19300

Защита информации в сетях Windows 20000

Лекция

Информатика, кибернетика и программирование

Лекция 15 Защита информации в сетях Windows 20000 Защита информации в сетях Windows 2003 предполагает использование локальной политики безопасности на рабочих станциях и системы безопасности обеспечиваемой Active Directory по доступу к ресурсам домена или доменов. В Windows 2003 опреде

Русский

2013-07-11

2.2 MB

6 чел.

Лекция 15

Защита информации в сетях Windows 20000

Защита информации в сетях Windows 2003 предполагает использование  локальной политики безопасности на рабочих станциях и системы безопасности, обеспечиваемой Active Directory по доступу к ресурсам домена или доменов.

В Windows 2003 определены два вида политик безопасности:

  •  Компьютера, известная как локальная политика,
  •  Домена, обеспечиваемая Active Directory.

К компьютеру, находящемуся в домене, сначала применяется локальная политика, потом – политика безопасности домена.

Основой политики безопасности домена составляют групповые политики, состоящие из GPO, GPC и GPT

Политика безопасности на рабочих станциях

В локальную систему безопасности на рабочих станциях входят следующие компоненты:

  •  Шаблон пользовательского бюджета (политика учетных записей);
  •  Локальная политика, включающая в себя опции аудита, прав пользователей и групп, опции безопасности;
  •  Политика открытых ключей;
  •  Настройка IPsec на локальной машине.

Все эти возможности доступны из оснастки Local Security Settings в меню Administrative Tools (рис.15_1).

Рис. 15_1.   Оснастка Local Security Settings

Изменение политики учетных записей доступно только для администраторов системы. После задания определенных свойств этого шаблона,  его влияние испытывают только те пользователи, которые будут созданы в будущем. Все остальные, созданные ранее, сохраняют установки старого шаблона. Сама политика позволяет настроить политику паролей и блокировку учетных записей (рис. 15_2).

Рис.15_2. Настройки политики учетных записей

Ограничения, выставляемые на пароль, содержат следующие параметры:

  •  Уникальность пароля, т.е. хранится история ведения паролей, от 0 до 24. Установленное  значение указывают, сколько новых паролей должен выбрать пользователь, прежде чем использовать старый.
  •  Максимальный и минимальный срок действия, от 0 до 999. По умолчанию – 42 дня.
  •  Минимальная длина пароля, от 1 до 14 символов. Значение 0, по умолчанию, говорит о том, что пароль не требуется.
  •  Требование сложности пароля, когда пароль должен соответствовать конфигурации истории паролей, не содержать имени пользователя или имени учетной записи, длина его должна соответствовать выставленным ограничениям.
  •  Использовать обратимое шифрование при хранении всех паролей в домене, т. е. использовать протокол CHAP.

Блокировка учетной записи  включает в себя счетчик попыток неверного ввода пароля за установленный временной интервал и установку длительности блокировки (рис. 15_3).

Кроме рассмотренных возможностей, допустимо принудительное отключение пользователей по окончанию рабочего времени и регистрация перед сменой пароля.

Рис. 15_3. Блокировка учетной записи.

Основное внимание локальная система безопасности уделяет пользователям и их бюджетам. Для каждого пользователя сети сетевой администратор создает бюджет. При регистрации, система автоматически присваивает пользователю уникальный маркер безопасности  в пределах базы данных пользовательских бюджетов. Кроме того, система отслеживает для пользователя права доступа и привилегии.

База данных пользовательских бюджетов не обязательно находится на локальном компьютере. Ее местоположение зависит от того, является ли пользователь локальным или доменным.

При создании пользователя на рабочей станции, помимо свойств, определяемых политикой учетных записей, возможно установление следующих возможностей:

  •  Пользователь должен изменить пароль при первом входе в систему;
  •  Пользователь не может менять свой пароль;
  •  Бессрочный пароль;
  •  Бюджет отключен (заморожен).

Возможность замораживания бюджетов имеет огромное значение в Windows 2003. Если пользователь захватил право владения каким-либо объектом, папкой или принтером, и лишил доступа к нему всех остальных пользователей, а Вы неосторожно удалили этого пользователя, то управлять таким объектом  станет невозможно! Поэтому, нужно сначала заморозить бюджет пользователя, определить его права  владения объектами, переустановить для администратора это право владения, а только потом удалять бюджет!

Помимо рассмотренных опций, при создании пользователя, указываются группы, в состав которых он должен входить, профиль и установки связи по удаленному доступу.

Локальная политика включает в себя опции аудита, прав пользователей и групп и настройку опций безопасности.

Аудит устанавливается  в оснастке  Local Security Settings. По умолчанию, аудит отключен! При включенном аудите информация заносится в журнал аудита Event Viewer, и вы можете получить доступ к журналу аудита не только своего компьютера, но и любого другого компьютера в домене.

Для назначения и управления аудитом необходимо иметь право  управления аудитом и журналом безопасности. По умолчанию, это право придано группе встроенной администраторов. Кроме того, папки и файлы должны находиться на томах NTFS.

Политика аудита связана со следующими событиями:

  •   события входа в систему
  •  управление учетными записями
  •  доступ к службе каталогов Active Directory
  •  включения и выключения  системы.
  •  доступ к объектам (файлам, папкам, принтерам)
  •  изменение политики безопасности.
  •  использование привилегий (изменение системного времени, создание новой группы и т.д.)
  •  отслеживание процессов
  •  системные события.

Обратите внимание,  что установление аудита для файлов, папок  и принтеров проводится за два шага! Сначала устанавливается общий аудит, а затем для требуемых групп или пользователей конкретной папки, файла или принтера.

Политика аудита начинает действовать только после перезагрузки компьютера!

После включения аудита, события связанные с ним заносятся в специальный журнал, который можно просмотреть утилитой Event Viewer. Эта утилита открывает три журнала: системный, для приложений и  безопасности (рис. 15_4). До включения аудита журнал безопасности пуст, он начинает заполняться только после включения политики безопасности.

Рис. 15_ 4. Журнал аудита

Права пользователей и групп могут быть заданы в виде:

  •  Сетевой вход
  •  Локальный вход
  •  Архивирование файлов и каталогов
  •  Восстановление файлов и каталогов
  •  Добавление рабочих станций к домену
  •  Завершение работы системы
  •  Загрузка и выгрузка драйверов
  •  Работа с системным временем
  •  Овладение объектами
  •  Принудительное удаленное завершение
  •  Управление  аудитом и журналом безопасности и т.д.

Настройка параметров безопасности дает возможность регулировать значения около 40 параметров (рис. 15_5). Например, не показывать в окне входа в систему имя последнего пользователя, который успешно отработал команду logon или отключить необязательность CTRL+ALT+DEL  запрос для входа в систему. Все эти параметры позволяют предотвратить взломы и повышают  безопасность функционирования  Windows 2000 на рабочих станциях.

Рис. 15_5. Настройка параметров безопасности

Политика безопасности в Active Directory

На контроллере домена при наличии Active Directory к основным типам политик (политика учетных записей, локальная политика, включающая в себя опции аудита, прав пользователей и групп, опции безопасности, политика открытых ключей, настройка Ipsec) добавляется групповая политика как централизованное  средство управления рабочими столами пользователей.

Структура безопасности домена включает в себя следующие направления, представленные  на рисунке 15_6:

  •  Account Policies - политика учетных записей- позволяет конфигурировать параметры безопасности для паролей, блокировок и Kerberos в доменах ;
  •  Local Policies - локальная политика, включающая в себя опции аудита, прав пользователей и групп, опции безопасности;
  •  Event Log – позволяет конфигурировать параметры безопасности для журналов приложений, системы и аудита в оснастке  Event Viewer;
  •  Restricted Groups – задает принадлежность к ограниченной группе или вложенность ограниченных групп;
  •  System Services – позволяет конфигурировать режим запуска и параметры безопасности для системных служб;
  •  Registry – конфигурирует параметры для разделов реестра: доступ, аудит, владение;
  •  File System – позволяет конфигурировать параметры безопасности для файловых объектов;
  •  Public Key Policies – политика открытых ключей ;
  •  IP Security Policies on Active Directory Servicies – настройка IPsec для использования в домене.

Рис. 15_6.  Политика безопасности контроллера домена

Групповой  политикой можно наложить ограничения на компьютер, пользователя и группу. Можно наложить стандартную системную политику на всех пользователей домена или назначить разные политики для отдельных пользователей, компьютеров или групп. При создании системной политики изменяется содержание реестра Windows 2000, поэтому нужно очень осторожно ее накладывать! Перед тем, как вносить изменение в реестр, всегда нужно создать его  резервную копию на дискете!

Групповая политика позволяет производить следующие настройки:

  •  Автоматическое включение  приложений в стартовое меню;
  •  Распространение приложений по сети и доставку этих приложений в нужные места сети или папки на компьютерах;
  •  Автоматизацию выполнения заданий или программ в момент входа и выхода пользователей;
  •  Подключение к общим сетевым ресурсам.

Сами групповые политики представляют собой объекты групповых политик GPO Active Directory, которые хранятся в контейнерах групповых политик GPC. Кроме того, GPO хранят свои данные в структуре папок - шаблоне групповой политики GPT.

Локальный объект GPO сохраняется в каталоге \%systemroot%\System32\GroupPolicy каждого компьютера Windows. Создаются GPO в оснастке Active directory Users and Computers  или Active directory Sites and Services (рис. 15_7).

Как правило, групповая политика наследуется от родительского контейнера к дочернему, включая, расположенные в них пользователи, и компьютеры. Однако, групповая политика дочернего контейнера, явно заданная, имеет более высокий приоритет по сравнению с унаследованной.

Рис. 15_7. Создание групповой политики в Active directory Sites and Services

Рис. 15_8. Создание групповой политики

Для конфигурирования наследования групповой политики открывается вкладка свойств и создается новая политика, для которой подтверждается или отменяется наследование (рис. 15_8).


PAGE  10


 

А также другие работы, которые могут Вас заинтересовать

44536. Их нравы: американская семья в зеркале советской пропаганды холодной войны 142.76 KB
  Брат дегенерат†так портретируется “светская американская семья†в одном из выпусков советского сатирического журнала “Крокодил†за 1949 год илл. Основными источниками стали журналы “Крокоди놓Работница†и “Семья и школа†а также пропагандистские брошюры о семье относящиеся в целом к периоду “холодной войны†т. В результате заморский гость приходит к выводу что “ему не повезло что он нарвался на двух опытных агентов советской пропаганды†Крокодил 1947 № 29 8. Главным мотивом...
44537. Право матери солдата: инстинкт заботы или гражданский долг? 202.84 KB
  В связи с этим общественные объединения “солдатских матерей†представляют интересный объект для социологического анализа так как их деятельность затрагивает одновременно интересы семьи роли матери и становления принципов правового государства и развития гражданского общества в России. Социологические основания деятельности организаций “солдатских матерей†как в рамках гендерной теории так и теории военногражданских отношений и стали предметом научной рефлексии в представленной статье. Эмпирическим материалом в данной статье...
44538. «СЫН ЗА ОТЦА НЕ ОТВЕЧАЕТ?»: комплекс безотцовщины в советской литературе 176.26 KB
  Проблема отцовства и безотцовщины явно тяготеет к сакральным отношениям БогаОтца и БогаСына. Отецучитель В 1920е годы префигуративный конфликт явившись основой сюжетных коллизий многих произведений нередко носил трагический характер смертельного противоборства отца и сына. Наконец третье: гибель сына заставляет атамана в одно мгновение забыть о борьбе за ту идею которая и привела его к убийству заставляет понять отца что его существование в этом мире уже бессмысленно: Медленно словно боясь разбудить вверх лицом повернул...
44539. ПРОСТРАНСТВО (БЕЗ) СЕМЬИ 378.18 KB
  Модель семейных отношений сформированная на основе определенного опыта “материнство†переносилась на отношения и опыт сформированные в условиях длительной или постоянной изоляции “сиротствоâ€. Ведь каждый знак как способ построения социальных отношений как средство человеческого взаимодействия продолжает одновременно существовать в качестве посредника между выражением этих отношений и его восприятием становясь тем самым частью знаково оформленного “Яâ€. И структурный анализ “репертуара речевых формâ€...
44540. ТАКИЕ СПОРТИВНЫЕ ДЕВЧонКИ – КАК МАЛЬЧИКИ!: о воспитании детей в постсоветской России 233.84 KB
  Не избежали перемен и отношения к женщинам и мужчинам как членам этого изменяющегося общества в данном случае перемены сопровождалось обширной дискуссией о необходимости развивать новые отношения между полами в постсоветском обществе о новом понимании мужских и женских ролей и соответственно о воспитании нового поколения также как о перевоспитании нынешнего. Во время проведения исследования мною были собраны и проанализированы более 300 публикаций касающихся женщин их роли в обществе в политической жизни в сфере труда в...
44541. УРОКИ ВОСПИТАНИЯ ВАНИ СМИТА (дети в российско-американских браках) 200.05 KB
  Во время Олимпийских игр они болеют за команды России и не упускают случая посмотреть телепередачи оттуда даже за счет местных программ. Кроме того из-за экономических трудностей в России многие русские женщины особенно матери маленьких детей порой ищут лучшего будущего в браке с иностранцами. Большая их часть находится сейчас в США меньшая в России. Сегодня в Штатах многие отцы хотят присутствовать при рождении своих детей что кажется многим людям из России странным и едва ли не варварским обычаем.
44542. УТОМЛЕННЫЕ СОЛНЦЕМ, УНЕСЕННЫЕ ВЕТРОМ: суррогатное материнство в двух культурах 264 KB
  Этимология подтверждает эти отношения не хуже психоанализа: английское “mmmy†очевидно происходит от “mm†но русское няня которое кажется ни на что не похожим симметрично дядьке. РОДСТВО КРОВНОЕ И МОЛОЧНОЕ Романтизация Mmmy и няни в американской и русской культурах накладывалась на экономическую и сексуальную эксплуатацию обычную для обществ столь стратифицированных в сословных расовых и гендерных измерениях. Американская Mmmy чаще всего соединяла обе эти роли. Хотя в литературе и фильмах Mmmy чаще всего изображалась полной...
44543. ЧЕМ МУЖИКА КОРМИТЬ, ЛУЧШЕ РЕБЕНКА ВОСПИТЫВАТЬ ОДНОЙ: социальный портрет материнских семей 214.49 KB
  Основными факторами формирования неполных семей как известно являются разводы не компенсируемые последующим вступлением в брак или раздельное по разным обстоятельствам проживание супругов; овдовения из-за преждевременной смерти одного из родителей ребенка детей внебрачные рождения при условии одиночества родителя. С другой стороны некоторые одинокие матери впоследствии выходят замуж но в актах записи гражданского состояния статус их детей не меняется за исключением фактов усыновления удочерения и они продолжают считаться...
44544. Функциональные подсистемы КИС 36.5 KB
  Кроме того рынок СУД изначально ориентирован на КИС масштаба предприятия в связи с чем все промышленные системы выполнены в архитектуре клиент-сервер и способны работать практически на всех программно-аппаратных платформах т. Если составные части КИС поддерживают довольно широкий список оборудования и серверного программного обеспечения это дает возможность уменьшить затраты так как увеличивается вероятность того что необходимые базовые продукты в организации уже есть. На сегодняшний день основными платформами на которых должны...