Разграничение прав пользователей в защищенных версиях операционной системы «Windows»

МОСКОВСКИЙ  ГОСУДАРСТВЕННЫЙ  ГУМАНИТАРНЫЙ                         УНИВЕРСИТЕТ ИМ.  М.А.ШОЛОХОВА

Кафедра информатики

 

 

 

 

 

ЕРЕМКИНА  МАРИЯ  ЕФИМОВНА

 

Лабораторная работа № 1 по дисциплине «Информационная безопасность»

 

Разграничение прав пользователей  в защищенных версиях операционной системы «Windows»

Вариант 1

 

   

 

 

 

 

Научный руководитель:

Федяев А.А. – старший преп.

 

 

 

 

 

 

 

 

 

 

 

 

Москва

2013

 

 

Отчет о лабораторной работе.

Ответы на вопросы.

1. Какие существуют способы аутентификации пользователей?

Существуют 3 группы аутентификации:

А) К первой группе относятся способы  аутентификации, основанные на том, что  пользователь знает некоторую подтверждающую его подлинность информацию (парольная  аутентификация и аутентификация на основе модели «рукопожатия»).

Б) Ко второй группе относятся способы аутентификации, основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластиковую карту с идентифицирующей пользователя информацией).

В) третьей группе относятся способы аутентификации, основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности клавиатурного почерка и росписи мышью и т.п.).

2. В чем слабость парольной аутентификации?

Чтобы пароль был запоминающимся, его зачастую делают простым (дата рождения, имя, «1234»).

Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы.

Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна.

Пароль можно угадать "методом грубой силы", используя, скажем, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (предполагается, что алгоритм шифрования известен)

3. Как может быть повышена надежность аутентификации с помощью паролей?

Надежность парольной аутентификации может быть повышена при помощи следующих  мер:

- наложение технических ограничений  (пароль должен быть не слишком  коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);

- управление сроком действия  паролей, их периодическая смена;

- ограничение доступа к файлу  паролей;

- ограничение числа неудачных  попыток входа в систему (это  затруднит применение "метода  грубой силы");

4. Какой может быть реакция системы на попытку подбора паролей?

- ограничение числа попыток  входа в систему;

- скрытие логического имени  последнего работавшего пользователя (знание логического имени может  помочь нарушителю подобрать  или угадать его пароль);

- учет всех попыток (успешных и неудачных) входа в систему в журнале аудита.

5. Кому может быть разрешен доступ по чтению и по записи к базе учетных записей пользователей?

Доступ к базе данных учетных  записей как по чтению, так и  по записи должен быть разрешен только привилегированному пользователю (администратору)

6. Как должны храниться пароли в базе учетных записей пользователей?

Пароль или его аналог, как  правило, хранится в зашифрованном  или хэшированном виде (в целях  его безопасности).

7. В чем смысл объединения пользователей в группы?

Пользователей объединяют в группы для более легкого управления и применения одной команды на всех пользователей находящихся  в группе.

Создание новой учетной  записи:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список зарегистрированных пользователей:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список команд контекстного меню

 

Объяснение смысла  4-ех дополнительных параметров создаваемой  учетной записи:

1. Требовать смены пароля при следующем входе в систему
2. Запретить смену пароля пользователем - смена пароля невозможна
3. Срок действия пароля не ограничен – смена пароля невозможна
4. Отключить учетную запись

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Свойства учетной записи

 

Разница между отключением  и блокировкой учетной записи:

При удалении учетной записи пользователя можно сохранить файлы, созданные при ее использовании. Обратите внимание, что сообщения электронной почты и параметры компьютера для такой учетной записи будут удалены в любом случае.

Чтобы запретить доступ к определенной учетной записи пользователя на компьютере, можно отключить ее. Отключенную учетную запись впоследствии можно включить. Отключение учетной записи отличается от ее удаления. После удаления учетная запись не может быть восстановлена.

 

Членство в группах

Вновь созданный пользователь по умолчанию  включается в группу «Пользователи»

 

Чтобы удалить пользователя из группы: Учетная запись->свойства->членство в группах->группа->удалить

Список команд контекстного меню:

1. Задать пароль – создание пароля для пользователя, опасность применения заключается в невозможности получить доступ в систему при утере пароля.
2. Все задачи
3. Удалить
4. Переименовать
5. Свойства
6. Справка

Смена пароля пользователем: Пуск -> Панель управления –> Учетные записи пользователей –> Изменить пароль

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Группы:

 

Администраторы - членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к компьютеру или домену. Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д

Опытные пользователи - эта группа поддерживается, в основном, для совместимости с предыдущими версиями для выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка несертифицированных приложений, конечные пользователи должны быть членами группы "Опытные пользователи".

Члены группы "Опытные пользователи" имеют больше разрешений, чем члены группы "Пользователи", и меньше, чем члены группы "Администраторы". Опытные пользователи могут выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы "Администраторы". Опытные пользователи могут: выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения; устанавливать программы, не изменяющие файлы операционной системы, и системные службы; настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления; создавать и управлять локальными учетными записями пользователей и групп; останавливать и запускать системные службы, не запущенные по умолчанию.

 

Опытные пользователи не могут добавлять себя в группу "Администраторы". Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.

Пользователи - члены этой группы не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Группа "Пользователи" предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Пользователи могут выключать рабочие станции, но не серверы. Пользователи могут создавать локальные группы, но управлять могут только теми, которые они создали. Пользователи имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER). Однако разрешения на уровне пользователя часто не допускают выполнение пользователем устаревших приложений. Участники группы «Пользователи» гарантированно могут запускать только сертифицированные для Windows приложения.

Операторы архива - члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.

Гости - члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной записи "Гость", еще более ограниченной в правах.

Операторы настройки сети - члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.

Пользователи удаленного рабочего стола - члены этой группы имеют право на выполнение удаленного входа в систему.

HelpServicesGroup. С помощью этой группы администраторы могут назначать права, общие для всех приложений поддержки. По умолчанию единственным членом группы является учетная запись, связанная с приложениями поддержки Майкрософт, такими как удаленный помощник. Добавлять пользователей в эту группу нельзя. Права пользователя по умолчанию отсутствуют

Репликатор - Группа «Репликатор» поддерживает функции репликации. Единственным членом группы «Репликатор» должна быть учетная запись пользователя домена, используемая для входа в службы репликации на контроллере домена. Добавлять в эту группу учетные записи фактических пользователей нельзя. Права пользователя по умолчанию отсутствуют

 

 

 

 

 

 

 

Создание группы:

Разбиение множества  пользователей на группы.

Коммунистическая идея о всеобщем равенстве никак не повлияла на разработчиков операционных систем, поэтому большинство из них придерживаются правила, что пользователей надо различать. В Windows для этого применяются учетные записи. У каждого пользователя имеется своя учетная запись с определенными полномочиями. Для отслеживания каждой записи и связанных с нею прав используется идентификатор безопасности SID (Security ID). После создания новой учетной записи ей присваивается уникальный SID, по которому она и будет опознаваться в дальнейшем. В Windows XP значения SID хранятся в ветви реестра HKEY_USERS.

Разбиение пользователей на группы целесообразно для защиты системы. Каждая программа запускается с теми правами, которые есть у пользователя, который ее запустил. Или по правильному, процесс не может иметь больше прав, чем пользователь, от имени которого она запущена.

Параметры политики групп позволяют  назначать ресурсам права доступа, а также предоставлять права  доступа пользователям. Это нужно  для того, чтобы требовать запуска  определенных приложений только в заданном контексте безопасности (тем самым снижая риск воздействия на компьютер нежелательных приложений, например, вирусов) и конфигурировать различные права доступа для множества клиентских компьютеров.

 

 

 

 

 

 

 

 

Назначение прав пользователям:

Мы можем назначать требуемые права группам и отдельным учетным записям пользователей. Для упрощения администрирования Microsoft рекомендует назначать права группам пользователей, а не учетным записям отдельных пользователей. Каждое право пользователя позволяет группам пользователей или отдельным пользователям, которым назначено это право, выполнять определенные действия, такие, как архивация файлов или смена системного времени. Если пользователь является членом нескольких групп, права пользователя суммируются, так что он получает все права, назначенные каждой из групп.

1. Доступ к компьютеру из сети (Access This Computer From  The Network). Разрешает пользователю подключаться к компьютеру через сеть. На рабочих станциях, рядовых серверах и контроллерах домена это право на вход в систему по умолчанию устанавливается для групп Администраторы (Administrators), Опытные пользователи (Power Users) и Все (Everyone).
2. Работа в режиме операционной системы (Act As Part Of The Operating System). Позволяет процессу аутентифицироваться подобно пользователю и получать доступ к ресурсам, так же как пользователь. Не назначайте эту привилегию, если нет уверенности в необходимости этого. Только низкоуровневые службы аутентификации могут требовать этой привилегии. Процессы, которые требуют эту привилегию, должны выполняться под учетной записью LocalSystem, поскольку для нее данная привилегия уже назначена. Отдельные учетные записи пользователей с этой привилегией позволяют пользова­телям или процессам получать маркер доступа, предоставляющий больше прав, чем они должны иметь, и не проходить идентификацию для сохранения событий в журналах аудита.
3. Добавление рабочих станций в домен (Add Workstations То Domain). Позволяет пользователю добавлять компьютеры к домену. Пользователи заданного домена сначала добавляются на компьютере, и при этом создается объект в контейнере Computer службы Active Directory домена. Чтобы привилегия была эффективной, ее следует назначать как часть задаваемой по умолчанию политики контроллеров домена для данного домена.
4. Настройка квот памяти для процесса (Adjust Memory Quotas For A Process). Позволяет процессу изменять выделенную квоту ресурсов процессора для другого процесса. Процесс, изменяющий квоту, должен иметь доступ на запись для процесса, которому изменяется квота.