.

Протокол HomeGroup

Протокол Microsoft HomeGroup представляет собой открытый стандарт для одноранговых (P2P) сетей, сформированный на основе протокола Web Services on Devices (WSD). Он используется для публикации и обнаружения ресурсов в локальных подсетях без применения инфраструктуры клиент-сервер. Благодаря использованию технологии IPv6 P2P graphing в сочетании с протоколом Peer Name Resolution Protocol (PNRP) компьютеры получают возможность обнаруживать друг друга, не прибегая к помощи сервера DHCP version 6 (DHCPv6). Кроме того, PNRP заменяет имена NetBIOS, а также главный браузер компьютеров, который в течение многих лет служил основой для построения сетей Windows for Workgroups (WFW).

Когда система Windows 7 формирует домашнюю группу (HomeGroup), она создает защищенную одноранговую группу (PeerGroup), позволяющую узлам Windows 7 в локальной подсети разыскивать друг друга и осуществлять обмен данными в защищенном режиме. Сообщения XML WSD различных типов распространяют информацию о существовании домашней группы, а также другие сведения, например коды узлов, однозначно идентифицирующие каждый компьютер в одноранговой группе, учетные данные для учетной записи HomeGroupUser$, сведения о совместно используемых принтерах, а также MAC-адреса, зарегистрированные для того или иного устройства. Сообщения подписываются, а сведения шифруются в соответствии с требованиями к защите от злоумышленников, которые могут предлагать свои услуги в локальной подсети. С помощью 256-разрядного алгоритма хэширования Secure Hash Algorithm (SHA) на основе имени одноранговой группы формируется 256-разрядный ключ Advanced Encryption Standard (AES); этот ключ AES раскрывается с помощью пароля HomeGroup; таким образом гарантируется уникальность сгенерированного хэша. Ключ AES используется для шифрования сообщений, содержащих учетные данные HomeGroup, а также пару 2048-разрядных закрытого и открытого ключей, которые инициатор формирования домашней группы создает и использует для подписи сообщений WSD, обеспечивая таким образом целостность последних. Когда компьютер получает сообщение WSD от HomeGroup, оно сохраняется. Такой порядок избавляет от необходимости выполнять повторный поиск сведений, кроме тех случаев, когда объявляется о том или ином изменении.

Стандартный протокол для файловых серверов Windows Server Message Block (SMB) 2.1 используется с целью передачи файлов с компьютера на компьютер. Когда пользователи обращаются к ресурсам, размещенным на других входящих в домашнюю группу системах, им нет необходимости вводить учетные данные, поскольку учетная запись HomeGroupUser$, а также группа с именем HomeUsers облегчают доступ к совместно используемым ресурсам от имени зарегистрировавшегося в системе пользователя.

Формирование домашней группы и присоединение к ней

Присоединяться к домашней группе HomeGroup могут компьютеры, функционирующие под управлением любой версии Windows 7, но создавать такие группы могут лишь системы версий Windows 7 Home Premium, Professional, Enterprise и Ultimate. Когда пользователь подключается к новой домашней сети, активируется простая программа-мастер; если существующая HomeGroup не выявляется, пользователю предлагается создать новую домашнюю группу и предоставить для совместного использования выделяемые для этого по умолчанию библиотеки, такие как Documents и Videos. В случае включения компьютера в состав домена пользователь может присоединиться к существующей HomeGroup, если таковая обнаруживается в локальной сети.

HomeGroup остается недоступной, если при настройке брандмауэра Windows используется параметр Public; поэтому данной функцией не смогут воспользоваться те, кто намеревается эпизодически предоставлять свои файлы в распоряжение других пользователей общественных точек доступа WiFi. Пока что функция AirDrop, реализованная специалистами Apple, имеет преимущество перед средствами Windows; она позволяет предоставлять файлы для совместного использования с неизвестными устройствами в общедоступных сетях — аналогично тому, как это делается в системах совместного использования файлов Bluetooth. В процессе настройки брандмауэра Windows Firewall вы можете отказаться от присоединения к домашней группе; для этого на экране Join a Homegroup нужно нажать кнопку Cancel, как показано на экране 1, после чего профиль брандмауэра будет настроен соответствующим образом.

 

Присоединение к домашней группе
Экран 1. Присоединение к домашней группе

HomeGroup и списки управления доступом

Когда пользователь открывает для общего доступа ту или иную библиотеку, система Windows модифицирует списки управления доступом к папкам, которые являются частью этой библиотеки. На экране 2 показано, что пользователь, присоединяющийся к домашней группе, получает новый список управления доступом членов группы HomeUsers для своей папки. Этот список предоставляет право просмотра только для первого уровня содержимого папки.

 

Список управления доступом HomeUsers
Экран 2. Список управления доступом HomeUsers

Если вы посмотрите на принадлежащую этому пользователю папку Documents, то увидите, что члены группы HomeUsers получили право просматривать содержащиеся в ней материалы. В момент создания объекта HomeGroup все пользовательские учетные записи добавляются к группе HomeUsers. Во время создания локальной пользовательской учетной записи последняя автоматически включается в группу HomeUsers. До тех пор пока не будет изменена конфигурация по умолчанию, за всеми локальными пользователями сохраняется право доступа к папкам остальных локальных пользователей, которые открыли папки для совместной работы с членами домашней группы.

Мастер настройки HomeGroup дает пользователям возможность предоставлять другим пользователям свои применяемые по умолчанию библиотеки. Конфигурацию с более высокой степенью детализации можно получить, обратившись в окне программы Windows Explorer к меню Share with. Вы можете выделить одну или несколько папок, а затем отключить функцию совместного использования (выбрав в меню Share with пункт Nobody) или предоставить доступ только для чтения (Read) либо для чтения и записи (Read/Write). По умолчанию к материалам библиотек, совместно используемых членами домашних групп, применяются права доступа «только для чтения». Если вы решите с помощью меню Share with предоставлять пользователям право на чтение и запись, не забывайте о том, что фактически пользователи получат в этом случае полный набор полномочий Full Control (то есть смогут, помимо прочего, удалять файлы).

Когда вы будете создавать домашнюю группу или присоединяться к таковой, не пытайтесь манипулировать списками управления доступом с помощью вкладки Security диалогового окна Properties соответствующего файла или папки; выполняйте эти действия в окне программы Windows Explorer. В меню Share with имеется пункт, предусматривающий возможность совместной работы с определенными лицами (Specific people). Используемая по умолчанию конфигурация Windows предполагает возможность выбора только локальных учетных записей и групп. Если вы хотите наладить взаимодействие с тем или иным удаленным пользователем, имейте в виду, что этот пользователь должен иметь учетную запись на локальном компьютере, в которую включены имя пользователя и пароль, установленные на удаленном компьютере. Как показано на экране 3, с помощью экрана Advanced sharing settings центра управления сетями и общим доступом Network and Sharing Center вы можете настроить домашнюю группу таким образом, чтобы вместо учетной записи HomeGroupUser$ она использовала ту или иную запись локального пользователя.

 

Дополнительные настройки общего доступа
Экран 3. Дополнительные настройки общего доступа

Задача поддержания настроек домашних групп, включая списки управления доступом к разделяемым папкам, возлагается на системную службу HomeGroup. При исключении компьютера из состава домашней группы все ранее добавленные списки управления доступом удаляются.

Домены и домашние группы

Компьютеры, входящие в состав доменов, не могут создавать домашние группы, зато они могут быть включены в домашнюю группу, сформированную на другом компьютере с Windows 7. Чтобы присоединиться к существующей домашней группе, пользователь должен прежде всего удостовериться в том, что в сетевом профиле Windows FireWall использована настройка Home. В системе Windows 7 пользователи домена могут изменять расположение сети без предварительного повышения уровня привилегий. Вы можете отказаться от этого режима, открыв редактор групповых политик и указав в разделе Computer Configuration, Administrative Templates, Network, Network Connections настройку групповой политики Require domain users to elevate when setting a network’s location.

По соображениям безопасности пользователи домена не могут работать с ресурсами совместно с локальными пользователями. Если не входящий в состав домена компьютер создает домашнюю группу или входит в ее состав, то в дальнейшем при вхождении этого компьютера в состав домена все размещенные на нем разделяемые ресурсы будут отключены.

Какие вопросы надо ставить в процессе диагностики домашних групп

Только одна домашняя группа может функционировать в подсети, и система Windows 7 может быть членом лишь одной домашней группы. Если вы хотите войти в состав домашней группы в другой локальной сети, вам прежде всего необходимо удалить устройство из существующей домашней группы. Использоваться в качестве разделяемых ресурсов могут лишь диски, отформатированные в соответствии со стандартом NTFS; иначе говоря, в этом качестве не могут выступать ни компакт-диски, ни накопители DVD-ROM, ни файловые системы на базе стандарта FAT. Если вы столкнулись с трудностями при формировании домашней группы, выполните следующие действия.

  • Убедитесь в том, что брандмауэр Windows Firewall настроен правильно. Для настройки брандмауэра в автоматическом режиме обычно бывает достаточно указать в его профиле параметр Home. Подробное описание требований к брандмауэру HomeGroup можно найти в документе Microsoft «HomeGroup and Firewall Interaction», опубликованном по адресу www.microsoft.com/download/en/details.aspx?id=10561.
  • Проверьте настройки локального сетевого адаптера. Средства IPv6 должны быть активированы.
  • Удостоверьтесь в том, что локальная подсеть допускает осуществление многоадресного трафика и что такой трафик поддерживается сетевыми адаптерами и другими сетевыми устройствами, включая маршрутизаторы, а также коммутаторы.
  • Проверьте, не блокируются ли проходящие через домашнюю группу данные программными средствами безопасности сторонних производителей.

Данные, показанные на экране 4, имеют отношение к двум одноранговым группам. Группа Global_ cloud не представляет для нас интереса; отношение к домашней группе имеют только сведения, поступившие от группы LocalLink. В числе этих сведений — адреса IPv6, а также P2P-данные для локального сетевого адаптера; мы можем заключить, что одноранговая группа находится в рабочем состоянии.

 

Диагностика с помощью утилиты Netsh
Экран 4. Диагностика с помощью утилиты Netsh

Контекст netsh p2p pnrp diag также содержит полезные при проведении диагностики команды ping и traceroute. Но если ваша локальная сеть соответствует базовым требованиям со стороны Windows HomeGroup, у вас вряд ли возникнет необходимость применять новаторские диагностические функции, реализованные в утилите Netsh.

Действуем с осторожностью

Всякий, кому доводилось иметь дело с системой NetBIOS или со службой WINS, знает, какие сложности порой возникают при выполнении даже самых элементарных задач по настройке сетей с использованием средств Windows for Workgroups. Широко известно и то, что поиск неисправностей при решении таких задач требует от исполнителя солидной технической подготовки. Поэтому функцию Windows HomeGroup можно считать удачным дополнением к операционной системе. Несомненно, с ее появлением формирование простых одноранговых сетей станет легко решаемой задачей как для администраторов, так и для не имеющих технической подготовки пользователей.

Реализация HomeGroup с помощью таких компонентов, как IPv6, WSD и SMB, обеспечивает надежную защиту данных. Если конфигурация вашего беспроводного маршрутизатора предусматривает достаточный уровень безопасности, можете смело применять HomeGroup в беспроводной сети, не беспокоясь о том, что тем самым вы повышаете риск компрометации данных, передаваемых с помощью радиоволн.

Однако необходимо внимательно следить за состоянием локальных списков управления доступом, посредством которых одни пользователи локальных компьютеров могут получить доступ к файлам других локальных пользователей. Функция HomeGroup изначально не позиционировалась как решение для задач бизнес-класса, поэтому следует продумать, какие последствия в отношении безопасности могут возникнуть в случае использования этой функции в ситуациях, когда применяются учетные записи локальных пользователей.

Рассел Смит (rms@russell-smith.net) — независимый ИТ-консультант, специализируется на управлении системами