Политики учетных записей

1 Цель работы: исследование политики учетных записей

2 Ключевые положения

Настройки безопасности авторизации пользователей.

Существует три типа политик для управления учетными записями пользователей:

- Политики паролей;

- Политики блокировки учетных записей;

- Политики «Kerberos».

Настройка политик паролей.

Политики паролей контролируют безопасность паролей и они включают: - требования неповторимости паролей; - Максимальный срок действия паролей; - Минимальный срок действия паролей; - Минимальная длина пароля; - Пароль должен отвечать требованиям сложности; - Хранить пароли всех пользователей в домене, используя обратимое шифрование.

Настройка политик блокировки учетных записей пользователей.

Политики блокировки учетных записей пользователей контролируют, как и когда блокируются системой домены или локальные учетные записи, а именно: - пороговое значение блокировки;

- Блокировка учетной записи пользователя и продолжительность блокировки; - Сброс счетчика блокировки.

Настройка политик Kerberos.

Kerberos является основным механизмом проверки подлинности, который используется в домене Active Directory. Механизм Kerberos использует билеты службы и билеты пользователя для идентификации пользователей и сетевых служб. Билеты службы используются служебными процессами Windows, а билеты пользователя пользовательскими действиями. Билеты содержат зашифрованные данные, подтверждающие действительность пользователя или службы.

Можно контролировать продолжительность билета, его обновления и применения, используя следующие политики:

- Принудительные ограничения входа пользователей;

- Максимальный срок жизни билета службы;

- Максимальный срок жизни билета пользователя;

- Максимальный срок жизни для возобновления билета пользователя;

- Максимальную погрешность синхронизации часов компьютера.

Настройки безопасности доступа пользователей и групп к файлам.

Для управления доступом пользователей к папкам и файлам используется детализированная система разрешений. Для файлов и папок существует не менее 14 разрешений NTFS, которые могут быть включены или блокированы, и проверены. Эти разрешения можно назначать файлам, директориям, пользователям, группам. Кроме того, можно назначать порядок наследования разрешений для файлов, директорий, пользователей, групп.

Не входит в непосредственное соприкосновение с каким-либо объектом Windows, весь доступ к объектам осуществляется через программы или процессы. Программа, обращается к ресурсам от имени пользователя, выполняет процедуру, называется имперсонализациею (impersonation). Программа, обращается к удаленному ресурсу, выполняет процедуру, называется делегированием (delegation).

После регистрации пользователя его системный идентификатор (System Identifier - SID) и идентификатор (Group Identifier - GID) группы обрабатываются процессом lsass.exe, который генерирует маркер безопасного доступа пользователя. В маркер Доступ вводится и другая информация, в том числе о назначенных пользователю права, разрешения, идентификатор сеанса пользователя, маску разрешений с детальным описанием типа запрошенного доступа. Права, предназначенные пользователю, можно увидеть с помощью команды:

WHOAMI / all

Если программа обращается от имени пользователя к защищенному ресурсу, то монитор защиты (security reference monitor) Windows запрашивает у программы маркер безопасного доступа пользователя. Затем монитор защиты анализирует маркер, чтобы определить эффективные разрешения пользователя, и позволяет или запрещает выполнение запрошенной пользователем операции.

Каждый из защищенных объектов Windows, в том числе файлы, директории, общие ресурсы, принтеры, разделы реестра, поддерживают разрешение безопасности. Любую директорию Windows можно сделать общедоступной, чтобы позволить удаленный доступ. Разрешение общедоступности (Share) можно назначать любому объекту директории (folder) и принтеров (printer). Разрешения применяются, только если обращения к объекту происходит через сетевой ресурс. К разрешений директории (Folder Share) относится полное разрешение (Full Control), разрешение на изменение (Change), разрешение на просмотр (Read).

Если в Windows используется файловая система NTFS, а не FAT, то все файлы, директории, разделы реестра и многие другие объекты имеют разрешение NTFS. Разрешение NTFS применяется как при локальном, так и при удаленном доступе к объекту. Для просмотра и изменения разрешений NTFS файла или директории, используется вкладка «Свойства» (Properties) пункта «Безопасности» (Security).

Настройки безопасности прав доступа пользователей и групп к операционной системе Windows.

Локальная политика безопасности применяется с помощью расширения параметров безопасности для групповой политики. Локальная политика безопасности включает в себя две области: политики учетных записей и локальных политиков. Политика учетных записей содержит информацию о политике паролей и политику блокировки учетных записей. Область локальной политики содержит информацию о политике аудита, назначение прав пользователей и параметры безопасности.

Общие сведения

Применение «Политики учетных записей» распространено в предприятиях с доменной средой. Для обеспечения безопасности ваших компьютеров, применение политик этой группы на компьютерах, не входящих в доменную среду (например, использование политик на вашем домашнем компьютере) поможет вам существенно повысить безопасности компьютера.

Без сомнения, корпоративные учетные записи представляют огромный интерес для хакеров, которых может заинтересовать хищение корпоративной информации, а также получение доступа к компьютерам вашего предприятия. Поэтому, одним из решений, позволяющих существенно обезопасить инфраструктуру предприятия, является использование безопасных сложных паролей для снижения возможности проникновения злоумышленниками. Рекомендуется заставить пользователей использовать сложные пароли, включая буквы разных регистров, цифры, а также специальные символы для паролей к своим учетным записям и ни в коем случае не оставлять свои пароли у всех на виду, не записывать их на бумагу и не размещать на своем рабочем месте, рядом с компьютером, а тем более – не закреплять их на своих мониторах. Также пользователи обязаны менять свои пароли по истечению срока, который вы установите. Например, указав срок действия пароля в 30 дней, по его истечению перед входом пользователя в свою учетную запись, отобразится диалог с требованием изменения текущего пароля.

Политики, предназначенные для управления учётными записями, в редакторе управления групповыми политиками находятся в узеле Конфигурация компьютера\Параметры безопасности\Политики учетных записей. Рассмотрим подробно каждую политику безопасности, которая применяется для управления паролями и блокировкой учетных записей пользователей.

1 / 61 2 3 4 5 6 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
10.02.2016310.27 Кб22Лабораторная работа 2,1.doc
#
01.04.2025598.02 Кб0Лабораторная работа CRM_new08.doc
#
27.11.2019202.75 Кб5Лабораторная работа укр.алф..doc
#
01.07.20251.59 Mб0Лабораторная работа № 10.doc
#
01.07.2025534.02 Кб0Лабораторная работа № 4.doc
#
01.07.20251.05 Mб0Лабораторная работа № 5.doc
#
01.07.2025410.11 Кб0Лабораторная работа № 6.doc
#
01.07.2025449.54 Кб0Лабораторная работа № 7.doc
#
01.07.20251.31 Mб0Лабораторная работа № 9.doc
#
18.11.20191.86 Mб23ЛАБОРАТОРНАЯ РАБОТА №1__рус.doc
#
01.03.2025715.78 Кб1Лабораторная работа №5 ТКС-12б (преобразование...doc