Лекция 27. Система обеспечения безопасности в Windows XP

advertisement
Лекция 27. Система обеспечения безопасности в Windows XP Professional
ОС Windows XP Professional обеспечивает безопасность системы несколькими способами. Мы поговорим об управлении локальной политикой безопасности, регистрации, журналах безопасности Internet Connection Firewall, шаблонах
безопасности, процессе ввода данных и, наконец, об анализе и конфигурации
системы защиты. Инструменты защиты могут использоваться не только для
обеспечения безопасности в системе Windows XP Professional, но и для управления настройками системы защиты домена. Начнем с обзора улучшения системы
защиты Windows XP Professional.
Новое в Windows XP Professional
Система защиты в Windows не стоит на месте. При выходе каждой новой
версии Windows вы можете ожидать улучшения свойств обеспечения безопасности. Windows XP Professional не является исключением.
В ней содержатся все основные средства защиты, которые имелись в
Windows NT и Windows 2000, но есть и новые свойства.
Собственность администратора (Administrative ownership). В более ранних
версиях Windows любые ресурсы, созданные администратором (файлы и папки),
становились достоянием всей группы. Однако в Windows XP Professional эти ресурсы принадлежат отдельному администратору, создавшему их.
 Агент восстановления EFS. В Windows 2000 при попытке конфигурирования
EFS политики восстановления без сертификатов агента восстановления система
EFS автоматически отключается. В Windows XP Professional можно шифровать
файлы без агента восстановления данных (Data Recovery Agent).
 Инсталляция принтера. Только администраторы и опытные пользователи
могут устанавливать локальные принтеры. Причем администраторы имеют это
право по умолчанию, а опытные пользователи должны получать эту привилегию.
 Ограничения, связанные с использованием пустого пароля. Windows XP
Professional пользователи могут использовать пустые пароли, но с ними они могут
только физически зарегистрироваться на локальном компьютере.
 Программное ограничение. Политика безопасности Windows XP Professional
может быть присвоена отдельным приложениям на основании пути файла, интернет-зоны или сертификата.
 Быстрая смена пользователей. Компьютеры, работающие в среде Windows
XP Professional и не соединенные с доменом, могут быстро переключаться с одного пользователя на другого, не выходя из сети и не закрывая приложений.
 Мастер сброса пароля. Если пользователь забыл свой пароль, то он может
воспользоваться дискетой перезагрузки для доступа к своей учетной записи.

В следующих разделах некоторые из этих тем рассматриваются более подробно, а другие не требуют объяснений и запускаются в Windows XP
Professional по умолчанию.
Локальная политика безопасности
Возможность создавать и управлять политикой безопасности на локальном
компьютере осуществляется посредством оснастки MMC. Это приложение позволяет вам не только просматривать локальную систему безопасности, но и вносить в нее изменения.
Просмотр
Для просмотра политики безопасности выберите Start\Control Panel\
Performance and Maintenance\Administrative Tools (Пуск\Панель управления\Производительность и обслуживание\Администрирование). Щелкните дважды на Local Security Policy (Локальная политика безопасности). Появится окно,
изображенное на рис. 27.1.
Примечание. Вы можете запустить этот инструмент из командной строки,
введя secpol.msc.
Рис. 27.1. Просмотр локальной политики безопасности
Управление локальной политикой
Для просмотра отдельной политики безопасности щелкните дважды на
значке нужной политики. В качестве примера рассмотрим, как управлять
настройками системы безопасности в папке Security Options (Параметры безопасности). После того как вы щелкните дважды на Security Options, появится
список настроек системы безопасности (рис. 27.2). Затем щелкните на настройке Devices: Unsigned driver installation behavior (Устройства: поведение при
установке неподписанного драйвера). Из рис. 27.3 видно, что можно выбрать
один из трех вариантов настройки.



Согласиться безоговорочно.
Предупредить, но разрешить инсталляцию.
Не разрешать инсталляцию.
Журнал безопасности
Журнал безопасности ICF позволяет создавать список действий системы
защиты, а именно установку запрета или разрешения на трафик со стороны ICF.
Вы можете модифицировать действия межсетевого экрана с помощью различных правил протокола ICMP. Например, ICMP позволяет разрешить (или запретить) следующее.

Входящие эхо-запросы.



Входящие метки времени.
Входящие запросы маршрутизатора.
Переадресацию.
Рис. 27.2. Настройки безопасности, содержащиеся в папке локальной политики Security Options (Параметры безопасности)
Рис. 27.3. Детали настройки
На основании требований протокола ICMP в ICF журнале безопасности будут регистрироваться различные виды информации. Правила протокола ICMP
хороши тем, что они не отсекают сеть от остального мира, но, в то же время,
строго ограничивают доступ к ней.
Запись в журнал безопасности ICF
Журналы ICF имеют свой уникальный формат. Во-первых, в заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному
времени, и список доступных полей для регистрационных записей. В таблице
27.1 показаны поля для ввода данных в журнале безопасности ICF.
Таблица 27.1. Поля ввода данных в журнале безопасности ICF
Поле
action
Описание
Операция, перехваченная межсетевым экраном. Входящие
данные включают в себя OPEN CLOSE DROP INFO-EVENTS-LOST
(здесь указывается количество произошедших событий, не сохраненных в журнале).
date
Дата ввода файла в формате YY-MM-DD (год-месяц-день).
Dst-ip
IP-адрес конечного пункта доставки пакета.
Dst-port
Номер порта конечного пункта доставки пакета.
icmpcode
Число, обозначающее поле кода в ICMP-сообщении.
icmptype
Число, обозначающее поле ввода текста в ICMP-сообщении.
info
Поле для ввода информации о событии, которое зависит от типа действия.
protocol
Протокол связи. Если это не TCP, UDP или ICMP, то здесь указывается цифра.
size
Размер пакета.
Src-ip
IP-адрес устройства-отправителя.
Src-port
Номер порта отправителя.
tcpack
TCP-номер подтверждения пакета.
tcpflags
TCP-флаг, указываемый в начале пакета: A-Ack (важность поля подтверждения); F-Fin (последний пакет); P-Psh (функция "проталкивания" пакета); S-Syn (синхронизация последовательности
номеров); U-Urg (важность поля указателя срочности).
tcpsyn
TCP-последовательность номеров пакетов.
tcpwin
TCP-размер окна (байт).
time
Время регистрации
сы:минуты:секунды).
файла
в
формате
HH:MM:SS
(ча-
Польза журнала безопасности ICF состоит в том, что после его просмотра
можно обнаружить попытки несанкционированного доступа к сети. Изучив поля
action, scr-ip и dst-ip, можно определить, пытается ли кто-то повредить сеть в
целом или вывести из строя какое-то определенное устройство.
Теперь, когда вы знаете, что должно содержаться в журнале безопасности,
давайте подробнее разберемся с тем, как можно применять запись в журнал и
настраивать различные служебные функции, облегчающие управление межсетевым экраном ICF.
Включение и отключение ведения журнала
В связи с тем, что ведение журнала ICF не активировано по умолчанию при
инсталляции ICF, его необходимо включать. Для этого выполните следующие
действия.
1.
Выберите Start\Control Panel (Пуск\Панель управления).
2.
Щелкните на Network and Internet Connections (Сеть и подключения к
интернету), а затем - на Network Connections (Сетевые подключения).
3.
Щелкните на соединении, которое использует ICF, а затем в Network
Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение
настроек подключения).
4.
На вкладке Advanced (Дополнительно) щелкните на Settings (Параметры).
5.
На вкладке Security Logging (Ведение журнала безопасности) (рис.
27.4) выберите опции:
регистрация
регистрация
отказано в доступе;
o
регистрация
o
регистрация
o
o
пропущенных пакетов;
всех входящих попыток установить соединение, которому
успешных соединений;
всех успешных попыток исходящих соединений.
Разумеется, если вы решите больше не отслеживать работу ICF, то можете
отключить ведение журнала. Для этого просто очистите флажки рядом с опциями Log dropped packets (Записывать пропущенные пакеты) и Log successful
connections (Записывать успешные подключения).
Рис. 27.4. Опции ведения журнала ICF
Управление файлом журнала ICF
Вы можете переименовать журнал ICF или указать для него путь, отличный
от пути по умолчанию. Это удобно, если нужно получать несколько отчетов
(время дня, день недели и т. д.). Для изменения пути или имени файла на
вкладке Security Logging (Ведение журнала безопасности) (рис. 27.4) в разделе
Log file options (Параметры файла журнала) щелкните на Browse (Обзор) и перейдите в то место, где нужно разместить файл журнала. Введите выбранное
имя в поле File name (Имя файла) и нажмите на Open (Открыть).
Примечание. Если вы оставите поле имени файла пустым, то система
Windows XP Professional по умолчанию назовет файл журнала pfirewall.log.
Просматривать журнал регистраций ICF так же несложно, как и выполнять
другие задачи. На вкладке Security Logging (Ведение журнала безопасности) в
области Log file options(Параметры файла журнала) в разделе Name (Имя)
щелкните на Browse (Обзор) и найдите журнал. Если вы не сохранили его под
определенным именем, то он называться pfirewall.log. Щелкните на нем правой
кнопкой мыши и затем выберите Options (Параметры) для просмотра содержания.
Изменение размера журнала ICF
Вы можете решить, что размер файла журнала ICF слишком мал, что не соответствует вашим нуждам. Размеры файла, в свою очередь, зависят от разме-
ров организации, количества регистрируемых соединений и времени использования журнала ICF. Если нужно сделать журнал побольше (или поменьше, если
он занимает слишком много места на жестком диске), то войдите на вкладку
Security Logging (Параметры файла журнала), как это было описано выше. Затем в разделе Log file options в Size limit (Ограничение размера журнала) используйте кнопки со стрелками для изменения размера журнала. По умолчанию
размер журнала составляет 4 Мб, а максимальный размер - 32 Мб.
Примечание. Если журнал (например, используемый по умолчанию) будет
заполнен, то регистрация не прекратится. Более того, будут сгенерированы новые файлы журналов с именами pfirewall.log.1 и т. д.
Шаблоны безопасности
Используя оснастку Security Templates (Шаблоны безопасности), вы можете
создавать текстовые файлы, которые содержат в себе все настройки безопасности для безопасных областей, поддерживаемых локальной политикой безопасности. Это удобно для использования всех элементов системы защиты, доступных в Windows XP Professional. В этом разделе мы расскажем о том, как создавать шаблон, модифицировать существующий шаблон и применять его в системе Windows XP Professional.
Создание шаблона
Для запуска оснастки Security Templates (Шаблоны безопасности) и просмотра настройки политики безопасности проделайте следующие шаги.
1.
Откройте ММС.
2.
В меню File (Файл) щелкните на Add/Remove Snap-in (Добавить или
удалить оснастку) и затем щелкните на Add (Добавить).
3.
В списке Available Standalone Snap-ins (Доступные изолированные
оснастки) выберите Security Templates (Шаблоны безопасности).
4.
Щелкните на Add (Добавить) и затем нажмите Close (Закрыть).
5.
Нажмите ОК. Оснастка Security Templates показана на рис. 27.5.
6.
В правом окне щелкните на значке '+', чтобы развернуть Security
Templates (Шаблоны безопасности).
7.
Разверните C:\Windows\security\templates (С: - это обозначение диска,
на котором хранится система Windows).
8.
Для создания шаблона щелкните дважды на Security Templates, правой кнопкой мыши щелкните на папке шаблонов по умолчанию и затем щелкните
на New Template (Новый шаблон).
Таким образом, вы создадите пустой шаблон, в который можно внести все,
относящееся к политике безопасности организации. Для сохранения шаблона
откройте меню File (Файл) и щелкните на Save As (Сохранить как).
Рис. 27.5. Оснастка Security Templates (Шаблоны безопасности)
Редактирование существующих шаблонов
Система Windows XP Professional изначально включает в себя ряд шаблонов. Они создают хороший фундамент для построения собственной политики
безопасности. У вас может быть готовая политика безопасности, которую вы захотите улучшить и применить позже. Для открытия и редактирования любого
шаблона дважды щелкните на нем в левом окне оснастки Security Templates
(Шаблоны безопасности).
Примечание. Хотя в Security Templates имеются уже готовые шаблоны, неплохо внимательно изучить их заранее и убедиться, что они подходят для нужд
вашей организации.
Существует четыре основных типа шаблонов:




основной;
безопасный;
высокой степени безопасности;
смешанный.
Эти шаблоны представляют диапазон средств безопасности, начиная со
стандартных (Basic) и заканчивая средствами повышенной безопасности (High
Secure). Шаблоны Miscelleneous (смешанные) предоставляют настройки безопасности для некоторых категорий, для которых трудно определить место в
рамках иерархии Basic, Secure и High Secure. Они содержат настройки для таких
опций как Terminal Services (Службы терминалов) и Certificate Services (Службы
сертификации). Ниже перечислены некоторые шаблоны, содержащихся в рамках каждой категории.
 Basicsv Устанавливает базовый уровень безопасности для сервера печати и
файлового сервера.
 Securews Устанавливает средний уровень безопасности для рабочих станций.
 Hisecdc Устанавливает самый высокий уровень безопасности для контроллеров доменов.
 Ocfiless Устанавливает политику безопасности файловых серверов.
Любой из десяти образцов шаблонов хорошо подходит для начала разработки сетевой безопасности. Однако при модификации шаблона имеет смысл
сохранить его под новым именем, чтобы старый шаблон не был переписан.
Применение шаблонов безопасности
Создание или редактирование уже существующего шаблона не вносит изменений в настройки системы безопасности. Чтобы произвести такие изменения, следует применить шаблон к своему компьютеру. Для применения вновь
созданного или отредактированного шаблона проделайте следующее.
1.
В оснастке Group Policy (Групповая политика) щелкните дважды на
Computer Configuration (Конфигурация компьютера) и разверните Windows
Settings (Конфигурация Windows).
2.
Щелкните правой кнопкой мыши на Security Settings (Параметры безопасности) и затем щелкните на Import Policy (Импорт политики) (рис. 27.6).
3.
Выберите шаблон, которым вы хотите воспользоваться.
4.
Нажмите на ОК.
Аудит безопасности
Так как компьютерные сети постоянно конфигурируются, реконфигурируются и настраиваются, то может случиться так, что уже существующие рабочие
настройки безопасности не будут работать корректно после изменений, внесенных в сеть. Чтобы держать под контролем систему обеспечения безопасности
сети, полезно использовать инструменты проверки (аудита) безопасности,
предоставляемые Windows XP Professional. К таким инструментам относятся:



Event Viewer (Просмотр событий);
Audit policies (Политики аудита);
оснастка Security Configuration and Analysis (Анализ и настройка безопасно-
сти).
Рис. 27.6. Применение шаблонов безопасности
Проверка проводится посредством оснастки групповой политики ММС. Вы
можете увидеть различные элементы, проверка которых возможна в Windows XP
Professional, открыв папку Local Computer Policy\Computer Configuration\Windows
Settings\Security Settings\Local Policies\Audit Policy в оснастке Group Policy.
Что можно проверить
Ввод учетной записи регистрируется всякий раз, когда пользователь пытается войти в сеть. Регистрируются как удачные, так и неудачные попытки. Неудачные попытки впоследствии делятся на те, для которых учетная запись
устарела, пользователь пытался войти локально, был введен неправильный пароль или другие случаи. Можно проверить следующие элементы.
Управление учетной записью. Регистрируется всякое управление учетной
записью.
 События ввода. Регистрируются все события, связанные с вводом данных в
сети.
 Доступ к объекту. Регистрируются все попытки доступа к конкретному объекту (папке, принтеру).
 Изменения политики. Регистрируется всякое успешное изменение политики
сети. Полезно, если вы хотите переустановить политику до определенного состояния и нуждаетесь в справочном материале.
 Использование привилегий. Регистрируются попытки воспользоваться специальными привилегиями. Регистрационная запись делается как для удачной, так
и для неудачной попытки.
 Отслеживание процесса. Регистрируются процессы, запускаемые пользователем. Эта функция используется для мониторинга приложений, запускаемых
пользователем в течение дня.
 События системы. Регистрируются события, происходящие в системе,
например перезапуск системы.

Перед тем как заняться аудитом, следует составить четкий план, включающий в себя все, что нужно проверять, и то, как использовать эту информацию
для позитивных изменений. Аудит в значительной степени расходует ресурсы
системы - надо точно знать, что проверять, чтобы не переборщить.
Например, если в сети наблюдаются проблемы с выполнением, то начать
следует с отслеживания процессов. Сравнив регистрационную запись об отслеживании процессов с общей работой системы, вы сможете определить, отвечают
ли конкретные приложения за замедление работы сети. Если вы обнаруживаете
избыточный расход тонера (краски для принтера), то аудит доступа к объектам
поможет определить, кто из работников использует принтер и для каких целей.
Вы сможете решить, нужно ли ограничить разрешение на доступ к принтеру некоторым пользователям.
Включение
Для включения аудита проделайте следующие шаги.
1.
Щелкните правой кнопкой мыши на объекте, который вы хотите проверить, и затем щелкните на Properties (Свойства).
2.
На вкладке Security (Безопасность) нажмите кнопку Properties.
3.
Появятся расширенные настройки безопасности для страницы Shared
Documents (Общие документы). Щелкните на вкладке Auditing (Аудит) (рис.
27.7).
4.
Щелкните на кнопке Add (Добавить). Появится список пользователей и
групп. Выберите пользователя или группу, чьи действия вы хотите проверять.
5.
Можете выбрать несколько пользователей или групп. Для каждого из
них решите, что нужно отслеживать: успешные действия, неудачные или оба вида (см. рис. 27.8).
6.
Выберите, будет ли аудит проводиться только в отношении этого объекта, или будет включать в себя и дочерние объекты. Например, если выбрана
папка Documents, в которой содержатся подкаталоги Administration Documents и
Accounting Documents, и требуется мониторинг их использования, выберите опцию применения аудита к объектам и/или контейнерам внутри этого контейнера
(Apply auditing entries to objects and/or containers within this container only).
7.
Выполните все настройки для мониторинга выбранных пользователей,
компьютеров или групп и нажмите на ОК.
Рис. 27.7. Аудит папки в Windows XP Professional
Рис. 27.8. Выбор объектов для мониторинга
8.
Откройте оснастку Group Policy (Групповая политика) ММС. Перейдите
в Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
9.
Щелкните дважды на Audit objects access (Аудит доступа к объектам).
10.
Отметьте или очистите флажки "successful" (успех) или "failed" (неудача) в соответствии с требованиями проверки.
11.
Нажмите на ОК.
Аудит может интенсивно поглощать время и ресурсы. Однако, решив, какие
именно свойства следует проверить, и составив четкий план их анализа, вы
сможете убедиться в том, что безопасность системы настроена должным образом.
Оснастка Security Configuration and Analysis (Анализ и настройка безопасности)
Оснастка Security Configuration and Analysis (Анализ и настройка безопасности) ММС является хорошим инструментом для анализа текущих настроек
безопасности и сравнения их с базовым шаблоном безопасности. Учитывая, что
в системе Windows XP Professional имеется огромное количество настроек безопасности, отслеживать каждую из них представляется достаточно сложной задачей. Анализ же позволяет обнаруживать дыры в системе безопасности, тестировать влияние множественного изменения настроек безопасности в системе
без реализации этого изменения и обнаруживать любые отклонения в политике
безопасности, существующей в сети.
Например, если вы создали шаблон безопасности и хотите сравнить его (то
есть идеальные настройки безопасности) с текущими настройками безопасности
системы, воспользуйтесь инструментом Security Configuration and Analysis. Если
ваш шаблон безопасности окажется более строгим, чем текущий, то инструмент
укажет те области, которые следует укрепить, чтобы они соответствовали новым настройкам. Более того, инструмент сообщит, что произойдет с системой в
случае реализации этих новых настроек.
Для запуска инструмента Security Configuration and Analysis проделайте
следующее.
1.
Введите в командную строку MMC/s.
2.
В меню File (Файл) щелкните на Add/Remove Snap-in (Добавить или
удалить оснастку).
3.
Щелкните на Add (Добавить).
4.
В Available Standalone Snap-ins (Доступные изолированные оснастки)
найдите Security Configuration and Analysis (Анализ и настройка безопасности) и
сделайте двойной щелчок.
5.
Нажмите на Close (Закрыть), затем на ОК.
Теперь инструмент Security Configuration and Analysis доступен вам (рис.
27.9), но еще предстоит его сконфигурировать.
Рис. 27.9. Инструмент Security Configuration and Analysis (Анализ и настройка безопасности)
Создание базы данных
Работа инструмента Security Configuration and Analysis (Анализ и настройка
безопасности) основана на использовании базы данных. Вам надо ее создать.
Инструмент позволяет создать базу данных конфигураций и анализа безопасности, также называемую локальной базой данных политики компьютера.
Изначально база данных создается во время инсталляции Windows XP
Professional. В ней содержатся конфигурации безопасности системы по умолчанию. При необходимости можно сразу же после инсталляции экспортировать эту
базу данных и держать ее всегда под рукой на случай восстановления первоначальных настроек.
База данных определяет локальную политику безопасности компьютера,
работающего при той конфигурации, которая определена требованиями политики безопасности. Однако политика безопасности может оказаться недостаточной для определения всей конфигурации в целом. Например, у вас может не
оказаться предписаний безопасности для определенных папок или файлов. Запустив Security Configuration and Analysis, вы сможете найти такого рода ошибки.
Можно создать столько баз данных безопасности, сколько нужно. Для создания базы данных конфигураций безопасности проделайте следующее.
1.
В левом окне ММС щелкните правой кнопкой мыши на Security
Configuration and Analysis (Анализ и настройка безопасности).
2.
Щелкните на Open Database (Открыть базу данных).
3.
В диалоговом окне Name (Имя) введите имя, которое вы хотите дать
новой базе данных, и щелкните на Open (Открыть).
4.
Выберите имеющийся шаблон безопасности для импорта в базу данных.
5.
Щелкните на Open.
Анализ базы данных
Для анализа конфигураций базы данных проделайте следующие шаги.
1.
В левом окне ММС щелкните правой кнопкой мыши на Security
Configuration and Analysis (Анализ и настройка безопасности).
2.
Щелкните на Analyze Computer Now (Анализ компьютера).
3.
В появившемся диалоговом окне Error log file path (Путь к файлу журнала ошибок) введите место, в котором будут сохранены результаты анализа,
например, c:\logs\securitylog.log.
4.
Щелкните на Open (Открыть) и затем нажмите ОК. По мере проверки
инструментом настроек безопасности компьютера в окне состояния будет отображаться процесс выполнения задания
После того как задание будет выполнено, просмотрите результаты анализа:
1.
В левом окне ММС щелкните правой кнопкой мыши на Security
Configuration and Analysis (Анализ и настройка безопасности).
2.
Щелкните на View (Просмотр) и затем щелкните на Customize (Настроить).
3.
Выберите описание для отображения базы данных, над которой вы работаете, и щелкните ОК.
4.
В левом окне щелкните на Security Configuration and Analysis.
5.
В правом окне щелкните дважды на любой записи для получения подробного объяснения (см. рис. 27.10).
Здесь представлены результаты анализа конфигурации следующих областей.
Account policies (Политика учетной записи). Показывает пароль, блокировку
учетной записи и политику аутентификации, соответствующую протоколу
Kerberos (в системе Windows 2000 только контроллеры доменов)
 Event log (Журнал событий). Показывает методы аудита, включая доступ к
объекту, изменение пароля и операции входа/выхода в систему.

Рис. 27.10. Исследование результатов анализа
 Local policies (Локальная политика). Показывает методы аудита назначения
прав пользователей и опции безопасности компьютера.
 Restricted groups (Группы с ограниченным доступом). Показывает членство
для групп, определенных как секретные.
 Object trees (Объектные деревья). Как и Windows 2000, контроллер доменов
показывает объекты каталогов, журнал подключей и записей, а также локальную
файловую систему.
Другие записи включают в себя сервисы системы, журнал и файловую систему. Проанализировав свою систему безопасности, возможно, вы захотите
внести изменения в ее настройки. Если вы считаете настройку актуальной, то
отметьте флажок Define this policy (Определить следующую политику в базе
данных) во время исследования системы безопасности. Если очистить флажок,
то данная политика будет удалена из конфигурации.
В будущем для использования различных видов конфигурации и анализа
просто щелкните на элементе управления Еdit Security Settings (Изменить параметры безопасности), чтобы изменить текущее определение безопасности, содержащееся в базе данных.
Обеспечение безопасности серверов
Хотя Windows XP Professional не имеет версии, предназначенной специально для серверов, тем не менее, следует предпринять несколько важных шагов
по обеспечению безопасности сервера (Windows NT, 2000 или .NET) во время
постройки и конфигурирования Windows XP Professional сети. Так же следует
обдуманно настраивать соединения сервера с Windows XP Professionalклиентами. В этом разделе рассматриваются такие методы обеспечения безопасности сервера, как IPSec, протоколы безопасности, групповая политика,
аутентификация и списки управления доступом.
IPSec
Windows XP Professional обеспечивает безопасность передачи пакетов в сетях TCP/IP с помощью протокола IPSec. IPSec можно использовать для создания
сквозных безопасных решений, основанных на применении шифрованной передачи данных. IPSec-решение предлагает следующее.
Конфиденциальность. Отдельные лица не могут перехватывать и читать сообщения.
 Аутентификация. Отправители сообщений действительно являются теми,
кем себя объявляют.
 Целостность. Сообщения гарантированно не могут быть фальсифицированными при передаче.
 Защита. Блокируя определенные порты или протоколы, IPSec защищает от
возможных отказов от обслуживания (denial of service, DoS).

Как работает протокол IPSec
На рис. 27.11 схематически изображена работа протокола IPSec. Хост с активной политикой безопасности хочет установить соединение с другим компьютером, использующим политику безопасности.
1.
Хост А пытается передать данные. IPSec-драйвер хоста А связывается
с IPSec-драйвером хоста В для установления ассоциированной безопасности (SA),
о которой пойдет речь в следующем разделе.
2.
Два компьютера производят обмен секретными ключами проверки
подлинности, создавая секретные ключи совместного пользования.
3.
Используя методику безопасности, согласованную в SA, хост А подписывает и шифрует пакеты, предназначенные для хоста В.
4.
Хост В получает пакеты, и драйвер IPSec проверяет подпись и ключ
пакетов. После аутентификации данные передаются по стеку в хост В.
Разумеется, весь процесс происходит быстро и незаметно для пользователей компьютеров А и В. Однако на шифрование и дешифрование этих пакетов
расходуются дополнительные циклы работы процессора.
Согласование протоколов IPSec
На каждом компьютере в Windows XP/2000/.NET сетях имеется агент IPполитки. Является он активным или нет, решает администратор. Если агент активен, то он извлекает IPSec-политику, которая описывает согласование методов локальной защиты, и внедряет ее на локальном компьютере.
Рис. 27.11. Для обмена информацией два хоста устанавливают связь посредством протокола IPSec
SA является контрактом, заключаемым между двумя компьютерами до
начала обмена данными. В этом соглашении определены следующие особенности обмена данными.
 Протокол IPSec. Заголовок аутентификации, инкапсулированная полезная
нагрузка.
 Алгоритм целостности. Message Digest 5, алгоритм безопасного хэширования.
 Алгоритм шифрования. Data Encryption Standard (DES), Triple DES, 40битное DES или никакого.
Установка IPSec-политики
По умолчанию Windows XP Professional предоставляет три вида заранее
определенной политики безопасности, которые подходят для большинства слу-
чаев. Вы также можете начать с одного из этих видов политики и модифицировать его в соответствии со своими нуждами. Ниже дается описание этих политик.
Client (Работает только в режиме отклика). Компьютеру дается указание использовать протокол IPSec, если другой компьютер запрашивает его. IPSec не
требуется при установке связи с другим компьютером. Эта политика лучше всего
подходит для компьютеров, в которых находится очень мало или отсутствуют секретные данные.
 Server (Защита желательна). Эта политика предназначена для серверов, которые должны по мере возможности использовать протокол IPSec, но не отменяют
сеанс связи, если клиент не поддерживает IPSec. При необходимости тотальной
безопасности должна применяться политика Secure Server, описанная ниже. Политика Server применяется в таком окружении, где не каждый клиент может использовать IPSec. Например, во время миграции из системы Windows NT.
 Secure Server (Защита обязательна). Эта политика подходит для серверов,
содержащих секретные данные. Она требует использования IPSec всеми клиентами. Все исходящие соединения безопасны, а все небезопасные запросы клиентов
получают отказ.

Выбор правильной политики основывается на тщательной оценке данных.
Необдуманное предписание самого высокого уровня безопасности для всех
пользователей и серверов создаст огромную и ненужную нагрузку на серверах
и клиентских рабочих станциях. Это связано с дополнительной работой компьютеров по шифрованию и дешифрованию всего сетевого трафика. Однако разрешение любому клиенту устанавливать связь с безопасным сервером открывает
широкий доступ для потока небезопасной информации.
Создание и применение IPSec-политики
Консоль Microsoft Management Console (MMC) используется для создания и
конфигурирования IPSec-политики. Для этого в ММС надо добавить оснастку
IPSec Policy Management (рис. 27.12).
Рис. 27.12. Оснастка IPSec Policy Management
Примечание. Добавление IPSec в ММС происходит аналогично добавлению
других оснасток, упомянутых в этом курсе. Просмотрев список доступных оснасток, выберите IP Security Policy Management.
После добавления IPSec в консоль ММС появится запрос, каким компьютером эта оснастка будет управлять. Можно выбрать следующие опции:


этот компьютер;
контроллер домена Active Directory, членом которого является этот компью-


другой домен Active Directory;
другой компьютер.
тер;
Когда вы в первый раз откроете оснастку IPSec, то увидите три вида политик, предоставленных по умолчанию, чтобы вы могли модифицировать их так,
как нужно. Вы можете создать собственную политику, используя мастер политики IP-безопасности. Мастер запускается правым щелчком мыши на оснастке
IPSec в левом окне с последующим выбором Create IP Security Policy (Создать
политику безопасности IP).
При запуске мастер запросит следующую информацию.


Имя и описание политики.
Будет ли политика отвечать на запросы по установке безопасных соедине-

Метод аутентификации (Kerberos, сертификат или общий секретный ключ).
ний.
Фрагмент готовой IPSec-политики показан на рис. 27.13.
Можно также регулировать настройки, относящиеся к работе с ключами и к
ограничениям информации, которой вы будете обмениваться. Например, щелкнув дважды на All IP Traffic (Весь IP-трафик), можно уточнить настройки данной
характеристики. Как показано на рис. 27.14, эта специфическая деталь IPSec
указывает на фильтрацию всего IP-трафика, ICMP-трафика или трафика обоих
видов.
Дальше IPSec-политика может быть присвоена групповой политике (Group
Policy). Здесь она будет применяться ко всем компьютерам, которые являются
членами группы, и ко всем пользователям. В отличие от других видов политики,
локальная политика безопасности имеет приоритет над политиками, стоящими
выше с иерархической точки зрения. Например, локальная IPSec-политика организационной единицы аннулирует политику, присвоенную домену.
Рис. 27.13. Конфигурирование IPSec-политики в ММС
Рис. 27.14. Редактирование правил IPSec
Вход в систему
Впервые пользователь сталкивается с политикой безопасности при входе в
систему. Когда он усаживается за свой компьютер и нажимает на CTRL-ALT-DEL,
то видит приглашение ко вводу имени пользователя и пароля. В этом разделе
мы подробно рассмотрим, что представляет собой процесс входа в системе
Windows XP Professional, и как осуществляется переход от одной учетной записи
пользователя к другой.
Типы процессов входа в систему
При использовании Windows 2000 в качестве операционной системы сервера Windows XP Professional использует четыре типа процессов входа.
Интерактивный. Используется при входе пользователя на локальный компьютер.

 Сетевой. Используется при входе пользователя в сеть. Локальный администратор безопасности (Local Security Authority, LSA) клиентской рабочей станции
предпринимает попытку авторизации с помощью аутентификационных данных
входа в систему.
 Сервисный. Сервисы на базе Win32 загружаются на локальный компьютер,
используя данные удостоверения личности из учетной записи пользователя локальной сети (или домена) или учетной записи LocalSystem. При использовании
учетной записи LocalSystem (в Windows 2000 Server) сервис будет иметь свободный доступ к Active Directory. С другой стороны, если сервис использует привилегии безопасности учетной записи пользователя, то у него не будет доступа к сетевым ресурсам.
 Пакетный. Этот тип входа в систему редко используется в Windowsокружении и применяется, в основном, для крупных пакетов заданий.
При входе в систему Windows XP Professional с использованием интерактивного процесса данные, удостоверяющие личность пользователя, сверяются с
данными, хранящимися на локальном компьютере или на контроллере домена.
Эти процессы будут различаться в зависимости от того, где хранятся данные о
пользователе.
Примечание. При входе в домен Windows 2000 в диалоговом окне должна
появится надпись Logon domain (Домен входа). Если этого не произошло, щелкните на кнопке Options (Параметры) и выберите домен или введите имя пользователя в следующем формате: [email protected] mycomputer.myorganization.com.
Интерактивный вход
Для конечного пользователя процесс входа представляется достаточно
простым. Надо вписать свое имя пользователя и пароль и нажать на Enter. Однако большая часть событий, необходимых для осуществления интерактивного
входа, происходит "за кулисами". В процессе входа задействованы следующие
компоненты.
 Winlogon. Процесс, отвечающий за проведение операций входа и выхода, а
также за начало сессии пользователя.
 Graphical Identification and Authentication (GINA). Файл динамической библиотеки (DLL), вызываемый Winlogon и содержащий имя пользователя и пароль.
Представлен в виде диалогового окна, появляющегося при входе в систему.
 Local Security Authoruty (LSA). Объект на локальном устройстве, который
проверяет имя пользователя и пароль при аутентификации.
 Security Account Manager (SAM). Объект, который ведет базу данных имен
пользователей и паролей. SAM находится как на локальных компьютерах, так и
на контроллерах доменов.
 Net Logon Service. Эта служба используется наравне с NTLM (будет обсуждаться далее в лекции) для отправки запросов к SAM контроллера домена.
 Kerberos Key Distribution Center (KDS) service. Эта служба применяется при
аутентификации для доступа к Active Directory.
Запуск от имени
Если вы в своей Windows-сети выполняете всю работу, используя свои администраторские данные для удостоверения личности, то подвергаете сеть необоснованному риску. Например, вы можете неумышленно занести вирус, который распространится по всей сети. Наилучшим способом минимизировать риск
является использование для входа прав обычного или опытного пользователя и
своей учетной записи администратора, только если этого требует работа.
К сожалению, выходить из системы в качестве пользователя и снова входить в нее в качестве администратора - дело достаточно нудное и неэффективное. Поэтому в Windows XP Professional есть инструмент под названием Run As
(Запуск от имени). Он позволяет пользователю входить в систему с одним набором данных, удостоверяющих его личность, а затем запускать приложения, используя другой набор привилегий. Например, используя данные удостоверения
личности обычного пользователя, вы можете выполнять свою ежедневную работу, заходить на сайты в интернете и т. д. Затем, если потребуется управление
группой пользователей, вы обращаетесь к Run As, выполняете свои административные задачи и закрываете Run As.
Запуск от имени позволяет запускать:




программы;
ярлыки программ;
ММС;
элементы Панели управления.
Для запуска Run As проделайте следующие шаги.
1.
Определите место расположения элемента, который вы хотите открыть, в Windows Explorer, и затем щелкните на нем.
2.
Нажмите на SHIFT, щелкните правой кнопкой мыши на элементе и выберите Run As (Запуск от имени).
3.
В открывшемся диалоговом окне (рис. 27.15) щелкните на кнопке The
following user (Учетная запись указанного пользователя).
Рис. 27.15. Диалоговое окно Run As (Запуск от имени)
4.
Введите свое имя пользователя и пароль или учетную запись, которую
вы хотите использовать для доступа к элементу.
5.
В окне Domain (Домен) выполните одно из действий:
o
введите имя своего компьютера для использования данных удостоверения личности администратора локальной сети;
o
введите имя своего домена для использования данных удостоверения
личности администратора домена.
Если инструмент Run As (Запуск от имени) не работает, убедитесь в том,
что сервис Run As подключен, используя оснастку Services (Службы) ММС.
Протоколы
Существует много протоколов обеспечения безопасности, и система
Windows XP Professional использует два наиболее распространенных: Kerberos и
NTLM. NTLM используется по умолчанию как протокол входа в систему в сетях
Windows NT. Kerberos применяется как протокол по умолчанию для доменов
Windows 2000.
Протокол Kerberos применяется в том единственном случае, когда контроллеры доменов используют Windows 2000 или .NET, а клиенты используют
Windows XP Professional. В остальных сценариях применяется протокол NTLM. В
следующих разделах рассматривается работа этих протоколов безопасности.
Kerberos
Kerberos - это протокол аутентификации по умолчанию, используемый в
системах Windows 2000 и Windows XP Professional.
Протокол Kerberos был разработан в Технологическом институте (Массачусетс) в 1232323 г. Этот протокол предоставляет быстрый одноразовый вход в
систему Windows-сети, а также в сети с другими операционными системами,
поддерживающими Kerberos. Протокол Kerberos обеспечивает следующие возможности:
быструю аутентификацию при входе в компьютерную сеть со множеством
компонентов;
 взаимодействие
с не-Windows системами, использующими протокол
Kerberos;
 сквозную аутентификацию для распределенных приложений;
 транзитивные доверительные отношения между доменами.

Протокол Kerberos обеспечивает взаимно-секретную аутентификацию. Это
означает, что знают пароли только клиент и другой компьютер (называемый
центром распространения ключей - KDS). Kerberos предоставляет быструю
аутентификацию, поскольку снимает бремя этой задачи с сервера и передает
его клиенту и KDS.
NTLM
Протокол NTLM осуществляет аутентификацию компьютеров и клиентов по
принципу вызов/ответ. При работе по протоколу NTLM исходный сервер должен
контактировать с контроллером домена для подтверждения подлинности пользователя или компьютера.
Примечание. Протокол NTLM можно использовать не только в окружении
домена, но также при взаимодействии двух устройств одного ранга и в групповой работе.
Следующие шаги поясняют, что происходит при интерактивном входе в систему в соответствии с протоколом NTLM.
1.
Пользователь инициирует вход, нажимая клавиши CTRL+ALT+DEL. Это
называется SAS (Secure Attention Sequence).
2.
Далее Winlogon вызывает библиотеку GINA.DLL - появляется диалоговое окно входа.
3.
После того как пользователь ввел свое имя и пароль, Winlogon посылает информацию в LSA.
Примечание. LSA - это объект, который получает имя пользователя и пароль от Winlogon и принимает решение о разрешении входа в систему локального компьютера или сети.
4.
Если учетная запись пользователя хранится на локальном компьютере,
то LSA использует пакет аутентификации MSV1_0 , сравнивая информацию для
входа с данными, хранящимися в базе данных SAM компьютера. Если учетная запись пользователя хранится в сети, то LSA использует MSV1_0 и службу Сетевой
вход в систему (Net Logon) для проверки SAM на Windows NT-контроллере домена.
5.
Если информация подтверждается, то SAM сообщает об этом LSA, высылая пользовательский идентификатор защиты (SID). Более того, SAM высылает
идентификаторы защиты (SID) всех групп, к которым принадлежит пользователь.
Эта информация используется локальным администратором безопасности (LSA)
для создания маркера доступа, который включает в себя идентификатор защиты
пользователя.
6.
Сеанс работы пользователя начинается после получения службой
Winlogon этого маркера.
Аутентификация
Не путайте вход в систему с аутентификацией. В то время как вход позволяет пользователю получать доступ к компьютеру (локально или с сетевыми
полномочиями), процесс аутентификации позволяет пользователям иметь определенные разрешения на работу и членство в группах.
Создание, управление и удаление учетных записей пользователей и создание и поддержка групп безопасности являются важнейшими задачами управления безопасностью. Именно от этих функций зависит уровень доступа пользователей и их возможность работать с сетевыми ресурсами.
Учетная запись пользователя
Каждый пользователь в сети имеет свою учетную запись. Учетные записи
могут создаваться локально или как часть домена. Если у пользователя имеется
локальная учетная запись, то он не может получить доступ к сетевым ресурсам
(если в сети нет разрешенного анонимного доступа). Если у пользователя есть
учетная запись на уровне домена, то со своего локального компьютера он может получать доступ к ресурсам сети.
При инсталляции Windows XP Professional создаются две учетные записи
пользователя.
 Администратор. Позволяет конфигурировать и управлять системой. После
окончания инсталляции и конфигурирования Windows XP Professional эта учетная
запись нужна только для выполнения отдельных административных задач.
Примечание. Хорошей практикой в обеспечении безопасности является отключение учетной записи администратора и использование для повседневной
работы учетной записи пользователя.
 Гость. Позволяет пользователям входить в компьютер без отдельной учетной записи для каждого пользователя.
Помимо этих учетных записей, Windows XP Professional позволяет создавать
еще ряд учетных записей.
Оператор архива. Члены этой группы могут выполнять операции копирования и восстановления на компьютерах, независимо от имеющихся разрешений.
 Группа службы поддержки. Члены этой группы могут использовать приложения для диагностики проблем, возникающих в системе.
 Операторы настройки сети. Члены этой группы могут выполнять ограниченные административные функции, такие как выдача IP-адресов.
 Опытные пользователи. Члены этой группы занимают промежуточное положение между администраторами и простыми пользователями. Они могут устанавливать и модифицировать приложения, имеют права на чтение и запись и могут
получать разрешения на установку локальных принтеров (с согласия администратора).
 Пользователи удаленного рабочего стола. Члены этой группы имеют право
доступа с удаленного компьютера.
 Репликатор. Члены этой группы имеют право копировать файлы домена.
 Пользователи. Члены этой группы имеют ограниченное право доступа к системе и могут получать права на чтение и запись только в индивидуальном порядке.

Если для локального компьютера нужен определенный тип учетной записи,
то администратор должен войти в систему и создать эту учетную запись. Никто,
кроме него, не имеет права создавать учетные записи.
Для создания, управления и удаления учетной записи проделайте следующие шаги.
1.
Выберите Start\Control Panel (Пуск\Панель управления).
2.
Щелкните на User Accounts (Учетные записи пользователей). Появится
окно, показанное на рис. 27.16.
Вы также можете управлять дополнительными характеристиками пользователей, о чем пойдет речь в следующих разделах.
Управление паролем
Работники приходят и уходят (некоторым даже предлагается это сделать).
Поэтому Windows XP Professional обеспечивает возможность управления паролями служащих вашей организации. Есть два способа управления паролями.
Рис. 27.16. Управление учетными записями пользователей
User Accounts (Учетные записи пользователей). Расположенная в панели
управления, эта опция используется, если компьютер не является частью домена,
и паролями надо управлять локально.
 Local Users and Groups (Локальные пользователи и группы). Эта оснастка
ММС используется, если компьютер является частью домена и надо управлять паролями на нескольких компьютерах.

Задачи, связанные с паролем
Для изменения пароля пользователя проделайте следующие шаги.
1.
Выберите Start\Control Panel (Пуск\Панель управления) и затем щелкните дважды на User Accounts (Учетные записи пользователя).
2.
В появившемся диалоговом окне (рис. 27.17) щелкните на имени пользователя и затем щелкните на Change Password (Смена пароля).
3.
Впишите новый пароль два раза в диалоговом окне Reset Password
(Смена пароля).
4.
Вы можете ввести подсказки для пароля, если считаете, что это поможет пользователю вспомнить забытый пароль.
Windows XP Professional позволяет устанавливать определенные правила
для управления паролями. Например, можно заставить пользователя изменять
свой пароль при каждом входе в систему, отключить учетную запись и т. д. Для
установки правил проделайте следующее.
Рис. 27.17. Изменение пароля пользователя
1.
Откройте ММС и добавьте оснастку Local Users and Groups (Локальные
пользователи и группы).
2.
Щелкните дважды на папке Users (Пользователи).
3.
Щелкните правой кнопкой мыши на имени пользователя, учетной записью которого вы собираетесь управлять, и затем выберите Properties (Свойства).
4.
На странице свойств (рис. 27.18) можно установить следующие правила:
o
User must change password at next logon (Пользователь должен сменить пароль при следующем входе);
o
User cannot change password (Пользователь не может менять пароль).
o
Password never expires (Время действия пароля не ограничено);
o
Account is disabled (Учетная запись отключена);
o
Account is locked out (Учетная запись заблокирована).
Примечание. Установить более сложные правила для использования пароля
можно с помощью оснастки Group Policy (Групповая политика): установить минимальную длину пароля или определить время смены пароля.
Рис. 27.18. Управление правилами пароля
Сохранение имен пользователей и паролей. Исходя из сложности и конфигурации сети, вы можете не захотеть, чтобы пользователь применял одни и те
же реквизиты для доступа к различным ресурсам. Например, пользователь будет иметь доступ на уровне опытного пользователя для сети, но только уровень
обычного пользователя для доступа к серверу. В любом случае Windows XP
Professional будет отслеживать реквизиты пользователя с помощью опции Stored
User Names and Passwords (Сохранение имен пользователей и паролей), находящейся в панели управления.
Примечание. Возможности сохранения имен пользователей и паролей не
ограничиваются только именами пользователей и паролями. Также можно отслеживать сертификаты безопасности, смарт-карты и мандаты Passport.
Если пользователь пытается получить доступ к сетевому ресурсу, защищенному паролем, то будут использованы его реквизиты входа. Если эти реквизиты окажутся недостаточными, то будет послан запрос в файл Stored User
Names and Passwords (Сохранение имен пользователей и паролей). Если реквизиты пользователя окажутся на месте, то пользователь получит доступ к ресурсу. Если реквизитов на месте не окажется, то пользователю порекомендуют
ввести корректные реквизиты, которые будут сохранены для использования в
будущем.
При создании нового имени пользователя и пароля для доступа к защищенному паролем ресурсу сети проделайте следующие шаги.
1.
Выберите Start\Control Panel (Пуск\Панель управления) и дважды
щелкните на User Accounts (Учетные записи пользователей).
2.
Если вы являетесь частью домена, щелкните на вкладке Advanced (Дополнительно) и затем щелкните на Manage Passwords (Управление паролями). На
компьютерах, не являющихся часть домена, надо щелкнуть на значке, аналогичном учетной записи, и затем в области Related Tasks нажать на Manage your
stored passwords (Управление сохраненными паролями).
3.
Щелкните на Add (Добавить).
4.
Введите необходимую информацию.
Восстановление паролей. Если вы когда-нибудь забывали свой пароль, то
вам знакомо ощущение тревоги и неудобства, связанное с его восстановлением.
Для решения этой проблемы Windows XP Professional включает в себя мастер
сброса пароля (Password Reset Wizard), который позволяет создавать запасную
дискету для восстановления пароля.
Примечание. Мастер сброса пароля работает только на локальном компьютере. Программу нельзя использовать для сетевых учетных записей. Более того,
на дискете на самом деле нет пароля, а вместо этого она содержит пару секретных ключей - общий и личный. Так как ваш пароль не хранится на дискете, то
нет необходимости создавать новую запасную дискету всякий раз при смене пароля.
Для создания запасной дискеты проделайте следующие шаги.
1.
Выберите Start\Control Panel (Пуск\Панель управления).
2.
Выберите User Accounts (Учетные записи пользователей) и в списке
выберите свою учетную запись.
3.
В окне Related Tasks (Связанные задачи) щелкните на Prevent a forgotten password. Этим приводится в действие мастер сброса пароля.
4.
Щелкните на Next (Далее).
5.
Вставьте дискету в дисковод.
6.
В поле Current User Account Password (Пароль текущей учетной записи) введите свой пароль и нажмите Next (Далее).
7.
Когда индикатор выполнения задания покажет, что задание выполнено, нажмите на Finish (Готово) и уберите дискету в безопасное место.
Примечание. Лучше не снабжать дискету наклейкой с надписью "Запасная
копия пароля".
Теперь при вводе неверного пароля система Windows XP Professional будет
запрашивать дискету с запасной копией. Мастер задаст вопрос, в каком дисководе находится запасная дискета, и попросит ввести новый пароль.
Групповая безопасность
Учетные записи пользователей являются строительными блоками для построения безопасности групп. Группы можно создавать и управлять ими в зависимости от нужд организации. Например, можно разбить всех пользователей на
группы, состоящие из руководителей высшего звена, среднего звена и простых
служащих. Такая структура будет полезна, если вы хотите дать (или отобрать)
разрешение определенной группе пользователей, не затрагивая всей организации. Например, в организации только что установили новый цветной принтер,
но вы хотите, чтобы к нему имело доступ только руководство. Дав разрешение
на доступ к принтеру только группам, включающим в себя руководителей высшего и среднего звена, вам не придется беспокоиться по поводу того, что все
служащие компании будут пользоваться принтером. Более того, надо выдать
всего два разрешения (по одному каждой группе пользователей), а не возиться
целый день с учетными записями пользователей сети, чтобы выдавать разрешения каждому по отдельности.
Группы безопасности могут быть любого размера. Они включают от одного
компьютера или пользователя до всего домена или леса. Все группы безопасно-
сти системы Windows XP Professional подпадают под одну из следующих категорий.
Локальные группы компьютера. Эти группы определены только в рамках
работы локального компьютера и не фигурируют нигде внутри домена.
 Локальные группы домена. Разрешения выдаются только устройствам, являющимся частями домена.
 Глобальные группы. Используются в рамках домена для объединения учетных записей пользователей, которым необходим доступ, на основании их работы
внутри организации.
 Универсальные группы. Группы этой категории применяются в многодоменной сети для объединения пользователей, которым необходим доступ к сетевым
ресурсам на основании их работы в данной организации.

Встроенные принципы безопасности применяются к любой учетной записи,
которая использует компьютер определенным образом, по сути, не являясь
группой безопасности, но подчиняясь тем же правилам. Например, встроенные
принципы безопасности могут применяться к каждому, кто использует соединение наборного доступа, или к любому, кто входит в компьютер из сети.
В основном группы определяются на основании того, в какой части сети
они могут использовать разрешения, и по количеству трафика, который генерирует группа. Другим преимуществом использования групп является то, что если
они хорошо спланированы и реализованы, то сетевая нагрузка снижается в связи с отсутствием необходимости в обширной репликации контроллера домена.
Whoami
Это инструмент командной строки системы Windows XP Professional, который позволяет просматривать разрешения и права, выданные пользователю.
Whoami находится на диске с Windows XP Professional в каталоге
Support\Tools. Этот инструмент возвращает имя домена или компьютера наряду
с именем текущего пользователя и компьютера, в системе которого работает
Whoami. Он показывает имя пользователя и его SID, группы и их идентификаторы защиты, привилегии и статус.
Для инсталляции Whoami щелкните дважды на инструменте SETUP.EXE в
каталоге Support/Tools на компакт-диске Windows XP Professional. Затем выполните действия в мастере установки (Support Tools Setup Wizard) для завершения
инсталляции Whoami.
Для запуска Whoami в окне команд введите whoami.
Ниже перечислены опции команды Whoami для получения необходимых результатов:
/all Показывает всю информацию текущего маркера доступа.
/user Показывает информацию о пользователе, связанном с текущим маркером доступа.
 /groups Показывает группы, связанные с текущим маркером доступа.
 /priv Показывает привилегии, связанные с текущим маркером доступа.
 /logonid Показывает ID входа в систему, используемый в текущей сессии.
 /sid Показывает SID, связанный с текущей сессией. Этот аргумент должен
добавляться в конце опций /USER, /GROUPS, /PRIV, /LOGONID.


Далее следуют два примера применения Whoami.
ing
log
C:\Documents and Settings\Robert Elsenpeter>whoami /user /priv
[User] = "GEONOSIS\Robert Elsenpeter"
(X)
SeChangeNotifyPrivilege
= Bypass traverse check(O) SeSecurityPrivilege
(O) SeBackupPrivilege
tories
(O) SeRestorePrivilege
tories
(O) SeSystemtimePrivilege
time
(O) SeShutdownPrivilege
(O) SeRemoteShutdownPrivilege
system
(O) SeTakeOwnershipPrivilege
er objects
(O) SeDebugPrivilege
(O) SeSystemEnvironmentPrivilege
(O) SeSystemProfilePrivilege
(O) SeProfileSingleProcessPrivilege
(O) SeIncreaseBasePriorityPrivilege
(X) SeLoadDriverPrivilege
drivers
(O) SeCreatePagefilePrivilege
(O) SeIncreaseQuotaPrivilege
process
(X) SeUndockPrivilege
docking station
(O) SeManageVolumePrivilege
tasks
= Manage auditing and security
= Back up files and direc= Restore files and direc=
Change
the
system
= Shut down the system
= Force shutdown from a remote
= Take ownership of files or oth= Debug programs
= Modify firmware environment values
= Profile system performance
= Profile single process
= Increase scheduling priority
= Load and unload device
= Create a pagefile
= Adjust memory quotas for a
= Remove computer from
= Perform volume maintenance
Для вывода SID используйте параметры /user и /sid вместе:
C:\Documents and Settings\Robert Elsenpeter>whoami /user /sid
[User] = "GEONOSIS\Robert Elsenpeter" S-1-5-21-606747145-11300771417085377
68-1003
Листинг 27.1.
Списки контроля доступа
В последнем разделе мы поверхностно рассмотрели учетные записи пользователей и управление ими с помощью групп. Для управления группами (добавления и удаления пользователей и разрешений) администраторы применяют
списки контроля доступа (ACL).
В Windows XP Professional имеется два вида ACL.
Discretionary access control lists (DACL) - списки разграничительного контроля доступа. Используются для идентификации пользователей и групп, которым
разрешен (или запрещен) доступ.

 System access control lists (SACL) - системные списки контроля доступа, контролируют проверку доступа.
Списки контроля доступа являются удобным инструментом определения того, кто имеет доступ к конкретному объекту, и предоставляют возможность редактировать разрешения. Например, если вы считаете, что новый лазерный
принтер не должен использоваться никем, кроме работников отделения маркетинга, то для приведения в действие этих ограничений можно использовать
ACL.
Просмотр
Для просмотра ACL щелкните правой кнопкой мыши на значке объекта
(папки, принтера и т. д.) и выберите Properties (Свойства). Щелкните на вкладке Security (Безопасность) - и увидите группы и пользователей, имеющих доступ к этому объекту, а также перечень разрешений, выданных этой группе.
Примечание. Компьютеры с системой Windows XP Professional, как отдельные, так и в составе рабочей группы, не смогут увидеть вкладку Security (Безопасность), если работают в режиме простого обмена информацией. Для отключения Simple Sharing откройте My Computer (Мой компьютер). В меню Tools
(Параметры) щелкните на Folder Options (Свойства папок). Затем щелкните на
вкладке View (Просмотр) и очистите флажок Use simple file sharing (Использовать простой обмен файлами).
На вкладке Security (Безопасность) расположены два окна.
 Group or user names (Группы или пользователи). В этом окне перечислены
группы и пользователи, которые имеют необходимые разрешения для доступа к
данному объекту.
 Permissions (Разрешения). В этом окне перечислены разрешения, выданные
или запрещенные для пользователя или группы, выбранных в окне Group or user
names (Группы или пользователи).
Примечание. Только пользователи, имеющие разрешения доступа к определенному объекту, могут просматривать ACL данного объекта.
Кнопки Add (Добавить) и Remove (Удалить) выполняют те действия, на которые указывают их названия, а именно добавление или удаление пользователей или группы из списка.
Расширенные настройки
Щелкнув на кнопке Advanced (Дополнительно), можно изучить детали
настроек определенного пользователя или группы. На странице Advanced
Security Settings (Дополнительные параметры безопасности) можно установить
большее количество расширенных свойств выдачи разрешений:
выдача специальных разрешений пользователю или группе;
создание наследуемых возможностей доступа для дочерних объектов данного объекта;
 отслеживание попыток доступа к объекту;
 управление правами собственности на информацию данного объекта.


При своем появлении страница Advanced Security Settings автоматически
выводит на экран вкладку Permissions (Разрешения). На ней показаны разрешения, которые были установлены в явном виде для данного объекта. Другая
вкладка с разрешениями, называемая Effective Permissions (Действующие разрешения), позволяет просматривать все разрешения, которые применяются к
пользователю или группе в отношении данного объекта, включая разрешения,
являющиеся частью разрешений определенной группы или установленные для
определенного пользователя.
Скачать