Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Настройка параметров операционной системы Windows. Настройка служб.



Лабораторная работа.

Настройка параметров операционной системы Windows. Настройка служб.

Изучение средств управления и локальной политики безопасности

 

 

Цель работы: изучить свойства ОС Windows, использование оснастки «Управление компьютером», «Управление общими ресурсами» Использование диспетчера задач, Создание и настройка новой консоли управления. Создание панели задач

.

 

Теоретические предпосылки

 

Цель работы: изучить …

Задание: выполнить задание в соответствии со своим вариантом

В Windows 2000 реализована общая консоль управления разработана для запуска всех программных модулей администрирования, конфигурирования или мониторинга локальных компьютеров и сети в целом. Такие законченные модули называются оснастками (snap-in). Оснастки представляют собой управляющие компоненты, которые объединены в среде ММС. Консоль ММС включает в себя интерфейсы прикладного программирования (АРI), оболочку пользовательского интерфейса (консоли) и набор инструкций. Консоль управления имеет ряд преимуществ, которые заключаются в упрощении интерфейса, предоставлении больших возможностей по настройке разработанных решений для определенных административных проблем и в обеспечении различных уровней функциональности.

Преимущества ММС:

–возможность индивидуальной настойки и передача полномочий. ММС предоставляет возможность полностью ин­дивидуальной настройки, так что администраторы могут создавать такие консоли управления, которые будут включать только необходимые им инструменты. Такая настройка позволяет ориентировать администрирова­ние на выполнение конкретных задач, причем администратор может вы­делить только необходимые объекты и элементы. Настройка консоли также позволяет администраторам передавать опреде­ленную часть полномочий менее опытным сотрудникам. С помощью ММС можно создать консоль, которая будет содержать объекты, необхо­димые для выполнения только определенных функций;

–интеграция и унификация. ММС обеспечивает общую среду, в которой могут запускаться оснастки, и администраторы могут управлять различными сетевыми продуктами, используя единый интерфейс, что упрощает изучение работы с различными инструментами.

–гибкость в выборе инструментов и продуктов. В среде ММС можно использовать различные инструменты и оснастки. Для использования в среде ММС оснастка должна поддерживать объектную модель компонентов (Component Object Model, СОМ) или распределенную СОМ (Distributed Component Object Model, DCOM). Это позволяет выбирать наиболее оптимальный продукт среди оснасток, причем гарантируется его полная совместимость со средой ММС.

Консоль управления ММС имеет пользовательский интерфейс, позволяющий открывать множество документов (Multiple Document Interface, MDI). Интерфейс консоли ММС на рисунке 4.1.

 

Рисунок 4.1

 

Родительское окно ММС имеет главное меню и панель инструментов. Главное меню обеспечивает функции управления файлами и окнами, а также доступ к справочной системе.

Дочерние окна ММС представляют собой различные средства просмотра автономного документа консоли. Каждое из этих дочерних окон содержит панель управления, панель структуры (scope panel) и панель результатов, или сведений (result panel). Панель управления содержит меню и набор инструментов. Панель структуры отображает пространство имен инструментов в виде дерева, которое содержит все видимые узлы, являющиеся управляемым объектом, задачей или средством просмотра.

Панель результатов в дочернем окне отображает список элементов выбранного узла. Данный список может содержать папки, оснастки, элементы управления, web-страницы, панели задач и другие элементы.

 

Типы оснасток

В ММС поддерживаются два типа оснасток:

–изолированная оснастка (standalone snap-in) обеспечивает выполнение своих функций даже при отсутствии других оснасток, например, Управление компьютером (Computer management);

–оснастка расширения (extension snap-in) может работать только после активизации родительской оснастки. Функция оснастки расширения заключается в увеличении числа типов узлов, поддерживаемых родительской оснасткой. Оснастка расширения является подчиненным элементом узлов определенных типов, и при каждом запуске узлов данных типов консоль автоматически запускает все связанные с ней расширения. В качестве примера можно привести оснастку Диспетчер устройств (Device Manager). Оснастки расширения могут предоставлять различные функциональные возможности. Например, такие оснастки могут расширять пространство имен консоли, увеличивать число пунктов в меню или добавлять определенные мастера.

 

Создание новой консоли рассмотрим на следующем примере:

1. В меню Пуск выберите пункт Выполнить, введите mmc и нажмите кнопку OК. Откроется окно Консоль 1 с пустой консолью (или административным инструментом).

2. В меню Консоль (Console) выберите пункт Добавить/удалить оснастку (Add/Remove Snap-in), после чего откроется окно Добавить/Удалить оснастку. В этом окне перечисляются изолированные оснастки и оснастки расширения, которые будут добавлены в консоль (или уже включены в нее). Оснастки можно добавлять к корню консоли управления или к уже имеющимся изолированным оснасткам (другим узлам дерева); это указывается в списке Оснастки (Snap-in added to). В нашем случае оставим значение по умолчанию — Корень консоли (Console Root).

3. Нажмите кнопку Добавить (Add). На экране появится окно Добавить изолированную оснастку (Add Standalone Snap-in) со списком изолированных оснасток, имеющихся в системе.

5. Выполните двойной щелчок на пункте Управление компьютером (предварительно найдите эту оснастку в списке).Появится окно с конфигурационными опциями для данной оснастки.

6. Оставьте переключатель в положении локальным компьютером (Local Computer). Затем нажмите кнопку Готово (Finish).

7. В окне оснасток выберите пункт Сертификаты и нажмите кнопку Добавить.

8. В следующем окне выберите соответствующий переключатель — Эта оснастка всегда будет управлять сертификатами для: моей учетной записи пользователя (My user account).

9. Нажмите кнопки Готово и Закрыть.

10. В окне Добавить/Удалить оснастку (где отображен список под­ключаемых оснасток) перейдите на вкладку Расширения (Exten­sions). На этой вкладке приведен список оснасток расширения, которые поставляются вместе с выбранными изолированными оснастками. Если вы не собираетесь подключать все оснастки расширения, сбросьте флажок Добавить все расширения (Add All Extensions) (который ставится по умолчанию) и снимите флажки с лишних оснасток. По окончании процедуры нажмите кнопку ОК.

11. Закройте окно добавления оснасток, нажав кнопку ОК. Теперь окно консоли содержит две оснастки — Управление компьюте­ром и Сертификаты (рисунок 4.2).

Рисунок 4.2

 

12. Для того чтобы сохранить созданный инструмент, в меню Кон­соль выберите пункт Сохранить как (Save As) и укажите имя файла и папку, в которой будет сохранен файл консоли.

Создание панелей задач

Когда требуется создать файл консоли для другого пользователя, полезно предоставить пользователю упрощенный инструмент, позволяющий выполнять только несколько определенных задач. Таким инструментом является панель задач (taskpad). Панель задач является НТМL-страницей, на которой могут быть размещены ярлыки (или задачи (tasks)), запускающие команды меню и программы или открывающие ссылки на web-страницы.

Для создания панели задач выполните следующее:

1. В меню Действие (Action) или в контекстном меню любого узла в окне консоли выберите пункт Новый вид панели задач (New Taskpad View).

2. Откроется окно Мастера создания вида панели задач (New Taskpad View Wizard). Нажмите кнопку Далее.

В следующем окне мастера будет предложено выбрать стиль отображения и размер панели задач. Затем на панели задач можно указать использование только тех задач, которые связаны с текущим узлом или со всеми узлами дерева. В следующем окне потребуется ввести имя и описание создаваемой панели задач.

Если не требуется добавлять новые задачи на созданную панель, снимите в последнем окне мастера флажок Запустить мастер создания новой задачи (Start New Task Wizard).

В противном случае по завершении работы Мастера создания вида панели задач запускается Мастер создания задач (New Task Wizard). В ходе этой процедуры следует указать функцию задачи: запуск команды меню, программы или ссылка на web-страницу, ввести путь к исполняемому файлу и параметры за­пуска.

В остальных окнах мастера примите значения по умолчанию. Если требуется создать несколько задач на одной панели, установите в последнем окне мастера флажок Запустить этот мастер снова (Run this wizard again). Затем нажмите кнопку Готово.

На рисунке 4.4 показана созданная в результате панель задач. В данном окне консоли панель структуры отключена — аналогично тому, как это было сделано в предыдущем разделе. Для удаления лишних меню и панелей инструментов снимите соответствующие флажки в окне Настройка вида (Customize View) (опции оснастки в инструмент или удалять существующие, не сможет изменять свойства консоли, но будет иметь возможность изме­нять расположение окон. (Новый режим начнет работать при следующем запуске файла консоли). Если вы хотите еще ужесто­чить требования, то можете выбрать один из режимов ограниче­ния – Пользовательский режим –ограниченный допуск.

Рисунок 4.4

3. Сохраните файл.

Сохраненный файл консоли можно также открыть с помощью Проводника. Для этого выполните двойной щелчок на файле с расширением.msc. Файл консоли будет открыт в среде ММС.

Оснастки Windows 2000

В таблице 4.1 в алфавитном порядке перечислены основные оснастки, которые доступны в системе Windows 2000 Professional. Для оснасток, включенных в пользовательский интерфейс, указаны названия соответствующих пунктов меню, для остальных оснасток даны их собственные имена. Оснастки, которые можно вызывать непосредственно из меню Пуск или из группы Администрирование на панели управления, т.е. оснастки, включенные в пользовательский интерфейс при инсталляции системы, - отмечены звездочкой (*)

 

Таблица 4.1

Оснастка Назначение
Служба работы с факсами (Fax Service Management) Служит для управления службой и устройствами факсимильной связи
Анализ и настройка безопасности (Security Configuration and Analysis)   Служит для управления безопасностью системы с помощью шаблонов безопасности
Групповая политика (Group Policy) Служит для назначения сценариев регистрации, групповых политик для компьютера и пользователей некоторого компьютера сети; позволяет просматривать и изменять политику безопасности, политику аудита и права пользователей
Дефрагментация диска (Disk Defragmenter) Служит для анализа и дефрагментации дисковых томов
Диспетчер устройств (Device Manager) Содержит список всех устройств, подключенных к компьютеру, и позволяет их конфигурировать
Локальные пользователи и группы (Local Users and Groups) Служит для управления локальными учетными записями пользователей и групп
Общие папки Shared Folders) Отображает совместно используемые папки, текущие сеансы и открытые файлы
Оповещение и журналы производительности (Performance Logs and Alerts) Конфигурирует журналы данных о работе системы и службу оповещений
Папка (Folder) Служит для добавления новой папки в дерево
Просмотр событий (Event Viewer)* Служит для просмотра и управления системным журналом, журналами безопасности и приложений
Сведения о системе (System Information) Отображает информацию о системе
Сертификаты (Certificates) Служит для управления сертификатами
Системный монитор (Performance)* Используется для сбора и просмотра в реальном времени данных, характеризующих работу памяти, дисков, процессора и других компонентов системы
Служба индексирования (Indexing Service) Служит для индексирования документов различных типов с целью ускорения их поиска
Служба компонентов (Componenet Services)* Конфигурирует и управляет службами компонентов СОМ+
Службы (Services)* Запускает, останавливает и конфигурирует службы (Services) Windows
Ссылка на ресурс web (Link to Web Address) Служит для подключения webстраниц (html, asp, stml)
Управление дисками (Disk Management) Служит для управления дисками и защитой данных, для разбиения дисков на логические тома, форматирования, управления совместным доступом, квотами и т. д.
Управление компьютером (Computer Management) Предоставляет функции администрирования системы. Содержит в своем составе ряд изолированных оснасток и оснасток расширения
Управление политикой безопасности IP (IP Security Policy Management) Служит для управления политиками IPSec для безопасного соединения с другими компьютерами
Управление съемными носителями (Removable Storage Management) Служит для управления съемными носителями информации
Управляющий элемент (WMI Control) Служит для конфигурирования средств Windows Management Instrumentation и управления ими
Шаблоны безопасности (Security templates) Обеспечивает возможность редактирования файлов-шаблонов безопасности
Элемент ActiveX (ActiveX Control) Подключение к дереву консоли различных элементов управления ActiveX

 

 

Папка Пользователи (Users)

Сразу после установки системы Windows (рабочей станции или сервера, являющегося членом домена) папка Пользователи содержит две встроенные учетные записи — Администратор (Administrator) и Гость (Guest). Они создаются автоматически при установке Windows. Ниже даны описания свойств обеих встроенных учетных записей:

Администратор - эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Администраторы (Administrators), ее можно только переименовать.

Гость — эта учетная запись применяется в компьютере без использования специально созданной учетной записи. Учетная запись Гость не требует ввода пароля и по умолчанию блокирована. Она является членом группы Гости (Guests). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.

 

Папка Группы (Groups)

После установки системы Windows (рабочей станции или сервера, являющегося членом домена) папка Группы (Groups) содержит шесть встроенных групп. Они создаются автоматически при установке Windows. Ниже описаны свойства всех встроенных групп:

Администраторы (Administrators) - ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав.

Операторы архива (Backup Operators) - члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности.

Гости (Guests) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Гость и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут за вершать работу системы.

Опытные пользователи (Power Users) - члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Пользователи, Гости и Опытные пользователи. Члены группы Опытные пользователи не могут модифицировать членство в группах Администраторы и Операторы архива. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий.

Репликатор (Replicator) — членом группы Репликатор должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи.

Пользователи (Users) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер.

 

Создание сценариев входа

Для создания сценариев входа может быть использован обыкновенный текстовый редактор. Затем с помощью оснастки Локальные пользователи и группы (Local Users and Groups) сценарии входа назначаются соответствующим пользователям. Кроме того, один сценарий может быть назначен нескольким пользователям. В таблице 4.4 приведены параметры, значения которых можно устанавливать с помощью сценария входа и их описания.

 

Таблица 4.4 - Параметры, устанавливаемые с помощью сценария входа

Параметр Описание
%HOMEDRIVE% Имя устройства локального ком­пьютера, связанного с домашним каталогом пользователя
%НОМЕРАТН% Полный путь к домашнему ката­логу пользователя
%HOMESHARE% Имя общего ресурса, где находит­ся домашний каталог пользовате­ля
%OS% Операционная система компьюте­ра пользователя
%PROCESSOR_ARCHITECTURE% Тип процессора (например, Pen­tium) компьютера пользователя
%PROCESSOR_LEVEL% Уровень процессора компьютера пользователя
%USERDOMAIN% Домен, в котором находится учетная запись пользователя
%USERNAME% Имя пользователя

 

Аудит локальной системы

Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.

После включения аудита операционная система Windows начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий (Event Viewer). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попьггки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.

Аудит представляет собой многошаговый процесс. Сначала его следует активизировать с помощью оснастки Групповая политика (Gгоuр Ро1iсу). По умолчанию аудит отключен, поскольку он снижает производительность системы. После включения аудита необходимо определить набор отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту и включить его с помощью Редактора списков управления доступом, АСL.

Примечание. Для того чтобы иметь возможность настраивать аудит для файлов и папок, необходимо иметь права администратора.

Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно избежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит (Audit) снять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow inheritable auditing entries from parent to propagate to this object). Если же этот флажок отображен серым цветом или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.

Активизация аудита с помощью оснастки Групповая политика (GroupPolicy)

Для активизации аудита на изолированном компьютере:

1. Запустите оснастку Групповая политика (это изолированная оснастка, которую можно использовать как самостоятельный ин­струмент). (Можно выполнить команду Пуск | Программы | Администрирование | Локальная политика безопасности.)

2. Откройте папку Конфигурация компьютера (Computer Configu­ration) и последовательно раскройте узлы Конфигурация Windows (Windows Configuration), Параметры безопасности (Security Settings), Локальные политики (Local Policies), Политика аудита (Audit Policy).

3. На правой панели появится список политик аудита. По умолчанию все они имеют значение Нет аудита (No Auditing). Для включения аудита следует изменить значения нужных параметров.

4. Выполните двойной щелчок на устанавливаемой политике аудита. Появится окно диалога, с помощью которого можно разрешить аудит. В группе Вести аудит следующих попыток доступа (Audit these attempts) установите флажки Успех (Success) или Отказ (Failure), или оба.

5. Нажмите кнопку ОК.

 

Настройка и просмотр аудита файлов и папок

Чтобы настроить, просмотреть или изменить настройки аудита файлов и папок:

1. Установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Свойства. В окне свойств папки или файла перейдите на вкладку Безопасность (Security).

2. На вкладке Безопасность нажмите кнопку Дополнительно (Advanced) и затем перейдите на вкладку Аудит.

3. Если необходимо настроить аудит для нового пользователя или группы, на вкладке Аудит нажмите кнопку Добавить. Появится диалоговое окно Выбор: Пользователь, Компьютер или Группа (Select user? computer or group). Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется окно диалога Элемент аудита для (Audit Entry for). Здесь вы сможете ввести все необходимые параметры аудита. В списке Применить (Арр1у onto) укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В группе Доступ (Access) следует указать, какие события следует отслеживать: окончившиеся успешно (Успех, Successfull), неудачно (Отказ, Failed) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Арр1у this audit entries to objects and/or containers within this container only) определяет, распространяются ли введенные вами настройки аудита на файлы и папки, находящиеся ниже по дереву каталогов файловой системы (флажок не установлен). В обратном случае установите флажок (или выберите в списке Применять опцию Только для этой папки ). Это позволит не выполнять аудит для тех объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все окна диалога.

4. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Показать/Изменить (View/Edit). Появится окно диалога Элемент аудита для. Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений нажмите кнопку ОК.

 

Отключение аудита файлов и папок

Для отключения аудита файла или папки:

1. Установите указатель мыши на файл или папку, где необходимо отключить аудит, и нажмите правую кнопку. В появившемся меню выберите команду Свойства. Появится окно свойств файла или папки. Перейдите на вкладку Безопасность.

2. На вкладке Безопасность нажмите кнопку Дополнительно. В появившемся окне диалога выберите кнопку Аудит.

3. В поле Элементы аудита выберите нужную запись и нажмите кнопку Удалить. Соответствующая запись будет удалена.

4. Если кнопка Удалить недоступна, это значит, что настройки аудита наследуются от родительской папки.

4.3 Вопросы и задания к лабораторной работе № 4

 

 

1. Создайте консоль управления локальными пользователями и группами. В консоли должна быть создана Панель задач, позволяющая только создавать нового пользователя и новую группу.

2. Создайте учетные записи для двух разных пользователей.

а) для одного пользователя проверьте действенность флажка - требования смены пароля пользователя при следующей регистрации в системе, для другого – запрет на изменение пароля пользователем;

б) к чему приведет отключение учетной записи пользователя? Как определить, какие записи уже отключены?

3. Создайте локальную группу.

а) поместите в локальную группу созданных вами пользователей и пользователя Администратор. Проделайте это двумя способами: через окно свойств группы и окно свойств пользователя.

б) ознакомьтесь с возможностью вызова оснастки «Локальные пользователи и группы» в составе стандартной оснастки «Управление компьютером» (для этого получите контекстное меню значка «Мой компьютер» и в нем выберите опцию «Управление»).

в) какие стандартные пользователи и группы есть в системе?

4. Вызовите утилиту «Учетные записи пользователей» (находится в Панели управления).

а) посмотрите возможность создания новой учетной записи для пользователя.

б) изучите возможности изменения пароля, значка для учетной записи, способы входа в систему. Проверьте действенность возможности смены пользователя без закрытия открытых им программ.

в) измените тип одной из созданных вами записей с «ограниченной» на административную. Перейдите в оснастку «Локальные пользователи и группы» и убедитесь, что это привело к помещению пользователя в группу Администраторы. Удалите этого пользователя из группы и убедитесь, что учетная запись изменила тип.

г) как создать подсказку пароля?

д) как создать дискету для хранения пароля?

5. Работа с профилями пользователей

а) посмотрите, какие в системе существуют профили?

б) в какой папке стандартно хранятся профили пользователей, изучите их состав.

г) проверьте возможность очистки Рабочего стола от всех значков (или, наоборот, появления значков Мой компьютер, Сетевое окружение на Рабочем столе).

6) посмотрите возможность настройки Главного меню (меню Пуск).

6. Создайте профиль одному из созданных вами пользователей, скопировав ему профиль Администратора. Профиль создайте не в стандартной папке.

a) продемонстрируйте, что профиль действительно активизируется при регистрации пользователя.

б) как сделать профиль обязательным? Продемонстрируйте это на примере другого пользователя.

7. Изучите возможность создания сценариев входа в систему.

8. Ознакомьтесь с возможностями и настройкой подсистемы аудита, продемонстрируйте работу аудита на конкретном примере.

Лабораторная работа.

Настройка параметров операционной системы Windows. Настройка служб.


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-05-03; Просмотров: 1617; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.085 с.)
Главная | Случайная страница | Обратная связь