Главная страница

Локальная политика безопасности. Лабораторная работа №7 - Локальная политика безопасности. Управление правами пользователей в ос windows Локальная политика безопасности Пенза, 2014


Скачать 1.64 Mb.
НазваниеУправление правами пользователей в ос windows Локальная политика безопасности Пенза, 2014
АнкорЛокальная политика безопасности
Дата09.04.2023
Размер1.64 Mb.
Формат файлаdoc
Имя файлаЛабораторная работа №7 - Локальная политика безопасности.doc
ТипМетодические рекомендации
#1049027
страница1 из 7
  1   2   3   4   5   6   7

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

Высшего профессионального образования

Пензенский государственный технологический университет

Кафедра «Информационные компьютерные технологии»


Методические рекомендации к лабораторной работе

Тема:

«Управление правами пользователей в ОС Windows 7.
Локальная политика безопасности
»


Пенза, 2014

Лабораторная работа на тему «Управление правами пользователей в
ОС Windows 7. Локальная политика безопасности»

Цель работы: ознакомиться с процедурами создания учётных записей пользователей и управления их правами.
Задание: изучить процедуру создания учётных записей пользователей и научиться управлять их правами.
Учётные записи пользователей

Учётная запись пользователя – это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Это имя пользователя и пароль (или другое аналогичное средство аутентификации – например, биометрические характеристики). Пароль или его аналог, как правило, хранится в зашифрованном или хэшированном виде (в целях его безопасности).

Для повышения надёжности могут быть, наряду с паролем, предусмотрены альтернативные средства аутентификации – например, специальный секретный вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учётной записи.

Учётная запись может содержать следующие дополнительные анкетные данные о пользователе:

  • имя;

  • фамилию;

  • отчество;

  • псевдоним (ник);

  • пол;

  • национальность;

  • расовую принадлежность;

  • вероисповедание

  • группу крови;

  • резус-фактор;

  • возраст;

  • дату рождения;

  • адрес электронной почты;

  • домашний адрес;

  • рабочий адрес;

  • нетмейловый адрес;

  • номер домашнего телефона;

  • номер рабочего телефона;

  • номер мобильного телефона;

  • номер ICQ;

  • идентификатор Skype, ник в IRC;

  • другие контактные данные систем обмена мгновенными сообщениями;

  • адрес домашней страницы и/или блога в Интернете или интранете;

  • сведения о хобби;

  • сведения о круге интересов;

  • сведения о семье;

  • сведения о перенесённых болезнях;

  • сведения о политических предпочтениях;

  • и многое другое.

Конкретные категории данных, которые могут быть внесены в такую анкету, определяются администраторами системы.

Учётная запись может также содержать одну или несколько фотографий или аватар пользователя. Учётная запись пользователя также может учитывать различные статистические характеристики поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, интенсивность использования системы, суммарное и (или) удельное количество определённых операций, произведённых в системе, и так далее.

Создание учётных записей пользователей

В операционной системе Windows 7 можно создавать несколькими способами как учётные записи пользователей для компьютеров, состоящих в рабочих группах, так и учётные записи пользователей для компьютеров, которые входят в состав домена. Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное их различие состоит в том, как осуществляется управление компьютерами и другими ресурсами.

Рабочая группа – это группа компьютеров, подключённых к сети, которые совместно используют ресурсы. При настройке сети операционная система Windows автоматически создаёт рабочую группу и присваивает ей имя по умолчанию.

Домен – это группа компьютеров одной сети, имеющих единый центр, использующий единую базу пользователей, единую групповую и локальную политики, единые параметры безопасности, ограничение времени работы учётной записи и прочие параметры, значительно упрощающие работу системного администратора организации, если в ней эксплуатируется большое число компьютеров.

Создание учётных записей пользователей для компьютеров, состоящих в рабочей группе

В операционной системе Windows 7 для компьютеров, которые состоят в рабочей или домашней группе, учётные записи можно создавать следующими способами:

Создание учётной записи при помощи диалога «Управление
учётными записями пользователей»


Практическое задание №1

Для того чтобы создать учётную запись при помощи диалога «Управление учётными записями пользователей», нужно сделать следующее:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. В диалоге «Учётные записи пользователей» перейти по ссылке «Управление другой учётной записью», а затем нажать на «Создание учётной записи».

  3. Здесь нужно будет ввести имя для учётной записи, выбрать тип учётной записи и нажать на кнопку «Создание учётной записи».

Имя пользователя не должно совпадать с любым другим именем пользователя или группы на данном компьютере. Оно может содержать до 20 символов верхнего или нижнего регистров, за исключением следующих: « / \ [ ] : ; | = , + * ? <> @, а также имя пользователя не может состоять только из точек и пробелов.

В этом диалоге, можно выбрать одну из двух типов учётных записей: «обычные учётные записи пользователей», которые предназначены для повседневной работы или «учётные записи администратора», которые предоставляют полный контроль над компьютером и применяются только в необходимых случаях.


Создание учётной записи при помощи диалога «Учётные записи пользователей»

Доступный через панель управления диалог «Управление учётными записями пользователей» имеет очень серьезное ограничение: оно предлагает на выбор только учётные записи типа «Обычный доступ» или «Администратор». Для того чтобы при создании нового пользователя его можно было поместить в какую-либо определённую группу, нужно сделать следующее:

  1. Воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить»;

  2. В диалоговом окне «Выполнить», в поле «Открыть» ввести «control userpasswords2» и нажать на кнопку «ОК».

  3. В диалоговом окне «Учётные записи пользователей» нажать на кнопку «Добавить» для запуска мастера добавления нового пользователя.

  4. В появившемся диалоговом окне «Добавление нового пользователя» ввести имя пользователя. Поля «Полное имя» и «Описание» не являются обязательными, то есть их можно заполнять при желании. Нажать на кнопку «Далее».

  5. В диалоге «Введите и подтвердите пароль этого пользователя» ввести пароль для данной учётной записи, а затем продублировать его в поле «Подтверждение», после чего нажать на кнопку «Далее».

  6. Это последний диалог мастера добавления нового пользователя. Здесь необходимо установить переключатель, определяющий группу безопасности, к которой должна относиться данная учётная запись пользователя. Можно выбрать одну из следующих групп: «Обычный доступ», «Администратор» или «Другой». Последний переключатель стоит использовать в том случае, если нужно отнести пользователя к какой-то другой группе, созданной по умолчанию в операционной системе Windows 7.

В следующем списке перечислены 15 встроенных групп операционной системы Windows 7. Эти права назначаются в рамках локальных политик безопасности:

  • Administrators (Администраторы). Пользователи, входящие в эту группу, имеют полный доступ на управление компьютером и могут при необходимости назначать пользователям права пользователей и разрешения на управление доступом. По умолчанию членом этой группы является учётная запись администратора. Если компьютер подключен к домену, группа «Администраторы домена» автоматически добавляется в группу «Администраторы». Эта группа имеет полный доступ к управлению компьютером, поэтому необходимо проявлять осторожность при добавлении пользователей в данную группу;

  • Backup Operators (Операторы архива). Пользователи, входящие в эту группу, могут архивировать и восстанавливать файлы на компьютере независимо от любых разрешений, которыми защищены эти файлы. Это обусловлено тем, что право выполнения архивации получает приоритет над всеми разрешениями. Члены этой группы не могут изменять параметры безопасности.

  • Cryptographic Operators (Операторы криптографии). Членам этой группы разрешено выполнение операций криптографии.

  • Debugger Users (Группа удалённых помощников). Члены этой группы могут предлагать удалённую помощь пользователям данного компьютера.

  • Distributed COM Users (Пользователи DCOM). Членам этой группы разрешено запускать, активировать и использовать объекты DCOM на компьютере.

  • Event Log Readers (Читатели журнала событий). Членам этой группы разрешается запускать журнал событий Windows.

  • Guests (Гости). Пользователи, входящие в эту группу, получают временный профиль, который создаётся при входе пользователя в систему и удаляется при выходе из неё. Учётная запись «Гость» (отключенная по умолчанию) также является членом данной встроенной группы.

  • IIS_IUSRS. Это встроенная группа, используемая службами IIS.

  • Network Configuration Operators (Операторынастройкисети). Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP. Эта группа не имеет членов по умолчанию.

  • Performance Log Users (Пользователи журналов производительности). Пользователи, входящие в эту группу, могут управлять счетчиками производительности, журналами и оповещениями на локальном или удалённом компьютере, не являясь при этом членами группы «Администраторы».

  • Performance Monitor Users (Пользователи системного монитора). Пользователи, входящие в эту группу, могут наблюдать за счетчиками производительности на локальном или удалённом компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности».

  • Power Users (Опытные пользователи). По умолчанию, члены этой группы имеют те же права пользователя и разрешения, что и учётные записи обычных пользователей. В предыдущих версиях операционной системы Windows эта группа была создана для того, чтобы назначать пользователям особые административные права и разрешения для выполнения распространенных системных задач. В этой версии операционной системы Windows учётные записи обычных пользователей предусматривают возможность выполнения большинства типовых задач настройки, таких как смена часовых поясов. Для старых приложений, требующих тех же прав опытных пользователей, которые имелись в предыдущих версиях операционной системы Windows, администраторы могут применять шаблон безопасности, который позволяет группе «Опытные пользователи» присваивать эти права и разрешения, как это было в предыдущих версиях операционной системы Windows.

  • Remote Desktop Users (Пользователи удалённого рабочего стола). Пользователи, входящие в эту группу, имеют право удалённого входа на компьютер.

  • Replicator (Репликатор). Эта группа поддерживает функции репликации. Единственный член этой группы должен иметь учётную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Не добавляйте в эту группу учётные записи реальных пользователей.

  • Users (Пользователи). Пользователи, входящие в эту группу, могут выполнять типовые задачи, такие как запуск приложений, использование локальных и сетевых принтеров и блокировку компьютера. Члены этой группы не могут предоставлять общий доступ к папкам или создавать локальные принтеры. По умолчанию членами этой группы являются группы «Пользователи домена», «Проверенные пользователи» и «Интерактивные». Таким образом, любая учётная запись пользователя, созданная в домене, становится членом этой группы.

Создание учётной записи при помощи оснастки «Локальные пользователи и группы»

Оснастка «Локальные пользователи и группы» расположена в компоненте «Управление компьютером», представляющем собой набор средств администрирования, с помощью которых можно управлять одним компьютером, локальным или удалённым. Оснастка «Локальные пользователи и группы» служит для защиты и управления учётными записями пользователей и групп, размещенных локально на компьютере. Можно назначать разрешения и права для учётной записи локального пользователя или группы на определённом компьютере (и только на этом компьютере).

Использование оснастки «Локальные пользователи и группы» позволяет ограничить возможные действия пользователей и групп при помощи назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определённые действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (обычно с файлом, папкой или принтером), которое определяет, каким пользователям, и какой доступ к объекту разрешен.

Для того чтобы создать локальную учётную запись пользователя при помощи оснастки «Локальные пользователи и группы», нужно сделать следующее:

  1. Открыть оснастку «Локальные пользователи и группы» одним из следующих способов:

  • нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Администрирование», затем открыть компонент «Управление компьютером». В «Управлении компьютером» открыть «Локальные пользователи и группы»;

  • открыть «Консоль управления MMC». Для этого нажать на кнопку «Пуск», в поле поиска ввести mmc, а затем нажать на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выбрать команду «Добавить или удалить оснастку» или воспользоваться комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выбрать оснастку «Локальные пользователи и группы» и нажать на кнопку «Добавить». Затем нажать на кнопку «Готово», а после этого – кнопку «ОК». В дереве консоли открыть узел «Локальные пользователи и группы (локально;

  • воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» ввести lusrmgr.msc и нажать на кнопку «ОК».

  1. Открыть узел «Пользователи» и либо в меню «Действие», либо из контекстного меню выбрать команду «Новый пользователь».

  2. В диалоговом окне «Новый пользователь» ввести соответствующие сведения. Помимо указанных данных, можно воспользоваться следующими флажками: «Требовать смену пароля при следующем входе в систему», «Запретить смену пароля пользователем», «Срок действия пароля не ограничен», «Отключить учётную запись» и нажать на кнопку «Создать», а затем «Закрыть».

Для того чтобы добавить пользователя в группу, дважды щёлкнуть имя пользователя для получения доступа к странице свойств пользователя. На вкладке «Членство в группах» нажать на кнопку «Добавить».

В диалоге «Выбор группы» можно выбрать группу для пользователя двумя способами:

  1. В поле «Введите имена выбираемых объектов» ввести имя группы и нажать на кнопку «Проверить имена».

  2. В диалоге «Выбор группы» нажать на кнопку «Дополнительно», чтобы открыть диалоговое окно «Выбор группы». В этом окне нажать на кнопку «Поиск», чтобы отобразить список всех доступных групп, выбрать подходящую группу и нажать два раза на кнопку «ОК».


Создание учётной записи при помощи командной строки

Помимо вышеперечисленных способов, учётные записи пользователей можно создавать, изменять и удалять при помощи командной строки. Для этого нужно выполнить следующие действия:

  1. Запустить командную строку от имени администратора.

  2. Для создания учётной записи при помощи командной строки использовать команду net user.

Команда net user используется для добавления пользователей, установки паролей, отключения учётных записей, установки параметров и удаления учётных записей. При выполнении команды без параметров командной строки отображается список учётных записей пользователей, присутствующих на компьютере. Информация об учётных записях пользователей хранится в базе данных учётных записей пользователей.

Пример команды:

net user User /add /passwordreq:yes /times:monday-friday,9am-6pm/fullname:»New user»

Используемые параметры:

/add – этот параметр указывает, что необходимо создать новую учётную запись;

/passwordreq – этот параметр отвечает за то, чтобы при первом входе в систему пользователь сменил свой пароль;

/times – этот параметр определяет, сколько раз пользователю разрешено входить в систему. Здесь можно указывать как единичные дни, так и целые диапазоны (например Sa или M-F). Для указания времени допускается как 24-часовой формат, так и 12-часовой формат;

/fullname – этот параметр идентичен полю «Полное имя» при создании пользователя предыдущими способами.

Управление учётными записями при помощи диалога «Управление учётными записями пользователей»

При помощи диалогового окна «Учётные записи пользователей» можно не только создавать учётные записи, но и выполнять с ними простейшие действия, такие как:

  • изменение имени;

  • создание пароля;

  • изменение пароля;

  • удаление пароля;

  • изменение рисунка;

  • установка родительского контроля;

  • изменение типа учётной записи;

  • удаление учётной записи;

  • включение и отключение гостевой учётной записи.

В этом разделе будет подробно рассмотрено каждое из перечисленных действий.

Рисунок 1 – Диалоговое окно «Учётные записи пользователей»

Изменение имени
Практическое задание №2

Для того чтобы изменить имя учётной записи необходимо выполнить следующие действия:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Выбрать нужную учётную запись и перейти по ссылке «Изменение имени своей учётной записи».

  3. В поле «Новое имя учётной записи» ввести новое имя пользователя и нажать на кнопку «Переименовать».

Создание пароля
Практическое задание №3

Для того чтобы создать пароль для учётной записи пользователя необходимо:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Выбрать учётную запись, для которой нужно создать пароль и перейти по ссылке «Создание пароля своей учётной записи». Эта ссылка будет отображаться только в том случае, если у пользователя этой текущей записи нет пароля.

  3. В диалоге «Создание пароля своей учётной записи» ввести пароль для данной учётной записи, а затем повторить его в поле «Подтверждение пароля» и ввести подсказку в поле «Введите подсказку для пароля». Подсказка – это текст, который операционная система отображает на экране приветствия. В связи с тем, что подсказку может увидеть любой пользователь, который попытается войти в систему, она должна быть менее очевидной, но при этом понятной для того, кто её создал в том случае, если он забудет пароль. После ввода пароля, подтверждения пароля и подсказки для создания пароля учётной записи необходимо нажать на кнопку «Создать».

Изменение пароля

Если у учётной записи пользователя уже имеется пароль, но его нужно сменить, нужно сделать следующее:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Выбрать свою учётную запись и перейти по ссылке «Изменение своего пароля».

  3. Находясь в диалоге «Изменение своего пароля», в поле «Текущий пароль» ввести пароль, который установлен для учётной записи в данный момент. В поля «Новый пароль» и «Подтверждение пароля» ввести и подтвердить новый пароль для учётной записи. В поле «Введите подсказку для пароля» ввести подсказку.

Для создания надежных паролей и парольных фраз также можно использовать расширенный набор знаков ASCII – системы, присваивающей числовые значения буквам, цифрам и другим символам. Используя расширенный набор знаков ASCII, можно повысить надежность паролей и парольных фраз. Перед использованием знаков из расширенного набора ASCII для создания паролей и парольных фраз следует убедиться, что пароли и фразы с такими знаками совместимы с приложениями, используемыми вами.
Удаление пароля
Практическое задание №4

В том случае, если у пользователя есть пароль и этот пароль для работы за компьютером ему не нужен, необходимо выполнить следующие действия:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Выбрать свою учётную запись и нажать на ссылку «Удаление своего пароля».

  3. В диалоге «Удаление своего пароля» в поле «Текущий пароль» ввести пароль текущей учётной записи и нажать на кнопку «Удалить пароль».


Изменение рисунка учётной записи

В операционных системах Windows есть возможность выбора изображения, соответствующего учётной записи пользователя, которое отображается на всех окнах и меню, на которых должно отображаться имя пользователя. Для того чтобы изменить рисунок для учётной записи пользователя, необходимо сделать следующее:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Выбрать свою учётную запись и нажать на ссылку «Изменение своего рисунка».

  3. В диалоговом окне «Выберите новый рисунок для своей учётной записи» можно:

  • выбрать понравившийся рисунок и нажать на кнопку «Изменение рисунка»;

  • выбрать рисунок на своем компьютере. Для этого нужно нажать на ссылку «Поиск других рисунков». В диалоговом окне «Открыть», передвигаясь по дереву каталогов, следует открыть папку, содержащую нужный файл. По умолчанию в диалоговом окне будут выведены файлы с расширениями *.bmp, *.gif, *.jpeg и *.png. После того, как нужный документ будет найден, нужно его выделить, щёлкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажать на кнопку «Открыть».

Установка родительского контроля

В том случае, если дети имеют доступ к компьютеру, нужно постараться ограничить им доступ для использования содержимого компьютера, а так же приложений, установленных на компьютере. Можно назначить интервалы времени, в течение которых дети могут пользоваться компьютером, а также определить, какими играми и программами они могут пользоваться.

При блокировании родительским контролем доступа к игре или программе появляется уведомление, что программа была заблокирована. Ребенок может щёлкнуть ссылку в уведомлении, чтобы запросить разрешение на доступ к игре или программе. Вы можете разрешить доступ, введя данные своей учётной записи.

Для настройки родительского контроля необходимо выполнить следующие действия:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Создать для ребенка учётную запись, к которой будет применяться родительский контроль.

  3. Перейти по ссылке «Управление другой учётной записью» и в диалоге «Выберите учётную запись для изменения» нажать на ссылку «Установить родительский контроль».

  4. Далее выбрать ту учётную запись, к которой будет применяться родительский контроль.

  5. Применить необходимые настройки для выбранной учётной записи.


Изменение типа учётной записи

После установки операционной системы, созданная учётная запись по умолчанию наделена административными правами. Эта учётная запись позволяет настраивать компьютер и устанавливать любые программы. После окончания настройки компьютера для повседневной работы компания Майкрософт настоятельно рекомендует использовать учётную запись без административных привилегий. Новые учётные записи пользователя следует создавать как обычные учётные записи. Использование обычных учётных записей более безопасно для компьютера. Для изменения типа учётной записи необходимо:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Создать учётную запись с правами администратора, а затем выбрать свою учётную запись и перейти по ссылке «Изменение типа своей учётной записи».

  3. Выбрать нужный тип учётной записи и нажать на кнопку «Изменение типа учётной записи».



Удаление учётной записи

Практическое задание №5

Если возникает необходимость в удалении учётной записи пользователя, то можно выполнить следующие действия:

  1. Нажать на кнопку «Пуск» для открытия меню, открыть «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Выбрать учётную запись, которую нужно удалить.

  3. В диалоге «Внесение изменений в учётную запись Имя_Пользователя» нажать на ссылку «Удаление учётной записи».

  4. В появившемся диалоговом окне нажать на кнопку «Удалить файлы» или на кнопку «Сохранение файлов», если необходимо сохранить информацию удаляемого пользователя.


Включение и отключение гостевой учётной записи

Пользователи, которые заходят на компьютер под учётной записью гостя, получают временный профиль, который создаётся при входе пользователя в систему и удаляется при выходе из неё. Для того чтобы включить эту учётную запись необходимо:

  1. Нажать на кнопку «Пуск» для открытия меню, откройте «Панель управления» и из списка компонентов панели управления выбрать «Учётные записи пользователей».

  2. Нажать на ссылку «Управление другой учётной записью».

  3. В диалоге «Выберите учётную запись для изменения» нажать левой кнопкой мыши на учётной записи «Гость».

  4. В диалоговом окне «Включить учётную запись гостя нажать на кнопку «Включить».
  1   2   3   4   5   6   7


написать администратору сайта