Разграничение прав пользователей в защищенных версиях операционной системы Windows

Подготовка  к выполнению работы: основные понятия

 

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).  Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

Авториза́ция — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.

Хеширование- преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Результат подобного преобразование называют хешем.

Политика безопасности организации — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Ответы на вопросы:

1. Какие существуют способы аутентификации пользователей?

Существует три основных типа аутентификационной информации:

• Проверяемый пользователь знает некую уникальную информацию. Пример: парольная аутентификация.
• Пользователь имеет некий предмет с уникальными характеристиками или содержимым. Примеры: смарт-карта, USB-токен и т.д.
• Аутентификационная информация является неотъемлемой частью пользователя. Пример: отпечаток пальца и другие виды биометрической аутентификации (биометрической называется аутентификация пользователя по его биометрическим признакам).

2. В чем слабость парольной аутентификации?

В настоящее время парольная аутентификация является наиболее распространенной, прежде всего, благодаря своему единственному достоинству – простоте использования.

Однако, парольная аутентификация имеет множество недостатков:

• В отличие от случайно формируемых криптографических ключей (которые, например, могут содержать уникальный предмет, используемый для аутентификации), пароли пользователя возможно подобрать из-за достаточно небрежного отношения большинства пользователей к формированию пароля. Часто встречаются случаи выбора пользователями легко предугадываемых паролей, например:
• пароль эквивалентен идентификатору (имени) пользователя (или имени пользователя, записанному в обратном порядке, или легко формируется из имени пользователя и т.д.);
• паролем является слово или фраза какого-либо языка; такие пароли могут быть подобраны за ограниченное время путем «словарной атаки» - перебора всех слов согласно словарю, содержащему все слова и общеупотребительные фразы используемого языка;
• достаточно часто пользователи применяют короткие пароли, которые взламываются методом «грубой силы», т.е. простым перебором всех возможных вариантов.
• Существуют и свободно доступны различные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств. Например, на сайте www.lostpassword.com описана утилита подбора пароля для документа Microsoft Word 2000 (Word Password Recovery Key), предназначенная для восстановления доступа к документу, если его владелец забыл пароль. Несмотря на данное полезное назначение, ничто не мешает использовать эту и подобные ей утилиты для взлома чужих паролей
• Пароль может быть получен путем применения насилия к его владельцу.
• Пароль может быть подсмотрен или перехвачен при вводе.

3. Как может быть повышена надежность аутентификации с помощью паролей?

• Задание минимальной длины используемых в системе паролей. Это усложняет атаку путем подбора паролей. Как правило, рекомендуют устанавливать минимальную длину в 6-8 символов.
• Установка требования использовать в пароле разные группы символов - большие и маленькие буквы, цифры, специальные символы. Это также усложняет подбор.
• Периодическая проверка администраторами безопасности качества используемых паролей путем имитации атак, таких как подбор паролей "по словарю" (т.е. проверка на использование в качестве пароля слов естественного языка и простых комбинаций символов, таких как "1234").
• Установка максимального и минимального сроков жизни пароля, использование механизма принудительной смены старых паролей.
• Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток войти в систему).
• Ведение журнала истории паролей, чтобы пользователи, после принудительной смены пароля, не могли вновь выбрать себе старый, возможно скомпрометированный пароль

4. Какой может быть реакция системы на попытку подбора паролей?

Реакцией системы на неудачную  попытку входа пользователя могут  быть:

• блокировка учетной записи, под  которой осуществляется попытка  входа, при превышении максимально  возможного числа попыток (на заданное время или до ручного снятия блокировки администратором);

• нарастающее увеличение временной  задержки перед предоставлением  пользователю следующей попытки  входа.

Постоянная блокировка учетной  записи при обнаружении попытки  подбора пароля (до снятия блокировки администратором) менее целесообразна, поскольку она позволит нарушителю намеренно заблокировать работу в КС легального пользователя (реализовать угрозу нарушения доступности информации).

При любой реакции системы на попытку подбора пароля необходимо в настройках параметров политики учетных записей обеспечить сброс значения счетчика попыток входа в систему под  конкретной учетной записью через заданный промежуток времени, иначе значения счетчика будут суммироваться для разных сеансов работы пользователя.

5. Кому может быть разрешен доступ по чтению и по записи к базе учетных записей пользователя?

Только Администратору может быть разрешен доступ по чтению и по записи к базе учетных записей пользователей.

6. Как должны храниться пароли в базе учетных записей пользователя?

Именно в учетных записях  базы данных SAM находится информация о пользовательских именах и паролях, которая необходима для идентификации  и аутентификации пользователей  при их интерактивном входе в  систему. Как и в любой другой современной многопользовательской ОС, эта информация хранится в зашифрованном виде. В базе данных SAM каждый пароль пользователя обычно бывает представлен в виде двух 16-байтовых последовательностей, полученных разными методами (Win NT/2000 и LAN).

7. В чем смысл объединения пользователей в группы?

Пользователей можно объединять в  локальные и глобальные группы, имеющие  единый набор разрешений и прав доступа. Объединение пользователей в  группы позволяет изменять права  доступа и разрешения для всех членов группы одновременно.

 

Выполнение работы:

1.  Запускаем Virtual Box и соответствующую виртуальную машину;

2.  Входим в систему под  указанным именем (с правами администратора);

3. Осваиваем средства регистрации пользователей:

• Открываем список зарегистрированных пользователей;
• С помощью команды контекстного меню создаем для себя учетную запись с произвольным логическим именем, введя в качестве строки описания текст «Студент»

Рис.1. Копия  экранной формы создания новой учетной  записи

 

На Рис.1. показаны четыре дополнительных параметра создаваемой учетной записи, означающие:

1. «Потребовать смену пароля при следующем входе в систему». Если мы поставим здесь галочку, то в следующий раз при входе в систему нас потребуют изменить пароль;
2. «Запретить смену пароля пользователем». Если в предыдущем пункте мы не ставили галочку, то этот пункт будет активным, соответственно, ставя галочку в этой строчке, мы можем запретить изменять пароль;
3. «Срок действия пароля не ограничен». Если в пункте 1 мы не ставили галочку, то мы можем включить неограниченный по сроку действия пароль;
4. «Отключить учетную запись». Этот пункт параметров может отключить нашу учетную запись насовсем или пока её не включат снова.

Рис. 2. Копия экранной формы со списком зарегистрированных пользователей

 

Рис. 3. Список команд контекстного меню (при отсутствии выделения имени  пользователя в списке)

 

• Выделяем имя вновь зарегистрированного пользователя и с помощью контекстного меню (Свойства) просматриваем её свойства.

Рис. 4. Копия экранной формы со свойствами учетной записи на вкладке «Общие»

 

Разница между пунктами «отключить»  и «заблокировать» учетную запись заключается в том, что при  отключении наша учетная запись будет  недоступна навсегда (или до следующего включения), а блокировка лишь заблокирует запись на определенное количество времени.

Рис. 5. Копия экранной формы со свойствами учетной записи на вкладке «Членство»

 

Вновь созданный пользователь по умолчанию  включается в группу «Пользователи»

 

• С помощью кнопок «Добавить», «Дополнительно» и «Поиск» включаем вновь созданного пользователя также в группу «Опытные пользователи»

Рис. 6. Копия экранной формы после  того, как мы нажали на кнопку «Добавить».

 

Рис. 7. Копия экранной формы после  того, как мы нажали на кнопку «Поиск».

Рис. 8. Копия экранной формы после того, как мы выбрали искомую группу и нажали «Ок».

 

Рис. 9. Копия экранной формы со свойствами учетной записи пользователя.

 

Как видно  по Рис. 9, чтобы удалить пользователя из группы необходимо выбрать нужную группу и щелкнуть на кнопку «Удалить».

Рис. 10. Список контекстного меню при  выбранном пользователе

 

Пояснение смысла списка контекстного меню при выбранном пользователе:

1. «Задать пароль». Нажав на  эту кнопку, мы можем изменить  пароль учетной записи.

2. «Все задачи». Откроется  список всех доступных действий.

3. «Удалить». При помощи этого пункта можно удалить выбранного пользователя.

4. «Свойства». Открывает свойства  пользователя. (Общие, Членство в  группах, Профиль)

5. «Справка». Вызывает справку.

• Команда «Задать пароль» должна применяться только тогда, когда вы забыли пароль.
• Сброс пароля опасен тем, что при этом может быть необратимо утеряна часть информации.
• Смена пароля пользователем должна происходить через «Пуск»-> «Панель управления»->«Учетные записи пользователя»->«Изменение учетной записи»
• ->«Изменение пароля»

4. Осваиваем средства работы с группами:

• Открываем  список групп
• Создаем новую группу в системе с именем «Начинающие пользователи»

Рис. 11. Копия используемого экрана при создании новой группы в системе  с именем «Начинающие пользователи»

 

Целесообразность разбиения множества  пользователей на группы в том, что  каждой группе мы можем дать определенные права и доступ, тем самым экономя  время при управлении большим  количеством пользователей.

5. Осваиваем порядок назначения прав пользователей:

• Открываем окно настройки прав пользователей

Рис. 12. Копия экранной формы  списка групп пользователей

 

• Исключаем группу пользователей «Все» из числа групп, обладающих правом «Доступ к компьютеру из сети» (Рис. 13)

 

Рис. 13. Копия экранной формы групп, обладающих доступом, после удаления группы «Все»

 

• Исключаем пользователя «Гость» из числа пользователей, обладающих правом «Локальный вход в систему». (Рис. 14)

Рис. 14. Список пользователей, обладающих правом «Локальный вход в систему»

Рис. 15. Группы пользователей, обладающих правом «Локальный вход в систему» после удаления группы «Гость»

 

• Добавляем группу «Начинающие пользователи» к списку пользователей обладающим правом «Локальный вход в систему» (Рис. 16,17)

 

Рис. 16. Копия экранной формы, появляющейся после нажатия кнопки «Добавить пользователя или группу»

Рис. 17. Список пользователей, обладающих правом «Локальный вход в систему» после добавления группы «Начинающие  пользователи».

 

• Ответы на вопросы в соответствии с номером варианта и приложением 1.
• Отказ в доступе к компьютеру из сети (Рис. 18,a)
• Изменение системного времени (Рис. 18,б)
• Создание файла подкачки (Рис.18,в)
• Создание маркерного объекта (Рис. 18,г)
• Выполнение задач по обслуживанию томов (Рис. 18,д)

Рис. 18,a

Рис. 18,б

Рис. 18,в

Рис. 18,г

Рис. 18,д

 

6. Осваиваем определение параметров политики безопасности, относящихся к аутентификации и авторизации пользователей при интерактивном входе:

 

• Открываем окно определения параметров безопасности для паролей (Рис. 19)

Рис. 19. Копия  экранной формы окна определения  параметров безопасности для паролей

 

• Сведения о порядке назначения минимального срока действия пароля

 

Смысл подобных ограничений заключается в том, чтобы пользователь не смог перебрать все свои пароли и дойти до старого пароля, который он предпочитает.

 

 

Сведения  о назначении параметров:

• «Максимальный срок действия пароля» - Этот параметр безопасности определяет период времени (в днях), в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. Срок действия пароля может составлять от 1 до 999 дней; значение 0 соответствует неограниченному сроку действия пароля. Если значение максимального срока действия пароля составляет от 1 до 999 дней, то значение минимального срока действия пароля должно быть меньше максимального. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней.