Главная страница
Навигация по странице:

  • .Политика паролей. Политики учетных записей. Назначение прав пользователя. Настройка локальной политики безопасности Windows . Параметры безопасности. Политика Аудита

  • Как Windows различает пользователей

  • В каких случаях следует применять профили Как создать домашнюю папку пользователя на другом компьютере (например, сервере)

  • Что такое ACL и как происходит наследование разрешений NTFS

  • Практическая работа 2 Изучение средств идентификации аутентификации операционных систем Настройка локальной политики безопасности


    Скачать 1 Mb.
    НазваниеПрактическая работа 2 Изучение средств идентификации аутентификации операционных систем Настройка локальной политики безопасности
    Дата26.09.2022
    Размер1 Mb.
    Формат файлаdocx
    Имя файла12312321.docx
    ТипПрактическая работа
    #697335

    Практическая работа №2

    Изучение средств идентификации аутентификации операционных систем Настройка локальной политики безопасности

    Windows.Политика паролей. Политики учетных записей. Назначение прав пользователя. Настройка локальной политики безопасности Windows. Параметры безопасности. Политика Аудита
    Цель: Получить навыки администрирования в операционной системе Windows.

    Задачи:

    Научиться управлять доступом к локальным и сетевым ресурсам;

    Получить навыки управления учетными записями пользователей;

    Изучить возможности администрирования политики паролей;

    Изучить возможности системы аудита Windows и получить практические навыки работы с ней.
    Управление учетными записями пользователей и групп

    Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows , поскольку, назначая им права доступа, админи­стратор получает возможность ограничить пользователей в доступе к кон­фиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию дан­ных или завершение работы компьютера. Обычно право доступа ассоцииру­ется с объектом — файлом или папкой. Оно определяет возможность дан­ного пользователя получить доступ к объекту.

    Оснастка Локальные пользователи и группы (Local Users and Groups)

    Оснастка Локальные пользователи и группы — это инструмент с по­мощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьюте­рах. С ним можно работать на рабочих станциях и автономных серверах Windows , как на изолированных, так и рядовых членах домена (member server). На контроллерах домена Windows инструмент Локальные поль­зователи и группы недоступен, поскольку все управление учетными запи­сями и группами в домене выполняется с помощью оснастки Active Di­rectory — пользователи и компьютеры (Active Directory Users and Computers). Запускать оснастку Локальные пользователи и группы может любой пользо­ватель. Выполнять администрирование учетных записей могут только адми­нистраторы и члены группы Опытные пользователи (Power Users).

    Папка Пользователи (Users)

    Сразу после установки системы Windows (рабочей станции или серве­ра, являющегося членом домена) папка Пользователи содержит две встроен­ные учетные записи — Администратор (Administrator) и Гость (Guest). Они создаются автоматически при установке Windows . Ниже даны описания свойств обеих встроенных учетных записей:

    - Администратор — эту учетную запись используют при установке и на­стройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Админи­страторы (Administrators), ее можно только переименовать.

    - Гость — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная за­пись Гость не требует ввода пароля и по умолчанию блокирована. (Обычно пользователь, учетная запись которого блокирована, но не уда­лена, при регистрации получает предупреждение и входить в систему не может.) Она является членом группы Гости (Guests). Ей можно предоста­вить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
    Папка Группы (Groups)

    После установки системы Windows (рабочей станции или сервера, яв­ляющегося членом домена) папка Группы (Groups) содержит шесть встроенных групп. Они создаются автоматически при установке Windows . Ниже описаны свойства всех встроенных групп:

    Администраторы (Administrators) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автома­тически предоставляющая своим членам весь набор встроенных прав.

    Операторы архива (Backup Operators) — члены этой группы могут архи­вировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут вхо­дить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности.

    Гости (Guests) — эта группа позволяет выполнить регистрацию пользова­теля с помощью учетной записи Гость и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы.

    Опытные пользователи (Power Users) — члены этой группы могут созда­вать учетные записи пользователей, но они имеют право модифициро­вать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Пользователи, Гости и Опытные пользователи. Члены группы Опытные пользователи не могут модифицировать членство в группах Ад­министраторы и Операторы архива. Они не могут быть владельцами фай­лов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий.

    Репликатор (Replicator) — членом группы Репликатор должна быть толь­ко учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи.

    Пользователи (Users) — члены этой группы могут выполнять большинст­во пользовательских функций, например, запускать приложения, пользо­ваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер.
    Управление средой пользователя

    Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений.

    Для управления средой пользователя предназначены следующие средства Windows :

    Сценарий входа в сеть (сценарий регистрации) представляет собой команд­ный файл, имеющий расширение bat, или исполняемый файл с расши­рением ехе, который выполняется при каждой регистрации пользователя в сети. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанав­ливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.

    Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды компьютера, на котором работает Windows , опреде­ленные самим пользователем. Это могут быть, например, настройки эк­рана и соединения с сетью. Все настройки, выполняемые самим пользо­вателем, автоматически сохраняются в файле, путь к которому выглядит следующим образом: Имя_устройства\корневой_каталог\Profiles. Как правило, корневым является каталог \winnt.

    Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценари­ев независим от языка и предназначен для работы на 32-разрядных плат­формах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows пред­назначен для выполнения сценариев прямо на рабочем столе Windows или на консоли команд. При этом сценарии не надо встраивать в доку­мент HTML.

    Профили пользователей

    На изолированном компьютере с Windows локальные профили пользо­вателей создаются автоматически. Информация локальных профилей необ­ходима для поддержки настроек рабочего стола локального компьютера, ха­рактерных для конкретного пользователя. Профиль создается для каждого пользователя в процессе его первой регистрации в компьютере.

    Профиль пользователя обладает следующими преимуществами:

    При регистрации пользователя в системе рабочий стол получает те же настройки, какие существовали в момент предыдущего выхода пользова­теля из системы.

    Несколько пользователей могут работать на одном и том же компьютере в индивидуальных средах.

    Профили пользователей могут быть сохранены на сервере. В этом случае пользователь получает возможность работать со своим профилем при регистрации на любом компьютере сети. Такие профили называются пе­ремещаемыми (roaming profile).

    Внимание!

    Не все настройки локального профиля пользователя входят (копируются) в его перемещаемый профиль!

    Пользовательские профили можно применять следующим образом:

    Создать несколько типов профилей и назначить их определенным группам пользователей. Это позволит получить несколько типов рабочих сред, соответствующих различным задачам, решаемым пользователями.

    Назначать общие групповые настройки всем пользователям.

    Назначать обязательные профили, какие-либо настройки которых поль­зователи изменять не могут.

    Профиль пользователя хранит следующие настройки конфигурации:

    Все настройки, определяемые самим пользователем, касающиеся программы Проводник;

    Все персональные группы программ и их свойства, все программные объекты и их свойства;

    Сетевые соединения принтера;

    Все настройки, определенные пользователем и касающиеся панели управления;

    Индивидуальный файл конфигурации и текущее состояние консоли управления.

    Разрешения и права

    Разрешения определяют правомочность выполнения конкретными пользователями различных действий с ресурсами: папками, файлами и принтерами.

    Права регулируют возможности пользователей на выполнение системных операций, как-то: создание учетных записей, регистрацию на локальном компьютере или выключение сервера.
    Разрешения для файлов и папок

    Устанавливая пользователям определенные разрешения для файлов и ката­логов (папок), администраторы системы могут защищать конфиденциаль­ную информацию от несанкционированного доступа. Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создает. Администратор может назначить себя вла­дельцем любого объекта файловой системы (файла или папки). Следует, од­нако, помнить, что обратная передача владения от администратора к поль­зователю невозможна. Администратор должен зарегистрироваться в системе под именем того пользователя, которому он хочет передать владение файлом или папкой, а затем стать владельцем нужного объекта.

    Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения (аддитивности). Это значит, что действующие раз­решения, то есть те разрешения, которые пользователь реально имеет в от­ношении конкретного каталога или файла, образуются из всех прямых и кос­венных разрешений, назначенных пользователю для данного объекта с по­мощью логической функции ИЛИ. Например, если пользователь имеет прямо назначенное разрешение для каталога на чтение, а косвенно через членство в группе ему дано разрешение на запись, то в результате пользова­тель сможет читать информацию в файлах каталога и записывать в них данные. Следует все же заметить, что правило сложения разрешений с помощью логического ИЛИ не выполняется, когда пользователь имеет определенное разрешение, а группе, в которую он входит, отказано в этом разрешении (или наоборот). В этом случае отказ в разрешении имеет более высокий приоритет над предоставлением разрешения, т. е. в результате пользователь не будет иметь данного разрешения. Теперь для отказа пользователю в разрешении на доступ к какому-либо файлу или папке сле­дует включить пользователя в группу, которой отказано в разрешении Пол­ный доступ (Full Control) для данного объекта файловой системы.
    1.2 Аудит локальной системы

    Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.

    После включения аудита операционная система Windows начинает от­слеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий (Event Viewer). Записывает события в три журнала:

    • Системный журнал (system log) содержит информацию о событиях относящихся к компонентам Windows NT. Например сообщение о сбое драйвера или службы при загрузке

    • В журнал безопасности (security log) заносятся сведения о входе в систему, доступе к объектам и другая информация, связанная с безопасностью. При просмотре событий аудита вы будите просматривать именно этот журнал.

    • Журнал приложений (application log) содержит события, записываемые приложениями.

    В процессе настройки аудита необходимо указать, какие со­бытия должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного дей­ствия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить - кто предпринял попытку вы­полнения неразрешенного ему действия.

    Аудит представляет собой многошаговый процесс. Сначала его следует акти­визировать с помощью оснастки Локальная политика (Local Policy). (По умолчанию аудит отключен, поскольку он снижает производительность сис­темы.) После включения аудита необходимо определить набор отслеживае­мых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту и включить его с помощью Редактора списков управления доступом ACL.

    Примечание

    Для того чтобы иметь возможность настраивать аудит для файлов и папок, не­обходимо иметь права администратора.

    Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно из­бежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит (Auditing) снять флажок Переносить наследуемый от родитель­ского объекта аудит на этот объект (Allow inheritable auditing entries from parent to propagate to this object). Если же этот флажок отображен серым цве­том или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объ­ектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.
    Задание к лабораторной работе

    1. Создайте новую учетную запись пользователя.

    1.1. В Панели управления выберите значок Администрирование и запустите оснастку Управление компьютером.

    1.2. Откройте значок Служебные программы и выберите Локальные пользователи и группы.

    1.3. Щелкните по Пользователи правой кнопкой мыши, и выберите меню Новый пользователь.

    1.4. Задайте имя пользователя (фамилия студента) и его пароль входа в систему (пароль необходимо запомнить).

    1.5. Нажмите кнопку Создать.

    2. Настройте окружение пользователя.

    2.1. Щелкните по имени пользователя правой кнопкой мыши и выберите Свойства.



    2.2. На закладке Членство в группах указать к каким группам пользователей принадлежит текущий пользователь, и, соответственно, какими правами этих групп он пользуется. Определите отсутствие принадлежности вашего пользователя к какой-либо группе.

    2.3. Задайте домашний каталог пользователя. На закладке Профиль укажите путь к папке, где будут храниться индивидуальные файлы пользователя. Укажите локальный путь к папке.



    Примечание: Если путь к домашней папке не указан явно, то по умолчанию она размещается в каталоге Documents and Settings\{Имя пользователя}\Мои документы локального компьютера.

    3. Создайте вашу группу(по номеру учебной группы) пользователей (Действия для ее создания аналогичны созданию новой учетной записи пользователя).

    4. Назначение прав пользователям и группам. Создание пользователя не имеющего право локально регистрироваться на компьютере, но имеющего право получать доступ к его ресурсам из сети.

    4.1. В оснастке Администрирование выберите Локальная политика безопасности.

    4.1.1 Политики учетных записей – Политика паролей, изучить с применением Объяснение параметра возможности администрирования. 11

    Занести в отчет параметры политики паролей:

    Возможные Сроки действия пароля

    Возможная Длина пароля

    Возможные Требования сложности, неповторяемости и надежности хранения паролей.

    4.1.2 Политика блокировки учетной записи, изучить с применением Объяснение параметра возможности администрирования.

    Занести в отчет параметры политики блокировки компьютера.



    4.1.3 Локальные политики – Назначение прав пользователя.

    Изучить с применением Объяснение параметра возможности администрирования.

    Найдите в колонке Политика право Локальный вход в систему и щелкнув в колонке Локальный параметр правой кнопкой мыши, выберите меню Безопасность. Посмотрите, кто из пользователей или групп пользователей имеет право на локальный вход. Чтобы ваш пользователь не имел права войти в систему локально, он не должен принадлежать к какой-либо группе в этом списке или быть явно указанным в нем. Кроме того он не должен принадлежать к группе Все. Настройте обладание этим правом таким образом, чтобы ваш пользователь мог локально зарегистрироваться на этом компьютере.

    4.2. В списке прав найдите право Доступ к компьютеру из сети. Настройте это право таким образом, чтобы ваш пользователь обладал им.



    4.3. Протестируйте локальный вход вашего пользователя на компьютер. Для этого завершите сеанс Администратора и попробуйте зарегистрироваться под именем вашего пользователя. Что при этом произойдет?
    5. Дайте вашему пользователю право локального входа в систему.



    6. Создайте на диске С папку Test.

    7. Настройте разрешения для этой папки.

    7.1. Щелкните на ней правой кнопкой мыши и откройте ее Свойства.

    7.2. Откройте закладку Безопасность и определите кто и какие разрешения имеет на доступ к папке.

    7.3. Создайте еще три пользователя. В безопасности папки TEST первому пользователю дайте разрешение только на чтение этой папки, второму – на чтение и изменение, третьему – на полный контроль, четвертому – нет доступа.



    8. Сделайте папку TEST общим (сетевым) ресурсом.

    8.1. Откройте свойства папки TEST и выберите закладку Доступ.

    8.2. Откройте общий доступ к этой папке и щелкнув по кнопке Разрешения определите возможности доступа к папке различных пользователей.

    9. Создайте файл в папке TEST. Затем зарегистрируйтесь на компьютере под именем другого пользователя и сделайте так, чтобы он стал владельцем только, что созданного файла.

    10. Установите и настройте аудит.

    10.1. Откройте оснастку Локальные политики – Политика аудита.

    10.2. Выберите пункт Аудит доступа к объектам и дважды щелкните на нем.

    10.3. В появившемся диалоге выберите Отказ и нажмите Ок. Тем самым вы включили аудит отказов при доступе в файлам, папкам, принтерам и т.д. Другими словами теперь в системе будут отслеживаться подобные события, и заноситься в журнал безопасности.

    10.4. Откройте свойства папки TEST, закладку безопасность и нажмите кнопку Дополнительно.

    10.5. В появившемся диалоге выберите закладку Аудит.

    10.6. В список внесите имена тех пользователей, по отношению к которым будут отслеживаться события аудита. Добавьте в этот список пользователя, который не имеет разрешения на удаления файла из папки TEST.

    10.7. Зарегистрируйтесь в системе от имени этого пользователя, и попробуйте удалить файл из папки TEST.

    10.8. Войдите в систему от имени администратора и просмотрите журнал безопасности. Для этого откройте оснастку Управление компьютером и выберите пункт Просмотр событий. События аудита регистрируются в журнале безопасности.

    10.9. Найдите в журнале событие об отказе удаления файла из папки TEST. Просмотрите сведения, щелкнув по нему дважды левой кнопкой мыши.
    Контрольные вопросы


    Как Windows различает пользователей?

    Можно ли удалить учетные записи Администратор и Гость? Если переименовать учетную запись администратора, он сохранит за собой административные права? Если после удаления учетной записи создать ее снова, будет ли эта запись той же самой?


    В каких случаях следует применять профили?


    Как создать домашнюю папку пользователя на другом компьютере (например, сервере)?


    Как упростить создание большого количества пользователей?

    Сделайте так, чтобы при входе пользователей в сеть, подключались несколько общих (сетевых) каталогов.


    Что такое ACL и как происходит наследование разрешений NTFS?

    Каким образом можно дать полномочия вашему пользователю на настройку аудита и просмотр зафиксированных событий?


    написать администратору сайта