Разграничение прав пользователей в защищенных версиях операционной системы Windows

Практическая  работа №1

Разграничение прав пользователей в защищенных версиях  операционной системы Windows

 

Цель работы: освоение средств администратора защищенных версий операционной системы Windows, предназначенных для

• регистрации пользователей и групп в системе,
• определения их привилегий,
• определения параметров политики безопасности, относящихся к аутентификации и авторизации пользователей при интерактивном входе.

1) Какие существуют способы  аутентификации пользователей?

К первой группе относятся  способы аутентификации, основанные на том, что пользователь знает некоторую  подтверждающую его подлинность  информацию (парольная аутентификация и аутентификация на основе модели «рукопожатия»).

Ко второй группе относятся  способы аутентификации, основанные на том, что пользователь имеет некоторый  материальный объект, который может  подтвердить его подлинность (например, пластиковую карту с идентифицирующей пользователя информацией).

К третьей группе относятся  способы аутентификации, основанные на таких данных, которые позволяют  однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности  клавиатурного почерка и росписи  мышью и т.п.).

2) В чем слабость парольной  аутентификации?

Чтобы пароль был запоминающимся, его зачастую делают простым (имя  подруги, название спортивной команды  и т.п.).

Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы.

Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна.

Пароль можно угадать "методом грубой силы", используя, скажем, словарь. Если файл паролей  зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать  пароль, запрограммировав полный перебор (предполагается, что алгоритм шифрования известен)

3) Как может быть повышена  надежность аутентификации с  помощью паролей?

• наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
• управление сроком действия паролей, их периодическая смена;
• ограничение доступа к файлу паролей;
• ограничение числа неудачных попыток входа в систему (это затруднит применение "метода грубой силы");

4) Какой может быть  реакция системы на попытку  подбора паролей?

• ограничение числа попыток входа в систему;
• скрытие логического имени последнего работавшего пользователя (знание логического имени может помочь нарушителю подобрать или угадать его пароль);
• учет всех попыток (успешных и неудачных) входа в систему в журнале аудита.

5) Кому может быть разрешен  доступ по чтению и по записи  к базе учетных записей пользователей?

Доступ к базе данных учетных  записей КС как по чтению, так  и по записи должен быть разрешен только привилегированному пользователю (администратору)

6) Как должны храниться  пароли в базе учетных записей  пользователей?

Пароль или его аналог, как правило, хранится в зашифрованном  или хэшированном виде (в целях  его безопасности).

7) В чем смысл объединения  пользователей в группы

Легко управляемо и можно  применить одну команду на всех пользователей  находящихся в группе.

 

 Порядок выполнения работы:

1. Войти в систему с правами администратора.

2. Освоение средств регистрации пользователей:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

В группу ПОЛЬЗОВАТЕЛИ по умолчанию  включается вновь созданный пользователь.

Объяснения смысла четырех  дополнительных параметров создаваемой  учетной записи: требовать смены пароля при следующем входе в систему, запретить смену пароля пользователем, срок действия пароля не ограничен, отключить учетную запись.

Список команд контекстного меню при выбранном имени учетной записи: задать пароль, все задачи, удалить, переименовать, свойства, справка.

Когда должна применяться команда «Задать пароль»? Ответ: когда нужно задать пользователю пароль.

 В чем опасность  ее применения? Ответ: если забудешь пароль, не сможешь войти в систему.

   Как должна происходить смена пароля пользователя? Ответ: Пуск - Панель управления - Учетные записи пользователей - Изменение своего пароля.

3) Сведения об автоматически создаваемых группах пользователей, их именах и характеристиках прав их членов.

• Администраторы - Администраторы имеют полные, ничем не ограниченные права доступа к компьютеру или домену.
• Гости - Гости по умолчанию имеют те же права, что и пользователи, за исключением учетной записи "Гость", еще более ограниченной в правах.
• Криптографические операторы - Членам разрешено выполнение операций криптографии.
• Операторы архива - Операторы архива могут перекрывать ограничения доступа только в целях копирования и восстановления файлов.
• Операторы настройки сети - Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.
• Опытные пользователи - Категория опытных пользователей оставлена для обратной совместимости и обладает ограниченными административными правами.
• Пользователи - Пользователи не имеют прав на изменение параметров системы и могут запускать большинство приложений.
• Пользователи DCOM - Члены этой группы могут запускать, активизировать и использовать объекты DCOM на этом компьютере.
• Пользователи журналов производительности - Члены этой группы могут планировать ведение журнала счетчиков производительности, включать поставщиков трассировки и собирать трассировки.
• Пользователи системного монитора - Члены данной группы имеют как местный, так и удаленный доступ к счетчику производительности.
• Пользователи удаленного рабочего стола - Члены этой группы имеют право на выполнение удаленного входа.
• Репликатор - Поддержка репликации файлов в домене.
• Читатели журнала событий - Члены этой группы могут читать журналы событий с локального компьютера.

 Копия используемого экрана при создании новой группы в системе с именем «Начинающие пользователи».

 

 

 

 

 

 

 

 

 

 

4) Порядок назначения прав пользователям

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Почему использование  данного права должно быть ограничено? Ответ: Что бы неопытные пользователи не повредили систему.

5) Освоение определения параметров политики безопасности, относящихся к аутентификации и авторизации пользователей при интерактивном входе.

Максимальный срок действия пароля

Этот параметр безопасности определяет период времени (в днях), в течение которого можно использовать пароль, пока система не потребует  от пользователя сменить его. Срок действия пароля может составлять от 1 до 999 дней; значение 0 соответствует неограниченному  сроку действия пароля. Если значение максимального срока действия пароля составляет от 1 до 999 дней, то значение минимального срока действия пароля должно быть меньше максимального. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать  любые значения в диапазоне от 0 до 998 дней.

Примечание. Рекомендуется  устанавливать для срока действия паролей значение от 30 до 90 дней, в  зависимости от рабочей среды.  В этом случае у злоумышленника ограничено время, в течение которого он может  взломать пароль пользователя и получить доступ к сетевым ресурсам.

По умолчанию: 42.

 

Минимальный срок действия пароля

Этот параметр безопасности определяет период времени (в днях), в течение которого пользователь должен использовать пароль, прежде чем  его можно будет изменить. Можно  установить значение от 1 до 998 дней либо разрешить изменять пароль сразу, установив  значение 0 дней.

Значение минимального срока  действия пароля должно быть меньше значения максимального срока действия пароля, за исключением значения максимального  срока, равного 0 дней, означающего, что  срок действия пароля никогда не истечет. Если значение максимального срока  действия пароля равно 0, то минимальный  срок действия пароля может принимать  любые значения в диапазоне от 0 до 998 дней.

 

Установите значение минимального срока действия пароля больше 0, чтобы  включить ведение журнала паролей. Без установки минимального срока  действия пароля пользователь может  изменять пароли повторно, пока не получит  свой старый предпочитаемый пароль. Значение по умолчанию установлено вопреки  этой рекомендации, поэтому администратор  может назначить пользователю пароль, а затем потребовать сменить  его при входе пользователя в  систему. Если для журнала паролей  установлено значение 0, пользователю не нужно выбирать новый пароль. По этой причине значение для журнала  паролей по умолчанию равно 1.

По умолчанию:

1 - на контроллерах домена.

0 - на автономных серверах.

Примечание. По умолчанию  компьютеры-члены домена используют конфигурацию своих контроллеров домена.

 

Минимальная длина пароля

Этот параметр безопасности определяет минимальное количество знаков, которое должно содержаться  в пароле пользователя. Можно установить значение от 1 до 14 знаков, либо 0 знаков, если пароль не требуется.

По умолчанию:

7 - на контроллерах домена.

0 - на автономных серверах.

Примечание. По умолчанию  компьютеры-члены домена используют конфигурацию своих контроллеров домена.

 

Пароль должен отвечать требованиям  сложности

Этот параметр безопасности определяет, должен ли пароль отвечать требованиям сложности.

 

Если эта политика включена, пароли должны удовлетворять следующим  минимальным требованиям.

Не содержать имени  учетной записи пользователя или  частей полного имени пользователя длиной более двух рядом стоящих  знаков

Иметь длину не менее 6 знаков

Содержать знаки трех из четырех перечисленных ниже категорий:

Латинские заглавные буквы (от A до Z)

Латинские строчные буквы (от a до z)

Цифры (от 0 до 9)

Отличающиеся от букв и  цифр знаки (например, !, $, #, %)

Требования сложности  применяются при создании или  изменении пароля.

По умолчанию:

Включены на контроллерах домена.

Отключены на автономных серверах.

Примечание. По умолчанию  компьютеры-члены домена используют конфигурацию своих контроллеров домена.

 

Хранить пароли, используя  обратимое шифрование

Этот параметр безопасности определяет, используется ли операционной системой для хранения паролей обратимое  шифрование.

Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности. Хранение паролей с помощью обратимого шифрования - по существу то же самое, что  и хранение паролей открытым текстом. По этой причине данная политика не должна применяться, пока требования приложения не станут более весомыми, чем требования по защите паролей.

Эта политика необходима при  использовании проверки подлинности  протокола CHAP через удаленный доступ или службу проверки подлинности  в Интернете (IAS). Она также необходима при использовании краткой проверки подлинности в IIS.

По умолчанию: Отключена.