Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Лабораторная работа №1: Изучение средств настройки и поддержки безопасности в ОС Windows 7Стр 1 из 3Следующая ⇒
Лабораторная работа №1: Изучение средств настройки и поддержки безопасности в ОС Windows 7 Цель работы Изучение принципов обеспечения безопасности стандартными средствами Windows. Общие сведения В Windows 7 поддерживается обширный ассортимент системных компонентов и инструментов, которые призваны идентифицировать каждого, кто попытается получить доступ к защищенным ресурсам. Каждый пользователь, приступающий к работе на компьютере с установленной Windows 7, должен подтвердить свою идентичность. Процесс подтверждения реализован путем проверки имени пользователя и пароля. После успешной регистрации пользователя Windows обращается к защищенной информации из учетной записи, определяющей перечень доступных/запрещенных ресурсов. При этом используются разрешения, определяющие доступ к совместно используемым файлам, папкам и сетевым ресурсам. В случае повышенных требований к безопасности применяется кодирование файлов данных. В результате просмотр файлов становится невозможным, даже если удается обойти настройки, определяющие безопасность системы и доступ к файлам. Возможности системного администратора по поддержке мер безопасности существенно изменяются в зависимости от версии Windows, а также файловой системы, используемой на определенном диске. Многое зависит от выбранных настроек на этапе установки Windows. Пользовательские учетные записи Применяемый в Windows 7 контроль доступа (метод, контролирующий доступ к определенным файлам, папкам, компьютерам и другим ресурсам) зависит от способности системы уникальным образом идентифицировать посетителей. На практике это достигается путем назначения учетной записи каждому пользователю компьютера. Это правило может не распространяться на компьютеры, применяемые большим числом пользователей, имеющих одинаковые привилегии. В этом случае устанавливается одна учетная запись, применяемая всеми пользователями. Информация о пользовательских учетных записях хранится в защищенной базе данных Security Accounts Manager (SAM). С целью отслеживания каждой записи и связанных с нею прав и разрешений применяется значение переменной длины, называемое идентификатором безопасности (SID). В момент создания пользовательской учетной записи ей присваивается уникальный идентификатор SID. В Windows 7 все значения SID начинаются с сокращения S-1. Затем следует ряд чисел, уникальным образом идентифицирующих каждую учетную запись. Как правило, в Windows учетным записям присваиваются вполне дружественные имена, — например, Ed, Carl или Administrator. Причем идентификатор SID для каждой записи отслеживается в фоновом режиме. Доступ к этим идентификаторам осуществляется с помощью системного реестра. На рис. 1 отображается содержимое ключа HKEY_USERS в случае установки версии Windows 7 Ultimate. Три коротких значения представляют хорошо знакомые SID. Благодаря применению подобной методики производится идентификация учетных записей, общих для всех версий Windows; например, идентификатор S-1-5-18 соответствует системной учетной записи. Два идентификатора SID большей длины представляют пользовательские учетные записи. Рис. 1. Идентификаторы безопасности, применяемые в Windows 7 Идентификатор SID ассоциируется вместе с созданной новой пользовательской учетной записью и поддерживается до момента ее удаления. Если для этого же имени пользователя и пароля сформировать новую учетную запись, ей будет присвоен новый SID. Утилита User Accounts Утилита User Accounts (Учетные записи пользователей) обеспечивает выполнение общих задач по управлению учетными записями (рис. 2). Несмотря на ограниченные возможности (операции по добавлению/удалению пользовательских учетных записей, установке паролей и помещению пользовательских учетных записей в отдельные группы безопасности), с помощью этого средства можно выполнять некоторые уникальные действия. В частности, вы можете делать следующее: - изменять пользовательские учетные записи; - конфигурировать автоматическую регистрацию; - определять необходимость применения клавиш Ctrl+Alt+Delete. Вызов утилиты осуществляется с помощью «control userpasswords2» путем ввода команды в Пуск> Стандартные> Выполнить, либо нажатием комбинации клавиш Win+R и ввода соответствующей команды. Рис. 2. Утилита User Accounts (доступ к этому приложению обеспечивает команда control userpasswords2) Net-команды Хотя утилиты командной строки Net Accounts и Net Localgroup не являются столь «прозрачными», как другие визуальные инструменты, с их помощью возможно наиболее полное и непосредственное выполнение различных задач по управлению учетными записями. Дополнительные сведения относительно этих команд можно получить с помощью команды net help user или net help localgroup. Перечень доступных опций и описание синтаксиса отображаются после ввода команды net accounts или net localgroup. Несмотря на то, что Net-команды можно вводить в диалоговом окне Run (Запуск программы), лучше все же пользоваться для этого окном Command Prompt. Это связано с тем, что результаты выполнения Net-команды отображаются в том же окне, где вводилась сама команда. При работе с окном Run вы просто ничего не увидите. (Для открытия диалогового окна Command Prompt нажмите клавиши Win + R, введите cmd и нажмите клавишу Enter. ВНИМАНИЕ - Если учетная запись добавляется в группу в окне утилиты User Accounts, производится ее удаление из любых других локальных групп. 2. Утилита Local Users And Groups обеспечивает лучшие методы управления членством в группах. Эта задача может выполняться двумя различными способами. - При управлении 'членством в группах для единственной пользовательской учебной записи на дереве консоли щелкните на кнопке Users (Пользователи). - Если учетные записи отображаются на панели подробностей, дважды щелкните на имени пользователя, а затем выделите вкладку Member Of (Входит в состав) в диалоговом окне свойств. Щелкните на кнопке Add (Добавить) и заполните диалоговое окно, а затем добавьте пользовательскую учетную запись в группу или выберите эту группу, а затем щелкните на кнопке Remove (Удалить) для удаления учетной записи из группы; - Если требуется управлять членством в группе при наличии одной группы безопасности, на дереве консоли щелкните на кнопке Groups (Группы). После того как на панели подробностей отобразится перечень групп, дважды щелкните на названии группы, чтобы просмотреть перечень ее членов. Кнопка Add (Добавить) служит для добавления пользовательской учетной записи в группу, а кнопка Remove (Удалить) - для удаления пользователя из группы;
ВНИМАНИЕ Не используйте поле Подсказка для хранения парольной подсказки. Это поле, отображаемое экранами всех инструментальных средств (кроме User Accounts), может просматриваться другими пользователями вашей сети и компьютера. СОВЕТ- После завершения переименования учетной записи администратора можно создать новую учетную запись, называемую Administrator. Поместите вновь созданную учетную запись в группу безопасности Guests и защитите ее с помощью сложного пароля. Эта учетная запись выполняет две функции: пускает возможных вредителей по ложному следу и облегчает определение попыток взлома системы. (С целью определения попыток взлома просмотрите журнал безопасности утилиты Event Viewer.) Создание сложных паролей Общеизвестно, что пользователи компьютеров не слишком любят пароли. Некоторые из них склонны применять пустые пароли или в качестве пароля указывать собственное имя. Другие пытаются подобрать более сложные пароли, указав имя своей жены, дату собственного рождения или любое случайно подобранное слово. Имейте в виду, что подобные пароли за считанные минуты разгадываются с помощью специальной программы подбора паролей. Ниже перечисляются «порочные» методики подбора паролей, которые хорошо известны потенциальным «взломщикам»: - выбор слов из словарей, включая словари иностранных слов; - имена людей, животных, местностей, спортивных команд и прочих подобных названий; - запись сведений о пароле на листочек бумаги, наклеенный на монитор. - Защита от программы по взлому паролей обеспечивается путем подбора сложных паролей, хотя и они могут быть разгаданы, но это займет многие месяцы, а не несколько часов (в случае подбора простого пароля). Следует обновлять сложный пароль еще до того, как он будет разгадан. Характеристики сложного пароля: - содержит как минимум восемь символов; - состоит из смеси букв верхнего/нижнего регистра, чисел и символов; - периодически изменяется, причем новый пароль достаточно сильно отличается от старого пароля; - не может содержать имена, пользовательские имена, а также любые другие осмысленные слова; - не может применяться совместно с кем-либо. К сожалению, подобные замысловатые пароли достаточно трудны для запоминания. Поэтому для их создания и запоминания применяются некоторые мнемонические правила. Эффективный подход заключается в том, чтобы легкую для запоминания фразу преобразовать в трудно разгадываемый пароль. Например, можно воспользоваться фразой «Security is everyone's business» для создания следующего пароля: Siel'sbs. Знатоки истории припомнят название марша времен Первой мировой войны: «It's a Long, Long Way to Tipperary». На основе этой фразы можно создать легко запоминаемый, но выглядящий случайным следующий пароль: IaL.LW2T. Часто применяется другой трюк, суть которого состоит в том, что берется легко запоминаемая фраза («It was the best of times»), причем начальные буквы слов переставляются в определенном порядке (например, в порядке, определяемой вашей юбилейной датой). Например, дата «18 марта» (3-18) приводит к получению пароля: 13w-tlb8ot. СОВЕТ- Для генерирования сложных паролей и их назначения учетным записям можно воспользоваться командой Net User. Для этого в окне командной строки укажите net user имя_пользователя/ random, где в качестве параметра имя_пользователя указывается пользовательское имя учетной записи. Существует множество интерактивных служб и автономных программ, предназначенных для случайного генерирования сложных паролей, имеющих любую заранее заданную длину. Ниже указаны некоторые полезные ссылки: http: //www.winguides.com/security/password.php http: //javascript.internet.com/passwords/password-generator.html http: //www.segobit.com/arg.htm http: //www.randpass.com http: //www.mark.vcn.com/password/ СОВЕТ - Если применяется хронология паролей, потребуется установить минимальный срок их действия. В противном случае эффективность этого свойства будет сомнительной, поскольку пользователи смогут несколько раз изменять пароль, выдавая его за текущий пароль. Рис. 10. Консоль Local Security Settings позволяет установить парольные политики для всех пользовательских учетных записей Содержание отчета 1. Название и цель работы. 2. Краткую теорию. 3. Результаты работы. 4. Выводы. Лабораторная работа №1: Изучение средств настройки и поддержки безопасности в ОС Windows 7 Цель работы Изучение принципов обеспечения безопасности стандартными средствами Windows. Общие сведения В Windows 7 поддерживается обширный ассортимент системных компонентов и инструментов, которые призваны идентифицировать каждого, кто попытается получить доступ к защищенным ресурсам. Каждый пользователь, приступающий к работе на компьютере с установленной Windows 7, должен подтвердить свою идентичность. Процесс подтверждения реализован путем проверки имени пользователя и пароля. После успешной регистрации пользователя Windows обращается к защищенной информации из учетной записи, определяющей перечень доступных/запрещенных ресурсов. При этом используются разрешения, определяющие доступ к совместно используемым файлам, папкам и сетевым ресурсам. В случае повышенных требований к безопасности применяется кодирование файлов данных. В результате просмотр файлов становится невозможным, даже если удается обойти настройки, определяющие безопасность системы и доступ к файлам. Возможности системного администратора по поддержке мер безопасности существенно изменяются в зависимости от версии Windows, а также файловой системы, используемой на определенном диске. Многое зависит от выбранных настроек на этапе установки Windows. Популярное:
|
Последнее изменение этой страницы: 2016-05-03; Просмотров: 1803; Нарушение авторского права страницы