Система захисту Windows XP Professional

У попередніх лабораторних ми розглянули процес створення і настроювання мережі, але не обговорювали одну з найважливіших мережних концепцій — захист (безпека). Однак усе сімейство операційних систем NT розроблялося саме для забезпечення захисту, тому відповідні архітектурні елементи присутні в Windows XP Professional.

Windows XP Professional на відміну від деяких інших ОС вимагає наявності облікового запису для користувача до виконання будь-яких операцій на ПК. В інших ОС теж потрібно вводити пароль, але це пароль доступу до мережі, а не до операційної системи.

Облікові записи — невід'ємна частина Windows XP Professional, що надає великі можливості. Припустимо, користувачі Петро та Павло спільно використовують один комп'ютер. У Windows XP Professional можна зробити так, що Павло ніколи не отримає доступу до папок користувача Петра і навпаки.

Крім того, доступ до файлів і папок можна обмежити на основі повноважень. У Windows XP Professional дозволено застосування файлових систем FAT, FAT32 або NTFS. У кожній із двох файлових систем FAT ми отримуємо тільки обмежені можливості по управлінню доступом до файлів і папок, але в NTFS забезпечується повноцінне управління доступом як до файлів локального комп'ютера, так і до файлів у мережі.

У цій лабораторній ми обговоримопитання створення облікового запису користувача, а також встановлення повноважень для доступу до спільних ресурсів, файлів і папок.

Облікові записи користувачів у Windows XP Professional

У Windows XP Professional необхідно створити обліковий запис користувача до того, як він отримає доступ до робочої станції, причому на відміну від Windows 9х до входу в систему заборонені будь-які операції.

Якщо ж комп'ютер Windows XP Professional входить у мережу клієнт/сервер, то доступні два типи облікових записів: локальні і доменні. Обліковий запис у домені визначає доступ до мережних ресурсів, для яких у користувача є повноваження. Звичайно такі облікові записи формуються адміністратором мережного сервера і зберігаються в спеціальному каталозі на сервері, яким може бути Active Directory (активний каталог) або каталог домена Windows NT.

Локальний обліковий запис діє тільки на локальний комп'ютер і зберігається в базі даних SAM (Security Accounts Manager, менеджер облікових записів безпеки, або просто менеджер безпеки). Такий обліковий запис формується в аплеті Користувачі і паролі (Users and Passwords), що ми розглянемо нижче.

Далі ми будемо обговорювати тільки локальні облікові записи користувачів, а адміністраторам мережних доменів (яким необхідно знати правила формування доменних облікових записів) рекомендуємо звернутися до книги: Майнази М., Андерсон К., Смит Б., Тумбі Д. Windows 2000 Server. M., Лорі, 2000.).

Спочатку потрібно обговорити типи облікових записів у системі Windows XP Professional. Є дві широкі категорії: користувачі і групи. Обліковий запис користувача ідентифікує окремого користувача системи по його імені і паролеві. Обліковий запис групи містить інші облікові записи і дозволяє «оптом» привласнити всім цим записам визначений набір привілеїв.

Існує три типи облікових записів користувачів:

Адміністратор комп'ютера (Computer Administrator). Цей обліковий запис дає повні і необмежені права на управління комп'ютером. Вона створюється під час установлення Windows XP Professional і не може бути вилучена із системи. Для створення нового облікового запису, зміни володіння файлами або об'єктами, встановлення ПО для всіх користувачів і т.д. потрібно ввійти в систему як Адміністратор комп'ютера (Computer Administrator).

· Користувач з обмеженими правами (Limited). Цей обліковий запис призначений для звичайних і постійних користувачів комп'ютера, яким дозволено встановлювати ПО й обладнання або змінювати власне реєстраційне ім'я. Кожна людина з цим обліковим записом може змінити власний пароль і вхідну заставку системи.

· Гість (Гость або Guest). Цей вбудований обліковий запис дозволяє ввійти в систему навіть тим користувачам, які не мають спеціально призначеного облікового запису. Для такого облікового запису не потрібний пароль, причому за замовчуванням сам цей обліковий запис відключений (і дозволяти його не рекомендується). Якщо необхідно надавати систему випадковим відвідувачам організації, краще щораз створювати окремий обліковий запис, який видаляється відразу після використання.

Група поєднує кілька облікових записів (у цьому її призначення). У групи адміністратор комп'ютера збирає користувачів з однаковими привілеями. За замовчуванням будь-яка система Windows XP Professional містить наступні вбудовані групи:

· Адміністратори (Администраторы або Administrators). Дозволено будь-які операції на комп'ютері, заборонені всім іншим групам, наприклад завантаження і видалення драйверів пристроїв, управління аудитом безпеки або присвоювання власників файлам і пристроям.

· Оператори архіву (Операторы архива або Backup Operators). Дозволено реєстрацію на комп'ютері і виконання операцій резервного копіювання або відновлення. Однак членам цієї групи доступні не всі операції адміністрування. Оператори архіву можуть виключити систему, але не здатні змінити параметри безпеки.

· Гості (Гости або Guests). Мінімальний рівень доступу до мережних ресурсів, але з точки зору захисту краще не створювати цю групу.

· Оператори настроювання мережі (Операторы настройки сети або Network Configuration Operators). Можуть керувати мережною конфігурацією з адміністративним рівнем доступу. Членам цієї групи недоступні всі операції адміністрування, але вони можуть змінити характеристики мережного підключення або підключення, що комутується.

· Досвідчені користувачі (Опытные пользователиабо Power Users). У них більші повноваження: вони можуть створювати новий принтер або спільні ресурси, змінювати системний час, їм дозволяється вимикання по команді іншої системи або зміна пріоритетів процесів. Але вони не можуть виконувати операції резервного копіювання, завантаження і вивантаження драйверів пристроїв або зміни власника.

· Користувачі віддаленного робочого столу (Remote Desktop Users). Отримують право на віддалений вхід у систему.

· Реплікатори (Репликаторы або Replicator). Мають право на дозвіл прийому файлів реплікації від серверів.

· Користувачі (Пользователи або Users). Здатні запускати програми й отримувати доступ до даних на комп'ютері, виключати ОС або звертатися по мережі до даних на інших комп'ютерах, але їм заборонено створювати спільні ресурси і локальні принтери.

· HelpServicesGroup (Група довідкової служби). Дістають права на доступ до Центра довідки і підтримки (Help and Support Center).

· IIS_WPG (Internet Information Services Worker Process Group (Група співробітників для роботи із сервером IIS). Ця група з'являється тільки після встановлення веб-сервера IIS. Члени групи отримують право на управління сервером IIS (причому тільки службами цього сервера, але не опублікованим на ньому інформаційним умістом).

Права користувачів

Права користувача — невід'ємна частина системи захисту Windows XP Professional. Розходження між адміністраторами і звичайними користувачами полягає в складі дозволених операцій. Наприклад, адміністратор може створити обліковий запис нового користувача, але це не здатний зробити звичайний користувач. В термінології Windows XP Professional дозвіл на виконання операції називається правом (right).

Подивимося, які права отримують у Windows XP Professional різні категорії користувачів:

У Панелі управління (Панель управления або Control Panel) натисніть Продуктивність і обслуговування (Производительность и обслуживание або Performance and Maintenance), потім Адміністрування (Администрирование або Administrative Tools) і далі Локальна політика безпеки (Локальная политикабезопасности або Local Security Policy) для відкриття вікна Локальні параметри безпеки (Локальные параметры безопасности або Local Security Settings).

Рис. 9.1. Вікно Локальна політика безпеки (Локальная политикабезопасности або Local Security Policy)

В панелі Параметри безпеки (Параметры безопасности або Security Settings) розкрийте значок Локальні політики (Локальные политикиабо Local Policies), потім натисніть Призначення прав користувача (Назначение прав пользователяабо User Rights Assignment) – на панелі праворуч з'явиться список прав користувачів:

Рис. 9.2. Список прав користувачів опції Призначення прав користувача (Назначение прав пользователяабо User Rights Assignment)

Багато прав не вимагають пояснень, але про деякі варто розповісти, щоб привести рекомендації щодо їх використання:

Архівування файлів і каталогів (Архивирование файлов и каталоговабо Back Up Files and Directories). Право на запуск утиліт резервного копіювання.

Зміна системного часу (Изменение системного времениабо Change the System Time). Зміна часу на комп'ютері дозволена нe усім (оскільки системний час впливає на проведення мережних операцій), хоча можна змінити його в MS DOS або в BIOS комп'ютера.

Примусове віддалене завершення (Принудительное удаленное завершениеабо Force Shutdown from a Remote System).

Деякі утиліти зі складу Resource Kit дозволяють виключити комп'ютер, навіть якщо на ньому зареєструвався інший користувач. Оскільки це право не слід надавати будь-якому користувачеві, Microsoft створила спеціальне повноваження на дану операцію.

Завантаження і вивантаження драйверів пристроїв (Загрузка и выгрузка драйверов устройств абоLoad and Unload Device Drivers).

Драйвери мають не тільки відеоплати або пристрої SCSI, драйверами можуть бути модулі прикладних програм або підсистем ОС. Без надання даного права звичайно не можна встановлювати нове програмне забезпечення або змінювати і модифікувати окремі частини ОС.

Локальний вхід у систему (Локальный вход в системуабо Log on Locally). Реєстрація на самому комп'ютері.

Управління аудитом і журналом безпеки (Управление аудитом и журналом безопасности або Manage Auditing and Security Log). Дозволено включити журнал безпеки Windows XP Professional, у якому реєструються всі дії по активізації підсистеми захисту. Однак не рекомендується використовувати журнал безпеки, оскільки дані в ньому не занадто зрозумілі, а головне, журнал дуже швидко збільшується в розмірі, займаючи вільне місце на жорсткому диску і вимагаючи додаткових ресурсів процесора.

Відновлення файлів і каталогів (Восстановление файлов и каталогов або Restore Files and Directories). Операція, зворотна резервному копіюванню.

Права власності на файли й інші об'єкти (Права собственности на файлы и другие объекты або Take Ownership of Files or Others Objects) Дозволяє обмежити або розширити право на доступ, навіть не припускаючи доступ до цих об'єктів для себе. Це могутнє право, яким повинен володіти тільки адміністратор системи

УВАГА. Права власності на файли й інші об'єкти (Права собственности на файлы и другие объекты або Take Ownership of Files or Other Objects) - секретна зброя адміністратора. Користувач здатний відгородити свої дані від адміністратора, але останній завжди зможе привласнити собі повноваження на доступ. Не можна захистити свої файли від адміністратора системи, можна тільки утруднити до них доступ.

Конфликты в семейной жизни. Как это изменить? Редкий брак и взаимоотношения существуют без конфликтов и напряженности. Через это проходят все...

ЧТО ТАКОЕ УВЕРЕННОЕ ПОВЕДЕНИЕ В МЕЖЛИЧНОСТНЫХ ОТНОШЕНИЯХ? Исторически существует три основных модели различий, существующих между...

Система охраняемых территорий в США Изучение особо охраняемых природных территорий(ООПТ) США представляет особый интерес по многим причинам...

ЧТО И КАК ПИСАЛИ О МОДЕ В ЖУРНАЛАХ НАЧАЛА XX ВЕКА Первый номер журнала «Аполлон» за 1909 г. начинался, по сути, с программного заявления редакции журнала...

Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте: