Администрирование в одноранговых сетях Windows (90

3111

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«ЛИПЕЦКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»

Кафедра автоматизированных систем управления

Домашнев П.А.

АДМИНИСТРИРОВАНИЕ В ОДНОРАНГОВЫХ СЕТЯХ WINDOWS

МЕТОДИЧЕСКИЕ УКАЗАНИЯ к лабораторным работам по курсу

«Администрирование в многопользовательских системах»

Липецк Липецкий государственный технический университет

2015

УДК 681.3.067 (07)

Д-66

Рецензент: кандидат технических наук, В.А. Алексеев

Домашнев, П. А.

Д66 Администрирование в одноранговых сетях Windows [Текст] : мето-

дические указания к лабораторным работам по курсу «Администрирование в многопользовательских системах» / П. А. Домашнев. – Ли-

пецк: Издательство Липецкого государственного технического университе-

та, 2015. – 30 с.

Предназначены для студентов направлений подготовки бакалавров «Ма-

тематическое обеспечение и администрирование информационных систем»,

«Системный анализ и управление» и специальности «Информационные систе-

мы (по отраслям)».

Приведена краткая теория, касающаяся вопросов управления пользовате-

лями и ресурсами в одноранговой сети Windows. Содержит задания к двум ла-

бораторным работам.

Табл. 1. Ил.:2. Библиогр.: 3 назв.

2

Теоретические сведения

Характеристика информационно-вычислительной сети типа «рабочая группа»

Рабочая группа - это структура, предназначенная для малых сетей, когда пользователи объединяются для того, чтобы иметь доступ к сетевым ресурсам,

таким, как общие папки и принтеры.

Рабочую группу отличают следующие особенности:

1.В сети типа «рабочая группа» все узлы равноправны и находятся на одном уровне. Узлы не имеют возможности эффективно сотрудничать и нет простого способа их единообразно администрировать.

2.Каждый пользователь должен иметь учетную запись на каждом из компьютеров, за которыми ему нужно работать.

3.Учетные записи хранятся на локальном компьютере в базе данных сис-

темы безопасности SAM (Security Account Manager).

4. Чтобы работать с ресурсами удаленного компьютера пользователь должен иметь на нем учетную запись с тем же регистрационным именем и па-

ролем, что и на локальном компьютере. В противном случае при обращении к сетевым ресурсам ему придется вводить имя пользователя и пароль.

5.Если пользователь захочет сменить пароль, он должен это сделать на всех узлах, где у него имеется учетная запись.

6.Любые настройки безопасности действительны только для локального компьютера.

Элементы системы безопасности

Пользователи

Для работы пользователя в среде Windows для него должна быть создана учетная запись. Учетная запись нужна для входа в систему и для доступа к ре-

сурсам системы или сети. Учетная запись характеризуется, по крайней мере,

3

именем пользователя (логином) и паролем, которые используются при аутен-

тификации пользователя.

Учетная запись – это окружение, в котором выполняется большая часть кода ОС, т.к. все программы в пользовательском режиме выполняются в кон-

тексте учетной записи пользователя в соответствии с привилегиями данного пользователя.

Встроенные учетные записи

В ОС Windows существуют встроенные учетные записи с уже заданным набором привилегий:

1. System или Local System – данная учетная запись имеет максимальные возможности на локальной машине, в контексте этой учетной записи выполня-

ются службы, а также приложения и программы, запускаемые при старте сис-

темы (если проведена соответствующая настройка). Обычно не отображается с помощью стандартных средств пользовательского интерфейса.

2. Administrator – учетная запись администратора локального компьюте-

ра. Эта учетная запись также имеет максимальные полномочия. Она может быть переименована, но не может быть удалена.

3.Guest – учетная запись для анонимного доступа к системе по сети или локального входа в систему с минимальными полномочиями. По умолчанию эта учетная запись отключена.

4.SUPPORT_388945a0 – учетная запись для удаленного администриро-

вания посредством удаленного помощника. Появилась в Windows XP/2003.

5. IUSR_имя_хоста – используется для анонимного доступа к WEB сер-

веру IIS. Член группы Guests.

Служебные учетные записи

Служебная учетная запись – это запись, от имени которой запускается служба. Как правило, служебные учетные записи не используются для локаль-

ного входа в систему.

4

Аутентификация служебных учетных записей должна производиться ав-

томатически, поэтому пароли для входа в систему должны предоставляться без участия человека. Пароли для служебных учетных записей (за исключением

SYSTEM) хранятся в незашифрованном виде в разделе реестра LSA Secrets, ко-

торый доступен только для учетной записи SYSTEM.

Группы

Группы создаются для удобства администрирования. Это логические контейнеры для объединения учетных записей. Группы используются для на-

бора определенных прав сразу для нескольких учетных записей. Любая учетная запись, добавленная в группу, получает привилегии этой группы. В ОС Windows имеются встроенные группы с заранее определенными правами и приви-

легиями:

1.Administrators – группа, включающая всех администраторов данного компьютера. По умолчанию в эту группу включена учетная запись

Administrator.

2.Guests – группа, включающая всех анонимных пользователей, рабо-

тающих на данном компьютере. По умолчанию в нее включена един-

ственная запись Guest.

3.Users – все пользователи локальной системы.

4.Network Service – скрытая группа с ограниченным набором привиле-

гий, предназначенная для служебных учетных записей, которым тре-

буется сетевой доступ к системе (взамен SYSTEM). Появилась в Windows XP/2003.

5.Local Service - скрытая группа с ограниченным набором привилегий,

предназначенная для служебных учетных записей, которым не нужен сетевой доступ к системе (взамен SYSTEM). Появилась в Windows XP/2003.

5

Специальные группы

В ОС Windows имеются специальные группы (well-known group) для объ-

единения учетных записей, которые транзитивно прошли через некоторые со-

стояния или определяются местом входа. Эти группы можно использовать для точной настройки доступа к ресурсам. Специальные группы входят в домен NT AUTHORITY. Полное имя группы выглядит как NT AUTHORITY/имя группы:

1.Anonymous Logon – специальная скрытая группа, в которую входят все пользователи, вошедшие в систему анонимно (без ввода имени пользователя и пароля).

2.Authenticated Users - специальная скрытая группа, в которую входят все прошедшие аутентификацию пользователи.

4.Everyone – включает всех пользователей работающих в сети в данный момент. Данная группа содержит всех пользователей из групп Anonymous Logon и Authenticated Users.

3.INTERACTIVE – включает в себя всех пользователей, вошедших в сис-

тему с физической консоли или через службу терминалов.

5. Network – в эту группу входят пользователи, которые используют в на-

стоящий момент для доступа сетевое соединение.

6. Service – включает всех участников системы безопасности, аутентифи-

цированных в системе как службы.

Учетные записи компьютеров

Учетные записи компьютеров имеются только в сети на основе домена.

Эти записи создаются автоматически контроллером домена при добавлении системы Windows в домен. Запись формируется как имя_компьютера$. Пароли учетных записей компьютеров автоматически генерируются и управляются контроллерами доменов. По умолчанию смена паролей для учетных записей компьютеров осуществляется каждые 30 дней. Хранение этих паролей и доступ к ним осуществляется так же, как и к паролям учетных записей пользователей.

6

Учетная запись компьютера используется для аутентификации компью-

тера в домене и организации защищенного канала обмена информацией между компьютером и контроллером домена.

Идентификаторы защиты (SID)

Внутри систем семейства Windows каждый элемент системы безопасно-

сти представлен глобально уникальным 48-разрядным числом, которое называ-

ется идентификатором системы защиты (SID).Такой подход позволяет разли-

чать, например, локальную запись «администратор» от записи «администратор» на другой машине.

Идентификатор состоит из нескольких частей:

S-1-5-21-1507001333-1204550764-1011284298-500

1.Первое число является номером редакции (1).

2.Второе – значение полномочий идентификатора (для Windows 2003

всегда 5).

3. Далее следуют четыре значения подполномочий (21, 1507001333, 1204550764, 1011284298), которые являются уникальными для отдельной сис-

темы или домена.

4. Последним указывается относительный идентификатор RID (500).

Значение RID является постоянным для всех компьютеров и доменов.

Например, запись RID = 500 соответствует учетной записи «Administrator», а

RID = 501 – «Guest». Для учетных записей RID начинается со значения

1001 и т.д. Переименование учетной записи никак не влияет на назначенный ей

SID.

Аутентификация и авторизация

Процесс аутентификации заключается в проверке подлинности участника безопасности. Различают аутентификацию при локальном доступе к системе,

при удаленном доступе и при доступе по сети.

7

Локальная аутентификация

В случае локальной аутентификации требуется ввести имя пользователя и пароль при входе в систему. Программа защиты входа в систему обрабатывает введенные данные с помощью компонент winlogon и lsass. При этом проверяет-

ся наличие указанного пользователя в базе данных безопасности локальной системы и совпадение хеша введенного пользователем пароля с хешем пароля,

хранящимся в базе данных безопасности.

Аутентификация при удаленном доступе

При удаленном доступе используются специализированные протоколы аутентификации для удаленного доступа.

Протокол PAP (Password Authentication Protocol) использует пароли, пе-

редаваемые открытым текстом, и является самым простым протоколом провер-

ки подлинности пользователей. Обычно соединение на его основе устанавлива-

ется, если клиент удаленного доступа и сервер удаленного доступа не могут до-

говориться о более безопасной форме проверки подлинности. Из-за передачи пароля открытым текстом возможен его перехват в ходе процесса аутентифи-

кации.

Протокол CHAP (Challenge Handshake Authentication Protocol) представ-

ляет собой механизм проверки подлинности типа «запрос-ответ», использую-

щий схему хэширования MD-5 для необратимого преобразования пароля в уни-

кальную последовательность символов. При использовании CHAP сервер уда-

ленного доступа отправляет клиенту строку запроса. На основе этой строки и пароля пользователя клиент вычисляет хеш-код MD5 и передаёт его серверу.

Хеш-функция является алгоритмом одностороннего (необратимого) шифрова-

ния (преобразования), поскольку значение хеш-функции для блока данных вы-

числить легко, а определить исходный блок по хеш-коду с математической точ-

ки зрения невозможно за приемлемое время. Сервер, которому доступен пароль пользователя, выполняет те же самые вычисления и сравнивает результат с хеш-кодом, полученным от клиента. В случае совпадения учётные данные кли-

8

ента удалённого доступа считаются подлинными. Наиболее важной особенно-

стью алгоритма CHAP-аутентификации является то, что пароль никогда не пе-

ресылается по каналу.

Недостатком протокола является отсутствие механизма взаимной аутен-

тификации всех участников соединения. Протокол CHAP является стандартом

Internet.

Протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) представляет собой реализацию протокола CHAP, предложенную компани-

ей Microsoft. В отличие от CHAP протокол MS-CHAP генерирует запрос и от-

вет с помощью алгоритма хеширования MD4 и алгоритма шифрования DES;

предусмотрены также механизмы возврата сообщений об ошибках подключе-

ния и возможности изменения пароля пользователя.

Процедура аутентификации с использованием MS-CHAP имеет следую-

щий вид:

1.Клиент выдает запрос на аутентификацию.

2.Сервер возвращает случайную восьмибайтовую последовательность.

3.Клиент на основе пароля пользователя вычисляет хэш-функцию Lan Manager или хэш-функцию Windows NT, получая 16 байтовый хэш;

добавляет пять нулей для создания 21-байтовой строки и делит строку на три семибайтовых ключа.

4.Каждым из трех ключей зашифровывается отклик сервера и получает-

ся три 8-байтовых строки. Три 8-байтовых строки объединяются в од-

ну 24-байтовую, которая передается серверу.

5.Сервер ищет значение хэш-функции в своей базе данных, шифрует запрос с помощью хэш-функции и сравнивает его с полученными шифрованными значениями. Если они совпадают, аутентификация за-

канчивается.

Сервер может выполнять сравнение по хэш-функции Windows NT или по хэш-функции Lan Manager; результаты должны совпадать. Хэш,

используемый сервером, зависит от конкретного флага в пакете. Если

9