Если вы не уверены в надежности защиты своей сети, вам следует просмотреть предыдущие главы этой книги. По-видимому, сетям могут угрожать немало опасностей, которые подчас кажутся непреодолимыми. Мы надеемся, что вы внимательно прочтете все главы этой части. Эта глава поможет вам повысить безопасность вашей сети. Аббревиатура ЗС означает защита сети. Однако ее можно и толковать как здравый смысл. Вы можете существенно повысить безопасность своего компьютера, нужно лишь немного подумать. В этой главе приводится 62 основных принципа повышения безопасности ваших систем. Как и все лучшее в этой жизни, большинство из них не требует никаких затрат. Предотвращение полной потери с помощью резервного копирования 1. Любые меры по обеспечению безопасности рано или поздно стано вятся бесполезными. Они лишь предупреждают катастрофу. Если пользователь по глупости запустил FDISK или FORMAT или произошла кража сервера или компьютера, или серьезный отказ аппаратного обеспечения, вы можете восстановить свои файлы, если имеете резервную копию. Установите на сервер хороший стример (tape drive), емкость которого, в идеальном случае, превышала бы емкость любого логического диска сервера, и выполните резервное копирование на магнитную ленту. (Уже появились накопители объемом 4 Гбайт и более по вполне доступным ценам.) Установите какое-нибудь хорошее системное программное обеспечение стримера, например ARCServe фирмы Cheyenne. Выполняйте, как минимум, раз в день частичное (incremental) и раз в неделю полное резервирование. 2. Перед созданием резервной копии файлов убедитесь, что сохраняете только нужные данные. Ваш командный файл может содержать вызов условно-бесплатной программы, например, S&D для поиска и удаления любых промежуточных рабочих файлов, созданных при редактировании (например, *.BK! для WordPerfect). Время от времени просмат ривайте сервер и удаляйте ненужные копии. Чем меньше резервируемых файлов, тем быстрее идут процессы резервирования и восстановления ваших файлов с резервной копии и тем меньший расход магнитной ленты. S&D можно найти в CompuServe в файле S-D.ARC. 3. Создайте командный файл для автоматического удаления файлов на машинах пользователей. Половина содержимого каталога DOS нико гда не используется (например, CTTY, COUNTRY.SYS), а некоторые файлы могут не использоваться большинством пользователей (напри мер, CHKDSK, FORMAT, FDISK, BACKUP, RESTORE, RECOVER, CARDFILE, REVERSI, SOLITAIRE и др.). Решите, как поступить в этом случае. Посоветуйтесь с пользователями и руководством, чтобы не причинить никому вреда, затем выполните S&D для удаления ненужных файлов. 4. Не создавайте больше одной резервной копии программ. Ежедневное или еженедельное копирование всего, что оканчивается на.COM или.EXE, необязательно, если вы не программист. Установите в программе резервного копирования режим исключения таких файлов. Може те выполнять ежемесячное полное резервное копирование, если вы изменили структуру ваших дисков. 5. Какое программное обеспечение вы не использовали бы для ре зервирования, устанавливайте в нем режимы, обеспечивающие макси мальную надежность копирования, а не максимальную скорость. Чем тщательнее контроль ошибок при резервировании и чем больше корректирующего кода вы сможете поместить на носитель, тем больше шансов сделать что-то полезное и получить резервную копию, которой можно доверять. 6. Храните копии в прохладном месте, предохраняйте от солнечных лучей и тепла. Для того чтобы предотвратить воровство или возгорание, храните копии в надежном месте, вдали от устройства резервирования. Убедитесь, что на резервных копиях указаны источник, дата и содержимое. 7. Предоставьте пользователям сети возможность использовать ко манду меню, например XCOPY, для создания резервных копий файлов на сервере. В этом случае пользователи смогут производить ежедневное копирование своих файлов на сервер, а вы их копирование на ленту. Если память сервера ограничена, разделите файлы по двум каталогам архив (archive) и резерв (backup). Любой файл, скопированный пользователем в ARCHIVE на сервере при персональном резер вировании, можно удалить из сервера после того, как каталог с архивом будет перенесен на ленту. 8. Предоставьте пользователям портативных компьютеров возмож ность резервировать свои файлы на сервере с помощью средств, по добных сетевым адаптерам фирмы Xircom, которые подключаются к лю бому параллельному порту. Эти адаптеры позволяют пользователю пор тативного компьютера войти в сеть и выполнить резервное копирова ние так, как это делает пользователь настольного ПК. 9. Если у вас нет сети, на которой пользователи могли бы выпол нять резервное копирование, приобретите ее. Недорогая LAN (напри мер, NetWare Lite), соединяемая последовательными кабелями, позволяет многим пользователям пересылать копии своих файлов на другую машину, с которой вы можете выполнить резервное копирование. Всего один стример и недорогая сеть помогут сохранить покой в душе, и это гораздо дешевле, чем спасать положение при отсутствии резервных копий. 10. Запомните, что и резервное копирование не достаточная мера безопасности. Если ленты невозможно прочесть (из-за того, что головки накопителя засорились, разладился механизм позиционирования над дорожкой или по другой причине, например из-за неправильного хранения лент), резервирование бесполезно. Проверьте сразу же пра вильность восстановления с ленты. Если вы можете восстановить файлы с ленты, с системой все в порядке. Но архивные магнитные ленты могут потерять способность к восстановлению, поэтому их следует регулярно (каждые полгода) перематывать, читая с них файлы и за тем копируя их опять на ленты. Помочь пользователям это помочь самому себе 11. Убедитесь, знают ли пользователи, как можно восстановить удаленный файл. Обучите их применению UNDELETE, QU, SALVAGE или любо му инструменту восстановления, принятому в вашей организации. 12. Убедитесь, что пользователи знают, как полностью удалить файл. В NetWare они для этого могут выполнить PURGE. В DOS любую из программ, затирающую удаленную информацию, например WIPEFILE из набора утилит Нортона. 13. Предоставьте каждому пользователю быструю и простую в приме нении антивирусную программу, заслуживающую доверия. Подключите ее к пользовательскому меню и попросите пользователей применять эту программу при подозрении заражения вирусом. 14. Проверьте, знают ли пользователи сети, как изменять свои па роли, и убедите их в том, что они должны делать это при малейшем подозрении о возможном разглашении паролей. Предотвращение кражи 15. Предотвращайте кражу, напыляя краску с тыльной стороны мониторов, на кнопках клавиатуры, а также рычажках, штырьках и кноп ках всех системных устройств цветом, выбранным вашей организацией специально для этих целей, например ярко оранжевым или зеленым. Распылитель не вредит функциональным возможностям (если вы, конечно, не попытаетесь покрасить даже экран монитора), но в значитель ной степени снизит цену перепродажи устройства, делая его менее привлекательным для вора. 16. Предотвратите кражу, делая персональный компьютер действительно персональным. Позвольте пользователям настроить свои меню, налепить на монитор памятки и наклейки, короче говоря, сделать все, что им хочется. Объясните им, что если машина не будет украдена, они смогут получить ее, когда уволятся (или когда машина будет снята с эксплуатации, в зависимости от того, что произойдет раньше). Убедите их закрывать двери своего кабинета на ночь и при выходе из него. Делайте все возможное, чтобы заставить их соблюдать правила (например, проверяйте дверные замки по пути домой и делайте замечания пользователям, чьи двери вам пришлось закрывать самому). 17. Предотвратите кражу компонентов, находящихся внутри машины. Сделайте ПК устойчивым к постороннему вмешательству (tamper resistant), заменив единственный винтик с обратной стороны машины на винтовой элеватор (elevator screw) хитрого бесенка, требующего специального инструмента для удаления. Естественно, вам самому понадобится один из тех инструментов, которыми пользуются лица, обслуживающие машину. Этот единственный винтик можно снять, но, как правило, только повредив шасси. 18. Научите каждый ПК засвидетельствовать вмешательство (tamper evident), капнув лаком для ногтей на головку винта с обратной стороны машины и убедившись в том, что лак немного растекся по примыкающему корпусу. Никто не сможет удалить крышку, не удалив винт, и удалить винт, не расколов лак для ногтей. Лак бывает 45351928 цветов, так что у нарушителей будет мало шансов подобрать подходящий цвет. 19. Защитите серверы, поместив их в комнату, которая всегда закрывается. Эта комната не должна быть кладовкой (сервер заслужива ет свежего прохладного воздуха), но должна иметь хороший замок. Храните ключ в безопасном месте, например на личном кольце для ключей. Главную копию ключа следует спрятать подальше. Только не которые служащие могут иметь ключи от этой комнаты. 20. Предотвратите кражу, разработав оптимальный план совместных действий со службой охраны. Убедитесь, что охрана имеет сведения (например, образец подписи) о тех, кому разрешен вынос оборудования из помещений, и может идентифицировать по удостоверению личность любого человека, выносящего какое-либо имущество организации. Используйте журналы для регистрации всего вносимого и выносимого из помещения. 21. Облегчите идентификацию украденных вещей в полицейском участке, фиксируя их серийные номера в главном журнале. Присвойте серийные номера всем устройствам и их комплектующим. Существует много систем маркировки, но достаточно приклеить маленький ярлычок на обратной стороне каждого компонента. 22. Для того чтобы найти оборудование, поместите метку где-ни будь внутри каждого системного устройства. Метка может быть почтовой карточкой или даже рукописным ярлычком с неудаляемым (indelible) маркером. Метка должна содержать, например: "Этот ком понент является собственностью _______ и был украден. Сообщите xxx-xxx-xxxx за вознаграждение". 23. Ваш страховой полис может возместить кражу. Вместе со своим страховым агентом продумайте, какие доказательства необходимы для предъявления иска. Возможно вам придется регулярно проводить инвентаризацию всего оборудования и отчитываться о потерях в полиции. Если ваш страховой полис не компенсирует кражу, обратитесь в страховое агентство Safeware, которое предлагает очень выгодные условия возмещения убытков от кражи, сильного землетрясения и не счастных случаев. Телефон агентства 614-262-0559. Предотвращение бутовых вирусов 24. Вы можете легко предотвратить бутовые вирусы, заблокировав дисковод A на всех компьютерах. Бутовые вирусы составляют большинство обычных вирусных заражений, активизирующихся при каждой загрузке с диска, имеющего зараженный загрузочный сектор (или главный загрузочный сектор). Если вы не можете выполнить загрузку с диска A, вы не можете занести бутовый вирус на жесткий диск. Большинство пользователей используют только диск B и жесткий диск. Во многих самых новых машинах вы можете запретить использовать дисковод A в качестве устройства начальной загрузки, выполнив для это го программу SETUP, записывающую соответствующую информацию в CMOS. Можно также блокировать на всех машинах дисковод A, отключив его физически. (Вы можете оставить дисковод в машине, отсоединив только кабель на задней стенке дисковода.) Если машина имеет два дисковода, вы должны решить, какой из них будет дисководом B, и отрегулировать коммутацию кабеля (или настроить перемычку). Предотвращение файловых вирусов 25. Вы можете почти полностью предотвратить появление файловых вирусов на сервере, перестроив его таким образом, чтобы пользова тель не мог записывать информацию в любой каталог, содержащий ка кие-либо выполнимые файлы. Если пользователь не может записать в каталог, это не удастся и вирусу, находящемуся в памяти компьюте ра. Запомните, защита выполняется на уровне каталога, а не на уровне файла. Атрибуты файла, такие как read-only, не являются преградой для большинства вирусов. Для защиты выполнимых файлов в каталогах, доступных только для чтения, вы должны изменить некоторые уста новки приложения таким образом, чтобы файлы параметров сохраня лись в тех каталогах, к которым пользователь имеет право досту па на запись. 26. Когда пользователь регистрируется в сети, пусть процедура регистрации выполнит простую проверку отсутствия каких-либо критиче ских изменений в машине пользователя. Вы можете убедиться в том, что COMMAND.COM, IPX и NETX не заражены, выполнив, например, COMP для сравнения копий на машине пользователя с копиями, хранящимися на сервере. (Убедитесь, что копия на сервере находится в каталоге, где пользователь не имеет права записи.) Если при сравнении получим отрицательный результат, процедура регистрации должна завершить работу пользователя в сети, предварительно записав в файл журнала идентификатор пользователя, время, дату и диагностику происшедшего события. 27. При регистрации пользователя в сети используйте в процедуре регистрации программу DOS MEM для проверки существования вируса в памяти рабочей станции. MEM отображает содержимое памяти машины на экране, но если при регистрации указать MEM/C>USERMEM, она поместит информацию о содержимом стандартной (conventional) памяти в файл с именем USERMEM. Следующая строка процедуры регистрации может вызвать простую программу (вы можете написать ее сами), которая читает этот файл для того, чтобы определить, находится ли в памяти что-либо инородное и не отличается ли размер обычных файлов от нормального. Если программа находит какие-либо несоответствия, она может прервать работу пользователя в сети. Применение управления доступом к ПК 28. Как правило, ПК приобретают уже с определенной формой управления доступом. Например, большинство машин имеют замки (keylock), а многие ПК и встроенные средства парольной защиты. Воспользуйтесь преимуществами тех средств, которые обеспечиваются при поставке. 29. Если хотите добавить какое-либо несложное средство управления доступом к ПК, обратите внимание на такие бесплатные и условно-бесплатные продукты, как PASSWORDS, PASSWORD, PASSWRD и др. Предотвращение пиратства программного обеспечения 30. Предотвратите пиратство программного обеспечения, удалив локальные дисководы. ПК, которые подключаются к локальной сети, могут в большинстве случаев обойтись одним лишь жестким диском. По ставьте одну или две машины с дисководами для чтения с гибких дисков в кабинете администратора, чтобы пользователи могли копировать свои файлы из сервера на дискеты. Предотвращение непреднамеренной утечки информации 31. Установите на каждом ПК блокировщик экрана (screen blanker), который требует пароль для продолжения работы и предоставляет пользователям возможность управления длительностью блокировки экрана. Блокировка экрана предотвращает излишнее любопытство изучение содержимого чужого экрана. Блокировка экрана не обеспечивает абсолютного управления доступом. Любой, не знающий пароля, может перегрузить машину для ее исследования. Однако эта мера предотвращает случайный просмотр содержимого экрана, не вынуждая пользователей беспрерывно сохранять результаты своей работы и выходить из среды приложений. Можно воспользоваться как бесплатными или общедоступными, так и недорогими условно-бесплатными, а также коммерческими продуктами. 32. Почти каждая важная идея или работа, когда-либо созданная вашей организацией, находит свой путь к уязвимому сетевому принтеру. Вы должны следить за секретной информацией, выводя ее на печать. Предотвращайте кражу этой информации, установив принтер в помещении, где помощники администратора будут физически распределять вывод пользователей при запросе на распечатку. Либо производите выдачу через почтовую комнату (mail room), в которой распечатки распределяются в зависимости от уровня секретности. Какую систему вы не создали бы, заранее предположите, что она не будет работать, и продумайте запасной вариант. 33. Если вы не можете обеспечить защиту сетевого принтера, не по сылайте на него ничего ценного, требующего защиты. Приобретите локальные принтеры для пользователей, работающих с важной информацией, или предоставьте им возможность пользоваться сетью, имеющей собственные защищенные принтеры. Убивающие своей ценой лазерные принтеры постепенно становятся дешевле, и вы, вероятно, сможете позволить себе один или два для печати важной информации. 34. Если вас не устраивают такие решения, тогда не разрешайте пользователям, имеющим доступ к важной или секретной информации, использовать принтер. Направляйте их запросы на печать офицеру безопасности, подключая файл к сообщениям электронной почты. Офи цер безопасности сможет напечатать документ и доставить его поль зователю. 35. Пересмотрите свой мусор. Любую бумагу с важной информацией необходимо уничтожить перед уборкой. Возможно, для этого вам при дется приобрести несколько дополнительных бумагорезательных ма шин, а то и пресс. Не обращайте внимания на рутину. Конфиденциальность превыше всего. 36. Если после этих рекомендаций у вас все еще на машине имеется дисковод, а на жестком диске содержится некоторая секретная информация, разместите эту информацию на гибком диске и храните его в сейфе. Если ваша информация должна храниться в сейфе, но не помещается на дискету, воспользуйтесь переносным компьютером и не забывайте закрывать его в сейфе на ночь. Попробуйте использовать сменные жесткие диски или дисковод Бернулли. 37. Если вы обнаруживаете продолжительные периоды бездействия на подключенной к сети машине, отключайте ее от сети. Резидентная программа, например, IDLEBOOT может делать это автоматически. Вы можете настроить IDLEBOOT на большое число всевозможных проверок активности или даже на отключение пользователя в определенное время. Простаивающей машиной, оставленной своим пользователем, может воспользоваться несанкционированный пользователь. Защита сервера 38. Для того чтобы помешать злоумышленнику загрузить такую про грамму, как TEMPSUP.NLM (которая предоставляет все права администратора в сетевой ОС NetWare 3.11), вы должны заблокировать дисководы сервера. В NetWare 3.11 это можно сделать с помощью команды консоли REMOVE DOS для того, чтобы запретить доступ с консоли к локальным гибким дискам до перезагрузки сервера; тем самым вы еще и освободите немного памяти для NetWare. 39. Для того чтобы помешать злоумышленнику загрузить TEMPSUP.NLM на сервер из личного каталога, заблокируйте консоль с помощью бло кировщика экрана. Одна из лучших программ для этой цели условнобесплатная программа NLMOLCK2. Эта программа-блокировщик экрана работает автоматически. Для того чтобы разблокировать консоль, вы можете использовать пароль вашего администратора. 40. Если вы хотите воспрепятствовать злоумышленнику отключить в выходные сервер и получить совершенно секретные файлы с помощью таких утилит, как Norton, Fifth Generation, Central Point или Ontrack, отключите дисководы сервера. Откройте корпус сервера, удалите кабель напряжения с обратной стороны дисковода, закройте корпус, опечатайте его с помощью винтового элеватора и затем за прите дверь комнаты сервера. Использование средств безопасности, предоставляемых операционной системой сети 41. Если вы имеете сеть NetWare, считайте, что вам повезло, поскольку она имеет добрый десяток средств защиты. Другие сети имеют лишь некоторые средства защиты, и вы должны познакомиться с ними поближе. Убедитесь, что все декларированные средства защиты действительно подключаются. (Обратитесь к части IV, в которой рас смотрены средства защиты основных сетевых операционных систем.) 42. Настойчиво требуйте, чтобы пользователи выбирали пароли, которые легко запомнить (но при этом трудно забыть) и трудно угадать (нет ключа к разгадке), которые составлены не на английском языке (так как невозможно воспользоваться словарем) и имеют длину не менее 5 или 6 символов. Установите режим, при котором происходит принудительное отключение пользователя от сети в случае десяти (или даже меньше) некорректных попыток регистрации. 43. Не разрешайте администраторам входить в сеть с любой незащи щенной рабочей станции. Защищенная рабочая станция это не инфи цированная вирусом станция, размещенная в запираемой в отсутствие администратора комнате. 44. Применяйте существующие инструменты управления защитой, на пример SECURITY в NetWare, чтобы установить уязвимость вашей се ти. 45. Ежедневно просматривайте контрольные журналы, используя инструмент, способный глубоко и подробно проанализировать и подытожить результаты. Примером такого инструмента является программа PAUDIT2 для NetWare. Анализируя контрольный журнал, обращайте внимание на вторжения, на неожиданное появление новых администрато ров, пользователей, пытающихся обойти систему парольной защиты, и другие виды нарушений. Вы сможете облегчить себе работу, подключив такие программы проверки к своей процедуре регистрации. Предотвращение внешних атак 46. Применяйте в вашей системе модемы с обратным дозвоном на модем-сервере (modem server) для предотвращения нежелательных звонков. Продумайте вопрос о конфигурации, которая после обнаружения сигнала несущей не отвечает на входящий звонок в течение 10 секунд и более. Это поможет избежать атак со стороны тех, кто пытается подобрать номер с помощью автоматических устройств, так как время ожидания ответа устанавливается менее 10 с. 47. Не выводите на экран сообщений, идентифицирующих ваше место нахождение, поскольку это привлекает внимание нарушителя. Отображайте на экране сообщения, информирующие о том, что система открыта только для санкционированных пользователей, а несанкционированные пользователи будут преследоваться. 48. Сейчас появились анализаторы глобальных сетей, позволяющие перехватывать поток сообщений. Зашифруйте все, что представляет особую ценность, а еще лучше вообще все. Если возможно, произве дите аппаратное шифрование. 49. Если вам не нужна открытая связь с внешним абонентом, закройте все внешние каналы связи. Вы можете, например, воспользоваться такой программой, как LOGINCHK, чтобы определить, включается ли модем рабочей станции, когда пользователь применяет его для входа в сеть. Предупреждение преждевременного отказа аппаратного обеспечения 50. Формула для приготовления печеной картошки: температура * время = блюдо. Чем выше температура, тем скорее будет готова картошка. Для того чтобы продлить время до перегрева микросхем в вашем компьютере, держите его в прохладном месте. Вот совет Ш1 по предотвращению перегрева: выключайте машину, если не собираетесь работать час или около того. Выключайте ее и на ночь. Если вы про контролируете, чтобы все машины выключались на ночь, вы, кроме всего прочего, предотвратите тайное использование сети вечерними посетителями. И сэкономите на счетах за электроэнергию. 51. Позаботьтесь о том, чтобы столы ни на сантиметр не передвигались при включенных машинах. Если это произойдет, велика вероятность, что головки повредят поверхность пластин диска, полностью разрушая информацию и компоненты. 52. Паркуйте головки жесткого диска, когда он включен. Это самый подходящий момент для отвода головок от данных, поскольку диски крутятся быстро и головки просто парят над их поверхностью. Пар куйте головки с помощью бесплатной резидентной программы TIMEPARK, представленной на BBS фирмы Norman Data Defense Systems, номер 202-364-0644. 53. Не злоупотребляйте инструментами, тестирующими диск, напри мер SpinRite. Чем чаще вы тестируете диск, тем он быстрее изнашивается. Тестируя диск по выходным дням, можно продлить срок службы на два года, что важно, поскольку эти части компьютера не долговечны. 54. Выполняйте неразрушающее низкоуровневое форматирование любого жесткого диска, например MFM/ST-506, раз в два года или тогда, когда увидите сообщение об ошибке Sector not found ("Сектор не найден"). Такое форматирование продлевает срок службы диска. При выполнении команд FORMAT или FDISK на жестком диске адреса секторов не записываются, это происходит при низкоуровневом форматиро вании в заводских условиях (до приобретения диска). Можно выполнить низкоуровневое форматирование дисков любыми бесплатными, условно-бесплатными или коммерческими продуктами. Профилактика аварий аппаратного обеспечения 55. Если жесткий диск случайно отформатирован, труднее всего восстановить файлы, находящиеся в корневом каталоге. В качестве меры предосторожности размещайте в корневом каталоге как можно меньше файлов. В корневой каталог необходимо поместить лишь CONFIG.SYS и AUTOEXEC.BAT. COMMAND.COM и другие программы могут храниться в каталоге DOS. (Пользуйтесь SHELL или SET для переопределения размещения.) 56. Представьте, что аккумулятор в вашей машине поврежден. Если это произойдет, содержимое CMOS-памяти погибнет. Единственное, что действительно важно в CMOS-памяти, это тип жесткого диска. Без этой информации вы не сможете обеспечить правильный доступ к дисководу. Поэтому, не дожидаясь выхода из строя аккумулятора, вы полните SETUP, запишите номера головок, цилиндров каждого дисковода на этикетку и прикрепите ее сзади к машине. Вы можете также применить какую-либо программу, например CMOS.COM, которая сохраняет и восстанавливает информацию CMOS. Когда аккумулятор оконча тельно выйдет из строя, вы будете к этому готовы. 57. Создайте резервную копию информации главной загрузочной записи. Просто воспользуйтесь утилитами Нортона (или другой програм мой) для чтения дорожки нулевого и первого цилиндров, первого сектора и запишите информацию в файл. Сохраните этот файл на запасной дискете, предназначенной для помощи в экстренных ситуациях, пометьте ее и поместите в надежное место. Без этой информации при менение команды FDISK, помещающей текущую информацию на логические диски D:, E: и т.д., рискованно. 58. Не оптимизируйте ваш диск для увеличения его скорости. Оптимизация не дает никакого заметного увеличения скорости, но требует много времени. Выполняйте оптимизацию всякий раз, когда вы завершили проект или большой отчет и создали его резервную копию. Оптимизация дефрагментирует файлы, упрощая тем самым последующее восстановление. Оптимизация также не позволяет восстановить удаленный файл, поэтому не оптимизируйте диск, пока не будете уверены в том, что вам ничего не нужно восстанавливать. Изучение основ восстановления данных 59. Изучите, как заменить мотор жесткого диска или логическую плату на жестком диске, если они вышли из строя. Для этого необходимы простые инструменты и едва ли особый технический талант. Есть много книг, которые научат вас, начиная с самых азов, как возвращать дисководы к жизни. 60. Изучите принципы хранения файлов в DOS, принципы работы FAT и т.д. Приобретите последнюю версию Norton Utilities и попытай тесь восстановить данные с дискет перед тем, как это вам действи тельно понадобится. 61. Для того чтобы восстановить данные, работайте с резервными копиями только в том случае, если сделали небольшую ошибку. Може те пользоваться DISKOPY для копирования поврежденной дискеты и по том работать с копией. Можно воспользоваться накопителем на ленте ( сделать полную копию всего жесткого диска, затем сбросить ее на подобный жесткий диск на другой машине и попытаться восстановить ее с копии. Небольшая предосторожность здесь не повредит. Определение правил 62. Вероятно, вы знаете, что до недавнего времени все до одного игнорировали ваши правила обеспечения безопасности. Вместо того чтобы писать новые правила, попробуйте вообще не диктовать правил. Вместо этого предложите пользователям и руководителям эту книгу и позвольте им создать свои собственные правила. Может быть они будут следовать своим собственным правилам охотнее, чем вашим. Резюме У вас трудная работа, но вы надеетесь найти какие-нибудь коммер ческие продукты для ее облегчения. Да, они действительно вам по могут, но, прежде всего, руководствуйтесь правилами, подсказан ными здравым смыслом. Эта глава поможет вам в этом. Если вы услышали что-то однажды, вы будете слышать это тыся чу раз. Резервное копирование. Девять из десяти компьютерных док торов рекомендуют им пользоваться. Но не все делают это должным образом; выполняйте эту работу тщательно. Не резервируйте времен ные файлы, резервируйте COM- и EXE-файлы реже, чем свои электрон ные таблицы, и обязательно резервируйте локальные жесткие диски на сервере. Методом тренировок прививайте пользователям навыки восстановления данных и предотвращения появления и распространения вирусов, что облегчит вашу участь, когда кому-то действительно понадобится ваша помощь. Подходите творчески к применению таких методов управления доступом, как противодействие вмешательству и визуализация вмеша тельства - лак для ногтей может сослужить вам хорошую службу. Предотвращайте заражения бутовыми вирусами, отключив диско вод A, и файловыми вирусами, реконфигурировав каталоги на вашем сервере и проверив подключенные рабочие станции пользователей. Для частичной автоматизации процесса создайте командные файлы для входа в сеть. Совершенствуйте свои навыки восстановления данных и принимайте превентивные меры, например парковку головок и создание копии главной загрузочной записи. Советы в этой главе - это лишь малая толика того, что вы можете предпринять для защиты. Следующие главы этой части рассматривают упомянутые здесь методы управления, а также другие вопросы обеспечения безопасности.