Лабораторная работа 3.

Настройка прав доступа к информационным системам

Лабораторная работа 3
Настройка прав доступа к информационным системам

3.1 Управление пользователями и группами в Windows

3.2 Настройка групп, пользователей и паролей в операционной системе Linux

3.1 Управление пользователями и группами в Windows

В этой части лабораторной работе вы создадите пользователей и группы и удалите
пользователей, используя Менеджер локальных пользователей и групп. Также вы настроите
групповые и пользовательские разрешения для папок.

Рекомендуемое оборудование
 Компьютер с установленной ОС Windows

Инструкции

Часть 1: Создание новых пользователей.

Новых пользователей можно создать индивидуально, а также можно сформировать список
новых пользователей и групп, используя Менеджер локальных пользователей и групп.

Шаг 1: Открытие Менеджера локальных пользователей и групп.

На этом шаге войдите на компьютере в учетную запись с правами администратора, которую
предоставит преподаватель. В этой лабораторной работе используется первоначальный
пользователь ITEUser и создаются учетные записи Studentxx и Staffxx.
a. Откройте Панель управления > в представлении мелких значков нажмите
Администрирование > Управление компьютером. Нажмите Локальные пользователи и
группы.
b. В Менеджере локальных пользователей и групп выберите папку Пользователи.
Вопрос: Назовите имена указанных в списке учетных записей:
Введите ответы здесь.
_____________________________________________________________________________
Введите ответы здесь.
c. Выберите папку Группы. Укажите имена пяти групп из списка.
Введите ответы здесь.
_____________________________________________________________________________
 Лабораторная работа 3. Настройка прав доступа к информационным системам

d. Откройте папку Пользователи. Щелкните правой кнопкой мыши вашу учетную запись и
выберите Свойства. Откройте вкладку Членство в группах.
Вопрос:
К какой группе принадлежит ваша учетная запись?
Введите ответы здесь.
_____________________________________________________________________________
Шаг 2: Создание новых пользователей.
На этом шаге вы создадите нескольких локальных пользователей, используя Менеджер
локальных пользователей и групп.
a. В окне Локальные пользователи и группы выберите папку Пользователи и нажмите
Действие > Новый пользователь.
b. В окне Новый пользователь укажите имя нового пользователя Student_ твое имя и пароль.
По желанию введите полное имя и описание пользователя. Нажмите Создать.
Вопрос:
Что должен будет сделать Student_ твое имя, первый раз войдя в систему?
Введите ответы здесь.
c. Создайте другие учетные записи пользователей для 2 коллег. Используйте для этих
пользователей пароль название вашей группы. Снимите флажок Требовать смены пароля при
следующем входе в систему для каждого пользователя. Завершив создание всех
пользователей, нажмите Закрыть.
 Лабораторная работа 3. Настройка прав доступа к информационным системам

d. Дважды щелкните мышью Student_ твое имя. Снимите флажок Требовать смены пароля
при следующем входе в систему.
Вопрос:
К какой группе принадлежит Student_ твое имя?
Введите ответы здесь.
e. Нажмите ОК.
f. Откройте папку Группы. Дважды щелкните мышью группу Пользователи. В соответствии
с описанием, могут ли участники группы Пользователи вносить изменения в масштабах
всей системы? Какие действия может выполнять группа Пользователи на компьютере?
Введите ответы здесь.
Назовите участников группы.
Введите ответы здесь.
g. Для продолжения нажмите OK.

Шаг 3: Проверка разрешений, заданных для пользователей и групп.

Разрешения, заданные для группы Пользователи, позволяют ее участникам возможность
запускать большинство приложений на локальном компьютере. Участник группы
наследует разрешения при присоединении к группе в процессе создания учетной записи.
 Лабораторная работа 3. Настройка прав доступа к информационным системам

Эти участники не могут вносить изменения в масштабах всей системы. На этом шаге вы
попробуете создать другого нового пользователя, участника группы Пользователи, и через
Internet Explorer войти на www.utm.md.
b. Выполните вход в систему как любой из участников группы Пользователи.
c. Откройте Менеджер локальных пользователей и групп. Нажмите Пользователи.
d. Создайте новую учетную запись пользователя с именем Test и паролем tsi12345.
Вопрос:
Вам удалось создать новую учетную запись? Поясните ответ.
Введите ответы здесь.
e. Откройте www.utm.md, используя веб-браузер.
Вопрос:
Вы смогли открыть www.utm.md? Поясните ответ.
Введите ответы здесь.

Часть 2: Создание новых групп.

В этой части работы вы создадите новые группы с именами TSIStudent и TSIProfesor и
добавите участников группы. Также вам предстоит создать папки и присвоить разрешения.

Шаг 1: Создайте новые группы.

a. Выполните на компьютере выход из системы. Выполните вход в учетную запись с
правами администратора. В этом примере права администратора имеются у учетной
записи TSIStudent.
b. Откройте Менеджер локальных пользователей и групп.
c. Правой кнопкой мыши щелкните по папке Группы и выберите Создать группу.
 Лабораторная работа 3. Настройка прав доступа к информационным системам

d. Введите имя группы TSIProfesor. Нажмите Добавить, чтобы добавить пользователей в эту
группу.
e. В окне Выбор: «Пользователи» укажите Profesor01 в пункте Введите имена выбираемых
объектов. Нажмите Проверить имена, чтобы проверить правильность ввода объекта.
Нажмите
OK, чтобы добавить Profesor01 в группу TSIProfesor. Повторите эту процедуру, чтобы
добавить Profesor02 в группу TSIProfesor.
 Лабораторная работа 3. Настройка прав доступа к информационным системам

f. Нажмите Создать, чтобы завершить процесс создания группы.

g. Повторите эту же процедуру, чтобы добавить пользователей в группу TSIStudent.
Нажмите Создать. Завершив создание новой группы, нажмите Закрыть.
h. Нажмите Пользователи, откройте каждого из четырех пользователей двойным щелчком
мыши и убедитесь, что они входят в нужные группы, открыв вкладку Членство в группах.
Выполнив проверку, нажмите Отмена, чтобы закрыть каждого из пользователей.

Шаг 2: Присвойте групповые разрешения для папок.

a. Создайте папки с именами Profesor и Students на диске C:\.

b. Щелкните правой кнопкой мыши папку Students и выберите Свойства.

c. Откройте вкладку Безопасность. Нажмите Изменить, чтобы изменить разрешения для этой
папки.
d. Нажмите Добавить, чтобы добавить для этой папки групповое разрешение.
 Лабораторная работа 3. Настройка прав доступа к информационным системам

e. В окне Выбор: «Пользователи» или «Группы» укажите TSIProfesor в пункте Введите

имена выбираемых объектов. Чтобы выполнить проверку, нажмите Проверить имена. Для
продолжения нажмите OK.
Вопрос:
Какие действия могут выполнить участники группы TSIProfesor в этой папке?
Введите ответы здесь.
f. Повторите эту же процедуру, чтобы добавить разрешения для группы TSIStudent. Также
участники этой группы должны иметь полный контроль над этой папкой.
Вопрос:
Какие дополнительные флажки вы порекомендовали бы установить?
Введите ответы здесь.
g. Для продолжения нажмите OK. Нажмите OK, чтобы закрыть окно Свойства.
h. Выберите папку Staff. Щелкните правой кнопкой мыши папку и выберите Свойства.
i. Перейдите на вкладку Безопасность, чтобы добавить для группы следующие разрешения:
 Разрешите группе TSIProfesor Полный доступ.
 Запретите Полный доступ группе TSIStudent.

j. Нажмите ОК. Нажмите Да, чтобы подтвердить запрет для группы.

 Лабораторная работа 3. Настройка прав доступа к информационным системам

k. Нажмите OK, чтобы закрыть окно Свойства.

Часть 3: Изменение разрешений, заданных для пользователей и групп.

В этой части работы вы проверите заданные для групп разрешения в папках Profesor и
Students. Также вам предстоит изменить разрешения для пользователей и групп.

Шаг 1: Проверьте и измените разрешения для папок.

a. Выйдите из системы. Войдите в систему как Student02.
b. Откройте папку C:\Students. Создайте папку Student02, создайте в этой папке текстовый
документ.
Вопрос:
Вы смогли выполнить эти действия? Поясните ответ.
Введите ответы здесь.
c. Откройте папку C:\Profesor. Создайте папку с именем Student02 и поместите в эту папку
текстовый файл.
Вопрос:
Вы смогли выполнить эти действия? Поясните ответ.
Введите ответы здесь.
d. Выйдите из системы, а затем войдите как Student01.
e. Перейдите к диску C:\. Можете ли вы поместить текстовый файл в папку Profesor? Можете
ли вы изменить текстовый файл в папке Student02? Поясните ответ. (Примечание. Чтобы
активировать измененные разрешения на доступ к файлу и папке, может потребоваться
перезагрузить Windows 8.1).
Введите ответы здесь.
f. Создайте новую папку с именем Student01 в папке C:\Students и создайте в этой папке
текстовый документ.
g. Чтобы пользователь Student02 и другие участники группы TSIStudent не могли изменять
эту папку и ее содержимое, щелкните правой кнопкой мыши по папке Student01 и
выберите Свойства.
h. На вкладке Безопасность нажмите Изменить.
i. Добавьте пользователя Student01 и предоставьте ему Полный доступ к этой папке.
Выберите Полный доступ в столбце Разрешить.
j. Выберите группу TSIStudent. Установите флажок Изменение в столбце Запретить, чтобы
другие участники группы TSIStudent не могли изменить эту папку и ее содержимое.
 Лабораторная работа 3. Настройка прав доступа к информационным системам

Нажмите ОК. В ответ на запрос нажмите Да в окне Безопасность Windows. Нажмите OK,
чтобы закрыть окно Свойства.
k. Выйдите из системы, а затем войдите как Student02.
l. Откройте папку C:\Students.
Вопрос:
Вы можете получить доступ к содержимому папок Student01 и Student02? Поясните ответ.
Введите ответы здесь.
m. Выйдите из системы, а затем войдите как Profesor01.
n. Перейдите к папке C:\.
Вопрос:
Вы смогли получить доступ к содержимому папок Profesor, Student\Student01 и Student\
Student02? Поясните ответ.
Введите ответы здесь.

Шаг 2: Отключение учетной записи пользователя.

Сейчас учетная запись пользователя Profesor02 не используется. На этом этапе вам предстоит
отключить эту учетную запись.
a. Выйдите из системы, а затем войдите как TSIStudent или как владелец учетной записи с
административными правами.
b. Откройте Менеджер локальных пользователей и групп.
c. Выберите папку Пользователи. Дважды щелкните мышью Profesor02.
d. Установите флажок Отключить учетную запись.
e. Для продолжения нажмите OK.
f. Выйдите из системы.
Вопрос:
Вы можете войти в систему как Profesor02? Поясните ответ.
Введите ответы здесь.

Шаг 3: Удаление.
На этом этапе вы удалите пользователей, группы, файлы и папки, созданные при выполнении
этой лабораторной работы.
a. Откройте учетную запись с правами администратора.
b. Откройте диск C:\ и удалите папки Profesor и Student.
 Лабораторная работа 3. Настройка прав доступа к информационным системам

c. Откройте Менеджер локальных пользователей и групп.

d. Выберите пункт Пользователи.
e. Щелкните правой кнопкой мыши Profesor01 и выберите Удалить. Для подтверждения
удаления пользователя нажмите Да. Повторите эти же действия для Profesor02, Student01,
Student02. f. Выберите Группы.
g. Щелкните правой кнопкой мыши TSIProfesor и выберите Удалить. Для подтверждения
удаления группы нажмите Да. Повторите эти же действия для TSIStudent.

Вопросы для обдумывания

1. Как вы предоставите права администратора на локальном компьютере всем участникам
группы TSIProfesor?
Введите ответы здесь.
2. Как задать запрет на доступ к файлу для всех пользователей кроме владельца?
Введите ответы здесь.
 Лабораторная работа 3. Настройка прав доступа к информационным системам

3.2 Настройка групп, пользователей и паролей в операционной системе Linux

Задачи
• Выбор соответствующих методов аутентификации, авторизации или разграничения
доступа для заданного сценария
• Использование лучших практик установки и настройки средств контроля безопасности
при управлении учетными записями
Часть 1. Создание групп, пользователей и паролей в операционной системе Linux
Часть 2. Проверка пользователей, групп и паролей
Часть 3. Использование символьного обозначения разрешений
Часть 4. Абсолютное обозначение разрешений

Общие сведения/сценарий
Вы будете применять меры обеспечения безопасности на хостовой машине, выполняя
следующие операции.
• Создание групп, пользователей и паролей
• Проверка групп, пользователей и паролей
• Назначение разрешений с использованием символьного обозначения
• Назначение разрешений с использованием абсолютного обозначения

Необходимые ресурсы
• Компьютер с операционной системой Ubuntu 16.0.4 LTS, которая установлена в
виртуальной машине VirtualBox или VMware.

Часть 1: Создание групп, пользователей и паролей в операционной системе Linux

Выполняя эту часть работы, вы научитесь создавать учетные записи пользователей, группы и
пароли на локальной хостовой машине.

Шаг 1: Откройте терминал в Ubuntu.

a. Войдите в Ubuntu, используя следующие учетные данные.
Имя пользователя: cisco
Пароль: password
 Лабораторная работа 3. Настройка прав доступа к информационным системам

b. Щелкните значок Terminal (Терминал), чтобы открыть терминал.

Шаг 2: Получите права уровня root с помощью команды "sudo su". В качестве пароля введите
"password". cisco@ubuntu:~$ sudo su

Шаг 3: Создайте группу "HR" с помощью команды "groupadd HR".

root@ubuntu:/home/cisco# groupadd HR

Часть 2: Проверка пользователей, групп и паролей

Шаг 1: Убедитесь в том, что новая группа добавлена в файл, содержащий список групп.
Для этого введите команду "cat /etc/group". root@ubuntu:/home/cisco# cat
/etc/group
 Лабораторная работа 3. Настройка прав доступа к информационным системам

Новая группа "HR" будет добавлена в конец файла /etc/group и получит идентификатор
1005.
Шаг 2: Создайте пользователя с именем "jenny".
root@ubuntu:/home/cisco# adduser jenny
a. В качестве пароля введите lasocial. Нажмите Ввод.
b. При повторном запросе пароля вновь введите lasocial. Нажмите Ввод.
c. В качестве имени введите Jenny. Нажмите Ввод.
d. Далее нажимайте клавишу Ввод до появления запроса о том, верна ли введенная
информация. e. Введите Y (да) и нажмите Ввод.

Шаг 3: Добавьте пользователя "jenny" в группу "HR".

root@ubuntu:/home/cisco# usermod –G HR jenny

Шаг 4: Создайте еще одного пользователя с именем "joe".

root@ubuntu:/home/cisco# adduser joe
 Лабораторная работа 3. Настройка прав доступа к информационным системам

a. В качестве пароля введите tooth. Нажмите Ввод.

b. При повторном запросе пароля вновь введите tooth. Нажмите Ввод.
c. В качестве имени введите Joe. Нажмите Ввод.
d. Далее нажимайте клавишу Ввод до появления запроса о том, верна ли введенная
информация.
e. Введите Y (да) и нажмите Ввод.

f. Добавьте пользователя "joe" в группу "HR". root@ubuntu:/home/cisco# usermod –G HR joe

Шаг 5: Убедитесь в том, что созданные пользователи присутствуют в файле "passwd".

root@ubuntu:/home/cisco# cat /etc/passwd

Шаг 6: Убедитесь в том, что созданные пользователи присутствуют в файле "shadow".

root@ubuntu:/home/cisco# cat /etc/shadow

Часть 3: Использование разрешений с использованием символьного обозначения

Шаг 1: Находясь в Ubuntu, нажмите и удерживайте клавиши CTRL+ALT+F1 до тех пор, пока
экран не переключится на терминал tty1.
 Лабораторная работа 3. Настройка прав доступа к информационным системам

Примечание. Если терминал tty1 использовать не удается, вернитесь в графический

пользовательский интерфейс (GUI) хоста, нажав сочетание клавиш CTRL+ALT+F7, и
откройте окно терминала в графическом интерфейсе Ubuntu. Введите в командную строку
команду su –l jenny, затем введите пароль lasocial. Перейдите к пункту 4. cisco@ubuntu:~$
su –l jenny

Примечание. Если нажатие CTRL+ALT+F7 не приносит результата, попробуйте нажать

CTRL+ALT+F8.
Шаг 2: Переключившись на терминал, введите "jenny" и нажмите «Ввод».

Шаг 3: Введите пароль "lasocial" и нажмите «Ввод».

Шаг 4: Выполнив вход в систему, вы увидите командную строку с подсказкой

jenny@ubuntu:~$.

Вы вошли в систему, используя учетную запись обычного пользователя, а не

пользователя root (суперпользователь), поэтому вместо символа # отображается знак
доллара.
Шаг 5: Просмотрите ваш текущий рабочий каталог.
jenny@ubuntu:~$ pwd
 Лабораторная работа 3. Настройка прав доступа к информационным системам

Шаг 6: Перейдите на уровень выше, то есть в каталог "/home".

jenny@ubuntu:~$ cd ..

Шаг 7: Отобразите все каталоги и разрешения на доступ к ним.

jenny@ubuntu:/home$ ls -l

В операционной системе Linux разрешения на доступ отображаются в десяти полях,

каждое из которых может содержать букву или дефис.
o Первое поле содержит дефис, если объект является файлом, или букву "d", если
объект является каталогом.
o В полях 2–4 отображаются права пользователя. o В полях 5–7 отображаются
права группы.
o В полях 8–10 отображаются права пользователей категории «остальные» (то есть
пользователей, чьи учетные записи не входят в соответствующую группу).

Шаг 8: Продолжая действовать от имени пользователя Jenny, перейдите в папку пользователя

Joe. Для этого введите команду "cd joe".
jenny@ubuntu:/home$ cd joe
 Лабораторная работа 3. Настройка прав доступа к информационным системам

Как видите, вы смогли перейти в домашнюю папку пользователя Joe.

jenny@ubuntu:/home/joe$ cd ..

Шаг 9: Нажмите CTRL+ALT+F2, чтобы перейти в другой терминал (tty2).

Шаг 10: Войдите в систему, указав имя пользователя "root" и пароль "secretpassword".

Примечание. Если терминал tty2 использовать не удается, вернитесь в графический

пользовательский интерфейс (GUI) хоста, нажав сочетание клавиш CTRL+ALT+F7, и
откройте окно терминала в графическом интерфейсе Ubuntu. Введите в командную строку
команду sudo -i. В качестве пароля введите password.

Шаг 11: Перейдите в каталог "/home".

root@ubuntu:~# cd /home

Шаг 12: Измените разрешения на доступ пользователей категории «остальные» к папке

пользователя Joe, а именно лишите их права выполнения.
root@ubuntu:/home# chmod o-x joe
 Лабораторная работа 3. Настройка прав доступа к информационным системам

Шаг 13: Вновь отобразите список каталогов и разрешений на доступ к ним.

root@ubuntu:/home# ls -l

Как видите, в полях, соответствующих правам доступа пользователей категории

«остальные» к папке пользователя Joe, отображаются два дефиса.

Шаг 14: Нажмите CTRL+ALT+F1, чтобы вернуться в предыдущий терминал (tty1). Убедитесь в
том, что подсказка в командной строке имеет вид "jenny@ubuntu:/home$".

Шаг 15: Попытайтесь перейти в папку пользователя Joe.

jenny@ubuntu:/home$ cd joe

Как видите, теперь у вас нет разрешения на доступ.

Ниже показаны другие примеры использования команды chmod.

Команда chmod Результаты

chmod Предоставить пользователю разрешения на чтение, запись и

u+rwx выполнение
chmod u+rw Предоставить пользователю разрешения на чтение и запись
chmod o+r Предоставить пользователям категории «остальные» разрешение на
чтение
chmod g- Лишить группу разрешений на чтение, запись и выполнение
rwx
Шаг 16: Чтобы завершить сеанс в терминале, введите команду "exit" и нажмите «Ввод».

Часть 4: Разрешения с использованием абсолютного обозначения

Шаг 1: В терминале tty1 войдите в систему, указав имя пользователя "joe" и пароль "tooth".
 Лабораторная работа 3. Настройка прав доступа к информационным системам

Примечание. Если терминал tty1 использовать не удается, вернитесь в графический

пользовательский интерфейс (GUI) хоста, нажав сочетание клавиш CTRL+ALT+F7, и
откройте окно терминала в графическом интерфейсе Ubuntu. Введите в командную
строку команду sudo –l joe, затем введите пароль tooth.

Шаг 2: Отобразите ваш текущий рабочий каталог.

joe@ubuntu:~$ pwd

Шаг 3: Перейдите на уровень выше, то есть в каталог "/home".

joe@ubuntu:~$ cd ..

Шаг 4: Отобразите список всех каталогов, содержащихся в текущем рабочем каталоге, и

разрешения на доступ к ним.
joe@ubuntu:/home~$ ls -l

Обратите внимание: пользователи категории «остальные» не имеют права доступа к

папке пользователя Joe.
Помимо символьного обозначения, можно использовать абсолютное обозначение
разрешений. Абсолютное обозначение разрешений — это обозначение в виде
Лабораторная работа 3. Настройка прав доступа к информационным системам

трехзначного восьмеричного числа, кодирующего разрешения пользователя, группы и

остальных пользователей.
 В следующей таблице представлены все абсолютные обозначения с описанием
соответствующих разрешений.

Количество Разрешения

7 Чтение, запись и выполнение

6 Чтение и запись

5 Чтение и выполнение

4 Чтение

3 Запись и выполнение

2 Запись

1 Выполнение

0 None
Команда chmod 764 examplefile определяет следующие разрешения на доступ к файлу
"examplefile".
o Пользователь получает разрешение на чтение, запись и выполнение. o
Группа получает разрешение на чтение и запись.
o Остальные пользователи получают право чтения.
Каким образом эти разрешения кодируются числом 764?
Двоичный
Цифра эквивалент Разрешение
1 — чтение разрешено,
7
1 — запись разрешена
(пользователь 111
1 — выполнение
)
разрешено
1 — чтение разрешено,
1 — запись разрешена
6 (группа) 110
0 — выполнение
запрещено
1 — чтение разрешено
0 — запись запрещена
4 (остальные) 100
0 — выполнение
запрещено
Шаг 5: Измените права доступа к папке пользователя Joe для пользователей категории
«остальные», предоставив им права чтения и выполнения без права записи. При этом
сам пользователь Joe должен сохранить права чтения, записи и выполнения.
Лабораторная работа 3. Настройка прав доступа к информационным системам

joe@ubuntu:/home$ chmod 705 joe

Шаг 6: Отобразите разрешения на доступ к текущему каталогу, чтобы убедиться в том, что
изменения действительно внесены.
joe@ubuntu:/home$ ls -l

Шаг 7: Перейдите в каталог /home/joe.

joe@ubuntu:/home$ cd joe

Шаг 8: Создайте текстовый файл с именем "test.txt" с помощью команды touch.

joe@ubuntu:~$ touch test.txt

a. Введите команду exit и нажмите Ввод, чтобы завершить сеанс в терминале.

b. Оставаясь в терминале tty1 вновь войдите в систему, используя имя пользователя jenny и
пароль lasocial. Нажмите Ввод.

Примечание. Если терминал tty1 использовать не удается, вернитесь в графический

пользовательский интерфейс (GUI) хоста, нажав сочетание клавиш CTRL+ALT+F7, и
откройте окно терминала в графическом интерфейсе Ubuntu. Введите в командную строку
команду su –l jenny, затем введите пароль lasocial. cisco@ubuntu:~$ su –l jenny

Шаг 9: Перейдите в каталог "/home".

Лабораторная работа 3. Настройка прав доступа к информационным системам

jenny@ubuntu:~$ cd /home

Шаг 10: Отобразите все каталоги и разрешения на доступ к ним.

jenny@ubuntu:/home$ ls -l

Шаг 11: Перейдите в каталог /home/joe и отобразите содержимое этого каталога.

jenny@ubuntu:/home$ cd joe jenny@ubuntu:/home/joe$ ls -l

Как видите, вы смогли перейти в папку пользователя Joe и считать информацию о

находящихся в нем файлах. Вы видите файл test.txt.

Шаг 12: Попробуйте создать файл.

jenny@ubuntu:/home/joe$ touch jenny.txt

Как видите, вы не имеете разрешения на создание файлов.

Шаг 13: Закройте все остальные окна.

Вывод__________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________