Лабораторная работа
№2
Реализация политики безопасности
в защищенных версиях операционной
системы Windows
Цель работы: освоения средств
администратора и аудитора защищенных
версий операционной системы Windows, предназначенных
для
- определения параметров политики безопасности;
- определения параметров политики аудита;
- просмотра и очистки журнала аудита.
Подготовка к выполнению работы:
подготовить для включения в отчет о лабораторной
работе определения следующих понятий
- аудит;
- событие безопасности;
- журнал (файл) аудита;
- политика аудита;
- сетевой доступ;
- цифровая подпись.
Подготовить для включения в
отчет о лабораторной работе ответы
на следующие вопросы:
- какие события безопасности должны фиксироваться в журнале аудита?
- что определяет политику аудита?
- целесообразно ли с точки зрения безопасности
компьютерной системы разрешать анонимный
доступ к ее информационным ресурсам?
- как должен передаваться по сети (с точки зрения безопасности компьютерной системы) пароль пользователя (или другая аутентифицирующая информация)?
- нужно ли ограничивать права пользователей по запуску прикладных программ и почему?
Порядок выполнения работы:
- После собеседования с преподавателем и получения допуска к работе войти в систему под указанным именем (с правами администратора).
- Освоить средства определения политики безопасности:
- открыть окно определения параметров политики безопасности (Панель управления | Администрирование | Локальная
политика безопасности | Локальные политики
| Параметры безопасности);
- установить заголовок «ПРЕДУПРЕЖДЕНИЕ» в качестве значения параметра «Интерактивный
вход в систему: заголовок сообщения для
пользователей при входе в систему»;
- установить текст «На этом компьютере могут работать только зарегистрированные пользователи!» в качестве значения параметра «Интерактивный вход в систему: текст сообщения
для пользователей при входе в систему»;
- установить значение «Отключен» для параметра «Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL»;
- установить значение «Включен» для параметра «Интерактивный вход в систему: не отображать последнего имени
пользователя»;
- установить значение «7 дней» для параметра «Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее»;
- включить в отчет о лабораторной работе о смысле параметров политики безопасности, относящихся
к интерактивному входу;
- включить в отчет о лабораторной работе копии экранных форм, используемых при определении параметров политики безопасности, относящихся к интерактивному входу;
- с помощью раздела Справки Windows «Параметры безопасности» включить
в отчет о лабораторной работе пояснения
отдельных параметров локальной политики
безопасности компьютерной системы и
их возможных значений (в соответствии
с номером варианта и приложением 1). Обязательно
ответить на вопрос, чем может угрожать
неправильное определение данного параметра.
- Освоить средства определение политики аудита:
- открыть окно определения параметров политики аудита (Панель управления | Администрирование | Локальная
политика безопасности | Локальные политики
| Политика аудита);
- с помощью параметров политики аудита установить регистрацию в журнале аудита успешных и неудачных попыток
- входа в систему,
- изменения политики,
- использования привилегий,
- событий входа в систему,
- управления учетными записями;
- открыть окно определения параметров безопасности
(Панель управления | Администрирование
| Локальная политика безопасности | Локальные
политики | Параметры безопасности) и включить
в отчет о лабораторной работе ответ на
вопрос, какие еще параметры политики
аудита могут быть определены;
- открыть окно просмотра журнала аудита событий безопасности (Панель управления | Просмотр событий | Безопасность),
выполнить команду «Свойства» контекстного
меню (или команду Действие | Свойства)
и включить в отчет о лабораторной работе
ответы на вопросы
- какие еще параметры политики аудита могут быть изменены,
- где расположен журнал аудита событий безопасности;
- включить в отчет о лабораторной работе сведения о порядке назначения параметров политики аудита и ответ на вопрос о смысле этих параметров;
- включить в отчет о лабораторной работе копии экранных форм, используемых при определении параметров политики аудита.
- Освоить средства просмотра журнала аудита событий безопасности:
- открыть окно просмотра журнала аудита событий безопасности (Панель управления | Администрирование | Просмотр
событий | Журналы Windows | Безопасность);
- включить в отчет о лабораторной работе копии экранных форм с краткой и полной информацией о просматриваемом событии безопасности;
- с помощью буфера обмена Windows и соответствующей кнопки в
окне свойств события включить в отчет
о лабораторной работе полную информацию
о нескольких событиях безопасности.
- Освоить средства определения политики ограниченного использования программ:
- открыть окно определения уровней безопасности политики ограниченного
использования программ (Панель управления
| Администрирование | Локальная политика
безопасности | Политики ограниченного
использования программ | Уровни безопасности);
- включить в отчет о лабораторной работе пояснения к возможным уровням безопасности при запуске программ и
копии соответствующих экранных форм;
- открыть окно определения дополнительных правил политики ограниченного использования программ (Панель управления | Администрирование | Локальная
политика безопасности | Политики ограниченного
использования программ | Дополнительные
правила);
- включить в отчет о лабораторной работе ответы на вопросы, (с помощью команд контекстного меню или меню «Действие») в чем смыл задания правил «для
зоны сети» и «для пути», а также копии
соответствующих экранных форм.
- Включить в отчет о лабораторной работе ответы на контрольные вопросы:
- к чему может привести ошибочное определение политики безопасности (приведите примеры)?
- почему, на Ваш взгляд, многие системные администраторы пренебрегают использованием большинства из рассмотренных в данной лабораторной работе параметров политики безопасности?
- Подготовить отчет о выполнение лабораторной работы, который должен включать в себя:
- титульный лист с названиями университета, факультета, кафедры, учебной дисциплины и лабораторной работы, номером варианта, фамилиями и инициалами студента (студентов) и преподавателя, города и года выполнения работы;
- содержание отчета с постраничной разметкой;
- ответы на вопросы, данные в ходе подготовки к выполнению работы;
- сведения о выполнении работы по пунктам с включением содержания задания, копий экранных форм и ответов на вопросы;
- ответы на контрольные вопросы.
Порядок защиты лабораторной работы:
- К защите лабораторной работы допускаются
студенты, выполнившие ее в компьютерном
классе, предъявившие результаты своей
работы преподавателю и подготовившие
отчет о выполнении лабораторной работы,
содержание которого соответствует п.
7 порядка выполнения работы;
- На защите студенты предъявляют отчет о выполнении лабораторной работы, дают пояснения по деталям выполнения задания и отвечают на вопросы преподавателя.
- По результатам защиты каждому студенту выставляется дифференцированная оценка, учитываемая в при определении его итогового рейтинга
за семестр.
- В случае неудовлетворительной оценки по результатам защиты лабораторной работы или пропуска соответствующего занятия студент должен защитить работу повторно в другой день.
Приложение 1
Номер варианта |
Поясняемые параметры политики безопасности |
1 |
Учетные записи: состояние учетной
записи «Администратор»
Устройства: разрешено форматировать
и извлекать съемные носители
Контроллер домена: разрешить операторам
сервера задавать выполнение заданий
по расписанию
Клиент сети Microsoft: использовать цифровую
подпись (всегда)
Сетевая безопасность: не хранить
хеш-значений LAN Manager при следующей смене
пароля |
2 |
Учетные записи: состояние учетной
записи «Гость»
Устройства: разрешать отстыковку
без входа в систему
Контроллер домена: запретить изменение
пароля учетных записей компьютера
Клиент сети Microsoft: использовать цифровую
подпись (с согласия сервера)
Сетевая безопасность: принудительный
вывод из сеанса по истечении допустимых
часов работы |
3 |
Учетные записи: ограничить использование
пустых паролей только для консольного
входа
Устройства: запретить пользователям
установку драйверов принтера
Член домена: всегда требуется цифровая
подпись или шифрование потока данных
безопасного канала
Клиент сети Microsoft: посылать незашифрованный
пароль сторонним SMB-серверам
Сетевая безопасность: уровень проверки
подлинности LAN Manager |
4 |
Учетные записи: переименование учетной
записи администратора
Устройства: разрешить доступ к
дисководам компакт-дисков только локальным
пользователям
Член домена: шифрование данных безопасного
канала, когда это возможно
Сервер сети Microsoft: длительность простоя
перед отключением сеанса
Сетевая безопасность: минимальная
сеансовая безопасность для клиентов
на базе NTLM SSP (включая безопасный RPC) |
5 |
Учетные записи: переименование учетной
записи гостя
Устройства: разрешить доступ к
дисководам гибких дисков только локальным
пользователям
Член домена: цифровая подпись данных
безопасного канала, когда это
возможно
Сервер сети Microsoft: использовать цифровую
подпись (всегда)
Сетевая безопасность: минимальная
сеансовая безопасность для серверов
на базе NTLM SSP (включая безопасный RPC) |
6 |
Завершение работы: разрешить завершение
работы системы без выполнения входа
в систему
Устройства: поведение при установке
неподписанного драйвера
Член домена: максимальный срок действия
пароля учетных записей компьютера
Сервер сети Microsoft: использовать цифровую
подпись (с согласия клиента)
Доступ к сети: разрешить трансляцию
анонимного SID в имя |
Номер варианта |
Поясняемые параметры политики безопасности |
7 |
Завершение работы: очистка страничного
файла виртуальной памяти
Член домена: требует стойкого ключа
сеанса (Windows 2000 или выше)
Сетевой доступ: не разрешать перечисление
учетных записей SAM анонимными пользователями
Системная криптография: использовать
FIPS-совместимые алгоритмы для
шифрования
Сетевой доступ: модель общего доступа
и безопасности для локальных
учетных записей |
8 |
Системные объекты: владелец по умолчанию
для объектов, созданных членами
группы администраторов
Член домена: отключить изменение
пароля учетных записей компьютера
Сетевой доступ: не разрешать перечисление
учетных записей SAM и общих ресурсов
анонимными пользователями
Консоль восстановления: разрешить
автоматический вход администратора
Сетевой доступ: разрешать анонимный
доступ к общим ресурсам |
9 |
Системные объекты: учитывать регистр
для подсистем, отличных от Windows
Сетевой доступ: не разрешать средству
сохранения имен пользователей и
паролей сохранять пароли или
учетные данные для проверки в
домене
Сетевой доступ: пути в реестре
доступны через удаленное подключение
Консоль восстановления: разрешить
копирование дискет и доступ ко всем
дискам и папкам
Сервер сети Microsoft: отключать клиентов
по истечении разрешенных часов
входа |
10 |
Системные объекты: усилить разрешения
по умолчанию для внутренних системных
объектов (например, символических ссылок)
Сетевой доступ: разрешить применение
разрешений для всех к анонимным
пользователям
Сетевой доступ: разрешать анонимный
доступ к именованным каналам
Интерактивный вход в систему: количество
предыдущих подключений к кэшу (в случае
отсутствия доступа к контроллеру домена)
Интерактивный вход в систему: требовать
проверки на контроллере домена для
отмены блокировки |