Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Настройка Политики блокировки учетных записей (Account Lockout Policy)




Параметры Политики блокировки учетных записей (Account Lockout Policy) также позволяют улучшить защиту вашего компьютера. Если политика блокировки учетных записей не установлена, неавторизо­ванный пользователь может повторно пытаться получить доступ к компьютеру. Если же вы задали параметры блокировки учетных за­писей, система блокирует учетную запись пользователя при выпол­нении условий, указанных вами в Политике блокировки учетных за­писей. Параметры Политики блокировки учетных записей указаны в таблице 2.

Чтобы получить доступ к параметрам Политики блокировки учет­ных записей, используйте оснастку Группо­вая политика (Group Policy) так же, как при настройке параметров Политики паролей (Password Policy). Текущие параметры политики блокировки учетных записей отображаются в правой части окна кон­соли (рис. 2).

 

 

Параметры политики блокировки учетных записей. Таблица 2

Параметр Описание
Блокировка учетной записи на (Account Lockout Duration) Значение этого параметра определяет ин­тервал времени, в течение которого учетная запись заблокирована. Значение 0 указывает, что учетная запись блокируется до тех пор, пока администратор не разблокирует ее.
Пороговое значение блокиров­ки (Accounl Lockout Treshold) Вы можете ввести любое значение от 0 до 99,999 минут (максимально возможное значение равно 99,999 минут и соответствует примерно 69,4 дня) Задает количество неудачных попыток входа в систему, после которых учетная запись пользователя блокируется Значение, равное 0, указывает, что учетная запись не блокируется, независимо от чис­ла неудачных попыток входа в систему. Вы можете задать любое значение от 0 до 999
Сброс счетчика блокировки через (Reset Lockout Counter After) Значение, вводимое в этом параметре, указывает интервал времени в минутах, по истечении которого счетчик неудачных попыток регистрации будет очищен. Вы можете задавать значение от 1 до 99,999 минут.

 

Рис. 2. Оснастка Групповая политика (Group Policy) отображает параметры

Политики блокировки учетных записей (Account Lockout Policy)

 

Настройка прав пользователя

В разделе Локальные политики (Local Policies) содержатся три узла: Политики аудита (Audit Policy), Назначение прав пользователя (User Rights Assignment) и Параметры безопасности (Security Options).

 

Права пользователя

Вы можете назначать требуемые права группам и отдельным учетным записям пользователей. Для упрощения администрирования Microsoft рекомендует назначать права группам пользователей, а не учетным записям отдельных пользователей. Каждое право пользователя позво­ляет группам пользователей или отдельным пользователям, которым назначено это право, выполнять определенные действия, такие, как архивация файлов или смена системного времени. Если пользователь является членом нескольких групп, права пользователя суммируют­ся, так что он получает все права, назначенные каждой из групп.

Существуют два типа прав пользователя: привилегии и права на вход в систему.

Привилегией (privilege) называется право пользователя, разрешающее членам групп для которых оно назначено, выполнять определенные действия, обычно оказывающие влияние на всю систему, а не на один объект. Привилегии, доступные в Windows XP Professional, описаны в таблице 3.

 

Привилегии, доступные в Windows XP Professional. Таблица 3

Привилегия Описание
Работа в режиме операцион­ной системы (Act As Part Of The Operating System) Позволяет процессу аутентифицироваться подобно пользователю и получать доступ к ресурсам, так же как пользователь. Не назначайте эту привилегию, если нет уверенности в необходимости этого. Только низкоуровневые службы аутентификации могут требовать этой привилегии. Процес­сы, которые требуют эту привилегию, должны выполняться под учетной записью LocalSystem, поскольку для нее данная привилегия уже назначена. Отдельные учетные записи пользователей с этой привилегией позволяют пользова­телям или процессам получать маркер до­ступа, предоставляющий больше прав, чем они должны иметь, и не проходить идентификацию для сохранения событий в журналах аудита
Добавление рабочих станций к домену (Add Workstations То Domain) Позволяет пользователю добавлять ком­пьютеры к домену. Пользователи заданного домена сначала добавляются на компьютере, и при этом создается объект в контейнере Computer службы Active Directory домена. Чтобы привилегия была эффективной, ее следует назначать как часть задаваемой по умолчанию политики контроллеров домена для данного домена.
Архивирование файлов и каталогов (Back Up Files And Directories) Позволяет выполнять архивацию, не наз­начая разрешений, открывающих доступ ко всем файлам и папкам системы. По умолчанию на рабочих станциях, рядовых серверах и контроллерах домена эта привилегия назначается членам групп Администраторы (Administrators) и Операторы архива (Backup Operators). На контроллерах домена эта привилегия также назначается членам группы Операторы сервера (Server Operators).
Обход перекрестной проверки (Bypass Traverse Checking) Разрешает пользователю перемещаться через папки, на доступ к которым у него нет разрешений. Привилегия не позволяет просматривать содержимое папок, а только лишь перемещаться через них по пути к файлу. На рабочих станциях и рядовых серверах эта привилегия по умолчанию устанавливается для групп Администраторы (Administrators), Операторы архива (Backup Operators), Опытные пользователи (Power Users), Пользователи (Users) и Все (Everyone).

 

Продолжение табл. 3

Привилегия Описание
Изменение системного времени (Change The System Time) Позволяет изменять время внутренних часов компьютера. На рабочих станциях и рядовых серверах эта привилегия по умолчанию устанавливается для групп Администраторы (Administrators) и Опытные пользователи (Power Users), а также для учетных записей LocalSystem и NetworkService. На контроллерах домена эта привилегия по умолчанию устанавливается для групп Администраторы (Administrators) и Операторы сервера (Server Operators), а также для учетных записей LocalSystem и NetworkService.
Создание маркерного объекта (Create A Token Object) Позволяет процессу создавать маркер, используемый для доступа к ресурсам локального компьютера, когда процесс использует соответствующий интерфейс прикладного программирования (API). Microsoft рекомендует выполнять процессы, требующие этой привилегии, под учетной записью LocalSystem, поскольку для нее привилегия уже назначена.
Создание постоянных объек­тов совместного использова­ния (Create Permanent Shared Objects) Позволяет процессу создавать объект каталога в диспетчере объектов Windows. Эта привилегия используется компонентами, выполняющимися в режиме ядра и планирующими расширение пространства имен объектов Windows. Компоненты, работающие в режиме ядра, уже имеют эту приви­легию, так что устанавливать ее не требуется.
Создание страничного файла (Create A Pageflle) Позволяет создавать файлы подкачки и изменять размер существующих файлов подкачки. На рабочих станциях, рядовых серверах и контроллерах домена эта привилегия по умолчанию устанавливается для группы Администраторы (Administrators).
Отладка программ (Debug Programs) Позволяет подключать отладчик к любому процессу. Эта привилегия открывает доступ к критически важным компонентам операционной системы. На рабочих станциях, рядовых серверах и контроллерах домена эта привилегия по умолчанию устанавливается для группы Администраторы (Administrators).
Разрешение доверия к учет­ным записям при делегиро­вании (Enable Computer And User Accounts To Be Trusted For Delegation) Разрешает пользователю устанавливать право Доверие при делегировании (Trusted For Delegation) для объектов пользователя или компьютера. Серверный процесс, запу­щенный на компьютере, для которого установлено доверие при делегировании, или от имени пользователя, для которого установлено доверие при делегировании, может получить доступ к ресурсам другого компьютера. He назначайте эту привилегию без необходимости, поскольку установка параметра Доверие при делегировании (Trusted For De­legation) делает вашу систему уязвимой для атаки со стороны троянских вирусов, использующих клиентские вызовы для получения доступа к сетевым ресурсам. На рабочих станциях и рядовых серверах эта привилегия не назначается никому. На контроллерах домена эта привилегия по умолчанию устанавливается для группы Администраторы (Administrators).

 

Продолжение табл. 3

Привилегия Описание
Принудительное удаленное завершение (Force Shutdown From A Remote System) Позволяет выключить компьютер с уда­ленного компьютера в сети. На рабочих станциях и рядовых серверах эта привилегия по умолчанию устанавли­вается для группы Администраторы (Administrators). На контроллерах домена эта привилегия по умолчанию устанавливается для групп Администраторы (Administrators) и Операторы сервера (Server Operators).
Создание журналов безопас­ности (Generate Security Audits) Разрешает процесс добавления элементов в журнал безопасности для объектов аудита.
Настройка квот памяти для процесса (Adjust Memory Quotas For A Process) Позволяет процессу изменять выделенную квоту ресурсов процессора для другого процесса. Процесс, изменяющий квоту, должен иметь доступ на запись для процесса, которому изменяется квота.
Увеличение приоритета диспетчирования (Increase Scheduling Priority) Позволяет процессу изменить приоритет выполнения другого процесса. Процесс, изменяющий приоритет, должен иметь доступ на запись для процесса, приоритет которого изменяется. Разрешает пользователю изменять приоритет процессов через Диспетчер задач (Task Manager). На рабочих станциях, рядовых серверах и контроллерах домена эта привилегия по умолчанию устанавливается для группы Администраторы (Administrators).
Загрузка и выгрузка драйверов устройств (Load And Unload Device Drivers) Позволяет устанавливать и удалять драйвера устройств Plug and Play. На устройства, несовместимые с Plug and Play, данная привилегия никакого влияния не оказывает. Будьте осторожны, назначая эту привилегию. Драйверы устройств выполняются как доверенные программы, поэтому следует устанавливать драйверы только с корректной цифровой подписью. На рабочих станциях, рядовых серверах и контроллерах домена эта привилегия по умолчанию устанавливается для группы Администраторы (Administrators)
Закрепление страниц в памяти (Lock Pages In Memory) Разрешает процессу закреплять данные в физической памяти, что запрещает Windows ХР Professional перемещать эти данные в виртуальную память (файл подкачки) на диске. По умолчанию привилегия никому не назначена. Ее имеют некоторые системные процессы
Управление аудитом и журналом безопасности (Manage Auditing And Security Log) Разрешает пользователю задавать параметры аудита для отдельных объектов, таких, как файлы, объекты Active Directory и разделы реестра. Пользователи с этой привилегией также могут просматривать и очищать журнал безопасности, используя утилиту Просмотр событий (Event Viewer). На рабочих станциях, рядовых серверах и контроллерах домена эта привилегия по умолчанию устанавливается для группы Администраторы (Administrators)  

 

 

Продолжение табл. 3

Привилегия Описание
Изменение параметров среды оборудования (Modify Firm- ware Enviroment Values) Позволяет использовать программу Свойства системы (System Properties) для изменения системных переменных среды. Разрешает процессу, использующему соответствующий API, изменять системные переменные среды.
Запуск операций по обслуживанию тома (Perform Volume Maintenance Tasks) Разрешает пользователю запускать инструментальные средства обслуживания дисков, такие, как Очистка диска (Disk Cleanup) или Дефрагментация диска (Disk Defragmenter). На рабочих станциях, рядовых серверах и контроллерах домена эта привилегия по умолчанию устанавливается для группы Администраторы (Administrators).
Профилирование одного процесса (Profile A Single Process) Разрешает пользователю применять инструментальные средства профилирования производительности для контроля работы несистемных процессов. На рабочих станциях и рядовых серверах эта привилегия по умолчанию устанавливается для групп Администраторы (Administrators) и Опытные пользователи (Power Users). На контроллерах домена только администраторы обладают этой привилегией.
Профилирование загруженности системы (Profile System Performance) Разрешает пользователю применять инструментальные средства профилирования производительности для контроля производительности системных процессов. На рабочих станциях, рядовых серверах и контроллерах домена эта привилегия по умолчанию устанавливается для группы Администраторы (Administrators).
Извлечение компьютера из стыковочного узла (Remove Computer From Docking Station) Позволяет отключать переносной компьютер от стыковочной станции. На рабочих станциях и рядовых серверах и контроллерах домена эта привилегия по умолчанию устанавливается для групп Администраторы (Administrators), Опытные пользователи (Power Users) и Пользователи (Users).
Замена маркера уровня процесса (Replace A Process- Level Token) Разрешает родительскому процессу заменить маркер доступа, ассоциируемый с дочерним процессом.
Восстановление файлов и каталогов (Restore Files And Directories) Позволяет восстанавливать архивированные файлы и каталоги, не назначая пользователю разрешения для этих файлов и каталогов и позволяя данному пользователю действовать как владельцу объектов. На рабочих станциях, рядовых серверах и контроллерах домена эта привилегия по умолчанию устанавливается для групп Администраторы (Administrators) и Операторы архива (backup Operators). На контроллерах домена эта привилегия также назначается группе Операторы сервера (Server Operators).

 

Окончание табл. 3

Привилегия Описание
Завершение работы системы (Shut Down The System) Разрешает пользователю выключать локальный компьютер. На рабочих станциях эта привилегия по умолчанию устанавливается для групп Администраторы (Administrators), Операторы архива (Backup operators), Опытные пользователи (Power Users) и Пользователи (Users). На рядовых серверах эта привилегия по умолчанию устанавливается для групп Администраторы (Administrators), Операторы архива (Backup operators), Опытные пользователи (Power Users). На контроллерах домена эта привилегия по умолчанию устанавливается для групп Администраторы (Administrators), Операторы учетных записей (Account Operators), Операторы архива (Backup operators), Операторы печати (Print operators) и Операторы сервера (Server Operators).
Синхронизация данных службы каталогов (Synchronize Directory Service Data) Позволяет процессу производить синхронизацию службы каталогов. Привилегия используется только на контроллерах домена.
Овладение файлами или иными объектами (Take Ownership Of Files Or Other Objects) Разрешает пользователю становиться вла­дельцем системных объектов, в том числе объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков. На рабочих станциях, рядовых серверах и контроллерах домена эта привилегия по умолчанию устанавливается для группы Администраторы (Administrators).

Права на вход в систему (logon right) представляют собой права пользо­вателя, назначаемые группе или отдельной учетной записи пользова­теля. Они определяют доступные для пользователя способы регист­рации в системе. Права на вход в систему, которые вы можете назна­чить в Windows XP Professional, описаны в таблице 4.

 

Права на вход в систему, доступные в Windows XP Professional. Таблица 4

Право на вход в систему Описание
Доступ к компьютеру из сети (Access This Computer From The Network) Разрешает пользователю подключаться к компьютеру через сеть. На рабочих станциях, рядовых серверах и контроллерах домена это право на вход в систему по умолчанию устанавливается для групп Администраторы (Administrators), Опытные пользователи (Power Users) и Все (Everyone)
Отказ в доступе к компьютеру (Deny Access To This Computer From The Network) Не дает пользователю подключиться к из сети компьютеру через сеть. По умолчанию это право ни для кого не устанавливается

Продолжение табл. 4

Право на вход в систему Описание
Вход в качестве пакетного задания (Log On As A Batch Job) Разрешает пользователю входить в систему с использованием пакетных средств. На рабочих станциях, рядовых серверах и контроллерах домена это право на вход по умолчанию устанавливается для группы Администраторы (Administrators). Если установлен компонент Internet Information Services (IIS), право автоматически назначается встроенной учетной записи для анонимного доступа к IIS
Отказ во входе в качестве пакетного задания (Deny Logon As A Batch Job) Не дает пользователю подключиться к компьютеру с использованием пакетных средств. По умолчанию это право ни для кого не устанавливается
Вход в качестве службы (Log On As A Service) Позволяет участникам системы безопасности, имеющим учетные записи, например пользователям, компьютерам или службам, регистрироваться в системе в качестве служб. Службы могут быть настроены для запуска под учетными записями LocalSystem, LocalService или NetworkService, которые имеют права на вход в качестве службы. Другие службы, запускаемые под отдельными учетными записями, требуют явного назначения этого права. По умолчанию это право ни для кого не устанавливается
Отказать во входе в качестве службы (Deny Logon As A Service) Не дает участнику системы безопасности зарегистрироваться в качестве службы. По умолчанию это право ни для кого не устанавливается
Локальный вход в систему (Log On Locally) Разрешает пользователю регистрироваться с клавиатуры компьютера. По умолчанию это право на вход дается членам групп Администраторы (Administrators), Операторы учетных записей (Account Operators), Операторы архива (Backup Operators), Операторы печати (Print Operators) и Операторы сервера (Server Operators)
Отклонить локальный вход (Deny Logon Locally) Не дает пользователю зарегистрироваться с клавиатуры компьютера. По умолчанию это право ни для кого не устанавливается
Разрешать вход в систему через службу терминалов (Allow Logon Through Terminal Services) Разрешает пользователю регистрироваться с использованием Службы терминалов (Terminal services). На рабочих станциях и рядовых серверах это право на вход по умолчанию дается членам групп Администраторы (Administrators) и Удаленный доступ (Remote Desktop Users). На контроллерах домена это право на вход по умолчанию назначается только членам группы Администраторы (Administrators)
Запретить вход в систему через службу терминалов (Deny Logon Through Terminal Services) Запрещает пользователю вход в систему с использованием Службы терминалов (Terminal Services). По умолчанию это право ни для кого не устанавливается
Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...