Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Лабораторная работа №1: Изучение средств настройки и поддержки безопасности в ОС Windows 7



Лабораторная работа №1: Изучение средств настройки и поддержки безопасности в ОС Windows 7

Цель работы

Изучение принципов обеспечения безопасности стандартными средствами Windows.

Общие сведения

В Windows 7 поддерживается обширный ас­сортимент системных компонентов и инструментов, которые призваны идентифи­цировать каждого, кто попытается получить доступ к защищенным ресурсам. Каждый пользователь, приступаю­щий к работе на компьютере с установленной Windows 7, должен подтвер­дить свою идентичность. Процесс подтверждения реализован путем проверки имени пользователя и пароля.

После успешной регистрации пользователя Windows обращается к защищенной информации из учетной записи, определяющей перечень доступных/запрещенных ресурсов. При этом используются разрешения, определяющие доступ к совместно используемым файлам, папкам и сетевым ресурсам. В случае повышенных требова­ний к безопасности применяется кодирование файлов данных. В результате про­смотр файлов становится невозможным, даже если удается обойти настройки, оп­ределяющие безопасность системы и доступ к файлам. Возможности системного администратора по поддержке мер безопасности существенно изменяются в зави­симости от версии Windows, а также файловой системы, используемой на опреде­ленном диске. Многое зависит от выбранных настроек на этапе установки Windows.

Пользовательские учетные записи

Применяемый в Windows 7 контроль доступа (метод, контролирующий до­ступ к определенным файлам, папкам, компьютерам и другим ресурсам) зависит от способности системы уникальным образом идентифицировать посетителей. На практике это достигается путем назначения учетной записи каждому пользователю компь­ютера. Это правило может не распространяться на компьютеры, применяемые боль­шим числом пользователей, имеющих одинаковые привилегии. В этом случае уста­навливается одна учетная запись, применяемая всеми пользователями.

Информация о пользовательских учетных записях хранится в защищенной базе данных Security Accounts Manager (SAM). С целью отслеживания каждой записи и связанных с нею прав и разрешений применяется значение переменной длины, называемое идентификатором безопасности (SID). В момент создания пользова­тельской учетной записи ей присваивается уникальный идентификатор SID. В Windows 7 все значения SID начинаются с сокращения S-1. Затем сле­дует ряд чисел, уникальным образом идентифицирующих каждую учетную запись.

Как правило, в Windows учетным записям присваиваются вполне дружественные имена, — например, Ed, Carl или Administrator. Причем идентификатор SID для каждой записи отслеживается в фоновом режиме. Доступ к этим идентификато­рам осуществляется с помощью системного реестра. На рис. 1 отображается со­держимое ключа HKEY_USERS в случае установки версии Windows 7 Ultimate. Три коротких значения представляют хорошо знакомые SID. Благодаря примене­нию подобной методики производится идентификация учетных записей, общих для всех версий Windows; например, идентификатор S-1-5-18 соответствует сис­темной учетной записи. Два идентификатора SID большей длины представляют пользовательские учетные записи.

Рис. 1. Идентификаторы безопасности, применяемые в Windows 7

Идентификатор SID ассоциируется вместе с созданной новой пользовательской учетной записью и поддерживается до момента ее удаления. Если для этого же имени пользователя и пароля сформировать новую учетную запись, ей будет при­своен новый SID.

Утилита User Accounts

Утилита User Accounts (Учетные записи пользователей) обеспечивает выполнение общих задач по управлению учетными записями (рис. 2). Несмотря на ограни­ченные возможности (операции по добавлению/удалению пользовательских учет­ных записей, установке паролей и помещению пользовательских учетных записей в отдельные группы безопасности), с помощью этого средства можно выполнять некоторые уникальные действия. В частности, вы можете делать следующее:

- изменять пользовательские учетные записи;

- конфигурировать автоматическую регистрацию;

- определять необходимость применения клавиш Ctrl+Alt+Delete.

Вызов утилиты осуществляется с помощью «control userpasswords2» путем ввода команды в Пуск> Стандартные> Выполнить, либо нажатием комбинации клавиш Win+R и ввода соответствующей команды.

Рис. 2. Утилита User Accounts (доступ к этому приложению обеспечивает команда control userpasswords2)

Net-команды

Хотя утилиты командной строки Net Accounts и Net Localgroup не являются столь «про­зрачными», как другие визуальные инструменты, с их помощью возможно наи­более полное и непосредственное выполнение различных задач по управлению учетными записями. Дополнительные сведения относительно этих команд мож­но получить с помощью команды net help user или net help localgroup. Перечень доступных опций и описание синтаксиса отображаются после ввода команды net accounts или net localgroup.

Несмотря на то, что Net-команды можно вводить в диалоговом окне Run (Запуск програм­мы), лучше все же пользоваться для этого окном Command Prompt. Это связано с тем, что результаты выполнения Net-команды отображаются в том же окне, где вводи­лась сама команда. При работе с окном Run вы просто ничего не увидите. (Для открытия диалогового окна Command Prompt нажмите клавиши Win + R, введите cmd и нажмите клавишу Enter.

ВНИМАНИЕ -

Если учетная запись добавляется в группу в окне утилиты User Accounts, произво­дится ее удаление из любых других локальных групп.

2. Утилита Local Users And Groups обеспечивает лучшие методы управления член­ством в группах. Эта задача может выполняться двумя различными способами.

- При управлении 'членством в группах для единственной пользовательской учебной записи на дереве консоли щелкните на кнопке Users (Пользователи).

- Если учетные записи отображаются на панели подробностей, дважды щелк­ните на имени пользователя, а затем выделите вкладку Member Of (Входит в состав) в диалоговом окне свойств. Щелкните на кнопке Add (Добавить) и заполните диалоговое окно, а затем добавьте пользо­вательскую учетную запись в группу или выберите эту группу, а затем щелк­ните на кнопке Remove (Удалить) для удаления учетной записи из группы;

- Если требуется управлять членством в группе при наличии одной группы бе­зопасности, на дереве консоли щелкните на кнопке Groups (Группы). После того как на панели подробностей отобразится перечень групп, дважды щелк­ните на названии группы, чтобы просмотреть перечень ее членов. Кнопка Add (До­бавить) служит для добавления пользовательской учетной записи в группу, а кнопка Remove (Удалить) - для удаления пользователя из группы;

 

ВНИМАНИЕ

Не используйте поле Подсказка для хранения парольной подсказки. Это поле, отображаемое экранами всех инструментальных средств (кроме User Accounts), может просматриваться другими пользователями вашей сети и компьютера.

СОВЕТ-

После завершения переименования учетной записи администратора можно создать но­вую учетную запись, называемую Administrator. Поместите вновь созданную учетную за­пись в группу безопасности Guests и защитите ее с помощью сложного пароля. Эта учет­ная запись выполняет две функции: пускает возможных вредителей по ложному следу и облегчает определение попыток взлома системы. (С целью определения попыток взлома просмотрите журнал безопасности утилиты Event Viewer.)

Создание сложных паролей

Общеизвестно, что пользователи компьютеров не слишком любят пароли. Неко­торые из них склонны применять пустые пароли или в качестве пароля указывать собственное имя. Другие пытаются подобрать более сложные пароли, указав имя своей жены, дату собственного рождения или любое случайно подобранное слово. Имейте в виду, что подобные пароли за считанные минуты разгадываются с помо­щью специальной программы подбора паролей. Ниже перечисляются «порочные» методики подбора паролей, которые хорошо известны потенциальным «взломщикам»:

- выбор слов из словарей, включая словари иностранных слов;

- имена людей, животных, местностей, спортивных команд и прочих подобных названий;

- запись сведений о пароле на листочек бумаги, наклеенный на монитор.

- Защита от программы по взлому паролей обеспечивается путем подбора сложных паролей, хотя и они могут быть разгаданы, но это займет многие месяцы, а не не­сколько часов (в случае подбора простого пароля). Следует обновлять сложный пароль еще до того, как он будет разгадан. Характеристики сложного пароля:

- содержит как минимум восемь символов;

- состоит из смеси букв верхнего/нижнего регистра, чисел и символов;

- периодически изменяется, причем новый пароль достаточно сильно отличает­ся от старого пароля;

- не может содержать имена, пользовательские имена, а также любые другие ос­мысленные слова;

- не может применяться совместно с кем-либо.

К сожалению, подобные замысловатые пароли достаточно трудны для запомина­ния. Поэтому для их создания и запоминания применяются некоторые мнемони­ческие правила.

Эффективный подход заключается в том, чтобы легкую для запоминания фразу преобразовать в трудно разгадываемый пароль. Например, можно воспользовать­ся фразой «Security is everyone's business» для создания следующего пароля: Siel'sbs. Знатоки истории припомнят название марша времен Первой мировой войны: «It's a Long, Long Way to Tipperary». На основе этой фразы можно создать легко запо­минаемый, но выглядящий случайным следующий пароль: IaL.LW2T. Часто применяется другой трюк, суть которого состоит в том, что берется легко запоминаемая фраза («It was the best of times»), причем начальные буквы слов пе­реставляются в определенном порядке (например, в порядке, определяемой ва­шей юбилейной датой). Например, дата «18 марта» (3-18) приводит к получению пароля: 13w-tlb8ot.

СОВЕТ-

Для генерирования сложных паролей и их назначения учетным записям можно вос­пользоваться командой Net User. Для этого в окне командной строки укажите net user имя_пользователя/ random, где в качестве параметра имя_пользователя ука­зывается пользовательское имя учетной записи. Существует множество интерактив­ных служб и автономных программ, предназначенных для случайного генерирования сложных паролей, имеющих любую заранее заданную длину. Ниже указаны некото­рые полезные ссылки:

http: //www.winguides.com/security/password.php http: //javascript.internet.com/passwords/password-generator.html http: //www.segobit.com/arg.htm

http: //www.randpass.com

http: //www.mark.vcn.com/password/

СОВЕТ -

Если применяется хронология паролей, потребуется установить минимальный срок их действия. В противном случае эффективность этого свойства будет сомнительной, по­скольку пользователи смогут несколько раз изменять пароль, выдавая его за текущий пароль.

Рис. 10. Консоль Local Security Settings позволяет установить парольные политики для всех пользовательских учетных записей

Содержание отчета

1. Название и цель работы.

2. Краткую теорию.

3. Результаты работы.

4. Выводы.

Лабораторная работа №1: Изучение средств настройки и поддержки безопасности в ОС Windows 7

Цель работы

Изучение принципов обеспечения безопасности стандартными средствами Windows.

Общие сведения

В Windows 7 поддерживается обширный ас­сортимент системных компонентов и инструментов, которые призваны идентифи­цировать каждого, кто попытается получить доступ к защищенным ресурсам. Каждый пользователь, приступаю­щий к работе на компьютере с установленной Windows 7, должен подтвер­дить свою идентичность. Процесс подтверждения реализован путем проверки имени пользователя и пароля.

После успешной регистрации пользователя Windows обращается к защищенной информации из учетной записи, определяющей перечень доступных/запрещенных ресурсов. При этом используются разрешения, определяющие доступ к совместно используемым файлам, папкам и сетевым ресурсам. В случае повышенных требова­ний к безопасности применяется кодирование файлов данных. В результате про­смотр файлов становится невозможным, даже если удается обойти настройки, оп­ределяющие безопасность системы и доступ к файлам. Возможности системного администратора по поддержке мер безопасности существенно изменяются в зави­симости от версии Windows, а также файловой системы, используемой на опреде­ленном диске. Многое зависит от выбранных настроек на этапе установки Windows.


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-05-03; Просмотров: 1803; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.02 с.)
Главная | Случайная страница | Обратная связь