Администрирование в одноранговых сетях Windows (90
..pdf3111
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«ЛИПЕЦКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»
Кафедра автоматизированных систем управления
Домашнев П.А.
АДМИНИСТРИРОВАНИЕ В ОДНОРАНГОВЫХ СЕТЯХ WINDOWS
МЕТОДИЧЕСКИЕ УКАЗАНИЯ к лабораторным работам по курсу
«Администрирование в многопользовательских системах»
Липецк Липецкий государственный технический университет
2015
УДК 681.3.067 (07)
Д-66
Рецензент: кандидат технических наук, В.А. Алексеев
Домашнев, П. А.
Д66 Администрирование в одноранговых сетях Windows [Текст] : мето-
дические указания к лабораторным работам по курсу «Администрирование в многопользовательских системах» / П. А. Домашнев. – Ли-
пецк: Издательство Липецкого государственного технического университе-
та, 2015. – 30 с.
Предназначены для студентов направлений подготовки бакалавров «Ма-
тематическое обеспечение и администрирование информационных систем»,
«Системный анализ и управление» и специальности «Информационные систе-
мы (по отраслям)».
Приведена краткая теория, касающаяся вопросов управления пользовате-
лями и ресурсами в одноранговой сети Windows. Содержит задания к двум ла-
бораторным работам.
Табл. 1. Ил.:2. Библиогр.: 3 назв.
2
Теоретические сведения
Характеристика информационно-вычислительной сети типа «рабочая группа»
Рабочая группа - это структура, предназначенная для малых сетей, когда пользователи объединяются для того, чтобы иметь доступ к сетевым ресурсам,
таким, как общие папки и принтеры.
Рабочую группу отличают следующие особенности:
1.В сети типа «рабочая группа» все узлы равноправны и находятся на одном уровне. Узлы не имеют возможности эффективно сотрудничать и нет простого способа их единообразно администрировать.
2.Каждый пользователь должен иметь учетную запись на каждом из компьютеров, за которыми ему нужно работать.
3.Учетные записи хранятся на локальном компьютере в базе данных сис-
темы безопасности SAM (Security Account Manager).
4. Чтобы работать с ресурсами удаленного компьютера пользователь должен иметь на нем учетную запись с тем же регистрационным именем и па-
ролем, что и на локальном компьютере. В противном случае при обращении к сетевым ресурсам ему придется вводить имя пользователя и пароль.
5.Если пользователь захочет сменить пароль, он должен это сделать на всех узлах, где у него имеется учетная запись.
6.Любые настройки безопасности действительны только для локального компьютера.
Элементы системы безопасности
Пользователи
Для работы пользователя в среде Windows для него должна быть создана учетная запись. Учетная запись нужна для входа в систему и для доступа к ре-
сурсам системы или сети. Учетная запись характеризуется, по крайней мере,
3
именем пользователя (логином) и паролем, которые используются при аутен-
тификации пользователя.
Учетная запись – это окружение, в котором выполняется большая часть кода ОС, т.к. все программы в пользовательском режиме выполняются в кон-
тексте учетной записи пользователя в соответствии с привилегиями данного пользователя.
Встроенные учетные записи
В ОС Windows существуют встроенные учетные записи с уже заданным набором привилегий:
1. System или Local System – данная учетная запись имеет максимальные возможности на локальной машине, в контексте этой учетной записи выполня-
ются службы, а также приложения и программы, запускаемые при старте сис-
темы (если проведена соответствующая настройка). Обычно не отображается с помощью стандартных средств пользовательского интерфейса.
2. Administrator – учетная запись администратора локального компьюте-
ра. Эта учетная запись также имеет максимальные полномочия. Она может быть переименована, но не может быть удалена.
3.Guest – учетная запись для анонимного доступа к системе по сети или локального входа в систему с минимальными полномочиями. По умолчанию эта учетная запись отключена.
4.SUPPORT_388945a0 – учетная запись для удаленного администриро-
вания посредством удаленного помощника. Появилась в Windows XP/2003.
5. IUSR_имя_хоста – используется для анонимного доступа к WEB сер-
веру IIS. Член группы Guests.
Служебные учетные записи
Служебная учетная запись – это запись, от имени которой запускается служба. Как правило, служебные учетные записи не используются для локаль-
ного входа в систему.
4
Аутентификация служебных учетных записей должна производиться ав-
томатически, поэтому пароли для входа в систему должны предоставляться без участия человека. Пароли для служебных учетных записей (за исключением
SYSTEM) хранятся в незашифрованном виде в разделе реестра LSA Secrets, ко-
торый доступен только для учетной записи SYSTEM.
Группы
Группы создаются для удобства администрирования. Это логические контейнеры для объединения учетных записей. Группы используются для на-
бора определенных прав сразу для нескольких учетных записей. Любая учетная запись, добавленная в группу, получает привилегии этой группы. В ОС Windows имеются встроенные группы с заранее определенными правами и приви-
легиями:
1.Administrators – группа, включающая всех администраторов данного компьютера. По умолчанию в эту группу включена учетная запись
Administrator.
2.Guests – группа, включающая всех анонимных пользователей, рабо-
тающих на данном компьютере. По умолчанию в нее включена един-
ственная запись Guest.
3.Users – все пользователи локальной системы.
4.Network Service – скрытая группа с ограниченным набором привиле-
гий, предназначенная для служебных учетных записей, которым тре-
буется сетевой доступ к системе (взамен SYSTEM). Появилась в Windows XP/2003.
5.Local Service - скрытая группа с ограниченным набором привилегий,
предназначенная для служебных учетных записей, которым не нужен сетевой доступ к системе (взамен SYSTEM). Появилась в Windows XP/2003.
5
Специальные группы
В ОС Windows имеются специальные группы (well-known group) для объ-
единения учетных записей, которые транзитивно прошли через некоторые со-
стояния или определяются местом входа. Эти группы можно использовать для точной настройки доступа к ресурсам. Специальные группы входят в домен NT AUTHORITY. Полное имя группы выглядит как NT AUTHORITY/имя группы:
1.Anonymous Logon – специальная скрытая группа, в которую входят все пользователи, вошедшие в систему анонимно (без ввода имени пользователя и пароля).
2.Authenticated Users - специальная скрытая группа, в которую входят все прошедшие аутентификацию пользователи.
4.Everyone – включает всех пользователей работающих в сети в данный момент. Данная группа содержит всех пользователей из групп Anonymous Logon и Authenticated Users.
3.INTERACTIVE – включает в себя всех пользователей, вошедших в сис-
тему с физической консоли или через службу терминалов.
5. Network – в эту группу входят пользователи, которые используют в на-
стоящий момент для доступа сетевое соединение.
6. Service – включает всех участников системы безопасности, аутентифи-
цированных в системе как службы.
Учетные записи компьютеров
Учетные записи компьютеров имеются только в сети на основе домена.
Эти записи создаются автоматически контроллером домена при добавлении системы Windows в домен. Запись формируется как имя_компьютера$. Пароли учетных записей компьютеров автоматически генерируются и управляются контроллерами доменов. По умолчанию смена паролей для учетных записей компьютеров осуществляется каждые 30 дней. Хранение этих паролей и доступ к ним осуществляется так же, как и к паролям учетных записей пользователей.
6
Учетная запись компьютера используется для аутентификации компью-
тера в домене и организации защищенного канала обмена информацией между компьютером и контроллером домена.
Идентификаторы защиты (SID)
Внутри систем семейства Windows каждый элемент системы безопасно-
сти представлен глобально уникальным 48-разрядным числом, которое называ-
ется идентификатором системы защиты (SID).Такой подход позволяет разли-
чать, например, локальную запись «администратор» от записи «администратор» на другой машине.
Идентификатор состоит из нескольких частей:
S-1-5-21-1507001333-1204550764-1011284298-500
1.Первое число является номером редакции (1).
2.Второе – значение полномочий идентификатора (для Windows 2003
всегда 5).
3. Далее следуют четыре значения подполномочий (21, 1507001333, 1204550764, 1011284298), которые являются уникальными для отдельной сис-
темы или домена.
4. Последним указывается относительный идентификатор RID (500).
Значение RID является постоянным для всех компьютеров и доменов.
Например, запись RID = 500 соответствует учетной записи «Administrator», а
RID = 501 – «Guest». Для учетных записей RID начинается со значения
1001 и т.д. Переименование учетной записи никак не влияет на назначенный ей
SID.
Аутентификация и авторизация
Процесс аутентификации заключается в проверке подлинности участника безопасности. Различают аутентификацию при локальном доступе к системе,
при удаленном доступе и при доступе по сети.
7
Локальная аутентификация
В случае локальной аутентификации требуется ввести имя пользователя и пароль при входе в систему. Программа защиты входа в систему обрабатывает введенные данные с помощью компонент winlogon и lsass. При этом проверяет-
ся наличие указанного пользователя в базе данных безопасности локальной системы и совпадение хеша введенного пользователем пароля с хешем пароля,
хранящимся в базе данных безопасности.
Аутентификация при удаленном доступе
При удаленном доступе используются специализированные протоколы аутентификации для удаленного доступа.
Протокол PAP (Password Authentication Protocol) использует пароли, пе-
редаваемые открытым текстом, и является самым простым протоколом провер-
ки подлинности пользователей. Обычно соединение на его основе устанавлива-
ется, если клиент удаленного доступа и сервер удаленного доступа не могут до-
говориться о более безопасной форме проверки подлинности. Из-за передачи пароля открытым текстом возможен его перехват в ходе процесса аутентифи-
кации.
Протокол CHAP (Challenge Handshake Authentication Protocol) представ-
ляет собой механизм проверки подлинности типа «запрос-ответ», использую-
щий схему хэширования MD-5 для необратимого преобразования пароля в уни-
кальную последовательность символов. При использовании CHAP сервер уда-
ленного доступа отправляет клиенту строку запроса. На основе этой строки и пароля пользователя клиент вычисляет хеш-код MD5 и передаёт его серверу.
Хеш-функция является алгоритмом одностороннего (необратимого) шифрова-
ния (преобразования), поскольку значение хеш-функции для блока данных вы-
числить легко, а определить исходный блок по хеш-коду с математической точ-
ки зрения невозможно за приемлемое время. Сервер, которому доступен пароль пользователя, выполняет те же самые вычисления и сравнивает результат с хеш-кодом, полученным от клиента. В случае совпадения учётные данные кли-
8
ента удалённого доступа считаются подлинными. Наиболее важной особенно-
стью алгоритма CHAP-аутентификации является то, что пароль никогда не пе-
ресылается по каналу.
Недостатком протокола является отсутствие механизма взаимной аутен-
тификации всех участников соединения. Протокол CHAP является стандартом
Internet.
Протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) представляет собой реализацию протокола CHAP, предложенную компани-
ей Microsoft. В отличие от CHAP протокол MS-CHAP генерирует запрос и от-
вет с помощью алгоритма хеширования MD4 и алгоритма шифрования DES;
предусмотрены также механизмы возврата сообщений об ошибках подключе-
ния и возможности изменения пароля пользователя.
Процедура аутентификации с использованием MS-CHAP имеет следую-
щий вид:
1.Клиент выдает запрос на аутентификацию.
2.Сервер возвращает случайную восьмибайтовую последовательность.
3.Клиент на основе пароля пользователя вычисляет хэш-функцию Lan Manager или хэш-функцию Windows NT, получая 16 байтовый хэш;
добавляет пять нулей для создания 21-байтовой строки и делит строку на три семибайтовых ключа.
4.Каждым из трех ключей зашифровывается отклик сервера и получает-
ся три 8-байтовых строки. Три 8-байтовых строки объединяются в од-
ну 24-байтовую, которая передается серверу.
5.Сервер ищет значение хэш-функции в своей базе данных, шифрует запрос с помощью хэш-функции и сравнивает его с полученными шифрованными значениями. Если они совпадают, аутентификация за-
канчивается.
Сервер может выполнять сравнение по хэш-функции Windows NT или по хэш-функции Lan Manager; результаты должны совпадать. Хэш,
используемый сервером, зависит от конкретного флага в пакете. Если
9
флаг установлен, то сервер выполняет тестирование с помощью хэш-
функции Windows NT; в противном случае тестирование выполняется с помощью хэш-функции Lan Manager.
Функция хэша Lan Manager вычисляется следующим образом:
1.Превращение пароля в 14-символьную строку путем либо отсечки бо-
лее длинных паролей, либо дополнения коротких паролей нулевыми элементами.
2.Замена всех символов нижнего регистра на символы верхнего регист-
ра. Цифры и специальные символы остаются без изменений.
3.Разбиение 14-байтовой строки на две семибайтовых половины.
4.Использование каждой половины строки в роли ключа DES, шифро-
вание фиксированной константы с помощью каждого ключа, получе-
ние двух 8-байтовых строк.
5.Слияние двух строк для создания одного 16-разрядного значения хэш-
функции.
Функция хэша Windows NT вычисляется следующим образом:
1.Преобразование пароля, длиной до 14 символов, с различением реги-
стров в Unicode.
2.Хэширование пароля с помощью MD4, и получение 16-символьного
значения хэш-функции.
Хэш Windows NT обладает преимуществом по сравнению с функцией хэша Lan Manager: различаются регистры, пароли могут быть длиннее 14 сим-
волов, хэширование пароля в целом вместо разбиения его на маленькие части,
хотя по-прежнему отсутствует индивидуальность. Таким образом, люди,
имеющие одинаковые пароли, всегда будут иметь одинаковые хэшированные пароли Windows NT.
Протокол MS-CHAPv2 является более эффективной версией MS-CHAP.
Предоставляет механизм взаимной аутентификации. Сервер удаленного досту-
па по окончании процедуры аутентификации клиента предоставляет ему ин-
формацию о собственных полномочиях. Соединение не считается установлен-
10