиалазошшй, то подключение более старых устройств класса 802.1 lg заставит его понизить частоту до используемой этим стандартом полосы 2,4 ГГц, где он будет более подвержен помехам.

Кроме того, убедитесь, что маршрутизатор и другое ваше оборудование передают сигналы на одном канале (обычно по умолчанию используется канал 6 на 2,437 ГГц).

О Windows пытается в первую очередь подключиться к сети соседа

Откройте окно Управление беспроводными сетями (Manage Wireless Networks) и удалите строку с сетью вашего соседа, если она там имеется. Затем дважды щелкните на строке с названием вашей сети, чтобы появилось окно Свойства (Properties), включите Подключаться автоматически, если сеть в радиусе действия (Connect automatically when this network is in the range) и выключите параметр Подключаться к более подходящей сети, если она есть (Connect to a more preferred network If available) (если он был доступен). Нажмите OK и затем перетащите сеть в верхнюю часть списка или используйте кнопку Продвинуть вверх (Move up).

Теперь, если ваша сеть не появляется в списке точек доступа в пределах до* сягаемости, это значит, что вы ее еще не установили. Закройте окно Управление беспроводными сетями (Manage Wireless Networks) и следуйте инструкциям в раз* деле «Выискивание зон доступа WiFi», а когда вы установите сеть, обязательно используйте функцию Сохранить данную сеть (Save this network).

После отключения от сети Windows сразу же пытается снова подключиться к ней.

Просто снова нажмите кнопку Отключить (Disconnect) — Windows редко делает это более двух-трех раз. Если проблема сохраняется, откройте окно Manage Wireless Networks (Управление беспроводными сетями) и удалите введенные данные для этой сети.

О Сеть под названием ххх уже существует

Вы увидите эту ошибку, если попытаетесь установить новую беспроводную сеть с тем же SSID, который вы сохранили на вашем компьютере ранее. Если они представляют собой одну и ту же зону доступа, откройте окно Управление беспроводными сетями (Manage Wireless Networks) и дважды щелкните на названии сети для изменения настроек. Однако если вы пытаетесь установить две разные зоны доступа, у которых будет одинаковый SSID и разное шифрование, то обратитесь к следующему разделу.

О Работа с двумя сетями с одинаковыми SSID

Windows отличает одну сеть от другой по SSID, другими словами, по их названию. Допустим, вы назвали вашу домашнюю сеть wirelessnetwork, и она работает. Как здорово! Затем вы берете ваш компьютер иа работу и узнаете, что SSID вашего работодателя тоже называется wirelessnetwork. Когда Windows видит wirelessnetwork, она пытается подключиться с помощью фразы-пароля, которая ей известна, и ничего удивительного, что происходит отказ.

Лучшим решением этой проблемы будет переименовать ваш}' домашнюю сеть во что-нибудь уникальное, но это не получится, если обе сети управляются другими людьми. В этом случае придется внести некоторые изменения.

Во-первых, откройте окно Управление беспроводными сетями (Manage Wireless Networks), щелкните правой кнопкой мышки на сохраненной сети и нажмите кнопку Переименовать (Rename). Таким образом изменится внешнее название введенной сети, в то время как ее SSID останется нетронутым. Затем щелкните два раза на сохраненной сети, выключите параметр Подключаться автоматически, если сеть в радиусе действия (Connect automatically when this network is in range) и нажмите ОК. Теперь, когда у вас нет этой преграды, вы должны суметь подключиться к новой сети под тем же названием и сохранить ее настройки шифрования для следующего раза.

"^v Если вы часто подключаетесь к различным беспроводным сетям, то для того,

чтобы быстро переключаться между режимами public (общедоступный) и home ^{ ? (домашний), используйте окно Центр управления сетями и общим доступом (Network ' and Sharing Center), показанное на рис. 6.12 и рассмотренное в главе 7.

О Windows теряет беспроводное соединение, когда звонит телефон

Если у вас на наземной линии есть беспроводной телефон, то, скорее всего, он задействует частоту 2,4 ГГц. Беспроводные сети классов 802.1 lb/g/n работают на этой же частоте, поэтому лучше переместить базу телефона подальше от маршрутизатора. Еще лучше заменить телефон на новую модель на 5,8 ГГц, не конфликтующую с WiFi, а если помеха создается телефоном вашего соседа, подумайте о том, чтобы раскошелиться и подарить ему новый.

Есть еще один вариант: вы можете перевести маршрутизатор и другое беспроводное оборудование на более новый стандарт 802.1 In, который работает в диапазоне 5 ГТц. Если у вас есть беспроводные устройства класса g (например iPhone или КПК), обязательно используйте двухдиапазонный (или с двойным радио) маршрутизатор для того, чтобы в результате подключения устройства класса

802.1 lg на диапазон 2,4 ГГц не переходила вся сеть.

О Windows подключается к WiFi, но Интернет не работает

Если вам кажется, что у вас устойчивое беспроводное соединение, но при этом вы не можете загрузить веб-страницы или электронную почту, откройте окно

Центр управления сетями и общим доступом (Network and Sharing Center), показанное на рис. 6.12. Это окно является своего рода «домашней базой», которая содержит ссылки на средства управления сетями, рассматриваемые в этой главе, и средства совместного подключения, рассматриваемые в главе 7. По центру окна расположена раздел Просмотр активных сетей (View your active networks), где вы можете разобраться с рассматриваемой проблемой.

Если не имеется никакого подключения к действующей сети — ни LAN (локальная вычислительная сеть), ни Интернета, здесь будет указано В данный момент вы не подключены ни к какой сети (You are currently not connected to any networks). Если вы используете проводное подключение, это означает, что кабель, возможно, отсоединен, маршрутизатор или коммутатор отключен или же адаптер вашей сети отключен или работает с ошибками. Если вы использует беспроводное подключение, то необходимо подключиться к зоне доступа, как описано выше в данной главе.

Если какое-либо действующее сетевое соединение имеется, вы увидите на экране два раздела. В левом Windows определяет категорию сети: Домашняя сеть (Ноте network), Сеть предприятия (Work network) или Общественная сеть (Public network), что влияет только на совместный доступ к файлам и принтеру (см. главу 7). В правом разделе вы увидите, какой физический адаптер сети задействован, а поле Тип доступа (Access type) укажет статус соединения. В иоле Access type должно стоять значение Интернет (Internet). Если это не так и доступ к Интернету отсутствует, попробуйте перезапустить компьютер и временно отключить все программы сетевой защиты.

гЫ+-

Если вы в общедоступной сети (например, в кафе, гостинице или аэропорту). т% I то вам, возможно, придется зарегистрироваться или заплатить абонентскую ^ плату за полный комплекс иитернет-услуг — факт, который может выясниться с первой же страницы, на которую загрузится ваш браузер, или об этом может сообщить SSID.

Если в поле Access type указано Нет Интернета (No Internet), то проблема может быть связана с маршрутизатором или модемом широкополосной сети. Попробуйте перезагрузить оба устройства и сделать новую попытку. Если вы соединяетесь по РРРоЕ (Point-to-Point Protocol over Ethernet — Протокол точка-точка по Ethernet), о котором пойдет речь ниже в данной главе, то, возможно, проблема связана с параметрами входа в систему. Если это новая беспроводная сеть, убедитесь, что вы подключаетесь к действующей точке доступа (маршрутизатору), а не к чужой временно не используемой сети, соединяющей компьютеры. Если ничего не помогает, то, может быть, придется повозиться с настройкой ТСР/ IP (Transmission Control Protocol — протокол управления передачей, Internet Protocol — межсетевой протокол), как описано в разделе «Поиск и устраненне неисправностей сетевых соединений».

О Все работает до тех пор, пока не задействовано шифрование

Убедитесь, что у маршрутизатора новейшая прошивка. Подробнее об этом читайте в разделе «Переход к более новой версии маршрутизатора». Там же предложены и другие варианты решения проблемы.

Если это не поможет, то, вероятно, либо маршрутизатор, либо адаптер компьютера не полностью совместим со стандартом 802.1 li. Это означает, что либо вам придется перейти на использование более слабых стандартов шифрования,

о которых сказано во врезке «Выбор правильной схемы кодирования: WEP, WPA, или WPA2?» на с. 337 в данной главе, либо обновить версию маршрутизатора.

За исключением SSID и шифрования, беспроводное подключение не очень сильно отличается от проводного. Раздел «Поиск и устранение неисправностей сетевых соединений» содержит информацию о тонкой настройке адресов TCP/IP, что особенно полезно, если в сети находится несколько различных компьютеров и других устройств.

Блокировка компьютеров с несанкционированным доступом

Итак, вы установили шифрование и скрытый SSID. Вы установили пароли и ограничили права доступа к папкам совместного пользования (см. главу 7). Вы, вероятно, думаете, что теперь самая большая проблема в том, что никто не может запомнить свои пароли, но, может быть, все совсем наоборот.

Все эти схемы защиты зависят от информации, которая находилась в совместном пользовании ранее. Любой, кому известны ваши фраза-пароль для WPA2, SSID и пароль в Windows, может подключиться к вашей беспроводной сети и даже, возможно, читать файлы на вашем жестком диске. Система строится на конфиденциальности, и для разрушения всей системы достаточно нарушить эту конфиденциальность.

Например, допустим, на вашем небольшом предприятии работают 20 сотрудников и кого-то из них увольняют. Или, скажем, вы живете в многоквартирном доме с совместным доступом к беспроводной сети и кто-то выселяется. В любом из случаев у лица, покинувшего систему, может по-прежнему сохраняться фраза-пароль бес* проводной сети (а в случае предприятия — общий пароль в Windows), и у него будет возможность войти в вашу сеть.

Что же делать? Ну, например, вы можете изменить пароль, а затем снабдить новым паролем остальные компьютеры и сказать всем, чтобы они постарались запомнить новый пароль. Но бывший сотрудник, бывший квартиросъемщик или бывший приятель может узнать новый пароль от друга или во время последующего посещения, и вы возвращаетесь туда, откуда начали. Короче говоря, сеть, защищенная от незваных гостей только с помощью паролей, остается уязвимой.

Одно из решений для домашних сетей и небольших предприятий, имеющих оборудование без возможности установки сервера идентификации, обычно доступного только большим компаниям, — использовать фильтрацию адресов MAC.

Адрес MAC (Media Access Control — Управление доступом к среде передачи данных) является более или менее уникальным идентификатором для каждого сетевого адаптера на вашем компьютере, или, в применении к маршрутизатору, уникальным идентификатором для каждого подключения в вашей сети. Вы можете настроить маршрутизатор так, чтобы он позволял только конкретным адресам MAC подключаться к сети и при этом не пускал кого-либо еще независимо от того, знают ли они фразу-пароль вашего WPA2или нет.

Страница типового беспроводного фильтра MAC показана на рис. 6.13. Если у вашего маршрутизатора нет этой функции, прочитайте раздел «Переход к более новой версии маршрутизатора». Включите здесь параметр Разрешить доступ к беспроводной сети только перечисленным компьютерам (Permit only PCs listed to access the wireless network) и затем введите или скопируйте М AC-адреса беспроводных адаптеров ваших компьютеров. Когда это сделано, сохраните установки.

Для получения М AC-адреса вашего компьютера (это не имеет никакого отношения к компьютерам Macintosh) откройте Центр управления сетями и общим доступом (Network and Sharing Center) в Панели Управления и затем щелкните на ссылке с названием действующего сетевого адаптера, расположенной под названием Просмотр активных сетей (View your active networks). Наконец, нажмите кнопку Сведения (Details), чтобы открыть окно Сведения о сетевом подключении (Network Connection Details), изображенное на рис. 6.14. Строка Физический адрес (Physical Address), состоящая из шести сегментов, является МАС-адресом данного адаптера.

Вам понадобится ввести MAC-адрес всех без исключения компьютеров, которые подключаются к вашей сети беспроводным способом. Стоит пропустить один из них, и он не сможет подключиться, а пользователь этого компьютера не будет знать причины. Не стоит беспокоиться о компьютерах, подключенных к вашей сети с помощью кабелей, — они не пострадают.

Итак, фильтрация МАС-адресов является практичным решением, но она не защищена от неумелого пользования. Например, любой, у кого есть доступ к странице настройки маршрутизатора, может внести изменения в утвержденный список, — если вы этого еще не сделали, измените пароль доступа к вашему маршрутизатору. Следующим шагом будет выключить параметр Дистанционного администрирования (Remote Administration) маршрутизатора для гарантии того, что только лица, подключенные к вашей сети, будут иметь к нему доступ. Наконец, следует учесть потенциально уязвимое место в фильтрации МАС-адресов, о которой идет речь во врезке «Почему фильтрация МАС-адресов не защищена от неумелого пользования» на с, 356.

ПОЧЕМУ ФИЛЬТРАЦИЯ МАС-АДРЕСОВ НЕ ЗАЩИЩЕНА ОТ НЕУМЕЛОГО ПОЛЬЗОВАНИЯ

Все устройства в сети имеют разные МАС-адреса, и это может казаться идеальным способом защиты от злоумышленников, но здесь таится ловушка. Дело в том, что на большей части современного оборудования есть возможность поменять МАС-адрес, поэтому теоретически можно подделать его и подключиться к фильтруемой сети. Получается, что МАС-адреса — это что-то вроде пароля?

Не совсем так. Во-первых, в сети не могут одновременно существовать два устройства с одинаковым МАС-адресом, поэтому если ваш компьютер подключен к сети, а кто-то чужой пытается подсоединиться, подделав ваш МАС-адрес, эта попытка не удастся. Во-вторых, у каждого компьютера свой МАС-адрес, отображающийся на странице фильтра МАС-адресов, а это означает, что администратор может удалить сомнительную строку, не влияя на работу остальных компьютеров. В этом заключается отличие от единой персональной фразы-пароля в WPA или ключа шифрования в WEP, которыми совместно пользуются все, кто находится в сети.

Настоящая проблема заключается в том, что, как и в случае с дилеммой скрытого SSID, рассмотренной в разделе «Выискивание зон доступа WiFi», пронырливый взломщик может с помощью отслеживающих программ перехватить МАС-адреса в эфире и использовать их для подключения.

Вы считаете, что изменить МАС-адрес компьютера трудно? Не торопитесь. Воспользуйтесь программой MAC Makeup, которую можно бесплатно скачать но адресу http:// www.gorlani.com/publicpri/macmakeup/, а также бесплатной программой MadMACs на сайте http://www.irongeek.com/i.php?page=security/madmacs-mac-spoofer или программой Technitium MAC Address Changer на http://www.technitium.com/tmac/. С помощью этих программ можно в течение нескольких минут изменить МАС-адрес беспроводного адаптера.

Вы также можете изменить МАС-адрес, не используя специальные программы, внесением правок в системный реестр. Откройте Редактор реестр (см. главу 3) и перейдите к ветви HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl Class{4D36E972-E325-llCE-BFCl-08002BE10318}. Нажмите Ctrl+F, введите Driver Desc и нажмите кнопку Найти далее (Find Next). Нажимайте F3 для циклического прохождения подразделов (например, 0001, 0002 и т. д.) до тех пор, пока не наткнетесь на тот подраздел, содержимое которого будет соответствовать названию вашего беспроводного адаптера. Как только вы найдете нужный раздел, выберите Правка ? Создать ? Строковый параметр (Edit ? New ? String Value) и дайте параметру название NetworkAddress (Адрес сети). Дважды щелкните на новом названии, введите МАС-адрес, который вы хотите использовать, в строку Значение (Value data) без каких-либо черточек, например 040815162342, и нажмите ОК. Для задействования нового адреса используйте окно Сетевые подключения (Network Connections), чтобы выключить и затем снова включить сетевой адаптер (или перезагрузите Windows).

У вас могут быть различные причины для изменения МАС-адреса, например поиск и устранение неисправностей или отладка конфликтов. Даже у вашего маршрутизатора имеется способ поменять его МАС-адрес — с помощью функции Дублирование МАС-адреса (MAC Address Clone), для приведения в соответствие с адресом вашего компьютера, для того чтобы удаленные серверы, настроенные на разрешение доступа вашему компьютеру, не отказали в нем вашему маршрутизатору.

Все вышеизложенное означает, что не существует такого понятия, как «непроницаемая беспроводная сеть». Если вы очень беспокоитесь о защите, откажитесь от беспроводной сети и придерживайтесь кабельного варианта.

При использовании фильтрации МАС-адресов все, что вам нужно делать, — это создавать запись для каждого нового компьютера, которому вы хотите разрешить беспроводное соединение. И, естественно, нужно удалять записи тех компьютеров, у которых вы хотите изъять разрешение. По этой причине полезно вести учет МАС-адресов всех компьютеров в сети, например, в виде текстового файла и хранить его где-нибудь в безопасном месте.

Если вы обеспокоены тем, что другие пользователи вашей сети могут проникнуть в ваш компьютер и прочитать ваши файлы, то для закрытия еще одной лазейки обратитесь к разделу «Отключение административных общих ресурсов».

Подключение к общедоступной беспроводной сети

Смысл использования беспроводных сетей не только в том, чтобы избавиться от нескольких метров кабеля, но и в том, чтобы заставить сеть делать то, что она не могла делать никогда прежде. Например, если у вас есть переносной компьютер, оснащенный беспроводной связью, то у вас есть возможность, войдя в аэропорт, кафе, гостиницу или общежитие колледжа, в течение нескольких секунд подключиться к Интернету. В густонаселенных районах нередко можно поймать незащищенные беспроводные точки доступа, просто гуляя по улице. Поиск (преимущественно с целью взлома) точек доступа WiFi с использованием транспортных средств получил название «боевое вождение» — вардрайвинг (wardriving).

Как описано в разделе «Выискивание зон доступа WiFi», вы можете подключиться к любой незащищенной беспроводной сети, которую способен обнаружить WiFi-анализатор, встроенный в Windows. (Исключение, конечно, составляют сети, требующие платной подписки или учетной записи, но это уже отдельная история).

Это относится к сетям, с которыми вы сталкиваетесь, находясь в пути, а также имеющимся около вашего дома или места работы.

Проблема в том, что при подключении к этим сетям ваш компьютер может подвергнуться атаке многочисленных вирусов, хакеров и других угроз, существующих в каждой сети. Необходимо принять меры по защите вашего компьютера (или рабочей группы). Что именно вы сделаете, зависит от ваших планов.

План 1: однократное подключение к Интернету

Допустим, вы только что удобно устроились в летнем кафе, в аэропорту или в вестибюле гостиницы и достали ноутбук. Вы загружаете Windows, открываете окно Подключения к сети (Connect to a network), в соответствии с разделом «Выискивание зон доступа WiFi» находите локальную сеть и подключаетесь примерно на 20 минут для проверки электронной почты. После этого вы, вероятно, больше никогда не будете пользоваться этой сетью.

Если обычно вы подключаете ноутбук к вашей собственной сети, защищенной брандмауэром маршрутизатора, следует принять дополнительные меры защиты до подключения где-либо еще. Вам ведь не захочется брать с собой в дорогу маршрутизатор, а следовательно, не будет специального оборудования межсетевой защиты. В этом случае можно использовать брандмауэр, встроенный в Windows (или программу сторонних разработчиков), как описано далее в данной главе. Если при первом подключении к новой сети вы выбираете вариант общественная сеть (Public Network), то брандмауэр Windows включается автоматически. Вы можете выключить его и через Центр управления сетями и общим доступом (Network and Sharing Center). Это обеспечит основную защиту, но не подходит в случае долговременного использования Интернета.

План 2: долговременное подключение к Интернету

Допустим, в вашем доме, учреждении или городе предоставляется общедоступный беспроводной Интернет. Естественно, вы не захотите подключить к нему свой компьютер или рабочую группу без какого-нибудь надежного, долговременного межсетевого экрана, защищающего вас от остальных пользователей (и наоборот). Так как это не ваше собственное подключение к Интернету, вы не можете просто подсоединить маршрутизатор и задействовать брандмауэр. Но вы можете добавить еще одно устройство — беспроводной мост для построения чего-то наподобие «острова» в море, полном хищного фитопланктона.

Если вы подключаетесь к беспроводной сети класса 3G, а не к более локальной #%, зоне доступа, беспроводной мост не поможет. Вместо этого понадобится шнро*

I г»' кополосный маршрутизатор класса 3G или, по крайней мере, маршрутизатор, который поддерживает USB WAN- адаптеры.

Мост соединяет две сети. В данном случае общедоступную и вашу собственную защищенную сеть, как показано на рис. 6.15. Между ними находится беспроводный

мост и маршрутизатор, который защищает вашу сеть с помощью встроенного брандмауэра. Две окруженные пунктиром области представляют собой беспроводные сети: ваша сеть показана слева, а общедоступная сеть - справа. Мост и маршрутизатор фактически образуют третью, крохотную сеть с собственным пространством IP, независимую от обеих беспроводных сетей.

Вот как происходит настройка сети.

1. С помощью окна Подключиться к сети (Connect to a network), в соответствии с инструкциями в разделе «Выискивание зон доступа WiFi» найдите имя (SSID) общедоступной сети, к которой вы намерены подключиться. Временно подключитесь к сети, чтобы проверить, что она работает.

2. Настройте беспроводный мост для работы с общедоступной сетью, которую вы хотите использовать, следуя инструкциям, изложенным в его документации. Этот процесс обычно предполагает подсоединение моста непосредственно к компьютеру с помощью Ehtemet-кабеля.

3. Пока мост присоединен к компьютеру, узнайте локальный IP-адрес моста. Он будет чем-то вроде 192.168.1.1 или 192.168.0.1. (Удаленный IP-адрес моста, присвоенный ему общедоступной сетью, вам не понадобится.)

4. После того как настройка моста закончена, отсоедините его от компьютера и подсоедините к WAN-порту маршрутизатора. Это тот же порт, к которому вы обычно подсоединяете DSL или кабельный модем.

5. Подсоедините компьютер к маршрутизатору и с помощью веб-браузера откройте страницу настройки маршрутизатора в соответствии с инструкцией в разделе «Настройка беспроводного маршрутизатора».

6. Настройте ваш беспроводной маршрутизатор таким образом, чтобы его Тип соединения (Connection Туре) был Static IP (статический IP). Подробнее относительно этой и нескольких следующих настроек можно узнать, обратившись к документации маршрутизатора.

7. На странице настройки маршрутизатора установите адрес Сетевого шлюза (Gateway) на IP-адрес моста, который вы узнали на шаге 3.

8. Затем, оставаясь на странице настройки маршрутизатора, установите статический IP-адрес в той же подсети, где находится ваш мост. Это означает, что три первых числа обоих IP-адресов должны совпадать, а четвертое число — отличаться. То есть если адрес моста 192.168.1.1, то вы можете установить 1Р-адрес вашего соединения с Интернетом, например, 192.168.1.2 или 192.168.1.73,

*2*

Не путайте эти адреса с IP-адресами, используемыми внутри вашей собственной 0сети. Локальные IP-адреса моста и IP-адрес для подключения к Интернету, кото-J рые вы здесь вводите, образуют третью, крохотную сеть, о которой мы упоминали в начале этого раздела. Другой вариант — вы можете настроить маршрутизатор на автоматическое получение IP-адреса. Это может сработать, а может и не сработать, в зависимости от того, насколько послушно ведет себя мост.

9. Наконец, укажите в настройке маршрутизатора адреса DNS-сервера 1Р-адреса DNS-серверов вашего поставщика услуг Интернета.

Если вам неизвестно, какой из поставщиков услуг Интернета отвечает за общедоступную сеть, к которой вы подключаетесь, снова попробуйте подключиться непосредственно с вашего компьютера. Откройте веб-браузер, введите в адресной строке http://www.annoyances.org/ip и нажмите Enter (Ввод) — вы увидите 1Р-адрес вашего подключения. Затем откройте Окно командной строки (Command Prompt) и введите nslookup ip_address, где ip_address — это то, что вы только что получили на сайте http://www.annoyances.org. В результате вы узнаете имя вашего поставщика услуг Интернета и дополнительно что-нибудь еще. Например, адрес вроде dsM56.eastooast.superisp.net означает, что вашим поставщиком Интернета является superisp.net. Осталось посетить веб-сайт поставщика Интернета (например. http://www.superisp.net/) и узнать адреса его DNS-сервера из документации. Или же вы может воспользоваться бесплатными общедоступными DNS-серверами поисковой системы Google (8.8.8.8 и 8.8.4.4) или серверами, предоставляемыми интернет-сервисом OpenDNS (http://www.opendns.com/).

10. Завершите настройку маршрутизатора в соответствии с инструкциями в разделе «Настройка беспроводного маршрутизатора» и обязательно включите шифрование, а также другие настройки защиты, находящиеся в вашем распоряжении.

Теперь все должно работать следующим образом: мост переправит общедоступный Интернет в маршрутизатор, а маршрутизатор — к компьютерам вашей рабочей группы. Маршрутизатор играет роль брандмауэра, в результате все ваши компьютеры подключены к вашей собственной, персональной сети, а не к общедоступной незащищенной.

Кроме того, сочетание мост/маршрутизатор послужит в качестве повторителя (известного также как расширитель диапазона) и увеличит силу сигнала и может даже

улучшить производительность по сравнению с подключением ваших компьютеров непосредственно к общедоступной сети.

Как заставить Bluetooth работать

Bluetooth обещает множество преимуществ. Например, можно подключить ноутбук к GPS-приемнику (Global Positioning System — глобальная система определения местонахождения) для ориентации при движении или к сотовому телефону для синхронизации записей адресной книги. С компьютером, оснащенным Bluetooth, можно использовать сотовый телефон, имеющий Bluetooth, в качестве портативного беспроводного модема, карманного беспроводного пульта управления для презентаций или беспроводного диска для хранения файлов.

Проблема в том, что в большинстве устройств стандарты Bluetooth реализованы неудачно. Не удивляйтесь, если вы не сможете обменяться простыми записями в адресной книге между карманным персональным компьютером, поддерживающим Bluetooth, и сотовым телефоном, даже если у них общий производитель. Встроенный в Windows 7 стек Bluetooth работает только с определенными типами приемопередающих устройств и к тому же капризничает. Но самый большой камень преткновения — добиться, чтобы Windows обнаружила и задействовала устройство Bluetooth в вашем компьютере. Только если Windows будет полностью поддерживать Bluetooth-адаптер, вы сможете легко подсоединять оснащенные Bluetooth сотовые телефоны, карманные компьютеры, беспроводные мышки и клавиатуры, дистанционные пульты для презентаций, наушники, GPS-приемники и другие устройства.

Знает ли Windows о наличии аппаратуры Bluetooth и загружен ли для него соот-#%, встствующий драйвер, можно определить по наличию значка Устройства Bluetooth 'V * (Bluetooth Devices) в области уведомления (блок Панели задач). Не ищите его в Па-нел и управления, как это было в более ранних версиях Windows, — в Windows 7 он заменен скрытой подстраницей страницы Устройства и принтеры (Devices and Printers) в Панели управления. Более подробно об этом будет рассказано ниже.

Большинство Bluetooth-адаптеров на базе персональных компьютеров представляют собой либо миниатюрные карточки, размещенные внутри некоторых ноутбуков, либо аппаратные ключи USB размером с тюбик губной помады, которые вставляются в разъем на задней стороне компьютера. Изготовитель такого адаптера рекламирует совместимость с Windows 7, но это не означает, что вы увидите значок Bluetooth на Панели задач. Беда в том, что только некоторые Bluetooth-адаптеры используют стек Bluetooth компании Microsoft (набор драйверов и утилит, которые позволяют вашим программам разговаривать с устройствами Bluetooth). Вместо него во многих адаптерах используется стек Bluetooth компании Toshiba или Broadcom. Постарайтесь определить тип стека, используемого адаптером, прочитав информацию на упаковке.

Для обнаружения недостающих устройств откройте приложение Диспетчер устройств в Панели управления.

Если вы не увидите драйвер Microsoft или адаптер появляется в категории Неизвестные устройства (Unknown Devices), то у вас на выбор три варианта: найти драйвер для Windows 7 или Vista; довольствоваться собственным программным обеспечением этого устройства (если оно работает); потратить $20 на более новый адаптер.

Не пытайтесь установить драйвер непосредственно в приложении Диспетчер устройств. Если вы установите нужное программное обеспечение, то диспетчер ^ ^ устройств обнаружит Bluetooth-адаптер и автоматически установит драйвер. Лучшее, что может получиться при загрузке драйвера вручную, — значок Bluetooth Radios с желтым восклицательным знаком и уведомление об ошибке Устройство запустить невозможно (Device cannot start). Прежде чем попробовать установить один из перечисленных здесь стеков Bluetooth, удалите все имеющиеся драйверы в Диспетчере устройств щелкните правой кнопкой мышки на Bluetooth-радион затем на кнопке Удалить (Delete). Более подробно об установке драйверов можно прочитать в главе 5.

Изучите программное обеспечение, которое имеется в комплекте с адаптером Bluetooth, даже если оно не устанавливается на Windows 7, или посетите веб-сайт изготовителя, чтобы определить вид микросхемы, используемой в адаптере. Если у вас Bluetooth-адаптер компании Toshiba, то вы можете скачать стек Toshiba по адресу http://aps2.toshiba-tro.de/Bluetooth/?page=download.

А если у вас адаптер, в котором используется Bluetooth-микросхема компании Broadcom или Widcomm, стек можно найти на http://www.broadcom.com/support/ bluetooth/update, php.

Если установлены правильные драйверы, то Bluetooth-адаптер появится на странице Devices and Printers (Устройства и принтеры) в Панели управления, как показано на рис. 6.16. Не удивляйтесь если имя вашего адаптера представляет собой нечто непонятное вроде ВСМ92045ВЗ ROM.

Чтобы присоединить новое устройство, нажмите кнопку Add a device (Добавление устройства), а затем подождите, пока Windows сделает это устройство «обнаруживаемым».

Как только Windows определит устройство, выделите его и нажмите Next (Далее). Если появится указание выбрать вариант связывания, то для более простых устройств (например, мышек и клавиатур) выберите вариант Связывания без использования кода (Pair without using a code). Для устройств, имеющих собственные коды (обратитесь к документации устройства), выберите вариант Ввод кода устройства (Enter the device's pairing code) и введите код, который часто бывает 0000. А для интеллектуальных телефонов (смартфонов) и других устройств с экранами и средствами ввода, щелкните на параметре Создать для меня код связывания (Create a pairing code for me) и затем введите код, показанный в устройстве. Помните, вводить коды связывания устройств Bluetooth надо достаточно быстро.

После успешного связывания устройства в окне Устройства и принтеры для него появится значок, показанный на рис. 6.16.

"tv Для того чтобы показать только сопряженные устройства Bluetooth (но не

#%, Bluetooth-адаптер), откройте меню Пуск, введите bthprops.cpl в строке По-^ IУ иск (Searctl)и нажмите Enter. Страница Устройства Bluetooth (Bluetooth Devices) не показывает ничего такого, чего бы не было на главной странице Устройства и принтеры (Devices and Printers) в Панели управления, но зато она удобно отсеивает все устройства, не относящиеся к Bluetooth, что облегчает настройку, а также поиск и устранение неисправностей.

А для того, чтобы сделать ваш компьютер обнаруживаемым другими устройствами, для настройки COM-портов или для изменения настроек, щелкните на Bluetooth-адаптере и выберите Bluetooth settings (параметры Bluetooth) для перехода к окну параметров Bluetooth, изображенному на рис. 6.17.

Большинство программ общаются с помощью Bluetooth через виртуальные СОМ-порты, которые Windows открывает на компьютере. Эти порты очень похожи на те, куда вы подключали мышку в 1980-х гг., за исключением того, что теперь они невидимы. Щелкните на вкладке COM Ports (COM-порты) для того, чтобы увидеть какие порты были затребованы устройствами, находящимися в списке в окне Устройства и принтеры. Некоторые программы автоматически определяют используемые порты, но может быть для определения порта, используемого устройством вам придется посмотреть этот список. Если вы не увидите хотя бы один COM-порт, имеющий отношение к вашему устройству а вы знаете, что он должен быть, вернитесь к странице Устройства и принтеры в Панели управления, щелкните правой кнопкой мыши на устройстве, затем нажмите кнопку Свойства (Properties) и выберите вкладку Оборудование (Services) для того, чтобы узнать возможности устройства.

На странице COM-портов отсутствуют кнопки Редактировать (Edit) или Свойства (Properties), поэтому для того, чтобы изменить такие параметры, как, например, 4а номер COM-порта или скорость передачи информации, вам придется открыть ’ Диспетчер устройств. В Диспетчере устройств перейдите в ветвь Порты (СОМ 8с LPT) и дважды щелкните на кнопке Стандартный последовательный канал передачи на основе Bluetooth (Standard Serial over Bluetooth link) и затем выберите вкладку Параметры порта (Port Settings) для его настройки.

Не удивляйтесь, если вы успешно свяжете устройство с Windows, но на самом деле Windows не сможет его использовать. В большинстве случаев для использования устройства в беспроводном варианте понадобится программа, специально предназначенная для работы с Bluetooth. Например, чтобы в режиме реального времени с помощью Bluetooth GPS перемещаться в окне карт Google, можно бесплатно скачать программу МеНеге на сайте http://mehere.glenmurphy.com/.

Поиск и устранение неисправностей сетевых соединений

Для начала необходимо изучить окно Сетевые подключения (Network Connections), для чего щелкните на странице Сеть и общий доступ (Network and Sharing) в Панели

управления на ссылке Изменение параметров адаптера (Change adapter settings), после чего должно открыться окно, показанное на рис. 6.18. В меню Представление (Views) выберите Таблица (Details) для отображения соответствующей информации.

Здесь вы сразу же увидите состояние всех адаптеров сети — и беспроводных, и кабельных. Колонка Состояние (Status) подскажет, какие соединения подключены (если таковые имеются), хотя и с некоторыми несоответствиями. Для неиспользуемых беспроводных адаптеров и адаптеров Bluetooth будет указано Нет подключения (Not connected), а для адаптеров Ethernet — Сетевой кабель не подключен (Network cable unplugged). Для каждого используемого (подключенного) в данный момент адаптера будет указано только имя используемой сети.

Пусть имя сети не смущает вас. Это не SSID беспроводной сети (см. раздел 4Выискивание зон доступа WiFi*). Это и не название рабочей группы, ис-пользуемое для совместного доступа к папкам и принтерам (рассматриваемое в главе 7), Не имеет оно и ничего общего с подключением к Интернету. Скорее, это внешний заголовок, который вы можете ввести, щелкнув на ссылке Настроить (Customize) на странице Центр управления сетями и общим доступом, которая используется для упрощения переключений между сетями (подробнее рассмотрено в главе 7).

*$4

Столь же важна колонка Подключение (Connectivity), которая показывает, что обеспечивает каждый адаптер (например, Доступ к Интернету). Более подробная информация была приведена в предыдущем разделе.

Чтобы увидеть IP-адрес и другие параметры TCP/IP, используемые соединением в данный момент, дважды щелкните на нем, чтобы посмотреть окно состояния, и затем нажмите кнопку Сведения (Details). Если соединение подключено, но данные не передаются, причиной может быть неправильно присвоенный 1Р-адрес.

Но основной целью использования данного окна является изменение параметров TCP/IP. Щелкните правой кнопкой на соединении, которое вы хотите исправить, и выберите Свойства (Properties). Затем выберите из списка Протокол Интернета версии 4 (TCP/IPv4) и нажмите кнопку Свойства (Properties), чтобы открыть окно, показанное на рис. 6.19.

В большинстве случаев достаточно выбрать настройку по умолчанию: Получить IP-адрес автоматически (Obtain an IP address automatically) и Получить адрес DNS-cepeepa автоматически (Obtain DNS server address automatically). Это сработает, так как маршрутизатор, если он у вас есть, автоматически присваивает с помощью DHCP (протокол динамической конфигурации узла) уникальный IP-адрес каждому новому компьютеру, который он видит.

Но иногда DHCP не срабатывает так хорошо, как предполагается, и компьютер получает неверный IP-адрес либо не получает вообще никакого. Для того чтобы решить эту проблему, попробуйте вывести компьютер из DHCP и назначить ему статический (неизменяемый) 1Р-адрес.

1. Если у вас есть маршрутизатор, откройте страницу его настройки в веббраузере (обычно это http://192.168.1.1 или http://192.168.0.1) и перейдите к таблице клиентов DHCP. Здесь отражены все компьютеры, подключенные к вашей сети (как проводным, так и беспроводным способом), управляемые протоколом DHCP, вместе с их динамически назначенными 1Р-адресами. (Компьютеры со статическими адресами, скорее всего, в этом списке не окажутся.)

Проверьте заодно параметры DHCP и определите диапазон IP-адресов, который может использовать маршрутизатор для автоматического присваивания. Например, если в качестве Начальный IP-адрес (Start IP Address) установлен 192.168.1.100, а Максимальное число пользователей DHCP (Maximum DHCP Users) установлено равным 50, то адреса с 192.168.1.100 до 192.168.1.149 по праву принадлежат DHCP, а вам следует их избегать.

2. Откройте окно свойств Протокола Интернета версии 4 (TCP/IPv4), как указано в начале данного раздела, и выберите вкладку Alternate Configuration (Альтернатвная конфигурация).

Ф Настройки во вкладке Альтернативная конфигурация (Alternate Configuration), в от-

0% личие от Общие (General), позволяют выбрать статический IP-адрес только для сети, используемой в данный момент, что удобно для переносных компьютеров.

-____________________................ тт_____

^ которые, возможно, будут в дальнейшем подключаться к другим сетям. Если у вас не переносной компьютер, то вкладка Общие (General) работает с тем же успехом.

3. Включите параметр Настраиваемый пользователем (User configured), а если вы на вкладке Общие (General) — параметр Использовать следующий IP-адрес (Use the following IP address).

4. Выберите какой-нибудь IP-адрес (например, 192.168.1.177), не используемый протоколом DHCP (см. шаг 1), и введите его в поле IP-адрес. Первые три числа адреса должны быть такими же, как и в остальной части сети (например, 192.168.1.ххх).

5. В качестве Маски подсети (Subnet Mask) укажите 255.255.255.0.

6. В качестве Основного шлюза (Default gateway) задайте IP-адрес маршрутизатора (опять же, обычно это 192.168.1.1 или 192.168.0.1).

7. В качестве Предпочитаемого DNS-сервера (Preferred DNS server) и Альтернативного DNS-сервера (Alternate DNS server) введите IP-адреса DNS-серверов вашего поставщика интернет-услуг.

8. После того как вы это сделаете, нажмите ОК в обоих окнах. Изменение должно вступить в силу немедленно.

9. После этого вернитесь к окну Сетевые подключения (Network Connections) и посмотрите на колонку Состояния (Status) соединения, которое вы только что модифицировали. Если там написано Запрашивает адрес сети (Acquiring network address), то это означает, что Windows находится в процессе установки соединения. Если такое состояние продлится дольше, скажем, 10 секунд, значит, вы что-то сделали неправильно. Если же колонка сообщает: Ограниченная связь или нет связи (Limited or no connectivity), это означает, что соединение установлено, но заданный IP-адрес неверен.

В идеальной ситуации не нужно было бы назначать статические IP-адреса, но

в реальности вы можете таким образом помочь компьютерам взаимодействовать

в сети с другими капризными компьютерами.

Статические IP-адреса иногда необходимы для упрощения переадресации портов (маршрутизации IP), когда маршрутизатор перенаправляет входящий поток от определенного порта к конкретному IP-адресу, который вы укажете. Пример

приведен в разделе «Удаленное управление компьютером*.

Если на данном этапе ваша сеть функционирует, можно перейти к установке различных необходимых сервисов, например совместного доступа к файлам

и принтерами (см. главу 7) и совместного доступа к Интернету (описано ниже в данной главе).

Если сеть по-прежнему не работает, просмотрите следующий список возможных решений:

О Перезапуск

Обратите внимание на совет в начале главы 5: «Перезапуск компьютера решает 99% всех проблем». Это особенно справедливо по отношению к проблемам сетевого соединения.

О Прошивка (Программно-аппаратные средства)

Почти в каждом межсетевом оборудовании (адаптеры, маршрутизаторы, серверы печати и т. д.) имеются встроенные программы, которые могут быть обновлены пользователями. Если у вас имеются проблемы сетевого характера, проверьте веб-сайты изготовителей на наличие новейших прошивок. Может быть, также стоит поискать более новую версию прошивки для маршрутизатора или заменить его, что позволит избавиться от потребности в статических IP-адресах, как это было изложено в разделе «Переход к более новой версии маршрутизатора».

О Плохие кабели

Убедитесь, что индикатор рядом с каждым кабелем светится зеленым. Обратите на это особое внимание, если вы подсоединяете старые или изношенные кабели.

О Мигающие огоньки

Когда вы передаете данные через сетевое соединение, каждый сетевой адаптер, маршрутизатор, коммутатор или концентратор и даже широкодиапазоннын модем показывает «активность» с помощью мигающих огоньков. Некоторые устройства имеют отдельные индикаторы для входящих и исходящих данных, другие — только один для входящего и исходящего потока. Обычно индикаторы мигают прерывисто и неравномерно. Если они пульсируют равномерно и медленно, то это может быть признаком проблемы с устройством или соединением. О Никаких дубликатов

Убедитесь, что в вашей сети не происходит попыток использования двумя компьютерами одного IP-адреса (см. шаг 4 ранее в данном разделе) или имени компьютера (см. врезку «Как называется мой компьютер?» на с. 486).

О Драйверы

Убедитесь, что для каждого сетевого адаптера на вашем компьютере имеются новейшие драйверы, и удалите программы, которые были в комплекте поставки сетевого оборудования. Подробнее об обновлении драйверов, а также о поиске и устранении неисправностей читайте в главе 5.

Некоторые проблемы вызваны неправильно установленными параметрами оборудования, обычно самого адаптера. Откройте Диспетчер устройств (Device Manager) и дважды щелкните на значке адаптера или щелкните на нем правой кнопкой в окне Сетевые подключения (Network Connections), выберите Свойства

(Properties) и затем нажмите кнопку Настроить (Configure). Выберите вкладку Дополнительно (Advanced) и в поисках возможных причин просмотрите список Свойство (Property) с левой стороны. Если вам непонятен какой-либо параметр, обратитесь за справкой к документации или поищите в Интернете.

О Невозможно увидеть другой компьютер

Это трудноразрешимая проблема, у которой может быть много различных причин и часто нет определенного решения. Во-первых, откройте окно Службы (services .msc), найдите службу Computer Browser и убедитесь, что его Состояние (Status) обозначено как Работает (Started), а Тип запуска (Startup Туре) обозначен как Автоматически. Если это не так, дважды щелкните на службе для изменения параметров. Затем попробуйте применить утилиту проверки связи Ping — packet internet groper, описанную в разделе «Проверка IP-адреса», чтобы определить, может ли вообще ваш компьютер видеть другой компьютер в сети. Если утилита проверки связи не сработает, попробуйте сделать тестовый опрос маршрутизатора (если он у вас есть) с каждого компьютера, чтобы определить, у какого компьютера не работает соединение. Если вы получили отклик на опрос, то обратитесь главе 7 за информацией о совместном использовании файлов.

Добавление новых сетевых соединений

Вы, наверное, заметили, что не существует никакого очевидного способа добавить новое соединение в Окно сетевых подключений (Network Connections). По умолчанию это окно показывает лишь установленное оборудование, — это означает, что вы можете поставить новый сетевой адаптер, - и он появится в этом списке.

Но Окно сетевых подключений (Network Connections) также поддерживает виртуальные подключения, такие как подключения по телефонной линии (аналоговый модем) и широкодиапазонные подключения (РРРоЕ).

Чтобы добавить одно из них, откройте окно Центр управления сетями и общим доступом (Network and Sharing Center) и нажмите ссылку Настройка нового подключения или сети (Set up a connection or network), как указано в разделе «Как подключиться к Интернету». Конечно, вам придется вернуться к Окну сетевых подключений (Network Connections), если будет нужно исправить или удалить одно из этих виртуальных подключений.

Назначение приоритетов для нескольких одновременных сетевых подключений

Если вам приходится использовать несколько сетевых подключений одновременно, советуем повозиться с малоизвестной настройкой, которая может решить некоторые проблемы. Допустим, большую часть времени дома вы используете беспроводное подключение, но когда необходимо скопировать много файлов с одного компьютера на другой, предпочитаете использовать кабель.

За исключением специальных случаев, Windows в один момент времени использует только один сетевой адаптер. Таким образом, если вы подключены одновременно беспроводным способом и с помощью кабеля, то потребуется выбрать, какое подключение Windows следует предпочесть. В Окне сетевых подключений (Network Connections) нажмите Alt для временного показа меню и затем из меню Дополнительно (Advanced) выберите Дополнительные параметры (Advanced Settings). Выберите самое быстрое подключение и с помощью стрелки передвиньте его на самый верх списка Здесь же выберите Порядок служб доступа (Provider Order) и убедитесь, что строка Microsoft Windows Network появляется в самом верху списка. Когда это сделано, нажмите ОК. Изменение немедленно вступит в силу.

Проверка 1Р-адреса

Если вы знаете IP-адрес (динамический или статический), вы можете легко проверить, работает ли данный компьютер (или устройство) и видим ли он для других машин в сети. Утилита проверки связи (Ping) посылает небольшие пакеты информации к другому компьютеру в вашей сети и уведомляет об успехе (если он есть).

Откройте меню Пуск, напечатайте cmd и нажмите Enter, после чего откроется Окно командной строки (Command Prompt).

Наберите ping адрес, где адрес — это IP-адрес другого компьютера или маршрутизатора. Например, для проверки связи с компьютером с адресом 192.168.1.102 с любого другого компьютера нужно ввести ping 192.168.1.102.

Если подключение работает, то Ping-транзакция будет успешной и вы получите результат, который будет выглядеть следующим образом:

Pinging 192.168.0.1 with 32 bytes of data:

Reply from 192.168.0.1: bytes=32 time=24ms TTL=53 Reply from 192.168.0.1: bytes=32 time=16ms TTL=53

Справедливости ради следует сказать, что эта проверка поможет, только если оба подключения работают и сеть функционирует. Если вы получите следующий результат:

Pinging 192.168.0.1 with 32 bytes of data:

Request timed out.

Request timed out.

то это означает, что Ping так и не получил отклика от другого компьютера. Неудача Ping-проверки означает, что неправильно задана конфигурация адаптера на локальном компьютере или что целевая машина не запущена и не работает. Кроме того, есть небольшой шанс, что брандмауэр целевой машины блокирует Ping.

Можно также проверить и подключение к Интернету, послав запрос на узел в сети (вне вашей локальной подсети) примерно так:

ping 64.233.187.99.

Теперь если вы получите отклик от 64.233.187.99, но не получите его при опроса по имени узла, например:

ping google.com

это означает, что серверы имен DNS неправильно сконфигурированы или, возможно, они не функционируют. (DNS — это машины у вашего интернет-поставщика, которые переводят имена узлов сети в IP-адреса и обратно). В этом случае для того, чтобы ввести правильные DNS-адреса, следуйте шагам, указанным в разделе «Поиск и устранение неисправностей сетевых соединений».

Как подключиться к Интернету

Подключение к Интернету намного легче, чем раньше, — намного настолько, что Windows принимает это как должное. Я собираюсь еще облегчить его для вас. Если у вас есть широкополосная сеть (как правило, через DSL или кабель) и вы не используете маршрутизатор, приобретите и подключите его. Как только вы установите маршрутизатор (см. раздел «Настройкабеспроводного маршрутизатора»), подсоедините ваш компьютер к маршрутизатору беспроводным способом либо кабелем — и вы подключены. Вот и все.

Теперь, если у вас есть широкополосная сеть, но, по некоторым причинам, вы не можете использовать маршрутизатор или вы продолжаете использовать доступ по телефонной линии (надо же!), вам необходимо задать Windows конфигурацию подключения к Интернету. Конечно, порядок настройки зависит от типа устанавливаемого соединения.

Широкополосное подключение со статическим IP-адресом

Следуйте шагам, приведенным в разделе «Поиск и устранение неисправностей сетевых соединений», для настройки адаптера Ethernet на использование статического IP-адреса вашего подключения к Интернету Но делайте это только в том случае, если у вас нет маршрутизатора, что означает, что у вас также нет защиты.

О Широкополосное подключение с именем пользователя и паролем (РРРоЕ — Протокол точка-точка по Ethernet)

Протокол точка-точка по Ethernet используется для создания временных, динамических широкополосных подключений. Если у IP-адрес вашего подключения к Интернету динамический, то это означает, что поставщик Интернета при каждом подключении присваивает вам новый IP-адрес. Протокол РРРоЕ упрощает такое подключение, посылая ваше имя пользователя и пароль. Опять же, поступайте так только в том случае, если у вас нет маршрутизатора, который сделал бы это.

Никогда не используйте для подключения через РРРоЕ программное обеспечение, предоставляемое вашим поставщиком Интернета. Вместо этого воспользуйтесь описанной здесь процедурой.

Для настройки соединения РРРоЕ откройте окно Центр управления сетями и об* щим доступом и нажмите на ссылку Настройка нового подключения или сети (Setup a connection or network link), находящуюся ниже действующих подключений. Выберите Подключение к Интернету (Connect to the Internet) и нажмите кнопку Далее (Next). Выберите вариант Высокоскоростное (с РРРоЕ) (Broadband РРРоЕ), введите ваше имя пользователя и пароль, предоставленные поставщиком Интернета, и включите параметр Запомнить этот пароль (Remember this password). Введите имя для соединения (любое, какое вам нравится) и нажмите кнопку Подключить (Connect).

Позже вы можете подключаться с помощью всплывающего окна Подключиться к сети (Connect to a network) или видоизменить это подключение в окне Сетевые подключения. Об обоих способах рассказано ранее в данной главе.

Подключение по телефонной линии (с помощью аналогового модема)

Несомненно, такое подключение устарело, но зато оно дешево, и если рядом нет широкополосной сети, то может не быть другого выбора. Для его настройки откройте окно Центр управления сетями и общим доступом (Network and Sharing Center) и нажмите ссылку Настройка нового подключения или сети (Set up a connection or network link), находящуюся ниже действующих подключений. Выберите Настройка телефонного подключения (Set up a dial-up connection) и нажмите Далее (Next). Введите номер телефона для подключения, а также имя пользователя и пароль, предоставленные вашим поставщиком Интернета, а затем включите параметр Запомнить этот пароль (Rememberthis password). Введите имя для соединения (любое, какое вам нравится) и нажмите кнопку Создать (Create). Для подключения нажмите ссылку Организация сетевых подключений (Manage network connections) и затем дважды щелкните на этом новом подключении.

Во врезке «Использование РРРоЕ» изложены рекомендации, которые применимы и к подключениям по телефонной линии.

ИСПОЛЬЗОВАНИЕ РРРоЕ

Протокол РРРоЕ может вызывать трудности ежедневно, главным образом из-за того, что Windows отвечает за набор номера. Приведем несколько способов изменить ситуацию.

Подключение по требованию

Для того чтобы при необходимости подключения к сети Windows всегда выбирала заданное вами подключение по умолчанию, откройте окно Сетевые подключения (Network Connections), щелкните правой кнопкой на значке подключения и выберите Установить в качестве подключения по умолчанию (Set as Default Connection). Затем перейдите к Control Panel ? Internet Options (Панель управления ? Свойства обозревателя), выберите вкладку Подключения (Connections) и затем отметьте Всегда использовать принятое по умолчанию подключение (Always dial my default connection).

Автоматическое подключение

Для того чтобы Windows осуществляла автоматическое подключение при запуске компьютера, переместите данное подключение из окна Сетевые подключения (Network Connections) и папку Автозагрузка.

Подключение без вызова окна диалога

Для того чтобы не появлялось диалоговое окно Подключить (Connect), в котором необходимо каждый раз вводить имя пользователя и пароль, откройте окно Сетевые подключения, щелкните правой кнопкой на данном подключении и выберите Свойства (Properties) или в окне подключения выберите пункт Характеристики. На вкладке Параметры (Options) отключите Запросить имя и пароль, сертификат и т. д. (Prompt for name and password, certificate, etc.), а затем нажмите ОК.

Совместное использование подключения по протоколу РРРоЕ

Если вы используете РРРоЕ в сочетании с общим доступом к подключению к Интернету и обнаружили, что некоторые веб-страницы на компьютерах пользователей не загружаются, то обратитесь к врезке «Изменение MTU» на с. 376.

Конечно, лучше всего при использовании РРРоЕ приобрести маршрутизатор и дать ему поддерживать подключение. Маршрутизатор справится с работой лучше, чем Windows, а кроме того, обеспечит превосходную сетевую защиту и очень удобные возможности общего доступа к подключению к Интернету нескольких компьютеров.

Совместное пользование подключением к Интернету

При подключении к Интернету нескольких компьютеров можно выбрать один из нескольких вариантов конфигурации. Преобладавший ранее подход, показанный на рис. 6.20, предполагает подключение одного компьютера непосредственно к Интернету (через широкополосную сеть, телефонное соединение или еще каким-то способом). Этот компьютер служит интернет-шлюзом (благодаря совместному доступу к подключению к Интернету, рассматриваемому далее) и предоставляет подключение к Интернету другим компьютерам в локальной сети.

У такой организации общего доступа к Интернету имеется несколько недостатков, Во-первых, она может быть капризной и вызывать трудности при настройке. Производительность функционирования и защита также оставляют желать лучшего, кроме того, имеется тенденция к замедлению передачи данных. А для того, чтобы у остальных компьютеров сети был доступ к Интернету, один (шлюзовый) компьютер всегда должен быть включен и у него должно быть два сетевых адаптера. Более удачным способом можно назвать использование беспроводного маршрутизатора. В этом случае образовывается схема, показанная на рис. 6.21.

Маршрутизатор представляет собой отдельное устройство (коробочка с двумя антеннами на рис. 6.21), которое играет в вашей сети следующие многочисленные роли:

О Коммутатор, который подключает все компьютеры в сети друг к другу.

О Беспроводная точка доступа, которая служит базовой станцией для беспроводных компьютеров и устройств, обеспечивая их подключение к остальной части сети.

О Маршрутизатор, который образует мост между вашей локальной сетью и Интернетом, обеспечивая доступ к нему всем компьютерам локальной сети. Кроме того, если вы используете широкополосное подключение, требующее имя пользователя и пароль (например, РРРоЕ), маршрутизатор автоматически входит в систему и сохраняет подключение к ней.

О DHCP-сервер, автоматически присваивающий компьютерам IP-адреса, позволяя им мирно сосуществовать в сети (обычно адреса начинаются с 192.168.1.100, а адрес самого маршрутизатора — 192.168.1.1). Если в работе сети возникли проблемы, обратитесь к разделу «Поиск и устранение неисправностей сетевых соединений».

О Межсетевая защита, не пропускающая сообщения из внешнего мира, за исключением тех, которым вы даете разрешение (в этом помогает функция переназначения портов).

На протяжении всей главы мы будем обсуждать маршрутизаторы. Если у вас его еще нет — рекомендуем приобрести. Они стоят недорого и делают большую работу. Если у вас только один компьютер (без локальной сети), то функция брандмауэра маршрутизатора обеспечивает превосходную стабильность и защиту, превосходящую встроенную межсетевую защиту Windows.

Если же у вас нет маршрутизатора или вы хотите воспользоваться врезкой «Быстрое и дешевое подключение к чужой WiFi-сети» на с. 451, можете использовать функцию общего доступа к Интернету (ICS), встроенную в Windows, и хотя бы один кабель. Для этого необходимо обеспечить следующее:

О По меньшей мере два компьютера, каждый с сетевым адаптером, правильно установленным и работающим. Общий доступ к Интернету может быть использован как с обычной, так и с беспроводной сетями.

О У одного компьютера должно быть правильно настроенное подключение к Интернету, как указано в разделе «Как подключиться к Интернету».

О Если вы настраиваете общий доступ к широкополосному (DSL или кабель) подключению, то на компьютер, имеющий подключение к Интернету, необходимо установить два сетевых адаптера. Это могут быть две сетевые карты Ethernet или один беспроводной адаптер плюс одна сетевая карта Ethernet. Схема такой установки изображена ранее на рис. 6.20.

л*' _

Если ваше подключение к Интернету происходит через маршрутизатор или Л % вам выделили несколько IP-адресов, то вам не нужна функция общего доступа к Интернету ICS.

Первым шагом в настройке общего доступа к Интернету является задание конфигурации узла, то есть компьютера, имеющего подключение к Интернету.

1. В окне Центр управления сетями и общим доступом нажмите ссылку Изменение параметров адаптера (Change adapter settings), чтобы открыть окно Сетевые подключения. Если вы этого еще не сделали, то нажмите кнопку Представление (Views) и выберите Таблица (Details).

2. Здесь в списке должно быть по крайней мере два подключения: одно — к Интернету, а другое — к вашей локальной сети. Если их нет, то сеть еще не готова. Для наглядности переименуйте подключения, соответственно, в «Подключение к Интернету» и «Подключение к локальной сети».

3. Щелкните правой кнопкой на подключении к Интернету и выберите Свойства (Properties). Это подключение происходит либо через адаптер Ethernet, подключенный к DSL или кабельному модему, либо по протоколу РРРоЕЗ (широкополосное подключение).

4. Данный шаг является дополнительным, но он может потребоваться, если в вашей сети имеются компьютеры с операционной системой Windows 98 или более старых версий. Следуйте указаниям, приведенным в разделе «Поиск и устранение неисправностей сетевых соединений», чтобы настроить 1Р-адрес узла на 192.168.0.1

5. Выберите вкладку Совместное пользование (Sharing) и включите Разрешить друши пользователям использовать подключение к Интернету данного компьютера (Allow other network users to connect through this computer's Internet connection), как показано на рис. 6.22. Если у вас имеется только один сетевой адаптер, то вкладка Совместное пользование будет отсутствовать.

6. Когда это сделано, нажмите ОК. Проверьте, чтобы совместное пользование Интернетом было включено. В колонке Состояние (Status) окна Сетевые подключения для него, кроме всего прочего, должно быть указано Совместно используемый (Shared).

Вот и все! Изменения произойдут немедленно, и вам не придется делать ничего особенного на компьютерах пользователей вашей сети. Проверьте, что подключение к Интернету работает на компьютере-узле, открыв какую-нибудь веб-страницу, и затем проделайте то же самое на каждом из компьютеров пользователей.

ИЗМЕНЕНИЕ MTU

MTU (Maximum Transmission Unit — максимальный размер пакета данных) - это размер самой большой порции данных, которые проходят через сетевой интерфейс. В Windows значение MTU постоянно, но в некоторых случаях его требуется изменить, например, когда компьютеры клиентов сталкиваются с трудностями при скачивании данных через сеть с совместным доступом, поддерживаемым протоколом РРРоЕ.

Для того чтобы узнать подходящий MTU, сядьте за один из клиентских компьютеров и в командной строке введите

ping -f -11500192.168.0.1

где 192.168.0.1 - это адрес узла (или маршрутизатора), а 1500 - это максимальный размер пакета данных, который нужно проверить. Если вы получите сообщение об ошибке, связанной с фрагментацией, попробуйте выполнить команду Ping еще раз, но с меньшим значением, скажем, 1492 вместо 1500. Продолжайте пробовать меньшие значения (1492, 1480, 1454 и т. д. до 1400) до тех пор, пока ping не сработает.

Как только вы найдете MTU, которое сработает, откройте окно командной строки (Command Prompt) в режиме Запуск от имени администратора (об этом см. в главе 7), и введите

netsh interface ipv4 show subinterfaces

чтобы увидеть список сетевых подключений на вашем компьютере. Далее введите netsh interface ipv4 set subinterface "Local Network Connection" mtu=1454 store=persistent

где Local Network Connection — это имя подключения, которое нужно изменить, а 1454 — значение MTU, которое вы хотите для него установить. Чтобы изменение вошло в силу, перезапустите Windows.

Тестирование пропускной способности

Пропускная способность представляет собой размер полосы пропускания — количество данных, которые можно передать по соединению в определенный период времени.

Самый простой способ измерения пропускной способности — посетить один из многочисленных веб-сайтов, специализирующихся на таком измерении. К этим сайтам относятся, например, http://www.speedtest.net/, http://www.broadbandreports. сот/, http://www.dslreports.com/stest/, а также Bandwidth Place (http://bandwidthplace. com/).

Для получения самых точных результатов перед началом теста обязательно закройте все ненужные программы. Кроме вычисления вашей полосы пропускания и сообщения о результатах данные услуги спросят ваш почтовый индекс и тип подключения в целях сбора статистических данных по типовым скоростям в вашем регионе.

Здесь, согласно результатам на рис. 6.23, скорость скачивания довольно неплохая, порядка 3268 Кбайт в секунду, значит, вам предположительно потребуется 6,5 секунды на скачивание файла в 1 Мбайт.

Итак, что делать, если ваши подключения кажутся слишком медленными? Во-первых, закройте все открытые окна, выключите все фоновые программы (см. главу 5) и отключите все остальные компьютеры и устройства, имеющие доступ к вашему Интернету. Затем посмотрите на индикаторы на маршрутизаторе или широкополосном модеме. Если они мигают, это значит, что какие-то программы на вашем компьютере продолжают работать и, возможно, занимают полосу пропускания. Есть шанс, что этот поток является результатом вредоносных программ (вирусов), рассмотренных в главе 5, проложивших себе дорогу в ваш компьютер.

Так как скорость подключения (и ее нехватка) наиболее заметна во время скачивания файлов (в сравнении с просмотром интернет-страниц или использованием электронной почты), вы можете несколько улучшить ситуацию с помощью менеджера загрузки, как изложено во врезке — «Работают ли на самом деле ускорители загрузок?».

РАБОТАЮТ ЛИ НА САМОМ ДЕЛЕ УСКОРИТЕЛИ ЗАГРУЗОК?

Имеется ряд программ «ускорителей загрузок», которые обещают увеличить скорость передачи загружаемых в компьютер файлов. Как вы, наверное, уже догадались, ни одна из них не способна увеличить полосу пропускания или пропускную способность подключения к Интернету. То, что они используют, — эго менеджеры загрузок, которые компенсируют неэффективность процесса загрузки.

Эти программы загружают файл по частям, отправляя фрагменты файла через многочисленные параллельные потоки загрузок (так же действует и сам протокол TCP/IP). В то время как двум конкурирующим загрузкам будет выделено по половине полосы пропускания, обычно используемой единственной загрузкой, это ограничение работает, только если ваше интернет-соединение — самое узкое место. На практике менеджеры загрузок используют больший процент общей полосы пропускания и в результате имеют тенденцию к укорачиванию времени, особенно для больших файлов.

Проблема состоит в том, что любое наблюдаемое преимущество в скорости может сопровождаться раздражающими и громоздкими интерфейсами, которые добавляют программы загрузок: множество диалоговых окон и ненужных подсказок, не говоря уже о раздутых прикладных управляющих программах, которые затрачивают много

времени до начала загрузки. Но в конечном счете удобство, которое позволяют некоторые дополнительные функции этих программ, может стоить этих неудобств.

Вот некоторые лучшие менеджеры загрузок, доступные бесплатно: Download Express (http://www.metaproducts.com/) и Free Download Manager (http://www. freedownloadmanager.org/).

Настоящее преимущество подобных продуктов состоит не столько в увеличении скорости, сколько о дополнительных функциях. Некоторые программы могут возобновлять прерванные загрузки, находить альтернативные серверы, с которых можно загрузить эти файлы, а также планировать загрузки на внепиковые периоды.

Самостоятельный тест полосы пропускания

Один из самых простых способов измерения пропускной способности — передача заранее сжатых бинарных файлов (таких, как .jpg- или .zip-фанл) с вашего компьютера на другой и обратно с регистрацией времени, затрачиваемого на выполнение передачи в каждую сторону. Просто разделите весь размер файла на время передачи и получите пропускную способность, обычно в килобайтах или мегабайтах в секунду.

При тестировании скорости между двумя компьютерами в вашей локальной сети (например, при сравнении скорости беспроводной сети со скоростью кабельной сети) вы, возможно, предпочтете перетаскивать файл в Проводнике — процесс, подробно описанный в главе 7. Несомненно, это хороший тест в условиях реального времени, но Windows 7 добавляет дополнительные ограничения в этот процесс, поэтому этот тест именно пропускной способности будет не совсем точен. Если вы человек авантюрного склада, попробуйте использовать SCP (Secure Сору — протокол копирования файлов) и FTP (File Transfer Protocol — протокол пересылки файлов). Установите FTP-сервер на один компьютер, используя либо встроенный в Windows информационный сервис IIS, либо стороннее альтернативное свободное программное средство, и затем подключитесь к этому компьютеру с помощью какого-нибудь клиента SCP, например WinSCP (http://wlnscp.net/).

Несколько более научным подходом является использование монитора поизво-дительности (Performance Monitor, perfmon.msc). Когда он откроется, выделите Системный монитор (Performance Monitor) в ветви Средства наблюдения (Monitoring Tools). Щелкните правой кнопкой мыши на графике, выберите Добавить счетчики (Add Counters) и затем нажмите крохотную стрелку рядом с опцией Сетевой интерфейс (Network Interface).

Выделите Получено байт/с (Bytes Received/sec) и Отправлено байт/с (Bytes Sent/sec) (используйте Ctrl для выделения нескольких строк) и внизу отметьте сетевой адаптер. Нажмите Добавить (Add) и затем ОК. (Не обращайте здесь внимания на строку Текущая пропускная способность (Current Bandwidth), она показывает только теоретически максимальную полосу пропускания сетевого адаптера, а не фактического подключения.)

Монитор производительности теперь начнет посылать отсчет времени и запись входящего и исходящего потока и показывать результаты на графике. Перешлите файл побольше и посмотрите, что произойдет. В самом низу выделите либо Получено байт/с (Bytes Received/sec), либо Отправлено байт/с (Bytes Sent/sec), и вы сможете увидеть среднюю и максимальную производительность передачи данных.

Создание виртуальной частной сети

Виртуальная частная сеть (VPN) позволяет создать частную рабочую группу из двух или более компьютеров через стандартное подключение к Интернету. С по* мощью VPN можно выполнять задачи, которые раньше были возможны только по LAN (локальным вычислительным сетям). Среди этих задач такие, как общий доступ к файлам и принтерам с аутентификацией пользователей и даже игры в сети. Рисунок 6.24 иллюстрирует типовой сценарий с использованием туннеля, подключающего одиночный компьютер к удаленной рабочей группе.

Нужна конфиденциальность в общедоступной беспроводной сети? Установите Виртуальную частную сеть (VPN) для безопасной передачи данных между компьютерам». Другой способ добиться конфиденциальности в общедоступной сети описан в подразделе «Подключение к общедоступной беспроводной сети».

Прежде чем установить Виртуальную частную сеть (VPN), вам понадобится установить туннельный сервер. Если вы подключитесь к большей компании, администратор VPN предоставит вам необходимые настройки (и, если нужно, программы) для установки подключения. В противном случае можно воспользоваться компьютером с Windows 7 в качестве туннельного сервера, следуя следующим инструкциям.

Часть 1. Установка туннельного сервера

Несмотря на то что для этой цели Microsoft продает операционные системы класса «сервер», в качестве сервера VPN может служить Windows 7, причем без дополнительного программного обеспечения.

Вот как можно это сделать:

1. Откройте окно Центр управления сетями и общим доступом (Network and Sharing Center) и щелкните иа ссылке Изменение параметров адаптера (Change adapter

settings), находящуюся слева. Откроется окно Сетевые подключения (Network Connections).

2. Нажмите Alt, чтобы увидеть меню, и затем из меню Файл выберите Новое входящее подключение (New Incoming Connection).

3. На странице Кому разрешено подключаться к этому компьютеру? (Who may connect to this computer?), изображенной на рис. 6.25, отметьте каждую учетную запись пользователя, которую вы хотите использовать в качестве регистрационного имени для клиентов виртуальной частной сети. Если не только вы сами используете данное подключение VPN, вам, наверное, захочется нажать кнопку Добавить пользователя (Add someone), чтобы создать отдельную учетную запись. В противном случае вам придется сообщать свое имя пользователя и пароль тем, кто будет подключаться. Когда все сделано, нажмите Далее (Next).

4. На следующей странице включите Через Интернет (Through the Internet) и нажмите Далее (Next).

5. Выделите строчку Протокол Интернета версии 4 (TCP/IPv4) (Internet Protocol Version 4 — TCP/IPv4) и нажмите кнопку Свойства (Properties). Включите флажок Разрешить звонящим доступ к локальной сети (Allow callers to access my local area network) и затем определите, как вы хотите присваивать IP-адреса входящим подключениям. Здесь можно выборочно присвоить ряд адресов.

6. После того как все это сделано, нажмите ОК, а затем Далее (Next) и, для завершения работы мастера настройки, кнопку Разрешить доступ (Allow).

7. Если вы используете маршрутизатор на серверной части, то придется настроить «Переадресацию портов» для направления потока VPN к IP-адресам для туннельного сервера. VPN (Виртуальная частная сеть через РРТР) (Point-to-Point Tunneling Protocol — Протокол туннелирования точка-точка) использует

порт 1723, а IPSec (Internet Protocol Security — протокол Интернет по защите данных) использует порты 500,50 и 51. Более подробно об этом можно узнать, прочитав раздел «Удаленное управление компьютером».

Теперь установите хотя бы еще один компьютер в качестве клиента виртуальной частной сети и подсоедините его.

Часть 2. Установка клиента виртуальной частной сети

Туннельный сервер виртуальной частной сети необходим только один, а клиентов вы можете иметь столько, сколько хотите (пока не достигнете предела, установлен* ного в конфигурации туннельного сервера). Вот как надо подключать компьютер с Windows 7 к существующей сети VPN.

1. Откройте Центр управления сетями и общим доступом и выберите Настройка нового подключения или сети (Set up a connection or network link).

2. Выберите из списка пункт Подключение к рабочему месту (Connect to a workplace) и нажмите Далее (Next).

3. Нажмите Использовать мое подключение к Интернету — VPN (Use my Internet connection — VPN).

4. В поле Интернет адрес введите 1Р-адрес (157.54.0.1) или имя сервера (sally. mydomain.net).

5. Теперь выберите название для нового подключения (это может быть что угодно), введите его в поле Имя местоназначения (Destination name) и нажмите Далее (Next).

6. На следующей странице введите ваше имя пользователя и пароль на туннельном сервере. Это может быть либо имя действующей учетной записи пользователя Windows на этом компьютере (см. шаг 3 из предыдущей части), либо имя, предоставленное администратором туннельного сервера.

7. Включите опцию Запомнить этот пароль (Remember this password) и нажмите Подключить (Connect) или Создать (Create), если на предыдущей странице вы решили не подключаться.

Как только вы подключитесь, появится доступ к дополнительным ресурсам, #%, находящимся в общем доступе на удаленной сети. Более подробно о получении ^ g% доступа к лапкам и принтерам общего пользования рассказано в главе 7. В даль* '* нейшем вы можете подключаться, делая двойной щелчок на подключении VPN во всплывающем окне Сетевые подключения.

8. Если вы подключаетесь к Интернету через маршрутизатор, то, скорее всего, понадобится включить разрешение IPSec в настройках маршрутизатора. Обратитесь за подробностями к разделу «Настройка беспроводного маршрутизатора» или к документации маршрутизатора.

За дополнительными рекомендациями по работе с подключениями VPN, например

о том, как обойти диалог Подключить, обратитесь к врезке «Использование РРРоЕ* на с. 372.

Удаленное управление компьютером

С виртуализацией, изложенной в главе 1, работа операционной системы в окне является обыденным, не говоря уже о том, что дешевым, делом. Но виртуализация не может заменить настоящий компьютер, особенно если он находится за много километров от вас и представляет собой нечто большее, чем пустой ящик с Windows. На удаленной машине находятся важные данные? Безусловно, Проводник (Windows Explorer) позволит вам передать файлы на другие компьютеры и обратно, и даже на большие расстояния, с помощью виртуальной частной сети VPN (см, главу 7), но вы не сможете запускать программы или использовать через Проводник оборудование.

Используйте функцию Удаленный Рабочий стол (Remote Desktop), включенную в Windows 7 Professional and Ultimate (в других редакциях доступна только слабая функция Удаленный помощник (Remote Assistance), описанная ниже в данном разделе). Удаленный Рабочий стол позволяет взаимодействовать с Рабочим столом компьютера в окне так же, как если бы вы сидели напротив него.

Удаленная обработка данных великолепна для путешествия, поскольку позволяет оставлять львиную долю данных и обрабатывающие мощности дома и брать с собой только сверхлегкий нетбук. Она также пригодна для сотрудников, которым нужен доступ к рабочим документам и программам как дома, так и в офисе.

Кроме того, принцип удаленной помощи — наладка чьего-то компьютера, необычайно удобен и многие платные веб-сайты помощи сейчас используют некоторую форму дистанционного управления. А любому, кто является администратором компьютеров, находящихся в других комнатах или зданиях, скорее всего, понадобится удаленное управление на регулярной основе.

I Доступ к Диспетчеру устройств, Редактору реестра, Инструменту управления диска-

I ми (Disk Management tool), окну Службы и любым административным средствам вы 4а можете получить дистанционно без начала сеанса дистанционного управления. ' Из меню Файлы в Редакторе реестра выберите, например, Подключить сетевой реестр и затем введите имя удаленного компьютера для просмотра его реестра. Убедитесь предварительно, что включены общие административные ресурсы, как это описано в главе 7.

Конечно, в удаленном управлении имеются свои недостатки. Например, для использования удаленного управления наподобие Удаленного рабочего стола (Remote Desktop) вам понадобится относительно быстрое подключение, так как для обновления изображения экрана передается много данных. Например, прямое подключение локальной сети Ethernet обеспечит почти мгновенную реакцию, а при DSL или кабельном подключении отклик будет происходить медленнее.

Настройка сети, особенно если вы подключаетесь через маршрутизатор, может быть вполне обычной.

Наконец, хотя почти каждый компьютер, даже Macintosh, может подключаться к удаленному Рабочему столу, только более полные редакции Windows 7 (а также

Vista. ХР и 2000) могут выполнять функции узла в сеансе удаленного Рабочего стола и управляться дистанционно. Конечно, альтернативы, описанные ниже в данном разделе, преодолевают эти преграды, но это предполагает установку дополнительного программного обеспечения.

Для настройки удаленного Рабочего стола выполните следующие действия и на компьютере-узле, и на компьютерах-клиентах.

Часть 1: включить узел удаленного Рабочего стола

Дать возможность другим подключиться к компьютеру с удаленным Рабочим столом относительно просто. В Панели управления откройте страницу Система (System) и щелкните на ссылке Настройка удаленного доступа (Remote settings), находящейся слева.

Windows предлагает два уровня безопасности. Если вам известно, что для доступа к данному компьютеру вы будете использовать компьютер с Windows 7 или с Vista,то выберите вариант Разрешить подключаться только с компьютеров, на которых работает удаленый рабочий стол с проверкой подлинности на уровне сети (Allow connections only from computers running Remote Desktop with Network Level Authentication). А если вам необходим доступ с компьютера с более старой операционной системой — Windows 2000 или ХР — используйте вариант Разрешать подключения от компьютеров с любой версией удаленного рабочего стола (Allow connections from computers running any version of Remote Desktop).

По умолчанию, когда удаленный Рабочий стол включен, к вашему компьютеру могут подключаться все активные пользователи уровня администратора. Если вы захотите предоставить доступ пользователю с меньшим уровнем, нажмите Выбрать пользователей (Select Users). За дополнительной информацией, относящейся к учетным записям пользователей, обратитесь к главе 7.

После выбора варианта подключения нажмите ОК. Изменение сразу же вступит в силу.

Теперь, если вы используете маршрутизатор для того, чтобы разрешить входящее подключение, придется установить функцию переадресации портов маршрутизатора. (Конечно, этот шаг не нужен, если вы подключаетесь с компьютера в пределах локальной сети или рабочей группы виртуальной частной сети.)

~Самым простым способом заставить ваш компьютер работать с функцией пе-реадресации маршрутизатора является присвоение ему статического IР-адреса,

* S: как объясняется в разделе « Поиск и устранение неисправностей сетевых соеди-•* нений». Обратитесь также к разделу 4Переход к более новой версии маршрутизатора», где говорится об обновлении, которое может освободить вас от необходимости задавать статический I Р-адреса.

Откройте страницу настройки маршрутизатора, как указано в разделе «Настройка беспроводного маршрутизатора», и перейдите к странице Перенаправление диапазона портов (Port Range Forwarding), которая должна выглядеть как на рис. 6.26.

Теперь заполните первую пустую строку следующим образом:

О Приложение (Application)

Это просто описание — введите текст Удаленный рабочий стол.

О Начало, конец (Start, End)

Введите 3389, номер порта TCP, используемого удаленным Рабочим столом, в оба поля — начало и конец (Start и End). Если у вас несколько компьютеров, то можете указать здесь дополнительные порты (3390,3391 и т. д.) и затем настроить их на удаленном Рабочем столе на каждом компьютере.

О Протокол (Protocol)

Выберите TCP.

О 1Р-адресс

Введите статический IP-адрес, который вы выбрали для вашего компьютера.

О Разблокировать (Enable)

Поставьте галочку в данный блок, чтобы разрешить данный сервис.

Когда это сделано, нажмите Сохранить настройки (Save Settings)

Для подключения с другого компьютера, находящегося где-то в Интернете, вам понадобится IP-адрес узла в Интернете (а не в вашей рабочей группе). Откройте веб-браузер, перейдите к http://annoyances.org/lp/ и запишите номер.

Если вы будете подключаться к данному компьютеру с другого компьютера только по вашей сети, то можно не устанавливать переадресацию портов и внешние IP-адреса и вместо этого для подключения использовать имя серверного компьютера. Имя компьютера можно найти на странице Система (System) в Панели управления, рядом с указателем Компьютер (Computer name) в центре страницы. Щелкните на ссылке Изменить параметры (Change settings) и затем нажмите кнопку Изменить (Change), для того чтобы выбрать новое имя для компьютера.

Часть 2: подключиться к удаленному компьютеру

Как только вы настроили серверный компьютер на прием удаленных подключений, перейдите к другому компьютеру и запустите mstsc.exe для того, чтобы открыть Подключение к удаленному рабочему столу (Remote Desktop Connection).

"^v I Если вы подключаетесь с компьютера с более старой версией Windows без уда-

I ленного рабочего стола, бесплатно скачайте программу RDP (Remote Desktop 4а Protocol — протокол удаленного рабочего стола) со страницы http://www.micro6oft ' com/windowsxp/downloads/tools/RDCLIENTDL.mspx. Для Макинтоша RDP можно получить на сайте http://www.microsoft.com/mac/products/remote-desktop/. Для Linux используйте rdesktop на http://www.rdesktop.org/, для i Phone удаленный рабочий стол можно получить на http://www.mochasoft.dk/, WinAdmin — на http://iphonewinadmln. сот/, Gooer - на http://www.gooer.com/lphone/.

Диалог по умолчанию удаленного рабочего стола очень прост — состоит из одного поля. Нажмите кнопку Параметры (Options), чтобы увидеть полный диалог, изображенный на рис. 6.27.

Если вы подключаетесь к другому компьютеру в вашей рабочей группе, введите его имя в поле Компьютер, а если вы подключаетесь к другому компьютеру в Интернете, то его IP-адрес. Затем введите имя пользователя учетной записи пользователя уровня администратора на удаленном компьютере. Позже у вас могут запросить пароль.

Остальные настройки в данном диалоге не являются обязательными. Параметры на вкладках Экран (Display) и Дополнительно (Experience) связаны с вопросами эффективности, а вкладка Программы (Programs) позволяет сразу после подключения автоматически запустить программы на удаленном компьютере. Страница Локальные ресурсы (Local Resources) имеет похожие функции плюс раздел Локальные устройства (Local devices), который обеспечивает совместный доступ к удаленным накопителям и принтерам.

I Если вы планируете позже снова подключиться к удаленному компьютеру,

I нажмите Сохранить как (Save As) для создания файла .rdp со всей информацией диалога удаленного рабочего стола. В дальнейшем вы сможете двойным щелч-ком на файле инициировать подключение или щелкнуть правой кнопкой и выбрать Редактировать (Edit), чтобы изменить параметры. Конечно, если удаленным компьютер, к которому вы подключаетесь, имеет динамический IP-адрес, от сохранения параметров не много пользы. Ознакомьтесь с подразделом «Рекомендации относительно удаленного Рабочего стола», где предлагаются варианты обходных путей на случай, если вам необходим постоянный доступ к данному компьютеру. j

Для подключения к удаленному компьютеру нажмите Подключить (Connect). Если все идет хорошо, то появится окно с изображением рабочего стола удаленного компьютера. Вы можете взаимодействовать с Рабочим столом, управляя курсором с помощью мышки привычным образом, точно так же, как если бы вы сидели за этим компьютером.

Чтобы закрыть подключение, закройте окно или выберите Отключить (Disconnect) в удаленном меню Пуск. Или, для большей безопасности и для того, чтобы передать управление тому, кто сидит за удаленным компьютером, выберите Выход из сети (Log Off).

Рекомендации относительно удаленного Рабочего стола

Вот несколько советов по работе с удаленным Рабочим столом.

О Удаленное выключение.

В удаленном меню Пуск вы увидите, что кнопка Завершение работы (Shut down) исчезла, а на ее месте находится кнопка Отключить (Disconnect). Это явно сделано специально, так как завершивший работу компьютер не может оставаться подключенным по сети. В результате удаленный компьютер труднее перезагрузить или выключить, чем обычный. Это возможно следующим образом: для выключения удаленного компьютера щелкните на пустом пространстве Рабочего стола и нажмите Alt+F4. Или же откройте окно командной строки и введите

shutdown -s -t 5

где 5 — это количество секунд ожидания перед выключением; для немедленного выключения укажите 0.

О Хотите сохранить доступ других пользователей?

При подключении к удаленному компьютеру любой, кто в данный момент уже подключен к нему, будет бесцеремонно выведен из системы для того, чтобы освободить вам путь для удаленного подключения. Это представляет собой проблему, если вы хотите так работать на удаленном компьютере, чтобы его владелец наблюдал за вашими действиями. Во врезке «Использование удаленного помощника» описана функция Удаленный помощник (Remote Assistance), которая, как и VNC (Virtual Network Computing — передача данных по виртуальной сети), помогает преодолеть это ограничение.

ИСПОЛЬЗОВАНИЕ УДАЛЕННОГО ПОМОЩНИКА

Использование функции удаленной помощи необязательно, но для менее опытных пользователей она может облегчить передачу необходимой информации тому, кто будет получать доступ к компьютеру, в том числе передачу IР-адреса и учетной записи пользователя.

На компьютере, которым будут управлять (узле), откройте страницу Система в Панели управления и щелкните слева на ссылке Настройка удаленного доступа (Remote settings). Включите флажок Разрешить подключение удаленного помощника к этому компьютеру (Allow RemoteAssistance invitations to be sent from this computer) и затем в этом окне выберите ссылку Удаленный помощник (Remote Assistance), после чего откроется диалоговое окно Удаленная помощь (Remote Assistance).

Теперь у вас есть выбор: что использовать для отправления приглашения — программу Windows Messenger (потребуется учетная запись для Microsoft Live или для Passport) или вашу программу по умолчанию для электронной почты (настраивается на вкладке Программы в Свойства обозревателя (Internet Options)). Поле, где вас попросят напечатать личное сообщение, оставьте незаполненным. Кроме того, вы можете выбрать специальный пароль для лица, подключающегося к вашему компьютеру, что нелишне, если вы не хотите давать удаленному пользователю ваш обычный пароль.

В силу того что открытое приглашение может представлять угрозу безопасности, имеются меры защиты для автоматического выключения его по истечении заранее указанного количества времени. Для задания времени действия приглашения нажмите кнопку Дополнительно (Advanced) на вкладке Удаленный доступ (Remote) окна Свойства системы (System Properties). Здесь существует возможность отправки приглашения, которое потеряет силу через один-два часа после того, как было послано.

О Открытие удаленного Рабочего стола в окне

С удаленным рабочим столом можно работать в полноэканном режиме, но удобнее — в окне, которое вы можете перемещать. Для этого установите разрешение удаленного рабочего стола более низким, чем разрешение локального Рабочего стола. Например, если ваш дисплей имеет разрешение 1280x1024 пикселов,™ откройте вкладку Дисплей (Display) окна Подключение к удаленному рабочему столу (Remote Desktop Connection Properties) и установите разрешение удаленного стола не более чем 1024x768 пикселов. Имейте в виду, что эти изменения не будут влиять на обычный размер рабочего стола удаленного компьютера после того, как вы выйдете из системы.

О Совместный доступ к файлам

Было бы удобно иметь возможность перетаскивать файлы на удаленный рабочий стол или с него (как при работе с виртуальным компьютером Windows), но пока это нереально. В случае локального сетевого подключения вы можете использовать традиционный совместный доступ к файлам, как описано в главе 7. Если же

вы подключаетесь через Интернет, то можете использовать для передачи встроенную функцию удаленного Рабочего стола. В окне Подключение к удаленному рабочему столу (Remote Desktop Connection) нажмите кнопку Параметры (Options), выберите вкладку Локальные ресурсы (Local Resources), а затем Подробнее (More). Раскройте ветвь Устройства и отметьте галочками те диски на вашем локальном компью тере, к которым вы хотите предоставить доступ с удаленного узла. После подключения эти диски появятся в Проводнике внутри сеанса удаленного Рабочего стола.

О Управление компьютерами Windows 7 Home Edition, а также компьютерами с Linux, Apple Macintosh, и т. д.

Протокол удаленного Рабочего стола (RDP) - это не единственный вариант удаленного управления компьютером. Имеется несколько других способов, одним нз самых широко поддерживаемых является система VNC (Virtual Network Computing — передача данных по виртуальной сети). Одной из лучших является Ultra VNC (http://www.uvnc.com/), которая успешно поддерживает Windows 7. Кроме прочих достоинств, VNC имеет очень маленькую программу просмотра, которую даже нет необходимости устанавливать на компьютере клиента, причем версия существует почти для всех возможных платформ (помните, например, Palm Os — операционную систему для наладонных компьютеров?). Кроме этого, VNC позволяет как лицу, сидящему за компьютером, так и лицу, управляющему этим компьютером удаленно, видеть рабочий стол и даже взаимодействовать одновременно.

Мчч

Если есть выбор, запустите приложение сервера VNC в качестве службы (управ-ляется с помощью services.msc), что более надежно, чем значок в папке запуска ^ { ? ме!I ю Пуск.

Недостатком VNC является менее эффективное, по сравнению с удаленным Рабочим столом, использование ресурсов Windows, поэтому при более медленном подключении может ухудшаться производительность.

О Пробивание любого брандмауэра

Если удаленный рабочий стол или VNC не работает через брандмауэр, прокси-сервер или маршрутизатор или вам нужно улучшить и ускорить подключение, попробуйте GoToMyPC (http.Y/www.gotomypc.com/). Этот сервис на основе веб, который имеет тенденцию работать тогда, когда другие не справляются, а также не требует никакого специального программного обеспечения, кроме веб-браузера. Короткие сеансы бесплатны; более долгие требуют платной подписки.

Управление кэшем сервера имен

Как уже несколько раз отмечалось в других частях данной главы, сервер имен

(DNS) представляет собой машину, которая переводит IP-адреса в имена доменов

и обратно. Например, когда вы вводите в адресную строку браузера http://www.oreilly, com, Windows посылает запрос на сервер имен поставщика услуг, и тот сообщает в ответ что-то вроде 209.204.146.22, позволяя браузеру связаться с этим веб-сервером н загрузить нужную страницу.

Каждый раз, когда производится такой запрос, информация сохраняется в кэше DNS Windows. Это делается для того, чтобы Windows не пришлось запрашивать сервер имен снова и снова. Кэш DNS опустошается при выключении Windows, чем и объясняется тот факг, что для нахождения веб-сайтов сразу же после включения компьютера требуется немного больше времени.

Следующие два решения позволяют изменить способ, которым Windows взаимодействует с DNS-кэшем, что повлияет на все приложения, которые имеют доступ к Интернету (а не только на браузер).

Часть 1. Увеличение размера кэша DNS

Кэш DNS большего размера будет означать меньше «рейсов» к серверу имен и более быстрые операции. Начните с того, что откройте Редактор реестра (Registry Editor), рассмотренный в главе 3, и перейдите к ветви HKEY_LOCAL_MACHINESYSTEM CurrentContrplSetServicesDnscacheParameters.

Добавьте еще четыре значения DWORD (Double word — двойное слово), выбрав Правка ? Создать ? параметр DWORD (Edit ? New ? DWORD Value). Затем введите цифровые данные, дважды щелкая на значении и выбирая Десятичная (Decimal):

О CacheHashTableBucketSize, задайте 1;

О CacheHashTableSize, задайте 384;

О MaxCacheEntryTtlLimit, задайте 64000;

О MaxSOACacheEntryTtlLimit, задайте 301.

Помните, что это десятичные значения, а не шестнадцатеричные. Закройте редактор реестра. Чтобы изменение вошло в силу, придется перезагрузить Windows.

Часть 2. Добавление постоянной записи в кэш DNS

Добавление постоянной записи в кэш DNS всегда замещает информацию, предо* ставленную сервером имен. Имеется несколько причин, почему вам захочется сделать это, в том числе и возможность временно обойти проблему DNS. Если сервер имен дает неверный адрес для какого-либо сервера, наличие постоянной записи может восстановить доступ.

Кроме того, вы можете специально добавить неверную информацию, для того чтобы заблокировать запросы, посылаемые некоторыми программами-шпионами, а также не получать при посещении веб-страниц всплывающие рекламные окна. Для того чтобы увидеть список известных отслеживающих узлов, зайдите на http://www.mvps. org/winhelp2002/hosts.htm или установите расширение браузера, например Adblock Plus (http://adblockplus.org/) для Firefox или Adblock с сайта http://chromeadb!ock. сот/ для Chrome.

Другим преимуществом постоянной записи в кэш DNS является улучшение эффективности поиска. Если вы часто обращаетесь к конкретному серверу и знаете, что его IP-адрес вряд ли изменится в ближайшее время, вы можете добавить постоянную запись для исключения начальной задержки, когда Windows производит поиск. Например, добавьте запись вашего почтового сервера для сокращения времени, требуемого для проверки почты.

Указание неверной информации может помешать получению доступа к некоторым удаленным серверам, что является одной из тактик, используемых некоторыми вредоносными программами. Будьте осторожны при изменении таблицы постоянных записей DNS. Хотя исправить ее позже и не трудно, но бывает очень сложно запомнить, что вы сделали.

Для создания и изменения списка постоянных записей DNS откройте Проводник (Windows Explorer) и перейдите к папке C:WindowsSystem32Driversetc. Найдите файл с именем hosts (без расширения имени файла). Если его там нет, создайте новый, пустой текстовый файл с именем hosts (без расширения). Откройте какой-нибудь текстовый редактор (например, Блокнот (Notepad)) в режиме запуска от имени администратора (для этого щелкните правой кнопкой мышки и выберите Запуск от имени администратора (Run as Administrator)) и откройте файл hosts.

Стандартная запись выглядит примерно так:

207.46.230.218 www.microsoft.com

Первая часть представляет собой IP-адрес, а вторая (отделенная табуляцией или несколькими пробелами) - имя домена. Помните, что варианты вроде http://www. microsoft.com и http://microsoft.com не обязательно являются одним и тем же сервером и могут представлять собой разные записи DNS. Поэтому для каждой разновидности надо добавить отдельную запись, примерно так:

207.46.230.218 www.microsoft.com

207.46.230.218 microsoft.com

Используя данный синтаксис, добавьте запись для каждого домена, который вы хотите зафиксировать в таблице DNS. Следует отметить, что эти адреса влияют только на ваш компьютер. На другие компьютеры в вашей рабочей группе и, разумеется, другие компьютеры в Интернете они не повлияют.

Если у вас уже есть файл hosts, оы, возможно упадите, что некоторые строки в нем начинаются со знака #. Это комментарии, и Windows их игнорирует. Для удобства рекомендуем вам добавлять комментарий к каждой записи, содержащий причину, а также дату и время создания записи. Кроме того, вы можете легко дезактивировать записи, не удаляя их, а просто добавив знак # к началу каждой строки.

-1дА

Сохраните файл hosts. Изменение должно немедленно вступить в силу, хотя, возможно, сначала вам придется очистить кэш DNS.

Часть 3. Очистка кэш

Если IP-адрес Интернет-сервера изменяется во время сеанса Windows, то он выглядит как неработающий до тех пор, пока компьютер не перезагрузится. Чтобы очистить кэш, запустите окно Командной строки в режиме администратора (см. главу 7).

Введите

ipconfig /flushdns

и нажмите Enter. Если все идет хорошо, то вы увидите:

Successfully flushed the DNS Resolver Cache (Успешно очистил кэш распознавателя DNS)

и вы можете возобновить просмотр интернет-страниц и убедиться, что получаете только свежую информацию DNS.

Если у вас по-прежнему есть проблемы связи с сервером, то, возможно, серверы DNS вашего поставщика Интернета продолжают посылать вам устаревший адрес. Чтобы это проверить, откройте Командную строку (Command Prompt) и введите

nslookup www.servername.net

где www.servername.net — адрес узла, к которому вы пытаетесь подключиться. Затем откройте веб-браузер и найдите узел на сайте http://www.kloth.net/services/nslookup. php, http://www.zoneedit.com/lookup.html, или http://network-tools.com/nslook/. Если IP-адрес, который сообщают эти сервисы, совпадает с тем, который вы получаете от команды nslookup, то он, вероятно, верен, а сервер, возможно, не работает или заблокирован брандмауэром.

Защита вашего компьютера в сети

Некоторые люди тратят всю свою жизнь на работу по улучшению безопасности для корпораций и частных лиц. И немалую часть этого времени они тратят, латая дыры в Windows. Система Windows является основным каналом для вредоносных программ, которые создают зомби (роботов), о чем рассказывается в главе 5, и это лишь верхушка айсберга. Справедливости ради следует сказать, что в значительной степени вина лежит на огромной популярности Windows, но при этом в Windows 7 имеется такое количество дыр, что непонятно, беспокоит ли это хоть кого-нибудь в компании Microsoft.

Имеется три основных типа угроз. Во-первых, специально направленная атака человеком, пытающимся взломать ваш компьютер через сетевое подключение. Во-вторых, атака со стороны человека, сидящего за клавиатурой вашего компьютера. И наконец, возможна автоматическая атака, совершаемая вирусом-червем или вредоносной программой другого вида.

В Windows 7, а еще раньше в Vista, включен Контроль учетных записей пользователей (User Account Control), что должно помочь задержать поток непреднамеренных и нежелательных установок программ, — об этом, а также о паролях и шифровании

говорится в главе 7. Однако большая часть мусора приходит через сетевое подключение, поэтому с него и стоит начать обеспечение защиты компьютера. Операционная система Windows 7 включает в себя несколько функций, которые дают возможность обеспечить определенный уровень безопасности, не прибегая к приобретению дополнительных программ или оборудования.

К сожалению, не многие из этих функций задействованы по умолчанию. Нижеследующие факторы являются лазейками, которые не следует игнорировать.

О Плохо: уязвимость протокола UPnP

Еще одна функция под названием UPnP (Universal Plug-and-Play) может открыть дополнительные уязвимые места в вашей сети. Более подходящим названием для UPnP было бы Network Plug and Play (Подключайся и работай), так как эта функция имеет дело только с сетевыми устройствами. UPnP представляет собой набор стандартов, позволяющих недавно подключенным устройствам объявить

о своем присутствии серверам UPnP в вашей сети, почти так же, как устройства USB объявляют о своим присутствии принадлежащей Windows системе <*Подключай и работай» (plug-and-play).

Внешне функция UPnP выглядит неплохо. Но на практике недостаток аутентификации в стандарте UPnP и легкость, с которой вредоносные программы могут использовать UPnP для того, чтобы пробить дыры в брандмауэре, а также создать правила переадресации портов в маршрутизаторе, приносят одни неприятности. В настоящее время UPnP используется для некоторых игр, большинства расширителей средств передачи информации, мгновенных сообщений, удаленной помощи и т. п., что и объясняет, почему эта функция включена по умолчанию в Windows 7 и во многих сетевых устройствах. Но если она вам не нужна, то лучше ее выключить.

**г-

Лу

Если вы выберете Общественную сеть (Public network) при первом подключении к новой сети или через Центр управления сетями и общим доступом (Networking and

^ j Sharing Center), то UPnP по умолчанию отключается.

Для того чтобы отключить UPnP, откройте окно 01ужбы (services.msc). Найдите в списке службу Обнаружение SSDP (SSDP Discovery Service) и нажмите кнопку с квадратиком Остановить службу (Stop) на Панели инструментов. При этом должен остановиться и Узел универсальных РпР устройств (UPnP Device Host). Если это не так, остановите и его. Теперь протестируйте любые приложения или устройства, которые, как вы подозреваете, могут использовать обнаружение сети, например серверы мультимедиа или расширители. Если у вас нет ничего такого, можете вообще отключить UPnP, дважды щелкнув на каждой службе и из списка Тип запуска (Startup type) выбрав Отключена (Disabled). В противном случае, когда вы в следующий раз загрузите Windows, эти службы запустятся снова.

Теперь откройте страницу настройки конфигурации маршрутизатора (описанную ранее в данной главе) и отключите сервис UPnP. Это требуется для того, чтобы не допустить установления прикладными программами новых правит переадресации портов. Если маршрутизатор не позволяет вам изменять настройки UPnP, подумайте о возможности перехода к более новой версии прошивки, как описано в разделе «Переход к более новой версии маршрутизатора».

О Плохо: уязвимость наличия открытых портов

Поищите уязвимые места в вашей системе с помощью сканирования на обнаружение открытых портов, как изложено ниже в данной главе.

О Хорошо: удаленный Рабочий сгол, но только когда он нужен

Функция удаленного рабочего стола, описанная в разделе «Удаленное управление компьютером», включена по умолчанию в Windows 7 Professional and Ultimate. Если только вам специально не нужна эта функция, ее следует выключить. В Панели управления откройте Систему и затем выберите ссылку Настройка удаленного доступа. На странице Удаленный доступ окна Свойства системы выключите флажок Разрешить подключения удаленного помощника к этому компьютеру (Allow Remote Assistance connections to this computer) и отметьте находящийся ниже переключатель Не разрешать подключения к этому компьютеру.

О Хорошо: пароль учетной записи

Теоретически общий доступ к файлам не работает для учетных записей, не имеющих пароля, что является настройкой по умолчанию при создании новой учетной записи пользователя. Но беспарольная учетная запись не дает никакой защиты от кого-либо севшего за вашу клавиатуру, а если это учетная запись пользователя с правами администратора, то дверь открыта и к любому другому пользователю данного компьютера. Обратитесь к главе 7, где рассматриваются учетные записи пользователей и пароли.

О Домашние группы и совместный доступ к файлам

Каждая папка, к которой разрешен совместный доступ, потенциально является открытой дверью. Поэтому открытый доступ следует предоставлять только к тем папкам, к которым это действительно необходимо. Обратите внимание, что разрешения на использование файлов и разрешения на общий доступ в Windows 7 представляют собой разные вещи. Подробнее об этом рассказано в главе 7.

О Плохо: уязвимость мастера настройки общего доступа

Одной из главных причин создания рабочей группы является общий доступ к файлам и принтерам. Но благоразумно делиться только теми папками, которыми необходимо делиться, и отключать общий доступ ко всем остальным. Функция под названием Использование Мастера совместного доступа (Use Sharing Wizard), описанная в главе 2 и подробно рассмотренная в главе 7, не дает полного контроля над теми, кто может просматривать и изменять ваши файлы.

О Плохо: уязвимость общих административных ресурсов

Функция совместного доступа, рассмотренная в главе 7, открывает доступ ко всем дискам вашего компьютера, независимо от того, предоставляете ли вы доступ к папкам на этих дисках.

О Хорошо: межсетевая защита

Настройте брандмауэр, рассмотренный ниже, для строгого контроля сетевого потока в ваш компьютер и из него, но не рассчитывайте, что достаточной защитой является встроенная в Windows программа-брандмауэр.

О Хорошо: центр поддержки хорош, но не следует полностью полагаться на него Центр поддержки, изображенный на рис. 6.28, является центральной страницей в Панели управления, используемой, чтобы управлять брандмауэром Windows, Защитником Windows (Windows Defender), Контролем учетных записей пользователей (UserAccount Control) и автоматическими обновлениями. Он также контролирует антивирусные программы, но, чисто по политическим мотивам, Windows 7 не имеет собственных антивирусных программ.

Самое главное, что Центр поддержки является только средством просмотра. Если он видит, что данная мера защиты включена, независимо от того, активно ли она работает, Центр поддержки будет доволен и вы не получите никаких уведомлений.

Надоели сообщения от Центра поддержки? Нажмите ссылку Настройка центра поддержки (Change Action Center settings) с левой стороны и выберите, какие проблемы стоят того, чтобы о них сообщали, и какие можно игнорировать. Вы можете отключить все сообщения из Центра поддержки, выключив все флажки на данной странице, но чтобы полностью дезактивировать всю функцию, необходимо открыть окно Службы (services.msc) и выключить Центр поддержки. Этим вы не выключите брандмауэр, антивирусы или автоматические обновления, которые вы, возможно, используете, а выключите только средства наблюдения за этими средствами и сопутствующие им сообщения.

Здесь вы не можете изменить параметры брандмауэра или защиты от вредоносных программ. Для этого необходимо вернуться в Панель управления и открыть там соответствующую программу.

Установка межсетевой защиты

Брандмауэр представляет собой уровень защиты, который разрешает сетевую связь или отказывает в ней на основе набора заранее установленных правил. Эти правила ограничивают связь таким образом, что только определенные приложения имеют разрешение использовать сетевое подключение.

Это эффективно закрывает некоторые лазейки, которыми в противном случае могли бы воспользоваться взломщики, определенные типы вирусов, а также другое злоумышленные приложения.

Вы можете никогда не вмешиваться в работу брандмауэра Windows.

В отличие от прошлых неудач межсетевой защиты, пришедшей с Windows ХР, таковая в Windows 7 не начинена минами-ловушками для предупреждения общего доступа к файлам или синхронизации времени с Интернетом. Теперь защита достаточно ненавязчивая и беспокоит вас только при обнаружении программы, которую она раньше не видела.

Самая большая проблема, связанная с брандмауэром Windows, заключается в том, что он легко может быть преодолен программами. Несмотря на то что Windows сообщает вам о случаях попытки подключения, которое было заблокировано, интеллектуальные программы установки и приложения могут создать в межсетевой защите новые правила без вашего согласия. Конечно, маршрутизаторы могут быть обмануты программами, но это не так легко, особенно если вы выключили поддержку маршрутизатором функции UPnP, рассмотренной в предыдущем разделе.

Одной из главных причин эффективности маршрутизатора является то, что он организует отдельный уровень между вашей сетью и внешним миром. Рассмотрим отдельный пакет входящих данных. Если ваш компьютер подключен к источнику угрозы прямо (без маршрутизатора), то все, что нужно сделать этому пакету, — прокрасться через одно из исключений брандмауэра Windows (рассмотрены ниже), л дело сделано. Но при наличии маршрутизатора этот входящий пакет наткнется на стену, как только доберется до сети. За исключением случая, когда включена

функция переадресации портов, описанная в разделе «Удаленное управление компьютером», этому пакету некуда будет идти. Это называется «безопасность, основанная на скрытии механизмов защиты». Ознакомьтесь с пунктом «Плохо: уязвимость протокола UPnP» (с. 393) о том, как правила переадресации портов мог>гт быть созданы без участия пользователя.

Для иллюстрации еще одной разницы между безопасностью, предложенной брандмауэром Windows, и той, которую может обеспечить маршрутизатор, рассмотрите рис. 6.29. Большой пунктирный контур окружает то, что защищено межсетевой защитой маршрутизатора, а меньший - то, что защищено брандмауэром Windows. Масштаб защиты позволяет вам безопасно передавать файлы между компьютерами в локальной сети, не делясь ими с остальным миром.

Теперь, полагая, что вы согласились с предыдущими доводами, вы, возможно, подумаете, что сочетание брандмауэра Windows с маршрутизатором лучше защитит вашу систему, чем маршрутизатор в одиночку. Проблема, однако, в том, что, как видно из рис. 6.29, брандмауэр Windows до некоторой степени изолирует ваш компьютер от остальных компьютеров в рабочей группе. Это может быть хорошо в том смысле, что вирусы и другие вредоносные программы, находящиеся в других компьютерах сети, будут испытывать трудности в заражении вашего компьютера (что особенно полезно, когда вы исследуете общедоступную сеть). Но это может быть и плохо в том смысле, что брандмауэр Windows может блокировать функции, которые вы используете.

t*?-

Находясь не за стеной межсетевой защиты маршрутизатора, следует всегда

I использовать брандмауэр Windows или защиту на основе какой-либо другой

* v программы для того, чтобы защитить компьютер от различных неприятностей,

которые поджидают вас в используемой общедоступной сети.

В отличие от предыдущих версий Windows брандмауэр Windows 7 включается и выключается не для отдельных сетевых подключений, а скорее для каждой категории: домашней, сети предприятия или общественной, - которые можно найти в Центре

Если вы подозреваете, что брандмауэр Windows мешает работать какой-либо прикладной программе, попробуйте его временно выключить. Если это решит проблему, следует создать новое правило.

Проделываем дыры в межсетевой защите

Контроль межсетевой защиты находится не на Панели управления. Откройте окно Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security), показанное на рис. 6.31. Для этого нажмите ссылку Дополнительные параметры (Advanced settings) на странице Брандмауэр Windows (Windows Firewall) или запустите wf. ms с.

Обычно брандмауэр Windows создает новые правила по мере надобности. Обнаружив, что программа, которую он видит впервые, хочет открыть порт, брандмауэр спрашивает вашего разрешения. В результате создается новое правило, и оно остается в силе неограниченное время или до тех пор, пока вы его не измените.

Инсталляторы прикладных программ тоже могут создавать новые правила "v А брандмауэра, поэтому неплохо периодически проверять брандмауэр Windows

I i* относительно правил, имеющих силу в данный момент. Это можно делать с помощью окна Режим повышенной безопасности.

Вот как можно вручную создать новое правило для межсетевой защиты. Выберите категорию Правила для входящих подключений, а затем нажмите Создать правило, чтобы открыть окно Мастер создания правила для нового входящего подключения (New Inbound Rule Wizard), как показано на рис. 6.32.

Для установки Типа правила (Rule Туре) выберите один из нижеперечисленных типов.

О Программа

Данный тип используется для того, чтобы предоставить конкретной прикладной программе свободно использовать подключение к Интернету.

Это самый легкий путь наладить прикладную программу, которая конфликтовала с ограничениями брандмауэра Windows, но он может быть и рискованным, если вы не совсем уверены, каким образом данная прикладная программа использует свои новый возможности.

О Порт

Данный вариант указывает на порт TCP/IP, который может быть использован (читайте — может эксплуатироваться) любой программой.

О Предопределенные

Выберите этот вариант, если вы хотите создать правило для встроенной службы Windows.

Заметьте, что при этом вы не запускаете и не останавливаете службу, а только даете инструкцию брандмауэру Windows, блокировать ее или нет. Для включения или выключения служб Windows используйте окно службы (services.msc).

О Настраиваемые

Используйте вариант Настраиваемые (Custom), если хотите создать правило, одновременно включающее в себя указание определенной прикладной программы и определенного порта — что невозможно сделать из окна Брандмауэр Windows (Windows Firewall) в Панели управления.

После этого нажмите Далее (Next). В зависимости от типа создаваемого правила может произойти следующее:

О Если вы выбрали вариант Программа (Program) или Настраиваемые (Custom), то следующий шаг позволит вам связать правило со всеми программами или с конкретным файлом .ехе.

О Если вы выбрали вариант Порт (Port) или Настраиваемые (Custom), то у вас будет возможность указать номер порта. Из списка Тип протокола (Protocol type) вы, скорее всего, выберете TCP, а из списка Локальные порты (Local port) - Специальные порты (Specific Ports). Введите один или несколько номеров, используемых подключением, которое будет управляться новым правилом. Нажмите Далее.

Шаг Область (Scope) позволяет настроить правило, определяя IP-адреса компьютеров, участвующих в подключении. Локальный IP-адрес (верхний блок) — это, по существу, ваш компьютер, так что в большинстве случаев оставьте его значение по умолчанию Любой IP-адрес (Any IP address). А ниже можно отметить Указанные IP-адреса (These IP addresses) и добавить конкретные адреса удаленных компьютеров. Таким образом можно проявить особую осторожность, например, открывая порт только для надежного компьютера.

Шаг Действие (Action) более или менее понятен. По умолчанию брандмауэр Windows блокирует все входящие данные, за исключением случаев, когда правило указывает ему разрешить их прохождение, поэтому, скорее всего, вы выберете здесь вариант Разрешить подключение (Allow the connection).

Шаг Профиль (Profile) позволяет выбрать, когда это правило находится в действии. Данный шаг более подробно рассмотрен ниже.

Наконец, поля Имя (Name) и Описание (Description) используются для того, чтобы позже вы могли легко найти свое новое правило в списке. Заполните эти поля и нажмите Готово (Finish).

Новое правило немедленно вступит в силу, и вы можете проверить, как оно работает. Возможно, придется поэкспериментировать с различными правилами брандмауэра, пока ваши программы или службы не будут работать нормально.

На большинстве страниц окон брандмауэр Windows и брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security) параметры разделены на три раздела, используемые в зависимости от типа сети, которую вы, как считает Windows, используете в данный момент.

О Частный профиль

Параметры в данном профиле автоматически вводятся в действие, когда вы выбираете расположение сети Домашняя (Ноте) или Предприятие (Work) по запросу Windows выбрать.

Это типичная сеть для дома или небольшого учреждения, защищенная маршрутизатором и предоставляющая совместный доступ к папкам и принтерам (как описано в главе 7).

О Общедоступный профиль

Этот профиль используется, когда вы выбираете Общественная сеть (Public location), например, при подключении беспроводным способом к общественной точке доступа.

О Доменный профиль

Данный профиль брандмауэра применяется в случае, если компьютер является частью корпоративной сети с контроллером доменов.

По умолчанию выбор параметров в каждом из этих профилей более или менее одинаков, но входящие и исходящие правила обычно разные. Для изменения параметров, показанных на рис. 6.31, нажмите ссылку Свойства брандмауэра (Windows Firewall Properties) и выберите вкладку, соответствующую профилю, для которого вы хотите изменить конфигурацию, как показано на рис. 6.33.

Теперь вы можете внести довольно существенные изменения. В списке Исходящие подключения (Outbound connections) выберите Блокировать (Block), таким образом вы предоставите брандмауэру Windows контроль над данными, движущимися в обоих направлениях (а не только над входящими данными). Данный вариант не обязательно будет беспроблемно работать до тех пор, пока вы не потратите время на создание исходящих правил в главном окне. Но такой вариант может, например, позволить ограничить вспышку вируса на вашем компьютере без необходимости полного разъединения сетевого подключения, которое может понадобиться для борьбы с ним.

Нажмите кнопку Настроить (Customize) в разделе Ведение журнала (Logging) для того, чтобы брандмауэр Windows вел запись блокируемых данных в выбранном вами текстовом файле. Ведение записи позволит точно увидеть, что делает брандмауэр, и, что еще важнее, предоставит возможность поиска и исправления неисправностей. Например, если вы знаете, что брандмауэр Windows мешает конкретной программе, и хотите решить, давать ли ей разрешение, необходимо узнать, что эта программа пытается делать. Об использовании маршрутизатора для

ведения протокола читайте в разделе «Сканирование системы для обнаружения открытых портов» далее.

Альтернативы брандмауэру Windows

Брандмауэр в составе Windows 7 лучше, чем его предшественники, но, может быть, и он не обеспечит нужной гибкости и легкости, как при использовании сторонней программы.

Вот несколько других вариантов:

О Agnitum Outpost (http://www.agnitum.com);

О Kerio Personal Firewall (http://www.kerio.com);

О 7 Firewall Control (http://www.sphinx-soft.com).

Однако при установке и настройке конфигурации стороннего брандмауэра, в том числе и перечисленных здесь, будьте осторожны. Чересчур строгие его правила могут прервать работу некоторых программ в вашей системе. Еще хуже, чересчур мягкие правила могут не защитить компьютер в достаточной мере, но при этом вызовут у вас ложное чувство безопасности. Один из способов проверить вашу межсетевую защиту - тест на утечку данных PC Flank Leaktest на веб-странице http://www.pcflank.com/.

Неважно, какое из решений межсетевой защиты вы выберете, однако, вероятнее всего, вам понадобится потратить время на настройку пользовательской конфигурации правил, используя порядок, похожий на тот, что описан выше в данном разделе.

Сканирование системы для обнаружения открытых портов

Каждый открытый сетевой порт на компьютере представляет собой потенциальную уязвимость системы безопасности, а так как у Windows наблюдается тенденция оставлять больше открытых портов, чем нужно, то любые порты должны вызывать беспокойство — они могут остаться открытыми в результате действий приложений или вредоносных программ. К счастью, имеется способ сканирования компьютера для обнаружения открытых портов, позволяющий узнать, какие дыры латать.

Откройте окно Командной строки (cmd.exe) и запустите утилиту Активные подключения (Active Connections):

netstat /а /о

Параметр /а просит netstat показать все приложения, пытающиеся принять входящие подключения. Иначе вы увидели бы только порты, участвующие в действующих подключениях. Параметр /о показывает «владельца» (PID процесса) каждого порта (описано ниже). Отчет будет выглядеть примерно следующим образом:

Активные подключения

Имя Локальный адрес Внешний адрес Состояние PID

TCP annoy:рорВ localhost:4219 TIME_WAIT 0

TCP annoy:3613 javascript-of-unknown:0 LISTENING 1100

TCP annoy:3613 localhost:3614 ESTABLISHED 1100

TCP annoy:3614 localhost:3613 ESTABLISHED 1100

UDP annoy:1035 *:* 1588

UDP annoy:1036 *:* 1588

UDP annoy:1037 *:* 1588

UDP annoy:1038 *:* 1588

UDP annoy:1039 *:* 1588

Ширина окна Командной строки обычно составляет 80 знаков, что приводит л*, к некрасивому переносу слов. Чтобы вывести отчет в текстовый файл (напри-

# А* меР’ rcPorttxt)> введите netstat /а /о > report .txt. После этого вы сможете ' посмотреть отчет, например, в Блокноте.

Утилита Активные подключения отображает информацию в следующих пяти колонках.

О Имя (Proto)

Здесь будет указан используемый протокол: либо TCP (протокол управления передачей данных), либо UDP (протокол пользовательских датаграмм).

О Локальный адрес (Local Address)

Данная колонка состоит из двух компонентов, разделенных двоеточием. Первая часть — имя компьютера, которое, как правило, будет именем вашего компьютера. Вторая представляет собой либо номер порта, либо имя службы.

О Внешний адрес (Foreign Address)

Для действующих подключений это будет имя или IP-адрес удаленной машины, за которым следует двоеточие, а затем номер используемого порта. Для незадействованных подключений (показывающих только открытые порты) вы увидите только *:*.

О Состояние (State)

Данная колонка показывает состояние подключения (только для портов TCP). Например, для процессов сервера вы здесь увидите LISTENING (Слушает), что означает, что данный процесс открыл порты и находится в ожидании входящего подключения.

Для подключений, исходящих от вашего компьютера, таких как веб-браузер, загружающий страницу, или действующий сеанс Telnet (протокол сети связи), вы увидите ESTABLISHED (Установлено).

О Идентификатор процесса (РЮ)

Это идентификатор приложения или службы, ответственной за открытие порта. Чтобы узнать больше о конкретном PID, откройте Диспетчер задач (Task Manager), для чего запустите taskmgr.exe или щелкните правой кнопкой на пустом пространстве Панели задач и выберите Запустить диспетчер задач (Task Manager),

а затем откройте вкладку Процессы (Processes). Если вы не увидите колонку, обозначенную PID (идентификатор процесса), перейдите к Вид ? Выбрать столбцы (View ? Select Columns), включите флажок PID (Идентификатор процесса) и нажмите ОК. Наконец, включите параметр Отображать процессы всех пользователей (Show processes from all users) в нижней части окна Диспетчер задач (Windows Task Manager). Теперь можно отсортировать запись по PID, щелкнув на заглавии этой колонки. Соответствующее имя файла программы показывается в колонке Имя образа (Image Name).

Далее, откройте Монитор ресурсов (Resource Monitor), показанный на рис. 6.34. Это можно сделать, открыв Системный монитор (Performance Monitor) и затем нажав ссылку Открыть монитор ресурсов (Open Resource Monitor) или запустив perfmon. ехе /res. Раскройте вкладку Сеть (Network), и вы увидите список действующих приложений в комплекте с вышеупомянутым PID, количеством посланных и полученных байтов и даже внешним адресом, к которому они подключены. Можно отсортировать список по потреблению сети и увидеть, какие процессы занимают большую часть подключения.

Таким образом, утилита Активные подключения (Active Connections) в сочетании с Диспетчером задач может быть использована для поиска программы, ответственной за открытие любого сетевого порта на компьютере.

Не беспокойтесь, если вы увидите много открытых портов. Просто обязательно проверьте каждый из них и убедитесь, что они не представляют угрозы безопасности.

Возможно, в списке Диспетчера задач и в отчете, составленном утилитой Активные подключения (Active Connections), вы увидите файл svchost.exe, отвечающий за один или даже несколько открытых портов. Данная программа используется только для запуска служб, перечисленных в окне Службы (Services) — services.msc. Пример такой службы — UPnP, который Windows 7 запускает по умолчанию, хотя из соображений безопасности этого не следовало бы делать. (Причины подробнее объяснены в пункте «Плохо: уязвимость протокола UPnP», с. 393.)

Использование сканера внешних портов

Если вы используете межсетевую защиту, например встроенный брандмауэр Windows, то доступ к большинству открытых в данный момент портов должен быть заблокирован, даже если они перечислены в утилите Активные подключения (Active Connections). Поэтому, возможно, лучше воспользоваться сканером внешних портов — программой, которая может подключиться к вашему компьютеру через Интернет, чтобы проверить все открытые порты и сделать это настойчивее, чем утилита Активные подключения (Active Connections).

Вот примеры утилит, которые вы можете запустить со своего компьютера.

О Сканер безопасности Nmap (http://nmap.org/)

О Сканер портов AATools (AATools Port Scanner) (http://www.glocksoft.com/port_ scanner.htm)

Использование одного из следующих веб-сайтов позволит произвести сканирование портов непосредственно из браузера.

О PC Flank Advanced Port Scanner (http://www.pcflank.com/)

О Open Ports Tool (http://www.yougetsignal.com/tools/open-ports/)

О Microsoft Baseline Security Analyzer (http://www.miaosoft.com/mbsa)

Эти сервисы вы можете использовать и для проверки эффективности своей межсетевой защиты. Если сканер портов не сможет обнаружить никаких открытых портов, не сможет определить имя вашего компьютера и не сможет обнаружить никаких действующих служб, то у вас хороший уровень защиты!

Использование протокола работы маршрутизатора

Сканер портов может найти только дыры, для нахождения которых он и предназначен. Если вы продолжаете видеть мигающие огоньки активности на маршрутизаторе даже после того, как все вроде бы заблокировано, обратитесь к протоколу маршрутизатора, и, возможно, вы узнаете, что происходит на самом деле.

Ведение протокола обычно отключено по умолчанию, поэтому необходимо посетить страницу настройки маршрутизатора и включите его, как показано на рис. 6.35. Если маршрутизатор не поддерживает ведение протокола, обратитесь к разделу «Переход к более новой версии маршрутизатора».

В примере, показанном на рис. 6.35, вы можете выбрать, информацию о каких пакетах следует включать в протокол: Удаленные (Dropped), то есть заблокированные; Отвергнутые (Rejected) — заблокированные с отправкой ответа; Принятые (Accepted) — то есть пропущенные. Установите параметр Запись (Log) на Включить (Enable). Выберите, насколько подробный протокол вам нужен, и установите соответствующий уровень записи — Log Level. Обязательно закройте все приложения и выключите или отсоедините устройства, которые обращаются к Интернету, а затем нажмите Применить параметры (Apply Settings).

Если сетевая активность имеется, то новые записи в протоколе появятся через несколько секунд. Щелкните на Запись исходящих данных (Outgoing log), чтобы увидеть действия вашего компьютера, или Запись входящих данных (Incoming log), чтобы увидеть попытки подключений из внешнего мира.

Протокол покажет IP-адрес, номер порта, а также были ли данные блокированы или пропущены. Если вы увидите какие-либо подозрительные действия,то следует разобраться, какие порты используются. С помощью инструмента nslookup (из Командной строки) вы можете узнать, кто находится на другом конце «провода».

Не удивляйтесь, если увидите в протоколе много не предполагавшейся активности. Даже если большая часть этой активности создана злоумышленниками, это не обязательно означает, что вы уязвимы. Помните, что протокол показывает все попытки подключений, в том числе и те, которые оказались неудачными.

Веб и электронная почта

Интернет делает наш мир одновременно и больше, и меньше. Трудно представить работу за компьютером или даже прием пищи без веб-браузера под рукой. Трудно также и забыть все, чем встречает нас Сеть: всплывающие окна, нежелательная почта, а также постоянные уведомления, что «ваша конфиденциальность может быть под угрозой».

Обеспечение защиты Internet Explorer

С годами Microsoft починил сотни дыр в безопасности в Internet Explorer, и если вы регулярно используете функцию Центр обновления Windows (Windows Update), то уже пользуетесь результатом этих усилий. Но основой проблемы, которая создавала так много неприятностей все эти годы, является сама идея, лежащая в основе Internet Explorer и его взаимодействия с операционной системой.

Исходным условием является то, что веб-страница может содержать код, который дает указание Internet Explorer установить программное обеспечение на вашем компьютере. В былые времена разработчики веб-страниц мало использовали эту возможность — в большинстве своем для установки мелких инструментов и программ-помощников для добавления некоторых функций к веб-страницам. Но не много времени потребовалось для беспринципных хакеров и жадных управляющих корпорациями, чтобы научиться эксплуатировать эту открытость, что и привело к тому, что сейчас имеются программы-шпиоиы, рекламные программы, интернет-угонщики, руткиты и другие отвратительные сюрпризы.

Microsoft в конце концов исправила в IE8, который выпущен с Windows 7, многие досадные дефекты. Но из того, что IE теперь ищет подписи сертификатов и имеет в своем распоряжении список опасных веб-сайтов, не следует, что он уже не может быть каналом для проникновения зловредных программ. У вас есть выбор: отключить самые опасные функции Internet Explorer, использовать другой браузер или и то и другое.

Если вы используете Mozilla Firefox, рассматривамый ниже, старательно избегайте дополнительного компонента Microsoft .NETFramework Assistant (ClickOnce). Он добавляет к Firefox внутреннюю уязвимость, присущую Internet Explorer, а именно способность для веб-сайтов легко и спокойно устанавливать программы на вашем компьютере. Этот компонент исподтишка устанавливается вместе со многими обновлениями Windows. Так как эта ошибка проектирования является одной из причин отказа от Internet Explorer и перехода к Firefox, компонент следует удалить. Если кнопка Удалить (Uninstall) недоступна, обратитесь за инструкциями к странице http://www.annoyances.org/exec/show/articte08-600.

Если вы хотите продолжать использовать Internet Explorer, откройте окно Свойства обозревателя (Internet Options) в Панели управления или из выпадающего окна Сервис (Tools) в IE. Выберите вкладку Безопасность (Security) и включите параметр Включить защищенный режим (Enable Protected Mode), если он еще не включен. Затем выберите значок Интернет в самом верху (глобус) и нажмите Другой (Custom Level), чтобы открыть диалоговое окно Параметры безопасности (Security Settings), показанное, на рис. 6.36.

Далее, пройдитесь по всему списку и установите значения параметров в соответствии с приведенной ниже таблицей. Помните, что ваш список может несколько отличаться из-за установленных обновлений.

ПараметрЗначение NET Framework Loose XAMLСвободный XAMLОтключить XAML browser applicationsXAML-приложения веб-обозервателяОтключить XPS-документыXPS documentsОтключить Компоненты, предназначенные для платформы NET Framework (.NET Framework-reliant components) Permissions for components with manifestsРазрешения для компонентов с манифестамиОтключить Run components not signed with AuthenticodeЗапуск компонентов, не снабженных сертификатом AuthenticodeОтключить продолжение тР Продолжение ПараметрЗначение Run components signed with Запуск компонентов, не снабженных Authenticode Disable сертификатом AuthenticodeЭлементы Active X и модули подключения (ActiveX controls and plug-ins)Отключить Allow previously unused ActiveX controls to run without promptРазрешить запуск элементов управления Active X, которые не использовались ранее без предупрежденияОтключить Allow ScriptletsРазрешить сценарииОтключить Automatic prompting for ActiveX controlsАвтоматические запросы элементов управления Active XОтключить Binary and script behaviorsПоведение двоичных кодов и скриптовПрава администратора Display video and animation on a web page that does not use external media playerПоказывать видео и анимацию на вебстранице, не использующей внешний медиа-проигрывательОтключить Download signed ActiveX controlsЗагрузка подписанных элементов Active XОтключить Download unsigned ActiveX controlsЗагрузка неподписанных элементов ActiveXОтключить Initialize and script ActiveX controls not marked as safe for scriptingИспользование элементов управления Active X, не помеченных как безопасные для использованияОтключить Only allow approved domains to use ActiveX without promptРазрешить использование утвержденных доменом элементов управления Active X без запросаВключить Run ActiveX controls and plug-insЗапуск элементов ActiveX и модулей подключенияПрава администратора Script ActiveX controls marked safe for scriptingЗагрузка (Downloads)Выполнять скрипты элементов Active X, помеченные как безопасныеОтключить Automatic prompting for file downloadsАвтоматические запросы на загрузку файловОтключить Font download Prompt or DisableЗагрузка шрифтаПредлагать или Отключить Enable .NET Framework setup Разное (Miscellaneous)Разрешить установку .NET FrameworkОтключить Access data sources across domainsДоступ к источникам данных за пределами доменаОтключить Allow META REFRESHРазрешить метаобновлениеВключить Allow scripting of Internet Explorer Web browser controlРазрешить скрипты для элементов управления веб-обозревателем MicrosoftОтключить Allow script-initiated windows without size Разрешать запущенные скриптом окна, or position constraints без ограничений на размеры и положениеОтключить ПараметрЗначение Allow web pages to use restricted protocols for active contentРазрешить веб-страницам использовать ограниченные протоколы для активного содержимогоОтключить Allow websites to open windows without address or status barsРазрешить веб-узлам открывать окна без строки адреса или строки состоянияОтключить Display mixed contentОтображение разнородного содержимогоПредлагать Don't prompt for client certificate selection...Не запрашивать сертификат клиента...Отключить Drag-and-drop or copy and paste filesПеретаскивание или копирование и вставка файловВключить Indude local directory path when uploading files to a serverВключать путь к локальному каталогу при загрузке файлов на серверОтключить Installation of desktop itemsУстановка элементов Рабочего столаОтключить Launching applications and unsafe filesЗапуск программ и небезопасных файловОтключить Launching programs and files in an IFRAMEЗапуск программ и файлов в окне IFRAMEПредлагать Navigate subframes across different domainsПереход между окнами и фреймами через разные доменыПредлагать Open files based on content, not file extensionОткрыть файлы на основе содержимого, а не расширения имени файлаВключить Submit non-encrypted form dataПередача незашифрованных данных формВключить Use Pop-up BlockerБлокировать всплывающие окнаВключить Use SmartScreen Filter EnableИспользовать фильтр SmartScreenВключить Userdata persistenceУстойчивость данных пользователяВключить Websites in less privileged web content zone can navigate...Веб-узлы из зон Интернета с меньшими правами могут...Включить Сценарии (Scripting) Active ScriptingАктивные скриптыПредлагать Allow Programmatic clipboard accessРазрешить программный доступ к буферу обменаОтключить Allow status bar updates via scriptРазрешить обновление строки состояния Отключить через скрипт Allow websites to prompt for information using scripted windowsРазрешить веб-узлам запрашивать информацию с помощью окон со скриптамиОтключить Enable XSS filterВключить фильтр XSSВключить Scripting of Java appletsВыполнять скрипты приложений JavaВключить Проверка подлинности пользователя (User Authentication) LogonВходАнонимныйвход

Нажмите ОК, когда закончите настройку параметров безопасности.

Значение параметра Запуск программ и небезопасных файлов (Launching applications and unsafe files) может повлиять даже на загрузку файлов с помощью Mozilla Firefox. Если Firefox сообщает, что загрузка заблокирована Политикой безопасности зоны (Security Zone Policy), попробуйте изменить значение на Предлагать (Prompt) вместо Отключить (Disable).

Далее, щелкните на значке Надежные узлы (Trusted sites) — зеленая галочка, кнопке Узлы (Sites) и выключите параметр Для всех узлов этой зоны требуется проверка серверов (https:) (Require server verification https: for all sites in this zone). В поле Добавить в зону следующий узел (Add this Web site to the zone) введите следующий перечень: http://*.update.microsoftcom https://*.update.microsoft.com http://*.windowsupdate.com http://*, windowsupdate.microsoft.com Эти четыре указателя ресурсов позволят обновлению Windows работать с новыми параметрами безопасности. Звездочки представляют собой специальные символы, позволяющие применять данные правила к таким вариантам, как http://download. windowsupdate.com. Добавьте домены других веб-сайтов, которым вы доверяете, и нажмите ОК.

Теперь, когда вы знаете, что требуется для того, чтобы сделать Internet Explorer более безопасным (хотя и не абсолютно непробиваемым), у вас, возможно, возникнет желание совсем отказаться от IE и предпочесть браузер, который не поставит ваш компьютер под столь большую угрозу.

Mozilla Firefox

Доступный бесплатно с сайта http://www.mozilla.com/, Firefox является открытым программным обеспечением, и этот веб-браузер более надежен и имеет больше функций, чем Internet Explorer. Он лучше выполняет работу по блокированию всплывающих окон, имеет больше возможностей настройки интерфейса и может быть усилен мощными расширениями (пример приведен в разделе «Улучшение любого веб-сайта»).

Google Chrome

Chrome, также бесплатный на http://chrome.google.com/, является браузером минималистов. Он очень быстр, имеет поддержку расширений и, подобно Firefox, не дает повода для беспокойства о скрытых настройках или доступе на системном уровне. Недостаток его в том, что поддержка расширений находится в зачаточном состоянии (по сравнению с Firefox), так же как и возможность настройки.

Как только у вас установлен другой браузер, вы можете полностью отключить IE, как указано во врезке «Отключение Internet Explorer» (с. 413).

ОТКЛЮЧЕНИЕ INTERNET EXPLORER

В результате судебного решения с конца 1990-х годов вы можете полностью заблокировать Internet Explorer на своем компьютере, что является особенно эффективным средством, если вы настраиваете компьютер для кого-то другого и не хотите, чтобы вам пришлось, вернувшись через полгода, заняться избавлением его от программ-шпионов.

На странице Программы по умолчанию в Панели управления выберите Настройка доступа программ и умолчаний (Set program access and computer defaults). В появившемся окне нажмите Другая (Custom) и затем щелкните на значке маленькой двойной стрелки справа.

Убедитесь, что в разделе Выберите используемый по умолчанию веб-браузер указан тот браузер, который вы предпочитаете, а затем рядом со строкой Internet Explorer отключите Сделать доступной эту программу (Enable access to this program).

После этого нажмите ОК. Изменение вступит в силу немедленно. Значки IE исчезнут, и при попытке запустить iexplore.exe вы получите сообщение об ошибке.

Хотите узнать другой, возможно, более предпочтительный способ удаления IE8? Откройте страницу Программы и компоненты (Programs and Features) на Панели управления и щелкните иа ссылке Включение или отключение компонентов Windows (Turn Windows features on or off). В появившемся окне Компоненты Windows удалите галочку рядом с Internet Explorer 8, нажмите ОК и перезагрузите Windows.

Помните, что некоторые веб-сайты для полной функциональности требуют Internet Explorer, хотя с появлением Firefox и Chrome число таких сайтов быстро сокращается.

Как изменить значки интернет-ссылок

Перетяните значок закладки из адресной строки вашего браузера на Рабочий стол, и вы получите файл для вызова Интернета, который сможете использовать позже для открытия сайта. Если эта ссылка будет находиться на Рабочем столе достаточно долго, вы, возможно, захотите выбрать, как она будет выглядеть.

Оказывается, значок, используемый для быстрого вызова Интернета, зависит от ряда факторов. Общий значок представляет собой изображение листа бумага с логотипом вашего браузера по умолчанию (Internet Explorer, Firefox, Chrome и т. д.). Для изменения общего значка по умолчанию вам необходимо проделать фокус с системным реестром, описанный ниже.

1. Откройте Редактор реестра (см. главу 3) и перейдите к ветви HKEY_CLASSES_ROOT httpDefaultIcon.

2. Этот раздел по умоланию может быть заблокирован, поэтому перед тем, как внести изменения, вам, вероятно придется разблокировать его. Щелкните правой кнопкой на разделе Значок по умолчанию (Defaultlcon) и выберите Разрешения (Permissions). Нажмите Дополнительно (Advanced), а затем выберите вкладку Владелец (Owner). Из списка Изменить владельца на (Change owner to) выберите свое имя пользователя (или Администраторы) и включите параметр Заменить владельца подконтейнеров и объектов (Replace owner on subcontainers and objects). Дважды нажмите OK, чтобы закрыть оба окна.

Снова щелкните правой кнопкой на разделе Значок по умолчанию (Defaultlcon) и выберите Разрешения (Permissions). Из списка Группы или пользователи (Group or user names) выберите ваше имя пользователя (или, опять же, Администраторы), поставьте галочку в колонке Разрешить (Allow) рядом с параметром Полный доступ (Full Control) и затем нажмите ОК.

3. Внутри раздела Значок по умолчанию (Defaultlcon) дважды щелкните на значении (По умолчанию), введите полный путь и имя файла значка, которым вы хотите пользоваться, и добавьте после них запятую и ноль:

с: iconsmaeby.ico,0

4. Нажмите ОК и закройте Редактор реестра. Если изменение не войдет в силу сразу, перезагрузите Windows.

5. Чтобы Windows не отменила ваши изменения при следующем обновлении Internet Explorer, заблокируйте раздел Значок по умолчанию (Defaultlcon) в соответствии с инструкциями в разделе «Как запретить изменения в разделе реестра».

Если у посещаемого веб-сайта имеется отдельный значок сайта (favicon), то создаваемый файл получит значок сайта. Но это, к сожалению, работает только в Internet

Explorer. Firefox и Chrome при создании ярлыков игнорируют значки сайтов.

л Л _

Хотите добавить значок сайта в файл ярлыка Интернета, созданный Firefox?

Начните с установки программы-дополнения getFavicon для Firefox, доступной ^ бесплатно на сайте https://addons.mozilla.org/en-US/firefbx/addon/9548. Затем зайдите

* на интересующий вас сайт, щелкните на значке getFavicon в адресной строке и сохраните значок в панку на жестком диске. После этого щелкните правой кнопкой на файле ярлыка Интернета, вид которого вы хотите изменить, выберите Свойства (Properties), нажмите на вкладке Ярлык кнопку Сменить значок (Change Icon) и найдите файл значка, который вы только что сохранили.

Исправление значков ярлыков Интернета

В Windows 7, наконец, исправлена давняя проблему, которая вела к тому, что многие файлы ярлыков Интернета создавались неправильно, в результате чего значки иногда были пустыми или не открывали нужные сайты. Если у вас имеются такие файлы, оставшиеся из более ранних версий Windows, вот как можно их исправить.

Вначале откройте файл ярлыка Интернета в простом текстовом редакторе типа Блокнот (Notepad). Простейший файл выглядит так:

[InternetShortcut]

URL=http://annoyances.org/

Если вы задали пользовательский значок, щелкнув правой кнопкой и выбрав Свойства (Properties), то еще вы увидите строки Файл значка (IconFile), примерно такие:

IconFile=C:icons oad.ico lconlndex=0

Проблема в том, что особенно длинный указатель ресурсов URL может оказаться жертвой ограничения длины строки и будет разорван на несколько строк, как здесь:

[InternetShortcut]

URL=http: //www. evilleagueof evil. org/members/badhorse/Thoroughbred_of_Sin/ file_downloads/new_member_application. pdf IconFile=C:icons oad.ico lconlndex=0

Для того чтобы исправить файл ярлыка, поместите весь URL на одну строку и за-тем переместите строку URL в конец файла. После этого сохраните файл. Вам, возможно, придется выйти из системы и затем снова в нее войти, чтобы Windows признала изменение.

I Вы также можете попробовать воспользоваться инструментом AM-firee DeadLink

I (http://vvvw.aignes.com/deadlink.htm), который может загрузить значки сайтов и 4*, просканировать имеющиеся у вас закладки, избранное и файлы ярлыков для обнаружения неработающих ссылок.

Стоит отметить, что файлы ярлыков, созданные Internet Explorer 8, выглядят примерно так:

[{000214А0-0000-0000-С000-000000000046}]

РгорЗ=19,2

[InternetShortcut]

URL^http://annoyances.org/

Первые две строки позволяют файлу работать с обработчиком значков Windows 7 (глава 3), который извлекает значок сайта, сохраненный в другом месте, и использует его в качестве значка файла. Для исправления такого типа значка легче всего просто удалить его и создать заново.

Использование Firefox в мире IE

Приходилось ли вам сталкиваться с веб-сайтом, который не позволяет в него войти, потому что вы используете Firefox или какой-нибудь другой браузер, а не Internet Explorer? Проблема заключается в строке агента пользователя — текстовой «подписи», которую ваш браузер посылает каждому посещаемому вами веб-сайту и в которой сообщает имя и версию браузера и даже версию используемой вами операционной системы. Например, строка агента пользователя для Internet Explorer 8.0 в Windows 7 Ultimate выглядит примерно так:

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; W0W64;

Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729;

.NET CLR 3.0.30729; Media Center PC 6.0)

Web and Email | 521

А браузер Firefox 3.x выглядит для посещаемого сайта так:

Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2)

Gecko/20100115 Firefox/3.6

Если вы используете Firefox (или любые браузеры, кроме IE), то время от времени будете натыкаться на веб-сайт, который не захочет взаимодействовать с вашим браузером. Эта проблема обычно вызвана либо ленивыми разработчиками, которые не довели свои веб-сайты до стандартов, либо корпоративными ограничениями в лицензировании, которые запрещают разработчикам поддержку любых продуктов, изготовленных не Microsoft. Хорошей новостью является то, что вы можете их всех одурачить!

Расширение Agent Switcher Firefox доступно бесплатно на сайте http://chrispederick. com/work/useragentswitcher/ и позволяет браузеру Mozilla притворяться каким-нибуль другим браузером, в том числе и Internet Explorer, старым добрым Netscape 4 и даже Opera. Когда вы сталкиваетесь с веб-сайтом, признающим только IE, перейдите к опции Средства ? Переключатель агента пользователя (Tools ? User Agent Switcher) и выберите какой-нибудь браузер, как показано на рис. 6.37.

Выберите Параметры (Options) для редактирования списка браузеров. Вы даже можете напечатать свою строку агента пользователя и подделаться под другую версию Windows!

Конечно, если вы используете Internet Explorer, это не обязательно означает, что все будет работать так, как надо. Зачастую сайты требуют Internet Explorer потому, что они применяют патентованные функции IE, такие как дополнения Active X, которые могут открывать двери шпионским программам (см. раздел «Обеспечение защиты Internet Explorer»). В этих случаях следует или открыть страницу в IE, или покинуть сайт. Если вы выберете первый способ действия, то оцените дополнение IE View для Firefox, доступное бесплатно на сайте http:// ieview.mozdev.org/. Когда вы столкнетесь с сайтом, который не работает нормально в Firefox, то просто щелкните правой кнопкой на пустом пространстве страницы и выберите команду Просмотреть эту страницу в IE (View This Page in IE). Или же

щелкните правой кнопкой на любой ссылке на странице и выберите Открыть целевую ссылку в IE (Open Link Target in IE).

Как сделать Firefox похожим на IE

У Firefox много преимуществ перед Internet Explorer, но имеется несколько мест, где Firefox пока догоняет. К счастью, каталог расширений Mozilla позволяет Firefox делать все, что умеет IE, и даже больше.

Чтобы Firefox использовал списки перехода Панели задач Windows 7 точно так же, как Internet Explorer и Проводник, бесплатно установите Wmfox с сайта http://www. compugeeksoftware.com/software/winfox.aspx. После этого запустите Firefox с помощью значка Winfox, чтобы добавить дружественную поддержку веб-сайтов: перемещения окон и отображения загрузки непосредственно в значке Панели задач.

Бесплатно установите расширение Grab and Drag (Схвати и тяни) с сайта https:// addons.mozilla.org/en-US/firefox/addon/1250, чтобы сделать возможной прокрутку любой веб-страницы, щелкая прямо на ней и перетаскивая, как и с соответствующим инструментом в Internet Explorer 8.

Меню Найти (Find, Ctrl+F) расположилось в самом низу окна Firefox, где его трудно найти и где оно может легко быть перекрыто Панелью задач Windows. Чтобы переместить его на верх окна Firefox, установите бесплатное расширение Найти настройки Панели инструментов (Find Toolbar Tweaks) со страницы https://addons.mozilla.org/en-US/ firefox/addon/2585. Затем из списка Расширений (Extensions) в Окне расширений (Addons), выделите параметр Найти настройки Панели инструментов (Find Toolbar Tweaks), нажмите Параметры (Options), выберите страницу Дополнительные (Advanced) и включите Переместить Панель инструментов в верхнюю область (Move toolbar to upper area). Окна с вкладками появились в Firefox на несколько лет раньше, чем в IE (хотя Net-Captor предшествовал им обоим). Но только IE позволяет легко отключить просмотр страниц с использованием вкладок. В Firefox вы должны установить бесплатное расширение, чтобы избавиться от вкладок, как описано в следующем разделе.

Отказ от просмотра веб-страниц с использованием вкладок

Некоторым людям нравятся вкладки, потому что они сокращают перенасыщение экрана лишними деталями, но если вы не хотите их использовать (например, если вам нравится просматривать страницы параллельно), то вкладки становятся просто неудобством.

К счастью, в Internet Explorer от вкладок легко избавиться. Просто откройте выпадающую страницу Сервис (Tools), выберите Свойства обозревателя (Internet Options), и вкладку Общие (General). В секции Вкладки (Tabs) выберите Параметры (Settings) и снимите флажок Включить обзор с вкладками (Enable Tabbed Browsing). Дважды нажмите OK и закройте все открытые окна Windows Explorer, чтобы применить изменение.

Если вы используете Firefox, выключение просмотра с использованием вкладок несколько более запутанно.

Чтобы полностью отключить все вкладки в Firefox, установите бесплатное расширение Уничтожитель вкладок (Tab Killer), доступное на странице http://piro.sakura.ne.jp/ xul/_tabkiller.html.en, и перезагрузите Firefox. Затем из меню Инструменты (Tools) в Firefox выберите Дополнения (Add-ons), выделите Уничтожитель вкладок (Tab Killer) и нажмите Настройки (Options). Выберите Игнорировать запрос (Ignore the request), чтобы новые ссылки открылись в том же окне, или Открывать новое окно вместо новой вкладки (Open new window Instead of new tab), чтобы создавать каждый раз новое.

Если же вам не нравится нагромождение окон (и вы пользователь Firefox), откройте меню Инструменты (Tools), выберите Настройки (Options) и в категории Вкладки (Tabs) включите параметр Открывать новое окно в новой вкладке (Open new windows in a new tab instead). Вы можете установить также расширение Переключить режим Windows (Switch Windows Mode), доступное бесплатно на странице https://addons.mozilla.org/ addon/3881, или найти на веб-сайте Mozilla многие другие расширения, регулирующие использование вкладок.

Если вы не хотите выключать просмотр веб-страниц с использованием вкладок, то можете воспользоваться клавиатурой для контроля того, что происходит при щелкании на ссылках.

Internet Explorer

Удерживайте Ctrl при нажатии ссылки для открытия ее в новой вкладке или Shift для открытия в отдельном окне. Если у вас имеется блокировщик всплывающих окон IE, настроенный на самый высокий уровень фильтрования, вы можете нажать Ctrl+Alt, чтобы временно разрешить всплывающие окна из сайта.

Firefox

Как и в IE, при щелчке на ссылке для ее открытия в новой вкладке нажмите Ctrl или Shift для открытия в отдельном окне. Вы можете нажать Alt, чтобы сохранить ссылку на жестком диске.

Исправление символов на веб-страницах

Приходилось ли вам просматривать страницу со странными символами в тексте, особенно там, где вы ожидали бы увидеть дефисы и апострофы? Хотя это может выглядеть как проблема шрифта или языка, более вероятно, что у вас неправильно выбрана кодовая страница.

Кодовая страница — это карта размещения знаков, которые ваш браузер использует, чтобы визуализировать текст, и эта страница должна соответствовать кодовой странице, использованной при создании сайта. Обычно браузер автоматически подбирает страницу правильно, но если вы изменили кодовую страницу или если

веб-сайт изменил либо не указывает правильную кодовую страницу, то текст не будет выглядеть должным образом.

В Internet Explorer откройте выпадающее меню Вид ? Кодировка ? Дополнительно (Encoding ? More) и выберите шрифт, который лучше всего соответствует просматриваемому документу. Для англоязычных сайтов кодовой страницей по умолчанию является Западноевропейская (Windows) - Western European (Windows).

В Firefox откройте Вид ? Кодировка (View ? Character Encoding) и выберите Western (ISO-8859-1) для англоязычных сайтов или какую-либо другую, соответствующую просматриваемому сайту. Если окажется, что вы часто возвращаетесь к этому меню, перейдите к Вид ? Кодировка ? Настроить список (View ? Character Encoding ? Customize), чтобы выбрать, какие кодовые страницы отображаются в меню верхнего уровня, В каждом браузере, прежде чем сайт будет изображаться правильно, понадобится сделать некоторое количество проб и ошибок.

Исправление неправильно отображаемых картинок в веб-страницах

У этой проблемы, возможно, несколько причин: например, сбой веб-сервера или устаревшая страница. Но если в нескольких разных сайтах отсутствуют фотографии, попробуйте нижеследующие исправления.

Во-первых, необходимо очистить кэш вашего браузера, чтобы удалить любые поврежденные данные, которые, возможно, используется для показа страницы. В Internet Explorer откройте выпадающее меню Сервис (Tools), выберите Свойства обозревателя (Internet Options) и в секции История просмотра (Browsing history) нажмите Удалить (Delete). Аналогично поступите с блоком Временные файлы Интернета (Temporary Internet files).

В Firefox перейдите к меню Инструменты ? Настройки (Tools ? Options), выберите категорию Дополнительные (Advanced), а затем вкладку Сеть (Network) и нажмите кнопку Очистить сейчас (Gear Now).

Некоторые неправильно настроенные программы межсетевой защиты, особенно Персональная межсетевая защита Norton (Norton Internet Security и Norton Personal Firewall), могут препятствовать отображению рисунков некоторых веб-сайтов. Временно отключите брандмауэр и, если это поможет, обратитесь к его документации (относящейся конкретно к функциям включения в веб-страницу файлов-изображений). Помните, что ни в брандмауэре Windows, ни в большинстве маршрутизаторов, оснащенных межсетевой защитой, эта проблема обычно не проявляется. Блокировщики реклам также могут подавлять содержимое, которое вы хотите видеть. Они блокируют изображения, анимацию, встроенные рамки и другое содержимое, подаваемое определенными сайтами, но, возможно, ваш блокировщик рекламы блокирует больше, чем нужно. Многие сайты используют содержимое тех же серверов, не относящееся к рекламе, иногда по экономическим или техническим причинам, но, главным образом, пытаясь помешать блокировщикам реклам.

В любом случае выключите программу, блокирующую рекламы, чтобы узнать, решит ли это проблему.

Наконец, препятствовать просмотру веб-сайтов могут неправильные настройки прокси-серверов. Если вы посещаете веб-сайт со своего рабочего места, ваш работодатель может потребовать, чтобы вы соединялись через прокси-сервер. Отключите его и посмотрите, решит ли это проблему. Аналогично в случае, если вы просматриваете веб-сайт, находясь дома, и при этом используете прокси-сервер (что обсуждается в разделе «Анонимное перемещение по сети»), вам, возможно, придется его выключить. В Internet Explorer для настройки конфигурации прокси-сервера откройте выпадающее меню Сервис (Tools), выберите Свойства обозревателя (Internet Options) и вкладку Подключения (Connections) и нажмите кнопку Настройка параметров локальной сети (LAN Settings). В Firefox перейдите к Инструменты ? Настройки (Tools ? Options), выберите категорию Дополнительные (Advanced), а затем вкладку Сеть (Network) и нажмите Настроить.

Улучшение любого веб-сайта

Веб-сайты не столь неприкасаемы, какими могут казаться. На заре Веб, если вы часто посещали веб-сайт с некоторыми досаждающими хитростями или функциями, которые не совсем правильно работали, вам приходилось мириться с этим. Но все изменил Greasemonkey.

Greasemonkey — это свободное расширение (имеющееся на странице http://www. greasespot.net/) для веб-браузера Firefox, позволяющее добавить пользовательский код JavaScript к любой веб-странице. Затем код выполняется автоматически, как если бы он был частью страницы, и меняет ее внешний вид или поведение.

Если вы используете Chrome, скачайте Greasemetal по адресу http://grease-т % I metaL31tools.com/. Для Safari понадобится Greasekit с сайта http://8-p.info/greasekity. ^ Для Internet Explorer попробуйте Trixie, расположенный на http://www.bhelpuri. net/trixie. Помните, что большинство пользовательских сценариев Greasemonkey написаны и протестированы для Firefox, поэтому нет гарантии, что они будут работать с дугими приложениями.

Сам по себе Greasemonkey мало что делает. Чтобы вызвать его к жизни, следует установить пользовательские сценарии, которые вы загружаете или пишете сами. Большинство пользовательских сценариев приспособлены добавлять функции к личным веб-сайтам, но некоторые написаны для исправления дефектов или удаления помех. Посетите веб-страницу http://userscripts.org/, где есть много увлекательного. Самый легкий способ найти пользовательский сценарий — поискать на http:// userscripts.org/ сайт, который вы хотите улучшить. Например, на момент написания этой книги для карт Google имелся 151 сценарий, в том числе изменяющий область ввода в многострочное текстовое окно, что облегчает копирование и вставку адресов, и позволяющий быстро менять масштаб изображения до конкретного района на карте с помощью выделения прямоугольника прямо на странице.

Для eBay вы найдете сценарий, облегчающий показ только жалоб в профиле обратной связи члена eBay (рис. 6.38), сам eBay не позволит вам сделать это.

Когда вы найдете нужный сценарий, щелкните на нем правой кнопкой и выберите Установить пользовательский скрипт (Install User Script). Или щелкните на ссылке для посмотра действия скрипта в браузере и, если вам понравится увиденное, перейдите к Инструменты ? Установить пользовательский скрипт (Tools ? Install User Script). Скрипт будет активным сразу же, но вам придется перезагрузить страницы, чтобы увидеть результат.

He все скрипты предназначены специально для определенного сайта. Скрипт Linkifier превращает все, что похоже на URL, в активную ссылку, на которой вы можете щелкать. Аналогичные скрипты делают то же самое для адресов электронной почты и даже номеров отслеживания доставки почты и грузов.

Но лучше всего, конечно, то, что, будучи немного знакомы с JavaScript, вы можете написать собственные пользовательские скрипы и настраивать Веб так, как вам понравится!

Как избавиться от всплывающих окон

Всплывающие окна с рекламой присутствуют везде, но, увы, я подозреваю, что законы, запрещающие использование всплывающих окон, были бы так же эффективны, как и законы о борьбе со спамом. Но это не означает, что вы не можете взять дело в свои руки и прекратить это безумство. Раньше вам пришлось бы установить программу-блокировщик всплывающих окон какой-либо сторонней компании. Теперь же все крупные браузеры выходят со встроенными блокиров-щиками всплывающих окон, хотя у одних эта функция реализована лучше, у других — хуже. Проблема в том, что всплывающие окна больше ие ограничиваются веб-сайтами, и ваш арсенал борьбы с ними должен быть модернизировать. Хотя всплывающие окна на веб-основе блокируются в Internet Explorer по умолчанию, вы можете усилить эту функцию. Откройте выпадающее меню Сервис (Tools) и выберите Блокирование всплывающих окон ? Параметры блокирования всплывающих окон (Pop-up Blocker ? Pop-up Blocker Settings). Из списка Уровень блокировки (Blocking level) выберите Высокий: Блокировка всех всплывающих окон (High: Block all pop-ups), и нажмите ОК.

Конечно, некоторые сайты используют всплывающие окна с законными целями, поэтому вы, возможно, разрешите им показ всплывающих окон. Вернитесь кокну Параметры блокирования всплывающих окон (Pop-up Blocker Settings), введите (или вставьте) URL сайта в поле Адрес веб-узла, получающего разрешение (Address of Web site to allow), нажмите Добавить (Add) и ОК.

л

"*v I Вы также можете разрешать всплывающие окна в каждом конкретном случая,

I для этого надо щелкнуть на желтой панели информации. А если вы уже выбрали ^ уровень фильтра Высокий: Блокировка всех всплывающих окон (High: Block all pop-ups), как изложено выше, то можете нажать Ctrl+Alt при щелчках на ссылках, чтобы временно разрешить всплывающие окна.

Firefox также по умолчанию блокирует всплывающие окна. Чтобы разрешить их для определенных сайтов, перейдите к Инструменты ? Настройки (Tools ? Options), выберите категорию Содержимое (Content) и нажмите Исключения (Exceptions) рядом с параметром Блокировать всплывающие окна (Block pop-up windows).

По сравнению с IE браузер Firefox дает вам больше контроля над JavaScript, а это язык, используемый при создании большинства всплывающих окон и других раздражающих особенностей веб-сайтов. В Firefox перейдите к Инструменты ? Настройки (Tools ? Options), выберите категорию Содержимое (Content) и нажмите Дополнительно (Exceptions) рядом с параметром Использовать JavaScript (Enable JavaScript). Вы можете мешать сайтам двигать окна или изменять их размеры, менять текст в строке состояния и еще что-нибудь, просто выключив соответствующие параметры.

т

_

Если вам нужен еще больший контроль над JavaScript, то загрузите бесплатное расширение NoScript Firefox со страницы https://addons.mo2illa.org/en-US/firefox/ addon/722 и разрешите выполнение программ только с тех сайтов, которым вы доверяете. В разделе «Улучшение любого веб-сайта» рассказано о других способах сделать сайты менее раздражающими. ,

Вы заблокировали всплывающие окна, но рекламные окна продолжают появляться? Если они появляются, когда вы не просматриваете сайт, то, возможно, на вашем

компьютере действуют программы-шпионы — программы, созданные для показа реклам и для наблюдений за вашими привычками при посещении веб-сайтов. Конечно, программы, которые вы используете, такие, например, как Windows Live Messenger, могут показывать свои рекламные блоки, но это другая проблема. Источником программ-шпиоиов, рекламных программ и других типов вредоносных программ являются некоторые веб-сайты, а также некоторые приложения, главным образом, программы однорангового обмена файлами и, как ни странно, многие приложения для показа прогноза погоды. Из главы 5 вы можете узнать о некоторых приемах удаления различных вредоносных программ, а из раздела «Обеспечение защиты Internet Explorer» — о том, как обеспечить безопасность браузера.

Загадка чистых бланков

Когда в последний раз вы заполнили бланк на веб-странице и нажали Отправить (Submit) только для того, чтобы узнать, что что-нибудь заполнено неправильно? Вы нажимаете кнопку Назад (Back), чтобы вернуться к предыдущей странице, но бланк пустой. Тогда вы нажимете Вперед (Forward), а ваш браузер настаивает на пересылке отправленного содержимого на сервер, вместо того чтобы просто показать страницу, находящуюся в кэше.

Обычно э го вызвано программной ошибкой в вашем браузере, а не в веб-сайте. Такая ошибка присутствует во всех версиях Internet Explorer. Хотя браузеры на основе механизма Mozilla, например Firefox, лучше в отношении сохранения информации бланков, чем IE, но они с разочаровывающей регулярностью дают сбой.

В настоящее время ни один браузер не справляется с данными бланков в ранее посещенных страницах, но имеется несколько обходных путей.

Например, большинство проектировщиков веб-сайтов знают о программной ошибке и построили сайты с ее учетом. Поэтому если вы отправите бланк и нужно вернуться обратно, чтобы изменить напечатанное, не нажимайте кнопку Назад (Back) браузера. Лучше поищите кнопки Назад (Back) или Правка (Edit) прямо на странице, чтобы благополучно исправить уже набранный текст.

Далее, заведите привычку, прежде чем отправлять любой бланк, делать импровизированную копию. Например, если вы пишете длинное сообщение, нажмите Ctrl+A, чтобы выделить весь текст, Ctrl+C, чтобы его скопировать, откройте Блокнот (Notepad) и нажмите Ctrl+V для вставки. Повторяйте эти шаги для каждого длинного поля в бланке. Если позднее вы вернетесь к чистому бланку, вставьте этот текст в поля.

Пресечение раздражающей анимации

Кажется, куда бы вы ни пошли в Интернете, что-то пульсирует, летает по экрану или играет музыка. Как от всего этого избавиться?

В большинстве случаев нажатие Esc останавливает анимацию, но это работает только с анимированными файлами .gif. Если вы хотите отключить Bce.gif-анимацин в Internet Explorer, откройте выпадающее меню Сервис, выберите Свойства обозревателя (Internet Options), а затем вкладку Дополнительно (Advanced) и в секции Мультимедиа (Multimedia) выключите флажок Воспроизводить анимацию на веб-страницах (Play animations in web pages). Можно таким же способом отключить звук и изображения. После этого нажмите ОК.

В Firefox наберите в адресной строке about: config, и перед вами появится список всех имеющихся настроек. Найдите в списке image.animation_mode (для быстрого поиска введите что-то вроде anim в поле Фильтр (Filter)), дважды щелкните на параметре и в поле Введите значение (строка) (Enter String Value) напечатайте none. Если вы не хотите полностью отключать анимацию, то введите здесь once, чтобы разрешить сайтам исполнять все анимации только один раз и никогда не повторять их (по умолчанию установлено значение normal). После этого нажмите ОК. Другие типы анимаций требуют других действий. Для того чтобы выключить Flash-анимацию в Internet Explorer, следует удалить Flash-плейер с помощью труднона-ходимой сервисной программы деинсталлятора компании Macromedia, которая доступна иа странице http://www.macromedia.com/support/flashplayer/ (ищите слово «деинсталлировать»). Конечно, это означает потерю всего содержимого Flash, поэтому вам, возможно, не захочется делать этот шаг.

В Mozilla Firefox вы можете воспользоваться мощным бесплатным расширением Adblock Plus на странице http://adblockplus.org/, для того чтобы выборочно скрыть анимацию без полного отключения Flash. Как только расширение установлено, перезагрузите браузер и перейдите к меню Инструменты ? Adblock Plus (Tools ? Adblock Plus). Откройте меню Параметры (Options), и если строка Показывать вкладки на Flash и Java не имеет рядом галочки, выберите ее и нажмите ОК. После этого в каждой Flash-анимации появится маленькая вкладка, помеченная Заблокировать (Block) (см. рис. 6.39). Щелкните на этой вкладке, чтобы появился адрес, а затем нажмите ОК, чтобы начать блокировать данную Flash-анимацию.

Язык JavaScript, который не следует путать с Java, часто используется для создания эффекта «пролета» (когда кнопка или значок изменяется при движении над ней мышки), а также хвостов курсора (летающие кусочки, которые следуют за указателем мышки). Но так как многие сайты в очень большой степени зависят от JavaScript, отключать его только для того, чтобы удалить данные типы анимаций, — не очень хорошая идея. В большинстве случаев можно обуздать раздражающее поведение JavaScript с помощью соответствующего пользовательского скрипта, как указано в разделе «Улучшение любого веб-сайта». Если вы используете Firefox, то расширение NoScript, представленное в предыдущем разделе, может легко заблокировать один или несколько файлов-источников JavaScript на конкретном сайте.

Анонимное перемещение по сети

Веб-сайты, которые вы посещаете, знают о вас больше, чем вы, скорее всего, думаете. Вместе со своей подписью (см. раздел «Использование Firefox в мире 1Е»), браузер посылает IP-адрес вашего компьютера каждому веб-сайту, который вы посещаете, и из этой информации сайт может извлечь некоторые довольно интересные вещи. Ознакомьтесь с нижеследующей врезкой «Что они могут о вас узнать?».

ЧТО ОНИ МОГУТ О ВАС УЗНАТЬ?

Ваш IP-адрес посылается каждому посещаемому вами веб-сайту. Хотя определить ваш точный домашний адрес и размер обуви непосредственно по IP-адресу невозможно, однако довольно несложно приблизительно узнать ваше географическое положение. (Как это происходит, можно увидеть, например, на сайтах http://www. yougetsignal.com/ и http://vmw.geobytes.com/jplocator.htm.). Конечно, нет недостатка в замысловатых схемах отслеживания, которые, по существу превращают 1Р-адрес в уникальный идентификатор, с помощью которого некоторые веб-сайты могут узнавать вас, когда вы их посещаете. Например, вы делаете покупку в интернет-магазине, который продает тостеры. Как только вы заплатите за него, магазин записывает ваше имя, домашний адрес, информацию по кредитной карточке, а также ваш IP-адрес.. В случае, если магазин хранит информацию в секрете, вам не о чем беспокоиться. Но можете ли вы сказать то же самое относительно другого сайта, где вы только что подписались на розыгрыш плазменного телевизора? Вот откуда приходят рекламные объявления. Большая часть рекламы на сайтах исходит от небольшого количества компаний, и эти компании отслеживают, кто смотрит на их рекламные объявления, даже если вы на них не щелкаете. Если вы просматриваете страницу на веб-сайте новостей, который высвечивает рекламный заголовок на всю полосу, хозяином которого является, например, http://adknowledge.com или http:// targetnet.com, и затем регистрируетесь, чтобы выиграть бесплатный телевизор на другом сайте, имеющем другое объявление от того же агентства, то его сервер знает, что вы посетили оба сайта. Более того, если рекламное агентство вступает в сговор с веб-сайтом конкурента, то у них есть адрес вашей электронной почты, домашний адрес, любимый эпизод из сериала «Звездный крейсер Галактика* и что-нибудь еще, что вы написали на странице регистрации розыгрыша лотерей.

В настоящее время у большинства людей IP-адреса динамические, меняющиеся при каждом подключении, но один какой-нибудь адрес может использоваться в течение целого дня, а с маршрутизатором — и четыре недели подряд, а это означает, что IP-адрес может быть использован, чтобы проследить немалую долю пашей активности в Интернете. Более того, многие недобросовестные сайты используют так называемые cookie (куки) — файлы, сохраняемые в клиентской системе, чтобы делать то же самое, а именно промаркировать ваш компьютер уникальным серийным номером, который может прочитываться во время нашего посещения различных сайтов.

Итак, каким образом пресечь слежение? Большинство противошнионских программ (см. главу 5) предназначены для поиска и удаления следящих куков, но вы можете настроить конфигурацию браузера на блокирование всех кук с сайтов, подобных перечисленным по адресу http://www3.ca.com/securityadvisor/pest/browse. aspx?cat=tracking%20cookie. Для блокирования кук в Internet Explorer перейдите к меню Сервис ? Свойства обозревателя (Tools ? Internet Options), выберите вкладку Конфиденциальность (Privacy) и нажмите пункт Узлы (Sites). В Firefox перейдите к Инструменты ? Настройки (Tools ? Options), выберите категорию Приватность (Privacy) и в секции Куки (Cookies) нажмите меню Исключения (Exceptions).

Полезной функцией в Internet Explorer является Фильтрация InPrivate, странно названная в том смысле, что она имеет мало общего с сервисной программой InPrivate Browsing, которая выключает сбор кук и историю посещения сайтов, когда вы просматриваете веб-сайты во время обеденного перерыва. Иа странице Безопасность (Safety) выберите вариант Фильтрация InPrivate, чтобы запретить отслеживание ваших действий.

Или, если вы использует Firefox, установите программу, которая блокирует рекламу, например расширение Adblock, описанную в разделе «Пресечение раздражающей анимации».

Используйте прокси-сервер, чтобы скрыть ваш IP-адрес от посещаемых вами сайтов. Прокси-сервер — это сервер-посредник между вашим браузером и сайтами, фактически прячущий вас от подсматривающих сайтов. Если вы установили прокси-сервер, то вся посылаемая и получаемая вами с помощью браузера информация проходит через него. Обратите внимание, что конфигурация электронной почты и других программ для использования прокси-сервера должна быть настроена отдельно.

Большинство крупных компаний используют собственные прокси-серверы для защиты данных на компьютерах компании, но вам не обязательно работать в большой компании, чтобы иметь такую же защиту.

Начните с посещения страницы http://annoyances.org/ip и посмотрите ваш 1Р-адрес, когда веб-сайты видят его. Затем просмотрите список бесплатных прокси-серверов с IP-портами, например, на странице http://www.hidemyass.com/proxy-list/ или http:// www.xroxy.com/proxylist.htm. Выделите его IP-адрес и нажмите Ctrl+C для копирования его в буфер обмена. Заметьте, что в соседней колонке указан Порт (Port). Затем настройте ваш браузер на использование данного сервера.

Хотите знать, можно ли надеяться, что прокси-серверы не используют ваш IP и другую информацию для неблаговидных целей? По правде говоря, нет основания доверять анонимному посреднику сколько-нибудь больше, чем сайтам, от которых вы прячетесь. Один из таких прокси-серверов следует использовать

только тогда, когда вам определенно необходимо анонимное присутствие в Интернете, при этом избегайте посещения веб-сайта своего банка. Более того, многие прокси-серверы пропускают ваш исходный I P-адрес в заголовки окон HTTP, так что вы не столь анонимны, как, возможно, думаете.

Если вы используете Internet Explorer, откройте выпадающее меню Сервис (Tools), выберите Свойства обозревателя (InternetOptions) и вкладку Подключения (Connections) и нажмите Настройка параметров локальной сети (LAN Settings). Включите параметр Использовать прокси-сервер для локальных подключений (Use a proxy server for your LAN) и затем вставьте (нажатием Ctrl+V) IP-адрес, полученный на странице http:// proxy4free.com, в поле Адрес. Введите номер порта (обычно от 80 до 8080) в поле Порт и нажмите ОК,

Если вы часто используете прокси-сервер, вам, возможно, захочется уменьшить количество обращений к окну параметров локальной сети Internet Explorer. Нажмите кнопку Дополнительно (Advanced) и в окошке Исключения (Exceptions) введите адреса веб-сайтов, к которым вы хотите подключаться непосредственно (без прокси-серверов). Если вы используете Firefox, воспользуйтесь бесплатным расширением FoxyProxy (http://foxyproxy.mozdev.org/). Среди всего прочего, FoxyProxy делает простым переключение между прокси-серверами (или отключение от них) и даже установку правил (называемых схемами) для автоматического задействования конкретного прокси-сервера при посещении определенных веб-сайтов.

Параметры, введенные в окно Свойства обозревателя (Internet Options), влияют только на Internet Explorer, поэтому для других браузеров вам придется использовать несколько другой способ. Если вы работаете с Firefox, перейдите к меню Инструменты ? Настройки (Tools ? Options), выберите категорию Общие (General), на вкладке Параметры подключения (Connection Settings) нажмите кнопку Ручная настройка конфигурации прокси-сервера (Manual proxy configuration) и введите параметры прокси-сервера.

Теперь снова зайдите на http://annoyances.org/ip, и вы увидите, что IP-адрес изменился! (Если страница не загружается, значит, прокси-сервер перестал работать; выберите другой и попробуйте снова). С этого момента каждый посещаемый вами сайт будет видеть IP-адрес прокси-сервера вместо вашего до тех пор, пока вы не отказались от него.

Каждый посылаемый и получаемый с помощью вашего браузера байт будет проходить через прокси-сервер. За исключением случая, когда вы знаете хозяина данного сервера и доверяете ему, вам следует всегда отключать прокси-сервер, прежде чем посылать конфиденциальную информацию (например, ваш домашний адрес, данные кредитной карточки и т. д.).

Если вы не хотите возиться с настройкой прокси-сервера каждый раз, когда посещаете сомнительные веб-сайты, то имеются и другие варианты. Одним из решений может быть использование одного из бесплатных сайтов прокси-серверов одноразового пользования, многие из которых перечислены и упорядочены на сайте http://www.proxy4free.com/. Просмотрите список прокси-серверов и поищите лучшие анонимные серверы, помеченные HiAnon. Отсортируйте список по Рейтингу (Rating) по нисходящей или по Времени доступа (Access Time) по восходящей.

По следующим адресам вы найдете сайты, где можно ввести или вставить URL сайта, который вы хотите посетить, в текстовое поле и нажать Enter: Free Proxy Server — http://www.freeproxyserver.net/, Proxify - http://proxify.com/, remainhidden. com — https://remainhidden.com/, Vtunnel — http://vtunnel.com/, The Cloak — http:// www.the-cloak.com/.

Сайт-посредник загрузит страницу, позволяя вам просматривать посещаемый сайт анонимно в течение данного сеанса. Щелкая на ссылках, вы продолжаете анонимный просмотр, а используя адресную строку браузера, закладки, или ярлыки Интернета — возвращаетесь к обычному просмотру без прокси-сервера.

Если требуется больше гибкости, чем могут предложить прокси-серверы на основе веб, и вы не против за это заплатить, попробуйте Anonymizer’s Anonymous Surfing tool с сайта http://www.anonymizer.com/, Anonymous Browsing Toolbar с сайта http:// www.amplusnet.com/ или Hide the IP с сайта http://www.hide-the-ip.com/. Данные продукты представляют собой программное обеспечение, которое вы устанавливаете на компьютере, и выполняют почти такую же функцию, как и вышеупомянутые прокси-серверы, к тому же с большим количеством функций и быстрее. Принимая во внимание все факторы, такие прокси-серверы, вероятно, чуть-чуть безопаснее, чем анонимные, и они удобнее, чем прокси-серверы.

Теперь вы, возможно, думаете, почему бы все-таки не использовать маршрутизатор? Маршрутизаторы предлагают великолепную межсетевую защиту и создают отдельный уровень защиты между вашим компьютером и остальной частью Интернета. Но когда используется маршрутизатор, веб-сайты все же могут видеть его IP-адрес и таким образом, могут собирать такую же информацию о вас и вашем местонахождении. В разделе «Блокировка компьютеров с несанкционированным доступом» вы можете прочитать о способе подделки МАС-адреса вашего компьютера (или маршрутизатора).

Замена программы электронной почты по умолчанию

Электронная почта используется повсеместно, но это не означает, что нет разницы, какую программу для нее использовать. Несомненно, Microsoft очень хотела бы, чтобы вы использовали исключительно приложение или сайт Live Mail, не говоря уже о Microsoft Office и Internet Explorer вместо OpenOfRce и Firefox. Если бы все было так, как хочет Microsoft, вам пришлось бы чистить зубы зубной пастой Microsoft. К счастью, то, что хочет Microsoft, вас не волнует.

Программа электронной почты по умолчанию — та, что открывается, когда вы посылаете файл из какого-либо приложения или нажимаете Отправить (mailto). На странице Программы по умолчанию (Default Programs) в Панели управления

нажмите Настройка доступа программ и умолчаний (Set program access and computer defaults).

Выберите вариант Другая (Custom) и нажмите маленькую двойную стрелку справа, в разделе Выберите используемую по умолчанию почтовую программу (Choose a default e-mail program) укажите ваш почтовый клиент.

Если ваша программа не появляется в окне Настройка доступа программ и умолчаний (Set program access and computer defaults), но выбрана строка Использовать текущую программу (Use my current e-mail), то, возможно, ваша любимая программа электронной почты уже установлена по умолчанию, несмотря на то что здесь на ее имя нет ссылки. Для проверки откройте меню Пуск и в поле Поиск (Search) введите mailto: test.

Если ваш клиент электронной почты не появляется ни в одном из вышеупомянутых списков, это не означает, что Microsoft специально исключила ее. (Конечно, Microsoft и не облегчила поиск, но это уже другая история.) Скорее всего, это просто означает, что ваше приложение или веб-сайт неправильно зарегистрировано в Windows. Легкий способ исправить ситуацию — проверить веб-сайт производителя программы на наличие обновлений, получить их, если таковое имеются, а затем заново установить вашу программу электронной почты.

Если это не поможет или если программа вашей электронной почты фактически является веб-сайтом, то можно исправить список вручную, что, конечно потребует посещения Реестра Windows (Windows Registry).

Откройте Редактор реестра (см. главу 3) и перейдите к ветви HKEYj.OCAL_MACHINE SOFTWAREClientsMail. Здесь вы найдете отдельный подраздел для каждой программы, зарегистрированной на компьютере. Для удаления какой-либо записи из списка просто удалите здесь соответствующий ей раздел.

Добавление записей немного сложнее. Вместо того чтобы заполнять все вручную, скачайте шаблон со страницы http://www.annoyances.org/downloads/gmail.reg и сохраните его иа Рабочем столе. Щелкните дважды на файле реестра gmail.reg для слияния его с вашим реестром и затем вернитесь к Редактору реестра (Registry Editor) для того, чтобы взглянуть на новые введенные данные, находящиеся в HKEYJ_OCAL_ MACHINESOFTWAREClientsMailGmail. Вы можете переименовать раздел Gmail в то, что вам понравится, но чтобы изменить заголовок, появляющийся в списке зарегистрированных программ электронной почты, дважды щелкните назначении по умолчанию.

Далее, перейдите к HKEY_LOCAL_MACHINESOFTWAREClientsMailGmailshellopen command и дважды щелкните на значении по умолчанию для изменения адреса программы. Если это приложение на жестком диске, то введите (или вставьте) полный путь и имя файла с расширением .ехе (то есть C:Program FilesAcmeMallacme.exe). Если это веб-сайт, то введите имя файла вашего браузера с расширением .ехе, за которым следует соответствующий параметр, и затем URL вашего сайта примерно так:

iexplore.exe -nohome http://gmail.com или для Mozilla Firefox:

c:program filesfirefoxfirefox.exe http://gmail.com

Это еще не все. Для того чтобы новая запись правильно отвечала на ссылки mailto, перейдите к HKEY_LOCAL_MACHINESOFTWAREClientsMail6mailProtocolsmailto shellopencommand и дважды щелкните на значении по умолчанию.

Так же как и с разделом command, настроенным ранее, введите путь к приложению или путь к вашему браузеру и адрес веб-сайта. Но на этот раз присоедините параметр XI, с тем чтобы Windows могла передать программе электронной почты адрес, которой вы указали. Вам нужно будет обратиться к документации, чтобы проверить правильность синтаксиса командной строки, но он должен выглядеть примерно гак:

c:Program FilesEudoraEudora.exe /т%1 а для веб-сайта (аналогичного gmail):

iexplore.ехе -nohome https://mail.google.com/mail/?view=cm&tearoff=l&fs= l&to=%l

или

с:program filesfirefoxfirefox.exe https://mail.google.com/mail/?view=cm&te aroff=l&fs=l&to=%l

Стоит отметить, что разница между данным синтаксисом и синтаксисом в предыдущем случае в том, что URL теперь включает, помимо всего прочего, &to=%l. Если ваш веб-сайт не предоставляет необходимый URL, просто поищите в системе Google слово mailto и имя вашего веб-сайта (или приложения), и вы должны найти нужную информацию.

Если вы не хотите заменить программу вашей электронной почты по умолча-нию, но хотели бы перенаправить ссылки mailto: к клиенту электронной почты, J *, используйте GreaseMonkey и соответствующий пользовательский скрипт, как *' указано в разделе «Улучшение любого веб-сайта».

После этого протестируйте изменения, щелкнув на строке Электронная почта (Email) в меню кнопки Пуск, а в заключение нажав ссылку mailto: на любой веб-странице.

Пресечение спама

Бьюсь об заклад, что из 873 сообщений в вашей почте сегодня утром только 5 были действительно вам. Как же избавиться от остальных 868 сообщений, которые, можно с уверенностью сказать, вы снова получите завтра? К сожалению, идеального решения не существует. Но вы можете кое-что сделать для облегчения своей жизни и уменьшения подверженности спаму.

Во-первых, не помещайте адрес своей электронной почты на веб-сайтах, общественных форумах или на обложках компьютерной литературы. Если вы это делали, то ваш адрес уже включен во все на свете списки для рассылки спама. Кроме того, остерегайтесь электронных писем, выуживающих информацию (смотрите врезку

«Не поддавайтесь на фишинг». Эти письма являются еще одним источником (и бичом) спама.

НЕ ПОДДАВАЙТЕСЬ НА ФИШИНГ

«Гмм, говорящий лось спрашивает номер моей кредитной карточки. Звучит разумно...» — Гомер Джей Симпсон.

Итак, вы получаете сообщение от сайта eBay, в котором говорится» что ваш счет будет приостановлен, если вы не обновите информацию о себе, а затем получаете почти такое же сообщение от компании Wells Fargo. Я уверен, настойчивый тон этих сообщений еще больше собьет вас с толку, если у вас на самом деле есть счета в этих учреждениях.

Конечно же, эти сообщения не от компаний eBay или Wells Fargo. Они представляют собой спам. Но в отличие от мошенников, специализирующихся на рекламе снижения веса или покупки недвижимости, этот спам обманом пытается заставить вас выдать персональную информацию способом, имеющим названием фишинг (выуживание информации).

Фишинговые сообщения стали такой проблемой, что даже Microsoft взялась за это дело и разработала интеллектуальный фильтр (SmartScreen filter) в Internet Explorer 8, чтобы вести поиск сайтов, занимающихся фишингом. (У Firefox имеется похожая функция). Фильтр, который задействован по умолчанию, предупреждает вас, если вы посещаете сайт, который, как он подозревает, является мошенническим, и даже позволяет вам сообщать о фишинговых сайтах, чтобы другие пользователи были предупреждены. Из выпадающего меню Сервис (Tools) в IE выберите Фильтр SmartScreen (Phishing Filter) для настройки параметров. Но для того, чтобы фильтр был более эффективным, нужно активировать автоматические обновления, как сказано в главе 5.

Но ни один фильтр не защищен от неумелого пользования. Для того чтобы избежать такой ловушки, вы должны уметь оценивать ситуацию. Во-первых, ни одна признанная компания никогда не попросит вас подтвердить свои данные, и хотя многие сайты просят вас войти в систему, никогда этого не делайте с помощью перехода по ссылке, приведенной в письме. Вместо этого используйте надежную закладку или просто введите URL в адресную строку. Если вы не хотите игнорировать письмо, свяжитесь с компанией и спросите, является ли электронное сообщение легитимным.

Во-вторых, проверьте URL, содержащийся в сообщении, для чего поместите указатель мышки над ссылкой, и адрес должен всплыть (при условии, что это возможно в вашей программе электронной почты). Есть большая вероятность того, что вы увидите не http://www.ebay.com, а длинный загадочный URL с большим количеством символов или цифровой веб-адрес типа http://168.143.113.54. Это явный признак того, что ссылка указывает на поддельный сайт.

Далее, если вы настроили браузер на сохранение информации о вашем имени пользователя и пароле, то вы будете знать, что перед вами не настоящий сайт, если ваш браузер, не заполняет поля с вашими данными. Браузеры сохраняют пароли для конкретных URL, и компьютер может отличить настоящий сайт, даже если вы этого не сможете.

Для дополнительной проверки подозрительного сообщения щелкните дважды на текстовой части сообщения и выберите Просмотр html-кода (View Source), чтобы посмотреть исходный код HTML данного сообщения. Поищите http, и вы найдете настоящий URL, связанный с ссылками в сообщении.

Некоторые электронные сообщения снабжены встроенными картинками (это не то же самое, что картинка, прикрепленная к письму). Когда вы просматриваете такое сообщение, программа электронной почты вызывает картинку с сервера, а сервер записывает этот факт. И вот отправитель имеет подтверждение, что вы прочли сообщение. Если вы отключите функцию вызова изображений, то эти серверы никогда не получат уведомлений, и вы окажетесь в меньшем количестве списков для рассылки спама.

О Microsoft Outlook

Перейдите к меню Сервис ? Центр управления безопасностью (Tools ? Trust Center), выберите слева категорию Автоматическая загрузка (Automatic Download) и затем включите справа параметр Не загружать автоматически в HTML электронные сообщения или элементы RSS (Don't download pictures automatically in HTML e-mail messages or RSS items). (Теперь это является настройкой Outlook по умолчанию, но все-таки лучше проверить).

О Mozilla Thunderbird

Перейдите к меню Инструменты ? Настройки (Tools ? Options), выберите категорию Дополнительно (Advanced) и в Приватность (Privacy) и выберите параметр Не загружать изображения из Интернета, ссылки на которые встречаются в сообщениях (Block loading of remote images in mail messages).

О Eudora

Перейдите к меню Инструменты ? Настройки (Tools ? Options), выберите категорию Вывести на экран (Display) слева и затем выключите параметр Автоматически загрузить графику HTML (Automatically download HTML graphics).

О Gmail

По умолчанию в Gmail встроенные в сообщения рисунки не выводятся на экран. Вместо этого вы увидите зеленую полосу вверху сообщения. Просто щелкните на ссылке Выводить изображения на экране внизу (Display images below), если вам нужно их видеть, или на ссылке Всегда выводить изображения на экран (Always display images), если вы доверяете отправителю. Если вы случайно нажмете ссылку Всегда выводить изображения на экран (Always display images), то можете отменить разрешение, выбрав Показать детали (Show details), а затем нажав С этого момента не выводить на экран (Don't display from now on).

О Windows Live Mail (известный также как MSN Hotmail)

Вверху на странице Live Mail нажмите Параметры (Options). Выберите слева категорию Почта (Mail), щелкните на пункте Параметры отображения почты (Mail Display Settings), а затем под наванием Вывести на экран содержимое Интернета (Internet content), выберите Автоматически запрещать содержимое Интернета в сообщениях (Automatically suppress Internet content in messages).

Далее, установите независимый, пассивный спам-фильтр, который отмечает потенциальный спам, но не удаляет его, например SpamPal (бесплатно на сайте http:// sourceforge.net/projects/). Настройте вашу программу электронной почты на пересылку всех писем с текстом **Spam** в строке темы письма в папку Нежелательная почта (Junk) или Мусорная корзина (Trash).

Таким образом, вы можете убрать спам с глаз долой, но позже проверить эту почту на наличие подлинных сообщений, прежде чем навсегда их удалить. В настоящее время большинство программ электронной почты (например, Outlook, Thunderbird и Eudora) имеют встроенные фильтры спама, которые могут таким же образом направить спам в мусорную корзину. Но программы, подобные SpamPal, имеют больше настроек и часто обновляют свои списки спама и определений.

SpamPal работаете программами электронной почто на основе POP3 или IMAP4, что означает, что он не будет работать с AOL или системами почты на веб-основе, такими как Gmail.

Все спам-фильтры полагаются на списки известного им спама и его источников, поэтому необходимо обеспечить их обновление. Если вы используете Outlook, то можете получать обновления для фильтра спама вместе с обновлениями Microsoft Update. Откройте Центр обновления Windows (Windows Update) в Панели управления, нажмите кнопку Настройка параметров (Settings) и включите параметр Использовать Microsoft Update (Use Microsoft Update).

Обновления для более старых версий программы Office вы можете получить вручную на странице http://office.miCTOS0ft.com/ru-nj/downloads/.)

Если у вас тяжелая ситуация и пассивные фильтры не останавливает получение спама, то можно применить более радикальные варианты. Во-первых, свяжитесь со своим поставщиком Интернета и попросите, чтобы он задействовал спам-фильтр на сервере, например, такой, как Postini (http://www.google.com/postini/). Фильтры на стороне сервера удаляют спам на пути к входящей почте, поэтому вам даже не придется загружать его. Недостатком является то, что некоторые подлинные сообщения могут никогда не попасть в ваш почтовый ящик.

Вы можете использовать более энергичный диалоговый фильтр, например Cloud-mark Desktop (http://www.cloudmark.com/), который не позволит спаму добраться до вашего почтового ящика, если только отправитель не находится в списке доверенных лиц. Многие поставщики Интернета и некоторые поставщики электронной почты на веб-основе также предлагают данный тип сервиса для своих заказчиков. Если отправитель, которого нет в списке, пытается послать вам сообщение, программа посылает письмо обратно с требованием заполнить веб-бланк. Это не только останавливает спам (который отправляется машинами), но также позволяет вам отвергать людей, с которыми вы не хотели бы переписываться. Безусловно, вы можете также добавить любого отправителя в список разрешенных, но это само по себе представляет дополнительную работу. Данный подход может превратить поток спама в ручеек, но никогда не пропустит подлинные автоматизированные сообщения, например информационные бюллетени, регистрационные коды, за которые вы заплатили, или сообщения от продавцов, подтверждающие получение заказа. А поддельные сообщения, в котором отправитель сделан похожим на кого-то, кто может быть в вашем списке разрешенных (например, другие пользователи в вашем домене), не будут остановлены фильтрами такого типа.

Если вы занимаетесь бизнесом в Интернете, хорошо подумайте, прежде чем применить один из этих активных спам-фильтров. Меньше всего вы можете пожелать удаления фильтром писем от ваших заказчиков! Л пользователям eBay следует иметь в виду: фильтры спама являются причиной номер 1 отрицательных отзывов как покупателей, так и продавцов, поэтому если у вас установлен такой фильтр, просматривайте страницу Мои сообщения eBay на предмет потерянной корреспонденции.

Если вы уже получаете тонны спама, возможно, пора сменить адрес электронной почты. Приобретите свое собственное доменное имя и создайте несколько разных адресов для разных целей. Например, такие адреса, как shopping@mydomain.com для покупок в интернете, auctions@mydomain.com для купли и продажи на eBay, subscriptions@mydomain.com для информационных бюллетеней и personal@mydomain. com для переписки с друзьями и семьей, и настройте получение писем по всем этим адресам в один и тот же почтовый ящик. Таким образом, если один из ваших адресов попадает в список рассылок спама, вы можете удалить этот адрес, не затрагивая остальные учетные записи. Еще лучше создать отдельный почтовый адрес для каждого посещаемого сайта, например, amazon@mydomain.com, ebay@mydomain. com, nytimes@mydomain.com, и annoyances@mydomain.com. Если на какой-нибудь из адресов начнет поступать спам, вы будете знать, кто в этом виноват.

I Получаете ли вы электронную почту на более чем один адрес? Воспользуйтесь

I функцией Фильтры в программе вашей электронной почты для сортировки входящей корреспонденции и для маркировки отдельных сообщений, чтобы при *' автоматическом ответе был использован правильный обратный адрес.

Отправка больших файлов

Создание затора в почтовом ящике друга 20 мегабайтами вложений в элекгронные письма является великолепным способом заставить его настроить конфигурацию фильтра спама, который будет автоматически выбрасывать ваши письма в мусорную корзину.

Если все, что вам нужно отправить, — это несколько фотографий, электронная почта является прекрасным средством, но только если сначала вы их сожмете. Цифровая камера создает файлы по 8 Мбайт, но вашим друзьям не нужны фотографии с высоким разрешением, если только они не собираются их печатать.

Поэтому воспользуйтесь любым фоторедактором, чтобы уменьшить кадры, прежде чем отправлять их по электронной лочте. Общий размер всех посылаемых файлов никогда не должен превышать 400-500 Кбайт.

я

ЗДля сжатия нескольких фотографий одновременно можно воспользоваться модулем Photo Resizer (Photo Resizer plugin) для Creative Element Power Tools, доступным бесплатно на странице http://creativelement.com/powertools/.

Нужно, чтобы получатели могли напечатать фотографии? Имеется множество бесплатных веб-сайтов для обмена графическими изображениями, специально предназначенных для этих целей, но не многие позволят посетителям загрузить фотографии с высоким разрешением. Веб-сайты, которые позволят это сделать, — Picasa (http://picasa.google.com/), PhotoBucket. (http://photobucket.com/), ImageShack (http://imageshack.us/), и Flickr (http://www.flickr.com/). Загрузите свои фотографии на такой сай г, а затем отправьте URL, которые сайт вам предоставит, всем, кому хотите, без опаски, что большое приложение к письму создаст затор.

Для отправки других типов файлов, например документов или заархивированных файлов, нужно поступить немного иначе. В силу того что веб-сайты обмена графическими изображениями могут делать деньги, когда посетители заказывают распечатки, они только рады будут разместить ваши фотографии, но не многие сайты заинтересованы в размещении файла базы данных в 50 Мбайт, который вам нужно послать своему коллеге.

В настоящее время, если у вас есть собственное веб-пространство (часто предоставляемое поставщиком Интернета), вы можете переслать файлы через FTP (протокол передачи файлов) на сервер, а затем отправить вашим друзьям адрес, похожий на: http://www.{my-isp.net}/~{myusemame}/{quarterlyanalysis.zip}, где {ту-isp.net} — веб-сайт вашего поставщика Интернета, {myusemame} — ваша учетная пользовательская запись, а {quarterlyanalysis.zip} — имя файла, который вы хотите передать.

К сожалению, поставщик Интернета, вероятно, не заинтересован помогать вам в размещении гигабайтов данных, а значит, и вашим друзьям в их загрузке. Если у вас нет веб-пространства или поставщик Интернета ограничивает типы и размеры файлов, которые вы можете загружать, используйте сайт YouSendlt (http://www. yousendit.com/), DropSend (http://www.dropsend.com/) или SendSpace (http://www. sendspace.com/). Эти сервисы принимают большие файлы до 300 Мбайт или даже, в некоторых случаях, 1 Гбайт и разрешают ограниченное число скачиваний.

Отправка длинных URL

Теперь о болезнях переноса слов. Стандартный дисплей терминала, использовавшийся раньше для чтения электронных сообщений, был шириной всего 80 знаков, и хотя мало кто до сих пор использует терминалы, стандарт продолжает свое существование. В настоящее время, если вы отправляете кому-либо сообщение с длинным URL, он может оказаться разделенным программой электронной почты для согласования с этим стандартом сорокалетней давности.

Так как некоторым поставщикам электронной почты еще предстоит исправить это затруднение, и получатели ваших сообщений вряд ли будут представлять себе, что надо делать, когда получат ваше сообщения с кусками URL в нескольких строках, сожмите URL, прежде чем отправлять его. Например, сервис Tiny URL (http://tinyurl. com/) может получить любой ужасающе длинный URL, например http://maps.google.

com/maps?ll=37.826870,-122.422682&spn=0.007197,0.0091128it=k&hl=en и превратить его в опрятный легкочитаемый вроде http://tinyurl.com/cfpmc.

Сервис TinyURL очень быстрый и бесплатный, a URL, которые он делает, никогда не устаревают. Имеется похожий сервис SnipURL (http://www.snipurl.com), который делает практически то же самое, но добавляет функции слежения.

Часто приходится пользоваться TinyURL? Зайдите на http://tinyurl.eom/#toolbar и перетащите ссылку «TinyURL!» в Панель инструментов Ссылки (Links) любого браузера. Затем нажмите эту кнопку и создайте TinyURL для текущей страницы. Если вы используете Firefox, воспользуйтесь сервисом TinyURL Creator (https:// addons.mozilla.org/en-us/firefox/addon/126?id=126 или, еще лучше, http://tinyurl. com/574q9). Для его использования щелкните правой кнопкой на свободном пространстве текущей страницы и выберите Создать Tiny URL для данной страницы (Create Tiny URL for this Page). Укороченный URL создается тут же и копируется в буфер обмена для немедленного использования. Похожее средство Maxthon (доступен бесплатно с веб-сайта http://www.maxthon.com) работает с Internet Explorer и SnipURL. j% _

I Для Firefox и расширения GreaseMonkey (см. раздел <Улучшение любого веб-

I сайта») доступны пользовательские скрипты, которые автоматически развернут ^ укороченные URL Таким образом, вы можете увидеть, куда вас приведет ссылка, прежде чем нажимать ее.

Итак, что делать, если кто-то прислал вам длинный URL? Вы можете выделить его, скопировать в буфер обмена (Ctrl+C) и затем вставить в Блокнот (Ctri+V), где и приступить к аккуратной сборке URL в одной строчке. (Обязательно удалите лишние знаки, например пробелы и пунктуацию, оставляя в целости все нужное). Затем снова скопируйте его и вставьте обратно в адресную строку браузера. Если вы используете Firefox, то можете упростить этот процесс с помощью бесплатного расширения Open Long URL (Открыть длинный URL) со страницы https://addons.mozilla. org/addon/132. Установите данное расширение, перезапустите браузер и затем выберите Файл ? Открыть длинный URL (File ? Open Long URL). Вставьте длинный, разбитый на части URL в окошечко и нажмите ОК, и расширение заново соберет для вас URL и откроет страницу. Ну как? Намного легче, чем исправлять у всех программное обеспечение электронной почты.

Пользователи и безопасность

Абсолютно безопасных систем не существует. Даже если вы не открываете сетевой доступ к своим файлам и не пускаете никого к клавиатуре вашей машины, Windows — это многопользовательский мир со всеми вытекающими последствиями. В попытке достичь равновесия между безопасностью и удобством сама природа этой операционной системы заставляет идти на компромиссы. Принятие подобных решений в Windows — задача не из легких, но будьте уверены: выход найдется даже из самой сложной ситуации.

Например, вам нужно задать для своей учетной записи пароль, чтобы открыть общий доступ к файлам. Но ведь это означает, что пароль придется вводить при каждом включении компьютера. И тем не менее выход есть: скрытое диалоговое окно, о котором я расскажу в этой главе, позволит вам входить в систему автоматически, и ваша учетная запись все так же будет защищена паролем.

Раздельные учетные записи пользователей - отличный вариант настройки семейного компьютера или общего компьютера на работе, однако для обеспечения безопасности такой машины необходимо позаботиться о правильных разрешениях для файлов и о шифровании данных. Если сделать это с умом, то, единожды отрегулировав параметры безопасности, вы надолго забудете о головной боли по поводу защиты файлов.

Новая возможность Windows 7 — домашние группы (Homegroup) — полезна уже тем, что значительно упрощает совместный доступ к файлам. Однако проще — не всегда лучше: при использовании домашних групп труднее контролировать, какие конкретно данные вы открываете и каким пользователям, и если вы не будете предельно осторожны, то можете поставить под угрозу самое сердце системы. Таким образом, традиционный общий доступ к файлам не ушел в тень с появлением домашних групп.

Однако, по-видимому, на самые большие уступки придется пойти из-за компонента Контроль учетных записей (User Account Control, UAC). В прошлом несколько учетных записей было принято создавать в ситуациях, когда одним компьютером пользовались несколько человек. Каждый получал собственный Рабочий стол, документы, настройки и даже пароль, позволяющий скрывать конфиденциальные данные от других. Но в UAC учетные записи пользователей применяются для защиты компьютера от... извините, но от вас.

UAC, эта назойливая система, автор тех самые всплывающих сообщений Windows необходимо разрешение на продолжение (Windows needs your permission to continue), заставляет вас большую часть времени работать в ограниченной среде, позволяя поднима ться до статуса администратора только при установке программного обеспечения, изменении настроек на Панели управления или доступе к определенным папкам. Это помогает защищать компьютер от злонамеренных программ, не говоря уже о случайных глупых ошибках, но некоторые из решений, принятых Microsoft во время реализации этой, без сомнения, полезной возможности, оставляют желать лучшего. Например, UAC запрашивает разрешение при переименовании некоторых элементов Рабочего стола и меню Пуск, но в то же время умело написанные приложения вполне могут вносить изменения в настройки компьютера без вашего ведома.

Управление учетными записями пользователей

Учетные записи пользователей — основной инструмент защиты данных, даже если на своем компьютере вы единственный пользователь. Система учетных записей позволяет шифровать файлы так, чтобы их было невозможно прочитать без ввода пароля или можно было открывать информацию только для доверенных пользователей сети. Кроме того, благодаря учетным записям вы вполне можете пускать за свой компьютер детей, не боясь при следующем входе в систему обнаружить на Рабочем столе обои с космонавтами-серферами.

Вообще-то диалоговых окон для управления учетными записями пользователей в Windows 7 целых четыре. Все они по-разному выглядят и предназначены для разных, так сказать, «целевых аудиторий». Проблема в том, что в каждом из этих окон есть определенные параметры, недоступные в остальных трех, поэтому для решения всех стоящих перед вами задач придется пользоваться всеми этими инструментами понемногу О Учетные записи пользователей (User Accounts)

Страница Учетные записи пользователей (User Accounts) (рис. 7.1) открывается из Панели управления. Это большой и дружественный инструмент, правда, несколько нескладный.

Добавлять, настраивать и удалять учетные записи очень легко, интерфейс понятен с первого взгляда. Это достойно восхищения. Однако для выполнения более сложных задач, например управления группами или включения автоматического входа в систему для учетных записей с паролями, вам может потребоваться один из альтернативных инструментов, перечисленных далее.

Рисунок учетной записи, который отображается на экране входа в систему и вверху меню Пуск (см. раздел «Упрощаем меню Пуск»), можно изменить только 'V j •, в стандартном окне Учетные записи пользователей (User Accounts), там же мож-

-но отключить сообщение «Добро пожаловать» (см. раздел «Как скрыть список

учетных записей пользователей»).

О Учетные записи пользователей 2 (User Accounts 2)

Несколько дополнительных параметров, о которых речь пойдет далее, можно изменить только в альтернативном окне Учетные записи пользователей (User Accounts) — по сути, пережитке, доставшемся нам в наследство от Windows 2000. Чтобы открыть старое диалоговое окно Учетные записи пользователей (User Accounts) (рис. 7.2), откройте меню Пуск и в поле Поиск (Search) введите

%SystemRoot%system32control userpasswords2 Нажмите Enter.

Как и в основном окне Учетные записи пользователей (User Accounts), здесь можно добавлять новых пользователей, переименовывать и удалять существующие учетные записи. Однако в этом окне предлагается больше настроек, касающихся разрешений и ограничений для учетных записей. Также здесь открывается доступ к учетным записям, которые в обычном окне Учетные записи пользователей (User Accounts) скрыты: Администратор (см. раздел «Вход в систему под именем администратора») и учетная запись IUSR, которую использует веб-сервер IIS. Еще одна функция этого окна рассматривается в разделе «Как скрыть список учетных записей пользователей».

ЪРг

Часто используете диалоговое окно Учетные записи пользователей 2 (User Ассо-, unts 2)? Для добавления значка этого полезного инструмента на Панель управ-{ ? ления загрузите бесплатную надстройку User Accounts 2 Control Panel с сай-та http://annoyances.org/downloads/useraccounts2.zip. Откройте zip-архив, дважды

щелкните на файле install.reg, а затем нажмите Да (Yes), чтобы импортировать данные реестра. Закройте и снова откройте Панель управления — теперь оы видите новый значок.

О Локальные пользователи и группы (Local Users and Groups)

Третий способ управления учетными записями пользователей в Windows - через редактор политик Локальные пользователи и группы (Local Users and Groups), окно которого показано на рис. 7.3. Откройте меню Пуск, введите lusrmgr.msc в поле поиска и нажмите Enter. Также можно щелкнуть правой кнопкой мыши в меню Пуск на Компьютер (Computer), выбрать Управление (Manage), а затем в древовидном представлении найти Локальные пользователи и группы (Local Users and Groups).

Применяйте настройки окна Локальные пользователи и группы (Local Users and Groups) и вышеупомянутого окна Учетные записи пользователей (User Accounts) с большой осторожностью, так как оба этих инструмента позволяют отключать учетные записи пользователей с привилегиями администратора. Если такое произойдет, пользователи-администраторы не смогут зайти в систему, и для того, чтобы снова начать пользоваться компьютером, с большой вероятностью придется переустанавливать операционную систему.

Окно Локальные пользователи и группы (Local Users and Groups, LUaG) - это, в сущности, оснастка консоли управления Microsoft (mmc.exe), такая же, как утилита Управление дисками (Disk Management; см. главу 4) и окно Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security; глава 6), поэтому при необходимости к нему можно обращаться удаленно. На рис. 7.3 диалоговое окно LUaG показано во всем своем великолепии.

В LUaG можно управлять группами, устанавливать срок действия паролей и менять домашние каталоги пользователей. Дважды щелкните на любой записи в категории Пользователи (Users) или Группы (Groups), чтобы открыть соответствующие параметры. Чтобы добавить нового пользователя или группу, щелкните правой кнопкой мыши на пустом поле в правой панели.

Группа — это набор учетных записей пользователей, позволяющий ссылаться на всех них с помощью одного имени. Группы удобно применять для настройки доступа к данным (об этом речь пойдет далее). Вместо того чтобы перечислять все имена пользователей, нужно всего лишь указать имя одной группы. Обратите внимание на то, что, создав группу в этой оснастке, добавлять и удалять ее пользователей вы сможете в вышеупомянутом диалоговом окне Учетные записи пользователей 2 (User Accounts 2).

О Диспетчер учетных данных (Credential Manager)

Страница Диспетчер учетных данных (Credential Manager) открывается из Панели управления (см. рис. 7.22). Здесь можно просматривать, изменять и, что самое важное, добавлять пароли к учетным записям на других компьютерах. Хотя настроить учетные записи локального компьютера с помощью этого инструмента не получится, для доступа к общим папкам на других компьютерах он незаменим. Пошаговое руководство вы найдете в разделе «Удаленный доступ к общим папкам».

Сложнее всего разобраться, какой из перечисленных инструментов наилучшим

образом подходит для выполнений конкретной задачи. В табл. 7.1 перечислены

разнообразные типовые задачи. Посмотрите, какой инструмент рекомендуется для решения каждой из них.

Таблица 7.1. Инструменты для управления учетными записями пользователей

LUaG

Учетные записи пользователей (User Accounts)

Учетные записи пользователей 2 (User Accounts 2)

Задача

Добавить группы

Добавить пользователей

?

?

Добавить пользователя в группу

Добавить пользователя в несколько групп

Изменить имя пользователя

Изменить описание пользователя

Изменить домашнюю папку профиля пользователя

Изменить пароль пользователя

Изменить пароль пользователя на другом компьютере

Изменить рисунок пользователя

Изменить сценарий входа в систему

Скопировать папку профиля пользователя

Отключить учетную запись пользователя или группы, не удаляя ее

?

/

Экспортировать список пользователей или групп в текстовый файл

Найти учетные записи администраторов без паролей

Настроить сетевые имена пользователей и пароли

Настроить группы

Диск сброса пароля

?

?

?

/

?

Предотвращение забывания паролей

Удалить практически любого пользователя

?

?

Удалить любого пользователя

Переименовать некоторых пользователей

Удалить пароль пользователя

Потребовать нажатия Ctrl+Alt+Del для входа в систему

Установить срок действия пароля

/

/

Включить или выключить учетную запись администратора

Включить или выключить учетную запись

Задача Учетные записи Учетные записи LUaG

пользователей пользователей 2 (User Accounts) (User Accounts 2)

Включить или выключить окно входа ?

в систему

Включить или выключить контроль учетных ? записей (UAC)

Включить или выключить экран Добро по- ? жаловать

Использовать быстрое переключение поль- / зователей

Просмотреть состав групп ^

Процессы добавления, удаления и настройки учетных записей пользователей большей частью интуитивно понятны, поэтому я не буду рассматривать их в деталях.

ИДЕНТИФИКАТОРЫ БЕЗОПАСНОСТИ

Каждому пользователю на компьютере присваивается уникальный идентификатор безопасности (Security Identifier, SID). Он необходим для применения большинства возможностей, о которых мы поговорим далее в этой главе, таких как настройка разрешений и шифрование, а также для реализации некоторых решений, о которых рассказывается в других главах. Например, ваши персональные настройки хранятся в реестре (подробнее о нем - в главе 3) в ветви с приблизительно таким именем:

HKEY_USERSS-1-5-21-1727987266-1036259444-725315541-500

Цифровая часть имени - это и есть ваш идентификатор безопасности, SID. SID состоит из следующих элементов:

S-r-i-sa-хххххххххх -УУУУУУУУУУ - zzzzzzzzz -uid

где S указывает, что это идентификатор безопасности, г обозначает уровень ревизии, который всегда равен 1, i определяет полномочия идентификатора, asd-xuimxror-УУУУУУУУУУ-zzzzzzzzz — полномочия второго уровня. Наконец, uid — это идентификатор пользователя.

Значение индикатора полномочий, /, сообщает о том. к какому типу принадлежит пользователь с данным SID:

S-1-0 — неизвестная группа или пустая группа;

S-1-1 — «общая» группа, включающая в себя всех пользователей;

S-1-2 — локальный пользователь, работающий в «терминале»;

S-1-3 — создатель объекта (файла, папки и т. д.);

S-1-4 — неуникальный идентификатор пользователя;

S-1-5 — обычная учетная запись пользователя.

Помимо прочего, из-за SID иногда возникают проблемы при клонировании машины (об этом рассказывается в главе 5). Даже если клонирование прошло успешно, после этого может потребоваться сменить SID при помощи Microsoft System Preparation Tool (SysPrep).

Разрешения и безопасность

Устанавливая разрешения для файлов и иагюк, вы ограничиваете доступ к ним некоторых пользователей, все так же позволяя другим считывать или модифицировать файлы. Проблема в том, что если полагаться иа настройки Windows 7 по умолчанию, ваши файлы сможет читать кто угодно, а вот изменить их не сможет никто.

Обратите внимание на то, что разрешения можно настраивать только для файлов и папок, хранящихся в томах NTFS (подробнее об этом — в главе 4). В других файловых системах, реализованных иа USB-дисках, картах памяти, компакт-дисках и дисках DVD, а также на старых внешних жестких дисках, встроенные возможности обеспечения безопасности отсутствуют.

Установка разрешений для файлов и папок

В это сложно поверить, но при разработке разрешений по умолчанию в Windows 7 программисты Microsoft действительно подумали о том, как сделать это правилыю. В Windows ХР и предыдущих версиях у любой учетной записи по умолчанию был доступ ко всем файлам на жестком диске. Защита конфиденциальных данных отдавалась в руки самих пользователей. В Windows 7 разрешения по умолчанию выставлены таким образом, что ваши личные данные не видны другим пользователям, а файлы операционной системы Windows защищены вообще ото всех.

л «?,

< Разумеется, за все приходится платить. Некоторые настройки Windows 7 по

Л*, умолчанию настолько строги, что определенные программы, код которых не f & предназначен специально для Windows 7 или Vista, попросту ломаются (иод* робнее об этом — в разделе «Управление UAO).

Для того чтобы предоставить или ограничить кому-то доступ к вашим файлам, нужно настроить разрешения для этого пользователя. Дело несколько запутывается, когда вы понимаете, что для любого объекта (файла, папки, принтера и т. д.) существует два разных окна настройки разрешений.

О Разрешения для объекта

Щелкните иа любом файле, папке, диске, ключе реестра или принтере правой кнопкой мыши, выберите Свойства (Properties) и перейдите на вкладку Безопасность (Security), чтобы просмотреть или настроить разрешения для выбранного объекта или нескольких объектов. От этих параметров зависит доступ пользователей (включая вас) к данному объекту.

О Разрешения общего доступа

Щелкните на любом файле, папке, диске или принтере, выберите Свойства (Properties), перейдите на вкладку Доступ (Sharing), щелкните Расширенная настройка (Advanced Sharing) и для просмотра или настройки разрешений для выбранного объекта (или нескольких объектов) нажмите Разрешения (Permissions).

Эти параметры позволяют или запрещают другим пользователям в сети считывать и записывать общие файлы и печатать на общем принтере.

Главное, чтобы разрешения обоих типов были согласованы, иначе пользователь не сможет обратиться к ресурсу. К счастью, все окна настройки разрешений выглядят и работают одинаково; различаются только диапазоны возможностей. На рис. 7.4 показано стандартное окно настройки разрешений.

Чаще всего в списке присутствует только одна запись, Все (Everyone), В примере на рис. 7.4 в списке пять пунктов. Пользователи, не входящие ни в одну из указанных групп, не могут просматривать и модифицировать объект.

Рис 7.4. Параметры стандартного окна Разрешения (Permissions) позволяют открыть или заблокировать доступ к объекту другим пользователям на компьютере или в рабочей группе

Разрешения защищают файлы только от других учетных записей. Если вы войдете в систему на своем компьютере, а потом покинете рабочее место, то любой другой человек сможет сесть на ваше место и просмотреть все ваши файлы, даже защищенные и зашифрованные. Вот почему всегда — во всяком случае, в общественных местах — в окне настроек экранной заставки рекомендуется включать параметр Начинать с экрана входа в систему (On resume, display logon screen).

Выберите в списке любого пользователя, а затем в нижнем поле флажками укажите желаемые разрешения. В этом примере членам группы Все (Everyone) разрешается считывать указанный файл, но не записывать в него новые данные. В окне одновременно отображаются разрешения только для одного пользователя или группы. Чтобы увидеть настройки сразу для нескольких, как показано на рис. 7.5, нажмите Дополнительно (Advanced).

В некоторых случаях при попытке удалить или модифицировать разрешения в стандартном окне Разрешения (Permissions) (см. рис. 7.4) выводится сообщение о том, что данный объект наследует разрешения. Причину этого объясняет параметр Наследовать от родительского объекта (Inherit from parent) диалогового окна Дополнительные параметры безопасности (Advanced Security Settings), показанного на рис. 7.5.

Владельцы файлов и наследование разрешений

Поначалу принцип наследования разрешений часто сбивает с толку, но если как следует разобраться в тонкостях, эта возможность позже сэкономит массу времени. Вкратце, если вы установили определенные разрешения для папки, то эти разрешения распространяются на все ее файлы и подпапки (хотя обычно во время настройки Windows спрашивает, нужно ли включить наследование). Когда разрешения для родительской папки распространяются также и на дочернюю папку или файл, то говорят, что дочерний объект «наследует» разрешения от родительского. Изменить унаследованные разрешения дочернего объекта невозможно, по крайней мере, пока включено наследование от предка.

I Вкладка Аудит (Auditing) диалогового окна Дополнительные параметры безопасности т •, I (Advanced Security Settings) помогает отслеживать доступ к интересующему вас объ-^ д*. екту. Для того чтобы начать собирать данные доступа, сначала нужно настроить политику аудита в окне Редактор локальной групповой политики (Group Policy) (gpedit. msc). Выберите пункт Конфигурация компьютераКонфигурация WindowsVlapaMeTpu безопасностиЛокальные политикиПолитика аудита (Computer ConfigurationWindows SettingsSecurity SettingsLocaI PoliciesAudit Policy) и дважды щелкните на любой

записи в правой панели (например, Аудит событий входа в систему (Audit logon events) или Аудит использования привилегий (Audit privilege use)). Так вы включите отслеживание этих событий. Позже можно будет открыть инструмент просмотра событий (eventvwr.msc) и проверить соответствующие журналы. Обратите внимание на то, что параметры на вкладке Аудит (Auditing) также подчиняются правилу наследования, о котором говорилось выше.

Вкладка Действующие разрешения (Effective Permissions) — это инструмент устранения неполадок, с помощью которого можно проверить, как разрешения выбранного объекта влияют на конкретного пользователя. Это особенно полезно при работе с группами пользователей.

Смена владельца

Наконец, на вкладке Владелец (Owner) вы настраиваете владение одним или несколькими объектами. Принцип владения объектами в Windows зачастую вызывает непонимание и сложности при настройке разрешений, однако в Windows 7 это один из способов блокировки важных файлов операционной системы и ключей реестра. По умолчанию владелец всех объектов системного уровня — это пользователь СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Creator Owner) (подробнее об этой учетной записи — во врезке «Кто такой создатель-владелец?»). Для того чтобы изменить подобный файл или папку, сначала необходимо назначить себя его владельцем. Для этого выберите свое имя пользователя в списке групп и пользователей, установите флажок Заменить владельца подконтейнеров и объектов (Replace owner on subcontaintes and objects) и нажмите OK во всех открытых окнах настройки разрешений. Только после этого вы сможете установить необходимые разрешения, заново открыв главное окно настройки разрешений. В этой книге я приводил несколько примеров подобной процедуры, в частности, в главах 3 и 6.

КТО ТАКОЙ СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ?

Время от времени вам будут встречаться упоминания о пользователе СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Creator Owner). Это имя пользователя можно увидеть в окне настройки разрешений, но найти соответствующую учетную запись с помощью любого из инструментов, описанных в начале главы, невозможно.

Почему? Потому что СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Creator Owner) - это не учетная запись.

Это некий общий псевдоним, предназначенный д ля защиты объекта. Он гарантирует, что изменить объект сможет только его владелец.

Предположим, пользователь создает на компьютере электронную таблицу Excel и сохраняет ее в общей папке. Потом кто-то другой заходит на тот же компьютер под другим именем пользователя и открывает этот документ. В некоторых случаях, в зависимости от разрешений файла, второй пользователь не сможет изменить файл и сохранить изменения, пока не назначит себя его владельцем.

Эта схема полна сложностей и трудна в понимании, но, к счастью, необходимости углубляться в детали нет. Когда второй пользователь переходит на вкладку Владелец (Owner) диалогового окна Дополнительные параметры безопасности (Advanced Security

Settings), в поле Текущий владелец (Current owner) может отображаться не настоящее имя пользователя, создавшего файл, а псевдоним СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Creator Owner). Это ничего не меняет; новый пользователь просто выбирает в списке свое имя и щелкает на кнопке ОК.

Вероятно, чаще всего с соз дател ем - владел ьцем вы будете встречаться при изменении ключей реестра. Windows не позволит модифицировать значение ключа до тех пор, пока вы не сделаете себя его владельцем и не закроете все окна настройки разрешений. Только после этого можно снова открыть те же окна и внести необходимые изменения. Пример подобной ситуации см. в раздаче «Как запретить изменения в разделе реестра».

Разбираясь в хитросплетениях разрешении, вы также можете заметить еще одну интересную учетную запись, Trustedlnstaller. Для того чтобы восстановить права для этой учетной записи, введите в поле Введите имена выбираемых объектов (Enter the object name to select) значение NT SERVICETrustedInstaller.

Параметры вкладки Владелец (Owner) позволяют настроить общий доступ к ресурсам из двух экземпляров Windows, установленных на одном компьютере (см. раздел «Двойная загрузка»). В большинстве случаев Windows не позволяет обращаться к подобным файлам, пока вы не сделаете себя их владельцем.

СМЕНА ВЛАДЕЛЬЦА ИЗ КОМАНДНОЙ СТРОКИ

Когда возникает необходимость назначить себя владельцем объекта, вы проклинаете все на свете, копаясь в множестве неотличимых друг от друга окон. Более того, потом вам приходится все их закрывать и снова открывать и только тогда менять разрешения. Если вам комфортно работать в Командной строке или если необходимо встроить смену владельца в некий сценарий, то вам на помощь придут несколько полезных инструментов Windows 7.

Чтобы сделать себя владельцем файла или папки, воспользуйтесь командой takeown. Откройте окно Командной строки в режиме администратора и введите следующую команду:

takeown /f "С:полный_путьмойфайл.ех‘Ь"

где C:пoлный_пyтьмoйфaйл.ext - это полный путь и имя файла, владельцем которого вы себя назначаете. Если вы меняете владельца папки, то можно добавить параметр /г, чтобы также сменить владельца всех подпапок и файлов. Справку по команде можно получить, выполнив ее с параметром /?.

Чтобы установить разрешения на полный доступ к файлу или папке, воспользуйтесь командой cacls, например, так:

cacls "С:полный_путьмойфайл.ех1" /G ваше_имя_пользователя:F

где ваше_имя_польэователя — это, очевидно, ваше имя пользователя.

Те, кто знаком с операционной системой Unix, могут бесплатно загрузить утилиту командной строки chown (она написана для NT, но работает и в Windows 7) с сайта http://wwwthep.physfk.uni-nrainz.de/~frink/nt.html.

Очевидно, Microsoft изо всех сил пыталась усложнить процесс смены владельца файла. Однако необходимость в этом может возникать несколько раз на дню, особенно в системе с многими пользователями. В такой ситуации на помощь приходят

команды takeown и cacls, которые запускаются из командной строки (подробнее об этом — во врезке «Смена владельца из командной строки» на с. 448).

Если вам нужен быстрый доступ к этим инструментам из Проводника Windows, то рекомендую загрузить бесплатную надстройку контекстного меню Take Ownership с сайта http://annoyances.org/downloads/takeownership.zip. Откройте zip-архив, дважды щелкните на файле install.reg и щелкните Да (Yes), чтобы импортировать исправления реестра. После этого, если щелкнуть на любом файле или папке, в контекстном меню вы увидите команду Take Ownership. Щелкните на этом пункте, чтобы быстро назначить себя владельцем выбранного объекта.

Добавление новых пользователей в окне настройки разрешений

Зачастую вверху списка Группы или пользователи (Group or user names) в окне настройки разрешений присутствует только один пункт, Все (Everyone). (Здесь «все» имеет буквальный смысл, то есть все пользователи и все группы.) Однако вы, скорее всего, удалите пункт Все (Everyone) и добавите в список только тех пользователей (например, себя), кому следует предоставить доступ к выбранным объектам. Начните с удаления ненужных пользователей. Выделите пункт списка и нажмите Удалить (Remove). Затем нажмите Добавить (Add), чтобы открыть окно Выбор: «Пользователи» или «Группы» (Select Users or Groups), показанное на рис. 7.6.

Выбор; 'Псиизомтсли' Ю1И Труппы’

Выберите тнл объекта

1 “ГРутъГ субмт-ты бкегиен: J |

В сдедгрощем месте.

j Eawuiawii., |

! I Проверить IWW I

Seth, Munehitj

OK _ | { Отвив ~

Рис 7.6. Новые пользователи и группы добавляются в список допущенных к объекту в этом не слишком удобном диалоговом окне

Если вы еще не знакомы с этим инструментом, то наверняка ожидаете увидеть список всех пользователей на данном компьютере. К сожалению, Microsoft в своей бесконечной мудрости решила, что вам намного проще будет ввести нужные имена пользователей вручную, а не выбирать из их списка. Чтобы добавить пользователя, введите одно или несколько имен в поле Введите имена выбираемых объектов (Enter the object names to select). В качестве разделителя используйте точку с запятой.

Обратите внимание на то, что в примере на рис. 7.6 третья запись, SCHOOLBUS Wendell, отличается от предыдущих двух. Seth и Munchie — это пользователи ^ локального компьютера (или корпоративного домена, которому принадлежит

данный компьютер). Формат третьей записи указывает на то, что вы добавили учетную запись пользователя с другого компьютера, в данном случае пользователя Wendell с машины SCHOOLBUS. Обычно так делают, если пользователю Wendell нужен удаленный доступ к вашим файлам (об этом мы поговорим далее в этой главе), но на локальном компьютере вы не хотите создавать для него отдельную учетную запись.

Так почему же в окне, которое называется «Выбор», нельзя выбирать пользователей и группы? Почему здесь нет списка всех пользователей и групп на компьютере? К чему этот утомительный ввод вручную? Причина заключается в том, что первоначально это окно разрабатывалось для огромной корпоративной сети, включающей в себя тысячи пользователей. Поскольку более чем за десятилетие Microsoft так и не удосужилась привести его в более удобоваримый вид, за списком пользователей вам придется отправляться куда-то еще. Чтобы просмотреть пользователей локального компьютера, откройте на Панели управления окно Учетные записи пользователей (User Accounts) или воспользуйтесь одним из инструментов, о которых говорилось в начале главы. Если ваш компьютер входит в корпоративный домен, то нажмите Дополнительно (Advanced), чтобы выполнить поиск пользователей в сети.

После того как вы щелкнете на кнопке OK, Windows проверит введенные имена пользователей и групп и, если все в порядке, добавит их в окно настройки разрешений. Если же вы допустите ошибку в написании, то не сможете закрыть окно. Чтобы проверить имена перед закрытием, просто нажмите Проверить имена (Check Names).

Добавив нового пользователя в окно настройки разрешений (см. рис. 7.4), выделите это имя пользователя в списке и установите нужные флажки в столбцах Разрешить (Allow) и Запретить (Deny).

л %,

I Запрещающие флажки важнее разрешающих. Предположим, пользователь с име* 4Г%, I нем Surly входит в группу Duff. Если запретить группе Duff доступ иа чтение определенных файлов, но разрешить читать их пользователю Surly, то этот пользователь все равно не сможет читать файлы.

В зависимости от типа выбранного объекта, в нижнем поле могут быть перечислены различные варианты разрешений: Полный доступ (Full Control), Чтение (Read), Запись (Write) и Изменение (Modify). Попробовав разные сочетания флажков, вы заметите, что некоторые из них лишние. Например, Изменение (Modify) объединяет в себе разрешения Чтение и выполнение (Read & Execute), Чтение (Read) и Запись (Write).

Для того чтобы получить больший контроль над разрешениями, нажмите Дополнительно (Advanced). Откроется окно Дополнительные параметры безопасности (см. рис. 7.5). Выберите нужного пользователя и нажмите Изменить разрешения (Edit). В окне Элемент разрешения (Permission Entry), показанном на рис. 7.7, можно детально настроить разрешения, дав пользователю только те права, которые ему действительно необходимы. В большинстве случаев, однако, хватает настройки обычных разрешений.

Установив желаемые параметры, нажмите ОК. Если вы настраивали разрешения для папки, возможно, появится диалоговое окно с вопросом, нужно ли применить сделанные изменения к подпапкам и файлам.

Влияние разрешений на программы

Обычно разрешения устанавливаются для защиты файлов и папок от несанкционированного доступа. Однако иногда их необходимо настраивать, чтобы определенные программы могли работать.

Например, в Windows 7 эта схема реализована в системе контроля учетных записей, о которой пойдет речь в разделе «Управление UAC». Именно поэтому программы, написанные без учета особенностей Windows 7 или Vista, не знают, что в папку Program Files нельзя записывать файлы.

Разрешения можно задавать в том числе и для защиты определенных ключей реестра. Об этом рассказывается в разделе «Заблокируйте свои типы файлов».

Шифрование файлов

Когда речь идет об особо ценных данных, шифрование добавляет еще один уровень защиты, гарантируя, что файл сможет прочитать только его создатель. Если любой другой пользователь — даже имеющий привилегии администратора — попробует открыть такой файл, он увидит или бессмысленный набор символов, или вообще ничего. Другими словами, ваши зашифрованные данные прочитать невозможно, если только вы не работаете в системе под своей учетной записью.

ШИФРОВАНИЕ ЦЕЛОГО ДИСКА С ПОМОЩЬЮ BITLOCKER

Шифрование файлов и папок в Windows 7 — это удобный способ защиты конфиденциальных данных, но если хранить на одном диске зашифрованные и незашифрованные данные, это может привести к непредсказуемым результатам, как написано в разделе «Шифрование файлов». Однако владельцы версий Windows 7 Ultimate и Enterprise могут решить эту проблему, воспользовавшись преимуществами инструмента шифрования диска BitLocker.

BitLocker помещает все данные на диске в один огромный архив и обращается к нему как к виртуальному жесткому диску. В Проводнике Windows вы обращаетесь к зашифрованным с помощью BitLocker файлам как к любым другим данным — Windows выполняет шифрование и дешифрование незаметно для вас в фоновом режиме. Большое преимущество BitLocker в том, что он шифрует файлы Windows и все системные файлы, и это значительно затрудняет взлом вашего пароля и несанкционированный доступ в систему. Кроме того, когда шифруется весь диск, шифровать файлы по отдельности не требуется.

Чтобы зашифровать диск, откройте страницу Шифрование диска BitLocker (BitLocker Drive Encryption) на Панели управления. Если отображается ошибка ТРМ не найден (TPM was not found), проверьте, есть ли для вашего компьютера обновление BIOS с поддержкой ТРМ.

TPM, Trusted Platform Module (модуль доверенной платформы), — это микросхема на материнской плате, в которой хранится ключ шифрования BitLocker. Благодаря ей компьютер может загружаться с зашифрованного диска. Если BIOS не поддерживает ТРМ, то в качестве такой микросхемы можно использовать обычный USB-диск. Откройте Редактор локальной групповой политики (Group Policy Object Editor) (для этого нужно щелкнуть на кнопке Пуск и выполнить команду gpedit.msc), а затем разверните ветвь Конфигурация компьютераАдминистративные шаблоныКомпоненты Windowsll^poBaHMe диска BitLocker (Computer ConfigurationAdministrative Templates Windows ComponentsBitLocker Drive Encryption). На правой панели дважды щелкните на записи Панель управления: включить дополнительные параметры запуска (Control Panel Setup: Enable advanced startup options), щелкните Включить (Enabled), установите флажок Разрешить использовать BitLocker без совместимого ТРМ (Allow BitLocker without a compatible ТРМ) и нажмите ОК.

BitLocker можно использовать, если на жестком диске есть как минимум два раздела (подробнее об этом — в главе 4): один — для операционной системы и второй, «активный» раздел размером от 1,5 Гбайт — для загрузки компьютера. Если ваш диск сконфигурирован иначе, запустите инструмент подготовки диска BitLocker (BitLocker Drive Preparation Tool, BdeHdCfg.exe) и выполните подготовку, следуя указаниям на экране. Когда диск будет готов, откройте на Панели управления страницу Шифрование диска BitLocker (BitLocker Drive Encryption) и щелкните на ссылке Включить BitLocker (Turn on BitLocker).

Подсказка: если у вас установлена другая редакция Window 7, отличная от Windows 7 Ultimate, то схожую функциональность предлагают утилиты FreeOTFE (http://www.freeotfe.org) и TrueCrypt (http://www.truecrypt.org). Обе они бесплатны и совместимы со всеми редакциями Windows 7.

Необходимо считать данные с зашифрованного BitLocker диска в Windows Vista или ХР? Используйте инструмент Microsoft BitLocker То Go Reader, который можно бесплатно загрузить с сайта http://windows.microsoft.com/en-US/windows7/what-is-the-bitlocker-to-go-reader.

Вы только помечаете файл как предназначенный для шифрования. Windows шифрует и дешифрует файлы в фоновом режиме, когда создатель файла записывает его или просматривает соответственно. Правда, в Windows 7 шифрование на лету может иногда преподносить сюрпризы, а безопасность — это не та область, в которой можно полагаться на авось.

Шифрование — это функция файловой системы NTFS (о которой говорилось в разделе «Выберите правильную файловую систему»), недоступная в любых других файловых системах. Это означает, что если скопировать зашифрованный файл, скажем, на карту памяти, USB-диск или компакт-диск, расшифровать его будет невозможно, так как иа этих устройствах файловая система NTFS не поддерживается.

Как зашифровать файл:

1. Правой кнопкой мыши щелкните на одном или нескольких файлах в Проводнике и в контекстном меню выберите пункт Свойства (Properties).

2. На вкладке Общие (General) нажмите Дополнительно (Advanced).

3. Установите флажок Шифровать содержимое для защиты данных (Encrypt contents to secure data), нажмите OK, потом закройте окно, снова щелкнув на кнопке ОК.

Независимо от того, зашифрован файл или нет, вы работаете с ним как обычно. Вам никогда ие придется вручную дешифровать файл, чтобы просмотреть его содержимое. Подробнее о том, как быстро зашифровать или дешифровать файл, рассказывается в подразделе «Добавление команд Шифровать (Encrypt) и Дешифровать (Decrypt) в контекстные меню» на с. 458.

Если вы решили, что будете шифровать файлы, то стоит помнить о следующем:

О Шифрование содержимого папок

При шифровании папки, внутри которой есть файлы или другие папки, Windows просит вас указать, нужно ли шифровать это содержимое. В большинстве случаев вы просто соглашаетесь. Если же вы в этом окне щелкнете на кнопке Нет (No), то текущее содержимое папки останется незашифрованным, однако новые файлы будут шифроваться. Подробнее об этом рассказывается в подразделе «Секреты шифрования папок» на с. 457.

О Зашифровано навсегда?

Невозможно гарантировать, что зашифрованный файл останется таковым навсегда. Например, некоторые приложения при редактировании и сохранении данных удаляют оригинальные файлы, а потом создают новые на том же месте. Если приложение не знает, что файл нужно шифровать, защита исчезает. Чтобы этого не происходило, необходимо шифровать родительскую папку, а не только сам файл.

О Защищено от других пользователей?

Если изменить владельца зашифрованного файла (как рассказывается в разделе «Установка разрешений для файлов и папок»), то только предыдущий владелец

н создатель файла сможет расшифровать и просмотреть его, несмотря на то что файл ему уже не принадлежит. Это означает, что в некоторых случаях ни один пользователь не способен прочитать файл.

О Шифрование системных файлов

Поскольку доступ к определенным папкам, таким как Windows и WindowsSystem, нужен всем пользователям, шифрование файлов, системных папок и корневых каталогов любых дисков запрещено. Следовательно, единственный способ зашифровать подобные объекты — использовать шифрование всего диска, как рассказывается во врезке «Шифрование целого диска с помощью BitLocker» на с. 452.

О Шифрование и сжатие

Сжатие — еще одна возможность файловых систем NTFS — позволяет уменьшать количество места, которое занимают на диске файлы и папки. Принципы сжатия очень напоминают принципы шифрования. Однако для объекта нельзя одновременно использовать и шифрование, и сжатие; включите в окне Свойства (Properties) один параметр, и второй автоматически отключится.

Подсветка зашифрованных файлов в Проводнике Windows

По умолчанию в Проводнике Windows зашифрованные и незашифрованные файлы отображаются разными цветами. Это удобно, так как позволяет отслеживать количество зашифрованных данных. Чтобы использовать эту возможность, откройте на Панели управления окно Параметры папок (Folder Options), перейдите иа вкладку Вид (View) и установите флажок Отображать сжатые или зашифрованные файлы NTFS другим цветом (Show encrypted or compressed NTFS files in color). Если же вы хотите, чтобы все имена файлов отображались черным цветом, то сбросьте флажок. Закончив, нажмите ОК.

По умолчанию названия зашифрованных файлов отображаются зеленым цветом, а названия сжатых файлов — синим (за исключением значков на Рабочем столе). Обратите внимание на то, что файлы невозможно одновременно сжимать и шифровать (об этом говорилось в предыдущем разделе), поэтому вы никогда не увидите имена файлов, написанные бирюзовым, аквамариновым цветом или цветом морской волны.

Вообще-то это не совсем так. В Windows можно настраивать цвета, которые используются для имен зашифрованных и сжатых файлов. Это делается в реестре (подробнее о реестре — в главе 3).

Откройте Редактор реестра и раскройте ветвь HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionExplorer. Создайте новое двоичное значение (Правка (Edit) ? Создать (New) ? Двоичный параметр (Binary Value)). Укажите имя нового параметра — AltEncryptionColor. Дважды щелкните на новом параметре AltEncryptionColor и введите желаемый код цвета, следуя такому шаблону:

RR GG ВВ 00

Шестнадцатеричное RGB-значение кодируется здесь так же, как на HTML-страницах (за исключением двух нулей в конце). Это означает, что шестнадцатеричный код цвета можно сформировать почти в любом графическом редакторе. Превосходный бесплатный инструмент подбора цвета можно найти на сайте http:// colormixers.com/mixers/cmr Если у вас есть Adobe Photoshop, то подходящий цвет на каком-нибудь изображении можно выбрать инструментом Пипетка (Eyedropper). Соответствующий код появится в поле # на палитре цветов.

Например, приятный аквамариновый цвет шифруется таким кодом:

00 В4 С5 00

Здесь первые два нуля указывают на то, что красный компонент в цвете отсутствует, В4 — это шестнадцатеричный код 180-го (из 255) уровня зеленого (примерно 70%), С5 — шестнадцатеричный код 197-го уровня синего (примерно 77%) и еще два нуля для красоты. Если вам нравится обычный зеленый цвет, то укажите такой код:

00 80 40 00

Кстати, пробелы вводить не нужно; они в Редакторе реестра вставляются по умолчанию.

Схожим образом можно настроить цвет для отображения имен сжатых файлов. Для этого в том же ключе нужно создать новый двоичный параметр с именем AltColor и установить в качестве его значения желаемый RGB-код.

Закончив, закройте Редактор реестра. Изменения вступят в силу после очередного входа в систему.

Доступ других пользователей к вашим зашифрованным файлам

По умолчанию только вы имеете право читать свои зашифрованные файлы. Но что делать, когда необходимо предоставить доступ кому-то еще, не раскрывая другому пользователю свой пароль и не отключая шифрование данных?

Правой кнопкой мыши щелкните на зашифрованном файле или папке. Выберите пункт Свойства (Properties) и иа вкладке Общие (General) нажмите Другие (Advanced). Нажмите Подробно (Details). Откроется окно Пользовательский доступ (User Access), показанное на рис. 7.8.

Если в окне Дополнительные атрибуты (Advanced Attributes) кнопка Подробно (Details) я% не подсвечена (недоступна), это означает, что для выбранного файла или папки { g% шифрование еще не включено. Если вы только что установили флажок Шифровать содержимое для защиты данных (Encrypt contents to secure data), дважды нажмите OK, чтобы закрыть окна Дополнительные атрибуты (Advanced Attributes) и Свойства (Properties). Затем снова откройте окно Дополнительные атрибуты (Advanced Attributes) и повторите попытку.

Если кнопка Подробно (Details) все так же недоступна и вы щелкали правой кнопкой мыши на папке, то попробуйте открыть эту папку и изменить свойства одного из файлов внутри нее.

Для того чтобы открыть доступ к вашим файлам другому пользователю, нажмите Add (Добавить); откроется окно Шифрование файловой системы (Encrypting File System). Здесь могут быть перечислены не все учетные записи пользователей на компьютере, а только те, для которых заданы сертификаты безопасности. Если нужной учетной записи в списке нет, зайдите в систему под этим именем пользователя и включите шифрование по меньшей мере одного файла или папки.

Если у пользователя нет учетной записи на данном компьютере, то можно либо создать для него учетную запись, либо вручную установить его сертификат шифрования. Для этого попроеите у пользователя его сертификат. Он на своем компьютере откроет Панель управления, затем окно Учетные записи пользователей (User Accounts), щелкнет на ссылке Управление сертификатами шифрования файлов (Manage your file encryption certificates) и выполнит инструкции на экране (подробнее об этом рассказывается в подразделе «Резервное копирование сертификатов шифрования» на с. 459).

Чтобы импортировать сертификат другого пользователя, запустите инструмент Сертификаты (Certificates) (certmgr.msc), разверните ветвь Личное (Personal) и выберите папку Сертификаты (Certificates). В меню Действие (Action) выберите пункт Все задачи (All Tasks), затем Импорт (Import) и следуйте указаниям мастера,

— Чтобы передать свои полномочия на другой компьютер с помощью смарт-карты,

0 у вместо Диспетчера сертификатов (Certificate Manager) используйте Диспетчер учетных Ф 4 т% данных (Credential Manager), о котором речь идет в разделе «Отображение окна -***' ввода учетных данных для доступа к удаленным папкам».

Обратите внимание на то, что дата окончания срока действия указывает, когда сертификат пользователя перестанет действовать. Она никак не связана с вашими разрешениями. Торопиться в любом случае некуда; по крайней мере сто лет у вас есть.

Просмотр зашифрованных файлов других пользователей

Как же открыть чужой зашифрованный файл без разрешения владельца? (Это важный вопрос, который обязательно должен задать себе любой человек, заботящийся о безопасности данных.) Если обратиться к чужому зашифрованному файлу, то на экране отобразится сообщение об ошибке «Доступ запрещен», показанное на рис. 7.9.

ctrfc 1 S Г

I. У еэс нет разрешений нэ доступ к этой папке.

Чтобы получить вдегоздыый доступ t атий пап«^ нажьмяе етюгиу "Продолжить",

[ ф Продолжи-гь | | Ошеня [

Рис. 7.9. Попробуйте открыть зашифрованный файл другого пользователя, и вы увидите это сообщение

Даже администраторы не имеют права просматривать зашифрованные файлы других пользователей. Однако любой администратор может изменить пароль любого другого пользователя, войти в систему под его именем и посмотреть (или расшифровать) защищенные данные. Это означает, что ваши файлы полностью защищены только в том случае, если вы единственный администратор в системе.

У системы шифрования есть один мало известный побочный эффект: если владелец зашифрованных файлов удаляет свои ключи шифрования, то ни он, ни администратор не могут прочитать зашифрованные файлы. Для этого нужно заново устанавливать ключи. Подробнее — в подразделе «Резервное копирование сертификатов шифрования» на с. 459.

Секреты шифрования папок

Для шифрования папки и всего ее содержимого предназначена процедура, описанная выше. Однако если в папке часть файлов или подпапок шифруется, а другая часть нет, то дело несколько запутывается. В этом случае трудно предугадать, как поведет себя содержимое папки в той или иной ситуации.

Итак, если файл из зашифрованной папки переместить в незашифрованную папку, то файл станет незашифрованным. Это неверно в ситуации, когда шифрование включено для самого файла, а не только для содержащей его папки; в таком случае файл остается зашифрованным независимо от того, куда вы его копируете. Если попытаться зашифровать файл, расположенный в незашифрованной папке, то откроется предупреждение и предложение также зашифровать папку (окно предупреждения показано на рис. 7.10).

Будьте особенно осторожны с этим предупреждением, так как действие по умолчанию — шифровать в дополнение к выбранному файлу родительскую пайку. Обычно предупреждения предлагают действия только для дочерних объектов, поэтому такой вариант может быть непривычен. Чтобы больше не выводить предупреждение, установите флажок Всегда шифровать только файл (Always encrypt only the file).

Если вы случайно зашифруете Рабочий стол (зашифровав элемент на Рабочем столе, а затем согласившись с настройками по умолчанию в этом предупреждении), то для того, чтобы дешифровать его, нужно открыть Проводник и отключить шифрование папки Рабочего стола (обычно это Users{eame имя пользователя}Рабочий стол).

Если незашифрованный файл поместить в зашифрованную папку, то файл также будет зашифрован. Но возможна хитрая ситуация: что, если один пользователь зашифровал папку, а другой скопировал туда файл? Тогда файл будет шифроваться для создателя файла} то есть владелец папки — пользователь, включивший шифрование, — не сможет прочитать файл.

Вместе с тем если один пользователь скопирует файл в папку, а другой включит потом для этой папки шифрование, то читать файл сможет только пользователь, включивший шифрование. Первый пользователь, хоть он и останется владельцем файла, не сможет его открыть. Вот почему выбор удачного момента в системах шифрования так же важен, как в хорошей комедии.

Добавление команд Шифровать (Encrypt) и Дешифровать (Decrypt) в контекстные меню

Если вам часто приходится шифровать и дешифровать файлы, то вы знаете, как быстро надоедает постоянно залезать в окно свойств файла. Лучше добавить команды Шифровать (Encrypt) и Дешифровать (Decrypt) прямо в контекстное меню для каждого файла и папки. Для этого сделайте следующее:

1. Откройте Редактор реестра (см. главу 3).

2. Разверните ветвь HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerAdvanced.

3. Создайте новый параметр типа DWORD, выполнив команду Правка (Edit) ? Создать (New) ? Параметр DWORD (32 бита) (DWORD (32-bit)), и введите в качестве имени нового параметра EncryptionContextMenu.

4. Дважды щелкните на новом параметре EncryptionContextMenu, введите 1 в иоле Значение (Value data) и нажмите ОК.

5. Закончив, закройте Редактор реестра. Изменения вступят в силу немедленно. Чтобы опробовать новый фокус, щелкните правой кнопкой мыши на любом незашифрованном файле в Проводнике Windows или на Рабочем столе и в контекстном меню выберите Шифровать (Encrypt). Также можно щелкнуть правой кнопкой мыши на зашифрованном файле и выбрать команду Дешифровать (Decrypt).

Если хотя бы один из выбранных элементов — это папка, то можно будет выбрать, шифровать только саму папку или все ее содержимое тоже. При шифровании отдельного файла можно при желании включить также шифрование родительской папки.

Резервное копирование сертификатов шифрования

Сертификат шифрования — это почти то же самое, что цифровая комбинация, открывающая сейф. Забудете комбинацию — и открыть сейф будет невозможно. Схожим образом, если вы потеряете сертификат, то не сможете открыть зашифрованные файлы.

В системе шифрования Windows 7 используется криптография с симметрич-ным ключом, то есть для шифрования и дешифрования данных применяется J ? один и тот же ключ. Для каждого пользователя Windows создает уникальный *' ключ, поэтому ни один пользователь не может расшифровать данные другого. Классический пример криптографического ключа — это способ, при помоши которого Юлий Цезарь шифровал сообщения для своих союзников. Каждая буква в сообщении сдвигалась на три позиции: А превращалась в D, В превращалась в Е, С — в F и так далее. Расшифровать сообщение мог только тот, кто знал о правиле смещения. Криптографические ключи работают по тому же принципу, только они немного сложнее.

Когда вы впервые включаете шифрование на своем компьютере, Windows 7 создает для вас новый сертификат шифрования (при условии, что у вас его еще нет) и предлагает создать резервную копию сертификата. Это делается в диалоговом окне, показанном на рис. 7.11.

Вне зависимости от того, согласитесь ли вы на это предложение, всегда можно прибегнуть к одному из трех инструментов управления сертификатами шифрования, предусмотренных в системе:

О Панель управления

Откройте на Панели управления страницу Учетные записи пользователей (User Accounts), щелкните на ссылке Управление сертификатами шифрования файлов (Manage your file encryption certificates) слева, а затем в открывшемся окне нажмите Далее (Next). Выберите пункт Создать резервную копию сертификата и ключа (Back up the certificate and key now), нажмите Обзор (Browse), чтобы выбрать имя файла,

и дважды введите пароль. После того как вы щелкнете иа кнопке Далее (Next), этот инструмент создаст файл резервной копии с расширением .pfx.

На следующей странице вам будет предложено обновить ранее зашифрованные файлы. Это необходимо для того, чтобы вы могли восстанавливать зашифрованные данные с помощью сертификата, копию которого создаете в настоящий момент. Файлы, зашифрованные с использованием старого сертификата, могут стать недоступными, если вы потеряете этот сертификат. Закончив, закройте окно мастера.

О Диспетчер сертификатов

Чтобы запустить Диспетчер сертификатов (Certificate Manager), откройте меню Пуск, введите в строке поиска certmgr.msc и нажмите Enter. В открывшемся окне разверните ветвь Личное (Personal) и выберите папку Сертификаты (Certificates). Вы увидите список сертификатов, установленных на компьютере. В файловой системе NTFS используется сертификат, для которого в столбце Назначения (Intended Purposes) указано Шифрование файловой системы (Encrypting File System). Для просмотра любого сертификата нужно дважды щелкнуть на соответствующей строке.

Если необходимо сделать резервную копию сертификата, выделите его и в меню Действие (Action) выберите команду Все задачи (All Tasks) ? Экспорт (Export). Сохраните файл на USB-диске или компакт-диске, чтобы он не пострадал даже в случае сбоя жесткого диска и переустановки Windows. (То же самое происходит, когда вы выбираете команду Создать резервную копию (рекомендуется) (Back up now (recommended)) в окне на рис. 7.11.)

При необходимости сертификат шифрования можно установить из резервной копии на любой компьютер. Для этого импортируйте нужный сертификат, как описано в подразделе «Доступ других пользователей к вашим зашифрованным файлам» на с. 455.

О Утилита шифрования NTFS

Утилита шифрования NTFS (NTFS Encryption Utility, cipher.exe) позволяет шифровать и дешифровать файлы и управлять сертификатами из командной строки, но она входит не во все редакции Windows. Эта утилита умеет делать некоторые вещи, которые в Диспетчере сертификатов (Certificate Manager) недоступны.

Откройте Командную строку (cmd.exe) в режиме администратора и выполните команду cipher без аргументов. Это позволяет просмотреть статус шифрования для всех файлов в текущей папке. (Для перехода в другие папки используется команда cd.) Зашифрованные файлы помечены символом Е; все остальные файлы помечены символом U.

Чтобы зашифровать файл, выполните команду cipher /е имя_файла, где имя_фай-ла — это имя нужного файла или папки (если объект находится не в текущей папке, то укажите полный путь к нему). Аналогично, для того чтобы отключить шифрование объекта, используйте команду cipher /d имя_файла.

Для создания резервной копии сертификата используется команда cipher /г: имя_файла, где имя_файла — это только имя файла резервной копии, без расширения. Команда запросит у вас пароль, а затем создаст два файла с указанным именем. Например, если ввести cipher /г: julius.TO на выходе получатся файлы: julius.pfx, содержащий сертификат и ключ агента восстановления системы шифрования файлов (Encrypting File System, EFS), и julius.cer, в котором хранится только сертификат агента восстановления EFS (без ключа). Чтобы импортировать сертификат или ключ, дважды щелкните на любом из этих файлов в Проводнике Windows или воспользуйтесь инструментами Диспетчера сертификатов (Certificate Manager).

Беспокоитесь, что ваш ключ мог попасть в руки злоумышленника? В любой момент с помощью команды cipher /к (без параметров) можно создать новый 4 ключ. Затем выполните команду cipher /и, чтобы обновить зашифрованные файлы с использованием нового ключа.

Защита свободного места на диске

Обычно при удалении файла удаляется только запись о нем в таблице файловой системы. Сами данные файла остаются на диске до тех пор, пока на их место не будет записано содержимое другого файла.

Утилита cipher, о которой мы говорили в предыдущем разделе, позволяет вычистить папку, то есть полностью стереть все содержимое недавно удаленных файлов и записать на их место случайный набор битов. Благодаря этому становится невозможным восстановление удаленных данных специальными утилитами, точно так же как невозможно восстановить бумажные документы, пропущенные через измельчитель бумаги.

Чтобы вычистить папку, откройте командную строку и выполните команду cipher /и:имя_папки, где имя_папки — это полный путь к любой папке на жестком диске. Хотя cipher требует указывать путь к папке, на самом деле эта утилита вычищает все свободное пространство иа диске. Это означает, что команды cipher /w:c: Romulus и cipher /w: с: Remus дадут совершенно одинаковый результат.

Создайте расписание, согласно которому cipher будет периодически вычищать

удаленные файлы в папках с конфиденциальными данными (например, при

у1 j ? каждом запуске Windows).

Обратите внимание на то, что параметр /w команды cipher не затрагивает ни существующие данные, ни файлы, хранящиеся в Корзине. Помимо этого, он совершенно одинаково работает на незашифрованных и зашифрованных папках.

Управление UAC

Многие годы компьютеры под у правлением Windows подвергались угрозе вирусов, шпионских и рекламных программ (подробнее о подобном содержимом рассказывается в главе 5). Управление учетными записями пользователей (User Account Control, UAC) — это ответ Microsoft на давнюю проблему.

UAC работает приблизительно так: в Windows 7, так же как и в ее предшественниках, поддерживаются разные уровни учетных записей пользователей. Некоторые из них обладают правами администратора, необходимыми для установки программ и настройки системы, у других права ограничены. Однако Windows 7 не дает администраторам такой же свободы действий, как в Windows ХР и 2000. Нет, администратор (например, вы) большую часть времени работает в ограниченном стандартном пользовательском режиме. Запрос, показанный на рис. 7.12, отображается, только когда возникает необходимость внести изменения, могущие повлиять на других пользователей данного компьютера (вне зависимости от того, существуют ли они вообще), например, при установке нового аппаратного драйвера или изменении настроек брандмауэра Windows.

Нажмите Да (Yes), чтобы разрешить указанное действие и продолжить спокойно работать (до следующего подобного запроса). Либо нажмите Нет (No), и тогда Windows запретит выполнение этого действия. Как и у любых превентивных защитных мер, у UAC есть свои преимущества и недостатки.

Сначала о хорошем:

О Этот инструмент делает Windows безопаснее

Теоретически, без вашего разрешения с компьютером ничего плохого не происходит. Это означает, что так называемая побочная установка программ со всяких неприятных сайтов — источников шпионских и рекламных программ — оста-

ЬеЫ

<9

Г Да П [~ Но |

Рис. 7.12. Каждый раз, когда вы (или программа) пытаетесь внести изменения в систему, Windows выбрасывает это надоедливое сообщение

лась в прошлом (теоретически). (Разумеется, со злонамеренными программами можно также справиться путем тонкой настройки некоторых параметров, как рассказывается в разделе «Обеспечение защиты Internet Explorer» на с. 408.)

О Windows работает стабильнее

Если вы предпримете несколько дополнительных усилий, то благодаря UAC неопытным пользователям станет сложнее разрушить систему, удалив или заменив файлы, внеся ненужные исправления в реестр или перепутав сетевые параметры.

О Управление Windows упрощается

Можно настроить UAC так, чтобы каждый запрос этой системы требовал также ввода пароля. Тогда администратору не придется создавать отдельную учетную запись для изменения настроек. Обычному пользователю пароль неизвестен, поэтому он не может ничего поменять, но администратор может сесть на его место и устранить неполадку за считанные секунды, даже не входя в систему под своей учетной записью.

Теперь о плохом:

О Некоторые программы ломаются

Часто UAC не дает работать программам, которые не учитывают особенностей Windows 7 или Vista. Например, если программа попытается записать файлы в папку Program Files (или даже в собственную папку приложения), доступ ей будет запрещен. Вот почему во многих приложениях в Windows 7 не сохраняются настройки, а некоторые программы не запускаются или даже не устанавливаются. Если в программе не предусмотрена попытка «подняться» до уровня администратора, чтобы внести изменения, вы никогда не увидите запросы UAC; Windows попросту запрещает любые действия программы. В общем, вы даже не понимаете, почему программа не работает.

О Это раздражает

(Наверное, с этого нужно было начать, но постараемся быть скромнее.) Сколько раз за сегодняшний день вы уже таращились на черный экран в ожидании, когда...

когда же... когда уже появится запрос UAC? А вы замечали, что в некоторых случаях выдается целых два запроса UAC: сначала предупреждение о том, что сейчас будут спрашивать вашего разрешения, а потом сам запрос? Неужели в Microsoft не могли придумать что-нибудь менее обременительное? Например, единственное окно, в котором можно перевести текущий сеанс на уровень администратора, предположим, на следующие 20 минут?

О С этим легко разделаться

UAC можно запросто отключить единственным параметром на Панели управления, но, что еще хуже, эту систему можно победить, вовсе не отключая ее. Любая программа, уже получившая доступ на уровень администратора, например утилита установки, может изменить настройки компьютера, а вы даже не увидите ни одного запроса UAC. А если речь идет об установке программы, регистрирующей драйвер или службу Windows (для управления которыми применяется утилита services.msc), то впоследствии эта служба сможет выполнять запросы административного уровня от любых программ, даже работающих на самом низком пользовательском уровне.

О Запросы все равно никто не читает

Пользователи очень быстро привыкают щелкать на кнопке Продолжить (Continue), не затрудняя себя чтением очередного сообщения Windows. Какой бы совершенной ни была операционная система, способа гарантировать, что пользователь будет тщательно обдумывать каждое свое действие, нет.

При разработке Windows 7 программисты Microsoft попытались удовлетворить запросы обеих сторон, сделав UAC достаточно строгой, чтобы предотвратить определенные беды, но в то же время снисходительной, чтобы не быть такой неприятной, что вам захотелось бы отключить ее. В результате, разумеется, получилась система, которая для одних слишком сурова, а для других чрезмерно мягка. Единственный выход из ситуации — настраивать ее для себя.

Как починить программу, сломанную системой UAC

Итак, одну из ваших программ невозможно установить в Windows 7, либо она не сохраняет настройки, либо попросту не запускается. Причина этого лежит, вероятно, в том, что UAC запрещает приложению (или утилите установки) делать то, что она должна делать. И так как программа о существовании UAC не подозревает, она не запрашивает административные привилегии, следовательно, Windows не знает, что настало время для запроса UAC. И что в итоге? Windows 7 запрещает изменения и ни слова об этом не говорит, а программа не работает.

Для того чтобы справиться с этим, можно «поднять» программу до уровня администратора вручную. Это невозможно сделать во время выполнения программы, но, как показано на рис. 7.13, приложение можно запустить с правами администратора. Щелкните правой кнопкой мыши на ехе-файле программы или на ее значке на Рабочем столе или в меню Пуск и в контекстном меню выберите команду Запуск от имени администратора (Run as administrator).

Откроется запрос UAC; если вы щелкнете Продолжить (Continue), Windows повысит уровень приложения, и оно заработает. Несколько замечаний о запуске программ из Командной строки вы найдете во врезке «Командная строка от имени администратора» на с. 466.

Если в контекстном меню нет команды Запуск от имени администратора (Run as #%, administrator), это означает, что вы щелкнули не на значке исполняемой програм-f g* мы и не на ярлыке Windows. В таком случае откройте Проводник, перейдите к *' папке приложения (обычно она расположена в папке C:Program Fries) и щелкните правой кнопкой мыши на главном ехе-файле.

Этот трюк работает и для утилит установки программ, однако помните: если «повышение вручную» требуется для утилиты установки, скорее всего, оно потребуется и для самой программы. Прежде чем начинать установку, зайдите на сайт создателя программы и проверьте, нет ли там обновления или новой версии, совместимой с Windows 7.

Если программа запускается только от имени администратора, то удобно настроить для нее постоянное использование расширенных прав. Щелкните на значке (или ехе-файле) программы правой кнопкой мыши, выберите в контекстном меню пункт Свойства (Properties) и перейдите на вкладку Совместимость (Compatibility). В поле

Уровень прав (Privilege Level) установите флажок Выполнять эту программу от имени администратора (Run this program as an administrator), после чего нажмите ОК.

Если щелкнуть правой кнопкой мыши на документе, то ны не увидите в открывшемся контекстном меню пункта Запуск от имени администратора (Run as administrator). Однако если перейти на вкладку Совместимость (Compatibility), как рассказано выше, то можно настроить запуск соответствующего приложения в режиме администратора.

т

у,

%

За

КОМАНДНАЯ СТРОКА ОТ ИМЕНИ АДМИНИСТРАТОРА

Когда речь идет об управлении учетными записями пользователей, Командная строка — это особый случай. Это приложение, cmd.exe, хотя и разработано специально для Windows 7, не умеет автоматически повышать свои полномочия до уровня администратора, как делают другие компоненты Windows.

Например, если открыть Командную строку через меню Пуск или выполнив команду cmd. ехе, а потом попытаться запустить netsh, sc или любую другую из множества команд, которые упоминаются в этой книге, то UAC заблокируе т ее. Для того чтобы обойти препятствие, нужно закрыть Командную строку, а потом снова открыть от имени администратора.

Масса лишних движений. Но, к сожалению, если открыть свойства файла cmd.exe и перейти на вкладку Совместимость (Compatibility) то вы увидите такое сообщение:

Режим совместимости не может быть установлен для данной программы, поскольку она является частью данной версии системы Windows (Compatibility modes cannot be set on this program because it is part of this version of Windows).

Как это обычно бывает в продуктах Microsoft, некий извращенный смысл это утверждение имеет, но пользы от него никакой. Для того чтобы обойти проблему, просто скопируйте файл cmd.exe (он находится в папке WindowsSystem32) в любую другую папку. После этого щелкните правой кнопкой мыши на копии cmd.exe, перейдите на вкладку Совместимость (Compatibility) и установите флажок Выполнять эту программу от имени администратора (Run this program as an administrator).

Также можно установить утилиту Creative Element Power Tools (http://creativelement com/powertools/) и на ее панели управления включить возможность Открывать командную строку в любой папке (Open a Command Prompt in any folder). Щелкните Выбрать командную строку (Select Command Prompt), установите флажок Открывать командную строку от имени администратора (Open Command Prompt as Administrator) и нажмите Accept (Готово). Теперь щелкните правой кнопкой мыши в любой папке или иа Рабочем столе, и вы увидите в контекстном меню команду Открыть здесь командную строку (Open Command Prompt here). Если выполнить ее, то Командная строка откроется с правами администратора в текущей папке.

Также можно прибегнуть к помощи такой программы, как Start++ (загрузите ее бесплатно с сайта http://brandontools.com/). Она добавляет в Командную строку команду sudo. Как и одноименная команда Unix/Linux, sudo позволяет выполнить одну команду с правами администратора, не открывая от имени администратора саму командную строку. Этот вариант удобен также тем, что с ним вы будете предоставлять административный доступ только тем командам, которым он действительно необходим.

Отключение UAC

Самый простой способ отключить UAC — открыть на Панели управления страницу Учетные записи пользователей (User Accounts), щелкнуть на ссылке Изменение параметров контроля учетных записей (Change User Account Control settings) и в открывшемся окне перетащить ползунок вниз, к пункту Никогда не уведомлять (Never notify).

1 Название параметра может ввести в заблуждение. Словосочетание «никогда J мс уведомлять* предполагает, что вас больше никогда не будут беспокоить со-общения вида «Windows необходимо ваше разрешение для продолжения». Это действительно так, но при этом нигде не говорится, что программы, которые раньше выполнялись с ограниченными пользовательскими правами, теперь будут выполняться в полном административном режиме. На этой странице нет параметра, который позволил бы при включенном UAC незаметно подавлять программы, пытающиеся внести изменения в конфигурацию компьютера. Однако можно выбрать второй снизу параметр, Уведомлять только при попытках программ внести изменения в компьютер (не затемнять Рабочий стол) (Notify me only when programs try to make changes to my computer). В этом случае Рабочий стол не затемняется, даже когда иа экран выводится сообщение UAC.

Разумеется, полностью отключить UAC — не лучший способ избавиться от ^прекращающегося потока сообщений UAC. Если вы работаете в редакции Windows 7 Professional или Ultimate, то откройте меню Пуск и в поле Поиск (Search) введите команду secpol.msc. Нажмите Enter. Откроется окно редактора Локальная политика безопасности (Local Security Policy), показанное на рис. 7.14. Если вы используете Windows 7 Ноше Premium, то прочитайте врезку «Политики безопасности в редакции Home Premium» на с. 471-472, в которой говорится о параметре ConsentPromptBehaviorAdmin.

Разверните ветвь Локальные политики (Local Policies) и выберите папку Параметры безопасности (Security Options). В правой панели дважды щелкните на параметре Контроль учетных записей: поведение запроса на повышение прав для администратора в режиме одобрения администратором (User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode). В открывшемся окне вы увидите список из шести пунктов:

О Повышение без запроса (Elevate without prompting)

Это лучший вариант, если нужно полностью подавить вывод сообщений UAC, в то же время не отключая саму систему UAC. Приложения, не подозревающие о существовании UAC, не будут запрашивать повышение. Таким образом, Windows 7 продолжит подавлять любые опасные изменения.

Для пользователей Ноше Premium: присвойте параметру ConsentPromptBehavior-Admin значение 0.

О Запрос учетных данных (Prompt for credentials)

Этот параметр ужесточает режим безопасности на компьютере: в каждом сообщение UAC также запрашивается пароль. Пока пароль не введен, щелкнуть на кнопке Продолжить (Continue) невозможно.

Для пользователей Home Premium: присвойте параметру ConsentPromptBehavior-Admin значение 3.

л

Если вы администратор и настраиваете компьютер для другого пользователя, то создайте для этого пользователя стандартную учетную запись. Затем в редакто-ре Локальная политика безопасности (Local Security Policy) выберите для параметра Контроль учетных записей: поведение запроса на повышение прав для администратора в режиме одобрения администратором (User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode) значение Запрос учетных данных (Prompt for credentials).

О Запрос согласия (Prompt for consent)

Запрос UAC отображается каждый раз, когда приложение запрашивает административные права, и, чтобы одобрить действие, вам нужно щелкнуть либо Продолжить (Continue), либо, в некоторых случаях, Разрешить (Permit).

Для пользователей Home Premium: присвойте параметру ConsentPromptBehavior-Admin значение 4.

О Запрос учетных данных/согласия на безопасном Рабочем столе (Prompt for credentials/ consent on the secure desktop)

To же самое, что Запрос учетных данных (Prompt for credentials) и Запрос согласия (Prompt for consent) соответственно, но с затемнением Рабочего стола.

Для пользователей Home Premium: присвойте параметру ConsentPromptBehavior-Admin значение 1 для учетных данных или 2 для согласия.

О Запрос согласия для двоичных данных не из Windows (Prompt for consent for non-Windows binaries)

В Windows 7 э го выбор по умолчанию. То же самое, что Запрос согласия (Prompt for consent), но только для программ, не входящих в состав Windows. Пример программы, входящей в состав Windows, приводится во врезке «Командная строка от имени администратора» на с. 466.

Для пользователей Home Premium: присвойте параметру ConsentPromptBehavior-Admin значение 5.

ВИРТУАЛИЗАЦИЯ ФАЙЛОВ И РЕЕСТРА

Как рассказывалось в разделе «Управление UAC», назначение UAC в Windows 7 — предотвращать модификацию папок операционной системы, таких как Program Rles, а также защищенных областей реестра. Если при разработке программы не учитывались требования UAC, то она не запрашивает повышение до администраторского уровня и для нее попытка создать, например, собственную папку в папке Program Rles завершается неудачей. Разработчики Microsoft придумали решение, упрощающее жизнь подобным старым приложениям.

Это решение называется виртуализацией. Система виртуализации перенаправляет старые приложения в особые защищенные области жесткого диска и реестра. Таким образом, если программа, оснащенная функцией автоматического обновления, попытается записать файл C:Program RlesAcme Update ewversion.dll, то Windows направит ее в другую папку: C:Users{Bame_MMfl_rKwib30Barenfl)AppDataLocalVirtualStoreProgram RlesAcme Update ewversion.dll.

Аналогично, если программа попытается изменить в реестре ключ HKEY_L0CAL_ MACHINESoftwareAcme, то система перенаправит ее в ключ HKEY_CURRENT_USER SoftwareClassesVirtualStoreMACHINESoftwareAcme.

По умолчанию защищаются папки Program Rles и Windows, а также большинство подпапок в них и почти все ключи в ветви реестра HKEY_LOCAL_MACHINESoftware. UAC не защищает собственную папку пользователя С:К5ег5{ваше_имя_пальэователя} и не блокирует изменения в ветви реестра HKEY_CURRENTJJSERSoftware.

Для того чтобы выключить виртуализацию, в редакторе Локальная политика безопасности (Local Security Policy) дважды щелкните на параметре Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в место размещения пользователя (User Account Control: Virtualizes file and registry write failures to per-user locations) и выберите для него значение Отключен (Disabled). Однако помните, что если виртуализация выключена, это не означает, что старые приложения сами находят защищенные области и записывают в них свои данные. На самом деле большинство старых программ просто перестают работать, так как Windows не выделяет им безопасную область, куда они могут записывать изменения.

Для того чтобы увидеть, какие из работающих программ используют виртуализацию, щелкните правой кнопкой мыши на пустой области в Панели задач и выберите в меню пункт Запустить диспетчер задач (Task Manager). Перейдите на вкладку Процессы (Processes) и в меню Вид (View) щелкните на команде Выбрать столбцы (Select Columns). Включите отображение столбца Виртуализация контроля учетных записей (User Account Control (UAC) Virtualization) и нажмите ОК. Теперь вы видите, что в списке процессов для некоторых программ — особенно старых — виртуализация включена (например, для explorer.exe и iexplore.exe, так как от этих процессов во многом зависит безопасность системы). Для программ с поддержкой UAC виртуализация выключена, а для программ, выполняющихся с правами администратора, отображается значение Не разрешено (Not Allowed).

Как вы заметили, в окне Локальная политика безопасности (Local Security Policy) есть но меньшей мере еще девять параметров, относящихся к UAC. Большинство интуитивно понятны, но несколько заслуживают особого внимания.

Если вы используете встроенную учетную запись администратора, о которой рассказывается в разделе «Вход в систему под именем администратора», то но умолчанию запросы UAC для вас не отображаются. Изменить эту настройку можно, дважды щелкнув на пункте Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора (User Account Control: Admin Approval Mode for the Built-in Administrator account).

Windows 7 по умолчанию повышает утилиты установки программного обеспечения до уровня администратора. С учетом возможного заражения злонамеренными программами это небезопасно. Для того чтобы сделать компьютер чуть более безопасным, выберите для параметра Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав (User Account Control: Detect application installations and prompt for elevation) значение Отключен (Disabled). Теперь вам придется запускать некоторые старые утилиты установки от имени администратора, однако новые сами будут повышать себя до необходимого уровня.

Еще один способ усилить защиту UAC — установить для параметра Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов (User Account Control: Only elevate executables that are signed and validated) значенне Включен (Enabled), чтобы неподписанные приложения не могли выполняться в режиме администратора.

Наконец, подробнее о параметре Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в место размещения пользователя (User Account Control: Virtualizes file and registry write failures to per-user locations) и о кое-чем еще, что может сломать незнакомую с UAC программу, рассказывается во врезке «Виртуализация файлов и реестра» на с. 469.

Вход в систему и настройки профиля

Вы в недоумении: вы создали на компьютере несколько учетных записей пользователя и тщательно настроили разрешения и шифрование, чтобы как можно лучше защитить данные. Ваша система напоминает неприступную крепость — но теперь любое действие в ней приходится подтверждать паролем. К счастью, чтобы не подвергать свое терпение ежедневным испытаниям, процесс входа в систему можно упростить. А также применить несколько малоизвестных трюков, чтобы сделать крепость еще более неприступной.

Как скрыть список учетных записей пользователей

По умолчанию в Windows 7 после включения компьютера вас приветствует дру-желюбный экран Добро пожаловать.

В стародавние времена никто не выводил на экран симпатичные рисунки, обозначающие пользователей компьютера. Для того чтобы войти в систему, нам действительно приходилось вводить свои имена пользователя и пароли. В дождь и снег. В гору на ну ги туда и обратно.

Если вы скучаете по тем бесхитростным временам или же считаете, что не отображать список всех учетных записей — на самом деле мудрое решение, то спешу вас порадовать: есть способ вернуть более привычный интерфейс экрана входа в систему.

К сожалению, Microsoft избавилась от самого простого, «классического» экрана входа в систему в стиле Windows NT, который использовался даже в Windows ХР. Однако есть альтернативный вариант. Чтобы на экране входа в систему отображались поля для имени пользователя и пароля, пусть даже и на стандартном приветственном фоне Windows 7, сделайте следующее:

1. Откройте меню Пуск, введите в поле поиска команду secpol.msc и нажмите Enter. Откроется редактор Локальная политика безопасности (Local Security Policy).

| И нструмент Локальная политика безопасности (Local Security Policy) доступен толь-

f%' 1 ко в редакциях Windows 7 Professional и Ultimate. Как изменить аналогичные

* ОТ параметры в редакции Ноше Premium, рассказывается во врезке «Политики

* безопасности в редакции Home Premium» на с. 471 “472..

2. Разверните ветвь Локальные политики (Local Policies) и щелкните на папке Параметры безопасности (Security Options).

3. В правой панели дважды щелкните на параметре Интерактивный вход в систему: не отображать последнее имя пользователя (Interactive logon: Do not display last user name), выберите в открывшемся окне Включен (Enabled) и нажмите ОК.

4. Закончив, закройте окно Локальная политика безопасности (Local Security Policy); изменения вступят в силу при следующем входе в систему.

Помните, что если ваша цель — скрыть список учетных записей пользователей ото всех, кроме вас самих, то это лишь частичное решение задачи. Вы скроете список пользователей от случайных взглядов. Тем не менее обладатель учетной записи администратора сможет зайти в систему, открыть Панель управления и просмотреть или изменить записи других пользователей на странице Учетные записи пользователей (User Accounts). (Разумеется, добой администратор сможет также заново включить отображение экрана Добро пожаловать и даже создать новые учетные записи.) Вот почему рекомендуется использовать стандартные учетные записи для всех остальных пользователей вашего компьютера.

ПОЛИТИКИ БЕЗОПАСНОСТИ В РЕДАКЦИИ HOME PREMIUM

В этой книге мы часто используем доя различных трюков инструмент Локальная политика безопасности (Local Security Policy, secpol.msc), входящий в состав редакций Windows 7 Professional, Ultimate и Enterprise. Но как выполнить те же трюки в Windows 7 Home Premium?

Хорошие новости: в secpol.msc нет никаких уникальных функций, отсутствующих в домашней версии. Это просто удобный инструмент для доступа к определенным записям реестра, параметры которого в основном относятся к ключу

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies

11 его внутренним ключам.

Например, параметр Контроль учетных записей: поведение запроса на повышение прав для администратора в режиме одобрения администратором (User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode), о котором мы говорили в разделе «Управление UAC», устанавливает значение типа DWORD под именем CQnsentPromptBehaviorAdmin в подключе System ключа Policies. Вам нужно всего лишь дважды щелкнуть на параметре ConsentPromptBehaviorAdmin (или создать его, если он еще не существует) и ввести нужное значение.

Параметр из раздела «Как скрыть список учетных записей» управляет значением типа DWORD под именем dontdisplaylastusername. Как и в большинстве других политик, здесь используется простой переключатель. Значение 1 включает политику, а значение 0 выключает ее.

Обратите внимание на то, что некоторые политики относятся к возможностям, реализованным только в редакциях Windows 7 Professional и Ultimate, поэтому настройка соответствующих параметров в реестре не обязательно включает их в других версиях Windows 7.

Подробнее о реестре рассказывается в главе 3.

Автоматический вход в систему

Если вы задаете для своей учетной записи пароль или добавляете через Панель управления еще одну учетную запись, то при каждом запуске Windows 7 вас приветствует экран Добро пожаловать, требующий ввода пароля. Это так сложно. Однако использовать учетную запись без пароля, особенно если речь идет об учетной записи администратора, глупо и небезопасно. Помимо того что это огромная дыра в защите системы, без пароля невозможно настроить общий доступ к файлам. Чтобы защитить учетную запись паролем, но в то же время отключить отображение экрана Добро пожаловать, откройте альтернативное окно Учетные записи пользователей (User Accounts), как рассказывалось в начале главы: нажмите Пуск и в поле поиска введите

%SystemRoot%system32control userpasswords2

Нажмите Enter. Выберите в списке имя вашей основной учетной записи, сбросьте флажок Требовать ввод имени пользователя и пароля (Users must enter a username and password to use this computer) и нажмите ОК.

В открывшемся окне Автоматический вход в систему (Automatically Log On) введите и подтвердите пароль для выбранного пользователя и нажмите ОК. Изменения вступят в силу при следующем запуске компьютера.

Обратите внимание на то, что эти настройки не помешают вам выйти из системы и снова зайти с другой учетной записью. Более того, если вы выйдете из системы и снова зайдете, то настройка не изменится; при очередном запуске Windows вход

в систему будет выполнен автоматически. О том, как сделать, чтобы окно ввода пароля все же периодически появлялось, рассказывается в следующем разделе.

Ограничение количества автоматических входов

Можно ограничить количество автоматических входов в систему, то есть сделать так, чтобы диалоговое окно ввода пароля (или экран Добро пожаловать) отображалось через определенное количество зафузок.

1. Откройте Редактор реестра (подробнее об этом — в главе 3).

2. Разверните ветвь HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionWinlogon. (Обратите внимание на то, что здесь нужно выбрать именно ветвь Windows NT, а не более часто используемую ветвь Windows.)

3. Создайте новое значение типа DWORD. Для этого выберите команду меню Правка (Edit) ? Создать (New) ? Параметр DWORD (32 бита) (DWORD (32-bit) Value) и в качестве имени нового параметра введите AutoLogonCount

4. Дважды щелкните на параметре AutoLogonCount, щелкните переключатель Десятичная (Decimal) и введите число автоматических входов в систему.

5. Закончив, нажмите ОК.

При каждом запуске Windows значение этого параметра будет уменьшаться на единицу. Когда оно достигнет нуля, Windows забудет имя пользователя и пароль, которые вы ввели ранее, а параметр AutoLogonCount будет удален.

Как предотвратить вход с другим именем пользователя

Автоматический вход в систему удобно настраивать на компьютерах, которые используются в публичных средах. Однако при этом необходимо принимать определенные меры, чтобы посетитель не мог во время обычного сеанса работы войти в систему под другой учетной записью, обладающей большими привилегиями. Прервать автоматический вход в систему и зарегистрироваться с другим именем пользователя можно двумя способами:

О удерживать Shift, пока осуществляется вход в систему;

О после того как Рабочий стол загрузится, выбрать в меню Пуск пункт Выйти из системы (Log Off) или нажать Ctrl+Alt+Del и выбрать команду Выйти из системы (Log Off).

Для того чтобы устранить эти обходные пути, сделайте следующее:

1. Откройте Редактор реестра (подробнее об этом — в главе 3).

2. Разверните ветвь HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionWinlogon. (Обратите внимание, что здесь нужно выбрать именно ветвь Windows NT, а не более часто используемую ветвь Windows.)

3. Создайте новый строковый параметр. Выберите команду меню Правка ? Создать ? Строковый параметр (New ? Edit ? String Value) и введите имя параметра IgnoreShiftOvenide. Дважды щелкните на новом параметре, введите значение 1 и нажмите ОК. Так вы отключите Shift на время автоматического входа в систему.

4. Затем создайте новый параметр типа DWORD. Выберите команду меню Правка (Edit) ? Создать (New) ? Параметр DWORD (32 бита) (DWORD (32-bit) Value) и введите имя параметра ForceAutoLogon. Дважды щелкните на новом параметре, введите значение 1 и нажмите ОК. Теперь при попытке выйти из системы снова будет запускаться автоматический вход в систему.

Для того чтобы снять одно или оба ограничения, просто удалите соответствующие параметры реестра.

Определение срока действия пароля

Следите за своим паролем как за зубной щеткой.

Не делитесь им ни с кем и меняйте каждые полгода.

Клиффорд Столл

В редакциях Windows 7 Professional и Ultimate есть функция, которая периодически заставляет вас менять пароль. Для того чтобы включить ее, откройте диспетчер Локальные пользователи и группы (Local Users and Groups) (в поле поиска меню Пуск введите lusrmgr.msc) и выберите папку Пользователи (Users). Дважды щелкните на своем имени пользователя, сбросьте флажок Срок действия пароля не ограничен (Password never expires) и нажмите ОК. (Если необходимо, выполните то же самое для других учетных записей.) Когда закончите, закройте диспетчер Локальные пользователи и группы (Local Users and Groups),

Теперь откройте редактор Локальная политика безопасности (Local Security Policy) (в поле поиска меню Пуск введите secpol .msc) и разверните ветвь Политики учетных записейПолитика паролей (Account PoliciesPassword Policy). В правой панели щелкните на пункте Максимальный срок действия пароля (Maximum password аде) и введите срок действия пароля в днях (если следовать совету Столла, то 182 дня). Закройте редактор Локальная политика безопасности (Local Security Policy); изменения вступят в силу при следующем входе в систему.

Сброс пароля администратора

Забыли пароль? Не беда. Даже в таком случае в систему можно попасть двумя способами: простым и сложным.

Если на компьютере есть другие учетные записи уровня администратора, то простой способ состоит в том, чтобы войти в систему под одной из этих учетных записей, открыть на Панели управления страницу Учетные записи пользователей (User Accounts) и сменить пароль.

Если же вы единственный администратор, то придется сбрасывать пароль сложным путем. (Это решение не сработает, если диск защищен шифрованием BitLocker, о котором рассказывалось ранее в этой главе.) Загрузите бесплатную утилиту Trinity Rescue Kit с сайта http://trinityhome.org/Home/index.php?wpid=l&frontJd=12

и запишите образ ISO на пустой компакт-диск. (Также можно воспользоваться бесплатной у тилитой Offline NT Password & Registry Editor с сайта http://pogosticlc net/~pnh/ntpasswd/.)

При использовании утилиты восстановления пароля с помощью загрузочного диска, такой как Trinity или Offline, зашифрованные файлы можно будет прочитать, только если вы вспомните исходный пароль или восстановите сертификат шифрования из резервной копии (подробнее об этом - в разделе «Шифрование файлов»).

Загрузите компьютер с диска Trinity Rescue Kit - фактически это всего лишь загрузочный диск с операционной системой Linux. В строке приглашения выполните команду

winpass -и имя_пользователя

где имя_пользователя - это имя вашей учетной записи. Программа выполнит поиск места установки Windows на жестком диске, выведет список найденного и попросит вас сделать выбор.

Теперь нужно либо указать новый пароль, либо ввести * (звездочку), чтобы использовать пустой пароль. Подтвердите изменение пароля. Когда процесс завершится, снова откроется строка приглашения.

Теперь перезагрузите компьютер, и вы сможете войти в систему со своей разблокированной учетной записью.

Как запретить пользователям выключать компьютер

К пользователям компьютера можно применить множество ограничений, например запретить им выключать машину. Компьютер должен быть всегда включен, если вы обращаетесь к нему по сети (подробнее об этом — в разделе «Удаленное управление компьютером»). На компьютере, установленном в общественном месте, перезагрузка или выключение могут означать попытку взлома, что также необходимо предотвращать. Чтобы сделать это, выполните следующие шаги:

1. Откройте Редактор реестра (подробнее об этом - в главе 3).

2. Разверните ветвь HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent-VersionPoliciesExplorer.

3. Командой меню Правка (Edit) ? Создать (New) ? Параметр DWORD (32 бита) (DWORD (32-bit) Value) создайте новый параметр типа DWORD с именем NoClose.

4. Дважды щелкните на параметре NoClose и введите для него значение 1.

5. Закончив, закройте редактор реестра. Для того чтобы изменения вступили в силу, нужно перезагрузить'компьютер.

Помните, что это не универсальное решение. Оно всего лишь удаляет из меню Пуск команду Завершение работы (Shut down). Опытный пользователь попросту нажмет Ctrl+Alt+Del и щелкнет на кнопке Завершение работы (Shut Down).

Требуется что-то более надежное? В редакциях Windows 7 Professional и Ultimate можно указать, каким пользователям разрешено выключать компьютер, а каким нет:

1. Откройте окно Локальная политика безопасности (Local Security Policy, secpol. msc).

2. Разверните ветвь Локальные политикиНазначение прав пользователя (Local Policies User Rights Assignment).

3. В правой панели дважды щелкните на пункте Завершение работы системы (Shut down the system).

4. В открывшемся списке будут перечислены пользователи, которым разрешено выключать компьютер. Нажмите Добавить пользователя или группу (Add User or Group), чтобы расширить список, или выделите имя пользователя или группы и нажмите Удалить (Remove), чтобы отозвать у него право выключать компьютер.

Конечно, если у злоумышленника чешутся пальцы, то он доберется и до кнопки питания компьютера, кнопки перезагрузки или гибернации, до шнура питания или предохранителей и обойдет это ограничение. Однако такое программное решение может, по меньшей мере, гарантировать, что ваш компьютер не выключится, пока вас нет рядом.

Вход в систему под именем администратора

При первой установке Windows 7 вы создаете учетную запись пользователя, указываете ее имя и выбираете рисуиок. Имя можно выбрать любое, только не Администратор (Administrator).

Администратор (Administrator) — эго встроенная учетная запись, унаследованная из ранних версий Windows. Единственное ее отличие от других учетных записей уровня администратора заключается, собственно, в ее имени — «Администратор*. Так зачем она нужна?

Большинству пользователей она действительно ни к чему. Но если вы управляете сетыо, в которой присутствуют предыдущие версии Windows, такие как Windows ХР или 2000, и на них используется учетная запись с именем Администратор (Administrator), то для правильной работы общего сетевого доступа к папкам такую учетную запись нужно включить и на машине с Windows 7.

А некоторым просто нравится такое имя пользователя.

В любом случае сделайте следующее:

1. Введите через меню Пуск команду lusrmgr.msc, чтобы открыть Локальные пользователи и группы (Local Users and Groups).

2. В левой панели щелкните на пунше Пользователи (Users).

3. В средней панели дважды щелкните на пункте Администратор (Administrator).

4. Снимите флажок Отключить учетную запись (Account is disabled) и нажмите ОК.

5. Правой кнопкой мыши щелкните на пункте Администратор (Administrator) в средней панели и в контекстном меню выберите команду Задать пароль (Set Password).

6. Введите пароль для новой учетной записи, подтвердите его во втором поле и нажмите ОК.

7. Закончив, закройте окно Локальные пользователи и группы (Local Users and Groups).

8. Выйдите из системы, а затем снова войдите под именем Администратор (Administrator). Если в списке учетных записей на экране Добро пожаловать этого имени нет, возможно, вам придется выполнить шаги из раздела «Как скрыть список учетных записей пользователей» и включить отображение классического экрана входа в систему. Но если вы войдете в систему под именем администратора хотя бы один раз, в дальнейшем это имя будет отображаться на стандартном экране Добро пожаловать.

Активировать учетную запись Администратор (Administrator) можно из команд-#%, ной строки. Откройте Командную строку в режиме администратора, как рас-'V сказывалось выше, и введите команду net user Administrator /activeryes.

*' Закройте окно Командной строки и для завершения процесса выполните шаг 8 предыдущего списка.

Несмотря на то что учетная запись Администратор (Administrator) по умолчанию отключена, ее вполне можно использовать в качестве обычной учетной записи, хотя бы потому, что вам надоело видеть в меню Пуск свое имя, написанное огромными сияющими буквами.

Три предостережения: во-первых, с выпуском каждой последующей версии Windows начиная с Windows 2000 Microsoft прилагает все больше усилий, чтобы отговорить вас от использования учетной записи Администратор (Administrator). Теоретически это может усложнить переход на новую версию, которая последует за Windows 7. Во-вторых, одна из причин, почему Microsoft пытается избавиться от этой учетной записи, заключается в том, что одинаковое имя пользователя (а Администратор (Administrator) есть во всех системах) представляет собой потенциальную дыру в безопасности. И в-третьих, система Контроля учетных записей пользователей, UAC для учетной записи Администратор (Administrator) по умолчанию запросы не выводит.

Если вы уже используете учетную запись Администратор (Administrator), но хотите изменить имя пользователя, не создавая новую учетную запись, то просто переименуйте текущую. В Windows 7 Professional и Ultimate откройте окно Локальная политика безопасности (Local Security Policy), (secpolmsc), разверните ветвь Локальные политикиПараметры безопасности (Local PoliciesSecurity Options) и в правой панели дважды щелкните на пункте Учетные записи: Переименование учетной записи администратора (Accounts: Rename administrator account).

Если вам всего лишь нужно более простое имя пользователя, то прочитайте рекомендации в разделе «Переименование папки профиля».

Смена фонового рисунка на экране Добро пожаловать

Если только вы не включили функцию автоматического входа в систему (о ней мы говорили чуть выше), то видите экран Добро пожаловать каждый раз при включении компьютера, а также при каждом выключении. Почему бы не украсить его нарядными обоями?

К счастью, в Windows 7 сменить обои экрана Добро пожаловать гораздо проще, чем в предыдущих версиях. Раньше приходилось редактировать файл imageres.dll (это все еще необходимо, если вы хотите выбрать другой звук для события входа в систему — подробнее об этом говорится в следующем разделе). Теперь нужно всего лишь немного подправить реестр и сохранить изображение в специальную папку.

Для начала откройте Редактор реестра, как описано в главе 3, и разверните ветвь HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAuthentication LogonUiBackground. Дважды щелкните на параметре OEMBackground, введите 1 в поле Значение (Value data) и нажмите ОК. (Если такого значения нет, создайте его. Щелкните иа имени раздела правой кнопкой мыши, выберите команду Создать (New), затем Параметр DWORD (32 бита) (DWORD (32-bit) Value) и введите в качестве имени параметра OEMBackground.) Закончив, закройте Редактор реестра.

Теперь определите разрешение экрана в пикселах. Если вы не знаете текущее разрешение, то щелкните правой кнопкой мыши на свободном месте Рабочего стола и в контекстном меню выберите команду Разрешение экрана (Screen resolution). Найдите изображение, которое будете использовать в качестве обоев экрана Добро пожаловать, и измените его в любом графическом редакторе так, чтобы его размер в пикселах совпадал с разрешением вашего экрана.

В Adobe Photoshop включите инструмент Crop (Кадрирование), а на палитре Options (Параметры) в полях Width (Ширина) и Height (Высота) введите нужные размеры по горизонтали и вертикали. Например, чтобы подогнать изображение под разрешение 1920x1200 пикселов, введите значения 1920 и 1200 соответственно. Перетащите указатель мыши по изображению, очертив пужные границы, снова щелкните на значке инструмента Crop (Кадрирование) и нажмите Crop (Кадрировать), чтобы применить изменения.

Сохраните файл под именем backgroundDefault.jpg в папке WindowsSystem32oobe infoackgrounds. Затем в Проводнике Windows откройте эту папку и проверьте, что размер файла не превышает 256 Кбайт. Если это не так, то снова откройте изображение в графическом редакторе и увеличьте сжатие или уменьшите качество изображения (в Photoshop уровень качества 7 даст вполне приемлемые результаты). Теперь снова вернитесь в Проводник Windows и создайте копию файла backgroundDefault.jpg, присвоив ей имя, состоящее из слова background и размера в пикселах, вот так:

О backgroundl024x768.jpg О backgroundl280xl024.jpg

О background 1280x768.jpg О backgroundl280x960.jpg О backgroundl360x768.jpg О backgroundl440x900.jpg О backgroundl600xl200.jpg О backgroundl920xl200.jpg

Теперь в папке будет минимум два одинаковых файла: backgroundDefault.jpg (он используется, когда невозможно загрузить изображение с правильным разрешением) п файл, в имени которого указано правильное разрешение экрана.

Изменения вступают в силу немедленно; вы увидите свое изображение при очередном выходе из системы и, что еще важнее, при следующей загрузке Windows, как показано на рис. 7.15.

Смена системных звуков

Следует отдать должное Microsoft — звук приветствия Windows 7 авторства Роберта Фриииа внушает уважение. Фрипп - основатель и гитарист группы King

Crimson, музыкальный продюсер, создавший во взаимодействии с музыкантом-электронщиком Браманом Ино совершенно новый стиль с загадочным названием фриппертроника, написал пятисекундный музыкальный отрывок, звучание которого напоминает порхание крылатых фей над клавишами мсллотрона.

Microsoft добилась своей цели создать впечатление, что после входа в систему пользователя ожидает нечто неземное, поэтому даже если увиденное вам в итоге не понравится, вины Роберта в этом нет. Однако что делать, если вашему настроению лучше соответствуют ранние творения Фриппа, например, последние 25 секунд его шедевра 1974 года «Starless»?

На вкладке Звуки (Sounds) окна Звук (Sound) Панели управления параметр Проигрывать мелодию запуска Windows (Play Windows Startup Sound) можно лишь включить или выключить; в отличие от остальных событий Windows, для входа в систему невозможно выбрать другое музыкальное оформление.

Оказывается, звук для события входа в систему хранится в файле imageres.dll. Для того чтобы заменить его, откройте Проводник Windows и перейдите к папке WindowsSystem32. Назначьте себя владельцем файла imageres.dll, как рассказывается в разделе «Владельцы файлов и наследование разрешений» на с. 446, а затем предоставьте своей учетной записи разрешение Полный доступ (Full Control). Закончив, создайте в папке WindowsSystem32 две копии этого файла, назвав их imageres-new.dll и imageres-old.dll.

Затем загрузите и установите утилиту Restorator с сайта http://www.bome.com/. Она не бесплатная, но новым пользователям предоставляется 30-дневный пробный период.

"^v Существуют и другие бесплатные редакторы ресурсов, например, XN Resource

ЯEditor (http://www.wilsonc.demon.co.uk/dlOresourceeditor.htm) и Resource Hacker f ? (http://angusj.com/resourcehacker/), но эти две утилиты не обновлялись уже мно-•' го лет. Кроме того, если вы работаете в 64-битной редакции Windows 7, то вам нужен редактор ресурсов, понимающий 64-битные библиотеки DLL такой как Restorator.

В меню File (Файл) утилиты Restorator выберите команду Open (Открыть) и найдите файл imageres-new.dll. Откройте его. В левом поле вы увидите дерево ресурсов, объединяющее различные графические элементы и элементы пользовательского интерфейса, которые хранятся в этом файле. Разверните ветвь WAVE и щелкните на единственной записи этой ветви, 5080. Она и содержит звук события входа в систему.

Это 16-битный двухканальный звуковой клип с частотой 44 100 Гц в формате Microsoft wave. Его размер 884 136 байт, длина 4,975 с. Эти подробности очень важны, так как новый звуковой клип должен обладать теми же характеристиками. Преобразовать другой клип можно в любом звуковом редакторе, например Audacity (загрузите бесплатно с сайта http://audacity.sourceforge.net) или Power Sound Editor Free (http://www.free-sound-editor.com/).

М icrosoft wave - это формат файлов без сжатия, поэтому у любых двух клипов одинаковой длины и с одинаковыми характеристиками (частота, число каналов

• & 11 1д ) РазмеРы файлов также совпадают. Так как размер нового файла должен быть равен 884 136 байтам, проще Dcero экспортировать оригинальный звук из утилиты Restorator и сохранить его под именем 5080.wav. Затем вы сможете открыть его в звуковом редакторе и вставить новые звуковые данные поверх старою сигнала (удостоверьтесь только, что вставка стирает старые данные, а не добавляет к ним новые.)

Подготовив подходящий звук на замену, скопируйте его в буфер обмена. Теперь в окне Restorator щелкните правой кнопкой мыши на пункте 5080 в дереве ресурсов и в контекстном меню выберите команду Paste (Вставить). Проверьте, что у нового клипа те же характеристики, что и у исходного. Для этого снова щелкните на ресурсе 5080 правой кнопкой мыши и выберите команду Properties (Свойства). Закончив, сохраните файл и закройте утилиту Restorator.

На последнем шаге нужно заменить файл imageres.dll новым, модифицированным вариантом. Но так как этот файл все время используется, Windows не позволит вам изменить его. Чтобы обойти препятствие, перезагрузите Windows, нажмите F8, чтобы войти в меню Дополнительные варианты загрузки (Advanced Boot Options) (подробнее об этом — в разделе «Что делать, если Windows не запускается»), и выберите пункт Безопасный режим с командной строкой (Safe Mode with Command Prompt). Когда откроется окно Командной строки, щелкните внутри него и выполните команду сору imageres-new.dll imageres.dll.

В строке подтверждения введите Y и нажмите Enter, чтобы заменить файл. После этого выполните команду exit, чтобы закрыть командную строку. Если перезагрузка не начнется, нажмите Ctrl+Alt+Del. щелкните на стрелке рядом с красной кнопкой в нижнем правом углу экрана и выберите команду Перезагрузка (Restart).

Если все сделано правильно, то при очередной загрузке Windows вы услышите новый звук. Если Windows не загружается или звук не воспроизводится, то можно восстановить исходный файл ресурсов. Для этого снова запустите безопасный режим с Командной строкой и, как описано выше, выполните команду copy imageres-old.dll imageres.dll.

Настройка профиля по умолчанию для новых пользователей

Вам приходится часто создавать новые учетные записи пользователей, но вы не хотите тратить время на настройку каждой из них? Настройте одну учетную запись в соответствии со своими нуждами, а затем используйте ее в качестве шаблона для новых учетных записей на компьютере.

1. Зайдите в систему с учетной записью административного уровня. Создайте новую учетную запись на Панели управления в окне Учетные записи пользователей (User Accounts).

2. Выйдите из системы и снова войдите, ио уже с новой учетной записью.

3. Настройте учетную запись по собственному усмотрению. О некоторых настройках Проводника, которые могут оказаться полезными в этой ситуации, рассказывается в главе 2.

4. Закончив, выйдите из системы и снова войдите с обычной административной учетной записью.

5. Если это еще не сделано, в окне Параметры папок (Folder Options) на Панели управления включите отображение скрытых файлов и папок в Проводнике Windows. Подробнее об этом говорится в главе 2.

6. Затем откройте на Панели управления окно Система (System) и в его левой части щелкните иа ссылке Дополнительные параметры системы (Advanced system settings).

7. На вкладке Дополнительно (Advanced) в разделе Профили пользователей (User Profiles) щелкните на ссылке Параметры (Settings).

8. Выберите только что созданную и настроенную учетную запись пользователя и нажмите Копировать (Сору То).

9. В окне Копирование профиля (Сору То) нажмите Обзор (Browse), выберите папку C:UsersDefault User и нажмите ОК.

10. Нажмите ОК, затем Да (Yes), чтобы начать копирование. Содержимое папки Default User будет удалено, а вместо него Windows запишет настройки новой учетной записи.

Теперь новые настройки можно использовать в качестве шаблона при создании учетных записей пользователей. Временная учетная запись, созданная на шаге 1, больше не нужна, и ее можно удалить.

Переименование папки профиля

Вы наверняка замечали, что в некоторых ситуациях, например во время загрузки файлов на веб-сайт или при работе с программой общего доступа по принципу P2P, полный путь к вашим файлам становится виден другим пользователям. (К счастью, это не относится к системе общего доступа, о которой речь пойдет далее в этой главе.) Это означает, что если вы загружаете файл personal.doc на веб-сайт, то сообщаете ему полный путь к этому файлу на вашем компьютере:

C:UsersGuy Q. IncognitoDocumentsPa3Hbie документыpersonal.doc

И вот с той стороны теперь знают ваше полное имя.

Вам известно, что учетную запись можно переименовать на странице Учетные записи пользователей (User Accounts) Панели управления, однако имя папки при этом не меняется. Тем не менее есть способ изменить местоположение папки профиля без переименования учетной записи:

1. Откройте Проводник и перейдите к папке C:Users. Создайте здесь новую пустую папку. Она станет вашей новой домашней папкой, поэтому имя для нее можно выбрать любое.

2. Теперь в окне Учетные записи пользователей (User Accounts) на Панели управления создайте новую временную административную учетную запись.

3. Выйдите из системы и снова зайдите, но под учетной записью, созданной иа шаге 2.

4. Откройте на Панели управления окно Система (System) и в левой части окна щелкните на ссылке Дополнительные параметры системы (Advanced system settings).

5. На вкладке Дополнительно (Advanced) в разделе Профили пользователей (User Profiles) нажмите Параметры (Settings).

6. Выберите спою учетную запись (старую, ту, которую вы будете перемещать) и нажмите Копировать (Сору То).

7. В окне Копирование профиля (Сору То) нажмите Обзор (Browse), выберите созданную на шаге 1 папку и нажмите ОК.

8. Нажмите ОК, а затем Да (Yes), чтобы начать копирование.

9. Теперь в окне Параметры папок (Folder Options) на Панели управления включите отображение скрытых файлов и папок. Подробнее об этом рассказывается в главе 2.

10. Откройте Проводник Windows и перейдите к своей старой домашней папке (то есть C:UsersGuy Q. Incognito).

11. Нажмите Ctrl+A, чтобы выделить все содержимое домашней папки, а затем нажмите и удерживайте Ctrl и перетащите выделенные файлы в новую папку. В окне с запросом, заменять ли существующие файлы, установите флажок Сделать это для следующих конфликтов (Do this for the next x conflicts), а затем нажмите Пропустить (Don't copy).

12. Закончив, выполните в строке поиска меню Пуск команду lusrmgr.msc, чтобы запустить утилиту Локальные пользователи и группы (Local Users and Groups), о которой рассказывалось в начале главы.

13. В левой панели выберите пункт Пользователи (Users).

14. В средней панели дважды щелкните на своем имени пользователя и в открывшемся окне перейдите на вкладку Профиль (Profile).

15. В разделе Домашняя папка (Home folder) установите переключатель Путь (Local path) и введите в соответствующем поле полный путь к новой папке, которую вы создали на шаге 2 (раздел Профиль пользователя (User profile) наверху окна вам не нужен).

16. Нажмите ОК и закройте окно утилиты Локальные пользователи и группы (Local Users and Groups).

17. Выйдите из системы и снова зайдите со своей обычной учетной записью.

18. Удостоверьтесь, что все работает правильно, откройте Проводник Windows и удалите свою старую домашнюю папку из папки C:Users.