Главная страница
Навигация по странице:

  • Редактирование общих настроек политики безопасности IP

  • Настройки новой политики безопасности IP

  • Определение названия политики безопасности

  • Окно завершения назначения новой политики IP-безопасности

  • Окно правил для вновь созданной политики

  • Окно создания нового правила

  • Определение названия фильтра IP

  • Назначение адресов и источника IP-пакетов для фильтра

  • Выбор типа протокола, который должен обрабатываться фильтром

  • Закладка «Действие фильтра»

  • Определение методов безопасности, используемых для фильтра

  • Создание метода безопасности

  • Определение криптографических настроек IPSec-протокола

  • Определение типа подключения для правила

  • Определение методов проверки подлинности

  • Задание методов проверки подлинности для фильтра

  • Конфигурация расширенной политики аудита

  • Локальная политика безопасности. Лабораторная работа №7 - Локальная политика безопасности. Управление правами пользователей в ос windows Локальная политика безопасности Пенза, 2014


    Скачать 1.64 Mb.
    НазваниеУправление правами пользователей в ос windows Локальная политика безопасности Пенза, 2014
    АнкорЛокальная политика безопасности
    Дата09.04.2023
    Размер1.64 Mb.
    Формат файлаdoc
    Имя файлаЛабораторная работа №7 - Локальная политика безопасности.doc
    ТипМетодические рекомендации
    #1049027
    страница6 из 7
    1   2   3   4   5   6   7


    Назначение и отключение IPSec-соединения с использованием стандартных настроек Windows

    Для организации аутентифицированного и закрытого обмена данными между двумя компьютерами по протоколу IPSec необходимо активизировать на одной стороне политику «Безопасность сервера», на другой – «Клиент» в разделе «Политики безопасности IP на Локальный компьютер». Это можно сделать, выбрав пункт локального меню (вызываемого по правой кнопке «мыши») «Назначить», предварительно выбрав строку с нужной политикой.

    Стандартные политики предназначены для использования в рамках одного домена. В противном случае защищённое соединение не будет установлено.

    Связывающиеся стороны должны быть уверены, что настройки используемых политик остались неизменными с момента установки операционной системы. Вместе с тем теоретически существует ненулевая вероятность, что после выполнения согласования поддерживаемых криптографических алгоритмов и ключевых данных, соединение будет организовано только с использованием протокола аутентификации, которое предполагает активизацию механизмов только авторства и целостности передаваемых пакетов, в то время как само содержимое пакетов будет передаваться по сети в открытом виде. Это создаёт предпосылки к тому, что все данные, которыми обмениваются компьютеры, организовавшие «защищенный» канал, будут перехвачены.

    Чтобы удалить назначение политики IPSec, нужно щёлкнуть на активной политике правой кнопкой «мыши» и выбрать команду «Снять». Кроме того, можно отключить на компьютере службу «Агент политики IPSEC». Это позволит обеспечить гарантированное отключение использования политики безопасности IPSec, которая может управляться на уровне контроллера домена.
    Редактирование общих настроек политики безопасности IP

    Необходимо выберать закладку «Общие» в окне «Свойства».


    Рисунок 10 – Окно свойств политики безопасности IP двух узлов
    В поле «Проверять политику на наличие изменений каждые: « должно быть записано значение 180 мин., щёлкнуть кнопку «Дополнительно...». При этом открывается окно «Параметры обмена ключами».

    Установитьпараметры, как показано на рисунке 11, и щёлкнуть «Методы».


    Рисунок 11 – Окно параметров обмена ключами
    При этом откроется окно «Методы безопасности при обмене ключами», в котором нужно удалить все строки, кроме одной с параметрами:

    • «Тип (Type)» – IKE;

    • «Шифрование (Encryption)» – 3DES;

    • «Целостность (Integrity)» – SHA1;

    • «Группа Диффи-Хелмана (Diffie-Hellman ...)» – Средняя (2).




    Рисунок 12 – Окно методов безопасности при обмене ключами


    Настройки новой политики безопасности IP

    Для настройки новой политики ниже будет подробно описана последовательность действий, определяемая следующими шагами:

    1. Создание новой политики безопасности IP.

    2. Определение нового правила:

    • списка IP-фильтров (назначение используемых сетевых протоколов и адресов взаимодействующих хостов);

    • действия фильтра (выбор используемых криптографических алгоритмов);

    • методов проверки подлинности (назначение способа установления доверительных отношений между компьютерами);

    • типа подключения (удалённый доступ, локальная сеть);

    • параметров туннеля (использовать или нет туннельный вариант протокола IPSec).


    Практическое задание №8

    1. Создание новой политики

    В левой части окна «Локальные параметры безопасности» выбрать пункт «Политики безопасности IP на Локальный компьютер» и создать новую политику либо «кликнув» на значке меню, либо выбрав пункт контекстного меню (вызываемого при нажатии правой кнопки «мыши» в правой части окна) «Создать политику безопасности». При этом открывается окно «Мастер политики IP-безопасности». Щёлкнуть «Далее» для перехода к следующему окну диалога.


    Рисунок 13 – Начальное окно мастера политики IP-безопасности
    Ввести любое имя новой политики и, если это необходимо, её описание. Щёлкнуть «Далее» для перехода к следующему окну диалога.


    Рисунок 14 – Определение названия политики безопасности
    Отменить установку флажка «Использовать правило по умолчанию», в результате чего для данной политики можно будет определить пользовательское правило. Щёлкнуть «Далее» для перехода к следующему окну диалога.


    Рисунок 15 – Окно определения активизации политики
    после задания параметров

    Удостовериться, что флажок «Изменить свойства» установлен, и щёлкнуть «Готово».


    Рисунок 16 – Окно завершения назначения новой политики IP-безопасности


    1. Редактирование свойств политики безопасности IP;

    При этом создание новой политики заканчивается и открывается окно «Свойства».


    Рисунок 17 – Окно правил для вновь созданной политики
    Необходимо отменить установку флажка «Использовать мастер» и щёлкнуть «Добавить». При этом открывается окно «Свойства: Новое правило».


    Рисунок 18 – Окно создания нового правила


    1. Создание нового фильтра;

    На закладке «Список фильтров» щёлкнуть «Добавить», при этом открывается окно «Список фильтров IP».

    Ввести любое имя фильтра и, если это необходимо, его описание. Отмените флажок «Использовать мастер» и щёлкнуть «Добавить». При этом открывается окно «Свойства: Фильтр».


    Рисунок 19 – Определение названия фильтра IP

    Выбрать закладку «Адресация» и установить следующие параметры:

    • адрес источника пакетов – Определённый IP-адрес»;

    • IP-адрес – IP-адрес вашего компьютера;

    • адрес назначения пакетов – Определённый IP-адрес;

    • IP-адрес – адрес компьютера, с которым устанавливается защищенное соединение;

    • проверить установку флажка «Отраженный».




    Рисунок 20 – Назначение адресов и источника IP-пакетов для фильтра
    Выбрать закладку «Протокол» и установить «Тип протокола» – «Любой».


    Рисунок 21 – Выбор типа протокола, который должен обрабатываться фильтром

    Закончить описание свойств фильтра, щёлкнув «OK» в окне «Свойства: Фильтр».

    Щёлкнуть «Закрыть (OK)» в окне «Список фильтров IP».

    На закладке «Список фильтров IP» в окне «Свойства: Новое правило» поставить точку в строке, отображающей только что созданный новый фильтр.


    1. Создание нового действия;

    Выбрать закладку «Действие фильтра» в окне «Свойства: Новое правило».


    Рисунок 22 – Закладка «Действие фильтра»
    Отменить установку флажка «Использовать мастер» и щёлкнуть «Добавить». При этом открывается окно «Свойства: Создание действия фильтра».


    Рисунок 23 – Определение методов безопасности,
    используемых для фильтра

    На закладке «Методы безопасности» выбрать пункт «Согласовать безопасность» и щёлкнуть «Добавить», при этом открывается окно «Создать метод безопасности».


    Рисунок 24 – Создание метода безопасности
    Выбрать пункт «Настраиваемая безопасность» и щёлкнуть «Параметры...». При этом открывается окно «Параметры особого метода безопасности», в котором необходимо установить значения.


    Рисунок 25 – Определение криптографических настроек IPSec-протокола
    Щёлкнуть «OK» в этом окне и окне «Создать метод безопасности».

    В окне «Свойства: Создание действия фильтра» флажок должен быть установлен только на пункте «Принимать небезопасную связь, но отвечать с помощью IPSec». На закладке «Общие» заполнить имя и, если это необходимо, описание.

    Щёлкнуть «OK».

    На закладке «Действие фильтра» в окне «Свойства: Новое правило» поставить точку в строке, отображающей только что созданное новое действие фильтра.


    1. Установка параметров туннеля и типа подключения;

    Выбрать закладку «Параметры туннеля» в окне «Свойства: Новое правило» и сохранить заданную по умолчанию настройку «Правило не определяет туннель».


    Рисунок 26 – Выбор использования туннелирования при соединении
    Выберать закладку «Тип подключения» в окне «Свойства: Новое правило». Можно выбрать пункт «Все сетевые подключения», но лучше выбрать конкретный тип: либо «Локальное сетевое подключение (LAN)», либо «Удалённый доступ».



    Рисунок 27 – Определение типа подключения для правила


    1. Установка метода проверки подлинности;

    Выбрать закладку «Методы проверки подлинности» в окне «Свойства: Новое правило». По умолчанию Kerberos устанавливается в качестве метода проверки подлинности.


    Рисунок 28 – Определение методов проверки подлинности
    Щёлкнуть «Добавить», при этом откроется окно «Свойства: Изменить способ проверки подлинности».


    Рисунок 29 – Задание методов проверки подлинности для фильтра

    Выбрать пункт «Использовать данную строку для защиты обмена ключами» и внести в окно пароль, который будет использоваться для установления защищенной связи между компьютерами.

    Щёлкнуть «OK».

    Удалить из списка методов все, кроме созданного вами.

    Щёлкнуть в окне «Свойства: Новое правило –> ОК».

    На этом создание нового правила закончено.
    Некоторые пояснения для возможных методов установления доверительных отношений:

    «Стандарт Windows 2000 Kerberos V5» – протокол Kerberos задан по умолчанию, и если все участники находятся в одном домене, это будет лучшим вариантом, поскольку облегчает конфигурирование.

    «Использовать сертификат данного Центра сертификации» – безопасность, основанная на применении сертификатов. Можно использовать сертификаты для инициализации защищенного соединения. Они совместимы со многими системами сертификации.

    «Использовать данную строку для защиты обмена ключами» – использование предварительно совместно используемых строк является наиболее нежелательным методом обеспечения безопасности, если строка будет сфальсифицирована, невозможно гарантировать конфиденциальность. Однако подобный метод можно использовать в том случае, если поддерживаются внешние операционные системы или устройства.

    Конфигурация расширенной политики аудита

    Предоставляет дополнительные локальные политики, отвечающие за аудит.

    Варианты заданий

    1

    1, 10, 20

    2

    2, 9, 21

    3

    3, 8, 19

    4

    4, 7, 18

    5

    5, 11, 17

    6

    6, 12, 22

    7

    7, 13, 16

    8

    1, 8, 14

    9

    6, 15, 21

    10

    1, 6, 16

    Задание 1. Создать учётную запись при помощи диалога «Управление учётными записями пользователей» (п.1.2.1).

    Задание 2. Создать учётную запись при помощи диалога «Учётные записи пользователей» (п.1.2.2).

    Задание 3. Создать учётную запись при помощи оснастки «Локальные пользователи и группы» (п.1.2.3).

    Задание 4. Создать учётную запись с помощью командной строки (п.1.2.4).

    Задание 5. Изменить имя учётной записи при помощи диалогового окна «Управление учётными записями пользователей» (п.2.1).

    Задание 6. Создать пароль учётной записи при помощи диалогового окна «Управление учётными записями пользователей» (п.2.2).

    Задание 7. Создать пароль учётной записи и изменить его (п.2.3).

    Задание 8. Создать и удалить пароль учётной записи (п.2.4).

    Задание 9. Изменить рисунок учётной записи (п. 2.5).

    Задание 10. Изменить тип учётной записи (п.2.7).

    Задание 11. Включить (отключить) учётную запись «Гость» (п.2.9).

    Задание 12. Отключить (активизировать) учётную запись пользователя с помощью оснастки «Локальные пользователи и группы» (п.3.2).

    Задание 13.Установить максимальный срок действия пароля 30 дней и минимальный срок действия 10 дней.

    Задание 14. Установить требование к сложности и длине пароля (не менее 10 символов).

    Задание 15. Установить требование к неповторямости паролей (не менее 3 хранимых паролей).

    Задание 16. Использовать шифрование для хранения паролей.

    Задание 17. Установите блокировку учётной записи на 5 минут после 3 неудачных попыток входа.

    Задание 18. Установите аудит для каждой успешной попытки входа в систему учётной записи пользователя.

    Задание 19. Установите аудит каждой попытки изменения политики назначения прав пользователям, аудита, учётной записи или доверия.

    Задание 20. Установите аудит событий управления учётными записями на компьютере (создание, перемещение и отключение учётных записей, изменение их паролей и групп).

    Задание 21. Предоставьте определённому пользователю право изменения системного времени.

    Задание 22. Создайте новую политику безопасности (без последующего изменения её свойств).

    Контрольные вопросы:

    1. Что такое учётная запись пользователя и какие сведения она может содержать?

    2. Какими способами создаётся учётная запись для компьютеров, состоящих в рабочей группе?

    3. Какие ограничения накладываются на имя пользователя?

    4. Перечислите группы пользователей, встроенные в ОС Windows 7.

    5. Как создать учётную запись при помощи оснастки «Локальные пользователи и группы»?

    6. Как создать учётную запись при помощи командной строки?

    7. Какие действия можно выполнять при помощи окна «Управление учётными записями пользователей»?

    8. Какие действия с учётными записями можно производить при помощи оснастки «Локальные пользователи и группы»?

    9. Каким образом можно открыть оснастку «Локальная политика безопасности»?

    10. Какие интегрированные контейнеры включает консоль «Локальная политика безопасности»?

    11. В каком узле политики можно установить требования к длине, сложности пароля?

    12. Какие политики можно настраивать в разделе «Политика аудита»?

    13. В каком узле можно определить какие пользователи могут управлять аудитом и журналом безопасности?

    14. Что такое «Брандмауэр Windows в режиме повышенной безопасности»?

    15. Что можно настраивать в области сведений политик диспетчера списка сетей?

    16. Как происходит процесс шифрования в EFS?

    17. Посредством каких правил производится идентификация ПО при применении политик ограниченного использования программ?

    18. Какие уровни используются в политиках ограниченного использования программ?

    19. Какие существует 3 варианта настройки для организации защищённого IP-канала – политики безопасности IPSec в рамках одного домена?

    20. Опишите последовательность действий при создании и настройке новой политики безопасности IP?
    1   2   3   4   5   6   7


    написать администратору сайта