Тест операционные системы ответы. Практикум для студентов специальности 230101 Вычислительные машины, комплексы, системы и сети

10 4. Добавьте в корень дерева консоли MMC оснастку «Локальные поль-
зователи и группы» и одним из ранее изученных способов создайте новую учетную запись с правами группы «Пользователи». Имя пользователя, описа- ние и пароль выберите самостоятельно. В процессе создания учетной записи пользователя оставьте флажок «Потребовать смену пароля при следующем
входе в систему».
5. Не закрывая консоль, сохраните ее.
Последовательность выполненных действий позволяет создать консоль администрирования MMC, придать ей уникальный вид и удобный интерфейс для дальнейшего использования в рамках настоящей лабораторной работы.
Задание №7.1а. Изучение основных возможностей программного сред- ства «Локальная политика безопасности» в среде ОС Windows XP на кон- кретных примерах.
Прежде, чем интегрировать инструмент «Локальная политика безо-
пасности» на созданную заранее консоль администрирования ММС и осуще- ствить его детальное рассмотрение, необходимо отметить, что в ОС Windows
XP данный инструмент существует автономно в виде штатного программного средства и может быть использован на локальном компьютере вне рамок осна- стки «Редактор объекта групповой политики». В частности, для просмотра локальной политики безопасности им можно воспользоваться, вызвав его из командной строки алфавитно-цифрового терминала с применением командно- го интерпретатора Cmd.exe. Это можно сделать, набрав secpol.msc и нажав
Enter для подтверждения ввода или непосредственно из графической среды
ОС посредством команды Выполнить в меню Пуск. Кроме того, поскольку модуль «Локальная политика безопасности» является штатным средством администрирования, он находится в группе соответствующих программных средств, расположенных в меню «Пуск | Панель управления | Администри-
рование».
Несмотря на сказанное выше, дальнейшее изучение локальной политики безопасности будет осуществляться в предположении, что имеется системная необходимость создания собственной консоли MMC с включенным внутрь на- бором необходимых для администрирования инструментов, в том числе моду- ля «Локальная политика безопасности». Для ознакомления с возможностя- ми локальной политики безопасности в ОС Windows XP с использованием од- ноименной оснастки прежде всего необходимо выполнить следующие подго- товительные действия:
1. Откройте только что созданную консоль администрирования MMC, в которой к этому моменту должна быть уже добавлена оснастка «Локальные
пользователи и группы».

11 2. Воспользовавшись оснасткой «Редактор объекта групповой поли-
тики», добавьте политику «Локальный компьютер» в корень консоли, как было показано в предыдущих лабораторных работах.
3. С одной стороны, в окне дерева консоли ММС откройте ветвь «Кон-
фигурация компьютера | Конфигурация Windows | Параметры безопасно-
сти» в «Политике «Локальный компьютер». С другой стороны, в отдельном окне ОС откройте инструмент «Локальная политика безопасности» одним из выше описанных способов и, сравнив содержимое открытых окон, обратите внимание на то, что «Параметры безопасности» локальной политики абсо- лютно идентичны тем, которые отображаются в оснастке «Политика «Ло-
кальный компьютер».
Таким образом, у системного администратора появляется возможность в случае необходимости интегрировать базовый инструмент локальной безопас- ности во вновь создаваемую и конфигурируемую консоль ММС.
4. Сохраните и закройте консоль администрирования MMC.
Важно напомнить, что предварительному изучению и конфигурирова- нию некоторых политик, ориентированных на локальный аудит («Конфигу-
рация компьютера | Конфигурация Windows | Параметры безопасности |
Локальные политики | Политика аудита») была посвящена лабораторная работа №5. Данное обстоятельство позволяет в этот раз не уделять дополни- тельного внимания вопросам, связанным с политиками аудита. Поэтому с це- лью обучения и ознакомления с «Локальной политикой безопасности» ин- терес в дальнейшем будут представлять «Политики учетных записей», а также некоторые «Локальные политики» при «Назначении прав пользова-
теля» и общих «Параметров безопасности».
Секция A. Ознакомление с основными возможностями «Политики
учетных записей» в ОС Windows XP.
Политики учетных записей («Конфигурация компьютера | Конфигу-
рация Windows | Параметры безопасности | Политики учетных записей»)
применяются на локальных компьютерах сети и определяют взаимодействие учетных записей с данным компьютером или доменом. Существует три поли- тики учетных записей:

Политика паролей определяет параметры паролей, в частности, со- ответствие набору обязательных условий и сроку их действия.

Политика блокировки учетной записи определяет условия и период времени блокировки учетной записи.

Политика Kerberos определяет параметры протокола сетевой аутен- тификации Kerberos, такие как срок жизни сеансового билета и со- ответствие обязательным условиям. Данный протокол обеспечивает взаимно-секретную аутентификацию компьютеров в сети на основе

12 клиент-серверной модели. Политика Kerberos не входит в состав политики локального компьютера, она используется только для учетных записей пользователей домена.
Дополнительная информация по данной тематике доступна в справоч- ных разделах «Локальная политика безопасности» и «Параметры безопас-
ности» оснастки «Групповая политика», а также в разделе «Методы про-
верки подлинности» справки ОС Windows XP (Пуск | Справка и поддерж-
ка) или на сайте www.oszone.net.
Для ознакомления с базовыми возможностями «Политики учетных за-
писей» в ОС Windows XP выполните следующее:
1. Разверните окно созданной ранее консоли администрирования ММС, если оно находится в свернутом состоянии на панели задач, или загрузите кон- соль снова. В оснастке «Локальные пользователи и группы» наведите ма- нипулятором мышь на нового пользователя и задайте ему любой пароль, вы- брав команду «Задать пароль…» из контекстного меню.
2. Найдите подраздел «Политика паролей» в разделе «Политики учет-
ных записей» оснастки «Политика «Локальный компьютер».
3. Последовательно просмотрите все политики паролей с целью их даль- нейшего применения на практике. Для этого дважды щелкните на каждой из них и на вкладке «Объяснение параметра» изучите их сущность.
4. Включите политику «Пароль должен отвечать требованиям слож-
ности», изменив положение соответствующего переключателя на вкладке
«Параметр локальной безопасности».
5. Установите минимальную длину пароля в 10 символов, осуществив необходимые действия в соответствующей политике паролей.
6. Перейдите в подраздел «Политика блокировки учетной записи» и аналогично изучите сущность расположенных здесь политик безопасности.
7. Установите «Пороговое значение блокировки» на три ошибки входа в систему и осуществите блокировку учетной записи на 2 минуты в случае со- вершенных ошибок ввода.
8. Сохраните и закройте консоль администрирования MMC.
При выполнении заданий секции используйте следующие инструкции:

перенесите последовательность выполняемых действий по пунктам
5 и 7 в отчет (возможно приведение графических фрагментов, сде- ланных с экрана, в качестве демонстрационного материала),

перезагрузите компьютер, выберите созданную учетную запись и проверьте влияние новых значений системных параметров политик безопасности на процесс аутентификации,

сделайте вывод о проделанной работе и запишите его в отчет.

13
Контрольный вопрос:
Каким образом можно разблокировать компьютер в случае некорректно- го ввода пароля? Кто в состоянии это сделать?
Секция B. Ознакомление с основными возможностям «Локальных по-
литик» при «Назначении прав пользователя» в ОС Windows XP.
Локальные политики безопасности, применяемые при назначении прав пользователя («Конфигурация компьютера | Конфигурация Windows | Па-
раметры безопасности | Локальные политики | Назначение прав пользо-
вателя»), позволяют системному администратору определить какие пользова- тели и группы будут обладать правами на вход в ОС и какие будут при этом авторизованы на выполнение соответствующих задач. Особенностью данных локальных политик является то, что они могут быть применены к любому пользователю или группе в системе простым их (пользователей) добавлением в число тех, на которые рассматриваемая политика распространяется. Это по- зволяет, тем самым, иметь пользователям возможность влиять на политику безопасности ОС. Для иллюстрации сказанного и ознакомления с базовыми возможностями локальных политик безопасности при «Назначении прав
пользователя» в ОС Windows XP выполните следующее:
1. Разверните окно созданной ранее консоли администрирования ММС, если оно находится в свернутом состоянии на панели задач, или загрузите кон- соль снова. В оснастке «Политика «Локальный компьютер» найдите под- раздел «Назначение прав пользователя» в разделе «Локальные политики».
2. Последовательно просмотрите все политики для назначения прав пользователям с целью их дальнейшего применения на практике. Для этого дважды щелкните на каждой из них и на вкладке «Объяснение параметра» изучите их сущность.
3. Добавьте созданного ранее пользователя в число тех, которым позво- лено производить операции архивирования файлов и каталогов в системе. Для этого воспользовавшись одноименной политикой безопасности, «Добавьте
пользователя или группу» стандартным способом на вкладке «Параметр
локальной безопасности» и удалите группы, обладающие этим правом по умолчанию.
4. Запретите группам «Пользователи» и «Операторы архива» доступ к компьютеру из сети. Для этого внимательно изучите политики «Доступ к
компьютеру из сети» и «Отказ в доступе к компьютеру из сети».
5. Добавьте созданного ранее пользователя в число тех, которым позво- лено осуществлять «Изменение системного времени».
6. Добавьте созданного ранее пользователя в число тех, которым позво- лено осуществлять «Создание страничного файла».

14 7. Добавьте созданного ранее пользователя в число тех, которым позво- лено осуществлять «Управление аудитом и журналом безопасности».
8. Сохраните и закройте консоль администрирования MMC.
При выполнении заданий секции используйте следующие инструкции:

перенесите последовательность выполняемых действий по пунктам
3-7 в отчет (возможно приведение графических фрагментов, сде- ланных с экрана, в качестве демонстрационного материала),

перезагрузите компьютер, выберите созданную учетную запись и проверьте влияние новых значений системных параметров политик безопасности на процесс авторизации,

сделайте вывод о проделанной работе и запишите его в отчет.
Секция C. Ознакомление с основными возможностям «Локальных по-
литик» при настройке «Параметров безопасности» в ОС Windows XP.
Основные политики, применяемые для обеспечения локальной или сете- вой безопасности и представленные в виде набора соответствующих парамет- ров («Конфигурация компьютера | Конфигурация Windows | Параметры
безопасности | Локальные политики | Параметры безопасности»), позво- ляют системному администратору, наряду с политиками учетных записей и базовыми методами авторизации, организовать первый уровень защиты дан- ных от несанкционированного доступа из сети или же, напротив, позволить уполномоченным пользователям иметь определенные права при обращении к информации.
Для ознакомления с базовыми возможностями рассматриваемого набора политик безопасности в ОС Windows XP выполните следующее.
1. Разверните окно созданной ранее консоли администрирования ММС, если оно находится в свернутом состоянии на панели задач, или загрузите кон- соль снова. В оснастке «Политика «Локальный компьютер» найдите под- раздел «Параметры безопасности» в разделе «Локальные политики».
2. Последовательно просмотрите все политики безопасности данного подраздела с целью их дальнейшего применения на практике. Для этого дваж- ды щелкните на каждой из них и на вкладке «Объяснение параметра» изучи- те их сущность.
3. Включите возможность очистки страничного файла виртуальной па- мяти при завершении работы системы, воспользовавшись соответствующей политикой безопасности. Это позволит при определенных условиях избежать перехвата данных из виртуальной памяти.
4. Следующие несколько настроек данного пункта задания реализуют концепцию «безопасного входа в систему», которая может быть практически использована на серверах домена или отдельных узлах локальной сети.

15
Прежде всего, следует отметить, что некоторым пользователям новый механизм входа в систему с использованием окна приветствия в ОС Windows
XP может показаться неудобным или непривычным. Для устранения данного дискомфорта в системе имеется вариант переключения данного механизма в
«классический» режим. Для этого необходимо осуществить «Изменение вхо-
да пользователей в систему» в меню «Пуск | Панель управления | Учетные
записи пользователей». В появившемся окне необходимо убрать флажки
«Использовать страницу приветствия» и «Использовать быстрое пере-
ключение пользователей» и подтвердить изменения, щелкнув манипулято- ром мышь по кнопке «Применение параметров».
Данное изменение приводит к тому, что после перезагрузки ОС появля- ется «классическое» окно входа в систему с двумя полями: «Пользователь», в котором следует набрать имя учетной записи, и «Пароль» — для ввода паро- ля, назначенного этой учетной записи.
Внимание! При переключении механизма входа в «классический» ре- жим утрачивается возможность использования технологии быстрого переклю- чения пользователей. Поэтому, в случае обратного перехода (в положение с использованием окна приветствия) для возврата данной технологии в активное состояние необходимо войти в ОС с правами администратора, перезагрузив- шись в «безопасном режиме», и установить соответствующий флажок «Ис-
пользовать быстрое переключение пользователей».
Далее переведите в положение «Отключено» параметр безопасности локальной политики «Интерактивный вход в систему: не требовать нажа-
тия CTRL+ALT+DEL», как это делается на рабочих станциях и серверах до- мена. Эта настройка обеспечивает пользователей необходимостью одновре- менно нажимать кнопки CTRL, ALT и DEL каждый раз при входе в ОС, что делает процедуру входа более защищенной.
Отключите возможность отображения имени пользователя (в поле
«Пользователь»), выполнившего последним вход в систему, воспользовав- шись соответствующей политикой безопасности «Интерактивный вход в
систему: не отображать последнего имени пользователя». Данная политика исключает возможность несанкционированного манипулирования именем пользователя в сети.
Концепция «безопасного входа в систему» реализована полностью.
5. С целью уведомления пользователей локальной сети включите воз- можность отображения текста сообщения следующего содержания: «ВНИ-
МАНИЕ !!! Вы входите в корпоративную сеть компании. Причинение
вреда аппаратно-программному обеспечению компании преследуется в
административном порядке. Будьте аккуратны, это Ваше имущество !!!», воспользовавшись локальными политиками «Интерактивный вход в систе-
му: заголовок сообщения для пользователей при входе в систему» и «Ин-
терактивный вход в систему: текст сообщения для пользователей при
входе в систему».

16 6. Практический смысл следующего задания заключается в активации так называемой модели «гостевого доступа», позволяющей организовать бес- препятственный общий доступ к объектам (файлам и каталогам) файловой системы из локальной сети. Эта модель является оптимальным выбором для домашнего применения, хотя обладает ослабленной безопасностью в процессе эксплуатации. В этой связи, критически необходимо использовать дополни- тельные аппаратно-программные средства для защиты клиентских компьюте- ров от несанкционированного доступа, вирусов и внешних атак.
Кроме модели «гостевого доступа», существует еще одна, классическая модель доступа, называемая «обычной», имеющая место при организации об- щих сетевых ресурсов. Модель «обычного доступа» обладает повышенным уровнем безопасности и гибкостью при настройке прав. Поэтому применение данной модели целесообразно в корпоративных условиях.
Чтобы активировать модель «гостевого доступа», во-первых, необходи- мо включить встроенную учетную запись «Гость». Для этого следует найти политику безопасности «Учетные записи: Состояние учетной записи
«Гость» и перевести соответствующий системный параметр безопасности в положение «Включено».
Во-вторых, в локальной политике «Сетевой доступ: модель совместно-
го доступа и безопасности для локальных учетных записей» следует изме- нить значение параметра модели совместного доступа в положение «Гостевая
– локальные пользователи удостоверяются как гости».
В-третьих, в локальной политике «Учетные записи: ограничить ис-
пользование пустых паролей только для консольного входа», регламенти- рующей использование пустых паролей, необходимо перевести параметр безопасности в состояние