 |
Средства управления учётными записями - 2
|
|
|
|
- Net-команды. Хотя утилиты командной строки Net User и Net Localgroup не являются столь «прозрачными», как другие визуальные инструменты, с их помощью возможно наиболее полное и непосредственное выполнение различных задач по управлению учётными записями.
Не смотря на то, что Net-команды можно вводить в диалоговом окне Run (Выполнить), лучше воспользоваться для этого окном Command Prompt. Это связано с тем, что результаты выполнения команд отображаются в том же окне, где она вводится. При работе с окном Run вы ничего не успеете увидеть. После выполнения команды оно сразу закроется. Чтобы запустить Command Prompt, надо ввести в командную строку Выполнить (Run) — cmd.
Пример, можно ввести команду и просмотреть результаты её выполнения следующим образом:
| E:/>net user ivan /add /fullname:"Иван Петров" /randomPassword for ivan is: n_9UmZ9PThe command completed successfully. |
| E:/>net user ivan /deleteThe command completed successfully. |
| E:/>net user ivan /add * /fullname:"Иван Петров" /times:monday,16-18;wednesday,10-16;friday,9-12 /expires:10/12/03 /comment:"Ваня Петров. Работает посменно по понедельникам (16-18), средам (10-16) и пятницам (9-12) и так до 12 октября 2003."Type a password for the user:Retype the password to confirm:The command completed successfully. |
| E:/>net user ivan /active:noThe command completed successfully. |
| E:/>net user ivan /passwordchg:noThe command completed successfully. |
| E:/>net localgroup usersAlias name usersComment Users are prevented from making accidental or intentional system-wide changes. Thus, Users can run certified applications, but not most legacy applicationsMembers-------------------------------------------------------------------------------ivanNT AUTHORITY/Authenticated UsersNT AUTHORITY/INTERACTIVEThe command completed successfully. |
Параметры команды Net User. (Дополнительную информация можно получить, набрав net help user и net user /?)
| Параметр | Описание |
| /Add | Создание новой учётной записи. Имя пользователя может содержать максимум 20 символов и не допускает применения следующих знаков: «//[]=,+*?<>. Например: Net user ivan /add |
| /Delete | Удаление учётной записи. |
| пароль или /Random | Установка пароля. Если указать звёздочку (*), отобразится запрос на ввод пользовательского пароля. Это удобно, если пользователь хочет ввести свой пароль сам. При выборе переключателя /Random случайным образом генерируется пароль, состоящий из 8 символов. |
| /Fullname:"имя" | Указание полного имени пользователя |
| /Comment:"текст" | Указание комментария (до 40 символов) |
| /Passwordchg:yes или /Passwordchg:no | Возможность изменения пароля пользователем. По умолчанию пользователь может менять пароль. |
| /Active:yes или /Active:no | Активизация/блокирование учётной записи. (Если учётная запись заблокирована пользователь не может зарегистрироваться) |
| /Expires: дата или /Expires:never | Установка даты устаревания учётной записи. В случае указания параметра дата воспользуйтесь настройками сокращённого формата даты. Срок действия учётной записи завершается в начале указанного дня; после наступления этого события пользователь не может зарегистрироваться до тез пор, пока администратор не укажет новую дату устаревания |
| /Passwordreq:yes или /Passwordreq:no | Определяет можно ли использовать учётную запись без пароля. |
| /Times:время или /Times:all | Установка часов регистрации пользователя. Например: M-F,8am-6pm;Sa,9am-1pm. Что означает, регистрация разрешена в понедельник-пятницу с 8 до 18, в субботу с 9 до 13. Опция All разрешает регистрацию в любое время. Пустое значение блокирует регистрацию. |
Задание 4.
|
|
|
| o Запустите Command Prompt o Создайте произвольную учётную запись o По умолчанию она добавится в группу Users. Проверьте это введя net user и имя созданной учётной записи. Например, net user ivan. |
Создание надёжных паролей
Пароли обычно являются самым слабым звеном в системе безопасности компьютера. Надежность паролей играет важную роль, потому что для взлома паролей используются все более изощренные программы и мощные компьютеры. Надежный пароль должен отвечать следующим требованиям:
|
|
|
- пароль должен состоять не менее чем из восьми знаков
- должен сдержать знаки, относящиеся к каждой из следующих трех групп.
| Группа | Примеры |
| Буквы (прописные и строчные) | A, B, C... (и a, b, c...) |
| Цифры | 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 |
| Символы (все знаки, не являющиеся буквами или цифрами) | ` ~! @ # $ % ^ & * () _ + - = { } | [ ] /: "; ' < >?,. / |
- должен содержать не менее одного символа
- должен значительно отличаться от паролей, использовавшихся ранее
- не должен содержать фамилии или имени пользователя или быть распространённым словом
Удовлетворяемый этим требованиям пароль подобрать уже не так просто. Часто для этого требуются недели и даже месяцы. Но если злоумышленник располагает неограниченным временем, то он вскроет ваш пароль. Поэтому следует изменять его до того, как он это сделает. Рекомендуется делать это не реже одного раза за три месяца. Если есть подозрение, что кто-то подобрал пароль — смените его немедленно.
Надёжные и сложные пароли можно придумывать самим, а можно воспользоваться генераторами паролей. Их можно найти в интернете в большом количестве задав поисковой машине «password generator». Один из неплохих русскоязычных ресурсов — http://www.genpas.narod.ru
Дополнительные задания.
(необязательно выполнять)
Задание 5.
|
Проблема: забытые пароли
Если вы будете честно следовать правилам установки паролей, то вскоре начнёте их путать и забывать. Windows берёт часть работы на себя. Он запомнит, если вы захотите, логины и пароли на веб-сайтах, сохранит ключи шифрования, электронные сертификаты. Единственное, что вам необходимо помнить — это ваши имя пользователя и пароль. Пользователь в Windows сам управляет своими паролями. При утере пароля администратор, конечно, может присвоить новый пароль. Но при этом вы потеряете доступ ко всем вашим зашифрованным данным и сертификатам.
Чтобы не потерять информацию в Windows можно создать Password Reset Disk (диск переустановки пароля). Этот диск позволит вам безопасно создать новый пароль, если вы забыли старый.
|
|
|
Задание 6.
|
Backup. Запустится мастер забытых паролей. Создайте с его помощью Password Reset Disk.Если в вашем распоряжении отсутствует Password Reset Disk, а пароль для учётной записи администратора был безвозвратно утерян, для получения доступа к компьютеру придётся воспользоваться различными хакерскими приёмами.
Наиболее простая ситуация складывается в том случае, если системный диск отформатирован с применением FAT или FAT32. В этом случае используется тот факт, что если во время отображения регистрационного экрана не наблюдается активности со стороны клавиатуры или мыши Windows запускает экранную заставку (Logon.scr), которая выполняется в контексте системной учётной записи. (Учётная запись System имеет очень большие привилегии, чуть ли не большие, чем администратор). Если вместо Logon.scr воспользоваться другой программой, можно обойти механизм регистрации. Для этого надо:
- Загрузиться с загрузочного диска Windows или MS-DOS.
- Перейти к папке %SystemRoot%/System32, переименовать файл Logon.scr, а затем создать копию файла Cmd.exe (Command Prompt), придав ему имя Logon.scr.
- Перезагрузиться.
- Подождать когда появится экранная заставка, вместо которой вы увидите окно Command Prompt.
- Сменить пароль администратора с помощью команды net user. (net user adminisrator IE$4sx5$Uq)
- Зарегистрироваться с правами администратора, воспользовавшись новым паролём.
| Диски, форматированные в NTFS, тоже можно прочитать. Для этого можно воспользоваться программой NTFSDOS Professional, которая позволяет работать с дисками NTFS из DOS. |
Если требуется восстановить утерянный пароль (либо проверить насколько уязвимым по отношению к атакам является компьютер), можно воспользоваться программами взлома паролей. Они различаются по методам взлома (атаки со словарём, извлечение хэшей паролей из базы данных SAM или, что ещё лучше, извлечение подобной информации из памяти, грубый перебор всех вариантов) и способом работы (после загрузки с дискеты, после загрузки в другой операционной системе, с другого компьютера, подключённого к сети, с другого рабочего стола).
|
|
|
Вполне возможно вы удивитесь, как быстро подобная программа может подобрать пароль. Если есть физический доступ к компьютеру и вы каким-либо способом зарегистрировались, взлом любого пароля вряд ли займёт больше одного дня. Большинство паролей могут быть разгаданы за несколько часов, а некоторые наиболее простые — за несколько минут.
См., например, программу ElcomSoft Advansed NT Security Explorer, распространяющуюся бесплатно. Дополнительные сведения об инструментах и методиках, применяемых для взлома паролей, можно найти на веб-сайте password-crackers.com
Политики учётных записей
В Windows существует утилита, позволяющая устанавливать «правила поведения» для всех учётных записей пользователей. Это консоль Local Security Settings (Локальная политика безопасности). «Правила поведения» в Windows называют политикой. Политика безопасности таким образом — это обязательные правила, которые обеспечивают безопасность.
Консоль локальной политики безопасности можно запустить несколькими способами. Через Пуск 
Программы Администрирование. Либо введя в командной строке secpol.msc.
С помощью консоли Local Security Settings можно изменять требования к паролям (Password Policy) и настраивать блокировку учётных записей, которая происходит при повторяющемся вводе неправильных паролей (Lockout Account Policy).
- Password policy (Политика паролей)
| Политика | Описание |
| Enforce password history (Требовать неповторяемости паролей) | Определяет число новых паролей, которые должны быть сопоставлены учетной записи пользователя, прежде чем можно будет снова использовать старый пароль. Это значение должно принадлежать дипазону от 0 до 24. Данная политика позволяет администраторам повышать уровень безопасности, запрещая все время использовать одни и те же старые пароли. Чтобы добиться эффективной сменяемости паролей, не разрешайте немедленную замену паролей при настройке параметра Минимальный срок действия пароля. По умолчанию: 1. |
| Maximum password age (Максимальный срок действия пароля) | Определяет период времени (в днях), в течение которого можно использовать пароль, прежде чем система потребует от пользователя заменить его. Можно задать значение в диапазоне от 1 до 999 дней или снять всякие ограничения срока действия, установив число дней равным 0. По умолчанию: 42. |
| Minimum password age (Минимальный срок действия пароля) | Определяет период времени (в днях), в течение которого необходимо использовать пароль, прежде чем пользователь сможет заменить его. Можно задать значение в диапазоне от 1 до 999 дней или разрешить немедленное изменение, установив число дней равным 0. Минимальный срок действия пароля должен быть меньше, чем Максимальный срок действия пароля. Чтобы параметр Требовать неповторяемости паролей действовал эффективно, установите минимальный срок действия пароля, отличный от нуля. Если этого не сделать, пользователь сможет перебрать все свои пароли и дойти до старого пароля, который он предпочитает. Тем не менее по умолчанию для данного параметра устанавливается нулевое значение, чтобы администратор мог задать пароль для пользователя и потребовать от него сменить этот пароль после входа в систему. Если число обязательных неповторяющихся паролей установить равным 0, пользователю не нужно будет выбирать новый пароль. Поэтому число неповторяющихся паролей по умолчанию равно 1. По умолчанию: 0. |
| Minimum password length (Минимальная длина пароля) | Определяет наименьшее число символов, которые может содержать пароль учетной записи пользователя. Можно задать значение в диапазоне от 1 до 14 символов или отменить использование пароля, установив число символов равным 0. По умолчанию: 0. |
| Passwords must meet complexity requirements (Пароль должен отвечать требованиям сложности) | Определяет, должны ли пароли отвечать требованиям сложности. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям. o Пароль не может содержать имя учетной записи пользователя или какую-либо его часть. o Пароль должен состоять не менее чем из шести символов. o В пароле должны присутствовать символы трех категорий из числа следующих четырех: § прописные буквы; § строчные буквы; § цифры; § остальные символы (например,!, $, #, %). Проверка соблюдения этих требований выполняется при изменении или создании паролей. О том, как создавать фильтры паролей, см. в материалах пакета Microsoft Platform Software Development Kit и на веб-узле Microsoft Technet. По умолчанию: отключен. |
| Store passwords using reversible encryption (Хранить пароли используя обратимое шифрование) | Определяет, следует ли в системах Windows 2000 Server, Windows 2000 Professional и Windows XP Professional хранить пароли, используя обратимое шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности нужно знать пароль пользователя. Хранить пароли, зашифрованные обратимыми методами, — это все равно что хранить их открытым текстом. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля. Эта политика является обязательной при использовании протокола проверки подлинности CHAP в средствах удаленного доступа или службах IAS. Она также необходима при использовании проверки подлинности методом Digest Authentication в информационных службах Интернета (Internet Information Services, IIS). По умолчанию: отключен. |
- Account lockout policy (Политика блокировки учетной записи)
| Политика | Описание |
| Account lockout duration (Блокировка учетной записи на...) | Определяет число минут, в течение которых учетная запись остается блокированной, прежде чем будет автоматически разблокирована. Этот параметр может принимать значения от 1 до 99 999 минут. Если установить значение 0, учетная запись будет блокирована на все время до тех пор, пока администратор не разблокирует ее явным образом. Если пороговое значение блокировки определено, данный интервал блокировки должен быть больше или равен интервалу сброса. По умолчанию: не определен, поскольку данный параметр имеет смысл только при заданном параметре Пороговое значение блокировки. |
| Account lockout threshold (Пороговое значение блокировки) | Определяет число неудачных попыток входа в систему, после которых учетная запись пользователя блокируется. Блокированную учетную запись нельзя использовать до тех пор, пока она не будет сброшена администратором или пока не истечет ее интервал блокировки. Можно задать значение в диапазоне от 1 до 999 или запретить блокировку данной учетной записи, установив значение 0. Попытки входа с неверным паролем на рабочие станции или рядовые серверы, заблокированные с помощью клавиш CTRL+ALT+DELETE или экранных заставок, защищенных паролем, не считаются неудачными попытками входа. По умолчанию: отключен. |
| Reset account lockout counter after (Сброс счетчика блокировки через...) | Определяет число минут, которые должны пройти после неудачной попытки входа в систему, прежде чем счетчик неудачных попыток будет сброшен в 0. Этот параметр может принимать значения от 1 до 99 999 минут. Если определено пороговое значение блокировки, данный интервал сброса не должен быть больше интервала Блокировка учетной записи. По умолчанию: не определен, поскольку данный параметр имеет смысл только при заданном параметре Пороговое значение блокировки. |
Задание 7.
|
|
|
|
Задание 8.
|
|
|
|
12 |
