Часть 2. Исследование встроенных систем шифрования ОС Windows 7

Шифрованная файловая система EFS

Теоретическая часть

Windows7 включает в себя шифрованную файловую систему Encrypting File System (EFS) , реализующую шифрование на уровне файлов в операционных системах Microsoft Windows NT (начиная с Windows 2000 и выше), за исключением «домашних» версий.

Данная система предоставляет возможность «прозрачного шифрования» данных, хранящихся на томах с файловой системой NTFS, для защиты потенциально конфиденциальных данных от несанкционированного доступа при физическом доступе к компьютеру и дискам.

EFS использует процесс, известный как шифрование с открытым ключом. В шифровании с открытым ключом, пользователь имеет 2 ключа: открытый ключ, известный также как сертификат и закрытый ключ. Открытый ключ доступен для всех. Пользователи могут использовать открытый ключ для шифрования данных. Секретный ключ хранится в личном хранилище сертификатов пользователя. Закрытый ключ расшифровывает данные, которые были зашифрованы с использованием открытого ключа. Первый раз, когда пользователь шифрует файлы на компьютере под управлением Windows7, компьютер создает EFSсертификат и закрытый ключ. Это позволяет зашифровать данные на внешнем жестком диске. EFSшифрование работает так, что если пользователь имеет доступ на чтение файлов на флэш- накопителе, он не может на самом деле открыть файл, если не имеет соответствующий сертификат шифрования.

Если зашифрованный файл должен быть общим с другим пользователем на одном компьютере, они должны экспортировать свой EFSсертификат. Затем нужно импортировать его и добавить сертификат в общий файл.

Когда вы зашифруете папку или файл, вы должны создать резервную копию сертификата шифрования. Если ваш сертификат и ключ потерян или поврежден, и вы не имеете резервной копии, вы не сможете получить доступ к папкам и файлам, что у вас в зашифрованном виде.

Практическое задание

1. Щелкните правой кнопкой мыши на каталог или файл, который вы хотите зашифровать, и выберите пункт «Свойства»;

2. Перейдите на вкладку «Общие» и нажмите кнопку «Другие....»;

3. Выберите «Шифровать содержимое для защиты данных» поле, а затем нажмите кнопку «ОК»

4. Зашифрованные значки файлов окрашены в зеленый цвет в WindowsExplorer. Чтобы расшифровать файлы и папки, просто следуйте инструкциям, приведенным выше, но снимите флажок «Шифровать содержимое для защиты данных» флажок.

Лабораторная работа № 6

Система защиты в операционной системе Windows Server 2003»

Цель работы: знакомство со способами и реализующими их средствами защиты информации операционной системы Windows server 2003, приобретение практических навыков их использования.

Введение

Операционные системы (ОС) семейства Windows Server 2003 являются эволюционным развитием серверной платформы Windows 2000 Server, также включившим в себя многие средства систем Windows XP. Нелишне напомнить, что ОС Windows 2000 имеют внутренний номер версии 5.0, а системы Windows XP вышли под номером 5.1. Семейство Windows Server 2003 (сборка (build) 2790) имеет версию 5.2. (Грубо говоря, можно считать, что версия 5.2 равна версии 5.1 плюс Service Pack 1 плюс серверные службы плюс обновления, вышедшие с момента появления Windows XP) Семейство Windows Server 2003 включает в себя четыре редакции (версии) операционных систем:

· Windows Server 2003, Standard Edition;

·Windows Server 2003, Enterprise Edition;

·Windows Server 2003, Datacenter Edition;

·WindowsServer 2003, WebEdition.

Windows Server 2003, Standard Edition- Универсальная сетевая система общего назначения, предназначенная для корпоративного использования при решении самых разных задач: поддержка служб печати и файловых сервисов, маршрутизация и удаленный доступ, обеспечение работы СУБД и т. д. Предназначается небольшим компаниям или подразделениям крупных фирм.

Windows Server 2003, Enterprise Edition- Является платформой для развертывания бизнес-задач любого масштаба, включая службы Интернета, при этом обеспечивается большая производительность и отказоустойчивость, чем достигается при использовании Windows Server 2003, Standard Edition. Это достигается за счет большего числа поддерживаемых процессоров (в том числе и процессоров Itanium), кластеризации и увеличенного объема памяти.

Windows Server 2003, Datacenter Edition- Самая мощная из всех редакций Windows Server 2003, она ориентирована на обеспечение максимального уровня производительности и надежности для критически важных приложений и задач. В этой редакции отсутствуют некоторые службы, использование которых целесообразно лишь в небольших компаниях или группах. 

WindowsServer 2003, WebEdition- Как понятно из названия, данная редакция — новый продукт в семействе серверов Microsoft — в первую очередь предназначена для веб-хостинга и поддержки XML веб-служб в небольших организациях и подразделениях.              

Несколько упрощая ситуацию, эти редакции можно рассматривать как различные конфигурации (комплектации) одного и того же "базового" ядра. Большинство системных сервисов поддерживается во всех редакциях, в то время как отдельные сервисы присутствуют или, наоборот, отсутствуют в более "мощных" моделях.

Целью данной лабораторной работы является изучение средств защиты ОС Windows Server 2003, Enterprise Edition (в дальнейшем Windows 2003) при работе в составе сети, но в децентрализованном режиме (без организации домена).

Часть 1. Контроль доступа пользователей

Теоретическая часть

В операционной системе Windows 2003 реализована дискреционная модель разграничения доступа. Суть ее состоит в том, что существует множество субъектов доступа, множество объектов доступа и матрица доступа, в которой задаются права доступа субъектов к объектам. Субъект – это активная сущность, которая может производить определенные действия над объектами. Объект – это пассивная сущность. Матрица прав доступа представляет собой таблицу (двумерный массив), в строках которой записаны субъекты доступа, в столбцах – объекты доступа, а на пересечении строк и столбцов указаны либо разрешение (право) либо запрет (отсутствие права) на разные виды доступа соответствующего субъекта к соответствующему объекту (право на чтение, на запись и т.п.).

Под субъектами в Windows 2003 понимаются пользователи (иногда - процессы, порождаемые пользователями), работающие с компьютером как интерактивно (локально, непосредственно, без использования сети), так и удаленно (посредством сети).

Объектами в Windows 2003 являются файлы, каталоги, принтеры и другие ресурсы компьютера.

Для удобства администрирования пользователи могут объединяться в группы, которые также рассматриваются как субъекты доступа. Если пользователь входит в несколько групп, то права доступа пользователя из разных групп суммируются. Суммарные права пользователя на доступ к объектам системы получаются путем объединения прав самого пользователя и прав всех групп, в которые он входит.

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.

Для работы с локальными учетными записями используется оснастка «Локальные пользователи» и группы (Local Users and Groups). Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers(Пользователи и компьютеры).

Оснастка «Локальные пользователи и группы» — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).

Сразу после установки системы Windows Server 2003 каталог Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.

• Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.
• Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
• SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Примечание: Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.

Для работы с локальными пользователями можно использовать утилиту командной строки net user.

Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.

ОCWindows 2003 обеспечивает контроль действий пользователей в компьютерной сети, определяя для каждого пользователя разрешенные и запрещенные действия. Помимо этого она предоставляет пользователям доступ к запрашиваемым ими ресурсам компьютерной сети. Ограничение доступа к ресурсам может быть установлено как для пользователей, работающих на компьютере, где находятся эти ресурсы, так и для пользователей, устанавливающих соединение с ресурсами сети.

Доступ к ресурсам можно ограничить с помощью следующих средств:

- права пользователя;

- группы пользователей;

- информация о безопасности объектов (права доступа).

В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.

• Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.
• Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.
• Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.
• Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пусто.
• Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пусто.
• Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. Поумолчаниюсодержитслужебныеучетныезаписи:

NT AUTHORITY\Authenticated Users (S-1-5-11) и NT AUTHORITY\INTERACTIVE (S-1-5-4).Если компьютер подключен к домену, эта группа также содержит группу Domain Users.

В системах Windows XP появились еще три группы.

• Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пусто.
• Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.
• HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

Еще четыре группы появились в системах Windows Server 2003.

• Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).
• Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пусто.
• Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пусто.
• TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пусто.

Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.

Все именованные объекты (файлы, папки и т.п.) Windows2003 могут быть защищены. У каждого именованного объекта есть владелец, менять права доступа к этому объекту может только он сам. Права доступа могут быть следующими (часть из них связана с конкретным объектом и хранится в дескрипторе защиты объекта, а часть – глобальные права):

- право чтения (выполнить запись невозможно);

- право чтения и записи (нет прав выполнить программу);

- право выполнения (не разрешена запись);

- удаление;

- смена разрешений;

- смена владельца.

Для удобства управления помимо этих разрешений добавлен целый ряд комбинаций прав доступа, из которых наиболее часто используются на практике следующие:

· Нет доступа (Не задано ни одно право);

· Просмотр (Чтение, Выполнение), только для каталогов;

· Чтение (Чтение, Выполнение);

· Добавление (Запись, Выполнение), только для каталогов;

· Чтение и запись (Чтение, Запись, Выполнение), только для каталогов;

· Изменение (Чтение, Запись, Выполнение, Удаление);

· Полный доступ (Даны все права).

Кроме прав доступа, дополнительно у каждого файла или каталога существует владелец – пользователь или группа пользователей. Владелец может изменять права доступа к соответствующему объекту независимо от того, обладает ли он таким правом или нет.

В семействе операционных систем WindowsServer 2003 владельцем по умолчанию является группа «Администраторы». Владелец всегда может изменить разрешения для объекта даже при отсутствии доступа к нему.

Владельцем объекта может стать:

· администратор (по умолчанию группе «Администраторы» предоставляется право Смена владельца);

· любой пользователь или любая группа, обладающая разрешением Смена владельца для данного объекта.

· пользователь, обладающий привилегией Восстановление файлов и каталогов.

Смена владельца может осуществляться следующими способами.

· Текущий владелец может предоставить другому пользователю разрешение Смена владельца, после чего тот сможет в любой момент стать владельцем объекта. Для передачи прав владения пользователь должен сам выполнить операцию смены владельца.

· Владельцем может стать администратор.

· Пользователь, имеющий привилегию Восстановление файлов и каталогов, может назначать владельцем объекта любого пользователя или группу с помощью элемента списка Другие пользователи и группы.

Наряду с подсистемой разграничения доступа в операционной системе Windows 2003 присутствует и подсистема аудита, которая позволяет администратору отслеживать операции пользователей над файлами, каталогами, принтерами и другими объектами системы. Имея эти сведения, администратор может проанализировать активность пользователей, выявить попытки и факты несанкционированного доступа, а также собственные ошибки при задании правил разграничения доступа, сделавшие возможным доступ пользователей к тем файлам, к которым они не должны иметь доступа.

ОС Windows 2003 позволяет вести аудит следующих видов доступа пользователей к файлам и каталогам:

· Чтение;

· Запись;

· Выполнение;

· Удаление;

· Смена разрешений;

· Смена владельца.

При этом можно вести аудит успешных попыток доступа (доступ был разрешен), неудачных попыток (отказано в доступе), а также и тех, и других одновременно. События аудита записываются в специальные системные файлы – журналы аудита. В Windows 2003 существует три таких журнала: журнал системы, журнал приложений и журнал безопасности.

Журнал системы предназначен для протоколирования системных событий: запуск и остановка операционной системы, критически важных системных служб, переполнение диска и т.п.

Журнал приложений формируется самими прикладными и системными программами, которые записывают в него события, произошедшие в этих программах.

Журнал безопасности хранит сведения о доступе пользователей к файлам, каталогам и другим ресурсам системы. Именно в этот журнал записываются сведения о доступе пользователей к объектам, для которых установлен режим аудита.

Новая возможность семейства WindowsServer 2003- аудит операций. В более ранних версиях Windows получаемые от средства аудита доступа к объектам сведения не были настолько подробны, как в рассматриваемом новом средстве. При обнаружении попытки доступа к объекту нет гарантии того, что доступ был документирован как регистрируемое событие. Аудит операций позволяет проводить аудит файлов и папок. Это значит, что определенные операции (например, запись) при аудите можно рассматривать как доступ к объектам. Аудит операций включен, если включен аудит доступа к объектам для файла или папки. События доступа к объектам записываются вместе с такими операциями, как запись, в журнал безопасности.

Аудит – необходимое средство защиты информации, но его использование сопряжено с достаточно большими затратами процессорного времени и дисковой памяти. Журналы аудита постоянно увеличиваются в размерах и со временем занимают все больший объем на диске. Проверка наступления событий аудита и их запись в журнал требуют времени и могут существенно замедлять операции файлового ввода/вывода, поэтому для обеспечения приемлемого уровня быстродействия системы назначать режим аудита следует только для критически важных файлов.

 В ОС Windows 2003 есть возможность разрешения или запрещения аудита определенных событий на уровне системы в целом, что позволяет в случае необходимости повысить быстродействие за счет централизованного отключения аудита.

Практическая часть

1.  Вход в систему

Вход в систему осуществляется одновременным нажатием клавиш «Ctrl+Alt+Delete». Эту комбинацию корпорация Microsoft выбрала в связи с тем, что на уровне BIOS её практически невозможно перехватить.

После запуска Windows 2003 пользователю необходимо пройти процесс идентификации и аутентификации. Эта процедура выполняется путем последовательного ввода имени пользователя и пароля.

Как уже говорилось выше, у ОС Windows 2003 существует особый пользователь - администратор. Он выполняет функции по настройке системы, добавлению новых пользователей и следит за тем, чтобы система корректно функционировала. Для того чтобы в данной лабораторной работе управлять системой (пользователями, группами, аудитом и т.п.), надо войти в систему под именем администратора, для чего в качестве имени пользователя ввести Администратор, и в качестве пароля «Server1». Если вы ошибётесь при наборе и вводе имени пользователя или пароля, вновь будет выведено сообщение об ошибке.

2.  Создание новой группы

Для создания новой группы необходимо выполнить последовательность следующих действий:

1. Запустить программу «Управление Компьютером». Для этого нажать «Пуск», выбрать «Программы»,выбрать в появившемся контекстном меню пункт«Администрирование», и в следующем контекстном меню выбрать пункт «Управление компьютером».

2. Перед Вами появится окно «Computermanagement»(Управление компьютером):

Рис. 127 Окно «Computermanagement»

3. В появившемся окне выберите вкладку «Локальные пользователи и группы», затем подвкладку «Группы». На панели задач выбрать вкладку «Действие», команда «Создать группу».

4. В появившемся окне ввести имя группы - Студенты. Добавить описание по желанию.

Рис. 128 Окно добавления новой группы

5. Нажать клавишу «Создать». В списке групп появится созданная группа.

6. Закрыть форму создания новой группы.

3. Создание нового пользователя

Для создания нового пользователя выполняют последовательность следующих действий:

1. В запущенном окне «Управление компьютером» выбрать вкладку «Локальные пользователи и группы», а в ней - «Пользователь». Далее выберите вкладку на панели задач «Действие»,«Новый пользователь», чтобы добавить нового пользователя.

2. Перед Вами появится окно «Новый пользователь»:

Рис. 129 Окно добавления нового пользователя

В поле ввода «Пользователь» ввести имя пользователя. Имя пользователя представляет собой одно слово из латинских символов. Имя пользователя задать следующим образом: User<#машины>_<#пользователя, создаваемого студентом в бригаде>. Например, для компьютера номер 1 и студента номер 1 в поле ввода «Пользователь» надо ввести строку user1_1.

3. В поле ввода «Полное имя» обычно вводят фамилию пользователя с инициалами или же с полным именем отчеством, чтобы администратор знал, с кем он работает. Набрать в этом поле своё полное имя.

4. В поле «Описание» обычно вводятся некоторые дополнительные сведения о пользователе. Надо набрать в этом поле строку Студент группы <Номер Вашей учебной группы>.

5. В полях ввода «Пароль» и «Подтверждение» ввести один и тот же (для обоих полей) пароль. Согласно правилу политики безопасности пароль должен быть не менее 6 символов и содержать: Заглавные и прописные символы, цифры.

6. Снять флажки «Запретить смену паролей пользователям» и «Потребовать смену пароля при следующем входе в систему». Если установлен флажок «Запретить смену пароля пользователем», то все пароли пользователям системы задаёт сам администратор, естественно, подбирая «правильные» пароли с точки зрения требований безопасности (как упоминалось выше). Но в этом случае получается, что индивидуальный пароль пользователя знает ещё кто-то, кроме самого пользователя. Если же установить флажок «Потребовать смену пароля при следующем входе в систему», то пользователь при следующем входе в систему будет иметь возможность сменить пароль, первоначально назначенный ему администратором. В этом случае, администратор уже не будет знать пароли своих пользователей, но и не сможет гарантировать удачного выбора этих паролей.

7. Двойным щелчком левой кнопки мыши(или же однократным нажатием правой кнопки) на имени, созданного пользователя, перейти в окно «Свойства». Появившееся окно содержит несколько вкладок: Общие, Членство в группах, Профиль, Среда, Сеансы, Удаленное управление, Профиль служб терминалов, входящие звонки.

Рис. 130 Окно Свойства пользователя

Для дальнейшего изучения лабораторной работы, необходимо перейти на вкладку «Членство в группах» и осуществить добавление пользователя в раннее созданную группу Студенты.

8. Кнопками «Добавить» и «Удалить» добиться, что бы пользователь был членом выбранной группы. После нажатия кнопки «Добавить» появится окно Выбора группы.

Рис. 131 Окно Выбора группы

«Типы объектов» предоставляют выбор необходимого объекта, в данном случае- это только Группы.

«Размещение» указывает, на каком компьютере в сети находится объект.

 Чтобы добавить необходимую группу, следует ввести имя группы в предлагаемом поле или нажать на кнопку «Дополнительно» для поиска. После нажатия кнопки, появится расширенная форма «Выбор группы». Нажатие кнопки «Поиск» выдаст список созданных на компьютере групп. Выбираем из списка группы Студенты и добавляем её двойным щелчком правой кнопки мыши.

Замечание: Созданная ранее группа Студентыне обладает правом входа в систему, и если один из пользователей будет принадлежать только этой группе, то он не сможет войти в систему. Далее будет показано, как сделать, чтобы у пользователя появилась возможность входа в систему.

9. После окончания шага 8 на окне «Выбор группы» нажать кнопку OK. Закрыть форму «Свойства пользователя»

4.  Установка прав пользователей (на объекты)

Для установки возможности задания пользователями прав доступа необходимо выполнить следующую последовательность шагов:

1. Запустить программу «Локальные политики безопасности». Для этого нажать «Пуск», выбрать «Программы», выбрать в появившемся контекстном меню пункт «Администрирование», и в следующем контекстном меню выбрать пункт «Локальные политики безопасности». В появившейся форме открыть вкладку «Локальные политики» и дальше «Назначение прав пользователя». Появившейся список параметров локальной безопасности и пользователей, которым они доступны.

Рис. 132 Окно Назначение прав пользователя

2. В появившемся списке политик, выбрать «Овладение файлами и другими объектами» и открыть двойным щелчком левой кнопки мыши.

3. Нажать кнопку «Добавить». В появившемся окне добавить тип объекта Группа, посредством нажатия кнопки «Тип Объекта» и установки флажка рядом с объектом «Группа» и нажать кнопку ОК.

4. Добавить нужную группу, как это описывалось в п.3.8.

5. Нажать кнопку «ОК».

Рис.133 Окно Свойств

На этом процесс установки возможности задания прав пользователя завершен.

5.  Политика учетных записей

Учетная запись - это запись (в базе данных учетных записей), которая хранит всю информацию о пользователях, которые имеют право (возможность) доступа в систему. В системе существуют определённые настройки (механизмы), которые позволяют управлять учётными записями в системе. Они названы политикой учётных записей.

Для того чтобы ознакомится с политикой учетных записей необходимо в окне «Политика локальной безопасности», вкладка «Политика учетных записей». Она содержит в себе: Политика паролей, Политика блокировки учетной записи.

Рис. 134 Окно Политика паролей

На данной вкладке можно ознакомиться с используемой политикой паролей. Она включает в себя: максимальный срок действия пароля, минимальная длина пароля(символов), требование сложности пароля(пароль должен включать Заглавные и прописные буквы, хотя бы одну цифру), не повторяемость паролей, хранить пароли, используя обратное шифрование (по умолчанию отключено).

Политика блокировки учетной записи. Содержит вкладки: Блокировка учётной записи на (продолжительность в минутах), пороговое значение блокировки(количество ошибочных идентификации аутентификации при которых блокируется учетная запись(по умолчанию бесконечно), сброс счетчика блокировки через

Рис. 135 Окно Политика блокировки учетной записи

6. Ограничение доступа к ресурсу

Для эффективного управления правами пользователей по отношению к объектам в ОС Windows 2003 была создана файловая система NTFS. В NTFS у каждого объекта (файла, папки и т.д.) имеется специальная метка (маркер) безопасности, в которой содержатся атрибуты, обозначающие, кто и какие имеет права доступа на этот объект.

Для управления доступом в Windows 2003 используется дискреционная модель доступа, характеризующаяся таблицей, где для каждого объекта доступа (каталоги, файла) указано, какой субъект доступа (пользователь, процесс) имеет право с ним работать и какие действия может с ним выполнять (читать, запускать и т.п.).

Для выполнения дальнейшей работы каждому студенту в бригаде необходимо создать каталог, назвав его именем своего пользователя (которого прописывали в «Управление компьютером»), а в этомкаталоге – создать свой текстовый файл. Дальнейшие действия каждый студент должен осуществлять только со своим собственнымкаталогом.

Для задания ограничения доступа к ресурсу проделайте следующие действия:

1. Войдите в систему под именем созданного пользователя. Для этого выбираем Завершение работы -> Завершение сеанса Администратор. Тем самым пользователь заканчивает работу в системе. Система переходит в первоначальное состояние. После того, как будет видно окно, информирующие вас о том, что при нажатии клавиш Ctrl+Alt+Del вы сможете войти в систему, нажмите эти клавиши. Введите имя пользователя и пароль, назначенные раньше. Теперь в системе работает новый пользователь, которого Вы ранее сами создали.

2. Создайте на диске С для всей своей бригады каталог и назовите его по номеру вашей группы.

3. В этом каталоге создайте подкатолог со своим именем (с которым входили в систему), а в своем подкатологе – текстовый документ (через «Файл»--> «Создать» --> «Текстовый документ»).

4. Запустите Проводник и найдите в окне Проводника каталог со своим именем.

5. Установите курсор мыши на этоткаталог и нажмите правую кнопку мыши. В появившемся окне выберите «Свойства».

Рис. 136 Окно Свойств каталога

6. В появившемся окне выберете вкладку Безопасность

Как видите, созданный вами пользователь находится в списке доступа к файлу и имеет полный доступ. Наравне с Администратором (полный доступ), Пользователем (чтение и выполнение), System(полный доступ).

7. Нажмите кнопку Дополнительно. Появится форма Дополнительных параметров.

8. Перейдите на вкладку Разрешения:

Рис. 137 Переход на вкладку Разрешения

В этой вкладке содержатся сведения о разрешениях, выданных для учётных записей. Вам предстоит закрыть доступ для всех пользователей, кроме созданного вами. Для этого

9. Выделяете пользователя System и нажимаете на кнопку «Изменить».

10. В появившемся окне в списке разрешений необходимо установить флаг напротив метки «Полный доступ» в столбце Запретить.

Рис. 138 Окно списка разрешений

11. Повторить п.10 для учетных записей Администраторы, Пользователи.

12.  Нажмите Ok.

13. Аналогичные действия (с 1-го по 12-ое кроме 2-го – оно один раз делается) должны быть проделаны для всех созданных пользователей данной бригады (как владельцев своих папок).

14. Закройте диалоговые окна, нажимая кнопки OK.

15. Войдите в систему от имени администратора.

16. Попробуйте просмотреть файлы в созданных ранее каталогах.

17. Нажав Разрешения, попробуйте изменить права доступа.

18. Тем самым вы убедились, что теперь даже администратор не сможет просматривать содержимое созданного таким образом каталога с ограниченными владельцем правами к нему.

Для того чтобы просмотреть содержимое этогокаталога, администратору придётся сменить его владельца.

Наследование прав доступа

Файловая система NTFS поддерживаемая в Windowsserver 2003, обладает функцией наследования прав доступа вложенными папками/файлами. После того как установлены разрешения на доступ к родительскому каталогу, создаваемые в нем новые файлы и подкатологи будут наследовать эти разрешения. Наследование можно активизировать или отключить для индивидуальных файлов, каталогов или разделов реестра и для отдельных пользователей или групп.

Для того чтобы включить/отключить функцию наследования необходимо:

- выделить этоткаталог;

- в контекстном меню, которое появится по щелчку правой кнопки мыши на значке этогокаталого выбрать «Свойства»;

- в появившемся окне выбрать вкладку «Безопасность»;

- на вкладке «Безопасность» нажать кнопку «Дополнительно».

- на вкладке безопасность и снимите/поставьте флажок с «разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам, добавляя их к разрешениям, явно заданным в этом окне»;

Рис. 139 Окно Дополнительных параметров безопасности

- в появившемся окне нажмите кнопку «Копировать» для копирования ранее наследуемых разрешений от родительского объекта. Нажмите кнопку «Удалить», чтобы удалить все разрешения из каталога «папка1». Если выбрать этот вариант, необходимо добавить пользовательские разрешения перед применением изменений, так как пользователи или группы, не будут иметь доступ к папке до добавления разрешений. Нажмите кнопку «Отмена», чтобы отменить операцию.

8. Смена владельца каталога

Администратор в системе Windows 2003 обладает определёнными привилегиями. В числе этих привилегий у него имеется возможность сделать себя владельцем любой папки.

Для того чтобы сменить владельца каталога необходимо:

- выделить этоткаталог;

- в контекстном меню, которое появится по щелчку правой кнопки мыши на значке этогокаталог выбрать «Свойства»;

- в появившемся окне выбрать вкладку «Безопасность»;

- на вкладке «Безопасность» нажать кнопку «Дополнительно».

- В появившейся форме «Дополнительные параметры безопасности» выберите вкладку «Владелец»

Рис. 140 Окно вкладки Владелец

 В появившемся окне выделив вариант из предложенного списка и нажав кнопку «Применить»можно сменить имеющегося владельца каталога (на Администратора в данном случае). Но сделать его обратно владельцем будет нельзя. Вернуть права пользователю можно только косвенно: временно сделать данного пользователя администратором, и от его имени уже сделать пользователя владельцем, то есть изменить его права. Вспомним, что ранее (см. п. 4) при создании нашей группы Студенты мы разрешили её пользователю наравне с администратором овладевать файлами и другими объектами. Теперь зайдите в систему под именем своего пользователя и смените владельца на себя.

9.  Аудит

Правом управления Аудитом и ведения журналов безопасности обладает только Администратор.

Для того чтобы воспользоваться возможностью аудита, выполните следующие действия:

1. Войдите в систему под именем Администратора.

2. Запустите Проводник.

3. Найдите созданные каталоги с вашими именами.

4. Щелкните правой кнопкой мыши на значке собственногокаталога. Во всплывающем меню выберете «Свойства», в появившемся окне закладку «Безопасность».

5. Нажмите кнопку «Дополнительно»

6.  На появившейся форме выберите вкладку «Аудит». Появится окно «Аудит». В данном окне необходимо выбрать список групп, для которых будет осуществляться аудит. Для целей данной работы нажать кнопку «Добавить « и в появившемся окне выбрать группу Студенты.

Рис. 141 Окно Аудита

7. Включить аудит всех событий, отметив все переключатели, отвечающие за аудит успехов и отказов (установить флаги в колонках Успех и Отказ на все операции - Чтение, Запись, Удаление и др.) из Аудита событий. По данной команде система будет следить: кто из пользователей группы Студенты читал данные из этогокаталога, писал в нее и т.п. Закройте форму нажатием кнопки OK.

8. Включить сам режим аудита, для чего в окне «Администрирование» выбрать «Локальная политика безопасности» и перейти на вкладку «Локальные политики». В появившемся списке выбрать «Политика Аудита». В результате появится окно управления аудитом. В окне управления аудитом открывая каждую политику аудита двойным щелчком, разрешить аудит успехов и отказов.

Рис. 142 Политика аудита

9. После этого последовательно входите в систему от имени всех членов бригады и делайте попытки производить в каждомкаталоге пользователя операции Чтения, Записи и Удаления файлов.

10. Теперь для просмотра отчёта об аудите зайдите в систему под именем Администратора и далее выполните: Пуск ® Администрирование ® Управление компьютером ® Просмотр событий. Перед вами появится список журналов, которые ведёт система. Выберите пункт Безопасность. Появится список событий, зафиксированный системой.

Порядок выполнения работы

1. Войти в систему под именем Администратор (см. п.1):

2. Под учетной записью Администратора в «Диспетчере пользователей« создать локальную группу Студенты (см. п.2).

Двойным щелчком на имени вновь созданной группы Students (в нижней части окна) посмотреть состав (список членов) группы, и если он не пуст, то удалить всех пользователей группы путем выделения имени пользователя и нажатия кнопки «Удалить».

3. Под учетной записью Администратора создать новых пользователей:

- каждый студент в бригаде должен создать своего пользователя;

- добавить всех созданных пользователей в группу Студенты (см. п.3).

Закрыть окно «Управление Компьютером», и войти в систему («Пуск» --> «Завершение работы» --> «Завершить сеанс Администратора») под именем созданного пользователя (не администратора). Убедиться, что обычный пользователь не имеет права запускать «Управление компьютером».

4. Войти в систему под учетной записью Администратора и добавить всем пользователям право «Овладение файлами и другими объектами» (см. п.4).

5. Под учетной записью Администратора с помощью Окна «Локальная политика безопасности» установить максимальный срок действия пароля 42 дня, длина пароля не менее 6 символов, отвечать требованиям сложности(см. п.5).

6. Под учетной записью студента (созданного) каждому студенту бригады создать каталог с текстовым файлом, себе предоставить полный доступ к файлу в каталоге, а для остальных студентов бригады и группы Студент назначить право доступа к своему файлу только Чтение(см. п.6).

Запретить права доступа (включая Администратора и пр.) кроме себя, группы Студенты и студентов из своей бригады из списка разрешений на свой текстовый файл.

Войдите в систему под именем администратора и попробуйте просмотреть содержимое текстового файла в каком-либо из созданных каталогов. Убедитесь, что в данный момент даже администратор не имеет доступа к этому файлу.

Попробуйте (будучи Администратором) изменить права доступа к файлу, выбрав из контекстного меню свойства файла и нажав на вкладке «Безопасность», «Дополнительно», вкладку «Разрешения».

7. Установить себя (будучи Администратором) новым владельцем своего текстового файла, сменив владельца каталога(см. п.8).

Задать (будучи Администратором, но уже и владельцем файла) права доступа так, чтобы Администратор имел полный доступ к Вашему текстовому файлу, и попробовать теперь изменить содержимое файла. Убедиться, что теперь это стало возможно.

8. Под учетной записью администратора выполните следующие действия для знакомства с принципами наследования:

-        С помощью проводника Windows создайте каталог «Каталог 1» на диске с файловой системой NTFS.

- Внутри «Каталог 1» создайте вторую папку с именем «Каталог 2».

- В «Каталог 2» создайте третью Каталог с именем «Каталог 3».

- Щелкните правой кнопкой мыши по каталогу «Каталог 1» и выберите пункт «Свойства».

- В диалоговом окне свойства каталога «Каталог 1» выберите вкладку «безопасность». Обратите внимание, что указанные разрешения унаследованы катологом от корневого каталога/тома. Нажмите кнопку «дополнительно» на вкладке безопасность и снимите флажок с «разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам, добавляя их к разрешениям, явно заданным в этом окне».

- Появится диалоговое окно «Безопасность». Нажмите кнопку «Копировать» для копирования ранее наследуемых разрешений от родительского объекта. Нажмите кнопку «Удалить», чтобы удалить все разрешения из каталога «Каталог 1». Если выбрать этот вариант, необходимо добавить пользовательские разрешения перед применением изменений, так как пользователи или группы, не будут иметь доступ к папке до добавления разрешений. Нажмите кнопку «Отмена», чтобы отменить операцию. В этом примере нажмите кнопку «Копировать».

- После применения отдельные разрешения являются настраиваемыми. Причиной этого является то, что разрешения были скопированы, а не унаследованы от родительского каталога. Нажмите кнопку «Применить» и кнопку «Ок».

- Щелкните правой кнопкой мыши по каталогу «Каталог 2» и выберите команду «Свойства». Щелкните на вкладку безопасность, обратите внимание, что флажки разрешений недоступны, поскольку эти разрешения унаследованы от каталога «Каталог 1». Нажмите кнопку «Добавить». В диалоговом окне «Выбор пользователя или группы» найдите группу «Прошедшие проверку» и нажмите кнопку «Ок». После еще раз нажмите кнопку «Ок». Снимите флажок «разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам, добавляя их к разрешениям, явно заданным в этом окне» как это было описано в пункте 5 и нажмите кнопку «Удалить». Нажмите кнопку «Применить» и кнопку «Ок».

- Щелкните правой кнопкой мыши по «Каталог 3» и выберите пункт «Свойства». Щелкните по вкладке «Безопасность», обратите внимание, что «Каталог 3» унаследовала разрешения от родительской папки «Каталог 2». Закройте диалоговое окно «Свойства» каталога «Каталог 3».

9. Войти в систему под именем пользователя группы Студенты и попытаться сменить владельца каталога.(см. п.7).

10. Провести аудит для группы Студенты (см. п.8). Для этого выполнить действия в следующем порядке:

- под учетной записью АдминистратораВключить аудит всех событий и Включить сам режим аудита;

- под учетной записью студента – члена группы Студенты попробовать прочитать содержимое файла своего текстового файла, изменить его, переименовать файл;

- под учётной записью Администратора просмотреть Журнал событий, для чего нажимать кнопку «Пуск», и в появившемся меню выбрать «Программы->Администрирование->Управление компьютером->Просмотр событий». В результате появится окно просмотра событий. Из меню «Журнал» выбрать пункт «Безопасность», в результате в нижней части окна просмотра событий отобразится журнал событий безопасности. Просмотреть отраженные в журнале события;

- под учетной записью студента – члена группы Студенты убедиться, что доступа к журналу событий простые пользователи (не Администраторы) не имеют.

Часть 2. Пароли

Теоретическая часть

Операционные системы Windows NT/2000/XP/2003 хранят пароли в зашифрованном виде, называемом хэшами паролей (hash (англ.) - смесь, мешанина). Пароли не могут быть получены непосредственно из хэшей. Восстановление паролей заключается в вычислении хэшей, по возможным паролям, и сравнении их с имеющимися хэшами паролей. Аудит паролей включает в себя проверку возможных путей получения информации об учетных записях пользователей, результатом восстановления паролей является их представление в явном виде с учетом регистра.

Получение хэшей паролей

Существует несколько путей получения хэшей паролей, зависящих от их местонахождения и имеющегося доступа. Хэши паролей могут быть получены следующими способами: из файла SAM или его резервной копии, непосредственно из реестра операционной системы локального или удаленного компьютера, из реестра или Active Directory локального или удаленного компьютера внедрением DLL, посредством перехвата аутентификационных пакетов в сети.