Операционные системы и среды. Практикум для студентов специальностей и направлений 10. 03. 01 Информационная безопасность

20
 установите минимальную длину пароля – 10 символов;
 для параметра «Вести журнал паролей» установите значение 3 хранимых пароля, означающее, что новый пароль должен отличаться от
3 последних паролей пользователя;
 включите параметр «Пароль должен отвечать требованиям сложности».
Рис. 28. Политика паролей
Параметр «Пароль должен отвечать требованиям сложности» оп- ределяет требования сложности для паролей. Если эта политика вклю- чена, то пароли должны удовлетворять следующим минимальным тре- бованиям:
 пароль не может содержать имя учётной записи пользователя или какую-либо его часть;
 пароль должен состоять не менее чем из шести символов;
 в пароле должны присутствовать символы трёх категорий из числа следующих четырёх: а) прописные буквы английского алфавита от A до Z; б) строчные буквы английского алфавита от a до z; в) десятичные цифры (от 0 до 9); г) неалфавитные символы (например !, $, #, %).
Проверка соблюдения этих требований выполняется при измене- нии или создании паролей. При помощи этого параметра можно изба- виться от легко подбираемых паролей типа «111», «qwerty», «12345» и т.д.
Убедитесь, что для пользователя не включена опция «Срок дейст- вия пароля неограничен» в оснастке «Локальные пользователи и груп- пы». Переведите системное время более чем на 30 дней вперёд. Попы- тайтесь войти под созданной учётной записью. Пользователю будет вы- дано сообщение об истечении срока действия пароля (рис. 29). При сме-

21 не пароля попытайтесь заменить пароль на более простой (например, abc12345 или включающий имя учётной записи).
Рис. 29. Сообщение об истечении срока действия пароля
В этом случае пользователю будет выдано сообщение об ошибке при смене пароля (рис. 30). Введите пароль, удовлетворяющий требованиям.
Рис. 30. Сообщение о несоответствии пароля требованиям
Войдите в систему под учётной записью «Администратор». Пере- ведите системное время в исходное состояние. Выберите раздел «Поли- тика блокировки учётной записи» («Параметры безопасности – Полити- ки учётных записей – Политика блокировки учётной записи»). Настрой- ки, входящие в раздел «Политика блокировки учётной записи», пред- ставлены на рисунке 31.
Рис. 31. Политика блокировки учетной записи

22
Настройте параметры следующим образом:
 установить пороговое значение блокировки, равное 3 ошибкам входа в систему (после 3 неудачных попыток входа учётная запись бло- кируется);
 установить длительность блокировки в параметре «Блокировка учётной записи на», равную 30 мин (значение 0 означает, что блокиров- ку может снять только администратор);
 установите сброс счётчика блокировки через 15 мин. Если в те- чение установленного времени будет 3 неудачных попытки входа, то учётная запись блокируется. Если неудачных попыток в течение уста- новленного времени будет меньше, то опять допускается 3 неудачных попытки (значение этого параметра не должно превышать длительность блокировки учётной записи).
Завершите сеанс учётной записи «Администратор». При входе в систему под созданной учётной записью три раза введите неправильный пароль. При следующей попытке входа в систему будет выдано сообще- ние о блокировании созданной учётной записи (рис. 32).
Рис. 32. Сообщение о блокировке учетной записи
Войдите в систему под учётной записью «Администратор». Раз- блокируйте созданную учётную запись. Для этого в окне «Свойства» этой учётной записи отключите настройку «Заблокировать учётную за- пись».
Вызовите командную строку. Net accounts используется для об- новления базы данных регистрационных записей и изменения парамет- ров входа в сеть (LOGON) и требований к паролям для всех регистраци- онных записей. При использовании этой команды без указания парамет- ров выводятся текущие значения параметров, определяющих требования к паролям и другие параметры. Выведите текущие параметры входа в систему (рис. 33).
Задайте следующие требования к паролю:
 минимальную длину – 6 символов;

23
 максимальный срок действия пароля – 40 дней;
 запрет использования 3 последних паролей пользователя.
Рис. 33. Просмотр информации о требованиях к качеству паролей
Применение этих требований (рис. 34) производится при помощи следующих параметров команды Net accounts:
/MINPWLEN:длина
/MAXPWAGE:дни
/UNIQUEPW:число
Рис. 34. Изменение требований к качеству паролей
3.3. Групповые политики
Откройте оснастку «Групповая политика» («Пуск – Выполнить
– gpedit.msc»). Оснастка «Групповая политика» состоит из двух основ- ных частей: конфигурация компьютера и конфигурация пользователя
(рис. 35).
«Конфигурация компьютера» используется для задания политики, применяемой к компьютерам, вне зависимости от того, какой пользова- тель работает на них. «Конфигурация пользователя» используется для задания политики, применяемой к пользователям независимо от того, какой компьютер используется для входа в систему.
Созданная групповая политика может быть экспортирована на другой локальный компьютер. Для того чтобы произвести экспорт дан- ных необходимо в оснастке «Групповая политика» выделить нужный узел и во вкладке «Действие» выбрать пункт «Экспортировать список».
В появившемся окне выбрать путь сохранения и указать имя файла.
«Конфигурация компьютера» по умолчанию состоит из следую- щих разделов: конфигурация программ, конфигурация Windows и адми- нистративные шаблоны (рис. 36).

24
Рис. 35. Редактор групповых политик
Рис. 36. Раздел «Административные шаблоны»
Средствами виртуальной машины подключите компакт-диск. В разделе «Административные шаблоны» выберите подраздел «Компо- ненты Windows» – «Политики автозапуска». Включите параметр «Вы- ключение автозапуска» (рис. 37). Чтобы проверить выполнение данного параметра, необходимо повторно вставить диск в CD-привод. Система не будет производить его автозапуск, как это делалось раньше.
В разделе «Система» откройте подраздел «Вход в систему» и вы- берите параметр «Выполнять эти программы при входе в систему».
Включите этот параметр и добавьте несколько программ, которые будут запускаться при входе пользователя в систему (рис. 38).

25
Рис. 37. Выключение автозапуска носителя
Рис. 38. Включение параметра
Добавленные программы (рис. 39) будут запускаться при каждом входе пользователя в систему. Для проверки повторно войдите в систему.

26
Р
ис. 39. Список запускаемых программ
«Конфигурация пользователя» по умолчанию состоит из тех же разделов, что и «Конфигурация компьютера». При помощи параметров групповой политики существует возможность ограничения доступа пользователя к логическим дискам. Можно скрыть выбранный диск из
«Проводника», а также запретить доступ к нему.
Выберите параметр «Запретить доступ к дискам через «Мой ком- пьютер», расположенный в подразделе «Компоненты Windows – Про- водник» и запретите доступ к логическому диску C:\ (рис. 40).
Рис. 40. Включение ограничения доступа к диску D
Попытайтесь открыть диск D:\ через «Мой компьютер» (рис. 41) и командную строку (рис. 42). В первом случае система откажет в дос-

27 тупе, а во втором – доступ будет предоставлен (т.к. доступ запрещён только через «Проводник»).
Рис. 41. Попытка доступа через проводник
Рис. 42. Попытка доступа через командную строку
Ограничение доступа к средствам администрирования возмож- но за счёт запрета доступа к «Панели управления». Включите параметр
«Запретить доступ к панели управления», находящийся в подразделе
«Панель управления» (рис. 43). Попытайтесь открыть «Панель управле- ния».
Рис. 43. Ошибка при открытии панели управления
Для полного запрета использования командной строки включите параметр «Запретить использование командной строки» в подразделе
«Система». Попытайтесь запустить cmd.exe (рис. 44).

28
Рис. 44. Попытка запуска командной строки
Кроме того, в подразделе «Система» можно запретить использо- вание редактора реестра. Для этого нужно включить параметр «Сделать недоступными средства редактирования реестра». Включите данный параметр и попытайтесь запустить редактор реестра
C:\Windows\regedit.exe.
Рис. 45. Попытка запуска реестра
Добавление и удаление шаблонов может производиться через контекстное меню раздела «Административные шаблоны» (рис. 46). В появившемся контекстном меню выберите «Добавление и удаление шаблонов». В появившемся окне можно удалить любой шаблон, а также добавить новый шаблон политики.
Рис. 46. Контекстное меню административных шаблонов

29
4. Задание на лабораторную работу
1. Ознакомьтесь с теорией.
2. Выполните представленные задания и составьте по проделан- ной работе отчет.
3. В оснастке «Локальные пользователи и группы» создайте но- вую группу пользователей. В качестве имени группы пользователей ис- пользуйте номер Вашей учебной группы.
4. Создайте учётную запись с именем Вашей учётной записи в кафедральной сети и включите её в созданную группу.
5. Примените к созданной учётной записи настройки, указанные в Вашем варианте (табл. 1).
6. Создайте новую консоль. Добавьте в корень консоли оснастки
«Редактор объекта групповой политики» и «Результирующая политика».
Сохраните консоль в режиме, указанном в Вашем варианте (табл. 2.).
Т а б л и ц а 1
Варианты заданий работы с пользователями
Вариант
Параметр
1 2 3 4 5 6 7 8 9 10
Максимальный срок действия пароля 30 90 60 30 90 60 30 90 60 30
Минимальная длина пароля
6 7 8 9 10 6 7 8 9 10
Требовать неповторяемости паролей
6 5 4 3 2 6 5 4 3 2
Отвечать требованиям сложности
+ – – + – – + – + +
Пороговое значение блокировки
3 4 5 6 7 3 4 5 6 7
Блокировка учётной записи на… 10 20 30 45 60 10 20 30 45 60
Сброс счётчика блокировки через… 5 10 15 20 30 10 20 30 45 60
Завершение работы системы
+ +
+
+
+
Локальный вход в систему +
+ + + + + + + + +
Изменение системного времени
+
+
+
+
+
Т а б л и ц а 2
Варианты работы с групповыми политиками
Вар
Режим работы с консолью
Параметры групповой политики
1 2
3
1 Авторский
Запретить редактирование реестра. Ограничить размер профиля пользователя значением 5 МБ
2 Пользовательский –
полный доступ
Запретить использование командной строки.
Запретить изменение рисунка рабочего стола
3 Пользовательский –
многооконный
Запретить использование сочетаний клавиш, включаю- щих кнопку «Windows». Удалить имя пользователя из меню «Пуск»

30
П р о д о л ж е н и е т а б л . 2
1 2
3
4 Пользовательский –
однооконный
Запретить использование диспетчера задач.
Установить обязательный запрос пароля при выходе из спящего режима
5 Авторский
Запретить доступ к «Панели управления». Запретить за- пуск «Блокнота»
6 Пользовательский –
полный доступ
Установить обязательный запрос пароля при выходе из экранной заставки. Удалить «Завершение сеанса» из ме- ню «Пуск»
7 Пользовательский –
многооконный
Скройте диск D: (CD-привод) из окна «Мой компьютер».
Удалить значок «Мои документы» с «Рабочего стола»
8 Пользовательский –
однооконный
Удалите «Общие документы» из окна «Мой компьютер».
Скрыть общие группы программ из меню «Пуск»
9 Авторский
Запретите доступ к диску C: из окна «Мой компьютер».
Удалить «Сетевые подключения» из меню «Пуск»
10 Пользовательский –
полный доступ
Запретить вызов «Свойств» объекта «Мой компьютер».
Установить очистку списка последних использовавшихся документов при выходе из системы
7. Установите параметры групповой политики, указанные в Ва- шем варианте (табл. 2), и продемонстрируйте преподавателю результат применения параметров (например, невозможность запуска редактора реестра).
8. Продемонстрируйте преподавателю изменённые параметры при помощи «Результирующей политики» для пользователя «user».
5. Контрольные вопросы
1. Поясните параметр «Пароль должен отвечать требованиям сложности» и перечислите минимальные требования, которым должны удовлетворять пароли, если параметр включен.
2. Какие параметры входят в политику блокировки учётной записи?
3. Возможно ли, что учётная запись не будет блокирована при ко- личестве ошибок большем, чем установленное пороговое значение?
4. Что такое и для чего применяется MMC?
5. Что такое оснастка?
6. В чём состоит отличие конфигурации компьютера от конфи- гурации пользователя в групповой политике?
7. Каким образом можно включить автозапуск программ через групповую политику?
8. При помощи какой команды можно получить список пользо- вателей операционной системы?
9. При помощи какой команды можно получить список групп пользователей операционной системы?
10. При помощи какой команды можно создать нового поль- зователя?

31
ЛАБОРАТОРНАЯ РАБОТА №2
Управление системными службами и процессами Windows
1. Цель работы
Целью работы является освоение способов управления службами в ОС Windows 10, изучение специфики работы планировщика задач, а также ознакомление со структурой и особенностями работы процессов и потоков в операционных системах.
2. Краткие теоретические сведения
Служба Windows – программа или процесс, который выполняется в фоновом режиме, т.е. без прямого общения с пользователем, и обеспе- чивает поддержку других программ. Службы могут запускаться при за- грузке операционной системы и находиться в оперативной памяти вплоть до завершения работы. Каждая служба имеет определённые ха- рактеристики: тип запуска, условия восстановления и другие, которые будут рассмотрены ниже.
Параметры настройки служб хранятся в реестре Windows.
Процесс services.exe, запущенный от имени пользователя
SYSTEM, отвечает за запуск, остановку и управление службами.
Services.exe автоматически запускает службы во время загрузки ОС и останавливает все службы при завершении работы Windows. Другое название этого процесса – диспетчер управления службами (Service control manager, SCM).
Отдельные службы запускаются в процессе svchost.exe, который является дочерним для services.exe. На компьютере может быть запуще- но несколько экземпляров процесса svchost.exe, при этом каждый из них содержит различные службы. Один экземпляр процесса svchost.exe мо- жет содержать одну службу для программы, а другой – несколько служб, относящихся к работе Windows.
Не только система, но и сам пользователь может управлять служ- бами. В Windows предусмотрено управление службами через графиче- ский интерфейс и через командную строку, а также при помощи изме- нения ключей реестра.
3. Ход работы
3.1. Управление службами
Запустите диспетчер задач, нажав Ctrl+Alt+Del. Перейдите на вкладку «Службы» (рис. 1), чтобы увидеть все службы, установленные в операционной системе.

32
Рис. 1. Просмотр установленных служб в диспетчере задач
Для каждой службы в диспетчере задач показывается её имя, идентификатор процесса, в рамках которого она запущена (если такой имеется), краткое описание, текущее состояние и группа.
Диспетчер задач позволяет запускать и останавливать службы, если это возможно. Щёлкните правой кнопкой на службе из списка, что- бы увидеть возможные действия (рис. 2).
Запустите и остановите службу Parental Controls (WPCSvc). При- ложения, выполняющие функции, аналогичные диспетчеру задач, также зачастую позволяют просматривать, запускать и останавливать службы.
Например, эти возможности доступны в Process Explorer.
Оснастка !Службы! – другое средство управления службами, имеющее графический интерфейс, но обладающее большими возможно- стями, чем диспетчер задач. Оснастка «Службы» представляет собой оснастку консоли MMC.

33
Оснастку «Службы» можно запустить из диспетчера задач (начи- ная с Windows 7). Для этого нужно нажать кнопку «Открыть службы» на вкладке «Службы» (рис. 3).
Чтобы запустить оснастку «Службы» из командной строки, нуж- но выполнить services.msc. Окно оснастки представлено на рис. 4.
Рис. 2. Действия со службами в диспетчере задач
Рис. 3. Вызов оснастки из диспетчера задач
Рис. 4. Оснастка «Службы»
Если два раза щёлкнуть левой кнопкой мыши по любой из дос- тупных служб, откроется окно свойств этой службы (рис. 5).

34
Рис. 5. Окно свойств службы
Служба может находиться в одном из следующих состояний: ра- ботает, приостановлена и остановлена. Соответственно, для службы доступно 4 команды: запустить, остановить, приостановить, продол- жить. Эти команды для выбранной службы отображаются в оснастке слева от списка доступных служб (при выборе «расширенного» вида внизу окна), либо в окне свойств выбранной службы на вкладке «Об- щие». Команды также отображаются, если щёлкнуть правой кнопкой на службе в списке.
Не все службы могут быть приостановлены – некоторые могут быть только запущены и остановлены. Некоторые службы нельзя ни приостановить, ни остановить.
Остановите службу «Windows Audio» и попробуйте запустить звуковой файл. Затем запустите службу и убедитесь, что файл проигры- вается.
Служба может зависеть от других служб и при этом могут быть службы, зависящие от неё. Если служба, от которой зависит данная

35 служба, не запущена, то данная служба может работать некорректно или вообще не запуститься.
Одна служба может иметь несколько зависимых служб. Также сама служба может быть зависима от нескольких служб. Службы могут зависеть не только от других служб, но и от некоторых драйверов. Зави- симые службы можно просмотреть на вкладке «Зависимости» окна свойств службы (рис. 6).
Рис. 6. Просмотр зависимостей службы
Остановите службу «Система событий COM+», которая имеет за- висимую службу «Служба уведомления о системных событиях». Систе- ма выведет предупреждение о том, что зависимые службы будут также остановлены (рис. 7).

36
Рис. 7. Попытка остановить службу с зависимостями
Каждая служба может иметь один из следующих типов запуска:
 автоматически: служба запускается при загрузке Windows;
 вручную: служба запускается пользователем в оснастке «Служ- бы» или любым другим способом;
 отключена: служба не может быть запущена, пока тип запуска не будет сменён на другой.
Кроме того, имеются также два дополнительных типа запуска: первый – запуск на этапе загрузке ядра Windows (низкоуровневые драй- веры), второй – запуск сразу после инициализации ядра. Для таких служб сменить тип запуска в оснастке нельзя (например, служба «Уда- лённый вызов процедур»).