Академический Документы
Профессиональный Документы
Культура Документы
ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
Лабораторная работа №4
Выполнил:
студент группы 08-В2
Дубинин С.Н.
Проверил:
Кочешков А.А.
г. Нижний Новгород
2011г.
1 Ознакомиться с составом встроенных локальных учетных записей и
групп.
1.1 Изучить назначение и возможности локальных групп.
1.2 Изучить свойства локальных учетных записей Администратор, Гость.
Встроенные учетные записи и группы найдем в оснастке Управление
компьютером консоли администрирования.
Опытные
Админист Операторы
Права пользовате Пользователи Гости
раторы архива
ли
Разрешение локального
входа + + + + +
Доступ к компьютеру из
сети + + + + +
Архивирование файлов и
каталогов + + - - -
Обход перекрестной
проверки + + + + -
Настройка квот памяти
для процесса + - - - -
Восстановление файлов и
каталогов + + - - -
2
Завершение работы
системы. + + + - -
Разрешение входа в
систему через службы
терминалов
+ - - - -
Изменение системного
времени + - + - -
Создание файла подкачки
+ - - - -
Отладка программ
+ - - - -
Увеличение приоритета
диспетчирования + - - - -
Принудительное
удаленное завершение
работы
+ - - - -
Загрузка и выгрузка
драйверов устройств + - - - -
Управление аудитом и
журналом безопасности + - - - -
Изменение параметров
среды оборудования + - - - -
Профилирование одного
процесса + - + - -
Профилирование
загруженности системы + - - - -
Отключение компьютера
от стыковочного узла + - + - -
Смена владельца файлов
и других объектов + - - - -
2 Создать локальную учетную запись и определить ее свойства.
Создание учетных записей и групп занимает важное место в обеспечении
безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии,
администратор получает возможность ограничить пользователей в доступе к
конфиденциальной информации компьютерной сети, разрешить или запретить им
выполнение в сети определенного действия, например архивацию данных или завершение
работы компьютера.
Зарегистрироваться с помощью этой учетной записи, рассмотреть свойства и
расположение профиля пользователя, назначение основных подкаталогов.
Создам учетную запись user1. Так как я создаю ее на контроллере домена, то я так
же задаю доменное имя user1@dom2.local. Далее задаю пароль для учетной записи, при
этом стоит учитывать его сложность, иначе система выдаст предупреждение. Задам
пароль 123456qwerty. Установим свойства для данного пользователя: Запретить смену
пароля пользователем и Срок действия пароля не ограничен.
По умолчанию созданный пользователь находится в группе Пользователи в домене
DOM2.
Добавим пользователя в группу Операторы настройки сети, для того чтобы
пользователь имел некоторые административные права для управления настройкой
сетевых параметров. На вкладке Входящие звонки разрешим удаленный доступ через
3
VPN или модем. Остальные свойства оставим без изменения, так как большинство из них
имеет информационную направленность.
Пользователь был создан успешно, вход в систему осуществлен.
Путь к профилю пользователя: C:\Documents and Settings\user1
4
бездействующим (без ввода со стороны пользователя), прежде чем будет
автоматически отключен или завершен.
Удаленное управление
Данная вкладка позволяет настроить параметры удаленного управления для сеанса
«Службы удаленных рабочих столов пользователя».
Профиль служб терминалов
Данная вкладка позволяет настроить среду профиля пользователя для удаленного
подключения к серверу «Узел сеансов удаленных рабочих столов».
Windows Server создал локальный профиль при первом входе под учетной записью
kochin. Данный пользовательский профиль хранится в папке \Documents and Settings\
pechen. Часть файла реестра в пользовательском профиле - это кэшированная копия части
реестра HKEY CURRENT USER, хранящаяся под именем Ntuser.dat. Остальную часть
профиля образует структура папок конкретного пользователя. Ntuser.dat определяет
оборудование данного компьютера, установленное ПО и настройки рабочей среды.
Структура папок и находящиеся в них значки (ссылки) определяют рабочий стол
пользователя и окружения для приложений.
Папка Содержимое
Application Data Данные, сохраняемые приложениями.
Cookies Информация и предпочтения пользователей с интернет-сайтов.
Desktop Объекты рабочего стола.
Favorites Ссылки на избранные места в интернете.
Local Settings Данные приложений, журналы и временные файлы.
My Documents Документы пользователя.
My Recent Documents Ссылки на недавно использовавшиеся документы.
NetHood Ссылки на объекты сетевого окружения.
PrintHood Ссылки на объекты папки принтеров.
SendTo Ссылки на цели «Отправить»
Start Menu Ссылки на списки программ.
Templates Шаблоны пользователя.
Теперь разрешим локальный вход под данной учетной записью. Для удаления
объекта из политики удалим его из списка в свойствах данной политики.
Параметры безопасности
Служит для указания параметров безопасности сервера. Эти параметры напрямую
не связаны с IIS (Internet Information Server), но они все же повышают общий
уровень защиты сервера.
Политики открытого ключа
Поддерживают опции файловой системы Encryption File System (EFS), которая
осуществляет шифрование на уровне файла. При включении EFS в этом окне
настраивается информация агента восстановления.
Политики ограничения программ
Определяет программы, запускаемые на компьютере, и учетные записи
пользователей, имеющих доступ к этим программам.
Политики безопасности IP
Указывает использование на сервере протокола IPsec для шифрования канала связи
в сети. Опция имеет три параметра:
Клиент (только ответ). Использует IPsec при запросе этого протокола другим
компьютером.
Сервер (только запрос). Пробует установить IPsec-соединение с вышедшим на
связь компьютером. В противном случае устанавливается соединение без
шифрования.
Безопасный сервер (защищенность обязательна). Принудительное
использование канала связи IPsec. Если другой компьютер не использует IPsec,
установка соединения не состоится.
6
После определения политики безопасности ее можно экспортировать с одного
компьютера на другой, что позволяет создать единый шаблон и применить его к набору
серверов.
Локальными
Они определяется в локальной базе данных диспетчера учетных записей
безопасности (SAM) на компьютере. У каждого компьютера на основе Windows
имеется локальный SAM, содержащий всех пользователей на данном
компьютере.
Глобальными
Они определены в контроллерах домена
8
Схема связей встроенных учетных записей, глобальных и локальных групп
Администраторы
предприятия
Администраторы
схемы
Владельцы-создатели
групповой политики
Пользователи
Пользователи домена
10
6. Дадим разрешения на доступ к ресурсам локальной группе «Data».
Предположим, зам. администратора по данным должны иметь право на чтение
и запись в папку Backup (полномочия Изменить, Чтение и выполнение, Список
содержимого папки, Чтение, Запись) и чтение папки Data (полномочия Список
содержимого папки и Чтение).
7. Можно в «Политике безопасности домена» разрешить локальной группе «Data»
выполнять архивирование и восстановление файлов и каталогов.
11
поскольку он используется, когда необходимо запретить использование небольшого
количества программ. А в нашем случае требуется запретить выполнение всех программ
за исключением IE. Для обеспечения данного уровня защиты необходимо использовать
уровень безопасности: Не разрешено.
При смене уровня безопасности с «Неограниченный» на «Не разрешено»
возникает следующее предупреждение:
13
Для обеспечения входа пользователя в систему понадобится установить
разрешения для некоторых программ. В моем случае необходимо разрешить запуск
winlogon.exe, userinit.exe и explorer.exe из системной папки %windir%\system32. В другой
ситуации, возможно, потребуются дополнительные разрешения - например, может
возникнуть необходимость обработки сценариев, расположенных на сервере при входе
пользователя в систему. Создаем для них правила пути:
14
команду «Запускать указанные программы при входе в систему». Включу данную опцию
в свойствах и выберу программу IE:
Разрешение Описание
Обзор папок / Выполнение файлов Обзор папок позволяет проходить через
промежуточные папки на пути к определенным
папкам или файлам, даже если данный пользователь
не имеет полномочий для работы с этими
промежуточными папками.
Содержание папки / Чтение данных Просмотр имен файлов и имен подпапок внутри
папки. Просмотр данных в файлах (и, тем самым,
открытие файлов данных).
Чтение атрибутов Просмотр атрибутов операционной системы,
относящихся к файлу или папке.
Чтение дополнительных атрибутов Просмотр дополнительных атрибутов, заданных
приложениями, для файла или папки.
Создание файлов / Запись данных Создание файлов внутри папки и внесение
изменений в файл с перезаписью существующего
содержимого.
16
Создание папок / Дозапись данных Создание файлов внутри папки и внесение
изменений в конец файла (но без права изменения,
удаления или перезаписи существующих данных).
Запись атрибутов Изменение атрибутов операционной системы для
файла или папки.
Запись дополнительных атрибутов Изменение дополнительных атрибутов, заданных
приложением, для файла или папки.
Удаление подпапок и файлов Удаление подпапок и файлов, даже если для
текущей папки не заданы полномочия «Удаление».
Удаление Удаление папки или файла.
Чтение разрешений Просмотр полномочий для папки или файла.
Смена разрешений Изменение полномочий, заданных для папки или
файла.
Смена владельца Указание самого себя как владельца папки или
файла.
17
не может менять владельца файла
с объектом безопасности Backup:
может просматривать содержимое папки
может просматривать файлы и их свойства
может создавать файлы
может изменять файлы
может удалять файлы
не может менять владельца файла
18
Список возможных объектов, которые
Список возможных объектов, которые может
может создать под учетной записью
создать под учетной записью Администратор
PetrPetrov
Если задавать полномочия для родительской папки, то все файлы и папки, созданные в
данной папке, наследуют эти полномочия. Имеется три способа, позволяющих прервать
это наследование:
1. Удаление наследования на уровне родительской папки, то есть запрет
наследования полномочий дочерними объектами.
Для изменения настройки по умолчанию родительского объекта, чтобы дочерние
объекты не наследовали автоматически полномочия, надо рассмотреть детальные
разрешения. Флажок «Применять эти разрешения к объектам и контейнерам только
внутри этого контейнера» позволяет удалять наследование. Если данный флажок
установлен, происходит применение выбранных прав доступа только к
выбранному объекту. В противном случае, изменения будут распространяться на
все дерево объектов, ниже текущего уровня.
19
Если просматривать полномочия по объекту, наследующему полномочия, то видно,
что флажки для полномочий затенены и недоступны:
Ранее была создана учетная запись IvanIvanov для архивирования данных из папки
Date, которая открыта по чтению. Предположим, что в папке Date\Logs надо формировать
отчеты по результатам архивирования. Таким образом IvanIvanov должен иметь право на
запись в папку Logs. В этом случае я применил явное полномочие на запись в папку Logs.
21
Установив переключатель “Общий доступ к данному принтеру” мы сделаем этот
принтер сетевым. Для настройки параметров доступа перейдем на вкладку
«безопасность». Мы увидим пользователей и группы которым предоставлен доступ и
упрощенные параметры доступа для них. Чтобы настроить доступ более детально нажмем
кнопку «дополнительно» и на вкладке разрешения выберем интересующего нас
пользователя и нажмем кнопку «Изменить»:
Так как печать была разрешена для всех пользователей, то проверим, возможно ли
пользователю с учётной записью IvanIvanov выполнить печать. Как и следовало
ожидать, печать по сети была произведена успешно.
22
Это означает: если есть папка к которой пользователю доступ запрещён и в ней
есть файл, доступ к которому явно разрешён для этого пользователя, то он не сможет
зайти в эту папку (пролистать её содержимое), но сможет точно зная название файла,
открыть его, используя полный путь вида папка\файл. По умолчанию bypass traversal
cheking разрешено всем. Если запретить bypass traversal cheking для пользователей, то
они не получат доступ к файлам на которые у них есть явные разрешения, если папка, в
которой они хранятся, будет для них закрыта на доступ.
Только разрешение
Полный на запись (на Отказано в Отказано в
Папка не пуста.
доступ остальное - доступе. доступе.
запрет)
Только разрешение
на запись (на rmdir TestFold /S /Q
Полный
доступ
остальное – + + +
ничего не
выставлено)
Только разрешение rmdir TestFold /S /Q
Запрет на
на запись (на +
запись (на Отказано в
остальное -
остальное – + доступе del test.c
ничего не
разрешение)
выставлено) +
Только разрешение rmdir TestFold /S /Q
полный запрет на запись (на +
Отказано в Отказано в
для остальное – del test.c
доступе. доступе.
пользователя ничего не
выставлено) +
Отказано в
доступе
(открыть папку Папка не пуста.
Разрешение на
в графическом
интерфейсе Отказано в
-
запись (на Запрет на чтение del test.c
нельзя, но доступе Не удается найти D:\
остальное - и на запись
перейти в TestFold\test.c
запрет)
каталог можно,
однако нельзя -
прочитать
список файлов)
Вывод:
24