Сегодня в выпуске:

1. Сборник "Вся мировая литература" по сенсационно низкой цене!

2. Выбор файловой системы

3. Развертывание и настройка Windows XP SP2

4. Компьютерная библиотека

Вся мировая литература

Сборник "Вся мировая литература" содержит:
- 4000 Авторов (великих, известных и малоизвестных)
- 35 000 произведений!!! только представьте сколько нужно книжных полок, да что там полок, целых помещений, что бы хранить такое количество книг в бумажном варианте, а тут всего один DVD, или 3CD диска

Любое из мировых произведений будет всегда у вас под рукой, а так же ваши радные, знакомые, всегда найдут необходимое им произведении, возможно по школьной программе, или просто для ознакомления, прочтения и т.д...

Сенсационная цена! Всего 250 рублей (доставка бесплатно!)

Посмотреть полный список авторов можно на нашем сайте >>> http://compebook.ru/liter.htm

Что бы сделать заказ на сборник "Вся мировая литература"
просто отправьте письмо на этот email liter@compebook.ru, а в нём укажите:

1. Формат, 3CD или 1 DVD
2. Ваш адрес (не забывайте указывать почтовый индекс и страну);
3. Фамилию Имя Отчество
4. Наименование товара т.е. "Вся мировая литература"

Диски будут высланы в течении трёх-четырёх дней после заказа наложенным платежом (только по России), т.е. оплата при получении на почте. При получения дополнительно с вас на почте возьмут ещё около 8 % за наложенный платёж.

Выбор файловой системы

Ниже рассмотрены некоторые общие сведения о файловых системах FAT, FAT32 и NTFS для сравнения и возможности выбора, переходить или не переходить на файловую систему NTFS. Сама Microsoft рекомендует устанавливать Windows XP на файловую систему NTFS.

Файловая система FAT изначально использовалась в DOS. Невзирая на свою простоту FAT распространена достаточно широко и встречается в различных версиях DOS, Windows З.х, Windows NT, Macintosh и многих разновидностях Unix. По этой причине Microsoft рекомендует использовать тома FAT в тех случаях, когда различные типы клиентов должны обмениваться данными через единую файловую систему. Важной характеристикой FAT было использование имен файлов формата 8.3 - имя файла имеет длину до восьми символов, перед расширением ставится точка, а само расширение имеет длину не более трех символов.

Файловая система FAT32 является полностью самостоятельной 32-разрядной файловой системой и содержит многочисленные усовершенствования и дополнения по сравнению с предыдущими реализациями FAT . Отличие в том, что FAT32 намного эффективнее расходует дисковое пространство. FAT32 использует дисковые кластеры меньшего размера по сравнению с предыдущими версиями. В результате по сравнению с дисками FAT16 экономится в среднем 10-15% дискового пространства. Для эффективной работы требуется немного оперативной памяти. Быстрая работа с малыми и средними каталогами. Эффективная работа на медленных дисках. Однако по сравнению с NTFS есть сложности с произвольным доступом к большим файлам и довольно медленная работа с каталогами, содержащими большое количество файлов.

Файловая система NTFS (New Technology File System) содержит ряд значительных усовершенствований и изменений. NTFS превосходно справляется с обработкой больших массивов данных и достаточно хорошо проявляет себя при работе с томами объемом 400 Мбайт и выше. Поскольку в основу структуры каталогов NTFS заложена эффективная структура данных, называемая "бинарным деревом", время поиска файлов в NTFS не связано линейной зависимостью с их количеством (в отличие от систем на базе FAT ). NTFS также обладает определенными средствами самовосстановления. Сложность структуры каталогов и число файлов в одном каталоге также не влияет на быстродействие. Быстрый доступ к произвольному фрагменту файла, быстрый доступ к маленьким файлам. Для нормальной работы NTFS требует не менее 64 Мбайт оперативной памяти. Медленные диски и контроллеры без Bus Mastering сильно снижают быстродействие NTFS. NTFS также поддерживает различные механизмы проверки целостности системы, включая ведение журналов транзакций, позволяющих воспроизвести все файловые операции записи по специальному системному журналу. NTFS обеспечивает безопасность на уровне файлов; это означает, что права доступа к томам, каталогам и файлам могут зависеть от учетной записи пользователя и тех групп, к которым он принадлежит. Журналы транзакций NTFS также помогают свести к минимуму возможные потери данных. NTFS также обладает встроенными средствами сжатия, которые можно применять к отдельным файлам, целым каталогам и даже томам (и впоследствии отменять или назначать их по своему усмотрению).
Также NTFS включает в себя систему шифрования файлов EFS (Encrypting File System), которая позволяет зашифровать данные на жестком диске. Только полномочные пользователи и назначенные агенты восстановления данных в состоянии расшифровывать файлы. Пользователи с другими учетными записями, обладающие разрешениями для файла - даже разрешением на передачу прав владения, не в состоянии открыть его. Администратору доступ к содержимому файла также закрыт, если только он не назначен агентом восстановления данных. При попытке несанкционированного доступа к зашифрованному файлу система откажет в доступе.

При использовании NTFS можно задавать дисковые квоты - каждому пользователю компьютера можно определить количество места, которое он может использовать на диске.

Основные характеристики файловых систем FAT, FAT32 и NTFS можно видеть в следующей таблице:

Сравнительная характеристика файловых систем FAT, FAT32 и NTFS
Характеристики	FATFAT32	NTFS
Максимальный размер тома	2 Гбайт4 Тбайт	16 Эбайт
Максимальный размер файла	2 Гбайт4 Тбайт	16 Эбайт
Максимальное количество файлов в корневом каталоге	512Не ограничено	Не ограничено
Максимальное количество файлов в некорневом каталоге	65535Не ограничено	Не ограничено
Безопасность на уровне файлов	НетНет	Да
Поддержка длинных имен файлов	НетДа	Да
Самовосстановление	НетДа	Да
Ведение журналов транзакций	НетНет	Да
Сжатие на уровне файлов	НетНет	Да

Развертывание и настройка Windows XP SP2

Использование Group Policy для усиления систем XP новым пакетом обновлений
Пакет Windows XP Service Pack 2 (SP2) с брандмауэром Windows Firewall может стать спасительным средством для администраторов, которые изо всех сил пытаются защитить клиентские машины XP (и остальные компоненты сети) от посягательств. Однако перспектива развертывания пакета и настройки конфигурации брандмауэра на всех клиентах не вызывает энтузиазма. Не стоит отчаиваться: с помощью групповой политики можно централизованно развернуть XP SP2 и настроить Windows Firewall. Окончательная версия SP2, скорее всего, будет несколько отличаться от предварительной, которая использовалась при подготовке данной статьи, поэтому процедура может немного измениться.

Развертывание
Во все пакеты исправлений для Windows 2000 и более поздних версий входит файл Windows Installer (.msi), с помощью которого можно автоматически отправлять пакет на соответствующие компьютеры с помощью функции Software Installation групповой политики. Первый шаг к авторазвертыванию XP SP2 — создать общедоступную папку (с подходящим названием, например, xpsp2), в которой компьютеры смогут обращаться к файлу .msi и двум другим необходимым для SP2 файлам. Членам группы Administrators следует предоставить разрешение Full Control в данной папке, а группе Domain Computers — разрешение Read. Затем следует загрузить xpsp2.exe с Web-узла Microsoft (или найти его на компакт-диске XP SP2) и запустить файл с ключом /x, чтобы извлечь пакет обновлений в общую папку.

После этого можно подготовить объект групповой политики Group Policy Object (GPO), который устанавливает SP2 на всех компьютерах XP. Но как ограничить область действия GPO компьютерами XP и предотвратить попытки установки SP2 на Windows Server 2003 и Windows 2000? Область действия GPO нельзя ограничить с помощью фильтра Windows Management Instrumentation (WMI), так как компьютеры Windows 2000 не распознают фильтры WMI, связанные с GPO (и поэтому применяют GPO так, как будто фильтры отсутствуют). Ограничить область действия GPO можно с помощью организационных единиц (OU), но для этого необходима OU, в которую входят все рабочие станции XP, и только они. Если структура OU иная, необходимо сформировать группу Active Directory (AD) — например, с названием XP Workstations — и сделать все компьютеры с XP членами этой группы.

Далее следует создать новый объект GPO в корневом каталоге домена и дать ему имя, например XP Workstation Computer Configuration. Затем нужно открыть диалоговое окно Properties объекта GPO и перейти к вкладке Security. Из списка ACL объекта GPO требуется удалить запись Everyone и добавить запись для группы XP Workstations, а затем предоставить этой группе разрешения Read и Apply Group Policy. После этого, даже если GPO связан с корневым каталогом домена, только компьютеры, которые являются членами группы XP Workstations, смогут применять GPO и устанавливать SP2.

Чтобы настроить конфигурацию GPO с именем XP Workstation Computer Configuration для установки SP2, необходимо отредактировать GPO. В редакторе Group Policy Object Editor следует щелкнуть правой кнопкой мыши на объекте Computer Configuration\Software Settings\Software Installation и выбрать из контекстного меню пункты New, Package. В текстовом поле File name диалогового окна Open следует ввести путь Universal Naming Convention (UNC) к общедоступной установочной папке и щелкнуть на кнопке Open. На экране появится вопрос о методе развертывания; следует выбрать режим Assigned и нажать OK. В правой панели Group Policy Object Editor появится объект Windows XP Service Pack 2 (1033) (экран 1).

Однако все это пока не приведет к установке SP2 на машинах XP. По умолчанию XP позволяет пользователям регистрироваться даже до того, как им будет предоставлен полный доступ к сети. В результате Group Policy не может автоматически обработать политики Software Installation, добавленные в GPO. В документации Microsoft указывается, что установка будет выполнена при следующей регистрации в сети, но по своему опыту могу сказать, что политики Software Installation, заданные в узле Computer Configuration объекта GPO, не применяются, если не активизирована политика Always wait for the network at computer startup and logon в объекте Computer Configuration\Administrative Templates\System\Logon. Необходимо активизировать эту политику для GPO. После этого SP2 устанавливается при следующей перезагрузке системы XP.

Пользователи не смогут зарегистрироваться до тех пор, пока не будет завершен процесс установки SP2, который занимает до 20 минут. Поэтому я рекомендую заранее предупредить сотрудников предприятия о развертывании SP2. Можно даже попросить пользователей перезапустить компьютеры перед уходом с работы, чтобы установить SP2 до начала следующего рабочего дня. Не следует опасаться снижения скорости подключений пользователей к сети предприятия или VPN, пока Windows будет загружать установочные файлы SP2 через медленное соединение. По умолчанию Windows автоматически распознает медленные линии связи и откладывает применение некоторых разделов Group Policy, в том числе Software Installation. Управлять режимом загрузки можно с помощью политик в принадлежащем GPO объекте Computer Configuration\Administrative Templates\System\Group Policy.

Защита
После того как администратор установит SP2 на всех компьютерах XP и освоит новый брандмауэр Windows Firewall, работая с ним на автономном испытательном сервере, можно приступить к централизованной настройке конфигурации Windows Firewall на машинах XP SP2. Для этого необходимо открыть оснастку Group Policy консоли управления Microsoft Management Console (MMC) на одном из компьютеров XP SP2, чтобы отредактировать параметры Group Policy в объекте Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall, принадлежащем GPO с именем XP Workstation Computer Configuration. Для редактирования GPO на системе должен быть развернут adminpak.msi; подробности описаны во врезке «Редактирование GPO из системы Windows XP». Не следует беспокоиться, если этой папки не видно, когда консоль Group Policy открывается в первый раз: это значит лишь, что новые параметры Windows Firewall пока не внесены в GPO. Windows автоматически обновит GPO и предоставит параметры, когда администратор начнет редактировать GPO.

В консоли Group Policy следует перейти к объекту GPO с именем Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall. Этот объект содержит две подпапки: одну для профиля домена брандмауэра и одну — для стандартного профиля. Windows Firewall автоматически определяет, подключена ли машина к локальной сети, и если это так, то применяет параметры, заданные в профиле домена. В противном случае Windows Firewall использует параметры, назначенные в стандартном профиле. Наличие двух профилей позволяет применить более строгие политики Windows Firewall для пользователей, работающих вне доверенной внутренней сети. Однако два профиля можно использовать, только если рабочая станция XP входит в состав домена AD, а настроить профили можно только через Group Policy. Далее в статье будет показано, как настроить конфигурацию доменного профиля; следует помнить, что те же параметры содержатся в стандартном профиле. Многие из этих параметров соответствуют ручным параметрам, описанным в статье «Windows Firewall: укрепление защиты», опубликованной в предыдущем номере журнала.

Выбрав папку Domain Profile, нужно дважды щелкнуть на объекте Operational Mode в правой панели и открыть диалоговое окно Properties параметра. Параметру политики можно присвоить значение Not Configured, Enabled или Disabled. Следует выбрать режим Enabled; это позволит настроить Windows Firewall на работу в режиме Off или Enabled. Щелкните на кнопке OK, чтобы закрыть окно настройки. Если выбран режим Not Configured или Disabled (вместо Enabled), то конечные пользователи смогут настраивать Windows Firewall с помощью локальных параметров. Следует помнить, что это справедливо для всех описанных выше параметров: блокирование или отказ от настройки параметра позволяет пользователю изменить параметр локально (если следующему описанному в данной статье параметру, Allow User Preference/Group Policy Settings Merge, присвоено значение Enabled или Not Configured).

Далее требуется открыть окно Properties параметра Allow User Preference/Group Policy Settings Merge. Если эту политику не настраивать (Not Configured), то Windows будет игнорировать назначаемые пользователями параметры Windows Firewall. Если выбрать режим Disabled, то Windows полностью блокирует параметры Windows Firewall для конечных пользователей. В режиме Enabled система объединяет любые разрешения, назначаемые конечными пользователями, с параметрами, заданными групповой политикой. Таким образом, в результате активизации политики Allow User Preference/Group Policy Settings Merge пользователи смогут запустить утилиту Windows Firewall панели управления и самостоятельно назначить исключения для брандмауэра, открывая порты и разрешая выполнение программ. Это не самый лучший подход. Следует выбрать режим Disabled, чтобы запретить пользователям доступ к параметрам Windows Firewall и тем самым предотвратить появление уязвимых мест на рабочих станциях (и в сети).

Откройте окно Properties для параметра Define Allowed Programs, который определяет программы на компьютерах XP SP2, обращения к которым допускаются брандмауэром. Следует выбрать режим Enabled и щелкнуть на кнопке Show, чтобы вывести на экран список разрешенных программ. Чтобы внести программу в список, необходимо ввести путь и несколько других значений в форме executablepath:scope:enabled/disabled:friendly name, где scope может быть LocalSubnet или универсальным символом (*) для всех IP-адресов. Например, запись, показанная на экране 2, определяет Windows Messenger как программу, трафик к которой разрешен из всех IP-адресов. Следует добавить или удалить необходимые программы, затем щелкнуть на кнопке OK, чтобы закрыть диалоговое окно Show Contents, и щелкнуть на кнопке OK, чтобы закрыть диалоговое окно Define Allowed Programs Properties.

Затем нужно открыть Properties для параметра Define Custom Open Ports и выбрать режим Enabled, чтобы определить авторизованные порты для входящих соединений. Для авторизации порта необходимо ввести его в формате, похожем на используемый при выборе программ. Для портов формат имеет вид port number:TCP/UDP:scope:enabled/disabled:friendly name, где scope может быть LocalSubnet или универсальным символом (*). Например, 80:TCP:LocalSubnet:enabled: HTTP позволяет компьютерам локальной сети подключаться к Microsoft IIS на локальной рабочей станции.

Может возникнуть вопрос, каково назначение режима блокировки при определении программ и указании портов в параметрах Define Allowed Programs и Define Custom Open Ports? В документации Microsoft говорится, что любое активизирующее правило для данного порта или программы отменяет любое блокирующее правило для того же порта или программы. Однако Windows Firewall по умолчанию закрывает все порты, поэтому блокирующее правило для закрытия системы применять бессмысленно. Зато блокирующие правила позволяют заранее внести невыбранные исключения в список Programs and Services утилиты Windows Firewall в панели управления. Это облегчает временную активизацию определенных программ и портов, — например, если нескольким специалистам, работающим над проектом в клиентском офисе, необходимо организовать одноранговый обмен файлами между собой.

Параметр Allow Dynamically Assigned Ports for RPC and DCOM позволяет управлять доступом других пользователей внутренней сети или Internet к рабочей станции через RPC (Remote Procedure Call — вызов удаленных процедур) или DCOM (Distributed COM — распределенная модель составных объектов). Этот тип трафика охватывает WMI, удаленный доступ к большинству ресурсов в оснастке Computer Management консоли MMC и множество других процессов. Особенно много проблем с RPC и DCOM возникает в брандмауэрах, так как в обоих случаях используются динамически назначаемые порты. Следовательно, Windows Firewall по умолчанию блокирует доступ входящих запросов RPC и DCOM, за исключением запросов к выполняемым файлам из списка разрешенных программ.

С помощью параметра Allow Dynamically Assigned Ports for RPC and DCOM можно указать, каким образом программы, не определенные в качестве исключений, принимают входящие соединения RPC и DCOM. Если выбран режим Enabled, то необходимо присвоить параметру доступности порта RPC значение None, Entire Network или Local Subnet. Если выбрано значение None, то Windows Firewall разрешает входящие запросы только к программам из списка исключений. Если выбрать Entire Network или Local Subnet, то Windows Firewall будет принимать входящие запросы RPC и DCOM из всей сети или локальной подсети соответственно.

Чтобы задать параметры, которые необходимо активизировать на рабочих станциях XP, требуются тщательный анализ и тестирование. Я рекомендую запретить доступ RPC и DCOM в тестовой сети, а затем полностью протестировать функции управления системой (например, Microsoft Systems Management Server, SMS) и функции удаленного доступа (например, функции консоли Computer Management, сценарии WMI), которые используются для администрирования рабочих станций через сеть. Если установить связь не удается, то нужно определить имя соответствующей серверной программы и настроить эту программу на принятие входящих запросов RPC.

Параметр Allow File and Printer Sharing запускает политику, ускоряющую работу администратора. С ее помощью можно активизировать все порты, необходимые для совместного использования файлов, — в частности, UDP-порты 137, 138 и 139 и TCP-порты 139 и 445. Чтобы активизировать данную политику, необходимо установить режим доступности Local subnet only или Global visibility.

Политика Allow ICMP Settings позволяет управлять обработкой сообщений ICMP (Internet Control Message Protocol — протокол управляющих сообщений Internet) в Windows Firewall. Активизируя эту политику, необходимо разрешить определенные типы сообщений ICMP.

Параметр Allow Remote Assistance Support — еще одна политика, ускоряющая работу администратора. Она определяет, будут ли разрешены незатребованные запросы Remote Assistance. Активизация TCP-порта 135 для всей сети и добавление helpsvc.exe к списку разрешенных программ оказывают такое же действие, как этот параметр.

Параметр Allow Universal Plug and Play задействует политику, ускоряющую работу администратора. Она определяет, разрешит ли Windows Firewall работу протокола Universal Plug and Play (UPnP) на системах XP SP2. Если параметр активизирован, то Windows Firewall открывает TCP-порты 1900 и 2869 и UDP-порт 2869 для всей сети.

Надежное убежище
Новые функции безопасности XP SP2 очень хороши, особенно Windows Firewall. Администратору следует тщательно выбирать порты и программы, которые могут принимать входящие соединения, когда рабочая станция подключена к внутренней сети, и использовать режим LocalSubnet при каждой возможности. Единственный существенный недостаток Windows Firewall — отсутствие режима, подобного LocalSubnet, который позволял бы задавать несколько подсетей; с его помощью брандмауэр мог бы распознавать внутренние и внешние соединения в крупных компаниях. При настройке стандартного профиля следует различать порты и службы, которые должны быть открытыми, когда рабочие станции соединены с intranet и когда компьютеры связаны с какой-нибудь другой сетью. Процедуру развертывания SP2 с применением Group Policy необходимо согласовать с пользователями, чтобы у них не возникало проблем при перезагрузке и запуске процесса установки SP2.

После того как SP2 будет развернут на всех рабочих станциях и компьютеры будут перезагружены, я рекомендую задействовать базовый анализатор Microsoft Baseline Security Analyzer (MBSA) для поиска компьютеров, на которых по каким-то причинам отсутствует SP2. Можно протестировать несколько машин с помощью сканера портов, чтобы убедиться в корректности параметров Group Policy. И как всегда, следует тщательно проанализировать и протестировать возможные последствия установки SP2 перед развертыванием пакета. Эти меры позволят превратить сеть в неприступную крепость.
--------------------------------------------------------------------------------

Редактирование GPO из системы Windows XP
Для редактирования объекта групповой политики в AD с компьютера Windows XP необходима установка adminpak.msi, которая содержит оснастку Active Directory Users and Computers для Microsoft Management Console (MMC). Необходимо установить adminpak.msi, который хранится в каталоге Windows Server 2003 или Windows 2000 (либо на установочном компакт-диске). После установки adminpak.msi следует запустить mmc.exe с командной строки. После загрузки пустой консоли MMC требуется выбрать File, Add/Remove snap-in. Нажмите Add, укажите Active Directory Users and Computers и снова нажмите Add. Затем нужно щелкнуть Close и в конце OK.

Иcточник: http://www.OSP.ru

COMPEBOOK.RU - Компьютерные электронные книги почтой, доставка бесплатно!...

По вопросам сотрудничества обращаться на my-comp@nm.ru
Все вопросы, пожелания и претензии туда же
Автор и редактор: Alexik