Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Средства управления учётными записями

Лабораторная работа №1

Информационная безопасность в Windows.

Пользовательские учётные записи и пароли

Введение

Будучи администратором компьютера, именно вы решаете, кому доверить доступ к компьютеру и хранящимся там файлам. В Windows предусмотрен обширный ассортимент системных компонентов и инструментов, которые призваны идентифицировать каждого, кто попытается получить доступ к защищённым ресурсам.

Начнём с важнейшего строительного блока этой инфраструктуры — пользовательской учётной записи. Для каждого человека, получающего доступ к компьютеру, определяется защищённая паролём учётная запись. Она служит основой для определения прав, привилегий и запретов пользователей. Пользователю, после того как он укажет своё имя пользователя и пароль, предоставляются права на доступ к его файлам и папкам (в том числе шифрованным), к принтерам, совместно с другими используемым ресурсам.

Информация о пользовательских учётных записях хранится в защищённой базе данных Security Accounts Manager (SAM). С целью отслеживания каждой записи и связанных с ней прав и разрешений применяется значение, называемое идентификатором безопасности (SID). SID присваивается один раз при создании учётной записи и уникальным образом её идентифицирует. Он имеет вид, например, S-1-5-21-448539723-842925246-1343024091-1005. Для удобства пользователей работа с SID происходит в фоновом режиме, а учётным записям присваиваются дружественные имена. Например, Kate, Administrator.

База данных Security Accounts Manager поддерживает в системном реестре информацию о пароле учётной записи. Несмотря на то, что информация кодируется с помощью 128-битного ключа шифрования, именно она представляет особую ценность для различных злоумышленников. Для противодействия им Microsoft предложила утилиту Syskey (по умолчанию активизирована для Windows 2000 и старше). Эта утилита использует несколько уровней кодирования. Парольная информация кодируется с помощью ключа шифрования, предназначенного именно для учётной записи данного пользователя. В свою очередь, ключ шифрования кодируется с помощью основного защитного ключа, а последний шифруется с помощью ключа запуска.

По умолчанию ключ запуска случайным образом генерируется компьютером и хранится на локальном компьютере. Этот подход позволяет успешно защищать компьютер от неидентифицированных пользователей.

 

Для компьютеров, которые нуждаются в установке особенно строгих уровней защиты, код Syskey перемещают с компьютера на дискету или ставят дополнительную парольную защиту. Для этого надо набрать в командной строке syskey и щёлкнуть по кнопке Update. Предлагаемая защита столь эффективна, что в случае забывания пароля или потери дискеты со стартовым ключом загрузка Windows будет невозможна. Может помочь только диск восстановления системы и то, если была создана резервная копия системного реестра до включения защиты.

                 

 

Встроенные учётные записи

В Windows есть как минимум 2 встроенные учётные записи, которым назначены определённые привилегии и ограничения.

  • Administrator (администратор). Данная учётная запись предоставляет полный набор прав доступа для всего компьютера. Являясь постоянным членом группы Administrators, эта учётная запись позволяет реализовать неограниченный доступ ко всем файлам и ключам системного реестра. Всякий, кто заходит под этой учётной записью может создавать другие учётные записи пользователей и полностью управлять компьютером.

В Windows XP учётная запись Administrator обычно не отображается на экране Welcome при регистрации. (Она появляется только в том случае, если отсутствует любая другая учётная запись пользователя, являющегося членом одной из групп — Administrators, Guests, Power Users или Users. Также эта учётная запись появляется при загрузке в режиме Safe Mode.) Если вы желаете зарегистрироваться с помощью учётной записи Administrator (или любой другой, которая не отображается на экране Welcome), нажмите два раза комбинацию клавиш CTRL+ALT+DELETE для отображения диалогового окна Log On To Windows, где можно указать любое пользовательское имя.

  • Guest (гость). Учётная запись Guest предназначена для случайных пользователей или же тех, кто обращается к данной системе однократно. Заданные по умолчанию привилегии для этой учётной записи довольно ограничены. Пользователи-гости могут выполнять и сохранять документы только на локальном компьютере. Windows XP также обеспечивает доступ к совместно используемым сетевым ресурсам.

Существуют ещё несколько учётных записей, которые по умолчанию отключены.

  • HelpAssistant. Устанавливается на компьютере начинающего пользователя и предназначена для регистрации удалённого эксперта.
  • SUPPORT_xxxxxxxx. Windows XP может создать одну или несколько учётных записей, которые предназначены для регистрации интерактивной группы поддержки и обслуживания поставщиками, например, компанией Microsoft либо производителем вашего компьютера. Здесь xxxxxxxx представляет номер, определяемый поставщиком.

Операционная система Windows также включает одну или несколько служебных учётных записей — пользовательских учётных записей, созданных с определённой целью. Они применяются операционной системой для выполнения служб. Вот эти учётные записи — LocalSystem, LocalService, NetworkService, System.

Большинство Windows-программ выполняются с применением настроек безопасности пользователя, запускающего на выполнение именно эту программу. Службы должны выполняться также в контексте определённой учётной записи. Однако, поскольку службы могут выполняться до регистрации пользователя в системе и продолжать функционирование после того, как все пользователи будут зарегистрированы, должны существовать и служебные учётные записи. Применение записей подобного типа обеспечивает требуемый контроль.

 

Тип учётной записи (или группа безопасности) обеспечивает простейший метод, позволяющий управлять безопасностью на вашем компьютере. В состав Windows входит несколько встроенных групп безопасности. Каждая из них имеет заранее определённый набор прав доступа, разрешений и ограничений.

Группы безопастности

  • Administrators (Администраторы). Члены группы Administrators обладают полным контролем над компьютером. Они имеют неограниченный доступ ко всем файлам и ключам системного реестра. Администраторы также могут получать любое право или разрешение, которым они на данный момент не обладают. В частности, они имеют следующие возможности:
    • создание, изменение и удаление учётных записей пользователей и групп безопасности;
    • установка программ;
    • доступ ко всем файлам и папкам;
    • установка разрешений;
    • получение права монопольного использования файлов;
    • передача прав учётным записям других пользователей и группам безопасности, а также приобретение подобных прав для самих себя;
    • установка и удаление аппаратных устройств;
    • регистрация в безопасном режиме (Safe Mode);
  • Power Users (Опытные пользователи). Члены Power Users имеют те же привилегии, что и члены группы Administrators. Но не могут монопольно владеть файлами, выполнять резервное копирование/восстановление файлов, загружать или выгружать драйверы устройств, а также изменять меры безопасности и выполнять аудит журналов.
  • Users (Пользователи). Члены группы Users вряд-ли когда-нибудь внесут разлад в работу операционной системы или нарушат функционирование установленных программ. По умолчанию они не могут:
    • изменять глобальные настройки системного реестра, которые относятся ко всем пользователям;
    • изменять файлы операционной системы;
    • изменять файлы программ, устанавливаемых администратором и предназначенных для всех пользователей;
    • работать с папками в режиме общего доступа;
    • создавать, управлять, удалять и совместно использовать локальные принтеры;
    • создавать локальных пользователей и группы.
    • выполнять программы, которые были установлены другими членами группы Users. Это ограничение призвано не допустить заражения других пользователей вирусами, поскольку программа может выполняться только установившим её пользователем.

Эксперты в области безопасности Microsoft рекомендуют не предоставлять возможность регистрации кому-либо с правами доступа администратора. Вместо этого при ежедневной работе предлагается воспользоваться учётной записью с несколько меньшими системными привилегиями. Подобная учётная запись обеспечит выполнение программ и подключение к Интернету. Но будет препятствовать разрушению системной конфигурации, при инфицировании вирусом, и создаст заслоны для внедрения «троянских коней».

  • Guests (Гости). Им предоставляется ограниченный доступ. Без возможности выхода в интернет. Windows XP представляет возможность гостям пользоваться системными ресурсами, к которым открыт общий доступ.
  • Backup Operators (Операторы архива). Предоставляются привилегии, требуемые для резервирования/восстановления файлов и папок. (В том числе к тем, к которым доступ невозможен.)

и др.

Кроме рассмотренных выше групп Windows автоматически поддерживает группы безопасности, членство в которых не контролируется администратором. Некоторые из этих групп созданы для реализации спецзаданий. Например, каждый, кто устанавливает связь с компьютером по коммутируемой сети, автоматически включается в группу Dualup и подчиняется ограничениям этой группы. Одна группа стоит упоминания.

  • Everyone (все). В эту группу входят все пользователи, имеющие доступ к компьютеру, включая членов группы Guests. В Windows XP из этой группы исключили членов группы Anonimous Logon (анонимная регистрация).

Средства управления учётными записями

Первым шагом на пути построения системы безопасности является настройка пользовательских учётных записей. Для этих целей Windows предлагает следующие утилиты:

  • User Accounts (учётные записи пользователей). Доступна из панели управления (Control Panel). Запускается панель управления двумя способами:  (WIN+R или Пуск Выполнить).  В командной строке надо ввести control userpasswords.
    Предоставляет базовые возможности добавления/удаления учётных записей, установки паролей, перемещению записей в группы безопасности Administrators, Users (или Limited в Windows XP). С помощью этой утилиты можно также:
    • изменять пользовательские учётные записи
    • конфигурировать способ регистрации (в Windows XP)


Задание 1.

o Запустите User Accounts o Посмотрите существующие учётные записи. Определите к какой группе они относятся, есть ли у них пароль. Запомните или запишите эти учётные записи. Мы не будем их трогать. o С помощью User Accounts создайте учётную запись типа Administrator под которой будете работать. o Смените пользователя и зайдите под своей, только что созданной учётной записью
  • Users And Passwords («Пользователи и пароли», или еще называют «Учетные записи пользователей»). Запускается из командной строки (WIN+R или Пуск Выполнить): control userpasswords2.
    Эта утилита предоставляет те же возможности, что и User Accounts. Дополнительно в ней можно настроить автоматический (без регистрации) вход в систему и необходимость нажимать CTRL+ALT+DELETE.

    Задание 2.
o Откройте Users And Passwords o Выберите свою учётную запись и смените себе пароль. Можете также сменить свое членство в группе. Чтобы настроить членство, надо щёлкнуть на Properties (Свойства), перейти на вкладку Group Membership (Членство в группах). Заодно посмотрите какие группы безопасности поддерживает операционная система. Верните себе членство в группе Administrators. o Обратите внимание на строчку «Users must enter a user name and passwords to use this computer» («Чтобы использовать компьютер пользователи должны ввести имя и пароль»). Если снять галочку, то Windows сразу загрузит рабочий стол выбранного пользователя. Этот способ удобен, если на компьютере один пользователь. Но если вы хотите сохранить свои файлы в секрете его не стоит использовать. Поставьте галочку и перезагрузитесь. Вы вошли сразу на указанный вами рабочий стол?
  • Local Users And Groups (Локальные пользователи и группы). Доступ к этой утилите обеспечивается посредством консоли Microsoft Management Console (MMC). Запустить её можно несколькими способами.
    • Из Users And Passwords. Выберите вкладку Advanced (Дополнительно) и щёлкните на кнопке Advanced (Дополнительно).
    • В командной строке введите lusrmgr.msc

Эта утилита предоставляет гораздо больше возможностей. Из тех, которые ещё не были перечислены ранее, стоит отметить возможность активации/отключения и разблокировки учётных записей, требования к существованию ненулевого пароля. Можно установить невозможность изменения пароля пользователем. Это следует сделать, если с этой учётной записью будет работать несколько человек. Так же с помощью этой утилиты можно управлять группами безопасности. С группами можно делать следующее:

    • создавать новую группу безопасности. По умолчанию, члены этой группы обладают минимальными правами.
    • удалять группу
    • переименовывать
    • добавлять/убирать учётные записи в группе

 


Задание 3.

o Откройте Local Users And Groups, папку Users o Создайте с помощью этой утилиты несколько учётных записей (Щелчёк правой кнопкой мыши, New User …). o По умолчанию пользователи добавляются в группу Users. Их можно сделать членами одновременно нескольких групп. Добавим, например, созданную учётную запись в группу Backup Operators.(Add … Advanced … Find Now, выберите Backup Operators). Это будет означать добавление прав и ограничений группы Backup Operators. В данном случае User приобретёт привилегии, требуемые для резервирования и восстановления файлов. o Перейдите в папку Groups. Щёлкните по группе Backup Operators. Удалите из неё учётную запись, которую только что в неё добавили. o Можете перезапуститься под созданными учётными записями. Если они обладают правами администратора или опытных пользователей, попробуйте определить, что вам делать запрещено.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...