თავი 13.

სისტემის უსაფრთხოება და კონფიდენციალურობა

13.1. Windows ფაიერვოლი

ფაიერვოლის ძირითადი დანიშნულებაა პაკეტების ფილტრაცია. ის ამოწმებს ყველა პაკეტის
თავსართს, რომლებიც გადაიცემა კომპიუტერის ქსელურ ინტერფეისებზე და ამ პაკეტებზე ასრუ-
ლებს იმ მოქმედებებს, რომლებიც შეესაბამება ფაიერვოლში გაწერილ წესებს.
ფაიერვოლი შეიძლება გამოყენებულ იქნას, როგორც ერთი კომპიუტერის დასაცავად (მაგა-
ლითად ინტერნეტში ჩართული პერსონალური კომპიუტერი), ასევე მთლიანი ქსელის დასაცავად.
ქსელის შემთხვევაში ფაიერვოლი დგება Gateway („კარიბჭე“) - კომპიუტერზე, რომელიც უზრუნ-
ველყოფს ქსელის დანარჩენი კომპიუტერების ინტერნეტში წვდომას. მოცემულ თავში ჩვენ არ გან-
ვიხილავთ ქსელურ ფაიერვოლს, არამედ განხილული იქნება Windows ოპერაციულ სისტემაში
ჩაშენებული პერსონალური ფაიერვოლი.
ლოკალური ფაიერვოლის მთავარი ფუნქციებია:
 კომპიუტერის დაცვა ყველა შესაძლო შეტევისაგან;
 კომპიუტერის დაცვა ქსელური „ჭიებისაგან“ (Worm);
 ზიანის მომტანი პროგრამების და არასასურველი ტრაფიკის დაბლოკვა.
დაწვრილებით განვიხილოთ ფაიერვოლის მუშაობის პრინციპი. როგორც ვიცით, ქსელში
მონაცემები გადაიცემა არა მთლიანად, არამედ პატარა ნაწილებად - პაკეტებად. წარმოიდგინეთ,
ინფორმაცია ერთიანად რომ გადაიცემოდეს ქსელში. სანამ ქსელის ერთი წევრი იწერს ფილმს,
ქსელის ყველა დანარჩენი კლიენტი ელოდება გადმოწერის დასრულებას. ამიტომ გადასაცემი
მონაცემები იყოფა პაკეტებად და თითოეული პაკეტი ცალკე გადაიცემა. პაკეტი შედგება ორი
ნაწილისაგან თავსართი (Header) და ტანი (Body მონაცემთა სივრცე). თავსართი შეიცავს ისეთ
ინფორმაციას, როგორიცაა: გამგზავნის მისამართი, მიმღების მისამართი, გამგზავნის და მიმღების
პორტი, გადასაცემი მონაცემების ზომა და ა. შ. პაკეტის ტანი შეიცავს თვითონ მონაცემებს,
მაგალითად, გადასაცემი ფაილის ნაწილი, ელექტრონული ფოსტა, ხმოვანი შეტყობინება და სხვ.
ფაიერვოლი აანალიზებს ყველა პაკეტის თავსართს, რომელიც გადის ქსელური ინტერფეისის
საშუალებით. თავსართის თითოეული ველი (გამგზავნის IP-მისამართი, მიმღების IP-მისამართი
და ა. შ.) ემორჩილება ფაიერვოლის წესების ნაკრებს. წესების ნაკრები (Rules) იქმნება სისტემური
ადმინისტრატორის მიერ. ნაგულისხმევად, ფაიერვოლს უკვე აქვს წესების ნაკრები, რომელიც
აუცილებლობის შემთხვევაში შეგვიძლია შევცვალოთ. ყოველი წესი იძლევა პაკეტების და მოქმე-
დებების შერჩევის კრიტერიუმებს, რომელიც უნდა შესრულდეს პაკეტზე. მაგალითად, გვინდა
ავკრძალოთ ყველა შემომავალი კავშირი: ჩვენი კომპიუტერი არ არის სერვერი, ამიტომ ინტერნეტის
მომხმარებლებს არა აქვთ მასთან კავშირი; შეგვიძლია ავკრძალოთ რაიმე პროგრამის ინტერნეტთან
წვდომა. ასევე შესაძლებელია კონკრეტულ კვანძთან წვდომის აკრძალვა (მაგალითად, მათთან, რო-
მლებსაც თვლით საზიანოდ, რათა მასთან წვდომის საშუალება არ ჰქონდეს ჩვენი კომპიუტერის
მომხმარებლებს); შესაძლებლობა გვაქვს ავკრძალოთ განსაზღვრული პორტი, რათა დავხუროთ
ქსელის რომელიმე სერვისი, მაგალითად, 5190 ნომრის მქონე პორტის დაბლოკვით, ჩვენ ვკრძა-
ლავთ ICQ პროგრამასთან მუშაობას.
როგორც უკვე აღვნიშნეთ, ფაიერვოლები აუცილებლად დგება Gateway-კომპიუტერებზე,
რომლებიც უზრუნველყოფენ სხვა კომპიუტერების ინტერნეტთან წვდომას. ასეთი ფაიერვოლები
ძირითადად ასრულებენ მარშრუტიზაციის ფუნქციას, ე. ი. პროვაიდერის ქსელიდან პაკეტების
გადამისამართებას ინტერნეტის სხვა მარშრუტიზატორებზე. რა თქმა უნდა, მათზე ასევე
სრულდება პაკეტების ფილტრაცია იმგვარად, რომ პროვაიდერის ქსელის რესურსების გამოყენება
შეუძლიათ მხოლოდ მის კლიენტებს და სხვას არავის. მაგრამ ასეთ ფაიერვოლებს არ შეუძლიათ

340
ლოკალური კომპიუტერების დაცვა ქსელური ჭიებისაგან (Worm) ან მომხმარებლის კომპიუტერზე
რაიმე პროგრამის ინტერნეტთან წვდომის აკრძალვა. ამიტომ კომპიუტერზე პერსონალური
ფაიერვოლის გარეშე მუშაობა უბრალოდ არ შეიძლება.
ფაიერვოლების გამოყენება აუცილებელია კომპიუტერისათვის. როგორც კი კომპიუტერი
დაკავშირდება საზოგადო ქსელში (public Network), ავტომატური პროგრამა-სკანერები იწყებენ მისი
ქსელური ინტერფეისის შემოწმებას, რათა იპოვონ დაუცველი ადგილები შემოჭრისათვის. დღეი-
სათვის მომხმარებლები ხშირად იყენებენ საზოგადო ქსელს (public Network), WiFi-ს კაფეში ან
აეროპორტში. უფასო WiFi ქსელში ჩართვისას, ვერ იქნებით დარწმუნებულნი, რომ ვინმე არ
ცდილობს პორტების სკანირებას, რათა აღმოაჩინოს დაუცველი ადგილები თქვენს კომპიუტერში.
ფაიერვოლი აუცილებელია მუდმივად, არამარტო საზოგადო ქსელში (public Network) ჩართვისას,
არამედ ასევე კორპორაციულშიც, რადგან ყოველთვის არსებობს კომპიუტერში შემოჭრის რისკი.
Windows-ის ფაიერვოლი უზრუნველყოფს კომპიუტერის უსაფრთხოებას, ის იცავს მას
ოფისის დაცულ ქსელთან (Private Network) ან საზოგადო ქსელთან (public Network) კაფეებსა და
აეროპორტებში მიერთებისას.
ფაიერვოლები განსაზღვრავენ ქსელურ ტრაფიკს მომართული წესების ერთობლიობის
საფუძველზე. ეს წესები ცნობილია როგორც გამონაკლისები (Exception). როცა ტრაფიკი ხვდება
ფაიერვოლით დაცულ ქსელურ ინტერფეისზე, ფაიერვოლი გაანალიზებს და წესების შესაბამისად
გაატარებს ან დაბლოკავს მას. Windows-ში არის ორი ფაიერვოლი: Windows Firewall და Windows
Firewall უსაფრთხოების გაძლიერებულ რეჟიმში (WFAS - Windows Firewall with Advanced Security).
მათ შორის ძირითადი განსხვავება დაკავშირებულია წესების სირთულესთან, რომლებიც მოიმარ-
თება თვითონ მოცემულ ფაიერვოლებში. Windows Firewall-ში გამოიყენება მარტივი წესები, რომ-
ლებიც პირდაპირ უკავშირდება პროგრამას ან სერვისს. WFAS-ში გამოიყენება უფრო რთული
წესები, რომლებიც ფილტრავენ ტრაფიკს პორტების, პროტოკოლების და მისამართების საფუძ-
ველზე.
ფაიერვოლის პრინციპების შესწავლისას გახსოვდეთ: თუ არ არსებობს წესი, რომელიც
კონკრეტული სახის ტრაფიკს გაატარებს, ფაიერვოლი უბრალოდ დაბლოკავს მას. ზოგადად დაშ-
ვებულია საჭირო ტრაფიკის ფაიერვოლით გატარება, თუმცა შეიძლება შეიქმნას სიტუაცია, როცა
აუცილებელია ამკრძალავი წესების შემოღება. ავტომატურად Windows Firewall-სა და WFAS-ს აქვთ
წესების მინიმალური ნაკრები, რომლებიც ქსელებთან ურთიერთქმედების საშუალებას იძლევა. ეს
ნიშნავს, რომ თქვენ შეგიძლიათ ფაიერვოლის მომართვის გარეშე დაათვალიეროთ ქსელი, მაგრამ
თუ შეეცდებით გამოიყენოთ აპლიკაციი, რომლისათვისაც არ არის მომართული წესები, მაგალი-
თად, FTP, მიიღებთ გამაფრთხილებელ შეტყობინებას. ეს რეჟიმი განსხვავდება Windows-ის წინა
ვერსიებისგან, მაგალითად, Windows XP-გან, სადაც ფაიერვოლი ბლოკავდა მხოლოდ შემომავალ
ტრაფიკებს და არ ბლოკავდა გამავალს. სტანდარტულად Windows-ის ფაიერვოლი ბლოკავს შემო-
სული ტრაფიკის დიდ ნაწილს. პროგრამის პირველად დაბლოკვისას, ფაიერვოლისგან მიიღებთ
შეტყობინებას (სურ. 13.1), რაც საშუალებას იძლევა დავუშვათ გამონაკლისი, რომელიც შემდგომში
გაატარებს მოცემული ტიპის ტრაფიკს:
Windows ფაიერვოლი იყენებს სრული ფარულობის (Full stealth) ფუნქციას. ფარულობა
ბლოკავს გარე ჰოსტის მიერ ოპერაციული სისტემის ანაბეჭდის შექმნას. ოპერაციული სისტემის
ანაბეჭდის შექმნა (OS fingerprinting) არის ტექნიკა, რომლის საშუალებითაც ბოროტმოქმედი
განსაზღვრავს კომპიუტერის ოპერაციულ სისტემას. ამას იგი აღწევს კომპიუტერის გარე ქსელურ
ინტერფეისზე სპეციალური ტრაფიკის გაგზავნით. როცა ბოროტმოქმედი შეიტყობს, თუ რომელი
ოპერაციული სისტემა მუშაობს კომპიუტერზე, მას შეუძლია აირჩიოს შეტევის საშუალებები.
ამიტომ, დაუშვებელია ფარულობის ფუნქციის გათიშვა Windows-ში.

341
 სურ. 13.1. ფაიერვოლის მიერ აპლიკაციის დაბლოკვა

ფილტრაცია ჩატვირთვის მომენტში (Boot time filtering), Windows-ის კიდევ ერთი ახალი
ფუნქციაა, რომელიც გარანტიას იძლევა, რომ Windows ფაიერვოლი მუშაობს იმ მომენტიდან, როცა
აქტიურდება ქსელური ინტერფეისები. უფრო ძველ ოპერაციულ სისტემებში მაგალითად, Windows
XP-ში, ფაიერვოლი ირთვება მხოლოდ ამ პროცესის დასრულების შემდეგ. ეს დრო არის მოკლე
ხანგრძლივობის, მაგრამ მნიშვნელოვანი პერიოდი, როცა ქსელური ინტერფეისი უკვე აქტიურია,
მაგრამ არაა დაცული ფაიერვოლით. ფილტრაცია ჩატვირთვის მომენტში გამორიცხავს ამ
პერიოდის დაუცველობას.
იმისათვის, რომ გავარკვიოთ Windows ფაიერვოლის მუშაობის პრინციპი, აუცილებელია
გავეცნოთ ქსელთან მუშაობის რამდენიმე ძირითად კონცეფციას:
 პროტოკოლი (protocol). Windows Firewall-ში საწყისი თვალსაზრისით აუცილებელია სამი
პროტოკოლი - TCP (Transmission Control Protocol), UDP (User Datagram Protocol) და ICMP (Internet
Control Message Protocol). TCP პროტოკოლი უფრო საიმედოა. ის გამოიყენება ინტერნეტტრაფიკის
დიდი ნაწილისათვის. პროტოკოლი UDP გამოიყენება ფართომაუწყებლობითი და დიდმისა-
მართიანი მონაცემებისათვის, ასევე ტრაფიკისათვის, რომელიც დაკავშირებულია ონლაინთამა-
შებთან. ICMP პროტოკოლი ძირითადად გამოიყენება დიაგნოსტიკისათვის.
 პორტი (port) ეს არის საიდენტიფიკაციო ნომერი TCP ან UDP პაკეტის სათაურში. პორტები
გამოიყენება იმისათვის, რომ „დავაკავშიროთ" ქსელური ტრაფიკი კონკრეტულ სერვისთან ან
პროგრამასთან. მაგალითად, 80 ნომერი პორტი დარეზერვებულია WWW ტრაფიკისათვის, ხოლო
პორტი 25 - ელექტრონული ფოსტის ინტერნეტით გადასაცემად.
 IPSec (Internet Protocol Security). IPSec არის საშუალება, რომელიც უზრუნველყოფს ქსე-
ლური ტრაფიკის უსაფრთხოებას შიფრაციის და ციფრული ხელმოწერის მეშვეობით. შიფრაცია
გარანტიას იძლევა, რომ ბოროტმოქმედი ვერ შეძლებს წაიკითხოს გადაცემული ტრაფიკი. ხელმო-
წერა საშუალებას აძლევს ტრაფიკის ადრესატს, ამოიცნოს გამგზავნი;
 ქსელის მისამართი (network address). ქსელის ყველა ჰოსტს აქვს საკუთარი მისამართი.
ფაიერვოლში შესაძლებელია მოვმართოთ ტრაფიკის სხვადასხვა დამუშავება, მთელი ქსელის გამა-
ვალ ტრაფიკთან დამოკიდებულებით ან გამავალი ქსელის შემომავალ ტრაფიკთან დამოკიდებუ-
ლებით;

342
  შემომავალი ტრაფიკი (inbound traffic) ქსელური მონაცემები, რომლებიც გამოდის გარე
ჰოსტიდან და მომართული არიან ჩვენს კლიენტ Windows-ზე;
 გამავალი ტრაფიკი (outbound traffic). ტრაფიკი, რომელსაც ჩვენი კლიენტი Winodws,
აგზავნის გარე ჰოსტთან ქსელის საშუალებით;
 ქსელური ინტერფეისი (network interface). ქსელური ინტერფეისი შეიძლება იყოს ფიზი-
კურ კავშირში ლოკალური ქსელით, უკაბელოდ, მოდემის საშუალებით ან ვირტუალური დაცული
ქსელის (VPN) მეშვეობით.

ქსელის ადგილმდებარეობა
ინფორმაცია ქსელურ ადგილმდებარეობაზე (Network Location Awareness, NLA) საშუალებას
აძლევს Windows-ს დანიშნოს ქსელური პროფილი ქსელური შეერთების თვისებების საფუძველზე.
როგორც 13.2 სურათზეა ნაჩვენები, Windows იყენებს სამ ქსელურ პროფილს: დომენურ ქსელს
(Domain Networks), კერძო ქსელებს (Private networks) და სტუმარ ან საზოგადო ქსელს (Guest or public
networks). როცა ვუკავშირდებით ახალ ქსელს, Windows-ს გამოაქვს დიალოგური ფანჯარა, სადაც
უნდა დავაზუსტოთ ქსელის ტიპი კერძო, სტუმარი ან საზოგადო. შემდგომში ქსელის ტიპი
ასოცირდება მის თვისებებთან, რადგან ასახული იქნას კომპიუტერის ამ ქსელში შეერთება მომდევ-
ნო ეტაპზე. შესაძლებელია ქსელის ტიპის შეცვლა ქსელის მართვისა და საერთო წვდომის (Network
and Sharing Center) ფანჯრიდან. დომენური ქსელური პროფილი გამოიყენება Active Directory
Domain Services (AD DS) დომენში სამუშაოდ.

სურ. 13.2 Windows Firewall-ის ფანჯარა

ქსელური პროფილები საშუალებას იძლევა, გავრცელდეს ფაიერვოლის სხვადასხვა წესების

ერთობლიობა, იმის მიხედვით, თუ რომელ ქსელშია ჩართული კომპიუტერი. 13.3 სურათზე

343
ნაჩვენებია, რომ Remote Desktop უფლება აქტიურია დომენურ (Domain) და კერძო (Private) პროფი-
ლებში, მაგრამ არაა აქტიური საზოგადო (Public) პროფილში. Windows-ში პროფილი ვრცელდება
თითოეული ქსელური ინტერფეისისათვის ცალკე. თუ გაქვთ ერთი ქსელური ადაპტერი, რომელიც
დაკავშირებულია ინტერნეტთან, და მეორე საოფისე უკაბელო ადაპტერი, თითოეული კავშირი-
სათვის გავრცელებული იქნება საკუთარი წესების ერთობლიობა. Windows Vista-ში ფაიერვოლი
ირჩევდა მაქსიმალურად მკაცრ ქსელურ პროფილს იმ შემთხვევაში, როცა კომპიუტერი ჩართული
იყო განსხვავებული ტიპის ქსელებში და ავრცელებდა უფრო შეზღუდული წესების ერთობლიობას
ყველა ინტერფეისზე.

სურ. 13.3. დაშვებული აპლიკაციების ფანჯარა

შესაძლებელია შერჩევით გავააქტიუროთ Windows ფაიერვოლი თითოეული ქსელური პრო-

ფილისათვის, ისე როგორც ნაჩვენებია სურათზე 13.4. ასევე შეგვიძლია თითოეულისათვის მოვმარ-
თოთ შემდეგი ორი პარამეტრი:
 Block all incoming connections, including those in the list of allowed apps - დაიბლოკოს ყველა
შემომავალი კავშირი, იმის გამოკლებით, რომლებიც დაშვებულია ფაიერვოლის წესების ერთობ-
ლიობით;
 Notify me when Windows Firewall blocks a new app - იმ შემთხვევაში, თუ ფაიერვოლი დაბ-
ლოკავს ახალ აპლიკაციას, მოხდეს მისი შეტყობინების სახით გამოტანა სამუშაო მაგიდაზე.
მომხმარებლებს შეუძლიათ შექმნან ტრაფიკთან სამუშაო წესები, რომლებზეც ისინი გაფ-
რთხილებულნი იყვნენ ფაიერვოლის მიერ, მხოლოდ იმ შემთხვევაში თუ მათ აქვთ ლოკალური
ადმინისტრატორის უფლებები.

344
 როგორც წესი, Windows Firewall-ი ითიშება ყველა პროფილისათვის იმ შემთხვევაში, თუ იყე-
ნებთ სხვა მწარმოებლის ფაიერვოლს და გსურთ, რომ სწორედ მან დაიცვას კომპიუტერი. მნიშვნე-
ლოვანია, რომ არ გათიშეთ Windows Firewall-ი მხოლოდ იმიტომ, რომ ქსელში Windows-სა და
ინტერნეტს შორის არის სხვა ფაიერვოლი, მაგალითად, მარშრუტიზატორი ან აპარატურული
ფაიერვოლი. სრულიად შესაძლებელია, რომ ბოროტმოქმედმა დააინფიცირა ლოკალური ქსელის
სხვა კომპიუტერი. უსაფრთხოების თვალსაზრისით ყველა ქსელი უნდა იქნას განხილული, რო-
გორც პოტენციურად საშიში.

სურ. 13.4 Windows Firewall-ის შერჩევითი ჩართვა

პროგრამის ინტერნეტთან წვდომის უზრუნველყოფა

არსებობს პროგრამის ინტერნეტთან წვდომის აკრძალვის ან დაშვების ორი ხერხი. პირველი
მდგომარეობს იმაში რომ, ვუთითებთ პროგრამის გამშვებ ფაილს და „ვეუბნებით“, რომ ამ პროგრა-
მის ინტერნეტთან წვდომა აკრძალულია ან დაშვებულია. ამ შემთხვევაში ვკრძალავთ ან ვუშვებთ
კონკრეტული პროგრამის გამშვები ფაილის წვდომას. დავუშვათ, რომ მივეცით ინტერნეტთან
წვდომის უფლება qip.exe პროგრამას. თუ ვინმე მის გამშვებ ფაილს შეუცვლის სახელს და
დაარქმევს qip1.exe-ს, ამ შემთხვევაში ასეთი პროგრამის ინტერნეტთან წვდომა იქნება აკრძალული,
ვინაიდან ფაიერვოლმა არაფერი იცის ამ პროგრამის შესახებ ,ის ცნობს მხოლოდ qip.exe პროგრამას.
წვდომის აკრძალვა/დაშვების მეორე ხერხი დაფუძნებულია პორტებზე. ამ შემთხვევაში ჩვენ
შეგვიძლია დავუშვათ ან ავკრძალოთ წვდომა განსაზღვრული კლასის ყველა პროგრამისათვის.
მაგალითად, სერვისი ICQ იყენებს პორტს 5190. თუ ავკრძალავთ 5190 პორტს, მაშინ ვერცერთი

345
პროგრამა, რომელიც იყენებს ამ პორტს, იქნება ეს qip.exe, qip1.exe თუ icq.exe - ვერ მიიღებს წვდომას
ინტერნეტთან ამ პორტით. მეორე ხერხი უფრო საიმედოა, მაგრამ ამისათვის საჭიროა იმ პორტების
ცოდნა, რომლებსაც იყენებს მოცემული პროგრამა. პორტის ნომერი შეგვიძლია დავაზუსტოთ
პროგრამის დოკუმენტაციაში ან პროგრამის მწარმოებლის საიტზე. ძირითადი TCP პორტები აღწე-
რილია ქვემოთ მოცემულ ცხრილში.
ცხრილი 13.1 ძირითადი TCP პორტები
პორტი სერვისი რა მოხდება, თუ ავკრძალავთ ამ პორტთან წვდომას
ვერცერთი FTP კლიენტი ვერ შეძლებს FTP სერვერთან
დაკავშირებას. FTP-დან ფაილების გადმოწერა იქნება
FTP (File შეუძლებელი. სასარგებლოა, თუ გსურთ ტრაფიკის ეკონომია -
21 Transfer FTP სერვერებზე ინახება უამრავი ტრაფიკი და თუ ჩვენს გარდა
Protocol) კომპიუტერს იყენებს სხვა მომხმარებელიც, მაშინ
შესაძლებელია FTP სერვერთან წვდომის აკრძალვა, ზიანის
თავიდან ასაცილებლად.
SMTP (Simple
მოცემულ პორტთან წვდომის აკრძალვით, ვბლოკავთ ფოსტის
25 Mail Transfer
გაგზავნას ყველა საფოსტო კლიენტთან.
Protocol)
ამ პორტის აკრძალვა არ შეიძლება, რადგან სისტემა ვერ
შეძლებს დომენური სახელის IP-მისამართებში გარდასახვას,
DNS (Domain
53 ე.ი. ვერ შევძლებთ ინტერნეტში მუშაობას (ვერ გავხსნით
Name System)
ვებგვერდებს, არ მოხდება ელექტრონული ფოსტის გაგზავნა
და მიღება და ა. შ.)
ჰიპერტექსტური ინფორმაციის გადაცემის პროტოკოლი. ეს
HTTP (Hyper არის WWW-ს ძირითადი პროტოკოლი. ამ პორტთან წვდომის
80 Test Transfer აკრძალვით, ყველა ბრაუზერს ვუკრძალავთ ნებისმიერ საიტზე
Protocol) შესვლას. დანარჩენი სერვისები (ფოსტა, FTP) იმუშავებენ, თუ,
რა თქმა უნდა, ისინიც დაბლოკილი არ გაქვთ.
ეს არის პროტოკოლი, რომლითაც ვიღებთ ელექტრონულ
POP (Post Office ფოსტას. თუ ავკრძალავთ ამ პორტის გამოყენებას, ვერ
110
Protocol) შევძლებთ მოცემული პროტოკოლით ელექტრონული წერი-
ლების მიღებას.
SSL (Secure ამ პორტის აკრძალვის შემდეგ შეგვიძლია დავივიწყოთ
443
Socket Layer) უსაფრთხო კავშირი (HTTPS), რომლებიც ყენდება 443 პორტზე
მოცემულ პორტს იყენებს შეტყობინებათა სწრაფი გაცვლის
პოპულარული კლიენტი ICQ. 5190 პორტის წვდომის
5190 ICQ
შეზღუდვით ვკრძალავთ ინტერნეტწვდომას ყველა ICQ
კლიენტისათვის (ICQ, QIP, Miranda და ა.შ.)
44583 პორტი გამოიყენება Skype პროგრამის შემომავალი
44583 Skype კავშირისათვის. თუ დავბლოკავთ ამ პორტს, Skype აღარ
იმუშავებს.

346
 პროგრამების დაშვების უზრუნველყოფა Windows Firewall-ში
Windows Firewall საშუალებას იძლევა დავუშვათ გამონაკლისები პროგრამებთან მიმართე-
ბით. ამით განსხვავდება იგი Windows Vista-სგან, სადაც ფაიერვოლი საშუალებას იძლეოდა დაეშვა
გამონაკლისები პორტის მისამართის მიხედვით.
შესაძლებელია WFAS-ის გამოყენებით, შექმნათ წესები პორტის მისამართის მიხედვით,
რომლის შესახებაც შემდეგში გვექნება საუბარი. ასევე შეგიძლიათ ფაიერვოლის საშუალებით
მუშაობის უფლება დართოთ Windows-ის კონკრეტულ კომპონენტს, მაგალითად, Windows Virtual
PC. იმისათვის, რომ დავამატოთ წესი ნებისმიერი კომპონენტისათვის ან პროგრამისათვის,
დააჭირეთ მაუსის მარცხენა ღილაკი ბრძანებას Allow an app or feature through Windows Firewall
(დაშვებულ იქნას აპლიკაციების და კომპონენტის მუშაობა Windows Firewall-ის მეშვეობით),
მართვის პანელის Windows Firewall განყოფილებაში. დიალოგურ ფანჯარაში (სურ.13.3) გამოჩნდე-
ბა დაინსტალირებული პროგრამების და კომპონენტების სია, რომლებისთვის შექმნილია წესები,
ასევე პროფილები, რომელშიც გააქტიურებულია წესი, დაკავშირებული მოცემულ პროგრამებთან
და კომპონენტებთან.
ამ გვერდის პარამეტრების შესაცვლელად დააჭირეთ ღილაკზე Change Settings. ფაიერვოლის
პარამეტრების ცვლილების უფლება აქვთ მხოლოდ ლოკალური ჯგუფის ადმინისტრატორ წევრებს
ან მომხმარებლებს, რომლებიც იქნენ დელეგირებული შესაბამისი სრულუფლებიანობით.
თუ პროგრამა, რომლისათვისაც გვინდა წესის შექმნა, არ არის ამ ჩამონათვალში, დააჭირეთ
ღილაკზე Allow another app… (დაშვებულ იქნას სხვა აპლიკაცია). გაიხსნება დიალოგური ფანჯარა
Add an app (სურ. 13.5). თუ ამ სიაშიც არ არის პროგრამა, რომლისათვისაც ვქმნით წესს ან სია სულ
ცარიელია, დააჭირეთ ღილაკს Browse. გამოიყენეთ ღილაკი Network types…, რათა მიუთითოთ
ქსელური პროფილი, რომლისათვისაც წესი იქნება აქტიური.

სურ.13.5 პროგრამა-გამონაკლისის დამატება

347
 სურ. 13.6. ქსელური პროფილის შეცვლა

შენიშვნა: იმისათვის, რომ დავაბრუნოთ Windows Firewall ან WFAS საწყის მდგომარეობაში,

Command Promt-ში ჩაწერეთ ბრძანება netsh advfirewall reset სისტემური ადმინისტრატორის
უფლებით ან მართვის პანელის Windows Firewall ფანჯარაში დააჭირეთ მიმართვას Restore Defaults.

Winodws Firewall უსაფრთხოების გაძლიერებულ რეჟიმში

Winodws Firewall გაძლიერებულ უსაფრთხოების რეჟიმში (WFAS) საშუალებას იძლევა, შეიქ-
მნას უფრო დეტალიზებული წესი. მომხმარებელთა უმეტესობისათვის კომპიუტერების უსაფრთ-
ხოების შესანარჩუნებლად სრულიად საკმარისია პარამეტრები, რომელიც ხელმისაწვდომია ჩვეუ-
ლებრივი Windows Firewall-ით. უფრო რთულის სიტუაციებისათვის გამოიყენება WFAS (Windows
Firewall With Advanced Security), რათა:
 მოვმართოთ წესები შემომავალი და გამავალი ტრაფიკისათვის. Windows Firewall-ი არ
იძლევა საშუალებას შეიქმნას წესი ტრაფიკის ტიპის საფუძველზე;
 მოვმართოთ წესები კონკრეტული პროტოკოლებისათვის ან პორტებისათვის;
 მოვმართოთ წესი იმ ტრაფიკისათვის, რომელიც მიმართულია კონკრეტული
სერვისისაკენ, და არა კონკრეტული აპლიკაციისაკენ;
 შევზღუდოთ ტრაფიკის წესის მოქმედების არე განსაზღვრული წყაროსთვის ან განსაზ-
ღვრული სამიზნე მისამართისათვის;
 მოვმართოთ წესები, რომლებიც დაუშვებენ მხოლოდ ავტორიზებულ ტრაფიკს.
 მოვმართოთ კავშირის უსაფრთხოების წესები.
იმისათვის, რომ გავხსნათ WFAS კონსოლი, ჩაწერეთ სტარტმენიუში Windows Firewall With
Advanced Security ან მართვის პანელის Windows Firewall დიალოგურ ფანჯარაში დააჭირეთ
მიმართვას Advanced Settings (დამატებითი პარამეტრები). WFAS კონსოლში ასახულია ქსელური
პროფილები, რომლებიც აქტიურია მოცემულ მომენტში. ისევე როგორც Windows Firewall-ის შემ-
თხვევაში, იმის მიხედვით, როგორი პროფილია აქტიური მოცემულ მომენტში კონკრეტული
ქსელური ადაპტერისათვის, მოქმედებს განსხვავებული წესების ნაკრები. მაგალითად, 13.7
სურათზე ნაჩვენებია, რომ აქტიურია Domain, კერძო (Private) და საზოგადო (public) პროფილები.
შეგვიძლია გავააქტიუროთ წესი, რომელიც დაუშვებს ტრაფიკს მე-80 პორტიდან დომენური პრო-
ფილისათვის, მაგრამ ვერ გავააქტიურებთ მას საზოგადო პროფილისათვის. იმავე დომენში მყოფ
ჰოსტებს, რომლებიც დაკავშირებულია კომპიუტერთან უკაბელო ქსელური ადაპტერით,

348
შეუძლიათ მიიღონ წვდომა მოცემულ კომპიუტერზე განთავსებულ ვებსერვერზე, რაც შეეხება
ჰოსტებს, რომლებიც ცდილობენ მიიღონ წვდომა იმავე ვებსერვერზე ინტერნეტის საშუალებით,
დაიბლოკება.

სურ. 13.7. WFAS კონსოლი აქტიურია ორი ქსელური პროფილისათვის

WFAS-ისათვის წესის შექმნა

შემომავალი და გამავალი წესების მომართვის პროცესი, ფაქტობრივად, იდენტურია: WFAS
კონსოლში აირჩიეთ კვანძი, წესის ტიპის შესაბამისად, რომელიც გინდათ, რომ შექმნათ და დაა-
ჭირეთ ბრძანებას წესის შექმნა (New Rule). გაიხსნება წესის შექმნის ოსტატი ახალი შემომავალი
(გამავალი) შეერთებისათვის (New Inbound (or Outbound) Rule.
პირველი გვერდი, რომელიც ნაჩვენებია 13.8 სურათზე, საშუალებას იძლევა, დავაზუსტოთ
წესის ტიპი, რომელსაც ვქმნით. წესებს შორის შესაძლებელია ავირჩიოთ პროგრამის წესი (Program),
პორტის წესი (Port), წინასწარგანსაზღვრული (Predefined) ან მორგებული (Custom) წესი. პროგრამე-
ბის წესები და წინასწარგანსაზღვრული წესები ანალოგიურია, რომლებიც იქმნებიან Windows
Firewall-ში. მორგებული წესები იქმნება იმ კრიტერიუმების საფუძველზე, რომლებსაც არ შეიცავს
სხვა ვარიანტი. ის აუცილებელია იმ შემთხვევაში, თუ გვჭირდება წესი, რომელიც ვრცელდება კონ-
კრეტულ სერვისზე, და არა პორტზე ან პროგრამაზე. ასევე შეგვიძლია გამოვიყენოთ მორგებული
(Custom) წესი, თუ გვჭირდება ჩავრთოთ მასში, როგორც კონკრეტული პროგრამა, ასევე პორტების
ერთობლიობა. მაგალითად, თუ გსურთ, დაუშვათ მონაცემების გაცვლა კონკრეტული პროგრამები-
სათვის, კონკრეტული პორტით, მაშინ გვჭირდება შევქმნათ მორგებული (Custom) წესი.

349
 სურ. 13.8. წესის შექმნის ოსტატი ახალი შემომავალი შეერთებისათვის

თუ გადაწყვიტეთ შექმნათ წესი პროგრამისათვის, მაშინ აუცილებლად მოგიწევთ იმ პროგ-

რამის მითითება, რომელზეც ვრცელდება წესი. თუ ავირჩევთ პორტის წესს, მაშინ უნდა მივუთი-
თოთ პროტოკოლი (TCP ან UDP), რომელზეც ვრცელდება წესი, ასევე უნდა დავუზუსტოთ პორტის
ნომერი. შემდეგ ეტაპზე ვაზუსტებთ, როგორი მოქმედება უნდა ჩატარდეს, როცა ფაიერვოლი
დაუპირისპირდება ტრაფიკს, წესების შესაბამისი პირობებით. ხელმისაწვდომია შემდეგი ვარიან-
ტები (სურ. 13.9):
 Allow the connection (შეერთების დაშვება) - WFAS ფაიერვოლი უშვებს შეერთებას, თუ
ტრაფიკი შესაბამისობაშია წესების პირობებთან;
 Block the connection (შეერთების დაბლოკვა) - WFAS ფაიერვოლი ბლოკავს შეერთებას, თუ
ტრაფიკი შესაბამისობაშია წესების მოთხოვნებთან;
 Allow the connection if it is secure (დაშვებულ იქნას უსაფრთხო შეერთება) - WFAS
ფაიერვოლი უშვებს შეერთებას, თუ ტრაფიკი შესაბამისობაშია წესების მოთხოვნებთან და გაიარა
ავთენტურობის შემოწმება ერთ-ერთი მეთოდის გამოყენებით, რომელიც მითითებულია შეერთე-
ბის უსაფრთხოების წესებში. უსაფრთხოების პარამეტრები ნაჩვენებია სურათზე (13.10).
სტანდარტულად მოთხოვნილია, რომ შეერთებამ გაიაროს შემოწმება ავთენტურობაზე და
მთლიანობაზე, რაც შეეხება შიფრაციას, ის არ მოითხოვება. დააყენეთ გადამრთველი Require the
connection to be encrypted პუნქტზე, თუ გსურთ რომ ფაიერვოლის წესებმა მოითხოვოს არა მხოლოდ
ავთენტურობის და მთლიანობის შემოწმება, არამედ მონაცემების შიფრაციაც. დაბლოკვის წესების
განსაზღვრა საშუალებას გვაძლევს მივუთითოთ კომპიუტერის სააღრიცხვო ჩანაწერი ან
კომპიუტერების ჯგუფი, რომლებსაც შეეძლებათ გვერდი აუარონ ბლოკირების მოქმედ წესებს.

350
 სურ. 13.9. ტრაფიკის დაბლოკვა/დაშვება

სურ. 13.10. უსაფრთხოების პარამეტრების მომართვა

351
 წესის მოქმედების არე (Rule Scope)
წესის მოქმედების არე (Rule Scope) საშუალებას გვაძლევს, დავაკონკრეტოთ, ვრცელდება თუ
არა წესი კონკრეტულ საწყის და სამიზნე მისამართზე. თუ გსურთ შექმნათ წესი, რომელიც დაუშ-
ვებს კონკრეტული ტიპის ტრაფიკს, და შეზღუდოთ იგი კონკრეტული ქსელური მისამართებით,
აუცილებელია შეიცვალოს წესების მოქმედების არე. მოქმედების არე შექმნის პროცესში შეიძლება
მივუთითოთ მხოლოდ მორგებული (Custom) წესისათვის. პროგრამების ან პორტის წესებისათვის
სამოქმედო არე მიეთითება შემდეგ, წესის თვისებების რედაქტირების მეშვეობით, როგორც ნაჩვე-
ნებია სურათზე 13.11. ჩვენ შეგვიძლია მივუთითოთ IP-მისამართი ან IP-მისამართების დიაპაზონი,
ასევე გამოვიყენოთ ერთი რომელიმე წინასწარგანსაზღვრული იმ კომპიუტერების ერთობლიობი-
დან, რომლებიც მოიცავენ გასასვლელს (Gateway), WINS-სერვერებს, DHCP-სერვერებს, DNS-სერვე-
რებს და ლოკალურ ქვექსელს. დიაპაზონებში დაშვებულია როგორც IPv4, ასევე IPv6 მისამართების
გამოყენება.
წესის მოქმედების არის შესაცვლელად შევასრულოთ შემდეგი მოქმედებები:
 WFAS კონსოლში მაუსის მარჯვენა ღილაკით დააჭირეთ წესზე და აირჩიეთ ბრძანება
Properties (თვისებები). გაიხსნება წესის თვისებების დიალოგური ფანჯარა. გადადით Scope ჩანარ-
თში;
 იმისათვის რომ გამოვიყენოთ წესები ლოკალურ IP მისამართთან (მაგალითად, იმ შემ-
თხვევაში, როცა ქსელურ ადაპტერს მინიჭებული აქვს რამდენიმე მისამართი ან კომპიუტერზე და-
ყენებულია რამდენიმე ქსელური ადაპტერი), დააყენეთ გადამრთველი These IP Addresses (მითითე-
ბული IP-მისამართები) Local IP-Address განყოფილებაში. დააჭირეთ ღილაკს Add (დამატება) და
მიუთითეთ, რომელ მისამართსა თუ მისამართებზე ვრცელდება მოცემული წესი;

სურ. 13.11. ლოკალური ან დაშორებული IP მისამართების განსაზღვრა

 თუ გსურთ შეზღუდოთ წესის მოქმედება დისტანციური IP მისამართებისათვის (მაგალი-

თად, წესები უნდა გავრცელდეს მხოლოდ კონკრეტული ქვექსელიდან შემომავალ ტრაფიკებზე),
დააყენეთ გადამრთველი These IP Addresses (მითითებული IP-მისამართები) Remote IP-Address
განყოფილებაში. დააჭირეთ ღილაკს Add (დამატება), რომ მიუთითოთ ცალკეული IP მისამართები,
ქსელის მისამართი ან IP მისამართების დიაპაზონები (სურ.13.12):

352
 წესის თვისებების ფანჯრის Advanced ჩანართი საშუალებას იძლევა, დავაკონკრეტოთ, რომელ
ქსელურ ინტერფეისზე ვრცელდება წესი. ეს პროცედურა ლოკალური IP მისამართების შეზღუდვის
ანალოგიურია, რომელშიც ვრცელდება წესი, მაგრამ ამ შემთხვევაში ირჩევა კონკრეტული მოწყობი-
ლობა, და არა მისამართი, რომელიც ამ მოწყობილობისათვისაა განკუთვნილი. Advanced ჩანართში
ასევე მიეთითება, თუ როგორ რეაგირებს წესები იმ ტრაფიკზე, რომელიც გაივლის სასაზღვრო მოწ-
ყობილობას, მაგალითად, NAT მარშრუტიზატორს. ხელმისაწვდომია შემდეგი ვარიანტები:
 ბლოკირება კვანძების გვერდის ავლით (Block edge traversal) - წესის სამოქმედო ობიექტი
იბლოკება ინტერნეტიდან არამოთხოვნილი ტრაფიკი NAT მოწყობილობის საშუალებით;
 დაშვება კვანძების გვერდის ავლით (Allow edge traversal) - წესის სამოქმედო ობიექტი დაა-
მუშავებს არამოთხოვნილ ტრაფიკს, რომელიც მიღებულია ინტერნეტიდან NAT მოწყობილობის
საშუალებით;
 მომხმარებლისათვის გადაცემა (Defer to user) - მომხმარებელი იღებს შეტყობინებას, რომე-
ლიც ატყობინებს NAT მოწყობილობიდან ტრაფიკის შემოსვლას. თუ მომხმარებელს აქვს საკმარისი
უფლებამოსილება, მას შეუძლია ხელით დაბლოკოს ან დაუშვას მონაცემთა გაცვლა;
 ჩანართებზე გადაცემა (Defer to application) - NAT მოწყობილობიდან შემომავალი ტრაფი-
კის მიღება ან დაბლოკვა განისაზღვრება აპლიკაციების პარამეტრებით.

სურ. 13.12. IP მისამართების დიაპაზონის მითითება

შეერთების უსაფრთხოების წესები

შეერთების უსაფრთხოების წესები (connection security rules) არის წესების განსაკუთრებული
ტიპი, რომელიც დაკავშირებულია ტრაფიკის შემოწმების გავლასა და დაშიფრვასთან. შეერთების
უსაფრთხოების წესები გამოიყენება კომუნიკაციების სამართავად ქსელის სხვადასხვა ჰოსტებს
შორის. მათ შესაქმნელად გამოიყენება წესების შექმნის ოსტატი, ახალი უსაფრთხო შეერთებისათ-
ვის (New Rule...), როგორც ნაჩვენებია სურ. 13.13-ზე. შეერთებამ შეიძლება გაიაროს შემოწმება
Kerberos V5 პროტოკოლის დახმარებით, რომელსაც ესაჭიროება წვდომა დომენთან და მომხმა-

353
რებლის სააღრიცხვო ჩანაწერთან ან კომპიუტერთან, რომელიც ზის დომენში. თუ ავირჩევთ დამა-
ტებით პარამეტრებს, შევძლებთ შეერთების ნამდვილობის შემოწმებას NTMLv2 პროტოკოლის,
სერტიფიცირების ცენტრის მიერ გაცემული კომპიუტერის სერტიფიკატების ან წინასწარ არჩეული
გასაღების დახმარებით.
შეერთების უსაფრთხოების სხვადასხვა წესები მუშაობს შემდეგნაირად:
 იზოლაცია (Isolation) - იზოლაციის წესები ზღუდავს მხოლოდ ჰოსტების კომუნიკაციას,
რომლებმაც გაიარეს შემოწმება ნამდვილობაზე კონკრეტული სააღრიცხვო მონაცემების გამოყენე-
ბით. მაგალითად, შეგვიძლია გამოვიყენოთ იზოლაციის წესები იმისათვის, რომ გამოვრიცხოთ
მონაცემთა გაცვლიდან ის ჰოსტები, რომლებიც არ არიან Active Directory Domain System (AD DS)-ს
წევრები. იზოლაციის წესებში შეიძლება ჩავრთოთ შემომავალი და გამავალი ტრაფიკების ნამდვი-
ლობის შემოწმების მოთხოვნა, მოვითხოვოთ როგორც შემომავალი, ასევე გამავალი შეერთების
ნამდვილობის შემოწმება ან მოვითხოვოთ ყველანაირი ტიპის შეერთების ნამდვილობის შემოწმება;
 ნამდვილობის შემოწმებისაგან განთავისუფლება (Authentification exemption) - ეს წესები
იძლევა იზოლაციის წესებისგან გამონაკლისების დაშვების საშუალებას. ნამდვილობის შემოწ-
მებისგან გათავისუფლების პარამეტრებს მომართავენ იმ შემთხვევაში, მაგალითად, თუ გვინდა
დავუშვათ კომპიუტერი დაუკავშირდეს DHCP და DNS სერვერებს ავტორიზაციის აუცილებლობის
გარეშე;
 სერვერი სერვერთან (Server-to-server) - ეს წესები იცავენ შეერთებას კონკრეტულ კომ-
პიუტერებს შორის. ისინი განსხვავდებიან იზოლაციის წესებისაგან იმით, რომ ის ვრცელდება არა
მთელ შეერთებაზე, არამედ მხოლოდ კონკრეტულ მისამართსა და ჰოსტს შორის შეერთებაზე;
 გვირაბი (Tunnel) - ეს წესები Server-to-server-ის ანალოგიურია, მაგრამ გამოიყენება
დისტანციურ საიტთან „გვირაბული" შეერთებისას. მაგალითად, საიტიდან საიტზე.

სურ. 13.13. შეერთების უსაფრთხოების ახალი წესები

354
 შენიშვნა: ურთიერთობა შეერთების უსაფრთხოების წესებსა და IPSec პოლიტიკას შორის
ანალოგიურია, AppLocker-სა და პროგრამების გამოყენების შეზღუდვის პოლიტიკას შორის ურთი-
ერთობის. წესთა ორივე ნაკრები ასრულებენ ერთსა და იმავე ფუნქციას და არჩევანი დამოკიდე-
ბულია ოპერაციულ სისტემაზე, რომელსაც იყენებს ჩვენი ორგანიზაციის კლიენტის კომპიუტერი.

ფაიერვოლის კონფიგურაციის იმპორტი და ექსპორტი

ბევრ ორგანიზაციაში, სადაც კლიენტის კომპიუტერები იყენებენ Windows ოპერაციულ სის-
ტემას, ფაიერვოლის წესები ვრცელდება ჯგუფური პოლიტიკის მეშვეობით. თუ აუცილებლად
გჭირდებათ გარკვეული რაოდენობის ავტონომიური კლიენტის კომპიუტერი Windows-ით, ფაიერ-
ვოლის ერთნაირი პარამეტრები უზრუნველყოფენ იმპორტისა და ექსპორტის ფუნქციებს. ისინი
ასევე უზრუნველყოფენ ფაიერვოლის მიმდინარე პარამეტრების შენახვას, სანამ არ მოხდება მასში
ექსპერიმენტული ცვლილებების შეტანა. პარამეტრები ექსპორტირდება .wfw გაფართოების ფაილ-
ში. მათში გამოიყენება ორმაგი ფორმატი, და არა XML ფორმატი, ისე როგორც Windows-ის ბევრ სხვა
კონფიგურაციის ფაილში. ფაიერვოლის პარამეტრების იმპორტი და ექსპორტი სრულდება .wfw
ფორმატში, netsh advfirewall export და netsh advfirewall import ბრძანებების დახმარებით.

WFAS ფაიერვოლის მართვა Netsh ბრძანების დახმარებით

WFAS წესების სამართავად შესაძლებელია გამოვიყენოთ Command Promt-ის უტილიტა
Netsh.exe, მომხმარებლის სრული უფლებების შემთხვევაში. მისი უპირატესობა იმაში მდგომა-
რეობს რომ, Netsh-ი შესაძლებელია გამოვიყენოთ კომბინირებულად Windows Remote Shell (WinRS)-
თან ერთად, იმისათვის რომ ვმართოთ WFAS ფაიერვოლის წესები ქსელის იმ კომპიუტერებზე,
რომელზეც დაყენებულია Windows ოპერაციული სისტემა. ასევე შეგვიძლია Netsh.exe ბრძანების
გამოყენება ფაიერვოლის პარამეტრების სცენარის შესამუშავებლად ავტონომიურ კომპიუტერებზე,
რომლებიც არ არიან AD DS დომენის წევრები, შესაბამისად, არ არიან ჯგუფური პოლიტიკის
მოქმედების ქვეშ.
იმისათვის, რომ გამოვიყენოთ Netsh.exe, WFAS ფაიერვოლის წესების შესაქმნელად, საჭიროა
ის იყოს advfirewall firewall კონტექსტში. ქვემოთ მოცემულია WFAS-ის გამოყენების რამდენიმე
მაგალითი ფაიერვოლის წესების შესაქმნელად:
 WebServerRule წესების შესაქმნელად, რომელიც ვრცელდება დომენურ პროფილში და
უშვებს შემომავალ ტრაფიკს მე-80 პორტზე, შეიტანეთ Command Promt-ში შემდეგი ბრძანება: netsh
advfirewall firewall add rule name="WebServerRule" profile=domain protocol=TCP dir=in localport=80
action=allow;
 AllowCalc წესების შესაქმნელად, რომელიც უშვებს შემომავალ ტრაფიკს Calc.exe აპლიკა-
ცითან ყველა ქსელური პროფილისათვის, შეიტანეთ Command Promt-ში შემდეგი ბრძანება: netsh
advfirewall firewall add rule name="Calc" dir=in program="c:\windows\system32\calc.exe" action=allow;
 BlockFTP წესების შესაქმნელად, რომელიც ბლოკავს გამავალ ტრაფიკს Ftp.exe აპლიკა-
ციიდან, შეიტანეთ შემდეგი ბრძანება Command Promt-ში: netsh advfirewall firewall add rule name
="BlockFTP" dir=out program="c:\windows\system32\ftp.exe" action=block.
შეიძლება დავასკვნათ:
 Windows Firewall და WFAS ფაიერვოლები კლიენტის Windows კომპიუტერზე მუშაობს
ერთად;

355
  Windows Firewall უშვებს ბაზისური წესის შექმნას, რომელიც ვრცელდება Windows-ის
პროგრამებზე და კომპონენტებზე. მისი საშუალებით შესაძლებელია წესის მოქმედების არის
მომართვა ან შემოწმების მითითება ნამდვილობაზე;
 ქსელური პროფილები საშუალებას იძლევა გავრცელდეს ფაიერვოლის განსხვავებული
წესების ერთობლიობა, ქსელური შეერთების თვისებებიდან გამომდინარე. არსებობს სამი
ქსელური პროფილი: დომენური (Domain), საზოგადო (Public) და კერძო (Private);
 Windows Firewall-ის წესები შესაძლებელია მივანიჭოთ ხელით, კონკრეტული ქსელური
პროფილისათვის. სხვადასხვა ქსელური პროფილები შესაძლებელია ერთდროულად
მოქმედებდეს განსხვავებულ ქსელურ ინტერფეისებთან;
 WFAS უზრუნველყოფს მოიმართოს შემომავალი და გამავალი ტრაფიკის წესი პორტი-
სათვის, პროგრამისათვის და სერვისისათვის;
 WFAS უზრუნველყოფს მოიმართოს წესის მოქმედების არე და ნამდვილობის შემოწმება.

356
 13.2. ვირტუალური დაცული ქსელების (VPN) ტექნოლოგიის საფუძვლები
VPN ქსელები უზრუნველყოფენ ქსელებთან შეერთების შექმნას, ინტერნეტის გამოყენებით.
VPN მომხმარებლები, რომლებიც იმყოფებიან თავიანთ ოფისში, იღებენ წვდომას ლოკალური
ქსელის რესურსებთან: ელექტრონულ ფოსტასთან, საერთო კატალოგებთან, პრინტერებთან,
მონაცემთა ბაზასთან. მათ ამისათვის სჭირდებათ მხოლოდ ინტერნეტთან წვდომა და VPN ინფრა-
სტრუქტურა კორპორაციულ ქსელში, რომელსაც ისინი უკავშირდებიან. რესურსებთან წვდომის
უფლება აქვთ მხოლოდ VPN მომხმარებლებს, რომელთაც შემოწმება აქვთ გავლილი ნამდვილო-
ბაზე. დანარჩენი ინტერნეტ მომხმარებლებისათვის რესურსები მიუწვდომელია. დისტანციური
წვდომის შეერთების შექმნა შეუძლიათ ადმინისტრატორის უფლების არმქონე მომხმარებლებსაც.
იმისათვის, რომ მომხმარებლებს მივცეთ დისტანციური წვდომის შეერთების შექმნის ან ცვლილე-
ბის უფლება, მომართეთ შემდეგი პოლიტიკის პარამეტრები: User Configuration\Administrative
Templates\Network\Network Connections.
VPN-შეერთების შექმნისას აუცილებელია იმ VPN-სერვერის მისამართის მითითება, რომელ-
საც უკავშირდებით, ასევე უნდა მივუთითოთ მომხმარებლის სახელი და პაროლი ნამდვილობის
შესამოწმებლად. ახალი VPN-შეერთება იქმნება Network and Sharing Center ფანჯარაში. დააჭირეთ
Set up a New Connection or Network მიმართვას და აირჩიეთ Connect to a Workplace ვარიანტი.
ნაგულისხმევად Windows თვითონ ირჩევს შეერთების ტიპს. ჩვენ შეგვიძლია გამოვიყენოთ კონკრე-
ტული VPN პროტოკოლი, მაგრამ ამ შემთხვევაში Windows არ შეეცდება სხვა VPN პროტოკოლების
გამოყენებას, თუ პროტოკოლი, რომელსაც ჩვენ ავირჩევთ იქნება მიუწვდომელი.
თუ დაყენებულია პროტოკოლების ავტომატური შერჩევა, Windows თავიდან შეეცდება
ისეთი შეერთების დაყენებას, რომელიც იყენებს ყველაზე უსაფრთხო პროტოკოლს. Windows-ის
მომხმარებლებისათვის ხელმისაწვდომია ოთხი VPN პროტოკოლი, რომლებიც განსხვავდებიან
შიფრაციისა და მონაცემთა დაცვის ტიპებით. საუკეთესო უსაფრთხო პროტოკოლები
უზრუნველყოფენ:
 მონაცემთა კონფიდენციალურობას (data confidentiality) - პროტოკოლი შიფრავს მონაცემებს
ისე, რომ მესამე პირს არ შეეძლოს მისი წაკითხვა საერთო წვდომის ქსელში გადაცემისას;
 მონაცემთა მთლიანობას (data integrity) - ამ ფუნქციის პროტოკოლების გამოყენებისას
შევიტყობთ, თუ მესამე პირი შეცვლის მონაცემებს ქსელში გადაცემისას;
 ხელახალი გადაცემისაგან დაცვას (replay protection) - გარანტიას იძლევა, რომ ერთი და
იგივე მონაცემები გადაცემული იქნება მხოლოდ ერთხელ. Replay Attack შეტევისას ბოროტმოქმედი
იპარავს გადაცემულ მონაცემებს და შემდეგ ხელახლა აგზავნის;
 მონაცემთა წყაროს ნამდვილობის შემოწმებას (data origin authentication) - ინფორმაციის
გამგზავნი და მიმღები უნდა იყვნენ დარწმუნებული გადაცემული და მიღებული მონაცემების წარ-
მომავლობაზე.
Windows უზრუნველყოფს VPN-ის შემდეგ პროტოკოლებს (პროტოკოლები დალაგებულია
უსაფრთხოების ზრდადობის მიხედვით):
 PPTP (Point-to-Point Tunneling Protocol) – VPN ქსელი PPTP პროტოკოლით, VPN-ის ყვე-
ლაზე დაბალი უსაფრთხოების ფორმაა. ვინაიდან ისინი არ საჭიროებენ ინფრასტრუქტურასთან
საერთო წვდომის გასაღებს (PKI - public-key infrastructure), რომლებიც ასევე ნაკლებად გავრცე-
ლებულია. PPTP შეერთებაში გამოიყენება ნამდვილობის შესამოწმებელი პროტოკოლები: MS-
CHAP, MS-CHAPv2, EAP და PEAP. მონაცემთა შიფრაციისათვის გამოიყენება MPPE (Microsoft Point-
to-Point Encryption) პროტოკოლი. PPTP შეერთება უზრუნველყოფს მონაცემთა კონფიდენცი-
ალურობას, მაგრამ არ იძლევა მათი მთლიანობისა და წყაროს ნამდვილობის შემოწმების

357
გარანტიას. ზოგიერთ მოძველებულ NAT-მოწყობილობას მხარს არ აქვს PPTP-ს მხარდაჭერა.
Windows-ში PPTP პროტოკოლი გამოიყენება შემომავალი VPN-შეერთების მხარდასაჭერად.
 L2TP/IPsec (Layer 2 Tunneling Protocol/Internet Protocol Security) პროტოკოლი უზრუნ-
ველყოფს მონაცემთა წყაროს ნამდვილობის შემოწმებას, მთლიანობას, განმეორებითი გაგზავნისა-
გან დაცვას და კონფიდენციალურობას თითოეული პაკეტისათვის ცალ-ცალკე. L2TP/IPsec-ში გამო-
იყენება ციფრული სერტიფიკატები, ამიტომ მას სჭირდება წვდომა სერტიფიკატების
მომსახურების ინფრასტრუქტურასთან. L2TP/IPsec პროტოკოლს უზრუნველყოფს სხვა
მწარმოებლის უმრავლესი VPN-პროდუქტი. L2TP/IPsec-ის გამოყენება შეუძლია ყველა NAT
მოწყობილობას, მხოლოდ იმ შემთხვევაში, თუ კლიენტი და სერვერი უზრუნველყოფს IPsec NAT
Traversal (NAT-T)-ს, მაგალითად, Windows 7/8.1/10, Windows Server 2003/2008/2012. L2TP შეიძლება
მოიმართოს ნამდვილობის შემმოწმებლად, სერტიფიკატების ან საერთო გასაღების საფუძველზე,
ისე როგორც ნაჩვენებია 13.14 სურათზე:


სურ.13.14. L2TP-ს დამატებითი თვისებები

 SSTP – VPN ტუნელები SSTP პროტოკოლით იყენებენ 443 პორტს. ეს ნიშნავს იმას, რომ VPN
ტრაფიკს SSTP-ს შეუძლია გაიაროს პრაქტიკულად ყველა ფაიერვოლი, ინტერნეტთან დაშვებული
წვდომით, განსახვავებით PPTP, L2TP/IPsec და IKEv2 (Internet Key Exchange version 2) პროტოკოლე-
ბისაგან. SSTP აგზავნის ტრაფიკს HTTPS პროტოკოლის SSL-არხით. ის უზრუნველყოფს მონაცემთა
წყაროს ნამდვილობის შემოწმებას, მთლიანობას, განმეორებითი გადაგზავნისგან დაცვას და
კონფიდენციალურობას. არასდროს გამოიყენოთ SSTP პროტოკოლი Web-Proxy-სერვერის გავლით,
რომელიც იყენებს ნამდვილობის შემოწმებას;
 IKEv2 - ეს არის პროტოკოლი, რომლისთვისაც Windows-ის ძველ ვერსიებს მხარდაჭერა არ
აქვთ. ის მუშაობს IPv6 და VPN Reconnect ფუნქციებით, უზრუნველყოფს EAP (Extensible Authen-
tication Protocol) პროტოკოლს და კომპიუტერის სერტიფიკატებს კლიენტის მხრიდან ნამდვილო-
ბის შესამოწმებლად. აქ შედის PEAP, EAP-MSCHAP v2, სმარტბარათები და სხვა სერტიფიკატები
(სურ. 13.15):
IKEv2 არ აქვს ნამდვილობის შემმოწმებელ POP, CHAP ან MS-CHAPv2 (EAP-ის გარეშე)
პროტოკოლების მხარდაჭერა. IKEv2 უზრუნველყოფს მონაცემთა წყაროს ნამდვილობის შემოწმე-
ბას, მთლიანობას, ხელახალი გადაგზავნისგან დაცვას და კონფიდენციალურობას. IKEv2 იყენებს
UDP პორტ 500-ს. როდესაც ვქმნით ახალი VPN-შეერთებას ნაგულისხმევი პარამეტრებით, Windows,
პირველ რიგში, ცდილობს შეერთების მომართვას IKEv2 პროტოკოლით.

358
 სურ. 13.15. ნამდვილობის შესამოწმებელი პროტოკოლები, რომელთაც უზრუნველყოფს IKEv2

ნამდვილობის შემოწმება VPN-ში

Windows უზრუნველყოფს ნამდვილობის შემოწმების განსხვავებულ პროტოკოლებს, რო-
გორც ტელეფონურ ისე VPN შეერთებისათვის. არსებობს ნამდვილობის შემმოწმებელი პროტოკო-
ლების ორი დიდი კატეგორია: 1) პაროლის საფუძველზე და 2) სერტიფიკატების საფუძველზე.
სერტიფიკატების საფუძველზე მომუშავე ნამდვილობის შემმოწმებელი პროტოკოლები საჭირო-
ებენ PKI (public-key infrastructure) ინფრასტრუქტურას, მაგალითად, Active Directory Certificate
Services. ამიტომ აუცილებელია დავყოთ სერტიფიკატები, რომლებიც მიბმულია მომხმარებლის
სააღრიცხვო ჩანაწერებთან, კომპიუტერებთან ან ორივესთან ერთად. ასეთი პროტოკოლების
თვისებებია:
 PAP (Password Authentication Protocol) - მოცემულ პროტოკოლში ნამდვილობის შესა-
მოწმებლად გამოიყენება დაუშიფრავი პაროლები. ის არ ირთვება ნაგულისხმევად Windows 10-ის
VPN-შეერთებისათვის და არ აქვს დისტანციური წვდომის სერვერების მხარდაჭერა, რომლებიც
მუშაობს Windows Server 2012 ოპერაციულ სისტემაზე. პროტოკოლი აქტიურდება მხოლოდ სხვა
მწარმოებლის ძველ VPN-სერვერებთან შეერთებისათვის, რომლებსაც არ აქვს უფრო უსაფრთხო
პროტოკოლების მხარდაჭერა.
 CHAP (Challenge Authentication Protocol) - პაროლის საფუძველზე ნამდვილობის შესამოწ-
მებელი პროტოკოლი. მიუხედავად იმისა, რომ დისტანციური წვდომის სერვერები, რომლებიც
მუშაობს Windows Server 2012 ოპერაციულ სისტემაზე, მხარს არ აქვთ ამ პროტოკოლს მხარდაჭერა,
ის ნაგულისხმევად ჩართულია Windows 10-სთვის და უზრუნველყოფს სხვა მწარმოებლის VPN-
სერვერებთან დაკავშირებას, რომლებსაც არა აქვთ უფრო უსაფრთხო პროტოკოლების მხარდაჭერა.
 MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) - პაროლის
საფუძველზე ნამდვილობის შესამოწმებელი პროტოკოლი. მისი საშუალებით შესაძლებელია VPN-
შეერთების მომართვა, რომელიც ნამდვილობის შემოწმებისათვის იყენებს მიმდინარე მომხმარებ-
ლის სააღრიცხვო მონაცემებს (სააღრიცხვო ჩანაწერის სახელი და პაროლი).

359
  PEAP/PEAP-TLS (Protected Extensible Authentication Protocol with Transport Layer Security) -
სერტიფიკატზე დაფუძნებული ნამდვილობის შესამოწმებელი პროტოკოლი. საჭიროებს კომპიუ-
ტერის სერტიფიკატის დაყენებას VPN-სერვერზე.
 EAP-MS-CHAPv2/PEAP-MS-CHAPv2 - პაროლზე დაფუძნებული ნამდვილობის შესამოწ-
მებელი უფრო უსაფრთხო პროტოკოლები, რომელიც ხელმისაწვდომია Windows 10-ის VPN ქსელის
კლიენტებისათვის. საჭიროებს კომპიუტერის სერტიფიკატის დაყენებას VPN-სერვერზე, და არ სა-
ჭიროებს კლიენტის სერტიფიკატს.
 სმარტბარათი ან სხვა სერტიფიკატი (Smart card or other certificate) - ეს ვარიანტი გამოიყე-
ნება იმ შემთხვევაში, როცა მომხმარებლები ახორციელებენ ნამდვილობის შემოწმებას იმ სმარტ-
ბარათების ან სერტიფიკატების დახმარებით, რომლებიც დაყენებულია მოცემულ კომპიუტერზე
(სურ. 13.16):

სურ. 13.16. სმარტბარათების ან სხვა სერტიფიკატების

პარამეტრების მომართვა
VPN შეერთებისათვის ნამდვილობის შესამოწმებელი პროტოკოლების პარამეტრების მომარ-
თვა ხორციელდება VPN-შეერთების თვისებების ფანჯარაში (სურ. 13.17). Windows-ი თავიდან
ცდილობს უფრო უსაფრთხო პროტოკოლის გამოყენებას, შემდეგ კი გადადის ნაკლებად
უსაფრთხო პროტოკოლებზე, თუ ისინი ხელმისაწვდომია.

360
 სურ. 13.17. ნამდვილობის შესამოწმებელი VPN პროტოკოლები

შეიძლება დავასკვნათ:
 Windows 10 კლიენტები უზრუნველყოფენ VPN-პროტოკოლებს: PPTP, L2TP/IPsec, SSTP და
IKEv2.
 თუ გვსურს VPN Reconnect ფუნქციის გამოყენება, ამისათვის აუცილებელია პროტოკოლი
IKEv2 და VPN-სერვერი, რომელიც მუშაობს Windows Server 2012/2016 ოპერაციულ სისტემაზე;
 SSTP პროტოკოლი უზრუნველყოფს VPN ქსელებთან წვდომის მიღებას უამრავი ფაიერ-
ვოლების გავლით, რადგან ის იყენებს იგივე პორტს, როგორსაც HTTPS (443);
 EAP-MS-CHAPv2 - ეს არის ნამდვილობის შესამოწმებელი ყველაზე საიმედო პროტოკოლი,
რომელიც იყენებს პაროლს და ერთადერთი პროტოკოლი (რომელიც იყენებს პაროლს), რომელიც
შეიძლება გამოვიყენოთ IKEv2-თან;
 VPN-შეერთების შესაქმნელად გამოიყენება შეერთების ან ქსელის შექმნის ოსტატი (Set up
a Connection or Network);
 Windows-მა შეიძლება იფუნქციონიროს როგორც VPN-სერვერმა, თუ დავუშვებთ შემომა-
ვალ შეერთებას.

361
 13.3. ინფორმაციის დაცვა შიფრაცით
ფაილების და კატალოგების დაშიფვრის ფუნქციას ფაილური სისტემის დონეზე ადგილი
ჰქონდა ჯერ კიდევ Windows 2000/XP-ში, Windows Vista-ში დამატებულ იქნა მთლიანი დანაყოფის
დაშიფრვის შესაძლებლობა (BitLocker ტექნოლოგია), რაც შეეხება Windows 7 ოპერაციულ სისტემას,
მასში დაემატა ცვლადი მოწყობილობების (Removable device) დაშიფრვის ფუნქცია Flash მეხსიერე-
ბის საფუძველზე (BitLocker To Go), ხოლო Windows 8-სა და Windows 10-ში დაემატა ფუნქცია, რომ-
ლის საშუალებითაც ჩვენ შეგვიძლია ოპერაციული სისტემის დაშიფვრა ისე, რომ სტანდარტული
TPM მოდულის ან ფლეშმეხსიერების გარდა გამოყენებულ იქნას უბრალო პაროლით დაშიფვრაც.
მომხმარებელი ვალდებულია ოპერაციული სისტემის ყოველი ჩატვირთვისას შეიტანოს პაროლი.
BitLocker-ით ფაილების და კატალოგების შიფრაცია ხელმისაწვდომია Windows-ის შემდეგ
ვერსიებში (იხილეთ ცხრილი):

ცხრილი 13.2. BitLocker-ით ფაილების და კატალოგების შიფრაციის ხელმისაწვდომობა

- ხელმისაწვდომია;

- არაა ხელმისაწვდომი;

- Windows-ის ასეთი ვერსია არ არსებობს.

რაც შეეხება მყარი დისკის და ცვლადი მოწყობილობების შიფრაციას, ის ხელმისაწვდომია

Windows 7-ის მხოლოდ Windows Enterprise და Windows Ultimate ვერსიებში. Windows 7-ის საშინაო
ვერსიებში (Home Basic, Home Premium) შესაძლებელია ფაილების შიფრაცია გასაღებით ან შიფრა-
ციის სერტიფიკატით, ასევე შესაძლებელია მუშაობა ინფორმაციის ცვლად მატარებლებთან, რომ-
ლებიც დაშიფრული იქნა Enterprise და Professional ვერსიებით. Windows 8 სისტემაში ცვლადი
მოწყობილობების შიფრაცია ხელმისაწვდომია ყველა ვერსიაში, გარდა RT და Core ვერსიებისა,
ხოლო Windows 10-ში მხოლოდ Home არ უზრუნველყოფს ამ ტექნოლოგიას.

ფაილების და კატალოგების დაშიფვრა

დაშიფვრის უზრუნველსაყოფად გამოიყენება ფაილური სისტემა (EFS - Encrypting File Sys-
tem), რომელიც ჩაშენებულია NTFS ფაილურ სისტემაში, ამიტომ შიფრაციის გამოყენება პრინციპუ-
ლად არ შეიძლება FAT32-ით დაფორმატებულ დანაყოფებზე. დაშიფვრა ფაილური სისტემის

362
დონეზე სრულდება დოკუმენტების გახსნის ან შენახვის დროს და მომხმარებლისათვის
პრაქტიკულად შეუმჩნეველია.
რეკომენდებულია დაიშიფროს არა ფაილები, არამედ კატალოგები, რაც საშუალებას იძლევა
ავტომატურად დაიშიფროს ყველა მასში არსებული ფაილი. იმისათვის რომ დაშიფროთ ფაილი ან
კატალოგი, შეასრულეთ შემდეგი მოქმედებები:
 დააჭირეთ მაუსის მარჯვენა ღილაკს სასურველ ობიექტზე და აირჩიეთ პუნქტი Properties;
 General ჩანართში დააჭირეთ Advanced ღილაკს, რათა გაიხსნას დამატებითი ატრიბუტების
(Advanced Attributes) ფანჯარა (სურ. 13.18);

სურ. 13.18. დამატებითი ატრიბუტების ფანჯარა

 დააყენეთ ალამი პუნქტზე Encrypt contents to secure data-შემცველობის დაშიფრვა მონა-

ცემთა დასაცავად, რის შემდეგაც ვაჭერთ OK ღილაკს, შემდეგ ისევ OK თვისებების ფანჯარაში.
 იმ შემთხვევაში, თუ კატალოგში გვაქვს ქვეკატალოგები და ფაილები, თანხმობის შემ-
დგომ გამოვა დამატებითი ფანჯარა, სადაც სისტემა გვეკითხება: ა) დაშიფვრა განხორციელდეს
მხოლოდ ამ კატალოგზე თუ ბ) შიფრაცია განხორციელდეს მოცემულ კატალოგზე, ქვეკატა-
ლოგებზე და ფაილებზე (სურ. 13.19), თუ დავეთანხმებით შეუცვლელად, დაიშიფრება ამ
კატალოგის ყველა ფაილი.

სურ. 13.19. ცვლილებებზე თანხმობის ფანჯარა

363
 ამ ფუნქციაზე პირველი მიმართვისას, სისტემა შემოგვთავაზებს შევქმნათ არქივირებული
გასაღების ასლი და დაშიფვრის სერტიფიკატი. ამის გაკეთება აუცილებელია, საწინააღმდეგო
შემთხვევაში შეიძლება სამუდამოდ დაკარგოთ წვდომა თქვენს ფაილებთან. მაგალითად,
სააღრიცხვო ჩანაწერის წაშლის ან ოპერაციული სისტემის გადაყენების შემდეგ.
ასლის შესაქმნელად დავალებათა პანელის მარჯვენა კუთხეში დააჭირეთ გამოსულ
შეტყობინებას და გამოსულ ფანჯარაში აირჩიეთ ერთ-ერთი ვარიანტი (სურ. 13.20):

სურ. 13.20. გასაღების სარეზერვო ასლის შექმნა

 Back up now (recommended) - ამ პარამეტრის მონიშვნით შეგვიძლია დავაარქივოთ სერტი-

ფიკატი და გასაღები და შევინახოთ, სადაც გვინდა, მათ შორის ფლეშზეც;
 Back up later - თუ დავაწვებით ამ ღილაკს, მაშინ ოპერაციული სისტემა ყოველი შესვლისას
შეგვახსენებს, რომ დასაარქივებელია სერტიფიკატი და გასაღები;
 Never Back up - მისი არჩევის შემთხვევაში შესაძლებელია მომხმარებელმა დაკარგოს
წვდომა დაშიფრულ ფაილებთან, იმ შემთხვევაში, თუ გადააყენებს ოპერაციულ სისტემას ან
წაშლის იმ სააღრიცხვო ჩანაწერს, რომლითაც შექმნა დაშიფრული დოკუმენტი თუ კატალოგი.
 აირჩიეთ Back up now (Recommended) პარამეტრი და დააჭირეთ Next ღილაკს სერტიფი-
კატების ექსპორტის ოსტატის პირველ ფანჯარაში; 2. ოსტატის შემდეგ ფანჯარაში (სურ. 13.21)
შეგვიძლია დავტოვოთ ყველაფერი შეუცვლელად და ისევ დავაჭიროთ Next ღილაკს;
 მიუთითეთ პაროლი სერტიფიკატის დაცვისათვის (სურ. 13.22) და დააჭირეთ Next ღი-
ლაკს, ამავე ფანჯარაში შესაძლებელია კონკრეტული მომხმარებლებისა და ჯგუფების სახელების
მითითებაც, რომელთაც ექნებათ დაშვება გასაღებზე (სერტიფიკატზე);
 მომდევნო ეტაპზე მიუთითეთ სერტიფიკატის სახელი და ადგილმდებარეობა. Finish
ღილაკზე დაჭერის შემდეგ გამოვა შეტყობინება სერტიფიკატის წარმატებით ექსპორტირების
შესახებ.

364
 სურ. 13.21. სერტიფიკატის პარამეტრების მომართვის ფანჯარა

სურ. 13.22. გასაღების დაცვა ძირითადი უსაფრთხოებით ან პაროლით

თქვენი სააღრიცხვო ჩანაწერით შესვლის შემდეგ შეგიძლიათ თავისუფლად გახსნათ და

შეცვალოთ დაშიფრული ფაილები. იმ შემთხვევაში, თუ მოხდება ნებისმიერი ფაილის კოპირება
დაშიფრულ კატალოგში, ისიც ავტომატურად დაიშიფრება. დაშიფრული კატალოგიდან ფაილების

365
კოპირება ან გადაადგილება არ იძლევა დეშიფრირების გარანტიას, თუ დანიშნულების ადგილს არ
წარმოადგენს NTFS დანაყოფი. სხვა მომხმარებლებს არავითარი საშუალებებით არ შეუძლიათ
დაშიფრული ფაილის შემცველობის ნახვა, თუმცა NTFS-ით შესაბამისი დაშვების შემთხვევაში, მათ
შეუძლიათ გადაარქვან სახელი ან წაშალონ კიდევაც დაშიფრული ფაილი, ამიტომ რეკომენდე-
ბულია გამოყენებულ იქნეს შიფრაცია ფაილებთან წვდომის აკრძალვასთან ერთად. კატალოგების
ან ფაილების შიფრირების გასაუქმებლად გახსენით დამატებითი ატრიბუტების (Advanced Attri-
butes) ფანჯარა ისე, როგორც ეს აღწერილი იყო ზემოთ, და პუნქტიდან მოხსენით ალამი Encrypt
contents to secure data-შემცველობის დაშიფვრა მონაცემთა დასაცავად
შენიშვნა: ნებისმიერ მომხმარებელს, რომელმაც იცის თქვენი სააღრიცხვო ჩანაწერის პაროლი,
შეუძლია მიიღოს სრული წვდომა დაშიფრულ ფაილებთან, ამიტომ საჭიროა დაიცვათ პაროლი სხვა
მომხმარებლისაგან.

ფაილების დეშიფრაცია სერტიფიკატის გამოყენებით

შექმნილი სერტიფიკატით შესაძლებელია თქვენი ფაილების დეშიფრაცია სხვა სააღრიცხვო
ჩანაწერის ან კომპიუტერის გამოყენებით. მისი გამოყენება ასევე შეუძლია ბოროტმოქმედს, ამიტომ
სერტიფიკატის ასლი უნდა იქნას შენახული საიმედო ადგილზე და პაროლით უნდა იყოს დაცული,
რომლის შერჩევაც რთულია. იმისათვის, რომ გამოვიყენოთ შენახული სერტიფიკატი მონაცემთა
დეშიფრაციისათვის, შეასრულეთ შემდეგი მოქმედებები:
 File Explorer-ის დახმარებით გახსენით კატალოგი, რომელშიც შენახულია სერტიფიკატი,
დააჭირეთ მაუსის მარჯვენა ღილაკი სერტიფიკატის ნიშანს და გამოსულ კონტექსტურ მენიუში
აირჩიეთ ბრძანება Install PFX;
 მიჰყევით სერტიფიკატების იმპორტის ოსტატის ინსტრუქციებს. ჩვეულებრივ გამოსულ
ფანჯრებში არ არის საჭირო დამატებითი პარამეტრების შეტანა, აუცილებელია მხოლოდ იმ პარო-
ლის მითითება, რომლითაც დაშიფრულია სერტიფიკატი;
 სერტიფიკატის წარმატებით იმპორტის შემდეგ, შესაძლებელია გავხსნათ დაშიფრული
ფაილები ჩვეულებრივად ან საერთოდ გამოვრთოთ მათთვის შიფრაციის ფუნქცია.
 თუ სერტიფიკატის იმპორტის შემდეგაც ვერ შესძელით დაშიფრული ფაილის გახსნა, ე. ი.
არ გაქვთ წვდომა ამ ფაილთან NTFS დაშვების დონეზე. ამიტომ საჭიროა დაყენდეს დაშვების აუცი-
ლებელი პარამეტრები, მოცემული დოკუმენტის თვისებების (Properties) ფანჯრის, Security ჩანარ-
თიდან.

დაშიფრვა BitLocker-ის გამოყენებით

Windows 10-ის Pro, Enterprise და Education ვერსიებში ფაილებისა და კატალოგების შიფრა-
ციის გარდა შესაძლებელია, დავშიფროთ მთელი ლოგიკური დისკი შიფრირების ახალი ტექნოლო-
გიის დახმარებით, რომელსაც ჰქვია BitLocker. ასეთ შემთხვევაში დაშიფვრა მოიცავს ოპერაციული
სისტემის ყველა ფაილს და აპლიკაცის, და აგრეთვე მყარ დისკზე ყველა თავისუფალ სექტორს, რაც
უზრუნველყოფს უსაფრთხოების უფრო მაღალ დონეს, ვიდრე ფაილების მარტივი დაშიფრვა.
მყარ დისკზე BitLocker-ით შიფრირების დროს პარამეტრების მომართვის პროცესი იქნება
არსებითად განსხვავებული, იმის მიხედვით, საჭიროებს თუ არა დაშიფრვას ის ლოგიკური დანა-
ყოფი, რომელზეც დაყენებულია ოპერაციული სისტემა. დანაყოფებისათვის შიფრაციის ჩართვა არ
მოითხოვს დიდ შრომას, მაგრამ თუ საჭიროა დაიშიფროს სისტემური დანაყოფი, მაშინ აუცილე-
ბელია შესრულდეს რამდენიმე პირობა.

366
 სისტემური დისკის დაშიფვრა
იმ დანაყოფის დაშიფვრისათვის, რომელზეც დაყენებულია ოპერაციული სისტემა, საჭიროა,
რომ მყარი დისკი იყოს დაყოფილი მინიმუმ ორ ნაწილად და თითოეული დანაყოფი დაფორმა-
ტებული იყოს NTFS ფაილური სისტემით. პირველ დანაყოფს არ უნდა ჰქონდეს 500 მბ-ზე ნაკლები
მოცულობა და უნდა იყოს აქტიური. ოპერაციული სისტემა აუცილებელია დაყენებული იქნას
მეორე დანაყოფზე, რომელიც დაიშიფრება შემდგომში BitLocker უტილიტის დახმარებით. Windows
Vista-სგან განსხვავებით, სადაც საჭირო დანაყოფების შექმნის პრობლემის გადაწყვეტა ეხებოდა
მომხმარებელს, Windows 7/8/10 ყველაფერს თვითონ აკეთებს. დანაყოფების საჭირო კონფიგურაცია
შეიძლება შეიქმნას ავტომატურად Windows 7/8/10-ის ინსტალაციისას ან BitLocker-ის ჩართვის
პროცესში.
BitLocker-ის ყველა შესაძლებლობების გამოსაყენებლად კომპიუტერზე უნდა იყოს დაყენე-
ბული სანდო პლატფორმული მოდული (Trusted Platform Module, TPM) - სპეციალური მიკროჩიპი,
რომელიც უზრუნველყოფს სისტემის უსაფრთხოების დამატებით ფუნქციებს. TPM არ არის ჩაშე-
ნებული ყველა სისტემაში და ამიტომ კომპიუტერის ან ნოუთბუქის ყიდვისას აუცილებელია
გავამახვილოთ ყურადღება TPM მოდულის ხელმისაწვდომობაზე.
შეგვიძლია მოვმართოთ BitLocker დაშიფრვა ნებისმიერ კომპიუტერზე TPM-ის გარეშე, მაგ-
რამ უსაფრთხოების გათვალისწინებული დონე იქნება დაბალი. ამისათვის აუცილებელია ჩავრ-
თოთ გასაღების ფლეშმეხსიერებაზე შენახვის შესაძლებლობა ჯგუფური პოლიტიკის მეშვეობით.
შევასრულოთ შემდეგი მოქმედებები:
 Start მენიუს ძიების ველში შეიტანეთ ბრძანება gpedit.msc და დააჭირეთ Enter ღილაკს. ამ
ბრძანების შესასრულებლად საჭიროა ადმინისტრატორის უფლებები;
 მიყევით შემდეგ ინსტრუქციას Computer Configuration >Administrative Templates >Windows
Components > BitLocker Drive Encryption > Operating System Drives;

სურ. 13.23. შიფრაციის გამოყენება TPM მოდულის გარეშე

367
  ორჯერ დააწექით პარამეტრზე Require additional authentication at startup-მოთხოვნილ იქნას
დამატებითი აუთენტიკაცია გაშვებისას და გამოსულ ფანჯარაში დააყენეთ გადამრთველი ჩარ-
თულ მდგომარეობაში;
 დარწმუნდით, რომ ალამი დაყენებულია შემდეგ პარამეტრზე Allow BitLocker without a
compatible TPM-დაშვებულ იქნას BitLocker უტილიტა TPM მოდულის გარეშე და დააჭირეთ OK
ღილაკს (სურ. 13.23). შემდეგ დახურეთ ჯგუფური პოლიტიკის ყველა ფანჯარა;
დისკის დასაშიფრად შეასრულეთ ქვემოთ მოცემული ბრძანებების თანამიმდევრობა:
 გახსენით BitLocker-ის პარამეტრების ფანჯარა მარჯვენა ღილაკით დააჭირეთ Start მენიუს
→ Control Panel - > BitLocker Drive Encryption (სურ. 13.24);
 დააჭირეთ Turn On BitLocker მიმართვას სისტემური დანაყოფის გასწვრივ, რომელიც აღ-
ნიშნული იქნება Windows-ის ლოგოთი. თუ დისკის კონფიგურაცია არ შეესაბამება BitLocker უტი-
ლიტის მოთხოვნებს, ის ავტომატურად შეიცვლება, რის შემდეგაც დაგვჭირდება სისტემის გადა-
ტვირთვა;

სურ. 13.24. BitLocker-ის პარამეტრების მომართვის ფანჯარა

 მომდევნო ფანჯარაში (სურ. 13.25) აირჩიეთ კომპიუტერის BitLocker-ით გაშვების ერთ-

ერთი საშუალება. TPM მოდულის არქონის შემთხვევაში გვაქვს ორი ვარიანტი: 1) Insert a USB flash
drive (მიაერთეთ ფლეშ მეხსიერება) - სისტემის ყოველი ჩატვირთვისას მოთხოვნილი იქნება ფლეშ
მეხსიერების შეერთება, რომელზეც ეწერება საიდენტიფიკაციო ფაილი. 2) Enter a password (შეიტა-
ნეთ პაროლი) - სისტემის ყოველი ჩატვირთვისას მოთხოვნილი იქნება წინასწარ დადებული პარო-
ლის შეტანა. აირჩიეთ სასურველი ვარიანტი;
 შემდეგ ფანჯარაში შეინახეთ გაშვების გასაღები ფლეშმეხსიერებაზე, რომელიც აუცილე-
ბელია წინასწარ გვქონდეს მიერთებული კომპიუტერზე ან შეიტანეთ დამცავი კოდი;
 მომდევნო ეტაპზე აუცილებელია შევინახოთ გასაღების აღმდგენი, რომელიც დაგვჭირ-
დება კომპიუტერთან წვდომისათვის, იმ შემთხვევაში, თუ დაგვეკარგა გასაღები ფლეშმეხსიერები-
დან, დაგვავიწყდა პაროლი ან სისტემასთან მუშაობის დროს წარმოიქმნა პრობლემა (სურ. 13.26).

368
გვახსოვდეს, რომ აღმდგენი გასაღების გარეშე ყოველთვის არის რისკი დავკარგოთ ინფორმაცია
დაშიფრულ დისკზე. გვაქვს შენახვის შემდეგი ვარიანტები:

სურ. 13.25. BitLocker-ით კომპიუტერის გაშვების ვარიანტის არჩევა

სურ. 13.26. აღმდგენი გასაღების შენახვის ვარიანტები

 Save to your Microsoft account - თუ უკვე გაქვთ შექმნილი ონლაინ სააღრიცხვო ჩანაწერი,
მაშინ შესაძლებელია აღმდგენი კოდის ამ ჩანაწერში შენახვა;
 Save to a USB flash drive - შეაერთეთ ფლეშმეხსიერება კომპიუტერთან და დაადასტურეთ
ოპერაცია დიალოგურ ფანჯარაში;
 Save to a file - ამ შემთხვევაში უნდა მივუთითოთ შენახვის ადგილი და ფაილის სახელი;
 Print the recovery key - საჭიროა მოვამზადოთ პრინტერი დასაბეჭდათ და დავადასტუროთ
ბრძანება დიალოგურ ფანჯარაში.
6. შემდეგ ფანჯარაში (სურ. 13.27) უნდა ავირჩიოთ ორი ვარიანტიდან ერთ-ერთი: 1) Encrypt
used disk space only (faster and best for new PCs and drives) - მხოლოდ გამოყენებული ადგილების
დაშიფვრა (სწრაფი და საუკეთესო გადაწყვეტა ახალი კომპიუტერებისა და დისკებისათვის) - ამ
პარამეტრის ჩართვის შემდეგ დაიშიფრება მხოლოდ მიმდინარედ გამოყენებული დისკის ნაწილი.
BitLocker-ი ავტომატურად დაშიფრავს ყველა ახალდამატებულ მონაცემს; 2) Encrypt entire drive
(slower but best for PCs and drives already in use) - მთელი დისკის დაშიფვრა (ნელი მაგრამ საუკეთესო
ვარიანტი უკვე გამოყენებაში მყოფი კომპიუტერებისა და დისკებისათვის) - ამ ვარიანტის არჩევის

369
შემთხვევაში დაიშიფრება მთლიანი დისკი. მთლიანი დისკის დაშიფვრა გარანტიას იძლევა, რომ
ყველა მონაცემი დაცულია, ასევე ის ფაილებიც, რომლებიც წაშალეთ, მაგრამ ჯერ კიდევ შეიცავს
აღსადგენ ინფორმაციას.
სასურველი ვარიანტის არჩევის შემდეგ დააჭირეთ Next ღილაკს.

სურ. 13.27. დისკის დასაშიფრი ნაწილის არჩევა

 მომდევნო ეტაპზე გვაქვს ისევ ორი შემოთავაზებული ვარიანტი, რომლის არჩევისას

დიდი ყურადღება გვმართებს. Windows 10 (1511 ვერსია გვთავაზობს დისკის შიფრაციის ახალ
რეჟიმს (XTS-AES). მოცემული რეჟიმი უზრუნველყოფს მთლიანობის დამატებით მხარდაჭერას,
მაგრამ ის არაა თავსებადი Windows-ის ძველ ვერსიებთან: 1) New encryption mode (best for fixed drives
on this device) - შიფრაციის ახალი რეჟიმი (საუკეთესო ვარიანტია ამ მოწყობილობაზე
ფიქსირებული დისკებისათვის) - თუ ეს არის ფიქსირებული დისკი ან თუ ის გამოყენებული იქნება
მხოლოდ Windows 10 ოპერაციული სისტემის (1511 ვერსია) ან უფრო ახალი ვერსიის მქონე მოწყო-
ბილობებზე, თქვენ უნდა აირჩიოთ შიფრაციის ახალი რეჟიმი; 2) Compatible mode (best for drives that
can be moved from this device) - თავსებადი რეჟიმი (საუკეთესო ვარიანტი დისკებისათვის,
რომლებიც შეიძლება გადატანილ იქნან ამ მოწყობილობიდან სხვა მოწყობილობაზე). თუ ეს არის
მოძრავი, მოსახსნელი დისკი, რომელიც შესაძლოა გამოყენებულ იქნას Windows-ის ძველ ვერსიებ-
შიც, უნდა აირჩიოთ შიფრაციის თავსებადი რეჟიმი. აირჩიეთ შესაფერისი ვარიანტი (სურ. 13.28) და
დააჭირეთ Next (შემდეგი) ღილაკს;
 შემდეგ ფანჯარაში (სურ.13.29.) შემოთავაზებული იქნება ბრძანება Run BitLocker system
check-შემოწმდეს BitLocker-ი შიფრაციის დაწყებამდე. დავეთანხმოთ და დავაჭიროთ ღილაკს
Continue;
 ამ ყველაფრის შემდეგ აუცილებლად გადატვირთეთ კომპიუტერი. თუ გადატვირთვისას
შიფრაციის გასაღები წარმატებით მიეთითა, სისტემაში შესვლის შემდეგ დაიწყება დისკის შიფრა-
ცია ფონურ რეჟიმში.
თუ ფლეშმეხსიერება თავისი გასაღებით დაგეკარგათ ან გაგიფუჭდათ, ჩატვირთეთ კომპიუ-
ტერი ადრე შექმნილი აღმდგენი პაროლით, შემდეგ გახსენით BitLocker-ის პარამეტრების მომარ-
თვის ფანჯარა და შექმენით გასაღების ახალი ასლი. ამავე ფანჯრიდან შესაძლებელია შექმნათ
დამატებითი ასლები პაროლის აღსადგენად ან საერთოდ გათიშოთ შიფრაცია.

370
 სურ.13.28. შიფრაციის რეჟიმის არჩევა

სურ. 13.29. დასაშიფრი დისკის შემოწმება

ინფორმაციის შემცველი დისკების შიფრაცია

იმისათვის, რომ დავშიფროთ მხოლოდ მონაცემებიანი დისკი, ჩვენ აღარ გვჭირდება TPM-ის
მომართვა, პარამეტრების ჩართვა ჯგუფური პოლიტიკიდან და მყარი დისკის დანაყოფების კონფი-
გურაციის შეცვლა. ინფორმაციის შემცველი დანაყოფების შიფრაციის ჩართვა შეგვიძლია ყოველ-
გვარი მომზადების გარეშე შემდეგნაირად:
 გახსენით Computer ფანჯარა, დააწექით მაუსის მარჯვენა ღილაკით სასურველ დანაყოფს
და კონტექსტურ მენიუში აირჩიეთ ბრძანება Turn on BitLocker;
 გამოსულ ფანჯარაში საჭიროა დავაყენოთ დისკის ბლოკის მოსახსნელი საშუალება,
ავირჩიოთ ერთი ან რამდენიმე შემოთავაზებული ვარიანტებიდან (სურ. 13.30):

371
 სურ. 13.30. დისკზე ბლოკის მოხსნის საშუალებები

 Use a password to unlock the drive - ყველაზე შესაფერისი ვარიანტი უმეტესობა კომპიუ-
ტერებისათვის. პაროლის სიგრძე უნდა იყოს არა ნაკლებ 8 სიმბოლოსი, მომდევნო ველში ვიმეო-
რებთ პაროლს და Next;
 Use my smart card to unlock the drive - შეგვიძლია ავირჩიოთ ეს ვარიანტი, მხოლოდ იმ
შემთხვევაში, თუ გვაქვს მოწყობილობა რომელიც Smart card ბარათს წაიკითხავს;
 მომდევნო ფანჯარაში შესაძლებელია შევინახოთ აღმდგენი გასაღები, რომელიც იქნება
პაროლის დაკარგვისას დაშიფრულ დისკებთან წვდომის ერთადერთი საშუალება.

სურ. 13.31. დისკის დაშიფვრის პროცესი

 დააჭირეთ ღილაკს Next, და შემდეგ ფანჯარაში - Start Encryption. იმის მიხედვით, რა
ზომისაა დანაყოფი, შიფრაციის პროცესმა შეიძლება მოითხოვოს დიდი დრო (სურ. 13.31), მაგრამ
მოგვიწევს დაველოდოთ ამ პროცესის დასრულების შეტყობინებას.

USB მოწყობილობის დაშიფრვა

თანამედროვე ფლეშმეხსიერებებს აქვთ სასარგებლო თვისებები და ამიტომ ბევრი
მომხმარებელი იყენებს მათ მონაცემების შესანახად, მათ შორის კონფიდენციალური

372
მონაცემებისათვისაც. ამიტომ არსებითად იზრდება რისკი ჩავარდეს საჭირო ფაილები მესამე
პირის ხელში, რადგან ფლეშის მოპარვა რთული არაა, და დაკარგვა - კიდევ უფრო ადვილი.

Windows 7/8/10 -ში შესაძლებელია მარტივად და ეფექტურად გადაწყდეს მონაცემთა

კონფიდენციალურობის პრობლემა ფლეშმეხსიერებაზე, ჩავრთოთ მათთვის BitLocker დაშიფრვა.
ცვლადი მეხსიერების დაშიფრვის ტექნოლოგიამ Windows 7/8/10-ში მიიღო დასახელება BitLocker
To Go, და მისი მომზადება გამოსაყენებლად თითქმის არ განსხვავდება მონაცემებიანი დისკის
დაშიფრვისაგან.
 შეაერთეთ კომპიუტერზე ფლეშმეხსიერება, რომელიც გინდათ, რომ დაშიფროთ;
 გახსენით Computer ფანჯარა, დააჭირეთ მაუსის მარჯვენა ღილაკი ფლეშმეხსიერების
ნიშანზე და აირჩიეთ ბრძანება Turn On BitLocker;
 შემდეგ ეტაპზე უნდა ავირჩიოთ დაბლოკილ დისკზე პაროლის მოხსნის საშუალება.
დაშვებული იქნება მხოლოდ ორი ვარიანტი: დეშიფრაცია პაროლის დახმარებით და სმარტბა-
რათის გამოყენებით, მაგრამ დაშიფრვის დასრულების შემდეგ შეგვეძლება ასევე ავირჩიოთ ავტო-
მატური დეშიფრირების პარამეტრი;
 აღმდგენი გასაღების შესანახად ასევე ხელმისაწვდომია მხოლოდ სამი ვარიანტი:
Microsoft-ის ონლაინ სააღრიცხვო ჩანაწერში შენახვა, ფაილში შენახვა და ბეჭდვა;
 Next ღილაკზე დაჭერის შემდეგ მომდევნო ფანჯარაში ვირჩევთ ბრძანებას Start Encryption
და ველოდებით შეტყობინებას დაშიფრვის წარმატებით დასრულების შესახებ.
მიაქციეთ ყურადღება, რომ როცა ფლეშმეხსიერება დაბლოკილია, თვით ამ ფლეშზე გამოჩ-
ნდება ოქროსფერი კლიტე (სურ. 13.32), ხოლო თუ ფლეშზე ბლოკი მოხსნილია, მაშინ -
ნაცრისფერი:

სურ. 13.32. დაბლოკილი და ბლოკ-მოხსნილი ფლეშ მეხსიერებები

დაშიფრულ მეხსიერებასთან ოპერაციული სისტემა გვთავაზობს შემდეგი პარამეტრების

შეცვლის შესაძლებლობას (სურ. 13.33):

სურ. 13.33. BitLocker To Go-ს დამატებითი პარამეტრების არჩევა

 აღმდგენი კოდის სარეზერვო ასლის შექმნა;

373
  შეგვიძლია შევცვალოთ პაროლი;
 საერთოდ მოვხსნათ პაროლი მოცემულ დანაყოფს თუ ფლეშმეხსიერებას;
 დავამატოთ „ჭკვიანი“ ბარათი დაბლოკილი დანაყოფის გასახსნელად;
 ავტომატურად მოეხსნას ბლოკი მოწყობილობას, მოცემულ კომპიუტერზე მიერთებისას;
 გამოვრთოთ BitLocker დაცვა.
როცა მივუერთებთ დაშიფრულ ფლეშმეხსიერებას სხვა კომპიუტერზე, რომელზეც დაყენე-
ბულია Windows 7/8/10 ოპერაციული სისტემა, გამოვა ბლოკირების მოსახსნელი ფანჯარა. პაროლის
შეტანის შემდეგ დისკი გახდება ხელმისაწვდომი მუშაობისათვის და შევძლებთ გამოვიყენოთ იგი,
როგორც ნებისმიერი ფლეშმეხსიერება. თუ დავაყენებთ ალამს პუნქტზე Turn on auto-unlock, პარო-
ლის შესატანი ველი ბლოკის მოსახსნელად აღარ გამოვა, მაგრამ მხოლოდ მოცემული კომპიუტე-
რისათვის.
ფლეშის დაშიფრვის პროცესში, მასში ასევე იწერება პროგრამა BitLocker To Go Reader, რომ-
ლის საშუალებითაც შესაძლებელია ვნახოთ დაშიფრული დისკი Windows XP და Windows Vista
ოპერაციულ სისტემებში. ამისათვის მიაერთეთ ფლეშმეხსიერება კომპიუტერთან, დაელოდეთ
პროგრამის ავტოგაშვებას და შეიტანეთ პაროლი ბლოკის მოსახსნელად. თუ ავტოგაშვება კომპი-
უტერზე გამორთულია, გახსენით ფლეშმეხსიერება Computer კატალოგის დახმარებით და გაუშვით
BitLocker To Go Reader პროგრამა ხელით. ამ უტილიტის დახმარებით შეძლებთ დაათვალიეროთ
დისკის შემცველობა და დააკოპიროთ საჭირო ფაილები კომპიუტერში, მაგრამ ჩაწერა დაშიფრულ
დისკზე იქნება მიუწვდომელი. ამის გაკეთება შესაძლებელი იქნება იმ კომპიუტერზე, სადაც აყენია
Windows 7/8/10 ოპერაციული სისტემა.

374
 13.4. ციფრული სერტიფიკატები
ციფრული სერტიფიკატები Windows-ის უსაფრთხოების სტრუქტურის მნიშვნელოვან
კომპონენტს წარმოადგენს. სერტიფიკატი ესაა ჩანაწერი, რომელიც გამოიყენება აუთენტიკაციის,
კოდირების ან ორივე ამ მოქმედების ერთდროულად შესრულების მიზნით.
აუთენტიკაცია – ესაა პროცედურა, რომლის საშუალებითაც დასტურდება პიროვნების,
ორგანიზაციის ან ტექნიკური მოწყობილობის ნამდვილობა. მაგალითად, თუ თქვენ იღებთ
ელექტრონულ შეტყობინებას ციფრული ხელმოწერით, ეს იმის გარანტიაა, რომ აღნიშნული
პიროვნება, როგორც „გამომგზავნი“, სწორედ ეს პიროვნებაა და არა სხვა.
კოდირების საშუალებით შესაძლებელია ინფორმაცია დაუმალოთ ისეთ მომხმარებლებს,
რომლებსაც არ აქვთ მასთან მიმართვის უფლება. ამ პროცესში გამოიყენება გასაღებები, რომლებიც
ახდენენ მონაცემების გადაყვანას საბაზო ფორმატიდან ისეთ ფორმატში, რომელსაც ვერ აღიქვამს
მომხმარებელი. იმისათვის, რომ შესაძლებელი გახდეს ამ მონაცემების კვლავ აღქმა, არსებობს მხო-
ლოდ ერთი გზა უკუგარდაქმნა. (ამ დროს ისევ საჭიროა გასაღები). მონაცემთა კოდირების ყველაზე
უფრო ეფექტური და ძველი მეთოდია სიმეტრიული კოდირება. ამ დროს მონაცემთა კოდირებისა
და დეკოდირებისათვის გამოიყენება ერთი გასაღები. ასიმეტრიული კოდირება იყენებს განსხვავე-
ბულ გასაღებებს მონაცემთა კოდირება/დეკოდირებისათვის. დღეს, ყველაზე მეტად გავრცელე-
ბულია სიმეტრიული კოდირების ერთ-ერთი მეთოდი - კოდირება საერთო გასაღებით. ამ დროს
არსებობს დახურული გასაღები, რომელთანაც მიმართვის უფლება აქვს მხოლოდ ერთ სუბიექტს
და ღია გასაღები, რომელთანაც მიმართვის უფლება აქვთ ყველა მომხმარებლებს. მონაცემები,
კოდირებული ღია გასაღებით, შეიძლება დეკოდირებული იყოს მხოლოდ შესაბამისი დახურული
გასაღებით. მაგალითად, თქვენ უგზავნით კერძო შეტყობინებას ანას. თუ გამოიყენებთ მის ღია
გასაღებს შეტყობინების კოდირებისათვის, მაშინ დეკოდირების ოპერაცია შეუძლია ჩაატაროს მხო-
ლოდ ანამ, რადგან მას აქვს დახურული გასაღები. როგორ მივიღოთ ანას დახურული გასაღები? რა
თქმა უნდა, მან ის უნდა გამოგიგზავნოთ. მაგრამ როგორ დავრწმუნდეთ, რომ ის ნამდვილად ანამ
გამოაგზავნა? ამაში დაგვეხმარება სერტიფიკატის მნიშვნელოვანი თვისება: აუთენტიკაცია. შეტყო-
ბინება, ანამ გამოგზავნა თავისი გასაღებით, ხელმოწერილია მესამე პირის (რომელსაც ენდობით
თქვენც და ანაც) მიერ. ვინაიდან ნდობით აღჭურვილი პირი ერთადერთია, რომელსაც შეუძლია
ხელი მოაწეროს შეტყობინებას თავისი დახურული გასაღებით, თქვენ რწმუნდებით, რომ შეტყო-
ბინება ნამდვილად ანას გამოგზავნილია. ციფრული სერტიფიკატები უზრუნველყოფენ ღია გასა-
ღების შენახვისა და გაგზავნის მექანიზმს. ადამიანს, ორგანიზაციას ან კომპიუტერს, რომელსაც
მიეცემა სერთიფიკატი, შეუძლია გაავრცელოს ღია გასაღები სერტიფიკატის გადაგზავნის გზით.
სერტიფიკატი შეიცავს შემდეგი სახის ინფორმაციას:
 სუბიექტის ღია გასაღებს;
 სუბიექტის პირად მონაცემებს, როგორიცაა სახელი ან ელექტრონული მისამართი;
 სერტიფიკატის მოქმედების ვადა;
 იმ სერტიფიკატის ცენტრის CA (Certification authority) დასახელებას, რომელმაც გასცა
სერტიფიკატი;
 სერტიფიკაციის ცენტრის ციფრულ ხელმოწერას, რომელმაც გასცა სერტიფიკატი.

სერტიფიკაციის ცენტრები
CA-ს დანიშნულებაა იმ ღია გასაღებების აუთენტიკაცია, რომლებიც ეკუთვნის მომხმარე-
ბლებს ან სხვა სერტიფიკაციის ცენტრებს. ამ ფუნქციების განსახორციელებლად CA გასცემს სერ-
თიფიკატებს, რომელიც ხელმოწერილია მათი საკუთრი დახურული გასაღებით, ახორციელებს

375
სერტიფიკატის სერიულ ნომერთან დაკავშირებულ ოპერაციებს და აუცილებლობის შემთხვევაში
გააუქმებს სერტიფიკატს.
იმისათვის, რომ სერტიფიკატი განსაზღვრული იყოს, როგორც მოქმედი, ელექტრონული
ტრანზაქციის ორივე მხარე უნდა ენდობოდეს სერტიფიკაციის ცენტრს (CA). თქვენს კომპიუტერზე
„ნაგულისხმევი პრინციპით“ მოთავსებულია მრავალი სერტიფიკატი, რომლებიც გაცემულია სან-
დო CA-ს მიერ. ისინი მოთავსებულია საცავში Trusted Root Certification Authorities. ეს სერტიფი-
კატები აქტიურდებიან ციფრული ხელმოწერის მქონე პროგრამის ჩატვირთვის შემთხვევაში. ამ
დროს სერტიფიკატები გამოიყენება ავტომატურად, თქვენგან დამოუკიდებლად. სერტიფიკატები
გამოიყენება იმ შემთხვევაშიც, თუ მომხმარებელი მიმართვს დაცულ ვებსაიტს (Internet Explorer- ის
ფანჯარაში სტატუსის პანელზე გამოსახულია ბოქლომი) კოდირებული მიერთების განსახორციე-
ლებლად.
სურ.13.34-ზე გამოსახულია სერტიფიკატი, რომლის მიმართაც არ არის დადასტურებული
სანდო დამოკიდებულება, რადგან ის არ არის გაცემული ძირითადი სანდო CA-ს მიერ.
თუ გსურთ დაიცვათ თქვენი წერილები არასანქცირებული მიმართვისაგან ან გამოაქვეყნოთ
ინტერნეტში რომელიმე პროგრამული პროდუქტი, საჭიროა იქონიოთ სერტიფიკატები. სერტიფი-
კატის შეძენა შეიძლება სერტიფიკაციის ცენტრებში. ცენტრების უმრავლესობა აწესებს გარკვეულ
ფასებს სერტიფიკატებზე და თითოეული მათგანი იყენებს პიროვნების დადასტურების სხვადასხვა
ხერხებს. ფირმა Thawte-ი (https://www.thawte.com/) გარკვეული რეგისტრაციის გავლის შემდეგ,
სერტიფიკატებს გასცემს უფასოდ.

სურ. 13.34. მთლიანობა დარღვეული ციფრული სერტიფიკატი

376
 ციფრული სერტიფიკატების თვისებები
ციფრული სერტიფიკატების თვისებების დასათვალიერებლად შეასრულეთ შემდეგი მოქმე-
დებები:
 გააქტიურეთ Internet Explorer-ი;
 აირჩიეთ ბრძანება Tools > Internet Options > Content > Certificates;
 აირჩიეთ სერტიფიკატი, ორჯერ დააჭირეთ მაუსის მარცხენა ღილაკს მის დასახელებაზე
იხილეთ სურ. 13.35 ეკრანზე გამოჩნდება დიალოგური ფანჯარა, რომელიც შედგება შემდეგი
ჩანართებისაგან.

სურ. 13.35. მოქმედი ციფრული სერტიფიკატი

 General, აღწერილია სერტიფიკატის დანიშნულება. ცხრილში ჩამოთვლილია სერტიფიკა-

ტების გამოყენების ზოგადი სფეროები:

ცხრილი 13.3 სერტიფიკატების გამოყენების სფერო

გამოყენების სფერო
აღწერა
აღწერა
კლიენტის გამოიყენება კლიენტების მიერ სერვერებთან
აუთენტიკაცია საკუთარი თავის აუთენტიკაციისათვის
სერვერის გამოიყენება სერვერების მიერ კლიენტებთან
აუთენტიკაცია საკუთარი თავის აუთენტიკაციისათვის

377
 პროგრამული კოდის გამოიყენება პროგრამული კოდის მწარმოებლების
ხელმოწერა მიერ პროგრამების აუთენტიკაციისათვის

გამოიყენება ელექტრონული შეტყობინებების

ელექტრონული
ხელმოწერისა და კოდირებისათვის პროტოკოლით
შეტყობინებების დაცვა
Secure/Multipurpose Internet Mail Extensions(S/MIME)
ნდობის სიების გამოიყენება სერტიფიკატების ნდობის სიის
ხელმოწერა შესაქმნელად
კოდირებული ფაილური გამოიყენება სიმეტრიულ გასაღებთან ფაილების
სისტემა კოდირება/დეკოდირებისათვის
გამოიყენება სიმეტრიულ გასაღებთან ფაილების
ფაილების აღდგენა
აღდგენისათვის

 Details - ჩამოთვლილია სერტიფიკატის ყველა პარამეტრი და მითითებულია მისი

მოქმედების ვადა;
 Certification Path - ასახულია აუტენტიკაციის სრული ჯაჭვი.

სერტიფიკატების მართვა
სერტიფიკატების მართვა შეიძლება ორი გზით: დიალოგური ფანჯრიდან Certificates და
Microsoft-მართვის კონსოლიდან Certificates.
დიალოგური ფანჯარა Certificates
დიალოგური ფანჯრის Certificates -ის ეკრანზე გამოსატანად შეასრულეთ შემდეგი მოქმედე-
ბები:
 გააქტიურეთ Internet Explorer-ი;
 აირჩიეთ ბრძანება Tools→Internet Options→ Content→Certificates;
 ეკრანზე გამოჩნდება დიალოგური ფანჯარა (სურ. 13.36). მოცემულ დიალოგურ
ფანჯარაში წარმოდგენილია სერტიფიკატების საცავი, სადაც სერტიფიკატები დაჯგუფებულია
დანიშნულების მიხედვით.

378
 სურ. 13.36. Windows-ის ციფრული სერტიფიკატების სია

 Personal (პირადი) აქ ინახება სერტიფიკატები შესაბამის დახურულ გასაღებთან ერთად

(როგორც წესი, პირადი სერტიფიკატები);
 Other People (სხვა მომხმარებლები). აქ ინახება სერტიფიკატები იმ მომხმარებლებისათვის,
რომლებთან ერთადაც თქვენ იყენებთ ერთ ან რამდენიმე კოდირებულ ფაილს;
 Intermediate Certification Authorities (სერტიფიკაციის შუალედური ცენტრები). აქ ინახება
სერტიფიკატები გაცემული ისეთი ცენტრების მიერ, რომლებიც არ მიეკუთვნებიან ძირითად
სანდო სერტიფიკაციის ცენტრებს;
 Trusted Root Certificates (სერტიფიკაციის სანდო მთავარი ცენტრები). აქ შენახულია ხელ-
მოწერილი სერტიფიკატები. თქვენ შეგიძლიათ სრულად ენდოთ ცალკეული პირებისაგან ან
ფირმებიდან მიღებულ ინფორმაციას, თუ თანმხლები სერტიფიკატები გაცემულია ამ კატეგო-
რიაში მითითებული სერტიფიკაციის ცენტრების მიერ.
 Trusted Publishers (სანდო გამომცემლები). აქ მოთავსებულია მხოლოდ ის სერტიფიკატები,
რომლებისათვისაც დაყენებული იყო ალამი Always trust Content From (ყოველთვის ენდეთ
შინაარსს) დიალოგურ ფანჯარაში Security Warning.
სერტიფიკატების მართვისათვის მეტად ხელსაყრელია კონსოლი certmgr.msc. აკრიფეთ ეს
ბრძანება ბრძანებათა სტრიქონში, გამოჩნდება სურ. 13.37-ზე ნაჩვენები ფანჯარა.

379
 სურ. 13.37. სერტიფიკატების მართვის ფანჯარა

სერტიფიკატების ექსპორტი და იმპორტი

შესაძლებელია სერტიფიკატების ექსპორტი სერტიფიკატების საცავიდან ჩვეულებრივ ფაილ-
ში, რაც შეიძლება დაგჭირდეთ შემდეგი მიზნის მისაღწევად:
 სარეზერვო ასლის შესაქმნელად;
 სერტიფიკატის კოპირებისათვის ან მის გადასატანად სხვა კომპიუტერზე.
ექსპორტის განსახორციელებლად Certificates დიალოგურ ფანჯარაში ამოირჩიეთ სერტიფი-
კატი და გამოიძახეთ Action > All tasks > Export... ეკრანზე გამოჩნდება Certificate Export Wizard
ოსტატი (სურ. 13.38).
სერტიფიკატის იმპორტი აუცილებელია შემდეგი ამოცანების მისაღწევად:
 ახალი სერტიფიკატის ინსტალაციისას (სერტიფიკატი შეიძლება მიიღოთ სხვა ადამიანის
ან სერტიფიკაციის ცენტრიდან);
 დაზიანებული ან დაკარგული სერტიფიკატის აღსადგენად;
 თქვენი პერსონალური სერტიფიკატის სხვა კომპიუტერზე დასაყენებლად.
იმპორტის განსახორციელებლად Certificates დიალოგურ ფანჯარაში გამოიძახეთ Action > All
tasks > Import... ბრძანება.

380
სურ. 13.38. სერფიტიკატის ექსპორტის ოსტატი

381
 ლაბორატორიული სამუშაო №11 - პაკეტებისა და პროცესების
მართვა
11.1 შესავალი
ეს არის ლაბორატორიული სამუშაო №11: ლინუქსის მონაცემთა ადგილმდებარეობები.
მოცემული ლაბორატორიული სამუშაოს შესრულებით, თქვენ შეისწავლით ბირთვის
(kernel) ინფორმაციის, პროცესების ინფორმაციის, ბიბლიოთეკების, ლოგ ფაილების და
პროგრამულ პაკეტების ადგილმდებარეობებს.
ამ ლაბორატორიულ სამუშაოში თქვენ შეასრულებთ შემდეგ ამოცანებს:
1. შეისწავლით თუ როგორ იყენებს ბირთვი /proc ფაილურ სისტემას.
2. გამოიყენებთ ps ბრძანებას, პროცესის ინფორმაციის დასათვალიერებლად
3. პროცესების მართვის შესწავლა, მათი გაშვებით, შეჩერებით და განახლებით
4. ლოგ ფაილების დათვალიერება
5. საერთო ბიბლიოთეკების ჩატვირთვის შესაძლებლობის მართვა

11.2 ბირთვი და /proc

ამ დავალებაში თქვენ გამოიკვლევთ /proc დირექტორიას და ბრძანებებს, რომლებიც
ახდენენ კომუნიკაციას ლინუქსის ბირთვთან. /proc დირექტორია გამოიყურება როგორც
ჩვეულებრივი დირექტორია, როგორიცაა /usr ან /etc, მაგრამ ეს ასე არაა. /usr ან /etc
დირექტორიებისაგან განსხვავებით, რომლებიც როგორც წესი ჩაწერილია დისკწამყვანზე,
/proc დირექტორია წარმოადგენს ფსევდო ფაილურ სისტემას, რომელიც შენარჩუნებულია
კომპიუტერის მეხსიერებაში.
/proc დირექტორია შეიცავს ქვედირექტორიას სისტემაში გაშვებული თითოეული
პროცესისთვის. პროგრამები, როგორიცაა ps და top, კითხულობენ ინფორმაციას ამ
დირექტორიებიდან გაშვებულ პროცესებზე. /proc დირექტორია ასევე შეიცავს ინფორმაციას
ოპერაციული სისტემისა და მათი ტექნიკური უზრუნველყოფის შესახებ ისეთ ფაილებში,
როგორიცაა /proc/cpuinfo, /proc/meminfo და /proc/devices.
/proc/sys ქვედირექტორია შეიცავს ფსევდო ფაილებს, რომლებიც შეიძლება იქნას
გამოყენებული გაშვებული ბირთვის პარამეტრების ცვლილებისათვის. რადგან ეს ფაილები
არ წარმოადგენენ „რეალურ“ ფაილებს, მათ შესაცვლელად არ უნდა იქნას გამოყენებული
რედაქტორი; ამის ნაცვლათ, თქვენ უნდა გამოიყენოთ echo ან sysctl ბრძანება, მოცემულ
ფაილებში ძველი მონაცემების ახლით შესაცვლელად (overwrite). ამავე მიზეზით, არ
ეცადოთ ამ ფაილების რედაქტორში დათვალიერება, მის ნაცვლად გამოიყენეთ cat ან sysctl
ბრძანება.
კონფიგურაციის გამუდმებული ცვლილებისთვის, ბირთვი იყენებს /etc/sysctl.conf
ფაილს. როგორც წესი, მოცემული ფაილი გამოიყენება ბირთვის მიერ /proc ფაილებში
ცვლილების განხორციელებისთვის, სისტემის გაშვებისას.

Next-IT Academy შალვა სვანიშვილი გვერდი №1

11.2.1 პირველი ეტაპი
მოცემულ დავალებაში თქვენ გამოიკვლევთ /proc დირექტორიაში არსებულ ზოგიერთ
ფაილს.
ls /proc
თქვენი შედეგი უნდა იყოს სურათზე მოცემულის მსგავსი:

შეგახსენებთ, რომ დირექტორიებს, რომლებსაც სახელებად აქვთ ნომრები,

წარმოადგენენ სისტემაში გაშვებულ პროცესებს. პირველი პროცესი ყოველთვის არის
/sbin/init, ამიტომ /proc1 დირექტორიას შემცველობაში ექნება ინფორმაცია, გაშვებული init
პროცესის შესახებ.
პროცესის დირექტორიის ქვეშ არსებული cmdline ფაილი (მაგალითად, /proc/1/cmdline)
უჩვენებს ბრძანებას, რომელიც შესრულდა. სხვა პროცესების გაშვების რიგითობა
მნიშვნელოვნად იცვლება სისტემიდან სისტემაში. რადგან ამ ფაილის შემცველობა არ
შეიცავს ახალი ხაზის სიმბოლოს, შესრულდება echo ბრძანება, შემახსენებელი ველის
(prompt) გამოძახებისთვის, ახალ ხაზზე გადასასვლელად.

Next-IT Academy შალვა სვანიშვილი გვერდი №2

11.2.2 მეორე ეტაპი
/sbin/init პროცესის (1 პროცესის იდენტიფიკატორი - PID) შესახებ ინფორმაციის
დასათვალიერებლად გამოიყენეთ cat და შემდეგ ps ბრძანება:
cat /proc/1/cmdline; echo
ps –p 1
თქვენი შედეგი უნდა გამოიყურებოდეს ქვემოთ მოცემული გამოსახულების მსგავსად:

შენიშვნა: მოცემულ მაგალითში, echo ბრძანება შესრულებულია უშუალოდ cat

ბრძანების შემდეგ. რადგან, მას არ აქვს არგუმენტი, ის მუშაობს მხოლოდ იმიტომ, რომ
მოცემული ბრძანებათა შემახსენებელი განათავსოს ახალ ხაზზე. განსხვავების სანახავად
შეასრულეთ მხოლოდ cat ბრძანება.

/proc დირექტორიაში არსებული სხვა ფაილები შეიცავენ ინფორმაციას ოპერაციული

სისტემის შესახებ. ამ ფაილების სანახავად და შესაცვლელად გამოიყენება ქვემოთ
მოცემული დავალებები.

11.2.3 მესამე ეტაპი

დაათვალიერეთ /proc/cmdline ფაილი იმის სანახავად, თუ რა არგუმენტები იქნა
გადაცემული ბირთვისთვის, ჩატვირთვის დროს:
cat /proc/cmdline
შედეგი უნდა იყოს ქვემოთ მოცემული სურათის მსგავსი:

Next-IT Academy შალვა სვანიშვილი გვერდი №3

11.3 პროცესების მართვა
მოცემულ დავალებაში თქვენ გაუშვებთ და შეაჩერებთ პროცესებს.

11.3.1 პირველი ეტაპი

ტერმინალიდან აკრიფეთ შემდეგი ბრძანება:
ping localhost > /dev/null
თქვენი შედეგი უნდა იყოს ქვემოთ მოცემულის მსგავსი:

ping-ის შედეგი გადამისამართებულ იქნა /dev/null ფაილში (რომელიც ხშირად

ცნობილია, როგორც ბიტის ბაკეტი - მეხსიერების მონაკვეთი, ინფორმაციის სეგმენტი).
აღსანიშნავია, რომ ტერმინალი აჩვენებს დაყოვნებას ამ ბრძანებაზე. ეს ხდება ამ
ბრძანების „წინა პლანზე“ შესრულების გამო. სისტემა გააგრძელებს ping-ის შესრულებას,
სანამ პროცესი არ დასრულდება ან შეწყდება მომხმარებლის მიერ.

11.3.2 მეორე ეტაპი

Ctrl-C ღილაკთა კომბინაციაზე დაჭერით შეწყვიტეთ წინა პლანის პროცესი.

11.3.3 მესამე ეტაპი

შემდეგ, იგივე პროცესის ფონურ რეჟიმში (background) გასაშვებად, აკრიფეთ:
ping localhost > /dev/null &
თქვენი შედეგი უნდა იყოს სურათზე მოცემულის მსგავსი:

ბრძანების ბოლოს & (ამპერსანდი - გრაფიკული ნიშანი &. გამოიყენება სიტყვა „და“-ს
ნაცვლად) ნიშნის დამატებით, პროცესი გაეშვება ფონურ რეჟიმში, რაც მომხმარებელს
აძლევს ტერმინალის კონტროლის შენარჩუნების საშუალებას.
ზემოთ მოყვანილი ბრძანების ადვილად შესაყვანად გამოიყენეთ ბრძანების ისტორია.
თქვენ უნდა დააჭიროთ კლავიატურაზე არსებულ ზედა ისრის ღილაკს , დაამატოთ
სივრცე (space), ბრძანების ბოლოს აკრიფოთ & სიმბოლო და შესასრულებლად დააჭიროთ
Enter ღილაკს. ამით დაზოგავთ დროს, მსგავსი ბრძანებების შეყვანისას.

Next-IT Academy შალვა სვანიშვილი გვერდი №4

 მიაქციეთ ყურადღება იმას, რომ წინა ბრძანებამ შედეგად დააბრუნა შემდეგი
ინფორმაცია:

ეს ნიშნავს, რომ ამ პროცესს აქვს სამუშაო ნომერი 1 (როგორც ნაჩვენებია [1] შედეგით)
და პროცესის იდენტიფიკატორი (PID) 93. თითოეულ ტერმინალს/პროგრამულ გარსს ექნება
უნიკალური სამუშაო ნომერი. PID არის საერთო სისტემური; თითოეულ პროცესს აქვს
უნიკალური ID ნომერი.
ეს ინფორმაცია მნიშვნელოვანია, როცა სრულდება ზოგიერთი პროცესის
მანიპულაციები, როგორიცაა პროცესების შეწყვეტა ან მათთვის პრიორიტეტის
მნიშვნელობის შეცვლა.
შენიშვნა: თქვენი პროცეს ID იქნება იმისგან განსხვავებული, რაც მაგალითშია
მოცემული.

11.3.4 მეოთხე ეტაპი

იმის სანახავად თუ რომელი ბრძანებებია გაშვებული მიმდინარე ტერმინალში,
აკრიფეთ შემდეგი ბრძანება:
jobs
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

11.3.5 მეხუთე ეტაპი

შემდეგ, გაუშვით სხვა ping ბრძანება ფონურ რეჟიმში, ქვემოთ მოცემული ბრძანების
აკრეფით:
ping localhost > /dev/null &
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

მიაქციეთ ყურადღება ახალი ბრძანების განსხვავებულ სამუშაო ნომერსა და პროცესის

იდენტიფიკატორს (ID).

Next-IT Academy შალვა სვანიშვილი გვერდი №5

11.3.6 მეექვსე ეტაპი
ახლა, ფონურ რეჟიმში უნდა იყოს გაშვებული ორი ping ბრძანება. ამის შესამოწმებლად,
ხელახლა გაუშვით jobs ბრძანება:
jobs
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

11.3.7 მეშვიდე ეტაპი

მას შემდეგ რაც დარწმუნდით, რომ გაშვებულია ორი ping ბრძანება, გადაიტანეთ
პირველი ბრძანება წინა პლანზე (foreground) შემდეგი ბრძანების აკრეფით:
fg %1
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

11.3.8 მერვე ეტაპი

აღსანიშნავია, რომ ping ბრძანებამ კიდევ ერთხელ მოიპოვა კონტროლი ტერმინალზე.
პროცესის შესაჩერებლად (დაპაუზება) და ტერმინალზე კონტროლის ხელახლა მისაღებად
აკრიფეთ Ctrl-Z:

11.3.9 მეცხრე ეტაპი

იმისათვის, რომ ამ პროცესმა გააგრძელოს შესრულება ფონურ რეჟიმში, შეასრულეთ
შემდეგი ბრძანება:
bg %1
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

Next-IT Academy შალვა სვანიშვილი გვერდი №6

11.3.10 მეათე ეტაპი
გაშვებული პროცესების შესამოწმებლად, კიდევ ერთხელ გაუშვით jobs ბრძანება:
jobs
თქვენი შედეგი უნდა იყოს სურათზე მოცემულის მსგავსი:

11.3.11 მეთერთმეტე ეტაპი

შემდეგ, გაუშვით კიდევ ერთი ping ბრძანება, ქვემოთ მოყვანილის აკრეფით:
ping localhost > /dev/null &
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

11.3.12 მეთორმეტე ეტაპი

სამი გაშვებული პროცესის შესამოწმებლად ხელახლა გაუშვით jobs ბრძანება:
jobs

11.3.13 მეცამეტე ეტაპი

სამუშაო ნომრის გამოყენებით, შეაჩერეთ ბოლო ping ბრძანება kill ბრძანებით და jobs
ბრძანების შესრულებით დარწმუნდით რომ ის შეწყდა:
kill %3
jobs
თქვენი შედეგი უნდა იყოს ქვემოთ მოცემულის მსგავსი:

Next-IT Academy შალვა სვანიშვილი გვერდი №7

11.3.14 მეთოთხმეტე ეტაპი
ბოლოს, თქვენ შეგიძლიათ ყველა ping ბრძანების შეწყვეტა killall ბრძანების
დახმარებით. killall ბრძანების შესრულების შემდეგ, ცოტა ხანი დაელოდეთ და შემდეგ
გაუშვით jobs ბრძანება, რათა დარწმუნდეთ, რომ ყველა პროცესი შეჩერებულია:
killall ping
jobs
თქვენი შედეგი უნდა იყოს სურათზე მოცემულის მსგავსი:

11.4 Top-ის გამოყენება პროცესების დასათვალიერებლად

მოცემულ დავალებაში თქვენ გამოიყენებთ top ბრძანებას პროცესებთან სამუშაოდ.
სტანდარტულად top პროგრამა პროცესებს ახარისხებს ცენტრალური პროცესორის
დატვირთვის პროცენტულობის კლებადობით, ამიტომ ყველაზე დატვირთული
პროგრამები მოექცევა ამ ჩამონათვალის ზედა ნაწილში.

11.4.1 პირველი ეტაპი

ტერმინალის ფანჯრიდან აკრიფეთ შემდეგი ბრძანებები
ping localhost > /dev/null &
ping localhost > /dev/null &
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

ყურადღება მიაქციეთ ზემოთ მოცემული ბრძანებების PID შედეგებს! თქვენს

შემთხვევაში, შედეგები განსხვავებული იქნება სურათზე მოცემული შედეგებისაგან. PID-
ებს თქვენ გამოიყენებთ მომდევნო ეტაპებზე.

Next-IT Academy შალვა სვანიშვილი გვერდი №8

11.4.2 მეორე ეტაპი
შემდეგ, გაუშვით top ბრძანება, შემდეგი ბრძანების აკრეფით:
top
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

შენიშვნა: top ბრძანების შედეგები იცვლება ყოველ ორ წამში.

11.4.3 მესამე ეტაპი

top ბრძანება არის ინტერაქტიული პროგრამა, რაც ნიშნავს, რომ თქვენ შეგიძლიათ
ბრძანებების გაშვება პროგრამის შიგნით. თქვენ გამოიყენებთ top ბრძანებას ping პროცესების
შესაწყვეტად. პირველ რიგში აკრიფეთ k. ყურადღება მიაქციეთ იმას, რომ შემახსენებელი
ხაზი (prompt) გამოჩნდა Swap-ის ქვეშ:

Next-IT Academy შალვა სვანიშვილი გვერდი №9

11.4.4 მეოთხე ეტაპი
PID to kill : შემახსენებელ ველში, აკრიფეთ პირველად გაშვებული ping პროცესის PID,
შემდეგ დააჭირეთ Enter ღილაკს. მიაქციეთ ყურადღება იმას, რომ შემახსენებელი ველი
(prompt) შეიცვალა ისე, როგორც ქვემოთაა ნაჩვენები:

11.4.5 მეხუთე ეტაპი

Kill PID with signal [15] : შემახსენებელ ველში შეიყვანეთ სიგნალი ამ პროცესის
გასაგზავნად. ჩვენს შემთხვევაში, სტანდარტული სიგნალის გამოსაყენებლად უბრალოდ
დააჭირეთ Enter ღილაკს. აღსანიშნავია, რომ პირველი ping ბრძანება წაიშლება
ჩამონათვალიდან და დარჩება მხოლოდ ერთი ping ბრძანება (შესაძლოა საჭირო გახდეს
რამდენიმე წამი დალოდება, სანამ განახლდება top ბრძანება):

Next-IT Academy შალვა სვანიშვილი გვერდი №10

მხედველობაში გქონდეთ შემდეგი:
არსებობს რამოდენიმე განსხვავებული ციფრული მნიშვნელობა, რომლებიც შეიძლება იქნას
გაგზავნილი პროცესისთვის. ესენი წარმოადგენენ წინასწარგანსაზღვრულ მნიშვნელობებს,
რომელთაგან თითოეულს გააჩნია განსხვავებული მნიშვნელობა. თუ გსურთ ამ
მნიშვნელობების შესახებ მეტის გაგება, აკრიფეთ man kill ბრძანება ტერმინალის ფანჯარაში.
შემახსენებელი ველი (prompt) მიუთითებს, რომ სტანდარტული სიგნალი არის შეწყვეტის
სიგნალი, რომეიც მითითებულია SIGTERM-ით ან 15 ნომრით.

11.4.6 მეექვსე ეტაპი

შემდეგ, შეწყვიტეთ დარჩენილი ping პროცესი, როგორც ადრე, ოღონდ ამჯერად,
სიგნალის მოთხოვნის kill PID with signal [15] : სტრიქონზე (prompt), ნაგულისხმევი 15
რიცხვის ნაცვლად გამოიყენეთ მნიშვნელობა 9. შეტანილი ინფორმაციის
დადასტურებისათვის დააჭირეთ Enter ღილაკს.

გაითვალისწინეთ:
შეწყვეტის სიგნალი 9 ან SIGKILL წარმოადგენს „ძლიერ“ სიგნალს, ნაგულისხმევი
მნიშვნელობისაგან (15) განსხვავებით, მისი უგულებელყოფა არ ხდება. მიაქციეთ
ყურადღება იმას, რომ ping ბრძანების ყველა მიმართვა წაშლილია top-დან.

11.4.7 მეშვიდე ეტაპი

Top ბრძანებიდან გამოსასვლელად აკრიფეთ q სიმბოლო. ქვემოთ მოცემული ეკრანი
ასახავს იმას, რომ ორივე ping ბრძანება დასრულებულია:

Next-IT Academy შალვა სვანიშვილი გვერდი №11

11.5 pkill-სა და kill-ის გამოყენება პროცესების დასასრულებლად
მოცემულ დავალებაში, ჩვენ განვაგრძობთ პროცესებთან მუშაობას. თქვენ გამოიყენებთ
pkill და kill ბრძანებებს პროცესების დასასრულებლად.

11.5.1 პირველი ეტაპი

დასაწყებად ტერმინალში აკრიფეთ შემდეგი ბრძანებები
sleep 888888 &
sleep 888888 &
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

sleep ბრძანება, როგორც წესი გამოიყენება პროგრამის (პროგრამული გარსის სცენარი)

დროის გარკვეული პერიოდით დასაპაუზებლად. ამ შემთხვევაში ის უბრალოდ
გამოყენებულია იმ ბრძანების უზრუნველყოფისთვის, რომელსაც გასაშვებად დასჭირდება
დიდი დრო.
აუცილებლად მიაქციეთ ყურადღება sleep პროცესების PID-ებს თქვენს სისტემაზე,
შემდეგი ეტაპებისთვის! თქვენი PID-ები იქნება განსხვავებული იმისგან, რაც ნაჩვენებია
ლაბორატორიულ სამუშაოში.

11.5.2 მეორე ეტაპი

შემდეგ, ქვემოთ მოცემული ბრძანების აკრეფით დაადგინეთ მიმდინარედ გაშვებული
სამუშაოები:
jobs
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

Next-IT Academy შალვა სვანიშვილი გვერდი №12

11.5.3 მესამე ეტაპი
ახლა, გამოიყენეთ kill ბრძანება sleep ბრძანების პირველი ინსტანციის შესაწყვეტად
აკრიფეთ შემდეგი (PID შეცვალეთ თქვენს მიერ პირველად გაშვებული sleep ბრძანების
პროცესის ID-ით). ასევე, jobs ბრძანების შესრულებით დარწმუნდით, რომ პროცესი
დასრულდა:
kill PID
jobs
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

საჭირო შენიშვნა: თუ არ გახსოვთ პირველი პროცესის PID, უბრალოდ აკრიფეთ ps

(პროცესი) ბრძანება, როგორც ზემოთაა მოცემული.

11.5.4 მეოთხე ეტაპი

შემდეგ, დარჩენილი sleep ბრძანების დასასრულებლად გამოიყენეთ pkill, PID-ის
ნაცვლად პროგრამის სახელის მითითებით:
pkill -15 sleep
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

Next-IT Academy შალვა სვანიშვილი გვერდი №13

11.6 ps-ის გამოყენება პროცესების ასარჩევად და დასახარისხებლად
ps ბრძანება შეიძლება იქნას გამოყენებული პროცესების დასათვალიერებლად.
ნაგულისხმევად, ps ბრძანება უჩვენებს მხოლოდ მიმდინარე პროგრამულ გარსში გაშვებულ
პროცესებს.

11.6.1 პირველი ეტაპი

ping-ის გამოყენებით გაუშვით პროცესი ფონურ რეჟიმში და დაათვალიერეთ
მიმდინარე პროცესები ps ბრძანებით:
ping localhost > /dev/null &
ps
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

ჩაინიშნეთ ping-ის PID ნომერი, თქვენ მას გამოიყენებთ მომდევნო ეტაპზე.

11.6.2 მეორე ეტაპი

შეასრულეთ ps ბრძანება -e პარამეტრის გამოყენებით, შედეგად გამოჩნდება ყველა
პროცესი: ps –e
თქვენი შედეგი უნდა იყოს სურათზე გამოსახულის მსგავსი:

იმის გამო, რომ ეს გარემო წარმოადგენს ვირტუალიზებულ ოპერაციულ სისტემას,

ბევრად ნაკლები პროცესია აქ იმასთან შედარებით, რაც პირდაპირ ტექნიკურ
უზრუნველყოფაზე გაშვებულ ლინუქსში იქნებოდა ნაჩვენები.

Next-IT Academy შალვა სვანიშვილი გვერდი №14

11.6.3 მესამე ეტაპი
იმის განსასაზღვრად, თუ რომელი სვეტები უნდა იქნას გამოტანილი, გამოიყენეთ ps
ბრძანება -o პარამეტრთან ერთად:
ps –o pid, tty, time, %cpu, cmd
თქვენი შედეგი უნდა იყოს სურათზე მოცემულის მსგავსი:

11.6.4 მეოთხე ეტაპი

დასახარისხებელი სვეტ(ებ)ის მისათითებლად გამოიყენეთ --sort პარამეტრი.
ნაგულისხმევად, დახარისხებისთვის განსაზღვრული სვეტი წარმოდგენილი იქნება
ზრდადობით, ეს შეიძლება იძულებით იქნას გაკეთებული სვეტის სახელის წინ + (პლიუსი)
სიმბოლოს დასმით. კლებადობით დალაგების განსაზღვრისთვის, სვეტის სახელის წინ
გამოიყენეთ - (მინუსი) სიმბოლო.
დაალაგეთ ps-ის შედეგი %mem-ის მიხედვით:
ps –o pid, tty,time,%mem,cmd –sort %mem
თქვენი შედეგი უნდა იყოს სურათზე მოცემულის მსგავსი:

11.6.5 მეხუთე ეტაპი

იმ დროს, როცა ps ბრძანება უჩვენებს პროცესის მიერ გამოყენებულ მეხსიერებას
პროცენტულად, free ბრძანება უჩვენებს მეხსიერების საერთო სისტემურ გამოყენებას:
free
შედეგი უნდა იყოს ქვემოთ მოცემულის მსგავსი:

Next-IT Academy შალვა სვანიშვილი გვერდი №15

11.6.6 მეექვსე ეტაპი
Kill ბრძანების გამოყენებით შეწყვიტეთ ping ბრძანება და შეამოწმეთ jobs ბრძანებით:
kill PID
jobs
თქვენი შედეგი უნდა იყოს ქვემოთ მოცემულის მსგავსი:

Next-IT Academy შალვა სვანიშვილი გვერდი №16

 ვინდოუსის არქიტექტურა და ოპერაციები - ტექნიკური უზრუნველყოფის
აბსტრაქციის დონე
კომპიუტერებზე, რომლებზეც აყენია ვინდოუს ოპერაციული სისტემა, იყენებენ მრავალი
განსხვავებული ტიპის ტექნიკურ უზრუნველყოფას. ოპერაციული სისტემა შესაძლოა
დაინსტალირებულ იქნას შეძენილ კომპიუტერზე ან მომხმარებლის მიერ აწყობილ
კომპიუტერზე. ოპერაციული სისტემის ინსტალაციისას, ის იზოლირებული უნდა იყოს
ტექნიკური უზრუნველყოფის განსხვავებისაგან. სურათზე ნაჩვენებია ვინდოუსის ბაზისური
არქიტექტურა.
ტექნიკური უზრუნველყოფის აბსტრაქციის დონე (HAL) წარმოადგენს პროგრამულ
უზრუნველყოფას, რომელიც ამუშავებს ნებისმიერ კომუნიკაციას ტექნიკურ უზრუნველყოფასა
და ბირთვს შორის. ბირთვი (Kernel) წარმოადგენს ოპერაციული სისტემის მთავარ ღერძს და ის
სრულად აკონტროლებს კომპიუტერს. ის ამუშავებს ნებისმიერ შემავალ და გამომავალ
მოთხოვნას, მეხსიერებას და კომპიუტერზე მიერთებულ ყველა პერიფერიულ მოწყობილობას.
ზოგიერთ შემთხვევაში ბირთვი კვლავ ურთიერთქმედებს პირდაპირ ტექნიკურ
უზრუნველყოფასთან, თუმცა ის არ არის სრულად დამოუკიდებელი HAL-სგან. HAL-ს ასევე
სჭირდება ბირთვი ზოგიერთი ფუნქციების შესასრულებლად.
ვინდოუსის არქიტექტურა და ოპერაციები - ტექნიკური უზრუნველყოფის
აბსტრაქციის დონე
 ვინდოუსის არქიტექტურა და ოპერაციები - მომხმარებლის რეჟიმი და
ბირთვის რეჟიმი

როგორც გამოსახულებიდან ჩანს, არსებობს ორი განსხვავებული რეჟიმი,

რომელშიც მუშაობს ცენტრალური პროცესორი (CPU), როდესაც კომპიუტერზე
დაინსტალირებულია ვინდოუსი: მომხმარებლის რეჟიმი და ბირთვის რეჟიმი.
დაინსტალირებული აპლიკაციები ეშვება მომხმარებლის რეჟიმში, ხოლო
ოპერაციული სისტემის კოდი ეშვება ბირთვის რეჟიმში. ბირთვის რეჟიმში
შესრულებულ კოდს აქვს შეუზღუდავი წვდომა ძირითად ტექნიკურ
უზრუნველყოფასთან და ასევე აქვს CPU-ს ნებისმიერი ინსტრუქციის შესრულების
უნარი. ბირთვის რეჟიმის კოდს ასევე შეუძლია მეხსიერების ნებისმიერი მისამართის
პირდაპირ მითითება. როგორც წესი, ოპერაციული სისტემის ყველაზე საიმედო
ფუნქციებისთვის დარეზერვებული, ბირთვის რეჟიმში გაშვებული კოდის „ჩავარდნა“,
აჩერებს მთელი კომპიუტერის მუშაობას. რაც შეეხება პროგრამებს, მათ შორის
მომხმარებლის აპლიკაციებს, ისინი ეშვებიან მომხმარებლის რეჟიმში და არა აქვთ
პირდაპირი წვდომა ტექნიკურ უზრუნველყოფასთან ან მეხსიერების ადგილებთან.
მომხმარებლის რეჟიმის კოდმა, ტექნიკური უზრუნველყოფის რესურსებთან
წვდომისთვის უნდა გაიაროს ოპერაციული სისტემა. მომხმარებლის რეჟიმის მიერ
უზრუნველყოფილი იზოლირების გამო, „ჩავარდნები“ მომხმარებლის რეჟიმში
შემოიფარგლება მხოლოდ აპლიკაციის მასშტაბით და არის აღდგენადი. ვინდოუსის
პროგრამების უმეტესობა მუშაობს მომხმარებლის რეჟიმში. მოწყობილობათა
დრაივერები, პროგრამული უზრუნველყოფის ფრაგმენტები, რომლებიც იძლევიან
ოპერაციული სისტემისა და მოწყობილობის კომუნიკაციის საშუალებას, შესაძლოა
გაეშვან ან ბირთვის ან მომხმარებლის რეჟიმში, დამოკიდებულია დრაივერზე.
 ვინდოუსის არქიტექტურა და ოპერაციები - მომხმარებლის რეჟიმი და
ბირთვის რეჟიმი

ნებისმიერი კოდი, რომელიც ეშვება ბირთვის რეჟიმში, იყენებს ერთსა და იმავე

სამისამართო სივრცეს. ბირთვის რეჟიმის დრაივერები არ არიან იზოლირებულნი
ოპერაციული სისტემისაგან. თუ დაფიქსირდა შეცდომა ბირთვის რეჟიმში გაშვებულ
დრაივერში და ის წერს არასწორ სამისამართო სივრცეში, ეს უარყოფითად
იმოქმედებს ოპერაციულ სისტემაზე ან ბირთვის რეჟიმის სხვა დრაივერზე. ამ მხრივ
დრაივერის „ჩავარდნა“ გამოიწვევს მთლიანი ოპერაციული სისტემის „ჩავარდნას“.
მომხმარებლის რეჟიმის კოდის გაშვებისას, მას ბირთვის მიერ ენიჭება საკუთარი
შეზღუდული სამისამართო სივრცე, აპლიკაციისთვის სპეციალურად შექმნილ
პროცესთან ერთად. ამ ფუნქციონალის საფუძველს უმთავრესად წარმოადგენს ის,
რომ აპლიკაციებს შეეზღუდოთ ოპერაციული სისტემის იმ კოდის შეცვლა, რომელიც
გაშვებულია იმავე დროს. საკუთარი პროცესის გამოყოფის შედეგად, ამ აპლიკაციას
აქვს საკუთარი კერძო სამისამართო სივრცე, რითიც სხვა აპლიკაციებს ეზღუდებათ
მასში არსებული მონაცემების შეცვლა. ეს ასევე გვეხმარება იმაში, რომ არ მოხდეს
ოპერაციული სისტემისა და სხვა აპლიკაციების „ჩავარდნა“ ამ აპლიკაციის
„ჩავარდნის“ გამო.
ვინდოუსის არქიტექტურა და ოპერაციები - მომხმარებლის რეჟიმი და
ბირთვის რეჟიმი
 ვინდოუსის არქიტექტურა და ოპერაციები - ვინდოუსის ჩატვირთვის პროცესი
კომპიუტერის ჩართვის ღილაკის დაჭერასა და ვინდოუსის სრულ ჩატვირთვას შორის
არსებულ მონაკვეთში ხდება ძალიან ბევრი ქმედება, როგორც ეს ნაჩვენებია სურათზე. ეს
ცნობილია როგორც ვინდოუსის ჩატვირთვის პროცესი.
არსებობს კომპიუტერის მიკროპროგრამის (Firmware) ორი ტიპი:
• შეტანა-გამოტანის საბაზისო სისტემა (BIOS) - BIOS მიკროპროგრამა შეიქმნა 1980-იან
წლებში და მუშაობს იმავენაირად, როგორც მუშაობდა იმ დროს, როცა ის შეიქმნა. რაც
უფრო განვითარდა კომპიუტერები, მით უფრო რთული გახდა BIOS მიკროპროგრამისთვის,
მომხმარებლის მიერ მოთხოვნილი ყველა ახალი ფუნქციის მხარდაჭერა.
• უნიფიცირებული გაფართოებადი მიკროპროგრამული ინტერფეისი (UEFI) – UEFI შეიქმნა
BIOS-ის შეცვლისა და ახალი ფუნქციების მხარდასაჭერად.
BIOS მიკროპროგრამაში პროცესი იწყება BIOS-ის ინიციალიზაციის ფაზით. ეს ხდება მაშინ,
როცა ინიციალიზდება ტექნიკური მოწყობილობები და სრულდება თვითშეფასების ტესტი
(POST) იმაში დასარწმუნებლად, რომ ყველა ეს მოწყობილობა კავშირზეა. სისტემური დისკის
აღმოჩენის შემდგომ, სრულდება POST პროცესი. POST-ში ბოლო ინსტრუქციას წარმოადგენს
მთავარი ჩამტვირთავი ჩანაწერის (MBR) მოძებნა.
MBR შეიცავს მცირე პროგრამას, რომელიც პასუხისმგებელია ოპერაციული სისტემის
მოძებნასა და ჩატვირთვაზე. BIOS ასრულებს ამ კოდს და ოპერაციული სისტემა იწყებს
ჩატვირთვას.
BIOS მიკროპროგრამისგან განსხვავებით, UEFI მიკროპროგრამას აქვს მეტი ხილვადობა
ჩატვირთვის პროცესში. UEFI იტვირთება EFI პროგრამული ფაილების ჩატვირთვით, რომლებიც
ინახებიან როგორც .efi ფაილები, სპეციალურ დისკურ დანაყოფში, რომელიც ცნობილია როგორც
EFI სისტემური დანაყოფი (ESP).
შენიშვნა: კომპიუტერი, რომელიც იყენებს UEFI-ს, ჩამტვირთავ კოდს ინახავს
მიკროპროგრამაში. ეს ზრდის უსაფრთხოებას კომპიუტერის ჩატვირთვის დროს, რადგან
კომპიუტერი გადადის პირდაპირ დაცულ რეჟიმში.
 ვინდოუსის არქიტექტურა და ოპერაციები - ვინდოუსის ჩატვირთვის პროცესი
მიუხედავად იმისა, მიკროპროგრამა BIOS-ია თუ UEFI, მოქმედი ვინდოუსის ინსტალაციის
აღმოჩენის შემდგომ, ეშვება Bootmgr.exe ფაილი. Bootmgr.exe ახდენს სისტემის გადართვას
რეალური რეჟიმიდან დაცულ რეჟიმში, რათა გამოყენებულ იქნას მთლიანი სისტემური
მეხსიერება.
Bootmgr.exe კითხულობს ჩატვირთვის კონფიგურაციის მონაცემთა ბაზას (BCD). BCD შეიცავს
ნებისმიერ დამატებით კოდს, რომელიც საჭიროა კომპიუტერის გასაშვებად, ასევე მიუთითებს
იმას, რომ კომპიუტერი ჰიბერნაციის რეჟიმიდან ბრუნდება, თუ ეს არის „ცივი“ გაშვება.
ჰიბერნაციის რეჟიმი ანუ ღრმა ძილის რეჟიმი წარმოადგენს კომპიუტერის ენერგოდამზოგველ
რეჟიმს, რომლის დროსაც ელექტროენერგიის მიწოდება სრულად წყდება, ხოლო მონაცემები
იწერება მყარ დისკზე; ჩართვისას ხდება შეჩერებული სამუშაოების სრული აღდგენა. თუ
კომპიუტერი ბრუნდება ჰიბერნაციიდან, ჩატვირთვის პროცესი გრძელდება Winresume.exe
პროცესით. ეს კომპიუტერს აძლევს Hiberfil.sys ფაილის წაკითხვის საშუალებას, რომელიც
შეიცავს კომპიუტერის იმ მდგომარეობას, როცა ის გადავიდა ჰიბერნაციის რეჟიმში.
თუ კომპიუტერი იტვირთება „ცივი“ გაშვებით, მაშინ იტვირთება Winload.exe ფაილი.
Winload.exe ფაილი ქმნის ტექნიკური უზრუნველყოფის კონფიგურაციის ჩანაწერს რეესტრში.
რეესტრი წარმოადგენს კომპიუტერში არსებული ნებისმიერი პარამეტრის, მენიუს ელემენტის
(option), ტექნიკური და პროგრამული უზრუნველყოფის ჩანაწერს. რეესტრი უფრო დეტალურად
განხილული იქნება შემდგომ თავში. Winload.exe ასევე იყენებს ბირთვის რეჟიმის კოდის
ხელმოწერას (Kernel Mode Code Signing – KMCS), რათა დარწმუნდეს, რომ ყველა დრაივერი არის
ციფრულად ხელმოწერილი. ეს იძლევა იმის გარანტიას, რომ დრაივერები უსაფრთხოა
ჩასატვირთად, კომპიუტერის გაშვების დროს.
დრაივერების შემოწმების შემდგომ, Winload.exe აამოქმედებს Ntoskrnl.exe-ს, რომელიც
უშვებს ვინდოუსის ბირთვს და ახდენს HAL-ის მომართვას. ბოლოს, სესიის მართვის ქვესისტემა
(Session Manager Subsystem – SMSS) კითხულობს რეესტრს, რათა შექმნას მომხმარებლის გარემო,
უშვებს Winlogon სერვისს და ამზადებს თითოეული სისტემაში შემსვლელი მომხმარებლის
სამუშაო გარემოს.
ვინდოუსის არქიტექტურა და ოპერაციები - ვინდოუსის ჩატვირთვის პროცესი
 ვინდოუსის არქიტექტურა და ოპერაციები - ვინდოუსის გაშვება

არსებობს რეესტრის ორი მნიშვნელოვანი ელემენტი, რომელიც გამოიყენება

აპლიკაციებისა და სერვისების ავტომატურად გასაშვებად:
• HKEY_LOCAL_MACHINE - ვინდოუსის კონფიგურაციის ზოგიერთი მონაცემი
ინახება მოცემულ დანაყოფში, მათ შორისაა ინფორმაცია იმ სერვისების შესახებ,
რომელიც ეშვება ყოველი ჩატვირთვისას.
• HKEY_CURRENT_USER - სისტემაში შესულ მომხმარებელთან დაკავშირებული
ზოგიერთი მონაცემი ინახება მოცემულ დანაყოფში, მათ შორისაა ინფორმაცია
იმ სერვისების შესახებ, რომლებიც ეშვებიან მაშინ, როცა მომხმარებელი გადის
ავტორიზაციას კომპიუტერში.
რეესტრი განხილული იქნება ამ თავის მომდევნო ნაწილში.
მოცემული რეესტრის ადგილებში არსებული სხვადასხვა ჩანაწერები
განსაზღვრავენ იმას, თუ რომელი სერვისები და აპლიკაციები გაეშვებიან, რაც
დამოკიდებულია ჩანაწერის ტიპზე. ეს ტიპებია: Run, RunOnce, RunServices,
RunServicesOnce და Userinit. შესაძლებელია ამ ჩანაწერების მომართვა ხელით
რეესტრში, მაგრამ უფრო უსაფრთხოა Msconfig.exe ინსტრუმენტის გამოყენება. ეს
ინსტრუმენტი გამოიყენება კომპიუტერის ჩატვირთვასთან დაკავშირებული
ნებისმიერი პარამეტრის დასათვალიერებლად და შესაცვლელად. Msconfig
ინსტრუმენტის მოსაძებნად და გასახსნელად გამოიყენეთ საძიებო ველი.
Msconfig ინსტრუმენტი გახსნის სისტემის კონფიგურაციის ფანჯარას. ამ
ფანჯარაში მოცემულია ხუთი ჩანართი, რომლებიც შეიცავენ კონფიგურაციის
ელემენტებს.
 ვინდოუსის არქიტექტურა და ოპერაციები - ვინდოუსის გაშვება - General

აქ შესაძლებელია სამი განსხვავებული ჩატვირთვის ტიპის არჩევა. Normal (სტანდარტული) -

ჩატვირთავს ყველა დრაივერსა და სერვისს. Diagnostic (დიაგნოსტიკის რეჟიმი) - ჩატვირთავს
მხოლოდ ძირითად დრაივერებსა და სერვისებს. Selective (არჩევითი) - მომხმარებელს ეძლევა
საშუალება აირჩიოს, თუ რისი ჩატვირთვა სურს გაშვებისას.
 ვინდოუსის არქიტექტურა და ოპერაციები - ვინდოუსის გაშვება - Boot

აქედან შესაძლებელია ნებისმიერი ინსტალირებული ოპერაციული სისტემის არჩევა,

რომელიც ნაგულისხმევად ჩაიტვირთება კომპიუტერის ჩართვისას. ასევე გვაქვს უსაფრთხო
ჩატვირთვის (Safe Boot) ვარიანტი, რომელიც გამოიყენება ჩატვირთვასთან დაკავშირებული
პრობლემების აღმოფხვრისთვის.
 ვინდოუსის არქიტექტურა და ოპერაციები - ვინდოუსის გაშვება - Services
აქ ჩამოთვლილია ყველა ინსტალირებული სერვისი. შეგვიძლია ავირჩიოთ
მხოლოდ ის სერვისები, რომლების გაეშვება ჩართვისას.
 ვინდოუსის არქიტექტურა და ოპერაციები - ვინდოუსის გაშვება - Startup
ამ ჩანართში Open Task Maganer-ის გახსნით შეგვიძლია დავათვალიეროთ ყველა
ის აპლიკაცია და სერვისი, რომელიც ავტომატურად ეშვება სისტემის ჩატვირთვისას.
შესაძლებელია ზოგიერთი მათგანის გამორთვა ან ჩართვა.
 ვინდოუსის არქიტექტურა და ოპერაციები - ვინდოუსის გაშვება - Tools

ამ ჩანართიდან პირდაპირაა შესაძლებელი ოპერაციული სისტემის კარგად

ცნობილი მრავალი ინსტრუმენტის გაშვება.
 ვინდოუსის არქიტექტურა და ოპერაციები - პროცესები, ნაკადები და სერვისები

ვინდოუსის აპლიკაცია შედგება პროცესებისაგან. აპლიკაციას შესაძლოა

გამოყოფილი ჰქონდეს ერთი ან რამოდენიმე პროცესი. პროცესი წარმოადგენს
ნებისმიერ პროგრამას, რომელიც სრულდება მოცემულ მომენტში. ყოველი
გაშვებული პროცესი შედგება მინიმუმ ერთი ნაკადისაგან. ნაკადი (Thread)
წარმოადგენს პროცესის ნაწილს, რომლის შესრულებაც შესაძლებელია. პროცესორი
ასრულებს ნაკადების გამოთვლას. ვინდოუსის პროცესების კონფიგურაციისთვის
მოძებნეთ Task Manager (დავალებათა მმართველი). სურათზე ნაჩვენებია Task
Manager-ის Processes (პროცესები) ჩანართი.
პროცესისთვის გამოყოფილი ყველა ნაკადი მდებარეობს ერთი და იმავე
სამისამართო სივრცეში. ეს ნიშნავს, რომ ამ ნაკადებს არ აქვთ წვდომა ნებისმიერი სხვა
პროცესის სამისამართო სივრცესთან. ეს ხელს უშლის სხვა პროცესების დაზიანებას.
რადგან ვინდოუსი არის მრავალამოცანიანი, შესაძლებელია რამოდენიმე ნაკადის
ერთდროული შესრულება. ერთდროულად შესრულებულ ნაკადთა რაოდენობა
დამოკიდებულია კომპიუტერის პროცესორის (ბირთვების) რაოდენობაზე.
ვინდოუსის არქიტექტურა და ოპერაციები - პროცესები, ნაკადები და სერვისები
 ვინდოუსის არქიტექტურა და ოპერაციები - პროცესები, ნაკადები და სერვისები

ზოგიერთი პროცესი, რომელსაც ვინდოუსი უშვებს, წარმოადგენს სერვისს. ესენი

არიან პროგრამები, რომლებიც ეშვებიან ფონურ რეჟიმში, რათა მხარი დაუჭირონ
ოპერაციულ სისტემასა და აპლიკაციებს. შესაძლებელია მათი ისე მომართვა, რომ
ისინი ავტომატურად გაეშვნენ ვინდოუსის ჩატვირთვისას, ასევე შესაძლებელია მათი
ხელით გაშვებაც. შეგვიძლია მათი შეწყვეტა, ხელახლა გაშვება/გადატვირთვა ან
გათიშვა.
სერვისები უზრუნველყოფენ ხანგრძლივად მომუშავე შესრულებად ფუნქციებს,
როგორიცაა, უკაბელო ქსელი ან წვდომა FTP სერვერთან. ვინდოუსის სერვისების
კონფიგურაციისთვის, საძიებო ველში მოძებნეთ Services (სერვისები). სურათზე
ნაჩვენებია ვინდოუსის მართვის პანელის (Control Panel) სერვისების ეპლეტი
(გამოყენებითი მინი-პროგრამა, რომელიც სრულდება სხვა პროგრამის შიგნიდან).
მოცემული სერვისების პარამეტრების მანიპულაციისას იყავით ძალიან
ყურადღებით. ზოგიერთი პროგრამა, სწორად მუშაობისთვის, დამოკიდებულია ერთ
ან მეტ სერვისზე. სერვისის გათიშვამ შესაძლოა უარყოფითად იმოქმედოს
აპლიკაციებზე ან სხვა სერვისებზე.
ვინდოუსის არქიტექტურა და ოპერაციები - პროცესები, ნაკადები და სერვისები
 ვინდოუსის არქიტექტურა და ოპერაციები - მეხსიერების განაწილება და განკარგვა

კომპიუტერი მუშაობს ინსტრუქციების ოპერატიულ მეხსიერებაში (RAM) შენახვის გზით.

ინსტრუქციები ოპერატიულ მეხსიერებაში (RAM) ინახება მანამ, სანამ ცენტრალური პროცესორი
(CPU) ამუშავებს მათ. პროცესისთვის ვირტუალური სამისამართო სივრცე წარმოადგენს
ვირტუალურ მისამართს, რომლის გამოყენებაც შეუძლია პროცესს. ვირტუალური მეხსიერება არ
წარმოადგენს რეალურ ფიზიკურ ადგილს მეხსიერებაში, ის არის ჩანაწერი გვერდების ცხრილში
(Page Table), რომელიც გამოიყენება ვირტუალური მისამართის ფიზიკურ მისამართად
გარდასაქმნელად.
32-ბიტიანი ვინდოუსის მქონე კომპიუტერში, თითოეული პროცესი მხარს უჭერს
ვირტუალურ სამისამართო სივრცეს, რაც იძლევა ოთხ გიგაბაიტამდე დამისამართების
საშუალებას. 64-ბიტიანი ვინდოუსის მქონე კომპიუტერში, თითოეული პროცესი მხარს უჭერს
რვა ტერაბაიტ ვირტუალურ სამისამართო სივრცეს.
მომხმარებლის სივრცის თითოეული პროცესი ეშვება კერძო სამისამართო სივრცეში, სხვა
მომხმარებლის სივრცის პროცესებისაგან განცალკევებულად. როდესაც მომხმარებლის სივრცის
პროცესს სჭირდება წვდომა ბირთვის რესურსებთან, მან უნდა გამოიყენოს პროცესის
მაკონტროლებელი (Handle). ეს იმიტომ, რომ მომხმარებლის სივრცის პროცესს არ აქვს
პირდაპირი დაშვება ბირთვის ამ რესურსებთან. პროცესის მაკონტროლებელი (Handle)
უზრუნველყოფს მომხმარებლის სივრცის პროცესისთვის საჭირო წვდომას, მასთან პირდაპირი
კავშირის გარეშე.
მეხსიერების განაწილების დათვალიერებისთვის გამოიყენება ერთ-ერთი მძლავრი
ინსტრუმენტი - RAMMMap, რომელიც ნაჩვენებია გამოსახულებაზე. RAMMap წარმოადგენს
ვინდოუსის Sysinternals ინსტრუმენტთა ნაკრების ნაწილს. მისი გადმოწერა შესაძლებელია
მაიკროსოფტიდან. RAMMap იძლევა უამრავ ინფორმაციას იმის შესახებ, თუ როგორ უნაწილებს
სისტემურ მეხსიერებას ვინდოუსი ბირთვს, პროცესებს, დრაივერებს და აპლიკაციებს.
ვინდოუსის არქიტექტურა და ოპერაციები - მეხსიერების განაწილება და განკარგვა
 ვინდოუსის კონფიგურაცია და მონიტორინგი - დავალებათა მმართველი და
რესურსების მონიტორინგი

არსებობს ორი ძალიან მნიშვნელოვანი და სასარგებლო ინსტრუმენტი, რომელიც

ადმინისტრატორს ეხმარება ვინდოუს ოპერაციულ სისტემაში გაშვებული მრავალი
სხვადასხვა აპლიკაციის, სერვისის და პროცესის გაცნობიერებაში. ეს ინსტრუმენტები
ასევე იძლევიან ინფორმაციას კომპიუტერის წარმადობაზე, მაგალითად,
ცენტრალური პროცესორის, მეხსიერებისა და ქსელის გამოყენება. მოცემული
ინსტრუმენტები განსაკუთრებით სასარგებლოა პრობლემის შესწავლისას, როდესაც
ეჭვი გვაქვს მავნე პროგრამაზე. როდესაც კომპონენტი არ მუშაობს ისე, როგორც უნდა
მუშაობდეს, ეს ინსტრუმენტები შეგვიძლია გამოვიყენოთ პრობლემის
განსაზღვრისთვის.
 ვინდოუსის კონფიგურაცია და მონიტორინგი - დავალებათა მმართველი და
რესურსების მონიტორინგი
დავალებათა მმართველი (Task Manager)
სურათზე ნაჩვენები დავალებათა მმართველი იძლევა უამრავ ინფორმაციას
გაშვებული პროგრმებისა და კომპიუტერის ზოგადი წარმადობის შესახებ.
 ვინდოუსის კონფიგურაცია და მონიტორინგი - დავალებათა მმართველი და რესურსების
მონიტორინგი
ცხრილი აღწერს დავალებათა მმართველში მოცემულ შვიდივე ჩანართს
დავალებათა
აღწერა
მმართველის ჩანართები
• ჩამოწერს მოცემულ მომენტში გაშვებულ ყველა პროგრამასა და პროცესს
• გვიჩვენებს თითოეული პროცესის მიერ ცენტრალურ პროცესორის,
Processes (პროცესები) მეხსიერების, დისკისა და ქსელის მოხმარებას
• შესაძლებელია პროცესის თვისებების შესწავლა ან მისი დასრულება, თუ
ის არ მუშაობს სწორად ან შეფერხებულია
• წარმადობის ყველანაირი სტატისტიკური მონაცემის დათვალიერება
იძლევა პროცესორის, მეხსიერების, დისკისა და ქსელის შესახებ
Performance სასარგებლო ინფორმაციას
(წარმადობა) • მარცხენა პანელში განთავსებულ თითოეულ ელემენტზე დაჭერით
მარჯვენა პანელში გამოჩნდება დეტალური სტატისტიკური ინფორმაცია
ამ ელემენტის შესახებ
• აპლიკაციის მიერ რესურსების კონკრეტული დროით გამოყენების
App history ჩვენება იძლევა ინფორმაციას აპლიკაციებზე, რომლებიც მოიხმარენ
(აპლიკაციების საკმარისზე მეტ რესურსებს
ისტორია) • კომპიუტერის ჩართვიდან მოყოლებული, ყველა გაშვებული პროცესის
ისტორიის სანახავად დააჭირეთ Options და Show history for all processes
• მოცემულ ჩანართში ნაჩვენებია ყველა ის აპლიკაცია და სერვისი,
რომელიც ეშვება კომპიუტერის ჩატვირთვისას
Startup (ავტოგაშვებები) • საწყისი ჩატვირთვისას პროგრამის გაშვების გასათიშად, მარჯვენა
ღილაკით დააჭირეთ სასურველ ელემენტს და აირჩიეთ Disable
(გამორთვა)
 ვინდოუსის კონფიგურაცია და მონიტორინგი - დავალებათა მმართველი და
რესურსების მონიტორინგი
დავალებათა
აღწერა
მმართველის ჩანართები
• ამ ჩანართში ნაჩვენებია ყველა ის მომხმარებელი, რომელიც შესულია
სისტემაში
• ასევე ნაჩვენებია ყველა ის რესურსი, რომელსაც იყენებს თითოეული
Users (მომხმარებლები)
მომხმარებლის აპლიკაცია და პროცესი
• ამ ჩანართიდან ადმინისტრატორს შეუძლია მომხმარებლის სესიის
გათიშვა
• Processes (პროცესები) ჩანართის მსგავსად, ეს ჩანართიც იძლევა
დამატებითი მართვის საშუალებებს პროცესებზე, მათ შორის,
პრიორიტეტის პარამეტრი, რომლითაც პროცესს დაეთმობა მეტი ან
ნაკლები დრო
• ასევე შეგვიძლია CPU affinity-ს მომართვა, რომელიც განსაზღვრავს თუ
Details (დეტალური
რომელ ბირთვს ან პროცესორს გამოიყენებს პროგრამა
ინფორმაცია)
• გარდა ამისა, სასარგებლო ფუნქციაა, ე.წ. Analyze wait chain (ლოდინის
ჯაჭვის ანალიზი), რომელიც გვიჩვენებს ნებისმიერ პროცესს, რომელსაც
ელოდება სხვა პროცესი
• ეს ფუნქცია დაგვეხმარება იმის განსაზღვრაში, პროცესი უბრალოდ
იცდის, თუ შეფერხებულია
• მოცემულ ჩანართში ნაჩვენების ყველა ჩატვირთული სერვისი
• Running (გაშვებულია) ან Stopped (შეჩერებულია) მდგომარეობის
გვერდით ასევე ჩანს პროცესის იდენტიფიკატორი (PID) და მოკლე
Services (სერვისები)
აღწერა
• ქვემოთ მოცემულია ღილაკი, რომლითაც იხსნება Services კონსოლი,
სერვისების დამატებითი მართვის უზრუნველსაყოფად
 ვინდოუსის კონფიგურაცია და მონიტორინგი - დავალებათა მმართველი და
რესურსების მონიტორინგი
რესურსების მონიტორინგი (Resource Monitor)
როდესაც საჭიროა რესურსების მოხმარების შესახებ დეტალური ინფორმაციის მიღება,
შეგიძლიათ გამოიყენოთ Resource Monitor, რომელიც გამოსახულია სურათზე.
კომპიუტერის არასტაბილურად მუშაობის მიზეზის ძიებისას, Resource Monitor შესაძლოა
დაგეხმაროთ პრობლემის წყაროს მოძებნაში.
შემდეგ სლაიდზე მოცემული ცხრილი აღწერს Resource Monitor -ის ხუთ ჩანართს
 ვინდოუსის კონფიგურაცია და მონიტორინგი - დავალებათა მმართველი და რესურსების
მონიტორინგი

რესურსების
მონიტორინგის აღწერა
ჩანართები
• ჩანართი გვიჩვენებს ზოგად მოხმარებას თითოეული რესურსისთვის
Overview
• თუ აირჩევთ ერთ პროცესს, ის გაიფილტრება ყველა ჩანართში, რათა ასახოს მხოლოდ ამ
(მიმოხილვა)
პროცესის სტატისტიკა
• ნაჩვენებია პროცესის იდენტიფიკატორი (PID), ნაკადების რაოდენობა, რომელ პროცესორს
CPU იყენებს პროცესი და პროცესორის საშუალო მოხმარება თითოეული პროცესისთვის
(ცენტრალური • ქვედა სტრიქონების ჩამოშლით შეგიძლიათ ნახოთ დამატებითი ინფორმაცია ნებისმიერი
პროცესორი) სერვისის შესახებ, რომელზეც დამოკიდებულია პროცესი და ასევე დაკავშირებული
მაკონტროლებლებისა (handle) და მოდულების შესახებ
• ამ ჩანართში ნაჩვენებია ყველანაირი სტატისტიკური ინფორმაცია იმის შესახებ თუ როგორ
Memory
იყენებს თითოეული პროცესი მეხსიერებას
(ოპერატიული
• ასევე, ქვედა Processes სტრიქონზე ნაჩვენებია მთლიანი ოპერატიული მეხსიერების (RAM)
მეხსიერება)
გამოყენების მიმოხილვა
Disk (მყარი • მოცემულ ჩანართში ნაჩვენებია ყველა ის პროცესი, რომელიც იყენებს დისკს, ასევე
დისკი) ჩაწერა/წაკითხვის სტატისტიკები და თითოეული შემნახველი მოწყობილობის მიმოხილვა

• ამ ჩანართში ნაჩვენებია ყველა პროცესი, რომელიც იყენებს ქსელს, ჩაწერა/წაკითხვის

სტატისტიკებთან ერთად
• რაც მთავარია, ნაჩვენებია მიმდინარე TCP კავშირები ყველა იმ პორტთან ერთად, რომლებსაც
Network ისინი უსმენენ
(ქსელი) • ეს ჩანართი ძალიან სასარგებლოა მაშინ, როცა ცდილობთ იმის გარკვევას, თუ რომელი
აპლიკაციები და პროცესები ახდენენ კომუნიკაციას ქსელში
• მოცემული იძლევა იმის გარკვევის საშუალებას, ხომ არ ხდება უნებართვო წვდომა ქსელში
ან იმ კომუნიკაციებისა და მისამართის მოსმენა, რომელთანაც ის ურთიერთქმედებს.
 ვინდოუსის უსაფრთხოება - Netstat ბრძანება

როდესაც მავნე პროგრამა მოქმედებს კომპიუტერში, ის ხშირად ხსნის საკომუნიკაციო პორტებს

ჰოსტზე, რათა მიიღოს ან გააგზავნოს ინფორმაცია. Netstat ბრძანება შეიძლება გამოყენებულ იქნას
არაავტორიზებული შემომავალი ან გამავალი კავშირების ძიებისთვის. ცალკე აღებული Netstat
ბრძანების გამოყენებით დავინახავთ ყველა აქტიურ TCP კავშირს.
ასეთი კავშირების შესწავლით შესაძლებელია იმის განსაზღვრა, თუ რომელი
არაავტორიზებული პროგრამები ახდენენ კომუნიკაციების მოსმენას. როდესაც პროგრამაზე გვაქვს
ეჭვი, რომ ის არის მავნე პროგრამა, შეგვიძლია მცირე კვლევის ჩატარება მისი ლეგიტიმურობის
დასადგენად. შედეგიდან გამომდინარე, შესაძლებელია პროცესის გათიშვა Task Manager-დან
(დავალებათა მმართველი) და მავნე პროგრამის წამშლელი პროგრამული უზრუნველყოფა
გამოყენება კომპიუტერის გასაწმენდად.
ამ პროცესის გასამარტივებლად, თქვენ შეგიძლიათ ქსელური შეერთებების დაკავშირება იმ
გაშვებულ პროცესებთან, რომლებიც შექმნილია მათ მიერ დავალებათა მმართველში. ამისათვის
გახსენით ბრძანებათა სტრიქონი (cmd) ადმინისტრატორის პრივილეგიით და შეიყვანეთ netstat –
abno ბრძანება, ისე როგორც ნაჩვენებია ბრძანების სურათზე მოცემულ შედეგში.
შენიშვნა: თუ თქვენ არ იმყოფებით ადმინისტრატორის რეჟიმში, გამოჩნდება შემდეგი
შეტყობინება: „The requested operation requires elevation (მოთხოვნილი ოპერაცია მოითხოვს
გაზრდილ პრივილეგიას)“. მოძებნეთ ბრძანებათა სტრიქონი (cmd). მარჯვენა ღილაკით დააჭირეთ
მოძებნილ Command Prompt-ს და აირჩიეთ Run as administrator (გაშვება ადმინის უფლებით).
აქტიური TCP კავშირების შესწავლით, ანალიტიკოსს უნდა შეეძლოს იმის განსაზღვრა, არის თუ
არა რაიმე საეჭვო პროგრამა, რომელიც უსმენს შემომავალ კავშირებს ჰოსტზე. თქვენ ასევე
შეგიძლიათ ამ პროცესის მიგნება Task Manager-ში და მისი გაუქმება. სიაში ერთი და იმავე სახელით
შესაძლებელია იყოს ერთზე მეტი პროცესი. ასეთ შემთხვევაში გამოიყენეთ PID, რატა იპოვოთ
სწორი პროცესი. კომპიუტერზე გაშვებულ თითოეულ პროცესს აქვს უნიკალური PID.
პროცესებისთვის PID-ების საჩვენებლად, გახსენით Task Manager-ი, მარჯვენა ღილაკით დააჭირეთ
ცხრილის დასახელებას და აირჩიეთ PID.
ვინდოუსის უსაფრთხოება - Netstat ბრძანება
 ვინდოუსის უსაფრთხოება - Event Viewer
Windows Event Viewer logs the history of application, security, and system events. These
log files are a valuable troubleshooting tool because they provide information necessary to
identify a problem. To open the Event Viewer, search for it and click the program icon, as
shown in the figure.
Windows includes two categories of event logs: Windows Logs, and Application and
Services Logs. Each of these categories has multiple log types. Events that are displayed in
these logs have a level: information, warning, error, or critical. They also have the date and
time that the event occurred, along with the source of the event and an ID which relates to
that type of event.
It is also possible to create a custom view. This is useful when looking for certain types of
events, finding events that happened during a certain time period, displaying events of a
certain level, and many other criteria. There is a built-in custom view called Administrative
Events that shows all critical, error, and warning events from all of the administrative logs.
This is a good view to start with when trying to troubleshoot a problem.
Security event logs are found under Windows Logs. They use event IDs to identify the
type of event.
ვინდოუსის უსაფრთხოება - Event Viewer
 ლინუქსი - სერვისის კონფიგურაციის ფაილები
In Linux, services are managed using configuration files. Common options in
configuration files are port number, location of the hosted resources, and client authorization
details. When the service starts, it looks for its configuration files, loads them into memory,
and adjusts itself according to the settings in the files. Configuration file modifications often
require restarting the service before the changes take effect.
Because services often require superuser privileges to run, service configuration files often
require superuser privileges to edit.
The command output shows a portion of the configuration file for Nginx, which is a
lightweight web server for Linux.
 ლინუქსი - სერვისის კონფიგურაციის ფაილები

The next command output shows the configuration file for the network time protocol
(NTP).
 ლინუქსი - სერვისის კონფიგურაციის ფაილები
The last command output shows the configuration file for Snort, a Linux-based intrusion detection system (IDS).

There is no rule for a configuration file format; it is the choice of the service’s developer. However, the option =
value format is often used. For example, in the last command output, the variable ipvar is configured with several
options. The first option, HOME_NET, has the value 209.165.200.224/27. The hash character (#) is used to indicate
comments.
 ლინუქსი - სერვისის ლოგების მონიტორინგი

Log files are the records that a computer stores to keep track of important events. Kernel,
services, and application events are all recorded in log files. It is very important for an
administrator to periodically review the logs of a computer to keep it healthy. By monitoring
Linux log files, an administrator gains a clear picture of the computer’s performance, security
status, and any underlying issues. Log file analysis allows an administrator to guard against
upcoming issues before they occur.
In Linux, log files can be categorized as:
• Application logs
• Event logs
• Service logs
• System logs
Some logs contain information about daemons that are running in the Linux system. A
daemon is a background process that runs without the need for user interaction. For example,
the System Security Services Daemon (SSSD) manages remote access and authentication for
single sign-on capabilities.
 ლინუქსი - სერვისის ლოგების მონიტორინგი
The table lists a few popular Linux log files and their functions:
 ლინუქსი - სერვისის ლოგების მონიტორინგი

The command output shows a portion of /var/log/messages log file. Each line represents a
logged event. The timestamps at the beginning of the lines mark the moment the event took place.
 მუშაობა ლინუქს ჰოსტზე - პროცესები და განშტოებები
A process is a running instance of a computer program. Multitasking operating systems can
execute many processes at the same time.
Forking is a method that the kernel uses to allow a process to create a copy of itself. Processes
need a way to create new processes in multitasking operating systems. The fork operation is the
only way of doing so in Linux.
Forking is important for many reasons. One of them relates to process scalability. Apache, a
popular web server, is a good example. By forking itself, Apache is able to serve a large number of
requests with fewer system resources than a single-process-based server.
When a process calls a fork, the caller process becomes the parent process, with the newly
created process referred to as its child. After the fork, the processes are, to some extent,
independent processes; they have different process IDs but run the same program code.
 მუშაობა ლინუქს ჰოსტზე - პროცესები და განშტოებები

The command output shows the output of the top command on a Linux computer.
გმადლობთ ყურადღებისათვის!!!
 თავი 15. სისტემის წარმადობა და მონიტორინგი

15.1. სისტემის კონფიგურაცია

System Configuration (სისტემის კონფიგურაცია) პროგრამა (იგივე msconfig.exe) გამოიყენება
სისტემის ჩატვირთვის, პროგრამების ავტოგაშვებისა და სერვისების სამართავად. General (ძირითა-
დი) ჩანართიდან შეგვიძლია განვსაზღვროთ სისტემის გაშვების ტიპი (სურ. 15.1):

სურ. 15.1. სისტემის კონფიგურაცია

 Normal startup (სტანდარტული გაშვება) მომართულია ხშირ შემთხვევებში და გამოიყენება

ნაგულისხმევად. ამ რეჟიმში ხდება ყველა მოწყობილობის დრაივერის ჩატვირთვა, ყველა სერვისის
და პროგრამის (ავტოგაშვებიდან) გაშვება.
 Diagnostic startup (დიაგნოსტიკური გაშვება) ამ დროს მიმდინარეობს მხოლოდ ძირითადი
დრაივერების ჩატვირთვა და ძირითადი სერვისების გაშვება, არ ხდება პროგრამების ავტოგაშვება.
 Selective startup (არჩევითი გაშვება) აქ შეგიძლიათ თქვენ თვითონ აირჩიოთ რისი ჩატ-
ვირთვა გინდათ.
გადავიდეთ Boot (ჩატვირთვა) ჩანართში. ამ ჩანართში (სურ. 15.2) ჩანს დაინსტალირებული
ოპერაციული სისტემა ან სისტემების სია თუ კომპიუტერზე ინსტალირებულია Windows-ის რამდე-
ნიმე ვერსია, სხვა ოპერაციულ სისტემებს, როგორიცაა Linux, ამ სიაში ვერ ნახავთ.
Advanced options… (დამატებითი პარამეტრები) ღილაკი უზრუნველყოფს შერჩეული ოპერა-
ციული სისტემის დამატებითი პარამეტრების მომართვას. მაგალითად, გამოყენებული პროცესო-
რების მაქსიმალური რაოდენობის მითითება, მაქსიმალური ოპერატიული მეხსიერების არჩევა
(სურ. 15.3).
სისტემის კონფიგურაციის ფანჯარაში Set as default (მომართვა ნაგულისხმევად) ღილაკი
უზრუნველყოფს შერჩეული ოპერაციული სისტემის მომართვას ისეთ სისტემად, რომელიც ჩაიტ-
ვირთება ნაგულისხმევად რამდენიმე წამის შემდეგ, Timeout (დროითი ინტერვალი) ველში მითი-
თებული დროის შესაბამისად.

401
 სურ 15.2 – Boot (ჩატვირთვა) ჩანართი

სურ. 15.3. ჩატვირთვის დამატებითი პარამეტრები

Delete (წაშლა) ღილაკი წაშლის შერჩეული ოპერაციული სისტემის ჩამტვირთავს, მაგრამ
თქვენ არ შეგიძლიათ ნაგულისხმევად ჩატვირთვადი ოპერაციული სისტემის ჩამტვირთავი ფაი-
ლის წაშლა. Boot options (ჩატვირთვის პარამეტრები) პარამეტრების ჯგუფის დახმარებით შესაძლე-
ბელია უსაფრთხო რეჟიმის ან დამატებითი პარამეტრების არჩევა:
 No GUI boot - ჩატვირთვა გრაფიკული ინტერფეისის გარეშე (ბრძანებათა სტრიქონი);
 Boot log - სისტემა შეგვიყვანს ჩატვირთვის ჟურნალში, რომელიც იქნება შენახული
C:\BOOTLOG.TXT ფაილში;
 Base video - ეკრანის მაქსიმალური გარჩევადობა იქნება 640x480 (საჭირო ფუნქციაა ვიდეო
ადაპტერის დრაივერის პრობლემის შემთხვევაში);

402
  OS boot information - გამოტანილი იქნება ოპერაციული სისტემის შესახებ დამატებითი
ინფორმაცია;
რაც შეეხება უსაფრთხო რეჟიმს, შეგიძლიათ აირჩიოთ შემდეგი ვარიანტი:
 Minimal – Windows-ის მინიმალური ჩატვირთვა, ასეთი რეჟიმი ყველაზე მეტად გამოიყე-
ნება ოპერაციული სისტემის აღდგენისათვის;
 Alternate shell - იქნება გამოყენებული ალტერნატიული გარსი. Explorer-ის ნაცვლად გაშვე-
ბულ იქნება ბრძანებათა სტრიქონი ადმინისტრატორის უფლებით. არ აგერიოთ მოცემული რეჟიმი
No GUI boot რეჟიმთან. მოცემულ რეჟიმში გრაფიკული ქვესისტემა იქნება ჩატვირთული, რაც უზ-
რუნველყოფს გრაფიკული აპლიკაციის გაშვებას ბრძანებათა სტრიქონიდან, უბრალოდ არ იქნება
ჩატვირთული File Explorer-ი;
 Active Directory repair - აქტიური დირექტორიის აღდგენის რეჟიმი;
 Network - უსაფრთხო რეჟიმის ჩატვირთვა ქსელურ დრაივერებთან ერთად (მხარდაჭერი-
ლი იქნება ქსელი).
შერჩეული პარამეტრები ინახება ზუსტად ერთ გადატვირთვამდე. მეორე გადატვირთვის
დაწყებისას (პარამეტრების მომართვის შემდეგ) გამოყენებული იქნება სტანდარტული პარამეტ-
რები. თუ გსურთ ცვლილებების შენახვა, დააყენეთ აღნიშვნა Make all boot settings permanent
(ჩატვირთვის ყველა პარამეტრის მომართვა მუდმივად) პუნქტზე (ზუსტად უნდა იყოთ დარწმუნე-
ბული იმაში რასაც აკეთებთ, რადგან Windows-ის ნორმალური ჩატვირთვისათვის როგორც წესი
არაა საჭირო მოცემულ ჩანართში რაიმეს ცვლილება).
Services (მომსახურებები) ჩანართი (სურ.15.4) უზრუნველყოფს სისტემური სერვისების ჩარ-
თვა-გამორთვას. სერვისის გათიშვა საპასუხისმგებლო საქმეა (არ გათიშოთ ისეთი სერვისი, რომ-
ლის გარეშეც ვერ იმუშავებს ნახევარი სისტემა), msconfig პროგრამა არაა ისეთი მოხერხებული
როგორც services.msc ტექნიკა.

სურ. 15.4. Services (მომსახურებები) ჩანართი

403
 ავტომატურად გაშვებადი პროგრამები „განისაზღვრება“ HKLM\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run რეესტრის დანაყოფში ან HKCU\Software\ Microsoft\Win-
dows\CurrentVersionRun დანაყოფში. პროგრამის ავტოგაშვების გათიშვა რეესტრის რედაქტორის გა-
მოყენებით არ არის მოხერხებული, ამიტომ უნდა გამოიყენოთ msconfig პროგრამა (სურ. 15.5).
msconfig პროგრამა მოსახერხებელია ასევე პროგრამების ავტოგაშვების გამოსართველად იმ შემ-
თხვევაშიც კი თუ ბოლო „ჩანაწერი“ არაა რეესტრში, არამედ არის Startup (ავტოგაშვება) პროგრამულ
ჯგუფში. Startup-ის ობიექტების სამართავად უნდა გახსნათ ამავე დასახელების ჩანართი დავალე-
ბათა მმართველში (Task Manager) ან დააჭიროთ სისტემის კონფიგურაციის Startup ჩანართში Open
Task Manager (დავალებათა მმართველის გახსნა) ბმულს. ერთი სიტყვით, ნებისმიერ შემთხვევაში
msconfig ან Task Manager პროგრამის გამოყენებაა უფრო მოხერხებული, ვიდრე რეესტრის რედაქ-
ტორი (კონკრეტულად ავტოგაშვების რედაქტირებისათვის).

სურ. 15.5. Startup (ავტოგაშვება) ჩანართი სისტემის კონფიგურაციის ფანჯარაში

სურ. 15.6. ავტოგაშვების ჩანართი დავალებათა მმართველის ფანჯარაში

დაგვრჩა Tools (უტილიტები) ჩანართის მიმოხილვა. აქ შეგვიძლია გავუშვათ განსხვავებული

საჭირო პროგრამა. სიიდან აირჩიეთ პროგრამა და დააჭირეთ Launch (გაშვება) ღილაკს. მოცემულ
თავში არაა აღწერილი თითოეული პროგრამა, რადგან მას მოკლე აღწერა ისედაც უწერია Description
(აღწერა) სვეტში.

404
 სურ. 15.7 – Tools (უტილიტები) ჩანართი

15.2. დავალებათა დამგეგმავი

დავალებათა დამგეგმავი (Start - > All apps - > Windows Administrative Tools - > Task Scheduler) -
როგორც წესი, დამგეგმავი გამოიყენება კონკრეტული პროგრამის გასაშვებად გეგმის მიხედვით.
გარდა პროგრამის გაშვებისა დამგეგმავს შეუძლია ელექტრონული შეტყობინების გაგზავნა და
სამუშაო მაგიდაზე შეტყობინების გამოტანა.
ზოგადად დამგეგმავის დავალებები უფრო მეტად საჭიროა თვითონ ოპერაციული სისტე-
მისათვის, ვიდრე ჩვეულებრივი მომხმარებლისათვის. გაუშვით ის და დაათვალიერეთ დავალე-
ბების სია. როგორც ხედავთ, განსაზღვრულია 56 დავალება (სურ. 15.8):
დავამატოთ ახალი დავალება. ფანჯრის მარჯვენა ნაწილში დააჭირეთ Create Basic Task
(მარტივი დავალების შექმნა) ღილაკს. რა თქმა უნდა, შეგვიძლია Create Task (დავალების შექმნა)
ღილაკზე დაჭერა, მაგრამ პირველ შემთხვევაში გაიხსნება დავალების შექმნის ოსტატი, რაც მნიშ-
ვნელოვნად ამარტივებს მთელს პროცესს. შეიტანეთ დავალების სახელი და აღწერა (სურ. 15.9).

405
 სურ. 15.8. დავალებათა დამგეგმავის ფანჯარა

სურ. 15.9. დავალების სახელი და აღწერა

შემდეგ უნდა განისაზღვროს ასამუშავებელი სქემა (trigger), ე. ი. უნდა დავავალოთ, როდის

იმუშავებს დავალება: ყოველდღიურად, ყოველკვირეულად და ა.შ. (სურ. 15.10). თუ ჩვენ გვინდა
ჩვეულებრივი შეხსენების მომართვა ტექსტით „უკვე წასვლის დროა“, მაშინ უნდა ავირჩიოთ
ვარიანტი One time (ერთხელ).

406
 სურ. 15.10. დავალების ასამუშავებელი სქემა (Trigger)

შემდეგი ეტაპი - დავალების შესრულების საწყისი დროის განსაზღვრა (სურ. 15.11). შემდეგ
უნდა განისაზღვროს საჭირო ქმედება, სწორად უნდა მოვმართოთ თვითონ დავალება (სურ. 15.12).
დამგეგმავს შეუძლია პროგრამის გაშვება, ელექტრონული შეტყობინების გაგზავნა ან უბრალოდ
შეტყობინების გამოტანა სამუშაო მაგიდაზე. ჩვენს შემთხვევაში გვჭირდება ბოლო ვარიანტი (სურ.
15.13).

სურ. 15.11. დავალების დრო

სურ. 15.12. შესასრულებელი მოქმედების არჩევა

407
 სურ. 15.13. შეტყობინების მითითება

დარჩა შემაჯამებელი ინფორმაციის გადახედვა (სურ. 15.14). თუ ყველაფერი წესრიგშია დაა-

ჭირეთ Finish (დასრულება) ღილაკს, სხვა შემთხვევაში Back (უკან) ღილაკს - დავალების რედაქტი-
რებისათვის.

სურ. 15.14. დავალების შესახებ შემაჯამებელი ინფორმაციის დათვალიერება

დავალების შექმნის შემდეგ ჩნდება ერთი კითხვა, რას იზამს დამგეგმავი თუ დაგეგმილი
დავალების დაწყების დროისათვის კომპიუტერი იქნა გათიშული? მაგალითად, მომართეთ ფაილის
გადმოწერა 21:00-ზე და წახვედით სახლში. მაგრამ 20:50-ზე მოხდა ელექტროენერგიის გამორთვა
და 21:00 დროისათვის კომპიუტერი იქნა გათიშული. დენი მოვიდა 21:30-ზე. დაიწყება თუ არა
ფაილის გადმოწერა?
როგორც ჩანს არა, არ დაიწყება. თუ კომპიუტერი იქნა გათიშული, დამგეგმავს არ შეუძლია
კომპიუტერის ჩართვის დავალების შექმნა. თუმცა არსებობს ასეთი შესაძლებლობა. ამისათვის

408
მოძებნეთ თქვენ მიერ შექმნილი დავალება დავალებების სიაში, დააჭირეთ მასზე მაუსის მარჯვენა
ღილაკით და აირჩიეთ Properties (თვისებები) ბრძანება. გამოსულ ფანჯარაში გადადით Settings
(პარამეტრები) ჩანართში და გააქტიურეთ ბრძანება Run task as soon as possible after a scheduled start is
missed (გაშვებულ იქნას დავალება რაც შეიძლება მალე, დაგეგმილი დაწყების გამოტოვების შემდეგ).
Conditions (პირობები) ჩანართში შედის დამატებითი პარამეტრები, რომელიც ძალიან გამოსა-
დეგია ნოუთბუქის მომხმარებლებისათვის (სურ. 15.16). სტანდარტულად დავალება ეშვება მხო-
ლოდ ელექტროენერგიის მიწოდების დროს და წყდება, თუ ნოუთბუქი გადავა დენის ელემენტი-
დან მიწოდების რეჟიმზე, რაც სრულიად ლოგიკურია - საჭიროა ენეგიის ეკონომია. ასევე შესაძლე-
ბელია Wake the computer to run this task (კომპიუტერის გამოღვიძება დავალების შესასრულებლად)
რეჟიმის ჩართვა - თუ კომპიუტერი დავალების გაშვების პერიოდში იმყოფება ძილის რეჟიმში
(ჰიბერნაცია), მაშინ დამგეგმავი „გააღვიძებს“ კომპიუტერს დავალების შესასრულებლად.

სურ. 15.15. დავალების პარამეტრები

სურ. 15.16. დავალების შესრულების დამატებითი პირობები

409
 15.3. მოვლენათა დათვალიერება
სისტემა ყოველთვის იწერს მოვლენებს, რომელიც მის შიგნით ხდება. ეს ნიშნავს, რომ თუ
მოხდა რაიმე მოვლენა, მაგალითად, გაშვებული იქნა ან შეჩერდა რაიმე სერვისი ან თუნდაც დაფიქ-
სირდა შეცდომა, ეს მოვლენა იქნება ჩაწერილი ჟურნალში. Event Viewer პროგრამა იძლევა სისტემის
ყველა მოვლენის დათვალიერების საშუალებას.
გაუშვით მოცემული პროგრამა. პროგრამის გასაშვებად მიყევით ინსტრუქციას: Start (Start
მენიუ) → All apps (ყველა აპლიკაცია) → Windows Administrative Tools (Windows-ის ადმინის-
ტრირების უტილიტები) → Event Viewer (მოვლენათა დათვალიერება). ვთქვათ, დავათვალიეროთ
დღეს დაფიქსირებული შეცდომები. ქვემოთ მოცემულ ფანჯარაში (სურ. 15.17) მარცხენა მხარეს
ჩამოშალეთ Windows Logs (Windows-ის აღრიცხვის ჟურნალები) კატალოგი და აირჩიეთ System
(სისტემა), შემდეგ აირჩიეთ მოქმედება (მარჯვენა მენიუდან) Filter Current Log… (მიმდინარე ჟურნ-
ალის გაფილტვრა). ჩამოშალეთ Logged ველი და აირჩიეთ ბოლო 24 საათი და Event level (მოვლენის
დონე) განყოფილებაში აღნიშნეთ თქვენთვის საინტერესო ყველა მოვლენის დონე (ჩვენს შემთხვ-
ევაში გვაინტერესებს კრიტიკული მოვლენები (Critical), შეცდომები (Error) და გაფრთხილებები
(Warning)).
OK ღილაკზე დაჭერის შემდეგ პროგრამა გამოიტანს ყველა იმ მოვლენას, რომელიც შეესა-
ბამება ჩვენ მიერ მითითებულ პირობებს (სურ. 15.18).

სურ. 15.17. მოვლენების ფილტრის მომართვა

410
 სურ. 15.18. ფილტრის შედეგები

არ ღირს პანიკის ატეხა თუ თქვენს სისტემაში არის შეცდომები. ეს არის ნორმალური მოვ-
ლენა. თუ სისტემა ნორმალურად იტვირთება და მუშაობს, ე.ი. გამოჩენილი შეცდომები გავლენას
არ ახდენს სისტემის მუშაობაზე, ამიტომ შეგიძლიათ ყურადღება არ მიაქციოთ მოცემულ შეცდო-
მებს. მაგრამ თუ კომპიუტერი მოულოდნელად „ეკიდება“, მაშინ არსებობს შეცდომების ჟურნალის
გადახედვის მიზეზი, კომპიუტერის გადატვირთვის შემდეგ.

15.4. სისტემის წარმადობის მონიტორინგი

წარმადობის მონიტორინგი იძლევა წარმადობის შესახებ მონაცემების დათვალიერების საშუ-
ალებას როგორც რეალურ რეჟიმში, ისე ჟურნალის ფაილში. მისი გამოძახებისათვის მიყევით მოცე-
მულ ინსტრუქციას: Start (Start მენიუ) → All apps (ყველა აპლიკაცია) →Windows Administrative Tools
(Windows-ის ადმინისტრირების უტილიტები) → Performance Monitor (წარმადობის მონიტორინგი).
სტანდარტულად გამოდის პროცესორის დატვირთვის გრაფიკი (სურ. 15.19).

411
 სურ. 15.19. პროცესორის დატვირთვის გრაფიკი

შეგიძლიათ სხვა მრიცხველის (Counters) არჩევა გრაფიკის წარმოდგენისათვის. ამისათვის

დააჭირეთ მწვანე ფერის „პლუს“ (+) ღილაკს და აირჩიეთ სხვა მრიცხველი, მაგალითად, ფიზიკური
დისკი (PhysicalDisk). შემდეგ დააჭირეთ Add (დამატება) ღილაკს (სურ. 15.20).

სურ. 15.20. მრიცხველის (Counter) არჩევა

რის შემდეგაც ისარგებლეთ დისკის და პროცესორის დატვირთვების ერთობლივი გრაფიკით
(სურ. 15.21). მიაქციეთ ყურადღება იმას, რომ თქვენ შეგიძლიათ გამორთოთ მაჩვენებლები, რომლე-
ბიც არ არის საინტერესო, ამისათვის მოხსენით აღნიშვნა Show (ჩვენება) სვეტში.

412
 სურ. 15.21. დატვირთვების ერთობლივი გრაფიკი

15.5. მეხსიერების დიაგნოსტიკის საშუალება

თუ კომპიუტერი ხშირად „ეკიდება“ ან ხელახლა იტვირთება უმიზეზოდ, ასეთი სიმპტომები
მიუთითებს ან რომელიმე დრაივერის შეცდომაზე ან ოპერატიული მეხსიერების გაუმართაობაზე.
თუ თქვენ ხელახლა არ დაგიინსტალირებიათ/დაგიყენებიათ/გაგიახლებიათ მოწყობილობის დრა-
ივერი, მაშინ ყველაზე საეჭვოა მეხსიერების პრობლემა.
მეხსიერების შემოწმება შესაძლებელია მეხსიერების შემოწმების საშუალების დახმარებით,
რომლის გასაშვებადაც მიყევით ინსტრუქციას: Start (Start მენიუ) → All apps (ყველა აპლიკაცია) →
Windows Administrative Tools (Windows-ის ადმინისტრირების უტილიტები) → Windows Memory
Diagnostic (Windows-ის მეხსიერების შემმოწმებელი). გამოსულ ფანჯარაში შემოთავაზებული გაქვთ
ორი ვარიანტი: 1) მეხსიერების შემოწმება ახლავე და პრობლემებზე შემოწმება (Restart now and check
for problems) ან 2) მეხსიერების შემოწმება სისტემის შემდგომი გაშვების დროს (Check for problems the
next time I start my computer) (სურ. 15.22). თუ თქვენ გადაიფიქრეთ მეხსიერების შემოწმება,
დააჭირეთ Cancel (გაუქმება) ღილაკს. თუ დაუყოვნებლივ გსურთ მეხსიერების შემოწმება, Restart
now and check for problems (recommended) ღილაკზე დაჭერამდე დახურეთ ყველა პროგრამა და
შეინახეთ გახსნილი დოკუმენტები.

413
 სურ. 15.22. მეხსიერების შემოწმების საშუალება Windows-ში

მეხსიერების შემოწმების პროცესი მოცემულია 15.23 სურათზე. თუ შემოწმების გაშვებისას

დააჭერთ F1 ღილაკს, შეგიძლიათ შეცვალოთ შემდეგი პარამეტრები:

სურ. 15.23. მეხსიერების შემოწმება

 Test Mix (ტესტირების ნაკრები) შეგიძლიათ აირჩიოთ ტესტირების ტიპი (Basic (ბაზისური),
Standard (სტანდარტული), Extended (გაფართოებული)); ტესტის თითოეული ტიპის აღწერა აისახება
მეხსიერების დიაგნოსტიკის საშუალებაში;
 Cache საჭიროა თუ არა ქეშის გამოყენება;
 Pass Count (გავლების რაოდენობა) შესაძლებელია ტესტირების გამეორებების რიცხვის
შეცვლა.
შეცვლილი პარამეტრებით ტესტის გასავლელად დააჭირეთ F10 ღილაკს.

414
 რა უნდა ვქნათ, თუ Windows-მა აღმოაჩინა მეხსიერებასთან დაკავშირებული პრობლემები?
ამ შემთხვევაში უნდა დავუბრუნოთ კომპიუტერი იმ პიროვნებას, ვისგანაც იყიდეთ ან მიაკითხოთ
პირდაპირ სერვისცენტრს მეხსიერების მოდულის შესაცვლელად. თუ გარანტია აღარ აქვს, მაშინ
საჭიროა მეხსიერების მოდულის შეცვლა, სხვა გამოსავალი არაა. თუმცა სჯობს სერვისცენტრში
მიტანა იმ შემთხვევაშიც კი, თუ გარანტიას ვადა გაუვიდა. საქმე ისაა, რომ ხშირად პრობლემა
დაკავშირებულია არა ოპერატიულ მეხსიერებასთან, არამედ დედაპლატასთან. ამ შემთხვევაში შეც-
ვლა უფრო ძვირი დაჯდება, მაგრამ თქვენ დაზოგავთ ფულს მეხსიერების მოდულების შეძენაში.

415
 ოპერაციული სისტემის სისუსტეები

Operating systems consist of millions of lines of code. Installed software can also contain
millions of lines of code. With all this code comes vulnerabilities. A vulnerability is some
flaw or weakness that can be exploited by an attacker to reduce the viability of a computer’s
information. To take advantage of an operating system vulnerability, the attacker must use a
technique or a tool to exploit the vulnerability. The attacker can then use the vulnerability to
get the computer to act in a fashion outside of its intended design. In general, the goal is to
gain unauthorized control of the computer, change permissions, or to manipulate or steal
data.
 ოპერაციული სისტემის სისუსტეები

The table lists some common Windows OS Security recommendations.

რეკომენდაცია აღწერა

• მავნე პროგრამებისაგან დასაცავად ვინდოუსი ნაგულისხმევად

იყენებს Windows Defender-ს
დაცვა ვირუსების ან მავნე • Windows Defender იძლევა სისტემაში ინტეგრირებულ დაცვით
პროგრამებისაგან ინსტრუმენტთა ნაკრებს
• თუ გამორთულია Windows Defender პროგრამა, სისტემა მეტად
დაუცველი ხდება თავდასხმებისა და მავნე პროგრამების მიმართ
• არსებობს ძალიან ბევრი სერვისი, რომლებიც გაშვებულია „სცენის
მიღმა“
უცნობი ან უმართავი • მნიშვნელოვანია დავრწმუნდეთ იმაში, რომ თითოეული სერვისი
სერვისები იდენტიფიცირებადია და უსაფრთხო
• ფონურ რეჟიმში გაშვებული უცნობი სერვისის გამო, კომპიუტერი
შესაძლოა დაუცველი იყოს თავდასხმის მიმართ
• როდესაც მონაცემები დაუშიფრავია, მარტივია მათი შეგროვება და
გამოყენება
შიფრაცია
• ეს მნიშვნელოვანია არა მხოლოდ სამაგიდო კომპიუტერებისთვის,
არამედ განსაკუთრებით მობილური მოწყობილობებისთვის
• აუცილებელია კარგი უსაფრთხოების პოლიტიკის კონფიგურაცია და
უსაფრთხოების მიყოლა
პოლიტიკა • ვინდოუსის უსაფრთხოების პოლიტიკის კონტროლის ძალიან ბევრ
პარამეტრს შეუძლია თავდასხმების პრევენცია
 ოპერაციული სისტემის სისუსტეები

• ნაგულისხმევად, ვინდოუსი იყენებს ვინდოუს ფაიერვოლს, რათა შეზღუდოს

კომუნიკაცია მოწყობილობებთან ქსელში
• გარკვეული დროის შემდგომ, შესაძლოა წესები აღარ მოქმედებდეს
• მაგალითად, პორტი შესაძლოა დარჩეს ღია, რომელიც წესით აღარ უნდა იყოს
ფაიერვოლი
ხელმისაწვდომი
• მნიშვნელოვანია ფაიერვოლის პარამეტრების პერიოდული გადახედვა, რათა
დავრწმუნდეთ, რომ წესები ჯერ კიდევ გამოყენებადია. წაშალეთ ნებისმიერი
წესი, რომელიც აღარ გამოიყენება
• მოცემული ნებართვები მომართული უნდა იყოს სწორად
ნებართვები • ადვილია „Everyone (ყველა)” ჯგუფისთვის სრული კონტროლის მინიჭება,
ფაილებზე და მაგრამ ეს ყველა მომხმარებელს მისცემს ნებისმიერ ფაილში შეუზღუდავი
გაზიარებულ ქმედებების განხორციელების საშუალებას
ფოლდერებზე • კარგი იქნება თუ თითოეულ მომხმარებელს ან ჯგუფს, ყველა ფაილსა თუ
ფოლდერზე, მივანიჭებთ მხოლოდ აუცილებელ ნებართვებს.
• ძალიან ბევრი მომხმარებელი ირჩევს სუსტ პაროლებს ან საერთოდ არ იყენებს
მათ
სუსტი ან არ
• ძალიან მნიშვნელოვანია დავრწმუნდეთ იმაში, რომ ყველა სააღრიცხო
არსებული პაროლი
ჩანაწერს, განსაკუთრებით ადმინისტრატორის სააღრიცხო ჩანაწერს, აქვს
ძალიან რთული პაროლი
• როდესაც მომხმარებელი სისტემაში შედის, როგორც ადმინისტრატორი,
ნებისმიერ პროგრამას, რომელსაც ის უშვებს ექნება ამ სააღრიცხო ჩანაწერის
შესვლა
პრივილეგია
ადმინისტრატორის
• რეკომენდებულია სისტემაში შესვლა სტანდარტული მომხმარებლით და
უფლებით
ადმინისტრატორის პაროლის გამოყენება, მხოლოდ კონკრეტული ამოცანების
შესასრულებლად.
 ვინდოუსის უსაფრთხოება - განახლებათა მართვა ვინდოუსში

არცერთი პროგრამა არაა სრულყოფილი და არც ოპერაციული სისტემა წარმოადგენს

გამონაკლისს. თავდამსხმელები მუდმივად ეძებენ ახალ გზებს კომპიუტერების
კომპრომეტაციისა და ცუდი კოდის ექსპლუატირებისთვის. ამ თავდასხმათაგან ზოგიერთი
ჩნდება ისე სწრაფად, რომ მათგან თავდაცვის საშუალებები ჯერ არაა შემუშავებული და
გამოცემული. მათ ეწოდებათ ნულოვანი დღის (zero-day) ექსპლოიტები. მაიკროსოფტი და
უსაფრთხოების პროგრამული უზრუნველყოფის შემქმნელები ყოველთვის ცდილობენ, რომ
იყვნენ თავდამსხმელებზე წინ, მაგრამ ეს ყოველთვის არ გამოსდით. ასეთი თავდასხმებისაგან
დაცვის მაღალი დონის უზრუნველსაყოფად, ყოველთვის დარწმუნდით, რომ ვინდოუსი
განახლებულია ბოლო სერვისული პაკეტით და უსაფრთხოების „პატჩებით“.
პატჩები წარმოადგენენ კოდის განახლებებს, რომლებსაც წარმოგვიდგენენ მწარმოებლები,
რათა ახლად აღმოჩენილ ვირუსსა და ვორმს ხელი შეეშალოთ თავდასხმის წარმატებით
განხორციელებაში. დროდადრო მწარმოებლები პატჩებსა და გაუმჯობესებებს (upgrades)
აერთიანებენ ერთ კომპლექსურ განახლებათა პროგრამაში, რომელსაც ეწოდება განახლებათა
პაკეტი (Service Pack). გაცილებით ნაკლები გამანადგურებელი ვირუსული თავდასხმა
მოხდებოდა, თუ მეტი მომხმარებელი გადმოწერდა და დააინსტალირებდა უახლეს განახლებათა
პაკეტს. მნიშვნელოვანია, რომ საწარმოებმა გამოიყენონ სისტემები, რომლებიც ავტომატურად
მოახდენენ უსაფრთხოების განახლებების განაწილებას, ინსტალაციას და თვალყურის დევნებას.
ვინდოუსი რეგულარულად ამოწმებს ვინდოუსის განახლებათა ცენტრის ვებ-გვერდს,
მაღალპრიორიტეტული განახლებების არსებობაზე, რომლებიც გვეხმარებიან იმაში, რომ
კომპიუტერი დავიცვათ უსაფრთხოების უახლესი საფრთხეებისაგან. ეს განახლებები მოიცავს
უსაფრთხოების განახლებებს, კრიტიკულ განახლებებს და განახლებათა პაკეტებს. თქვენ მიერ
არჩეულ პარამეტრებიდან გამომდინარე, ვინდოუსი ავტომატურად იწერს და აინსტალირებს
ნებისმიერ იმ მაღალპრიორიტეტულ განახლებას, რომელიც სჭირდება თქვენს კომპიუტერს ან
გვატყობინებს, რომ ხელმისაწვდომია ეს განახლებები. ვინდოუსის განახლებათა ცენტრის
პარამეტრების მოსამართად, საძიებო ველში მოძებნეთ და გახსენით Windows Update აპლიკაცია.
 ვინდოუსის უსაფრთხოება - განახლებათა მართვა ვინდოუსში
სურათზე მოცემული განახლებათა მდგომარეობა, იძლევა განახლებების ხელით მოძებნის და
კომპიუტერის განახლებათა ისტორიის დათვალიერების საშუალებას.
ასევე არსებობს საათების მომართვის პარამეტრები, რომლის დროსაც კომპიუტერი არ გადაიტვირთება
ავტომატურად, მაგალითად, ჩვეულებრივ სამუშაო საათებში. Restart Options მენიუდან თქვენ ასევე
შეგიძლიათ იმის არჩევა, თუ როდის გადაიტვირთოს კომპიუტერი, განახლების დასრულების შემდგომ. ასევე
ხელმისაწვდომია დამატებითი პარამეტრები (Advanced Options), საიდანაც შესაძლებელია იმის არჩევა თუ
როგორ მოხდეს განახლებების ინსტალაცია და მაიკროსოფტის სხვა პროდუქტების განახლება.
 ვინდოუსის უსაფრთხოება - Windows Defender
მავნე პროგრამები მოიცავს ვირუსებს, ვორმებს (ქსელური ჭია), ტროიანებს, კლავიატურის
ჯაშუშებს (Keyloggers), ჯაშუშურ პროგრამებს (spyware) და მარეკლამირებელ პროგრამებს (Adware).
ისინი შექმნილნი არიან კონფიდენციალობის დასარღვევად, ინფორმაციის მოსაპარად, კომპიუტერის
დასაზიანებლად ან მონაცემთა დასაზიანებლად. მნიშვნელოვანია, რომ დაიცვათ კომპიუტერები და
მობილური მოწყობილობები საიმედო მავნე პროგრამებისაგან დამცავი პროგრამული
უზრუნველყოფით. ხელმისაწვდომია შემდეგი ტიპის მავნე პროგრამებისაგან დამცავი პროგრამები:
• ანტივირუსული დაცვა - ეს პროგრამა მუდმივად ახდენს მონიტორინგს ვირუსებზე. ვირუსის
აღმოჩენის შემდეგ, ის აფრთხილებს მომხმარებელს ამის შესახებ და პროგრამა ცდილობს ვირუსის
იზოლირებას ან მის წაშლას.
• დაცვა მარეკლამირებელი პროგრამებისაგან (adware) – ეს პროგრამა მუდმივად აკვირდება
პროგრამებს, რომლებიც აკეთებენ რეკლამას თქვენს კომპიუტერში.
• ფიშინგისგან დაცვა - ეს პროგრამა ბლოკავს ცნობილი ფიშინგ ვებ-გვერდების IP მისამართებს და
მომხმარებელს აფრთხილებს საეჭვო საიტების შესახებ.
• დაცვა ჯაშუშური პროგრამებისაგან (spyware) - მოცემული პროგრამა ახდენს შემოწმებას
კლავიატურის ჯაშუშებსა (Keylogger) და სხვა ჯაშუშურ პროგრამებზე.
• სანდო/ არასანდო წყაროები - მოცემული პროგრამა გაფრთხილებთ იმ დაუცველი პროგრამების
შესახებ, რომელთა ინსტალაციასაც აპირებთ ან იმ დაუცველი ვებ-გვერდების შესახებ, რომლის
დათვალიერებასაც ცდილობთ.
ყველა საზიანო პროგრამის სრულად წასაშლელად შესაძლოა დაგვჭირდეს რამოდენიმე
განსხვავებული პროგრამა და უამრავი შემოწმების ჩატარება. ერთდროულად გაუშვით მხოლოდ ერთი
მავნე პროგრამებისაგან დაცვის აპლიკაცია.
უსაფრთხოების რამოდენიმე ავტორიტეტული ორგანიზაცია, მათ შორის, McAfee, Symantec და
Kaspersky, გვთავაზობს კომპიუტერებისა და მობილური მოწყობილობების კომპლექსურ დაცვას მავნე
პროგრამული უზრუნველყოფებისაგან. ვინდოუსს ჩაშენებული აქვს ვირუსებისა და ჯაშუშური
პროგრამებისაგან დაცვა, რომელსაც ეწოდება Windows Defender (იხილეთ შემდგომ სლაიდზე
მოცემული სურათი). Windows Defender ჩართულია ნაგულისხმევად, რათა უზრუნველყოფილ იქნას
რეალური დროის დაცვა ინფიცირებების მიმართ.
 ვინდოუსის უსაფრთხოება - Windows Defender
Windows Defender-ის გასახსნელად, მოძებნეთ ის საძიებო ველიდან და დააჭირეთ
პროგრამას. მიუხედავად იმისა, რომ Windows Defender მუშაობს ფონურ რეჟიმში, თქვენ
ხელითაც შეგიძლიათ კომპიუტერისა და შემნახველი მოწყობილობების შემოწმება. Update
ჩანართიდან თქვენ ასევე შეგიძლიათ ვირუსებისა და ჯაშუშური პროგრამების ამომცნობი ბაზის
ხელით განახლება. ასევე, წინა შემოწმების შედეგად გამოვლენილი ელემენტების
დასათვალიერებლად დააჭირეთ History ჩანართს.
 ვინდოუსის უსაფრთხოება - Windows Defender Firewall

ფაიერვოლი შერჩევითი პრინციპით ახდენს ტრაფიკების დაბლოკვას კომპიუტერზე ან

ქსელის სეგმენტზე. ფაიერვოლები როგორც წესი მუშაობენ სხვადასხვა აპლიკაციების მიერ
გამოყენებული პორტების გახსნითა და დახურვის გზით. ფაიერვოლში მხოლოდ საჭირო
პორტების გახსნით, თქვენ ნერგავთ შემზღუდავ უსაფრთხოების პოლიტიკას. უარყოფილია
ნებისმიერი პაკეტი, რომელიც არაა დაშვებული ცალსახად. და პირიქით, დაშვებითი
უსაფრთხოების პოლიტიკა უშვებს წვდომას ყველა პორტზე, გარდა იმისა, რაც დაბლოკილია
ცალსახად. წარსულში, პროგრამული და ტექნიკური უზრუნველყოფა გაყიდვაში გამოდიოდა
დაშვებითი პარამეტრებით. იმის გამო, რომ მომხმარებლებმა მიივიწყეს თავიანთი ტექნიკის
კონფიგურაცია, ნაგულისხმევმა დაშვებითმა პარამეტრებმა ძალიან ბევრი მოწყობილობა დატოვა
დაუცველი თავდამსხმელების მიმართ. მოწყობილობათა უმრავლესობას ახლა აქვს
მაქსიმალურად შეზღუდული პარამეტრები, თუმცა კვლავ მარტივია მათი მომართვა.
Windows Defender Firewall-ის საშუალებით პროგრამაზე წვდომის მისაცემად, შედით Control
Panel-ში (მართვის პანელი). Systems and Security (სისტემა და უსაფრთხოება) მენიუს ქვეშ
მოძებნეთ Windows Defender Firewall. დააჭირეთ Allow an app or feature through Windows Defender
Firewall (აპლიკაციის ან ფუნქციის დაშვება ვინდოუსის მცველი ფაიერვოლის საშუალებით),
როგორც ნაჩვენებია შემდეგ სლაიდზე მოცემულ სურათზე.
თუ გსურთ სხვა პროგრამული ფაიერვოლის გამოყენება, ამისათვის ჯერ უნდა გათიშოთ
Windows Firewall. ვინდოუსის ფაიერვოლის გასათიშად, დააჭირეთ Turn Windows Firewall on or
off (ვინდოუსის ფაიერვოლის ჩართვა ან გამორთვა) ბმულს.
Advanced Settings (დამატებითი პარამეტრები) მენიუში ხელმისაწვდომია ძალიან ბევრი
დამატებითი ფუნქცია. აქ, სხვადასხვა კრიტერიუმის მიხედვით, შეგიძლიათ შემომავალი და
გამავალი წესების შექმნა. ასევე შეგიძლიათ პოლიტიკების იმპორტი და ექსპორტი ან
ფაიერვოლის სხვადასხვა მაჩვენებლების მონიტორინგი.
ვინდოუსის უსაფრთხოება - Windows Defender Firewall
 სერვერის ბაზისური ადმინისტრირება - მოწყობილობების გამაგრება

Device hardening involves implementing proven methods of securing the device and
protecting its administrative access. Some of these methods involve maintaining passwords,
configuring enhanced remote login features, and implementing secure login with SSH. Defining
administrative roles in terms of access is another important aspect of securing infrastructure
devices because not all information technology personnel should have the same level of access to
the infrastructure devices.
Depending on the Linux distribution, many services are enabled by default. Some of these
features are enabled for historical reasons but are no longer required. Stopping such services and
ensuring they do not automatically start at boot time is another device hardening technique.
OS updates are also extremely important to maintaining a hardened device. New
vulnerabilities are discovered every day. OS developers create and issue fixes and patches regularly.
An up-to-date computer is less likely to be compromised.
The following are basic best practices for device hardening.
• Ensure physical security
• Minimize installed packages
• Disable unused services
• Use SSH and disable the root account login over SSH
• Keep the system updated
• Disable USB auto-detection
• Enforce strong passwords
• Force periodic password changes
• Keep users from re-using old passwords
Many other steps exist and are often service or application-dependent.
 მუშაობა ლინუქს ჰოსტზე - სისტემის განახლებული მდგომარეობის შენარჩუნება
Also known as patches, OS updates are released periodically by OS companies to address
any known vulnerabilities in their operating systems. While companies have update
schedules, the release of unscheduled OS updates can happen when a major vulnerability is
found in the OS code. Modern operating systems will alert the user when updates are
available for download and installation, but the user can check for updates at any time.
The following table compares Arch Linux and Debian / Ubuntu Linux distribution
commands to perform package system basic operations.
 მუშაობა ლინუქს ჰოსტზე - სისტემის განახლებული მდგომარეობის შენარჩუნება

A Linux GUI can also be used to manually check and install updates. In Ubuntu for
example, to install updates you would click Dash Search Box, type software updater, and then
click the Software Updater icon, as shown in the figure.
 მუშაობა ლინუქს ჰოსტზე - მავნე პროგრამა ლინუქს ჰოსტზე

Linux malware includes viruses, Trojan horses, worms, and other types of malware that
can affect the operating system. Due to a number of design components such as file system
structure, file permissions, and user account restrictions, Linux operating systems are
generally regarded as better protected against malware.
While arguably better protected, Linux is not immune to malware. Many vulnerabilities
have been found and exploited in Linux. These range from server software to kernel
vulnerabilities. Attackers are able to exploit these vulnerabilities and compromise the target.
Because Linux is open source, fixes and patches are often made available within hours of the
discovery of such problems.
If a malicious program is executed, it will cause damage, regardless of the platform. A
common Linux attack vector is its services and processes. Vulnerabilities are frequently found
in server and process code running on computers connected to the network. An outdated
version of the Apache web server could contain an unpatched vulnerability which can be
exploited by an attacker, for example. Attackers often probe open ports to assess the version
and nature of the server running on that port. With that knowledge, attackers can research if
there are any known issues with that particular version of that particular server to support
the attack. As with most vulnerabilities, keeping the computer updated and closing any
unused services and ports is a good way to reduce the opportunities for attack in a Linux
computer.
 მუშაობა ლინუქს ჰოსტზე - მავნე პროგრამა ლინუქს ჰოსტზე

The command output shows an attacker using the Telnet command to probe the nature
and version of a web server (port 80).

The attacker has learned that the server in question is running nginx version 1.12.0. The
next step would be to research known vulnerabilities in the nginx 1.12.0 code.
Note: You will learn more about this attack later in the course.
 OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - შესავალი

sshd (OpenSSH Daemon ან სერვერი) წარმოადგენს პროგრამა დემონს (ფონური

პროგრამა, რომელიც ასრულებს ამა თუ იმ ადმინისტრაციულ ამოცანას წინასწარ
განსაზღვრულ დროს ან გარკვეული მოვლენის საპასუხოდ) SSH კლიენტისთვის. ის
არის უფასო და ღია წყარო კოდის მქონე ssh სერვერი. ssh-მა შეცვალა დაუცველი rlogin
და rsh და დაუცველ ქსელში, როგორიცაა ინტერნეტი, უზრუნველყოფს შიფრაციის
დაცულ კომუნიკაციებს, ორ არასაიმედო ჰოსტს შორის. როგორც წესი, უბუნტუს
სამაგიდო ვერსიას არა აქვს დაინსტალირებული sshd. თუმცა მარტივადაა
შესაძლებელი SSH სერვერის ინსტალაცია შემდეგი ეტაპების გამოყენებით.
 OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - SSH
სერვერის ინსტალაციის ეტაპები

უბუნტუ ლინუქსზე ssh სერვერის ინსტალაციის პროცედურა მოიცავს შემდეგს:

• უბუნტუ ლინუქსზე გახსენით ტერმინალი აპლიკაცია

• აკრიფეთ sudo apt-get install openssh-server

• sudo systemctl enable ssh ბრძანების აკრეფით გააქტიურეთ ssh სერვისი

• sudo systemctl start ssh ბრძანების აკრეფით გაუშვით ssh სერვისი

• ssh user@server-name ბრძანების გამოყენებით შეამოწმეთ შესაძლებელია თუ არა

სისტემაში შესვლა
OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - OpenSSH სერვერის ინსტალაცია
პირველ რიგში განაახლეთ სისტემა apt ან apt-get ბრძანებით:
sudo apt update ან sudo apt-get update
sudo apt upgrade ან sudo apt-get upgrade
Openssh-server პაკეტის ინსტალაციისთვის გაუშვით შემდეგი ბრძანება:
sudo apt-get install openssh-server
 OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - ssh სერვისის
შემოწმება და ჩართვა
აკრიფეთ შემდეგი systemctl ბრძანება:
sudo systemctl status ssh
თუ არაა გაშვებული, მაშინ ჩართეთ ssh სერვერი და გაუშვით შემდეგი systemctl
ბრძანებათა გამოყენებით:
sudo systemctl enable ssh
sudo systemctl start ssh
 OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - ფაიერვოლის
კონფიგურაცია და 22-ე პორტის გახსნა
ssh პორტის ფაიერვოლში გახსნისთვის გამოიყენება ქვემოთ მოცემული სინტაქსი:
sudo ufw allow ssh
ან
sudo ufw allow 22/tcp
შესაძლებელია კომენტარის დამატებაც:
sudo ufw allow 22/tcp comment ‘Open port ssh tcp port 22’
თუ ssh-ს უშვებთ 2222 პორტის ნომერზე, მაშინ შეიყვანეთ
sudo ufw allow 2222/tcp
კონკრეტული IP მისამართიდან შემომავალი SSH კავშირის დასაშვებად შეგიძლიათ
გამოიყენოთ შემდეგი სინტაქსი:
sudo ufw allow from 192.168.1.6 to any port 22
კონკრეტული ქვექსელიდან შემომავალი SSH კავშირის დასაშვებად გამოიყენეთ
შემდეგი სინტაქსი:
sudo ufw allow from 192.168.1.6/24 to any port 22
ან sudo ufw allow from 192.168.1.6/24 to any port 22 proto tcp
კონკრეტული ქვექსელიდან შემომავალი SSH შეერთებების კონკრეტულ SSH
სერვერზე დასაშვებად გამოიყენეთ შემდეგი სინტაქსი:
sudo ufw allow from 192.168.1.6/24 to 192.168.1.21 port 22 proto tcp
შემომავალი SSH პორტის შეზღუდვა ყველასთვის
შემომავალი SSH კავშირის გახსნა და შეერთებების აკრძალვა იმ IP მისამართიდან,
რომელმაც სცადა 6 ან მეტი კავშირის წარმოება ბოლო 30 წუთში. სინტაქსი შემდეგია:
sudo ufw limit ssh ან sudo ufw limit 22/tcp
 OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - ფაიერვოლის
მდგომარეობის შემოწმება
sudo ufw status
შედეგი შესაძლოა გამოიყურებოდეს სურათზე მოცემულის მსგავსად:
თუ ფაიერვოლი არაა ჩართული, შედეგი იქნება შემდეგნაირი
sudo ufw status
Status: inactive
ფაიერვოლის ჩასართავად სტანდარტულის წესების ნაკრებთან და open ssh პორტთან
ერთად, შეიყვანეთ:
sudo ufw enable
sudo ufw status verbose
 OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - SSH კავშირის
შემოწმება
ახლა უკვე შეგიძლიათ სხვა Linux, BSD, macOS, MS-Windows ან სხვა სისტემებიდან ssh
კავშირის განხორციელება ჩვენს ssh სერვერზე (რომელზეც გავხსენით წვდომა):
ssh shsvanishvili@192.168.1.21
 OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - ღია
გასაღებით აუთენტიკაცია
OpenSSH სერვერი მხარს უჭერს სხვადასხვა აუთენტიკაციის სქემას. ორ ყველაზე
პოპულარულ მეთოდს წარმოადგენს:
1. პაროლებზე დაფუძნებული აუთენტიკაცია
2. ღია გასაღებზე დაფუძნებული აუთენტიკაცია. ის წარმოადგენს ალტერნატიულ
უსაფრთხოების მეთოდს პაროლების გამოყენებისთვის. მოცემული მეთოდი
რეკომენდებულია VPS, cloud, გამოყოფილ ან თუნდაც საშინაო სერვერზე.

SSH გასაღებების მომართვა

ssh გასაღებების მომართვა მოიცავს შემდეგ ეტაპებს:
1. ssh გასაღებთა წყვილის შექმნა ssh-keygen ბრძანებით
2. ღია ssh გასაღების ასლის შექმნა და ინსტალაცია ლინუქსზე ssh-copy-id ბრძანების
გამოყენებით
3. sudo ან wheel ჯგუფის ადმინისტრატორის სააღრიცხო ჩანაწერის დამატება
4. პაროლით შესვლის გათიშვა root სააღრიცხო ჩანაწერისთვის
 OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - გასაღებთა წყვილის შექმნა
კომპიუტერზე შექმენით გასაღებთა წყვილი პროტოკოლისთვის
ssh-keygen –t rsa
თქვენ დაგჭირდებათ გასაღებთა წყვილის ადგილმდებარეობისა და სახელის მითითება. რეკომენდებულია
სტანდარტული ადგილმდებარეობის გამოყენება, თუ უკვე არ გაქვთ სხვა გასაღები ამ ადგილზე, მაგალითად:
$HOME/.ssh/id_rsa. ასევე მოგეთხოვებათ პაროლის შეყვანა თქვენი დახურული (private) გასაღებისთვის. ახლა
თქვენ $HOME/.ssh/ დირექტორიაში დაინახავთ ახალ ორ ფაილს:
1. $HOME/.ssh/id_rsa - შეიცავს თქვენს დახურულ (private) გასაღებს
2. $HOME/.ssh/id_rsa.pub - შეიცავს თქვენს ღია (public) გასაღებს
 OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - გასაღებთა
წყვილის შექმნა
არააუცილებელი სინტაქსი გამოცდილი მომხმარებლებისათვის
ქვემოთ მოცემული სინტაქსი განსაზღვრავს 4096 ბიტიანი RSA გასაღების შექმნას
(სტანდარტული გასაღების სიგრძეა 2048 ბიტი):
ssh-keygen –t rsa –b 4096 –f ~/.ssh/vps-cloud.web-server.key –C “My web-server key”
სადაც,
• -t rsa: განსაზღვრავს შესაქმნელ გასაღების ტიპს. შესაძლო ვარიანტებს წარმოადგენს
„rsa1” - პირველი ვერსიის პროტოკოლისთვის და „dsa”, “ecdsa”, “ed25519” ან “rsa” -
მეორე ვერსიის პროტოკოლისთვის.
• -b 4096: განსაზღვრავს შესაქმნელი გასაღების ბიტთა რაოდენობას
• –f ~/.ssh/vps-cloud.web-server.key : მიუთითებს გასაღების ფაილის სახელს
• –C “My web-server key”: მომართავს ახალ კომენტარს
 მუშაობა ლინუქს ჰოსტზე - შემოწმება რუტკიტზე

A rootkit is a type of malware that is designed to increase an unauthorized user’s privileges or grant
access to portions of the software that should not normally be allowed. Rootkits are also often used to
secure a backdoor to a compromised computer.
The installation of a rootkit can be automated (done as part of an infection) or an attacker can
manually install it after compromising a computer. A rootkit is destructive because it changes kernel
code and its modules, changing the most fundamental operations of the OS itself. With such a deep level
of compromise, rootkits can hide the intrusion, remove any installation tracks, and even tamper with
troubleshooting and diagnostic tools so that their output now hides the presence of the rootkit. While a
few Linux vulnerabilities through history have allowed rootkit installation via regular user accounts, the
vast majority of rootkit compromises require root or administrator access.
Because the very nature of the computer is compromised, rootkit detection can be very difficult.
Typical detection methods often include booting the computer from trusted media such as a diagnostics
operating system live CD. The compromised drive is mounted and, from the trusted system toolset,
trusted diagnostic tools can be launched to inspect the compromised file system. Inspection methods
include behavioral-based methods, signature scanning, difference scanning, and memory dump analysis.
Rootkit removal can be complicated and often impossible, especially in cases where the rootkit
resides in the kernel; re-installation of the operating system is usually the only real solution to the
problem. Firmware rootkits usually require hardware replacement.
chkrootkit is a popular Linux-based program designed to check the computer for known rootkits. It
is a shell script that uses common Linux tools such as strings and grep to compare the signatures of core
programs. It also looks for discrepancies as it traverses the /proc file system comparing the signatures
found there with the output of ps.
While helpful, keep in mind that programs to check for rootkits are not 100% reliable.
 მუშაობა ლინუქს ჰოსტზე - შემოწმება რუტკიტზე

Chkrootkit-ის ინსტალაციისთვის გაუშვით ბრძანება:

sudo apt-get install chkrootkit
Chkrootkit-ის გასაშვებად აკრიფეთ sudo chkrootkit ან sudo ./chkrootkit ბრძანება
 მუშაობა ლინუქს ჰოსტზე - აუდიტის ინსტრუმენტი Lynis
Lynis is a battle-tested security tool for systems running Linux, macOS, or Unix-based operating
system. It performs an extensive health scan of your systems to support system hardening and
compliance testing. The project is open source software with the GPL license and available since 2007.
მისი ინსტალაციისთვის გაუშვით ბრძანება:
sudo apt-get install lynis
Lynis ინსტრუმენტის გასაშვებად შეიყვანეთ შემდეგი ბრძანება:
sudo lynis audit system
 კრიპტოგრაფიული სისტემები

There are a number of ways to secure a network. Networks can be secured through device
hardening, authentication, authorization, and accounting (AAA) access control lists (ACLs),
firewall features, and intrusion prevention system (IPS) implementations. These combined
features protect the infrastructure and end devices within the local network. But how is
network traffic protected when traversing the public Internet? The answer is through
cryptographic methods.
The principles of cryptology can be used to explain how modern day protocols and
algorithms are used to secure communications. Cryptology is the science of making and
breaking secret codes. The development and use of codes is called cryptography, and breaking
codes is called cryptanalysis. Cryptography has been used for centuries to protect secret
documents. For example, Julius Caesar used a simple alphabetic cipher to encrypt messages to
his generals in the field. His generals would have knowledge of the cipher key required to
decrypt the messages.
Today, modern day cryptographic methods are used in many different ways to ensure
secure communications. Modern cryptography uses computationally secure algorithms to
make sure that cyber criminals cannot easily compromise protected information.
 კრიპტოგრაფიული სისტემები
Data confidentiality ensures privacy so that only the receiver can read the message. This
can be achieved through encryption. Encryption is the process of scrambling data so that it
cannot be easily read by unauthorized parties.
When enabling encryption, readable data is called plaintext, or cleartext, while the
encrypted version is called encrypted text or ciphertext. In this course, we will use the term
ciphertext. The plaintext readable message is converted to ciphertext, which is the
unreadable, disguised message. Decryption reverses the process. A key is required to encrypt
and decrypt a message. The key is the link between the plaintext and ciphertext.
Using a hash function is another way to ensure data confidentiality. A hash function
transforms a string of characters into a usually shorter, fixed-length value or key that
represents the original string. The difference between hashing and encryption is in how the
data is stored. With encrypted text, the data can be decrypted with a key. With the hash
function, after the data is entered and converted using the hash function, the plaintext is
gone. The hashed data is simply there for comparison. For example, when a user enters a
password, the password is hashed and then compared to the stored hashed value. If the user
forgets the password, it is impossible to decrypt the stored value, and the password must be
reset.
The purpose of encryption and hashing is to guarantee confidentiality so that only
authorized entities can read the message.
 შიფრაციის ალგორითმების ორი კლასი -
კრიპტოგრაფიული შიფრაცია სხვადასხვა შრეებზე
როგორც სურათზეა ნაჩვენები, კრიპტოგრაფიულ შიფრაციას სხვადასხვა უტილიტებისა და პროტოკოლების
გაერთიანებით შეუძლია კონფიდენციალურობის უზრუნველყოფა OSI მოდელის რამოდენიმე შრეზე.

ელ.ფოსტის დაცვა, მონაცემთა ბაზის სესიის დაცვა (Oracle

გამოყენებითი შრე (Application) SQL*net) და დაცული შეტყობინება (Lotus Notes სესიები)
იძლევიან გამოყენებითი შრის კონფიდენციალურობას.

წარმოდგენითი შრე (Presentation)

პროტოკოლები, როგორიცაა დაცული სოკეტების შრე (Secure

სესიის შრე (Session) Sockets Layer – SSL) ან ტრანსპორტის შრის უსაფრთხოება
(Transport Layer Security – TLS) უზრუნველყოფენ სესიის შრის
კონფიდენციალურობას.

ტრანსპორტის შრე (Transport)

პროტოკოლები, როგორიცაა IPsec პროტოკოლის ნაკრები,

ქსელის შრე (Network) უზრუნველყოფენ ქსელური შრის კონფიდენციალურობას.

კერძო ლინკის-შიფრაციის მოწყობილობები უზრუნველყოფენ

მონაცემთა არხის შრე (Data Link)
მონაცემთა არხის შრის კონფიდენციალურობას

ფიზიკური შრე (Physical)

 შიფრაციის ალგორითმების ორი კლასი -
კრიპტოგრაფიული შიფრაცია სხვადასხვა შრეებზე
არსებობს მონაცემთა უსაფრთხოების უზრუნველყოფის ორი მიდგომა, შიფრაციის
გამოყენებისას. პირველი არის ალგორითმის დაცვა. თუ შიფრაციის სისტემის
უსაფრთხოება დაფუძნებულია თვით ალგორითმის საიდუმლოებაზე, ალგორითმის კოდი
მკაცრად უნდა იქნას დაცული. თუ ალგორითმი გამოაშკარავდა, ყველა ჩართულმა მხარემ
უნდა შეცვალოს ალგორითმი. მეორე მიდგომა არის გასაღებების დაცვა. თანამედროვე
კრიპტოგრაფიაში, ყველა ალგორითმი საჯარო. კრიპტოგრაფიული გასაღებები
წარმოადგენენ ბიტების მიმდევრობას, რომლებიც შედიან შიფრაციის ალგორითმში
დასაშიფრ მონაცემებთან ერთად.
არსებობს შიფრაციის ალგორითმების ორი კლასი:
სიმეტრიული ალგორითმები - ეს ალგორითმები იყენებენ მონაცემთა შიფრაციისა და
დეშიფრაციისთვის იყენებენ ერთიდაიგივე წინასწარ გაზიარებულ გასაღებს (pre-shared
key), რომელსაც ზოგჯერ საიდუმლო გასაღებსაც უწოდებენ. წინასწარ გაზიარებული
გასაღები (pre-shared key) ცნობილია გამგზავნისა და მიმღებისთვის, სანამ დაიწყება რაიმე
დაშიფრული კომუნიკაცია. რადგან ორივე მხარე იცავს საერთო საიდუმლოებას,
გამოყენებულ შიფრაციის ალგორითმებს შეიძლება ჰქონდეთ უფრო მოკლე სიგრძის
გასაღებები. გასაღებების მოკლე სიგრძე ნიშნავს სწრაფ შესრულებას.
ასიმეტრიული ალგორითმები - შიფრაციის ეს ალგორითმები მონაცემთა შიფრაციისა
და დეშიფრაციისთვის იყენებენ განსხვავებულ გასაღებებს. დაცული შეტყობინებები
შეიძლება იქნას გაცვლილი წინასწარ გაზიარებული გასაღების ქონის გარეშე. რადგან
არცერთ მხარეს არ აქვს საერთო საიდუმლო, შესაძლებელია ძალიან დიდი სიგრძის მქონე
გასაღებების გამოყენება. ეს ალგორითმები მოითხოვენ მეტ რესურსებს და სრულდებიან
ნელა.
 სიმეტრიული და ასიმეტრიული შიფრაციის ალგორითმები

სურათზე ნაჩვენებია განსხვავებები, შიფრაციის თითოეული ალგორითმის მეთოდს

შორის.

სიმეტრიული შიფრაციის ალგორითმი ასიმეტრიული შიფრაციის ალგორითმი

უფრო ცნობილი, როგორც საერთო- უფრო ცნობილი, როგორც ღია გასაღების

საიდუმლო გასაღების ალგორითმები ალგორითმები

გასაღების სტანდარტული სიგრძე არის 80- გასაღების სტანდარტული სიგრძე არის 512-
დან 256 ბიტამდე დან 4096 ბიტამდე

გამგზავნი და მიმღები იზიარებენ საერთო გამგზავნი და მიმღები არ იზიარებენ საერთო

გასაღებს გასაღებს

ალგორითმები ჩვეულებრივ არიან ძალზედ ალგორითმები შედარებით ნელია, რადგან

სწრაფები (სადენის სისწრაფე), რადგან ისინი ისინი დაფუძნებულნი არიან რთულ
დაფუძნებულნი არიან მარტივ მათემატიკურ მათემატიკურ ალგორითმებზე
ოპერაციებზე
ალგორითმის მაგალითებია: DES, 3DES, AES, ალგორითმების მაგალითები: RSA, EIGamal,
IDEA, RC2/4/5/6 და Blowfish elliptic, curves და DH
 სიმეტრიული და ასიმეტრიული შიფრაცია
იმისათვის, რომ მიხვდეთ განსხვავებას ორი ტიპის ალგორითმებს შორის, განიხილეთ
მაგალითი, სადაც ალისა და ბობი ცხოვრობენ განსხვავებულ ადგილას და სურთ საიდუმლო
შეტყობინებების გაცვლა ერთმანეთთან, საფოსტო სისტემის საშუალებით. მოცემულ მაგალითში,
ალისას სურს კონფიდენციალური შეტყობინების გაგზავნა ბობთან.
სურათზე მოცემულ სიმეტრიული ალგორითმის მაგალითში, ალისას და ბობს აქვთ
იდენტური გასაღებები ერთი ბოქლომთან (padlock). ეს გასაღებები გაცვლილ იქნა რაიმე
კონფიდენციალური შეტყობინების გაგზავნამდე. ალისა წერს საიდუმლო შეტყობინებას და
ათავსებს მას მცირე ზომის ყუთში, რომელსაც ის ადებს ბოქლომს და კეტავს თავისი გასაღებით.
ის უგზავნის ყუთს ბობს. შეტყობინება დაცულადაა ჩაკეტილი ყუთის შიგნით, როცა ყუთი
გადაიცემა საფოსტო სისტემის საშუალებით. როდესაც ბობი იღებს ყუთს, ის იყენებს თავის
გასაღებს ბოქლომის მოსახსნელად და შეტყობინების ამოსაღებად. ბობს შეუძლია იგივე ყუთისა
და ბოქლომის გამოყენება, ალისასთვის კონფიდენციალური პასუხის გასაგზავნად.

გასაღები გასაღები

წინასწარ გაზიარებული გასაღები

შიფრაცია დეშიფრაცია
 ასიმეტრიული შიფრაციის მაგალითი
სურათზე მოცემულ ასიმეტრიული ალგორითმის მაგალითში, ბობი და ალისა არ ცვლიან გასაღებებს
კონფიდენციალური შეტყობინებების გაგზავნის წინ. ამის ნაცვლად, ბობს და ალისას, თითოეულს, აქვს
გამოყოფილი ბოქლომი თავის შესაბამის გასაღებთან ერთად. იმისათვის, რომ ალისამ გაუგზავნოს
საიდუმლო შეტყობინება ბობს, პირველ რიგში ის უნდა დაუკავშირდეს ბობს და სთხოვოს მას თავისი ღია
ბოქლომის გამოგზავნა. ბობი უგზავნის ბოქლომს, მაგრამ ინახავს თავის გასაღებს. როცა ალისა მიიღებს
ბოქლომს, ის წერს თავის კონფიდენციალურ შეტყობინებას და ათავსებს მას მცირე ყუთში. ის ასევე დებს
თავის გახსნილ ბოქლომს ყუთში, მაგრამ ინახავს თავის გასაღებს. შემდეგ ის კეტავს ყუთს ბობის ბოქლომით.
როდესაც ალისა ჩაკეტავს ყუთს, მას აღარ შეუძლია შიგნით შეღწევა, რადგან მას არ აქვს ამ ბოქლომის
გამხსნელი გასაღები. ის უგზავნის ყუთს ბობს. ყუთის საფოსტო სისტემით გადაგზავნის დროს არავის არ
შეუძლია მისი გახსნა. როცა ბობი იღებს ყუთს, მას შეუძლია თავისი გასაღების გამოყენება ყუთის
გასახსნელად და ალისასგან გამოგზავნილი შეტყობინების ამოღება. კონფიდენციალური პასუხის
გასაგზავნად, ბობი ათავსებს თავის საიდუმლო შეტყობინებას ყუთში, თავის გახსნილ ბოქლომთან ერთად და
კეტავს ყუთს ალისას ბოქლომით. ბობი უკან უგზავნის დაცულ ყუთს ალისას.
შიფრაციის გასაღები დეშიფრაციის გასაღები

ორი დამოუკიდებელი გასაღები,

რომლებიც არაა გაზიარებული

შიფრაცია დეშიფრაცია
 სიმეტრიული შიფრაციის ალგორითმები
სიმეტრიული ან საიდუმლო გასაღებით შიფრაცია არის კრიპტოგრაფიის ყველაზე ხშირად
გამოყენებული ფორმა, რადგან გასაღების მოკლე სიგრძე ზრდის შესრულების სიჩქარეს. ამასთან
ერთად, სიმეტრიული გასაღების ალგორითმები დაფუძნებულია მარტივ მათემატიკურ ოპერაციებზე,
რაც აჩქარებს ტექნიკური უზრუნველყოფის მიერ მის დამუშავებას. სიმეტრიული შიფრაცია ხშირად
გამოიყენება მონაცემთა ქსელებში სადენის-სიჩქარით შიფრაციისთვის და დიდი მოცულობის
შიფრაციის უზრუნველყოფისთვის, როცა მოითხოვება მონაცემთა საიდუმლოება, მაგალითად VPN
დაცვისთვის.
სიმეტრიული შიფრაციით, გასაღების მართვა შეიძლება იყოს პრობლემატური. შიფრაციისა და
დეშიფრაციის გასაღებები არის ერთიდაიგივე. გამგზავნმა და მიმღებმა უნდა გაცვალონ სიმეტრიული,
საიდუმლო გასაღები დაცული არხით, სანამ მოხდება რაიმეს დაშიფვრა. სიმეტრიული ალგორითმის
უსაფრთხოება დამოკიდებულია სიმეტრიული გასაღების საიდუმლოებაზე. გასაღების მოპოვებით,
ნებისმიერს შეუძლიაშეტყობინებების შიფრაცია და დეშიფრაცია.

გასაღების სიგრძე
სიმეტრიული შიფრაციის ალგორითმი
(ბიტებში)
DES 56

3DES 112 და 168

AES 128, 192 და 256
პროგრამული უზრუნველყოფის შიფრაციის ალგორითმი (SEAL) 160
RC სერია RC2 (40 და 64)
RC4 (1-დან 256-მდე)
RC5 (0-დან 2040-მდე)
RC6 (128, 192 და 256)
 სიმეტრიული შიფრაცია

DES, 3DES, AES, პროგრამული შიფრაციის ალგორითმი (SEAL) და Riverst ciphers (RC) სერია,
რომელიც მოიცავს RC2, RC4, RC5 და RC6 ვერსიებს, წარმოადგენენ ყველაზე ცნობილ შიფრაციის
ალგორითმებს, რომლებიც იყენებენ სიმეტრიულ გასაღებებს. სურათზე გამოყოფილადაა ნაჩვენები
ხშირად გამოყენებული შიფრაციის ალგორითმები და მათი გასაღების სიგრძეები.
შენიშვნა: არსებობს კიდევ სხვა სიმეტრიული შიფრაციის ალგორითმები, როგორიცაა Blowfish,
Twofish, Threefish და Serpent. თუმცა ამ პროტოკოლებს ან Cisco-ს პლატფორმები არ უჭერს მხარს ან მათ
ჯერ ვერ ჰპოვეს ფართო გავრცელება.
 ასიმეტრიული ალგორითმების ტიპები

შემდგომ ორ სლაიდზე შეჯამებულადაა გადმოცემული ყველაზე გავრცელებული ასიმეტრიული

გასაღების ალგორითმების მრავალფეროვანი არჩევანი.
მიუხედავად იმისა, რომ მათემატიკა განსხვავებულია, ყველა ამ ალგორითმს აქვს ერთი საერთო,
ისინი მოითხოვენ რთულ გამოთვლებს. მათი დიზაინი დაფუძნებულია ისეთ გამოთვლით
ამოცანებზე, როგორიცაა ძალიან დიდი რიცხვების ფაქტორინგი ან უკიდურესად დიდი რიცხვების
დისკრეტული ლოგარითმების გამოთვლა. შედეგად, ასიმეტრიული ალგორითმებისთვის გამოთვლებს
მიაქვს დიდი დრო. რეალურად, ასიმეტრიულ ალგორითმებს 1000-ჯერ მეტი სიგრძის მიღება
შეუძლიათ სიმეტრიულ ალგორითმებთან შედარებით. რადგან მათ არ გააჩნიათ საკმარისი სიჩქარე,
ასიმეტრიული ალგორითმები, როგორც წესი, გამოიყენებიან დაბალი მოცულობის ოპერაციებში,
მაგალითად, როდესაც მომხმარებელი უკავშირდება თავის ონლაინ ბანკს, თავისი ბალანსის
შესამოწმებლად ან ონლაინ გადახდების განსახორციელებლად. ისინი ასევე გამოიყენებიან ციფრული
სერტიფიკატების შესაქმნელად.
ასიმეტრიული ალგორითმებში გასაღებების მართვა შედარებით უფრო მარტივია, ვიდრე
სიმეტრიულ ალგორითმებში, რადგან, როგორც წესი, შიფრაციის ან დეშიფრაციის ორიდან
გასაღებიდან ერთ-ერთი უნდა გახდეს საჯარო.
შენიშვნა: არ შეადაროთ სიმეტრიული და ასიმეტრიული ალგორითმების გასაღების სიგრძე,
რადგან მნიშვნელოვნად განსხვავდება ამ ორი ალგორითმის ოჯახის ძირითადი დიზაინი. მაგალითად,
2048 ბიტიანი RSA-ს შიფრაციის გასაღები დაახლოებით იგივეა რაც 128 ბიტიანი RC4-ის გასაღები,
უხეში ძალის (brute-force) თავდასხმის წინააღმდეგობის გაწევის თვალსაზრისით.
 ასიმეტრიული ალგორითმების ტიპები - ასიმეტრიული შიფრაციის ალგორითმები

ასიმეტრიული გასაღების
შიფრაციის სიგრძე აღწერა
ალგორითმი (ბიტებში)
დიფი-ჰელმანის (Diffie-Hellman) ალგორითმი არის ღია გასაღების
ალგორითმი, რომელიც შეიქმნა 1976 წელს ვაიტფილდ დიფისა და მარტინ
ჰელმანის მიერ. ის აძლევს საშუალებას ორ მხარეს, რომ შეთანხმდნენ ერთ
512, 1024,
გასაღებზე, რომელსაც გამოიყენებენ ისინი იმ შეტყობინებების დასაშიფრად,
DH 2048, 3072,
რომლის გაგზავნაც სურთ ერთმანეთთან. მოცემული ალგორითმის
4096
უსაფრთხოება დამოკიდებულია “ვარაუდზე”, რომ ადვილია რიცხვის აყვანა
გარკვეულ ხარისხში, მაგრამ რთულია იმის გამოთვლა თუ რომელი ხარისხი
იქნა გამოყენებული, მოცემული რიცხვისა და შედეგის მიხედვით.
DSS შეიქმნა NIST-ის მიერ და ზუსტად განსაზღვრავს DSA-ს, როგორც
ციფრული ხელმოწერის
ალგორითმს ციფრული ხელმოწერებისათვის. DSA არის ღია გასაღების
სტანდარტი (DSS) და
512 - 1024 ალგორითმი, რომელიც დაფუძნებულია ElGamal ხელმოწერის სქემაზე.
ციფრული ხელმოწერის
ხელმოწერის შექმნის სიჩქარე RSA-ს მსგავსია, მაგრამ 10-40-ჯერ ნელი
ალგორითმი (DSA)
დადასტურებაში (verification).
შეიქმნა მასაჩუსეტსის ტექნოლოგიურ უნივერსიტეტში, რონ რივესტის (Ron
Rivest), ადი შამირის (Adi Shamir) და ლეონარდ ადლემანის (Leonard Adleman)
მიერ, 1977 წელს. ის არის ალგორითმი ღია-გასაღებით კრიპტოგრაფიისთვის,
რომელიც დაფუძნებულია ძალიან დიდი რიცხვების მამრავლებად დაშლის
RSA შიფრაციის 512-დან მიმდინარე სირთულეებზე. ეს არის პირველი ალგორითმი, ცნობილი
ალგორითმი 2048-მდე როგორც ხელმოწერისა და შიფრაციისთვის შესაფერისი და ერთ-ერთი
პირველი დიდი წარმატებებიდან, ღია გასაღების კრიპტოგრაფიაში. ფართოდ
გამოიყენება ელექტრონული კომერციის პროტოკოლებში და ითვლება
დაცულად, საკმარისად გრძელი გასაღებებისა და თანამედროვე
რეალიზაციებში გამოყენების გათვალისწინებით.
 ასიმეტრიული ალგორითმების ტიპები - ასიმეტრიული შიფრაციის ალგორითმები

ასიმეტრიული გასაღების
შიფრაციის სიგრძე აღწერა
ალგორითმი (ბიტებში)
ასიმეტრიული გასაღებით შიფრაციის ალგორითმი ღია-გასაღებით
კრიპტოგრაფიისთვის, რომელიც დაფუძნებულია Diffie-Hellman-ის
გასაღების ურთიერთშეთანხმებაზე. წარმოდგენილია Taher ElGamal-ის მიერ
1984 წელს და გამოიყენება GNU Privacy Guarg პროგრამულ
ElGamal 512 - 1024 უზრუნველყოფაში, PGP-ში და სხვა კრიპტოსისტემებში. ElGamal-ის
სისტემის ნაკლი არის ის, რომ დაშიფრული შეტყობინება ხდება ძალიან
დიდი, ორიგინალ შეტყობინებაზე დაახლოებით ორჯერ მეტი, და ამ
მიზეზით ის გამოიყენება მხოლოდ მცირე ზომის შეტყობინებებში,
როგორიცაა საიდუმლო გასაღებები.
ელიფსური მრუდის კრიპტოგრაფია გამოიგონა Neil Koblitz-მა და Victor
Elliptical curve techniques Miller-მა შუა 1980-იან წლებში. შეიძლება იქნას გამოყენებული მრავალ
- ელიფსური მრუდის 160 კრიპტოგრაფიულ სისტემასთან შეწყობისთვის, როგორიცაა Diffie-Hellman ან
ტექნიკები ElGamal. ელიფსური მრუდით კრიპტოგრაფიის მთავარი უპირატესობა არის
ის, რომ გასაღებები შეიძლება იყოს ბევრად უფრო პატარა.
გმადლობთ ყურადღებისათვის!!!