Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Лабораторная работа 4Контроль учет запис (1). Лабораторная работа 4


Скачать 160.44 Kb.
НазваниеЛабораторная работа 4
Дата19.10.2022
Размер160.44 Kb.
Формат файлаdocx
Имя файлаЛабораторная работа 4Контроль учет запис (1).docx
ТипЛабораторная работа
#742245
страница4 из 4
1   2   3   4
«Вести журнал паролей».

Хранить пароли, используя обратимое шифрование. Для того чтобы пароли не­возможно было перехватить при помощи приложений, Active Directory хранит только хэш- код. Но если перед вами встанет необходимость поддержки приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности, можно ис­пользовать текущую политику. Обратимое шифрование по умолчанию отключено, так как, используя эту политику, уровень безопасности паролей и всего домена в частности значи­тельно понижается. Использование этой функции аналогично хранению пароля в открытом виде.

Политика блокировки учётной записи

Даже после создания сложного пароля и правильной настройки политик безопасно­сти, учётные записи пользователей могут быть подвергнуты атакам недоброжелателей. Например, если установлен минимальный срок действия пароля в 20 дней, у хакера доста­точно времени для подбора пароля к учётной записи. Узнать имя учётной записи не является проблемой для хакеров, так как, зачастую имена учётных записей пользователей совпадает с именем адреса почтового ящика. А если будет известно имя, то для подбора пароля понадо­бится две-три недели.

Групповые политики безопасности Windows могут противостоять таким действиям, используя набор политик узла «Политика блокировки учётной записи». При помощи данного набора политик возможно ограничение количества некорректных попыток входа пользовате­ля в систему. Для этого узла доступны только три политики, которые рассматриваются ниже.

Время до сброса счетчиков блокировки. Active Directory и групповые политики позволяют автоматически разблокировать учётную запись, количество попыток входа в ко­торую превышает установленное вами пороговое значение. При помощи этой политики устанавливается количество минут, которые должны пройти после неудачной попытки для автоматической разблокировки. Разрешается устанавливать значение от одной минуты до 99999. Это значение должно быть меньше значения политики «Продолжительность блоки­ровки учётной записи».

Пороговое значение блокировки. Используя эту политику, можно указать количе­ство некорректных попыток входа, после чего учётная запись будет заблокирована. Оконча­ние периода блокировки учётной записи задается политикой «Продолжительность блоки­ровки учётной записи» или администратор может разблокировать учётную запись вручную. Количество неудачных попыток входа может варьироваться от 0 до 999. Рекомендуется устанавливать допустимое количество от трех до семи попыток.

Продолжительность блокировки учётной записи. При помощи этого параметра можно указать время, в течение которого учётная запись будет заблокирована до её автома­тической разблокировки. Можно установить значение от 0 до 99999 минут. В том случае, ес­ли значение этой политики будет равно 0, учётная запись будет заблокирована до тех пор, пока администратор не разблокирует её вручную.

Политика Kerberos

В доменах Active Directory для проверки подлинности учётных записей пользователей и компьютеров домена используется протокол Kerberos. Сразу после аутентификации поль­зователя или компьютера, этот протокол проверяет подлинность указанных реквизитов, а за­тем выдает особый пакет данных, который называется «Билет предоставления билета (TGT - Ticket Granting Ticket. Перед подключением пользователя к серверу для запроса документа на контроллер домена пересылается запрос вместе с билетом TGT, который иден­тифицирует пользователя, прошедшего проверку подлинности Kerberos. После этого кон­троллер домена передает пользователю другой пакет данных, называемый билетом доступа к службе. Пользователь предоставляет билет на доступ службе на сервере, который принимает его как подтверждение прохождения проверки подлинности.

Данный узел можно обнаружить только на контроллерах домена. Доступны следую­щие пять политик безопасности:

Максимальная погрешность синхронизации часов компьютера. Для предотвра­щения «атак повторной передачи пакетов» существует текущая политика безопасности, ко­торая определяет максимальную разность времени, допускающую Kerberos между временем клиента и временем на контроллере домена для обеспечения проверки подлинности. В слу­чае установки данной политики, на обоих часах должны быть установлены одинаковые дата и время. Подлинной считается та отметка времени, которая используется на обоих компью­терах, если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы времени, определённой этой политикой.

Максимальный срок жизни билета пользователя. При помощи текущей политики можно указать максимальный интервал времени, в течение которого может быть использо­ван билет представления билета (TGT). По истечении срока действия билета TGT необходи­мо возобновить существующий билет или запросить новый.

Максимальный срок жизни билета службы. Используя эту политику безопасности, сервер будет выдавать сообщение об ошибке в том случае, если клиент, запрашивающий подключение к серверу, предъявляет просроченный билет сеанса. Можно определить макси­мальное количество минут, в течение которого полученный билет сеанса разрешается ис­пользовать для доступа к конкретной службе. Билеты сеансов применяются только для про­верки подлинности на новых подключениях к серверам. После того как подключение прой­дет проверку подлинности, срок действия билета теряет смысл.

Максимальный срок жизни для возобновления билета пользователя. С помощью данной политики можно установить количество дней, в течение которых может быть восста­новлен билет предоставления билета.

Принудительные ограничения входа пользователей. Эта политика позволяет определить, должен ли центр распределения ключей Kerberos проверять каждый запрос би­лета сеанса на соответствие политике прав, действующей для учётных записей пользовате­лей.

Политика аудита

В процессе аудита используются три средства управления: политика аудита, парамет­ры аудита в объектах, а также журнал «Безопасность», куда заносятся события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам.

Политика аудита настраивает в системе определённого пользователя и группы аудит активности. Для того чтобы отконфигурировать политики аудита, в редакторе управления групповыми политиками необходимо открыть узел «Конфигурация компьюте- ра/Конфигурация Windows/Параметры безопасности/Локальные политики /Политика ауди­та». Необходимо помнить, что по умолчанию параметр политики аудита, для рабочих стан­ций установлен на «Не определено». В общей сложности, возможна настройка девяти поли­тик аудита.

Так же, как и с остальными политиками безопасности, для настройки аудита нужно определить параметр политики. После двойного нажатия левой кнопкой мыши на любом из параметров, установите флажок на опции «Определить следующие параметры политики» и укажите параметры ведения аудита успеха, отказа или обоих типов событий.

После настройки политики аудита события будут заноситься в журнал безопасности. Просмотреть эти события можно в журнале безопасности.

Аудит входа в систему. Текущая политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выхода из неё. Например, при удач­ном входе пользователя на компьютер генерируется событие входа учётной записи. События выхода из системы создаются каждый раз, когда завершается сеанс вошедшей в систему учёт­ной записи пользователя. Аудит успехов означает создание записи аудита для каждой успеш­ной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой не­удачной попытки входа в систему.

Аудит доступа к объектам. Данная политика безопасности выполняет аудит попыток доступа пользователей к объектам, которые не имеют отношения к Active Directory. К таким объектам можно отнести файлы, папки, принтеры, разделы системного реестра, которые за­даются собственными списками в системном списке управления доступом (SACL). Аудит создаётся только для объектов, для которых указаны списки управления доступом, при усло­вии, что запрашиваемый тип доступа и учётная запись, выполняющая запрос, соответствуют параметрам в данных списках.

Аудит доступа к службе каталогов. При помощи этой политики безопасности можно определить, будет ли выполняться аудит событий, указанных в системном списке контроля доступа (SACL), который можно редактировать в диалоговом окне «Дополнительные пара­метры безопасности» свойств объекта Active Directory. Аудит создаётся только для объектов, для которых указан системный список управления доступом, при условии, что запрашиваемый тип доступа и учётная запись, выполняющая запрос, соответствуют параметрам в данном списке. Данная политика в какой-то степени похожа на политику «Аудит доступа к объек­там». Аудит успехов означает создание записи аудита при каждом успешном доступе пользо­вателя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объ­екту Active Directory, для которого определена таблица SACL.

Аудит изменения политики. Эта политика аудита указывает, будет ли операционная система выполнять аудит каждой попытки изменения политики назначения прав пользовате­лям, аудита, учётной записи или доверия. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

Аудит изменения привилегий. Используя эту политику безопасности, можно опреде­лить, будет ли выполняться аудит использования привилегий и прав пользователей. Аудит успехов означает создание записи аудита для каждого успешного применения права пользова­теля. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.

Аудит отслеживания процессов. Текущая политика аудита определяет, будет ли операционная система выполнять аудит событий, связанных с процессами, такими как со­здание и завершение процессов, а также активация программ и непрямой доступ к объектам. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.

Аудит системных событий. Данная политика безопасности имеет особую ценность, так как именно при помощи этой политики можно узнать, перегружался ли у пользователя компь­ютер, превысил ли размер журнала безопасности пороговое значение предупреждений, была ли потеря отслеженных событий из-за сбоя системы аудита и даже вносились ли изменения, кото­рые могли повлиять на безопасность системы или журнала безопасности вплоть до изменения системного времени. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.

Аудит событий входа в систему. При помощи этой политики аудита можно указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компью­тером учётных данных. При использовании этой политики создаётся событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учётных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается со­бытие удалённого входа (события выхода из системы не записываются). Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит от­казов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит управления учётными записями. Эта последняя политика тоже считается очень важной, так как именно при помощи неё можно определить, необходимо ли выполнять аудит каждого события управления учётными записями на компьютере. В журнал безопас­ности будут записываться такие действия как создание, перемещение и отключение учётных записей, а также изменение паролей и групп. Аудит успехов означает создание записи аудита для каждого успешного события управления учётными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учётными записями

Политики назначения прав пользователей

Как говорилось выше, для назначения прав пользователей существует 44 политики безопасности. Далее можно ознакомиться с восемнадцатью политиками безопасности, кото­рые отвечают за назначение различных прав для пользователей или групп вашей организа­ции.

  1. Архивация файлов и каталогов. При помощи данной политики можно указать пользователей или группы, предназначенные для выполнения операций резервного копиро­вания файлов, каталогов, разделов реестра и других объектов, которые подлежат архивации. Данная политика предоставляет доступ для следующих разрешений:

  • обзор папок/выполнение файлов;

  • содержимое папки/чтение данных;

  • чтение атрибутов;

  • чтение расширенных атрибутов;

  • чтение разрешений.

На рабочих станциях и серверах данные привилегии предоставляются группам «Ад­министраторы» и «Операторы архивации», а на контроллерах домена - «Операторы архива­ции» и «Операторы сервера».

  1. Блокировка страниц в памяти. Используя эту политику безопасности, можно указать конкретных пользователей или группы, которым разрешается использовать процессы для сохранения данных в физической памяти для предотвращения сброса данных в вирту­альную память на диске.

По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.

  1. Восстановление файлов и каталогов. Эта политика позволяет указывать поль­зователей и группы, которые могут выполнять восстановление файлов и каталогов, в обход блокировке файлов, каталогов, разделов реестра и прочих объектов, расположенных в ар­хивных версиях файлов.

На рабочих станциях и серверах данные привилегии предоставляются группам «Ад­министраторы» и «Операторы архивации», а на контроллерах домена - «Операторы архива­ции» и «Операторы сервера».

  1. Вход в качестве пакетного задания. При создании задания, используя плани­ровщик заданий, операционная система регистрирует пользователя в системе как пользова­теля с пакетным входом. Данная политика разрешает группе или определённому пользовате­лю входить в систему при помощи такого метода.

По умолчанию, как на рабочих станциях, так и на контроллерах домена, данные при­вилегии предоставляются группам «Администраторы» и «Операторы архивации».

  1. Вход в качестве службы. Некоторые системные службы осуществляют вход в операционную систему под разными учётными записями. Например, служба «Windows Audio» запускается под учётной записью «Локальная служба», служба «Телефония» исполь­зует учётную запись «Сетевая служба». Данная политика безопасности определяет, какие учётные записи служб могут зарегистрировать процесс в качестве службы.

По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.

  1. Выполнение задач по обслуживанию томов. Используя эту политику, можно указать пользователей или группы, участники которых могут выполнять операции, предна­значенные для обслуживания томов. У пользователей, обладающих такими привилегиями, есть права на чтение и изменение запрошенных данных после открытия дополнительных файлов, они также могут просматривать диски и добавлять файлы в память, занятую други­ми данными.

По умолчанию, такими правами обладают только администраторы рабочих станций и контроллеров домена.

  1. Добавление рабочих станций к домену. Эта политика отвечает за разрешение пользователям или группам добавлять компьютеры в домен Active Directory. Пользователь, обладающий данными привилегиями, может добавить в домен до десяти компьютеров.

По умолчанию, все пользователи, прошедшие проверку подлинности, на контролле­рах домена могут добавлять до десяти компьютеров.

  1. Доступ к диспетчеру учётных данных от имени доверенного вызывающего. Диспетчер учётных данных - это компонент, который предназначен для хранения учётных данных, таких как имена пользователей и пароли, используемых для входа на веб-сайты или другие компьютеры в сети. Эта политика используется диспетчером учётных данных в ходе архивации и восстановления, и её не желательно предоставлять пользователям.

По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.

  1. Доступ к компьютеру из сети. Данная политика безопасности отвечает за раз­решение подключения к компьютеру по сети указанным пользователям или группам.

На рабочих станциях и серверах данные привилегии предоставляются группам «Ад­министраторы» и «Операторы архивации», «Пользователи» и «Все». На контроллерах доме­на - «Администраторы», «Проверенные пользователи», «Контроллеры домена предприятия» и «Все».

  1. Завершение работы системы. Используя этот параметр политики, можно соста­вить список пользователей, которые имеют право на использование команды «Завершение работы» после удачного входа в систему.

На рабочих станциях и серверах данные привилегии предоставляются группам «Ад­министраторы», «Операторы архивации» и «Пользователи» (только на рабочих станциях), а на контроллерах домена - «Администраторы», «Операторы архивации», «Операторы серве­ра» и «Операторы печати».

  1. Загрузка и выгрузка драйверов устройств. При помощи текущей политики можно указать пользователей, которым будут предоставлены права на динамическую загруз­ку и выгрузку драйверов устройств в режиме ядра.

Эта политика не распространяется на PnP-устройства. Plug and Play - технология, предназначенная для быстрого определения и конфигурирования устройств в компьютере и других технических устройствах. Разработана фирмой Microsoft при содействии других ком­паний. Технология PnP основана на использовании объектно-ориентированной архитектуры, ее объектами являются внешние устройства и программы. Операционная система автомати­чески распознает объекты и вносит изменения в конфигурацию абонентской системы.).

На рабочих станциях и серверах данные привилегии предоставляются группам «Ад­министраторы», а на контроллерах домена - «Администраторы» и «Операторы печати».

  1. Замена маркера уровня процесса. Используя данную политику безопасности, можно ограничить пользователей или группу от использования API-функции CreateProcessAsUser для того, чтобы одна служба могла запускать другую функцию, процесс или службу. Стоит обратить внимание на то, что такое приложение как «Планировщик зада­ний» для своей работы использует данные привилегии.

По умолчанию, как на рабочих станциях, так и на контроллерах домена, данные при­вилегии предоставляются учётным записям «Сетевая служба» и «Локальная служба».

  1. Запретить вход в систему через службу удалённых рабочих столов. При по­мощи данной политики безопасности можно ограничить пользователей или группы от входа в систему в качестве клиента удалённых рабочих столов.

По умолчанию, как на рабочих станциях, так и на серверах, всем разрешено входить в систему как клиенту удалённых рабочих столов.

  1. Запретить локальный вход. Данная политика запрещает отдельным пользовате­лям или группам выполнять вход в систему.

По умолчанию всем пользователям разрешен вход в систему.

  1. Изменение метки объектов. Благодаря данной политике назначения прав, можно предоставить возможность указанным пользователям или группам изменять метки целостно­сти объектов других пользователей, таких как файлы, разделы реестра или процессы.

По умолчанию никому не разрешено изменять метки объектов.

  1. Изменение параметров среды изготовителя. Используя эту политику безопас­ности, можно указать пользователей или группы, которым будет доступна возможность чте­ния переменных аппаратной среды. Переменные аппаратной среды - это параметры, сохра­няемые в энергонезависимой памяти компьютеров, архитектура которых отлична от x86.

На рабочих станциях и контроллерах домена, по умолчанию данные привилегии предоставляются группам «Администраторы».

  1. Изменение системного времени. Эта политика отвечает за изменение системно­го времени. Предоставив данное право пользователям или группам, тем самым кроме разре­шения изменения даты и времени внутренних часов предоставляется возможность изменения соответствующего времени отслеживаемых событий в оснастке «Просмотр событий».

На рабочих станциях и серверах данные привилегии предоставляются группам «Ад­министраторы» и «Локальная служба», а на контроллерах домена - «Администраторы», «Операторы сервера» и «Локальная служба».

  1. Изменение часового пояса. При помощи текущей политики безопасности, мож­но указать пользователей или группы, которым разрешено изменять часовой пояс своего компьютера для отображения местного времени, которое представляет собой сумму систем­ного времени компьютера и смещения часового пояса.

На рабочих станциях и контроллерах домена по умолчанию данные привилегии предоставляются группам «Администраторы» и «Пользователи».

Параметры безопасности

Узел «Параметры безопасности» позволяет администратору безопасности вручную настраивать уровни безопасности, назначенные политике локального компьютера. Чтобы изменить любое из значений шаблона, необходимо дважды щёлкнуть его. Появится диалого­вое окно, позволяющее модифицировать значение.

Таким образом контролировать включение или отключение настроек безопасности, таких как цифровая подпись данных, имена учётных записей администратора и гостя, доступ к дисководам гибких и компакт-дисков, установка драйверов и приглашения на вход в си­стему и все остальные доступные параметры политики безопасности. Далее будут рассмот­рены подробнее, какие параметры рекомендуется устанавливать для повышения защиты компьютера от различного рода атак по сети Интернет.

Первое - напоминать пользователям об истечении срока действия пароля - 14 дней (по умолчанию).

Рекомендуется включать политику «Не отображать последнего имени пользователя в диалоге входа» (по умолчанию - отключен). Особенно полезно в случае, когда рядовой поль­зователь имеет пароль аналогичный своему имени, и тогда без труда можно с нескольких пе­реборов пароля хакеру проникнуть на этот компьютер.

Рекомендуется включать политику «Запретить пользователям установку драйвера принтера» (по умолчанию - отключен). А также рекомендуется включить политику «Очист­ка страничного файла виртуальной памяти» (по умолчанию - отключен). После этого систе­ма всегда при выключении компьютера будет удалять файл подкачки. Но здесь есть свой не­достаток - система будет долго выключатся.

Следующая политика безопасности относится к состоянию окна CTRL+ALT+DEL при входе в систему. Эта политика по умолчанию не установлена. После перезагрузки при входе в систему на экране будет отображаться окно CTRL+ALT+DEL, которое по умолча­нию не отображается.

Кроме этого, в целях безопасности полезно настраивать следующие параметры:

  • «Автоматически отключать сеансы пользователей по истечении разрешённого времени» (Включить);

  • «Длительность простоя перед отключением сеанса» (примерно 10 мин);

  • «Дополнительные ограничения для анонимных подключений» (установить в зна­чение «Нет доступа, без явного разрешения анонимного доступа»);

  • «Использовать цифровую подпись со стороны клиента (Всегда)» (Включить);

  • «Использовать цифровую подпись со стороны клиента (по возможности)» (Вклю­чить);

  • «Использовать цифровую подпись со стороны сервера (Всегда)» (Включить);

  • «Использовать цифровую подпись со стороны сервера (по возможности)» (Вклю­чить);

  • «Разрешить доступ к дисководам компакт-дисков только локальным пользовате­лям» (Включить);

  • «Разрешить доступ к НГМД только локальным пользователям» (Включить).

Брандмауэр Windows в режиме повышенной безопасности

Брандмауэр Windows в режиме повышенной безопасности - это брандмауэр, реги­стрирующий состояние сети, для рабочих станций. В отличие от брандмауэров для маршру­тизаторов, которые развёртывают на шлюзе между локальной сетью и Интернетом, бранд­мауэр Windows создан для работы на отдельных компьютерах. Он отслеживает только тра­фик рабочей станции: трафик, приходящий на IP-адрес данного компьютера, и исходящий трафик самого компьютера. Брандмауэр Windows в режиме повышенной безопасности вы­полняет следующие основные операции.

Входящий пакет проверяется и сравнивается со списком разрешённого трафика. Если пакет соответствует одному из значений списка, брандмауэр Windows передает пакет прото­колу TCP/IP для дальнейшей обработки. Если пакет не соответствует ни одному из значений списка, брандмауэр Windows блокирует пакет, и в том случае, если включено протоколиро­вание, создаёт запись в файле журнала.

Список разрешённого трафика формируется двумя путями:

  • когда подключение, контролируемое брандмауэром Windows в режиме повышен­ной безопасности, отправляет пакет, брандмауэр создаёт значение в списке разрешающее прием ответного трафика. Для соответствующего входящего трафика потребуется дополни­тельное разрешение;

  • когда создаётся разрешающее правило брандмауэра Windows в режиме повышен­ной безопасности. Трафик, для которого создано соответствующее правило, будет разрешён на компьютере с работающим брандмауэром Windows. Этот компьютер будет принимать яв­но разрешённый входящий трафик в режимах работы в качестве сервера, клиентского ком­пьютера или узла одноранговой сети.

Первым шагом по решению проблем, связанных с Брандмауэром Windows, является проверка того, какой профиль является активным. Брандмауэр Windows в режиме повышен­ной безопасности является приложением, отслеживающим сетевое окружение. Профиль брандмауэра Windows меняется при изменении сетевого окружения. Профиль представляет собой набор настроек и правил, который применяется в зависимости от сетевого окружения и действующих сетевых подключений.

Основным нововведением в брандмауэре Windows 7 является одновременная работа нескольких сетевых профилей.

  • «Общий» - публичные (общедоступные) сети, например, в кафе или аэропорт;

  • «Частный» - домашние или рабочие сети;

  • «Доменный» - доменная сеть в организации, определяемая автоматически.

В Windows Vista только один профиль мог быть активен в любой момент времени. Если было включено несколько профилей, наиболее безопасный из них становился актив­ным. Например, при одновременном подключении к публичной и домашней сетям, актив­ным становился общедоступный профиль, обеспечивающий более высокую безопасность. В Windows 7 все три профиля могут быть активны одновременно, обеспечивая соответствую­щий уровень безопасности для каждой сети.

Политики диспетчера списка сетей

Для того чтобы воспользоваться функционалом локальных политик безопасности, предназначенным для изменения политик списка сетей, необходимо открыть «Редактор управления групповыми политиками», в дереве консоли развернуть узел «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики диспет­чера списка сетей».

В области сведений политик диспетчера списка сетей можно настраивать:

  • сети, которые не удается идентифицировать из-за ошибок сети или отсутствия идентифицируемых признаков, называемых «Неопознанные сети»;

  • временное состояние сетей, находящихся в процессе идентификации, которые называются «Идентификация сетей»;

  • все сети, к которым подключен пользователь, называемое «Все сети»;

  • а также текущее сетевое подключение (рабочая группа или домен).

Принудительное изменение названия сетей для пользователей, находящихся в домене

Как в рабочих группах, так и в доменах пользователи могут самостоятельно изменять имя сети. Для этого нужно выполнить следующие действия:

  1. Открыть окно «Центр управления сетями и общим доступом»;

  2. В группе «Просмотр активных сетей» щёлкнуть на значке сети, имя которой необходимо изменить;

  3. В диалоговом окне «Настройка свойств сети», в текстовом поле «Сетевое имя» изменить имя сети.

Нужно сделать так, чтобы пользователи домена не могли изменить название сети в «Центре управления сетями и общим доступом». Для этого нужно выполнить следующие действия:

  1. Так как действие этой групповой политики должно распространяться на все ком­пьютеры этого домена, в оснастке «Управление групповой политикой», в дереве консоли, развернуть узел «Лес: имя домена\Домены\имя домена» и выбрать объект групповой поли­тики «Default Domain Policy»;

  2. Нажать правой кнопкой мыши на этом объекте групповой политики и из кон­текстного меню выбрать команду «Изменить»;

  3. В открывшейся оснастке «Редактор управления групповыми политиками» в дере­ве консоли развернуть узел «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей» и открыть политику «Все сети». В открывшемся окне политики безопасности, в группе «Имя сети» установить переключатель на опцию «Пользователь не может изменить имя» и нажать на «ОК»;

  4. Открыть политику, именем которой назначено имя домена. На вкладке «Имя се­ти», в группе «Имя» установить переключатель на опцию «Имя» и указать название. В груп­пе «Разрешёния пользователя» можно установить переключатель на опцию «Пользователь не может изменить имя», но в этом нет крайней необходимости, так как подобная операция бы­ла выполнена на предыдущем шаге для всех сетей компьютеров организации.

  5. Закрыть «Редактор управления групповыми политиками» и, при необходимости, обновить политики конфигурации компьютера, используя команду GPUpdate /Target:Computer /force /boot в командной строке.

Практическое задание №1

Для того чтобы создать учётную запись при помощи диалога «Управление учётными записями пользователей», нужно сделать следующее:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. В диалоге «Учётные записи пользователей» перейти по ссылке «Управление дру­гой учётной записью», а затем нажать на «Создание учётной записи».

  3. Здесь нужно будет ввести имя для учётной записи, выбрать тип учётной записи и нажать на кнопку «Создание учётной записи».

Имя пользователя не должно совпадать с любым другим именем пользователя или группы на данном компьютере. Оно может содержать до 20 символов верхнего или нижнего регистров, за исключением следующих: « / \ [ ] : ; | = , + * ? <> @, а также имя пользователя не может состоять только из точек и пробелов.

В этом диалоге, можно выбрать одну из двух типов учётных записей: «обычные учёт­ные записи пользователей», которые предназначены для повседневной работы или «учётные записи администратора», которые предоставляют полный контроль над компьютером и при­меняются только в необходимых случаях.

Практическое задание №2

Для того чтобы изменить имя учётной записи необходимо выполнить следующие действия:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Выбрать нужную учётную запись и перейти по ссылке «Изменение имени своей учётной записи».

  3. В поле «Новое имя учётной записи» ввести новое имя пользователя и нажать на кнопку «Переименовать».

Практическое задание №3

Для того чтобы создать пароль для учётной записи пользователя необходимо:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Выбрать учётную запись, для которой нужно создать пароль и перейти по ссылке «Создание пароля своей учётной записи». Эта ссылка будет отображаться только в том слу­чае, если у пользователя этой текущей записи нет пароля.

  3. В диалоге «Создание пароля своей учётной записи» ввести пароль для данной учётной записи, а затем повторить его в поле «Подтверждение пароля» и ввести подсказку в поле «Введите подсказку для пароля». Подсказка - это текст, который операционная система отображает на экране приветствия. В связи с тем, что подсказку может увидеть любой поль­зователь, который попытается войти в систему, она должна быть менее очевидной, но при этом понятной для того, кто её создал в том случае, если он забудет пароль. После ввода па­роля, подтверждения пароля и подсказки для создания пароля учётной записи необходимо нажать на кнопку «Создать».

Практическое задание №4

В том случае, если у пользователя есть пароль и этот пароль для работы за компьюте­ром ему не нужен, необходимо выполнить следующие действия:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Выбрать свою учётную запись и нажать на ссылку «Удаление своего пароля».

  3. В диалоге «Удаление своего пароля» в поле «Текущий пароль» ввести пароль те­кущей учётной записи и нажать на кнопку «Удалить пароль».

Практическое задание №5

Если возникает необходимость в удалении учётной записи пользователя, то можно выполнить следующие действия:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Выбрать учётную запись, которую нужно удалить.

  3. В диалоге «Внесение изменений в учётную запись Имя_Пользователя» нажать на ссылку «Удаление учётной записи».

  4. В появившемся диалоговом окне нажать на кнопку «Удалить файлы» или на кнопку «Сохранение файлов», если необходимо сохранить информацию удаляемого пользо­вателя.

Практическое задание №6

Запустить консоль можно несколькими способами:

  1. Нажать на кнопку «Пуск» для открытия меню, в поле поиска ввести «Локальная политика безопасности» и открыть приложение в найденных результатах.

  2. Воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» ввести secpol.msc и нажать на кнопку «ОК».

  3. Открыть «Консоль управления MMC». Для этого нажать на кнопку «Пуск», в по­ле поиска ввести «mmc», а затем нажать на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выбрать команду «Добавить или удалить оснастку» или воспользоваться комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выбрать оснаст­ку «Редактор локальной групповой политики» и нажать на кнопку «Добавить». В появив­шемся диалоге «Выбор объекта групповой политики» нажать на кнопку «Обзор» для выбора компьютера или нажать на кнопку «Г отово» (по умолчанию установлен объект «Локальный компьютер»). В диалоге «Добавление или удаление оснасток» нажать на кнопку «ОК». В оснастке «Редактор локальной групповой политики» перейти в узел «Конфигурация компь­ютера», а затем открыть узел «Параметры безопасности».




Рисунок 3 - Консоль «локальная политика безопасности»

Консоль включает несколько интегрированных контейнеров:

  • «Политики учётных записей»;

  • «Локальные политики»;

  • «Брандмауэр Windows в режиме повышенной безопасности»;

  • «Политики диспетчера списка сетей»;

  • «Политики открытого ключа»;

  • «Политики ограниченного использования программ»;

  • «Политики управления приложениями»;

  • «Политики безопасности IP на «Локальный компьютер»;

  • «Конфигурация расширенной политики аудита».

Каждый контейнер включает свои интегрированные компоненты.

Практическое задание №7

  1. Создайте учетные записи для двух разных пользователей.

  • Для одного пользователя проверьте действенность флажка - требования смены пароля пользователя при следующей регистрации в системе, для другого - за­прет на изменение пароля пользователем.

  • К чему приведет отключение учетной записи пользователя? Как определить, какие записи уже отключены?

  1. Создайте локальную группу.

Поместите в локальную группу созданных вами пользователей и административ­ного пользователя. Проделайте это двумя способами: через окно свойств группы и окно свойств пользователя.

Вопросы для самоконтроля

1. Перечислите и опишите 15 встроенных групп операционной системы Windows 7. Для чего права назначаются эти права?

2. Какие простейшие действия можно выполнять с учётными записями при помощи диалогового окна «Учётные записи пользователей»?

3. Что такое Локальные политики. Где они применяются?

4. При помощи какого узла возможно изменение настроек паролей учётных записей пользователей?

5. Какой максимальные срок действия пароля? Минимальные срок действия пароля?

6. Какая минимальная длина пароля?

7. Какими должен отвечать требованиям сложности Пароль?

8. Что такое Политика Kerberos? Опишите ее.

9. Опишите все Политики аудита.

10. Опишите все Политики назначения прав пользователей.

Содержание отчета

  1. Скрины выполненных практических заданий.

  2. Ответы на вопросы самоконтроля.
1   2   3   4

написать администратору сайта