Разграничение прав пользователей в защищенных версиях операционной системы Windows

 

Минимальная длина пароля.

Этот параметр безопасности определяет минимальное количество знаков, которое должно содержаться в пароле пользователя. Можно установить значение от 1 до 14 знаков, либо 0 знаков, если пароль не требуется.

Пароль должен отвечать требованиям сложности

Этот параметр безопасности определяет, должен ли пароль отвечать требованиям сложности. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям:

Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков; Иметь длину не менее 6 знаков; Содержать знаки трех из четырех перечисленных ниже категорий: Латинские заглавные буквы (от A до Z); Латинские строчные буквы (от a до z); Цифры (от 0 до 9); Отличающиеся от букв и цифр знаки (например, !, $, #, %); Требования сложности применяются при создании или изменении пароля.

Журнал паролей

Этот параметр безопасности определяет число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля. Число паролей должно составлять от 0 до 24.

Эта политика позволяет администраторам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться постоянно.

Хранить пароли, используя обратимое шифрование

Этот параметр безопасности определяет, используется ли операционной системой для хранения паролей обратимое шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности. Хранение паролей с помощью обратимого шифрования - по существу то же самое, что и хранение паролей открытым текстом. По этой причине данная политика не должна применяться, пока требования приложения не станут более весомыми, чем требования по защите паролей.

Эта политика необходима при использовании проверки подлинности протокола CHAP через удаленный доступ или службу проверки подлинности в Интернете (IAS). Она также необходима при использовании краткой проверки подлинности в IIS.

Пароли Windows могут содержать гораздо больше восьми символов, рекомендованных ранее. Допускается создание паролей длиной до 127 знаков. Однако в сети, в которой также работают компьютеры под управлением ОС Windows 95 или Windows 98, рекомендуется применять пароли не длиннее 14 знаков. Если пароль содержит более 14 знаков, вход в сеть с компьютеров под управлением указанных выше операционных систем может быть невозможен. 

 

Рис.12 (параметры политики безопасности, относящихся к паролям)

Рис.13 (параметры политики безопасности)

 

 

 

 

 

 

Контрольные вопросы. Вариант 1. Абаев А.

Доступ к компьютеру из сети. С помощью подключения к удаленному рабочему столу можно получить доступ к компьютеру под управлением Windows с другого компьютера под управлением Windows, подключенного к той же сети или к сети Интернет. Например, с домашнего компьютера можно работать с программами, файлами и сетевыми ресурсами рабочего компьютера точно так же, как в офисе.

Для подключения к удаленному компьютеру он должен быть включен и подключен к сети, а также на нем должен быть разрешен режим удаленного рабочего стола. Подключающийся пользователь должен иметь сетевой доступ к удаленному компьютеру (например, через Интернет) и разрешение на подключение. Для получения разрешения на подключение необходимо быть в списке пользователей. Следующие шаги описывают процедуру включения имен в список.

Работа в режиме операционной системы. Это право пользователя позволяет процессу олицетворять любого пользователя без подтверждения подлинности. Таким образом, процесс может получить доступ к тем же локальным ресурсам, что и пользователь.

Процессам, которым требуется эта привилегия, следует пользоваться учетной записью LocalSystem, в которую данная привилегия уже включена, а не применять отдельную учетную запись пользователя, для которой эта привилегия назначена специально. Если в организации используются только серверные операционные системы семейства Windows Server 2003, в предоставлении данной привилегии нет необходимости. Однако если в организации используются серверы, работающие под управлением Windows 2000 или Windows NT 4.0, может потребоваться предоставление этой привилегии программам, обменивающимся паролями в текстовом виде.

 

Добавление рабочих станций в домен. Домен - это совокупность компьютеров в сети, управление которыми осуществляется как единым целым с применением общих правил и действий. Каждый домен имеет уникальное имя. Обычно домены используются для создания сетей на рабочем месте. Для подключения компьютера к домену необходимо знать имя домена и иметь действительную доменную учетную запись.

1. Щелкните, чтобы открыть окно «Система».
2. В группе Имя компьютера, имя домена и параметры рабочей группы нажмите кнопку Изменить параметры. При появлении запроса пароля администратора или подтверждения введите пароль или предоставьте подтверждение.
3. На вкладке Имя компьютера щелкните Изменить. В качестве альтернативного варианта выберите пункт Идентификатор сети, чтобы воспользоваться мастером присоединения к домену или рабочей группе, позволяющим автоматизировать процесс подключения к домену и создания учетной записи пользователя домена на компьютере.
4. В разделе  щелкните Домен.

Диалоговое окно «Изменение имени компьютера или домена»

5. Введите имя домена, к которому хотите подключиться, а затем щелкните ОК.

Система запросит имя пользователя и пароль учетной записи домена.

После успешного подключения к домену будет предложено перезагрузить компьютер. Перезагрузите компьютер, чтобы сделанные изменения вступили в силу.

Настройка квот памяти для процесса. Кэши используют ресурсы — память, процессор и сеть. При создании Кэш Windows Azure использование этих ресурсов регулируется рядом квот.

При создании кэша можно выбрать для него размер. Очевидно, что существует квота памяти, соответствующая размеру кэша.

Чтобы настроить квота компьютера на компьютере, который имеет ресурс очереди сообщений установлена в режиме домена и имеющий интегрированной с Active Directory, выполните следующие действия.

1. Нажмите кнопку Пуск, выберите пункт Администрированиеи выберите команду Управление компьютером.
2. Выберите службы и приложения.
3. Очереди сообщенийщелкните правой кнопкой мыши и выберите команду Свойства.
4. Щелкните флажок Предел хранения сообщений (КБ) .
5. В поле расстояние введите количество килобайтов, которое позволяет сохранить ресурс очереди сообщений.
6. Нажмите OK , чтобы принять изменения. После этого автоматически закроет диалоговое окно Свойства .

 

Управление аудитом и журналом безопасности. Очень важно, что защитить данные и ресурсы от людей, не должны иметь к ним доступ и в то же время сделать эти ресурсы доступными для авторизованных пользователей. Можно настроить для записи сведений о событиях доступа или сервера каталога и файлов журналов безопасности. Этот уровень аудита с помощью политик аудита в консоли управления Microsoft (MMC). Эти события регистрируются в журнале безопасности Windows. В журнал безопасности заносятся события безопасности, такие как допустимые и недопустимые при входе в систему, а также события, связанные с использованием ресурсов, таких как создание, открытие или удаление файлов. Необходимо войти в систему с правами администратора для управления аудита и отображаются в журнале безопасности события.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Каковы основные цели угроз безопасности информации в компьютерных системах?

Кража информаций, неразрешенный доступ к данным

 

Насколько средства, изученные при выполнении лабораторной работы, могут нейтрализовать эти угрозы?

Для нейтрализации этой угрозы в системе должны быть предусмотрены средства противодействия несанкционированным действиям администраторов;

 

Каковы другие признаки, в соответствии с которыми может быть проведена классификация угроз безопасности в компьютерных системах?

Выделение двух типов угроз является недостаточным и требует детализации.

Множество непреднамеренных угроз, связанных с внешними (по отношению к АИС) факторами, обусловлено влиянием воздействий, неподдающихся предсказанию. К ним относят угрозы, связанные со стихийными бедствиями, техногенными, политическими, экономическими, социальными факторами, развитием информационных и коммуникационных технологий, другими внешними воздействиями.

К внутренним непреднамеренным относят угрозы, связанные с отказами вычислительной и коммуникационной техники, ошибками программного обеспечения, персонала, другими внутренними непреднамеренными воздействиями, которые могут быть источниками угроз нормальной работе ЛИС

 

Каковы основные каналы утечки конфиденциальной информации в компьютерных системах?

   * несанкционированное  копирование конфиденциальной информации  на внешние носители и вынос  её за пределы контролируемой  территории предприятия. Примерами  таких носителей являются флоппи-диски, компакт-диски CD-ROM, Flash-диски и др.;

   * вывод на печать  конфиденциальной информации и  вынос распечатанных документов  за пределы контролируемой территории. Необходимо отметить, что в данном  случае могут использоваться  как локальные принтеры, которые  непосредственно подключены к  компьютеру злоумышленника, так  и удалённые, взаимодействие с  которыми осуществляется по сети;

   * несанкционированная  передача конфиденциальной информации  по сети на внешние серверы, расположенные вне контролируемой  территории предприятия. Так, например, злоумышленник может передать  конфиденциальную информацию на  внешние почтовые или файловые  серверы сети Интернет, а затем  загрузить её оттуда, находясь  в дома или в любом другом  месте. стеганографии [3];

   * хищение носителей, содержащих конфиденциальную информацию  – жёстких дисков, магнитных лент, компакт-дисков CD-ROM и др.

 

Насколько средства, изученные при выполнении лабораторной работы, могут перекрыть эти каналы?

   Сущность одного из первых способов, который начал применяться для защиты от утечки конфиденциальной информации, состоит в создании выделенной автономной АС, состоящей из средств вычислительной техники, необходимых для работы с конфиденциальной информацией (рис. 2). При этом такая АС полностью изолируется от любых внешних систем, что даёт возможность исключить возможную утечку информации по сети.