Нижегородский Государственный Технический Университет Лабораторная работа №4 по дисциплине: «Программное обеспечение вычислительных сетей» Тема: «Администрирование и управление ресурсами Windows Server» Выполнил студент группы 10-В-1 Сидоренко О.О. Проверил: Кочешков А.А. г. Нижний Новгород 2014г. 1 Цель работы: Ознакомиться с основными задачами администрирования, процедурами создания и формирования свойств пользователей и групп. Изучить свойства встроенных учетных записей и групп. Ознакомиться с применением средств системной политики и аудита. Рассмотреть свойства файловой системы NTFS. Научиться управлять доступом к сетевым и локальным ресурсам. 1.Ознакомиться с составом встроенных локальных учетных записей и групп. Встроенные учетные записи – это учетные записи, которые создаются системой по умолчанию и не могут быть удалены. Просмотреть учетные записи можно при помощи оснастки «Локальные пользователи и группы» или, если на машине установлена служба каталогов, «AD-пользователи и компьютеры». В обоих случаях список будет состоять из трех учетных записей: SUPPORT, Администратор, Гость. Рассмотрим каждую из них подробнее: Администратор Учетная запись обладает полным доступом к файлам, папкам, службам и другим ресурсам; ее нельзя отключить или удалить. В Active Directory она обладает доступом и привилегиями во всем домене. Файлы и папки можно временно закрыть от администратора, но он имеет право в любой момент вернуть себе контроль над любыми ресурсами, сменив разрешения доступа. По умолчанию администратор в домене включен в группы Администраторы, Администраторы домена, Пользователи домена, Администраторы предприятия, Администраторы схемы и Владельцы-создатели групповой политики. Гость Эта учетная запись предназначена для пользователей, которым нужен разовый или редкий доступ к ресурсам компьютера или сети. Гостевая учетная запись обладает весьма ограниченными системными привилегиями. Гость по умолчанию является членом групп Гости и Гости домена. Отметим, что все гостевые учетные записи являются членами группы Все. SUPPORT Support применяется встроенной службой Справки и поддержки и по умолчанию отключена. Она является членом групп HelpServicesGroup и Пользователи домена, имеет право входа в качестве пакетного задания. Это позволяет учетной записи Support выполнять пакетные задания, связанные с обновлением системы. Изучить назначение и возможности локальных групп. Группа пользователей представляет собой набор учетных записей пользователей, имеющих одинаковые права безопасности. Иногда группы пользователей называют группами безопасности. Используя ту же оснастку можно просмотреть существующие группы пользователей. 2 Рассмотрим основные группы пользователей подробнее: «Администраторы» Пользователи, входящие по умолчанию: «Администратор» Члены этой группы полностью управляют контроллерами домена в домене. По умолчанию группы «Администраторы домена» и «Администраторы предприятия» являются членами группы «Администраторы». «Гости» Пользователи, входящие по умолчанию: «Гость» Гости по умолчанию имеют те же права, что и пользователи, за исключением учётной записи "Гость", ещё более ограниченной в правах. Права пользователя по умолчанию: Отсутствуют «Операторы архива» Члены этой группы могут архивировать и восстанавливать любые файлы на контроллере домена в зависимости от наличия личных разрешений на эти файлы. «Операторы архива» также могут входить на контроллеры домена и отключать. Права пользователя по умолчанию: Доступ к компьютеру из сети, разрешение локального входа, архивирование файлов и каталогов, обход перекрестной проверки, восстановление файлов и каталогов, завершение работы системы «Операторы настройки сети» Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP на контроллерах домена в домене. Права пользователя по умолчанию: Отсутствуют «Операторы печати» Члены этой группы могут управлять, создавать, открывать для общего доступа и удалять принтеры, подключённые к контроллерам домена в домене. Они также могут управлять объектами-принтерами Active Directory в домене. Члены этой группы могут осуществлять локальный вход в систему на контроллерах домена в домене и отключать их. Права пользователя по умолчанию: Отсутствуют «Опытные пользователи» Опытные пользователи обладают большинством прав, но с некоторыми ограничениями. Они могут запускать любые, а не только сертифицированные приложения. Права пользователя по умолчанию: Доступ к компьютеру из сети, разрешение локального входа, обход перекрестной проверки, изменение системного времени, профилирование одного процесса, отключение компьютера от стыковочного узла, завершение работы системы «Пользователи» Члены этой группы могут выполнять самые распространённые задачи, например запуск приложений, использование локальных и сетевых принтеров и блокировку сервера. По умолчанию членами группы являются группы Пользователи домена, «Прошедшие проверку» и «Интерактивные». Таким образом, любая учётная запись пользователя, созданная в домене, 3 становится членом этой группы. Пользователи не имеют прав на изменение параметров системы. Они не могут запускать многие несертифицированные приложения. Права пользователя по умолчанию: Доступ к компьютеру из сети, разрешение локального входа, обход перекрестной проверки «Пользователи DCOM» Члены этой группы могут запускать, активизировать и использовать объекты DCOM на этом компьютере. «Пользователи журналов производительности» Пользователи, входящие по умолчанию: «NT AUTHORITY\NETWORK SERVICE (S-1-5-20)» Члены этой группы могут управлять счетчиками производительности, журналами и оповещениями на контроллерах домена в домене, на локальном или удаленном компьютере, не являясь при этом участниками группы «Администраторы». Права пользователя по умолчанию: Отсутствуют «Пользователи системного монитора» Члены этой группы могут наблюдать за счетчиками производительности на контроллерах домена в домене, на локальном или удаленном компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности». Права пользователя по умолчанию: Отсутствуют «Пользователи удаленного рабочего стола» Члены этой группы имеют право на выполнение удаленного входа. Права пользователя по умолчанию: Разрешение входа в систему через службы терминалов «HelpServicesGroup» Пользователи, входящие по умолчанию: «SUPPORT_388945a0» Группа для центра справки и поддержки. Права пользователя по умолчанию: Отсутствуют Изучить свойства локальных учетных записей Администратор, Гость. Свойства учетных записей также доступны из оснастки. Свойства позволяют просмотреть или изменить те или иные сведения, в том числе изменить членство в группах. Набор таких сведений достаточно широк, поэтому они сгруппированы по нескольким вкладкам в окне. Однако наиболее важны следующие: Общие. Содержит общие параметры, такие как: Полное имя, описание учетной записи, отключение, блокировка и т.д. Членство в группах. Позволяет добавлять учетную запись к группам. Профиль. Настройка профиля учетной записи, ввод таких параметров как: путь к профилю, сценарий входа, домашняя папка. 4 Среда. Используется для настройки среды служб терминалов. Здесь можно назначить программу, запускаемую при входе в систему, а также подключаемые устройства (диски, принтер и выбор основного принтера) Сеансы. Установка параметров таймаута и повторного подключения. Удаленное управление. Определяет параметры удаленного управления служб терминалов. Профиль служб терминалов – настройка параметров профиля пользователя служб терминалов. Входящие звонки. Позволяет задать разрешения на удаленный доступ VPN или модем, настройка ответного вызова сервера, явное указание статического IP адрес пользователя, использование статической адресации. 5 2.Создать локальную учетную запись и определить ее свойства. Создадим новую учетную запись. Перейдем в оснастку «Локальные пользователи и группы» В контекстном меню выберем пункт «Новый пользователь» Откроется пустое окно свойств, которое требуется запомнить Впишем имя «test», пароль, укажем что срок пароля неограничен Нажатие кнопки Создать подтвердит внесенные изменения и пользователь будет создан Свойства созданной учетной записи просмотрим при помощи консольной команды net user. Кстати, утилита net также позволяет и создать нового пользователя. Наберем в командной строке: net user test. Выводом будет список всех свойств учетной записи, включая членство в группах. Заметим, что после создания учетная запись автоматически состоит в локальной группе Пользователи. При помощи свойств профиля в графической оболочке добавим пользователя в ещё одну группу. Перейдем во вкладку «Членство в группах» Нажмем «Добавить». Откроется стандартное окно добавления пользователя или группы(в данном случае группы) Имя группы можно ввести вручную, а затем выполнить проверку, но лучше всего нажать кнопку «Дополнительно», выполнить поиск локальных групп (с указанием размещения, типа и пр.) и уже выбрать необходимую группу Выберем группу Операторы настройки сети Нажатие ОК добавит учетную запись в группу пользователей. Зарегистрироваться с помощью этой учетной записи, рассмотреть свойства и расположение профиля пользователя, назначение основных подкаталогов. Зайдём в систему, используя вновь созданную запись. При первом входе система создает локальный профиль пользователя: в его каталог (C:\Documents and Settings\%USERNAME%) копируется содержимое каталога пользователя по умолчанию(Default user). Заметим, что на каталог пользователя устанавливаются такие права доступа, что полный доступ имеют администраторы, система и, собственно, сам пользователь. Перейдем в каталог пользователя и рассмотрим назначение основных подкаталогов. 6 Application Data. Содержит программные данные (например, словарь пользователя), помещаемые в эту папку данные определяются разработчиками приложений. Cookies Сведения о пользователе и его параметры настройки. Local Settings Файлы данных приложений, файлы журналов и временные файлы. Данные приложений входят в перемещаемый профиль пользователя. NetHood Ярлыки для элементов сетевого окружения (изначально каталог пуст). PrintHood Ярлыки для элементов папки принтеров (изначально каталог пуст). SendTo Ярлыки служебных программ по работе с документами. Главное меню Ярлыки для программ. Избранное Ярлыки избранных веб-узлов в Интернете. Мои документы Документы и подпапки пользователя. Недавние документы Ярлыки последних используемых документов и папок. Рабочий стол Элементы рабочего стола, включая файлы, ярлыки и папки. Шаблоны Шаблоны пользователя В каталоге также присутствуют два системных файла: NTUSER.DAT. Этот файл хранит ветвь реестра HKU\SID-пользователя, ту самую ветвь, на которую ссылается HKCU при работе от имени этого пользователя. В этой части реестра хранятся все параметры ОС и программ, зависящие от пользователя. NTUSER.DAT.LOG. Это журнал транзакций для файла NTUSER.DAT. По журналу может быть восстановлен сам файл NTUSER.DAT. 7 3.С помощью консоли управления локальными параметрами безопасности определить наиболее важные компоненты локальной политики по отношению к пользователям и их стандартные настройки. Перейдем в оснастку «Локальная политика безопасности». Она позволяет определить, кто имеет доступ к компьютеру, какие ресурсы пользователи могут использовать, а также определить включение и отключения записи в журнале событий. Политики учетных записей содержит два компонента: Политика паролей Политика блокировки учетных записей Рассмотрим их подробнее: Политика паролей Политики паролей используются для учетных записей доменов или локальных компьютеров. Они определяют параметры паролей, такие как соответствие, обязательным условиям и срок действия. Например: o Требование неповторяемости паролей o Максимальный срок действия пароля o Минимальный срок действия пароля o Минимальная длина пароля o Хранение паролей с использованием обратимого шифрования Политика блокировки учётных записей Политики блокировки учетных записей используются для учетных записей доменов или локальных компьютеров. Они определяют условия и период времени блокировки учетной записи. Локальные политики содержит три компонента: Политика аудита: Перед внедрением политики аудита необходимо решить, для каких категорий событий требуется аудит. Для проведения аудита можно выбрать следующие категории событий: o Аудит событий входа в систему o Аудит управления учетными записями o Аудит доступа к службе каталогов o Аудит входа в систему o Аудит доступа к объектам o Аудит изменения политики o Аудит использования привилегий o Аудит отслеживания процессов o Аудит системных событий Назначение прав пользователя Содержит достаточно обширный список прав(около 40 пунктов), которые можно дать пользователю или группе. Среди этих прав можно найти практически любое действие, включая право Завершения работы системы, оно позволяет обезопасить компьютер от атаки типа «отказ в обслуживании». 8 Параметры безопасности Определяет общие параметры безопасности системы, например: o Учетные записи: состояние учетной записи «Администратор» o Учетные записи: состояние учетной записи «Гость» o Учетные записи: переименование учетной записи администратора o Учетные записи: переименование учетной записи гостя o Аудит: аудит доступа глобальных системных объектов o Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности o Устройства: разрешено форматировать и извлекать съемные носители o Устройства: запретить пользователям установку драйверов принтера o Устройства: поведение при установке неподписанного драйвера Упорядочить параметры локальной политики в соответствии с группами. Попробуем составить соответствие между правами пользователя, которые можно задать и группами, для которых это право есть по умолчанию.. Права пользователя Группы Архивирование файлов и каталогов Администраторы, Операторы архива, Восстановление файлов и каталогов Администраторы, Операторы архива, Вход в качестве пакетного задания SUPPORT_388945a0, LOCAL SERVICE Вход в качестве службы NETWORK SERVICE Доступ к компьютеру сети Администраторы, Операторы архива, Опытные пользователи, Пользователи, Все Завершение работы системы Администраторы, Опытные пользователи Загрузка и выгрузка драйверов устройств Администраторы, Замена маркера уровня процесса NETWORK SERVICE, LOCAL SERVICE Запуск операций по обслуживанию тома Администраторы, Извлечение компьютера из стыковочного Администраторы, Опытные пользователи узла Изменение параметров среды оборудования Администраторы, Изменение системного времени Администраторы, Опытные пользователи, LOCAL SERVICE Локальный вход в систему Администраторы, Операторы архива, Опытные пользователи, Пользователи Настройка квот памяти для процесса Администраторы, NETWORK SERVICE, LOCAL SERVICE Обход перекрёстной проверки Администраторы, Операторы архива, Опытные пользователи, Пользователи, Все Овладение файлами или иными объектами Администраторы, Олицетворение клиента после проверки Администраторы, Служба 9 подлинности Отказ в доступе к компьютеру из сети Отклонить локальный вход Отладка программ Принудительное удалённое завершение Профилирование загруженности системы Профилирование одного процесса Разрешать вход в систему через службу терминалов Создание глобальных объектов Создание журналов безопасности Создание страничного файла Увеличение приоритета диспетчирования Управление аудитом и журналом безопасности Запретить вход в систему через службу терминалов Добавление рабочих станций к домену Закрепление страниц в памяти Отказ во входе в качестве пакетного задания Отказать во входе в качестве службы Работа в режиме операционной системы Разрешение доверия к учётным записям при делегировании Синхронизация данных службы каталогов Создание маркерного объекта Создание постоянных объектов совместного использования SUPPORT_388945a0 SUPPORT_388945a0 Администраторы, Администраторы, Администраторы, Администраторы, Опытные пользователи Администраторы, Пользователи удалённого рабочего стола Служба NETWORK SERVICE, LOCAL SERVICE Администраторы, Администраторы, Администраторы, Отсутствуют группы/пользователи, для которых эти права выставлены по умолчанию Опробовать изменение локальной политики по отношению к созданному пользователю. Изменим политику безопасности по отношению к созданному пользователю test и проверим её действие. В разделе «Назначение прав пользователя» оснастки выберем право «Изменение системного времени» Добавим пользователя test Зайдем в систему, используя учетную запись test Попытаемся изменить текущее системное время в параметрах 10 Операция завершилась успехом Теперь заберем у пользователя test право изменять системное время Зайдем в систему, используя запись Администратор В оснастке Локальные политики безопасности удалим пользователя test из списка в свойствах права Зайдем в систему снова от имени пользователя test Попытаемся вновь изменить системное время Однако при попытке зайти в свойства система выдает сообщение об ошибке – недостаточно прав для изменения системного времени. Таким образом, благодаря изменениям политик безопасности можно обезопасить компьютер от действий каких-либо пользователей. 11 4.С помощью консоли "Active Directory - управление пользователями и компьютерами" изучить состав учетных записей домена, локальных и глобальных групп домена. На контроллере домена система не позволяет включить оснастку «Локальные пользователи и группы» и подсказывает, что учетные записи домена обрабатываются при помощи другой оснастки. Откроем «Active Directory - управление пользователями и компьютерами» и рассмотрим подробнее. Слева можно заметить, что в домене есть несколько контейнеров: Builtin Computers Domain Controllers ForeignSecurityPrincipals Users Рассмотрим каждый из них: Builtin - содержит встроенные локальные группы. o Администраторы, o Гости, o Группа авторизации доступа Windows, o Операторы архива, o Операторы настройки сети, o Операторы печати, o Операторы сервера, o Операторы учёта, o Пользователи, o Пользователи DCOM, o Пользователи журналов производительности, o Пользователи системного монитора, o Пользователи удалённого рабочего стола, o Пред-Windows 2000 доступ, o Репликатор, o Серверы лицензий сервера терминалов. Computers - содержит учётные записи всех компьютеров, подключаемых к домену и позволяет просматривать их свойства. 12 Domain Controllers - содержит информацию обо всех контроллерах домена. ForeignSecurityPrincipals - контейнер для идентификаторов безопасности учетных записей пользователей из внешних доверенных доменов. Users - содержит информацию обо всех пользователях домена. В процессе установки домена Windows 2003 Server в нем создаётся несколько встроенных групп, обладающих определённым набором прав. Их можно использовать для присвоения администраторам или пользователям определённых ролей или прав доступа в домене. Нарисовать схему связей встроенных учетных записей, глобальных и локальных групп. User | Global group | Local group | x ---------------> x --------------> x User SUPPORT_388945a0 Администратор Global group Local group Администраторы домена Администраторы предприятия Администраторы схемы Администраторы Владельцы-создатели групповой политики Пользователи Пользователи домена HelpServicesGroup Гости Гость Гости домена 13 5.Придумать пользователей с определенными свойствами в некоторой модельной ситуации. Представим минимальную структуру любого офиса компании. Существует директор, администратор и простой служащий. Директор должен обладать административными правами, однако он мало понимает в общих настройках сети и является основной целью злоумышленников, а значит, права его должны иметь некоторые ограничения. Проще всего включить этого пользователя в группу «Администраторы предприятия». Данная группа автоматически добавляется в группу Администраторы каждого домена в лесу, предоставляя полный доступ к настройкам всех контроллеров домена. Администратор знает и умеет производить полную настройку сети, включая настройку безопасности. Логично предположить что он должен иметь полный доступ, а значит, необходимо его включить в группу «Администраторы». Данная группа имеет полный контроль над всеми контроллерами домена, а также над всем содержимым каталога домена Active Directory. Члены этой группы могут изменять членство всех остальных административных групп домена. Служащий же по сути занимается непосредственно своей работой, каждый день используя одни и те же программы. Т.е. такому пользователю не нужно ничего настраивать или менять, он не должен иметь доступа к системным объектам, а значит, стоит включить его в группу «Пользователи». Также стоит еще ограничить запуск программ. Сформировать глобальные группы. Определить привилегии новых пользователей путем включения глоб.групп в локальные. Т.к. служащих в офисе несколько, то логично создать глобальную группу «Служащие», куда будут входить работники офиса. А группы «Администраторы» и «Администраторы предприятий» встроены, создавать их не надо. Итак: Откроем контейнер, где необходимо создать группу В контекстном меню выберем необходимое действие (Создать группу) Заполним необходимые поля в открывшемся окне o Имя группы: Служащие o Область действия: Глобальная o Тип: группа безопасности Нажатие кнопки ОК подтвердит создание группы Теперь включим эту глобальную группу в локальную группу «Пользователи». Для этого откроем свойства вновь созданной группы и на вкладке «Член групп» (не «Члены группы») добавить группу «Пользователи» ранее указанным способом. 14 Создать новые учетные записи пользователей. Составим таблицу для лучшего понимания, какие учетные записи создавать: Таблица. Учетные записи. Пользователь Группа 1 Pers1 Служащие 2 Pers2 Служащие 4 Boss Администраторы предприятия 5 Admin Администраторы В контейнере Users в контекстном меню выберем действие Создать пользователя В открывшемся окне заполним необходимые параметры: o Имя: Имя пользователя o Фамилия: Фамилия пользователя o Инициалы: Первые буквы имени и отчества o Полное имя: заполниться автоматически, используя имя и фамилию o Имя входа пользователя: – доменное имя, состоящее из имени пользователя и dnsимени домена, разделённые собакой @ o Имя входа пользователя (пред-Windows 2000): NetBIOS-имя пользователя. Заполниться автоматически, используя имя входа Нажмем кнопку далее Следующее окно запросит пароль. Тут нужно быть внимательным: проверка на безопасность пароля проходит в конце операции создания пользователя. После грамотного ввода пароля и его подтверждения откроется окно с общей информацией о пользователе Нажатие Готово подтвердит изменения и пользователь будет в списке Поступим аналогично с остальными записями. Теперь добавим в группы созданных пользователей согласно таблице. Для этого в свойствах необходимой группы на вкладке «Члены группы» добавим необходимых пользователей. 15 Теперь запретим пользователям группы Служащие запускать некоторые программы, не относящиеся к непосредственной работе. Вообще для этого при установке программ достаточно выбрать для какого пользователя устанавливать, а для какого нет (это, правда, не спасет от «продвинутого» пользователя, знающего путь к файлу), либо не устанавливать на рабочие машины лишние программы совсем. В оснастке «Политика безопасности домена» в контейнере «Политики ограниченного использования программ» создадим новую политику при помощи контекстного меню. В появившемся разделе «Дополнительные правила» создадим правило для пути. Выбранный путь будет запрещен для доступа со стороны пользователей, это полезно если все запрещенные программы расположены в одном месте. Однако это не спасет от portable версий или версий из других каталогов. Как и не спасет правила для хэшей от большого объема программ. Возможен вариант использования т.н. «белого списка», т.е. запретить исполнение всех программ, кроме разрешенных. Войдём в систему с учетной записью пользователя, которому необходимо установить ограничение запуска программ. В разделе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Создадим параметр RestrictRun и установить его значение 1 Создадим подраздел с тем же именем и в нем перечислим в параметрах приложения разрешенные для запуска. Тут стоит упомянуть о том, что помимо прикладных программ необходимо разрешит еще приложения, позволяющие войти в систему, выйти из неё, работать с файлами (Userinit.exe, Explorer.exe, Winlogon.exe) и т.д. и т.п. 16 6.Рассмотреть систему управления доступом к каталогам и файлам NTFS. Субъекты безопасности – это то, что выполняет действие, а объекты – это то, с чем выполняется действие. В терминах Windows к участникам безопасности относятся не только непосредственно пользователи, но также группы и компьютеры. Участник безопасности – это всё, чему можно выделить идентификатор безопасности и дать разрешение на доступ к чему-нибудь. Проще показать на примере: пользователь хочет получить доступ к файлу. Когда пользователь пытается прочесть файл, операционной системе необходимо проверить установленные на объект (файл) разрешения. Позволяют они субъекту(пользователь) выполнить действие над этим объектом или нет?. Если позволяют, запрос доступа проходит успешно. Иначе - в доступе отказывается. Выписать и объяснить состав типов всех возможных субъектов безопасности, которым может быть предоставлен доступ к ресурсу. Перечислим основные типы субъектов безопасности: Встроенные участники безопасности – стандартные и встроенные группы и участники внешней безопасности Группы – членами групп могут быть учётные записи пользователей, компьютеры и другие группы Пользователи – учётные записи пользователей, используемые для доступа к ресурсам Компьютеры – представляют компьютеры при доступе к сетевым ресурсам Контакты – используются для хранения и поиска сведений о конкретных лицах (объектам типа «Контакты» не могут быть назначены разрешения и, следовательно, у них нет доступа к ресурсам) Другой – могут создаваться приложениями При выборе типов позволяют позволительно выбрать только из первых четырех типов, т.к. Контакты не имеют доступа к ресурсам, а Других нет. Просмотрим список доступных субъектов безопасности: Встроенные участники безопасности отражены на «Рис. Встроенные участники безопасности». Красной меткой обозначены т.н. Специальные(системные) группы (ПАКЕТНЫЕ ФАЙЛЫ, SELF) Группы отражены на «Рис. Группы» 17 Рис. Встроенные участники безопасности. Рис. Группы Компьютеры: 5426-S7, 5426-S8 Пользователи: Admin Admin Boss Boss Pers1 Pers1 Pers2 Pers2 SUPPORT_388945a0 Администратор Гость 18 Специальные группы не имеют определённого членства и не доступны для администрирования. Рассмотрим назначение некоторых из них: Имя Описание LOCAL SERVICE Локальная служба NETWORK SERVICE Сетевая служба REMOTE INTERACTIVE LOGON Включает всех пользователей, вошедших в систему с помощью служб терминалов SELF Замещающий элемент в наследуемом элементе управления доступом (ACE) на объекте учётной записи или объекте группы в Active Directory SYSTEM Учетная запись службы, используемая операционной системой АНОНИМНЫЙ ВХОД Пользователи, которые подключились к компьютеру без прохождения аутентификации Все Включает всех пользователей, обращающихся к компьютеру локально или по сети ГРУППА-СОЗДАТЕЛЬ Замещающий элемент в наследуемом элементе управления доступом (ACE); при наследовании ACE система замещает этот SID идентификатором SID основной группы создателя объекта Данная организация Включает всех пользователей одной организации, содержит только учётные записи Active Directory и добавляется только контроллером домена Другая организация Инициирует проверку права пользователя другого леса или домена проходить проверку подлинности для определенной службы ИНТЕРАКТИВНЫЕ Включает одну учётную запись пользователя, который локально в данный момент работает на данном компьютере КОНТРОЛЛЕРЫ ДОМЕНА Включает все контроллеры доменов в лесу, в котором ПРЕДПРИЯТИЯ используется служба каталогов Active Directory ПАКЕТНЫЕ ФАЙЛЫ Все пользователи, вошедшие в систему с помощью какого-либо средства обработки очередей программ, как например планировщик заданий ПОЛЬЗОВАТЕЛЬ СЕРВЕРА Все пользователи, вошедшие на сервер, который ТЕРМИНАЛОВ работает в режиме совместимости приложений Прошедшие проверку Все пользователи компьютера и службы Active Directory, прошедшие проверку подлинности, то есть получившие SID в процессе аутентификации. СЕТЬ Включает учётные записи удалённых пользователей, получивших в данный момент доступ к сетевым ресурсам компьютера СЛУЖБА Группа, в которую включаются все участники безопасности, вошедшие в систему в качестве службы СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Включает учётную запись пользователя-владельца ресурса. УДАЛЁННЫЙ ДОСТУП Все пользователи, удалённо вошедшие в систему 19 В каталоге \Temp создать различные подкаталоги и файлы и назначить разрешения доступа для созданных пользователей. В каталоге Temp создадим два файла 1.txt , 2.txt, каталог 1f, в котором будут файл 3.txt, 4.txt и каталог 2f, в котором будет файл 5.txt. Теперь назначим разрешения доступа для файлов и каталога так, чтобы реакция на запрос доступа не была очевидной. Возможные значения разрешений и их описание представлены в таблице права доступа. Таблица. Права доступа Право Значение для папок Значение для файлов Read List+Разрешает просмотр и листинг Разрешает доступ к содержимому файлов и подпапок файла Write Разрешает добавление файлов и подпапок Разрешает запись в файл Read & Execute List Read + выполнение файлов Read + выполнение файлов Modify Full Control Read + Write + удаление папки Read + Write + удаление файла Чтение, запись, изменение, удаление Чтение, запись, изменение, удаление файлов и подпапок файла. Просмотр содержимого каталога как N/A список элементов Видим, что некоторые права зависят друг от друга: т.е. если поставить запрет на «Чтение и выполнение», то запрет на чтение поставится автоматически. В расширенном режиме имеется больше возможностей дополнительных настроек доступа, включая разрешение смены владельца, записи атрибутов и прочее. Укажем следующие атрибуты для объектов: 1.txt: Запрет на чтение данных, разрешение на запись и дозапись 2.txt: Разрешение смены разрешений, явный запрет всех остальных действий 3.txt: Не указано разрешение удаления, однако остальное указано явным разрешением 4.txt: Полный запрет, но полный доступ для пользователя Pers2 5.txt: Полный доступ 1f: Полный запрет, но полный доступ для пользователя Pers2 2f: Полный доступ Все разрешения указаны для субъекта Служащие 20 7.Войти в систему от имени пользователей и проверить их возможности доступа к объектам файловой системы. Соотнести назначенные разрешения доступа с допустимыми и запрещенными действиями над подкаталогами и файлами (создание, удаление, копирование, перемещение, изменение содержимого, получение информации о свойствах и др.) Войдем в систему от имени пользователя Pers1 и поочередно попытаемся получить доступ к объектам: 1.txt Запрет на чтение данных, разрешение на запись и дозапись Попытка чтения не увенчалась успехом – отказано в доступе Дозапись в файл также запрещена Удаление файла было выполнено успешно, а вот его восстановление невозможно(удален безвозвратно). Однако возможно беспрепятственно просматривать свойства файла, но только просматривать. Также, при попытке просмотреть владельца система предупредит, что есть разрешения только на просмотр текущего владельца. Переименование также проходит успешно 2.txt Разрешение смены разрешений, явный запрет всех остальных действий При попытке открыть файл – в доступе отказано. 21 Откроем свойства файла – попытаемся открыть вкладку Безопасность. Система сообщит нам наши права: Нет разрешения на просмотр, но мы можем изменить разрешения. Добавим группу «Служащие» и разрешим ей чтение файла. Но система вновь отказывает нам. Повторим попытку, только на этот раз укажем полный доступ Однако и теперь система не дает сохранить изменения. Запретим наследование для этого файла этой же учетной записью и все разрешения сохраняться. Теперь можно открыть файл для чтения и записи. 1f. Полный запрет для группы, однако полный доступ для пользователя Pers2 Попытка зайти в каталог от пользователя Pers1 заканчивается отказом в доступе. Однако, используя командную строку удается зайти в каталог 1f, правда просмотреть содержимое командой dir не удается. Создать файла в каталоге также не удалось Однако внутри каталога есть файл 3.txt, который разрешено прочесть для группы Служащие. Попробуем открыть его. Воспользуемся утилитой Выполнить 22 Но система отказывает в доступе к самому каталогу. Внутри каталога также существует каталог 2f, к которому мы имеем явный полный доступ. Попробуем ввести его адрес в адресной строке проводника. И доступ разрешен Попробуем набрать адрес, используя утилиту «Выполнить» Доступ запрещен. Попробуем перейти в каталог 2f и прочесть его содержимое используя консоль. И это действие выполнено успешно Теперь зарегистрируемся в системе от имени Pers2 и попытаемся получить доступ к каталогам 1f, 2f К каталогу 1f доступ закрыт, о чем и говорит система Доступ к каталогу 2f, используя консоль был успешно получен 23 8.Рассмотреть свойства наследования разрешений доступа. Наследование работает благодаря двум характеристикам дескриптора безопасности ресурса: Разрешения наследуются по умолчанию При создании новых объектов по умолчанию установлен флажок «Разрешить наследование разрешений от родительского объекта к этому объекту» Таким образом, созданный файл или папка будут наследовать разрешения у своего родителя, а изменения разрешений родителя будут отражаться на дочерних файлах и папках. В окне «Дополнительные параметры безопасности» на вкладке Разрешения явно видно от чего унаследовано то или иное разрешение. Для демонстрации наследования проведем эксперимент. Для папки 1f зададим разрешения доступа по чтению и записи Для подкаталога 2f видим унаследованные разрешения доступа Доступ к папке 2f, запись файлов разрешена, как и просмотр разрешений Ограничим доступ к 2f по чтению, изменив унаследованные разрешения Теперь существуют запрещения, которые «не унаследованы» 24 И доступ по записи, естественно, закрыт Также можно выставить флажок «Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам». Таким образом, текущий каталог становиться корнем дерева, и все его потомки будут наследовать разрешения именно от него. Снимем флажок «Разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам, добавляя их к разрешениям, явно заданным в этом окне». Система предупредит - отключение этого параметра означает, что наследуемые разрешения родительского объекта, применимые к дочерним объектам, больше не будут применяться к данному объекту. На выбор предлагается три варианта: Копировать – чтобы копировать разрешения, ранее наследуемые этим объектом от родительского объекта Удалить – чтобы удалить разрешения, ранее наследуемые этим объектом от родительского объекта, и сохранить только явно заданные для него разрешения Отмена – чтобы отменить это действие Придумать примеры целесообразного и нецелесообразного применения наследования. Наследование целесообразно применять тогда, когда количество файлов в каталогах достаточно большое. Т.е. тогда, когда администратор желает избавить себя от настройки каждого отдельного файла. Неудачное применение наследования заключается в следующем: пусть произойдет наследование прав от какого-либо каталога, но это действие никто не проконтролировал. Тогда администратору придется настраивать права для каждого отдельного пользователя. Если в системе достаточно много пользователей, то это достаточно сложный и трудоемкий процесс. 25 9.Обосновать необходимость применения свойства владения объектом. Владелец объекта управляет назначением разрешений на доступ к объекту и определяет, кто может получить разрешения. Администратор или уполномоченный пользователь может назначить любого пользователя владельцем какого-либо объекта или пользователь сам может стать владельцем объекта, который сам он не создавал. С помощью локальных или доменных политик безопасности можно указывать, какие пользователи всегда могут становиться владельцами объектов, при этом они могут даже не иметь никаких разрешений для этого объекта. Опробовать смену владельца объекта. Пусть у нас есть файл 2.txt, владельцем которого является администратор, а пользователь Pers2 имеет только право на смену владельца Зайдем в систему от имени Pers2 Текущий владелец файла как мы видим Администратор и есть возможность его сменить Попробуем сменить владельца на пользователя Pers1 Сделать это запрещает отсутствия права на выполнение восстановления А на пользователя Pers2 владельца можно сменить без особых проблем Теперь разрешено дать и другие разрешения Надо сказать, что при условии наследования учетная запись стала владельцем подкаталогов и файлов внутри каталога 26 10.Реализовать сетевой доступ к разделяемым файловым ресурсам. Если пользователю нужен доступ к файлам в папках на удаленном компьютере, к этим объектам должен быть открыт доступ по сети. Это право имеет член группы операторов сервера. Назначить разрешения доступа и проверить защищенность файловых ресурсов при доступе по сети. Откроем общий доступ к папке temp в её свойствах на вкладке Доступ Откроем окно Разрешения, нажав на одноименную кнопку. Здесь представлены сетевые разрешения и их всего три: Полный доступ, Изменение, Чтение. Это не позволит так тонко настроить параметры как разрешения на уровне NTFS, однако мы помним про приоритет запретов, а значит, установив в сетевых разрешениях Полный доступ для всех, позже мы сможем тонко настроить разрешения при помощи настроек на уровне NTFS. Перейдем на вкладку Безопасность и выставим разрешение на чтение и запрет на запись группе Служащие и сохраним изменения. Подключимся с другого компьютера при помощи учетной записи Pers2 Доступ по чтению есть, однако записать что-то не удастся Изменить какие-либо разрешения также не удастся Делаем вывод – ресурс защищен от записи и изменений, тем не менее читать его можно. Реализовать сетевую печать и проверить разрешения доступа к принтеру. Существует четыре типа разрешений для принтеров: 27 Печать. По умолчанию каждый пользователь может печатать, отменять, останавливать или выполнять с начала печать документов или файлов, посланных им на принтер. Операции по управлению документами. Можно управлять всеми заданиями для принтера в очереди печати, включая документы и файлы, посланные на принтер другими пользователями. Управление принтерами. Право переименовывать и удалять принтеры, предоставлять к ним общий доступ и изменять настройки принтера. Оно также позволяет назначать разрешения для принтеров другим пользователям и управлять всеми заданиями для принтера. Особые разрешения. Эти разрешения, обычно используемые только системными администраторами, в случае необходимости могут применяться для изменения владельца принтера. Для начала установим принтер от имени Администратора. К сожалению виртуальная машина не позволила мне подключить мой принтер, однако установка и настройка принтера достаточно тривиальна. В панели управления откроем апплет Принтеры и факсы и запустим мастер установки принтера Принтер подключен к текущему компьютеру в сети, поэтому необходимо выбрать параметр «Локальный принтер» Далее предполагается, что мастер сам найдет и установит принтер, однако если этого не произошло, то его можно установить вручную. Кстати, сразу же в мастере можно задать имя общего ресурса, которое и будет носить принтер в сети. 28 После завершения работы мастера принтер появился в системе, однако связи с физическим устройством, естественно нет. Теперь на другой машине под другой учетной записью можно добавить установленный сетевой принтер. Опять в апплете Принтеры и факсы запустим мастер установки принтера, но на этот раз выберем другой вариант – сетевой принтер Нажав кнопку Далее есть возможность автоматически найти принтер в AD, либо вручную прописать его имя. Попробуем найти его автоматически. Принтер был успешно найден. После нажатия ОК установка принтера была завершена. Теперь проверим разрешения для пользователя Pers2. Что-либо изменить в его свойствах непозволительно, включая и различные разрешения. Группа Все, к которой в данный момент относится пользователь Pers2(других групп, таких как Пользователи, нет) имеет право только Печатать. Но, зайдя под учетной записью Boss, состоящей в группе Администраторы предприятия, которая в свою очередь находится в группе Администраторы, мы с легкостью получили полные права доступа к принтеру, включая изменения разрешений и смену владельца. 29 30