Разграничение прав пользователей в защищенных версиях операционной системы Windows

Кабардино – Балкарский Государственный Университет им. Х.М. Бербекова

Факультет информатики и управления

Кафедра высокопроизводительных вычислений и прикладного математического моделирования

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ОТЧЕТ

По лабораторной работе № 1

По дисциплине «Основы информационной безопасности»

Тема «Разграничение прав пользователей

в защищенных версиях операционной системы Windows».

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Выполнил:

Студент 1–го курса ИБ

Абаев А.

Проверила:

Шогенова З.А.

 

 

 

 

 

 

 

Нальчик 2014г.

1. Какие существуют способы аутентификации пользователей? - Современные средства аутентификации позволяют субъекту подтвердить свою подлинность несколькими способами, с помощью:

• нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);

• нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
• нечто, что есть часть его самого (голос, отпечатки пальцев, то есть свои биометрические характеристики).

2. В чем слабость парольной аутентификации? -  Главное достоинство парольной аутентификации – простота и привычность. Однако пароль можно будет легко угадать, особенно если хорошо знать пристрастия пользователя.

3. Как может быть повышена надежность аутентификации с помощью паролей? - Используя в качестве пароля комбинацию из букв, цифр и других символов длиной от 6 до 12 знаков. Чем длиннее пароль, тем выше его надежность.
4. Какой может быть реакция системы на попытку подбора паролей? - Реакция на неуспешный вход может быть следующей: блокировка учетной записи, под которой осуществляется попытка входа, при превышении максимально возможного числа попыток (на заданное время или до ручного снятия блокировки администратором); нарастающее увеличение временной задержки перед предоставлением пользователю следующей попытки входа.
5. Кому может быть разрешен доступ по чтению и по записи к базе учетных записей пользователей? – Только Администратору.
6. Как должны храниться пароли в базе учетных записей пользователей? - После установки пароля для учетной записи, Windows 2000 сохраняет его в зашифрованном формате в базе данных учетных записей.
7. В чем смысл объединения пользователей в группы? - Объединение пользователей в группы позволяет изменять права доступа и разрешения для всей группы одновременно.

 

1. Средства регистрации пользователей:

 

Запретить смену пароля пользователем.

Эта галочка при установке запрещает пользователю самостоятельно менять пароль. Эта свойство надо использовать, если пользователи несознательные и хотят изменить сложный пароль, выданный системным администратором, на простой пароль.

Срок действия пароля не ограничен.

Если эта галочка не установлена, то пользователю периодически надо менять пароль. Срок действия пароля по умолчанию, если не ошибаюсь – 42 дня. Если срок действия пароля истек, то запись блокируется.

Отключить учетную запись.

Эта галочка нужна при отключении учетной записи. Запись остается в ОС, но не работает. Это используется, например, когда пользователь уходит в отпуск, его запись отключается, и никто не сможет войти в ОС от имени этого пользователя, а после выхода на работу снова включается.

Заблокировать учетную запись.

Эта галочка нужна для разблокирования записи. Пользователь ее может только убирать. Если учетная запись заблокирована по каким-либо причинам, то в этом поле появляется галочка, и для разблокирования записи ее надо снять.

 

 

Рис. 1 (создание новой учетной записи)

 

Рис.2 (список зарегистрированных пользователей)

Рис.3 (список команд контекстного меню

(при отсутствии  выделения имени пользователя  в списке))

 

Рис.4 (свойства учетной записи на вкладке «Общие»)

Чтобы запретить доступ к определенной учетной записи пользователя на компьютере, можно отключить ее. Отключенную учетную запись впоследствии можно включить. Отключение учетной записи отличается от ее удаления. После удаления учетная запись не может быть восстановлена.

 

Рис. 5 (свойства учетной записи на вкладке «Членство в группах»)

По умолчанию созданная учетная запись профиля включается в группе «Пользователи».

 

 

 

 

 

 

 

 

 

 

Рис. 6 (добавление пользователя в другую группу)

.

Чтобы удалить пользователя из группы, в свойствах учетной записи  пользователя выбрать ненужную группу и нажать кнопку «Удалить».

 

Рис.8 (список команд контекстного меню при выбранном имени учетной записи)

 

При нажатии на команду «Задать пароль», выведется окно, где требуется ввести новый пароль и подтверждение. В целях обеспечения безопасности защищенных сведений при сбросе пароля для локальной учетной записи пользователя некоторые типы сведений, включая представленные ниже, перестают быть доступными: электронная почта, защищенная открытым ключом пользователя; пароли Интернета, сохраненные на компьютере; файлы, зашифрованные пользователем.

Во избежание потери этого типа данных не следует сбрасывать пароль пользователя. При создании новой локальной учетной записи пользователя настоятельно рекомендуется создать дискету сброса пароля. При наличии дискеты сброса пароля с ее помощью можно сбросить пароль без потери данных, если пользователь забудет пароль. Если пользователь забудет пароль для доступа к учетной записи пользователя домена, пароль необходимо сбросить вручную.

Дополнительные сведения о сбросе пароля можно найти в подразделе «Риск при сбросе пароля» раздела «Помощь и поддержка».

 При наведении курсора  на команду «Все задачи», предлагается  опять-таки задать пароль. Команда  «Удалить» удаляет пользователя. С помощью команды «Переименовать»  можно сменить только имя пользователя.  При нажатии на «Свойство»  выводятся общие, членство в группах  и профиль. 

В папке «Группы», размещенной в оснастке «Локальные пользователи и группы» консоли управления (MMC), отображаются как встроенные локальные группы, так и локальные группы, создаваемые пользователем. Встроенные локальные группы автоматически создаются при установке операционной системы. Принадлежность к локальной группе дает пользователю права и возможности выполнять различные задачи на локальном компьютере.

Группы и описания.

Администраторы.  Пользователи, входящие в эту группу, имеют полный доступ на управление компьютером и могут при необходимости назначать пользователям права пользователей и разрешения на управление доступом. По умолчанию членом этой группы является учетная запись администратора. Если компьютер подключен к домену, группа «Администраторы домена» автоматически добавляется в группу «Администраторы». Эта группа имеет полный доступ к управлению компьютером, поэтому необходимо проявлять осторожность при добавлении пользователей в данную группу.

Операторы архива. Пользователи, входящие в эту группу, могут архивировать и восстанавливать файлы на компьютере независимо от любых разрешений, которыми защищены эти файлы. Это обусловлено тем, что право выполнения архивации получает приоритет над всеми разрешениями. Члены этой группы не могут изменять параметры безопасности.

Операторы криптографии. Членам этой группы разрешено выполнение операций криптографии.

Пользователи DCOM. Членам этой группы разрешено запускать, активировать и использовать объекты DCOM на компьютере.

Гости. Пользователи, входящие в эту группу, получают временный профиль, который создается при входе пользователя в систему и удаляется при выходе из нее. Учетная запись «Гость» (отключенная по умолчанию) также является членом данной встроенной группы.

IIS_IUSRS. Это встроенная группа, используемая службами IIS.

Операторы настройки сети. Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP. Эта группа не имеет членов по умолчанию.

Пользователи журналов производительности. Пользователи, входящие в эту группу, могут управлять счетчиками производительности, журналами и оповещениями на локальном или удаленном компьютере, не являясь при этом членами группы «Администраторы».

Пользователи системного монитора. Пользователи, входящие в эту группу, могут наблюдать за счетчиками производительности на локальном или удаленном компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности».

Опытные пользователи. По умолчанию, члены этой группы имеют те же права пользователя и разрешения, что и учетные записи обычных пользователей. В предыдущих версиях операционной системы Windows эта группа была создана для того, чтобы назначать пользователям особые административные права и разрешения для выполнения распространенных системных задач. В этой версии операционной системы Windows учетные записи обычных пользователей предусматривают возможность выполнения большинства типовых задач настройки, таких как смена часовых поясов. Для старых приложений, требующих тех же прав опытных пользователей, которые имелись в предыдущих версиях операционной системы Windows, администраторы могут применять шаблон безопасности, который позволяет группе «Опытные пользователи» присваивать эти права и разрешения, как это было в предыдущих версиях операционной системы Windows.

Пользователи удаленного рабочего стола. Пользователи, входящие в эту группу, имеют право удаленного входа на компьютер.

Репликатор. Эта группа поддерживает функции репликации. Единственный член этой группы должен иметь учетную запись пользователя домена, которая используется для входа в систему службы репликации контроллера домена. Не добавляйте в эту группу учетные записи реальных пользователей.

Пользователи. Пользователи, входящие в эту группу, могут выполнять типовые задачи, такие как запуск приложений, использование локальных и сетевых принтеров и блокировку компьютера. Члены этой группы не могут предоставлять общий доступ к папкам или создавать локальные принтеры. По умолчанию членами этой группы являются группы «Пользователи домена», «Проверенные пользователи» и «Интерактивные». Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы.

Группа удаленных помощников. Члены этой группы могут предлагать удаленную помощь пользователям данного компьютера.

Рис. 9 (новая группа в системе с именем «Начинающие пользователи»)

Целесообразно разбивать множества пользователей на группы. Это необходимо делать, чтобы предотвратить несанкционированный доступ к компьютеру и для защиты данных пользователя.

 

Рис.10 Назначении прав пользователям

 

Открываем свойство данной политики. Добавляем пользователя/группу. Откроется окошко, жмем «Дополнительно» и ищем нужного пользователя.

 

Рис. 11 (добавление группы «Начинающие пользователи» к списку пользователей, обладающих правом «Локальный вход в систему»)

 

Открыть окно настройки прав пользователей (Панель управления | Администрирование | Локальная политика безопасности | Локальные политики | Назначение прав пользователя). Далее  открываем свойства «Локальный вход в систему» и «Добавить пользователя или группу». Для защиты данных от нежелательных пользователей, необходимо ограничить  использование этого права.

 

 

 

 

5. Параметров политики безопасности, относящиеся к аутентификации  и авторизации пользователей  при интерактивном входе.

Открыть окно определения параметров безопасности для паролей (Панель управления | Администрирование | Локальная политика безопасности | Политики учетных записей | Политика паролей). В свойствах «Максимальный срок действия пароля» и «Минимальный срок действия пароля» задать нужный срок.

 

Максимальный срок действия пароля.

Этот параметр безопасности определяет период времени (в днях), в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. Срок действия пароля может составлять от 1 до 999 дней; значение 0 соответствует неограниченному сроку действия пароля. Если значение максимального срока действия пароля составляет от 1 до 999 дней, то значение минимального срока действия пароля должно быть меньше максимального. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней.

 

Минимальный срок действия пароля.

Этот параметр безопасности определяет период времени (в днях), в течение которого пользователь должен использовать пароль, прежде чем его можно будет изменить. Можно установить значение от 1 до 998 дней либо разрешить изменять пароль сразу, установив значение 0 дней.

 

Значение минимального срока действия пароля должно быть меньше значения максимального срока действия пароля, за исключением значения максимального срока, равного 0 дней, означающего, что срок действия пароля никогда не истечет. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней.