Тест операционные системы ответы. Практикум для студентов специальности 230101 Вычислительные машины, комплексы, системы и сети

17 использовании на каждом локальном узле в рабочей группе или домене обес- печивает беспрепятственный взаимный доступ к общим локальным ресурсам.
8. Сохраните и закройте консоль администрирования MMC.
При выполнении заданий секции используйте следующие инструкции:

перенесите последовательность выполняемых действий по пунктам
3-7 в отчет (возможно приведение графических фрагментов, сде- ланных с экрана, в качестве демонстрационного материала),

перезагрузите компьютер и проверьте влияние новых значений сис- темных параметров политик безопасности,

сделайте вывод о проделанной работе и запишите его в отчет.
Контрольный вопрос:
Каким альтернативным способом можно включить встроенную учетную запись «Гость» для активации модели «гостевого доступа»?
Задание №7.1б. Изучение основных возможностей программного сред- ства «Шаблоны безопасности» в среде ОС Windows XP на конкретных при- мерах.
В предыдущих заданиях лабораторной работы были рассмотрены от- дельные политики безопасности и принадлежащие им системные параметры, изменяемые при конфигурировании безопасности ОС. Однако гораздо эффек- тивней конфигурировать ОС в процессе ее загрузки посредством единовре- менного применения группы параметров безопасности. Для этих целей в среде
ОС Windows XP существует специализированное программное средство
«Шаблоны безопасности», представляющее собой оснастку, как и прежде до- бавляемую к дереву консоли администрирования ММС. В рамках данной ос- настки имеется возможность создавать и применять в системе текстовые фай- лы, содержащие в себе все необходимые настройки безопасности для безопас- ных областей, поддерживаемых локальной политикой. Именно данные тексто- вые файлы в ОС принято называть шаблонами безопасности. В ОС Windows
XP существует ряд штатных шаблонов безопасности, определяющих конфигу- рацию безопасности по семи категориям:
1) Политики учетных записей — это набор параметров аутентифика- ции учетных записей. Для учетных записей домена параметры учетной поли- тики должны быть одинаковы по всему домену. Данные политики подразде- ляются:

Политика паролей — ограничения на пароль, его минимальную длину, хранение старых паролей, минимальный и максимальный срок действия пароля, сложность пароля и, возможно, обратимое шифрование хранимых данных.

18

Политика блокировки учетной записи отвечает за действие, которое должно выполняться при вводе неверного пароля, включая порого- вое число неудачных попыток входа в ОС, при котором происходит блокировка учетной записи или ответные действия, включая часто- ту сброса счетчиков попыток входа.

Политика Kerberos — набор параметров протокола сетевой аутен- тификации Kerberos v.5, в частности, включающего время жизни для билетов на их выдачу, билетов службы, максимальное расхож- дение часов и проверку членства в группе и статуса блокировки учетных записей.
2) Локальные политики — параметры безопасности только для ком- пьютера, на котором применяется шаблон безопасности. Они применяются к базе данных учетной записи локального узла и делятся на три категории.

Политика аудита — набор отслеживаемых событий, которые будут храниться в журнале безопасности локального компьютера.

Назначение прав пользователя определяет участников безопасно- сти, которым будут даны права пользователей на локальном компь- ютере. Эти права приоритетнее любых разрешений ФС NTFS, на- значенных объекту (файлу или каталогу).

Параметры безопасности — спектр параметров, заданных в Реест- ре ОС. Обычно они указывают, отображать ли имя последнего пользователя, под которым входили в компьютер, или изменять ли имя учетной записи «Администратор».
3) Журнал событий — набор свойств журналов приложений, безопас- ности и системы, включая максимальный размер журнала, пользователей, ко- торые могут его просматривать, срок хранения событий в журналах и дейст- вия, которые надо предпринять, если журналы безопасности достигли задан- ного максимального размера.
4) Группы с ограниченным доступом позволяют зафиксировать член- ство в группах безопасности. Допустимые группы безопасности выбирает соз- датель шаблонов безопасности. Обычно в эту группу включаются «Опытные пользователи», «Администраторы предприятия» и «Администраторы схемы».
В результате можно явно указать, какие участники безопасности могут быть членами группы с ограниченным доступом. Данная политика также определя- ет, членом каких групп может быть сама группа с ограниченным доступом.
5) Системные службы позволяют задать ограничения для служб, уста- новленных на компьютере, в том числе их статус (активизирована или отклю- чена) и какие участники вправе ее запустить или остановить. В частности, на- пример, можно настроить данную политику таким образом, чтобы была от- ключена служба «Routing and Remote Access» («Маршрутизация и удален-
ный дотуп») на всех клиентских рабочих станциях. Это обеспечит запрет пользователям настраивать свои персональные компьютеры в качестве серве- ров удаленного доступа.

19
6) Реестр определяет безопасность разделов Реестра ОС и их кустов: ка- кие участники безопасности вправе изменять параметры безопасности и аудит каких действий по модификации Реестра следует вести.
7) Файловая система определяет параметры избирательного списка управления доступом (DACL) и системного списка управления доступом
(SACL) для любых каталогов, включенных в эту политику. Эти каталоги должны располагаться на носителе с ФС NTFS.
Известно, что компьютеры в сети могут выступать в разных ролях, то есть иметь различное назначение. Это обстоятельство влияет на выработку решения по тому, какие параметры следует применять для формирования по- литики безопасности для того или иного узла. Это приводит к тому, что перед определением шаблонов безопасности необходимо выявить компьютеры в се- ти, для которых нужно создать одинаковые параметры безопасности. Обычно для этого достаточно определить роль, которую каждый компьютер выполняет в сети, и уникальные требования безопасности для каждой роли.
Каждая роль, в конечном итоге, будет связана с шаблоном безопасности, определяющим типовую или требуемую безопасность для этого класса ком- пьютеров. Наиболее распространенные роли компьютеров в сети следующие.
Контроллеры хранят базу данных Active Directory, требования безопас- ности для защиты которой являются самыми строгими.
Серверы приложений содержат клиентские серверные приложения, на- пример, Web-приложения, базы данных SQL или почтовые серверные прило- жения. В каждой из указанных выше категорий можно определить соответст- вующие параметры безопасности для серверного приложения.
Файловые серверы или серверы печати хранят данные, совместно ис- пользуемые в сети. В рамках определения безопасности можно создать специ- альные списки DACL для определенных хранилищ данных.
Серверы экстрасети — компьютеры с любой сетевой ОС, не являю- щиеся членами Active Directory. Хотя они могут проводить аутентификацию, но, как правило, располагаются в нейтральной (демилитаризованной DMZ- зоне) и имеют ограниченный доступ к ресурсам внутренней локальной сети.
Рабочие станции — клиентские компьютеры с сетевой ОС, не поки- дающие территориально офис предприятия. Их можно подразделять в зависи- мости от отдела или филиала, где они установлены.
Портативные компьютеры — клиентские узлы, имеющие возможность мобильного перемещения. Пользователи этих компьютеров могут обладать особыми привилегиями для выполнения некоторых задач вне корпоративной локальной сети.
Киоски устанавливаются в общественных местах и выполняют одно общедоступное приложение. В шаблоне безопасности киоска можно настроить автоматическую регистрацию на входе с использованием предварительно соз- данной учетной записи, позволяющей работать со специализированным ин- сталлированным приложением.

20
Нетрудно заметить, что такое структурирование узлов по ролям способ- ствует выработке решения по разделению параметров безопасности на группы для их дальнейшей интеграции в соответствующие шаблоны безопасности.
Анализ безопасности, выработка решений с подбором соответствующих пара- метров безопасности, а также примеры реального внедрения принятых реше- ний подробно описываются в практическом курсе MCSE по безопасности сети на основе ОС Windows 2000 от корпорации Microsoft, библиографический ис- точник которого указан в конце данного лабораторного практикума.
В рамках настоящей лабораторной работы для ознакомления с базовыми возможностями рассматриваемого программного средства «Шаблоны безо-
пасности» в среде ОС Windows XP выполните следующее:
1. Разверните окно созданной ранее консоли администрирования ММС, если оно находится в свернутом состоянии на панели задач, или загрузите кон- соль снова.
2. Добавьте в корень дерева консоли MMC новую оснастку «Шаблоны
безопасности» способом изученным ранее и разверните ее, чтобы были видны все ее элементы.
3. Создайте новый шаблон безопасности. Для этого выберите манипуля- тором мышь строку «C:\WINDOWS\security\templates», показывающую ло- кальное место хранения шаблонов безопасности в системе, и далее команду
«Создать шаблон…» либо из выпадающего контекстного меню, либо из меню
«Действие» на панели инструментов.
4. Откройте только что созданный шаблон безопасности и обратите вни- мание на то, что он включает в себя все семь категорий, описанных выше.
Кроме того, просмотрите содержащиеся в нем политики безопасности и убе- дитесь, что все они находятся в состоянии «Не определено».
Таким образом, создается пустой шаблон безопасности, в который мож- но внести все необходимые параметры, относящиеся к организуемой политике безопасности.
5. Сохраните созданный шаблон, открыв контекстное меню «Действие» и выбрав команду «Сохранить как…». Имя шаблону присвойте, например,
MyFirstShablon или определите его самостоятельно.
Как утверждалось ранее, ОС Windows XP изначально включает в себя ряд шаблонов безопасности, которые могут быть взяты в качестве основы для построения собственной политики безопасности. В частности, в распоряжении администратора может быть готовая политика безопасности, которая, в свою очередь, может быть улучшена и применена позже в системе.
По степени безопасности существуют четыре типа шаблонов:

основной (Basic),

безопасный (Secure),

высокой степени безопасности (High secure),

смешанный (Miscellaneous).

21
В качестве примера, среди штатных шаблонов безопасности находятся такие, как Hisecdc (сокр. High secure domain controller), который устанавли- вает самый высокий уровень безопасности для контроллера домена, или Secu-
rews (сокр. Secure work station) — устанавливает средний уровень безопасно- сти для рабочих станций. Любой из доступных шаблонов может быть исполь- зован для разработки собственной политики безопасности.
Внимание! Перед модификацией штатного шаблона безопасности его следует предварительно сохранить под другим именем, чтобы он не был ис- порчен перезаписью.
6. Для создания шаблона безопасности, обладающего стандартной функ- циональностью, возьмите за основу системный шаблон Setup security, обеспе- чивающий уровень безопасности по умолчанию, и сохраните его с другим именем, выбранным самостоятельно или, например, MySecondShablon.
7. В только что сохраненном шаблоне выберите самостоятельно и изме- ните несколько политик безопасности. При необходимости воспользуйтесь те- ми системными политиками, которые уже изменялись в предыдущих заданиях, например, при организации модели «гостевого доступа». Сохраните сконфи- гурированный таким образом шаблон безопасности.
8. Примените созданный шаблон безопасности в системе. Для этого в оснастке «Политика «Локальный компьютер» щелкните дважды на разделе
«Конфигурация компьютера» и разверните подраздел «Конфигурация
Windows». Щелкните правой кнопкой мыши по строке «Параметры безопас-
ности», а затем — по команде «Импорт политики». Выберите созданный шаблон безопасности и импортируйте его в систему, нажав ОK.
Примечание. Для возврата системных параметров безопасности в со- стояние «по умолчанию» примените в системе штатный, неизмененный шаб- лон безопасности Setup security. Уровень безопасности ОС Windows XP будет приведен к начальному состоянию.
9. Сохраните и закройте консоль администрирования MMC.
При выполнении задания используйте следующие инструкции:

перенесите последовательность выполняемых действий по пунктам
3-7 в отчет (возможно приведение графических фрагментов, сде- ланных с экрана, в качестве демонстрационного материала),

перезагрузите компьютер и проверьте влияние новых значений сис- темных параметров политик безопасности,

сделайте вывод о проделанной работе и запишите его в отчет.
Контрольный вопрос:
Как Вы полагаете, возможно ли удаленное применение шаблонов безо- пасности? Если «Да», то какие программные средства для этого необходимы?

22
Задание №7.1в. Изучение основных возможностей программного сред- ства «Анализ и настройка безопасности» в среде ОС Windows XP на кон- кретных примерах.
Другим, не менее важным, штатным программным средством, предна- значенным для анализа настроек некоторого шаблона безопасности и сравне- ния их с текущими настройками безопасности действующего в системе шаб- лона, является оснастка «Анализ и настройка безопасности». Учитывая то, что в ОС Windows XP имеется огромное количество политик безопасности, отслеживать каждую из них по отдельности представляется проблематичным.
Однако анализ безопасности системы посредством рассматриваемого инстру- мента позволяет обнаруживать «дыры» в системе, тестировать влияние груп- пового изменения настроек безопасности в ОС без их непосредственного при- менения, а также выявлять любые отклонения в политике безопасности сети.
Для ознакомления с базовыми возможностями изучаемого инструмента
«Анализ и настройка безопасности» в среде ОС Windows XP выполните сле- дующее:
1. Разверните окно созданной ранее консоли администрирования ММС, если оно находится в свернутом состоянии на панели задач, или загрузите кон- соль снова.
2. Добавьте в корень дерева консоли MMC новую оснастку «Анализ и
настройка безопасности» способом изученным ранее и выберите ее.
После этого шага инструмент «Анализ и настройка безопасности» бу- дет доступен, но нефункционален. Для получения необходимой функциональ- ность его предстоит предварительно сконфигурировать.
3. Поскольку работа данного инструмента основана на использовании базы данных, сначала ее необходимо создать. Инструмент позволяет создать базу данных конфигураций и анализа безопасности, также называемую ло-
кальной базой данных политики компьютера.
В идеальном случае, база данных должна создаваться сразу же после ин- сталляции ОС. В этих условиях в ней будут содержаться настройки парамет- ров безопасности в состоянии «по умолчанию». Поэтому при необходимости данная база может быть экспортирована сразу после загрузки системы и быть всегда доступной на случай «отката» к первоначальным настройкам.
Создайте новую базу данных. Для этого в меню «Действие» выберите команду «Открыть базу данных…», введите в появившемся диалоговом окне новое имя базы данных (имя выберите самостоятельно) и щелкните на кнопке
«Открыть». В следующем окне выберите созданный ранее шаблон безопас- ности с именем MyFirstShablon и импортируйте его в базу данных, подтвер- див намерение командой «Открыть».
Если все сделано без ошибок, то при выборе оснастки «Анализ и на-
стройка безопасности» в верхней части области сведений консоли админист-

23 рирования MMC будет отображаться системный путь, где хранится только что созданная база данных системы безопасности ОС Windows XP.
4. Для анализа сформированной базы данных необходимо выбрать ма- нипулятором мышь оснастку «Анализ и настройка безопасности», а затем — команду «Анализ компьютера…» в контекстном меню «Действие» (альтер- нативным способом данную команду можно выбрать из выпадающего контек- стного меню, если щелкнуть правой кнопкой мыши по выбранной оснастке). В появившемся диалоговом окне обратите внимание на системный путь и имя файла журнала ошибок, в котором будут сохранятся результаты анализа. При необходимости путь по умолчанию и имя файла могут быть заменены на более подходящие для организации удобного доступа.
Нажмите