- •1.Встроенные локальные учетные записи и группы.
- •2.Создание локальной учетной записи.
- •3.Локальные политики безопасности.
- •4.Состав учетных записей и групп домена.
- •5.Создание пользователей, формирование групп.
- •6.Управление доступом к файлам и каталогам ntfs.
- •7.Действия над созданными объектами.
- •8.Свойства наследования.
- •9.Владение объектом.
- •10.Сетевой доступ к файловым ресурсам.
2.Создание локальной учетной записи.
Мы вошли в систему в качестве администратора и, используя консоль «Управление компьютером», создали новую учетную запись пользователя, указали имя пользователя, пароль.
Далее выполнили вход в систему, используя созданную учетную запись.
Данная учетная запись была включена в группу «Пользователи».
При первой регистрации пользователя в системе создается его профиль. Он представляет собой структуру из подкаталогов, в которых хранится характерная информация для пользователя.
Рассмотрим каталоги профиля пользователя(располагается в Documents and Settings\%username%. Кроме того, можно использовать переменную окружения %userprofile%).
Элемент профиля |
Описание |
Application Data |
Различные данные, сохраняемые приложениями. Приложения, совместимые с Windows должны сохранять настройки пользователя в системном реестре или в этой папке. |
Cookies |
Файлы cookies, сохраняемые браузером Microsoft Internet Explorer. |
Desktop |
Содержимое рабочего стола. |
Favorites |
Папка «Избранное» Microsoft Internet Explorer. |
Local Settings |
Данные, хранимые только на локальном компьютере. При использовании перемещаемых профилей, содержимое этой папки не копируется на сервер. |
Local Settings\ Application Data |
Данные, сохраняемые приложениями, которые специфичны для данного компьютера и не должны копироваться в перемещаемый профиль. |
Local Settings\History |
История посещения сайтов Microsoft Internet Explorer. |
Local Settings\Temp |
Папка для хранения временных файлов, создаваемых приложениями и операционной системой во время работы. |
Local Settings\Temporary Internet Files |
Папка для кэширования файлов Microsoft Internet Explorer. |
My Documents |
Документы. |
NetHood |
Ярлыки для элементов сетевого окружения. |
PrintHood |
Ярлыки для элементов сетевого окружения. |
Start Menu |
Структура подменю «Программы» меню «Пуск» пользователя. |
Templates |
Шаблоны файлов, создаваемых с помощью меню «Создать файл». |
ntuser.dat |
Куст системного реестра HKEY_CURRENT_USER пользователя. |
ntuser.dat.log |
Журнал транзакций куста системного реестра пользователя. |
ntuser.ini |
Дополнительные параметры профиля пользователя. Например, список папок профиля, не копируемых при использовании перемещаемого профиля. |
3.Локальные политики безопасности.
Оснастка «Локальная политика безопасности» используется для изменения политики учетных записей и локальной политики на локальном компьютере.
При помощи оснастки «Локальная политика безопасности» можно определять:
кто имеет доступ к компьютеру;
какие ресурсы пользователи могут использовать на вашем компьютере;
включение и отключение записи действий пользователя или группы в журнале событий.
Если локальный компьютер подсоединен к домену, политика безопасности определяется политикой домена, членом которого является компьютер.
При изменении параметров безопасности на локальном компьютере с помощью локальной политики безопасности изменения вносятся непосредственно на локальном компьютере. Поэтому новые параметры сразу вступают в силу, но могут иметь временный характер. Значения параметров будут использоваться на локальном компьютере до тех пор, пока не обновлены параметры безопасности групповой политики.
Политики паролей используются для учетных записей доменов или локальных компьютеров. Они определяют параметры паролей, такие как соответствие, обязательным условиям и срок действия:
Требовать неповторимости паролей
Максимальный срок действия пароля
Минимальный срок действия пароля
Минимальная длина пароля
Пароль должен отвечать требованиям сложности
Хранение паролей с использованием обратимого шифрования
Параметры аудита, выбранные для категорий событий, определяют политику аудита. На рядовых серверах и рабочих станциях, присоединенных к домену, параметры аудита для категорий событий не определены по умолчанию. Для проведения аудита можно выбрать следующие категории событий:
Аудит событий входа в систему
Аудит управления учетными записями
Аудит доступа к службе каталогов
Аудит входа в систему
Аудит доступа к объектам
Аудит изменения политики
Аудит использования привилегий
Аудит отслеживания процессов
Аудит системных событий
Назначение прав пользователя:
Доступ к компьютеру из сети
Работа в режиме операционной системы
Добавление рабочих станций в домен
Настройка квот памяти для процесса
Разрешение локального входа в систему
Разрешение входа в систему через службы терминалов
Архивирование файлов и каталогов
Обход перекрестной проверки
Изменение системного времени
Создание файла подкачки
Cоздание маркерного объекта
Создание общих объектов
Создание постоянных объектов совместного использования
Отладка программ
Отказ в доступе к компьютеру из сети
Запрещение входа в качестве пакетного задания
Запрещение входа в качестве службы
Запрещение локального входа в систему
Запрещение входа в систему через службы терминалов
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании
Принудительное удаленное завершение работы
Создание журналов безопасности
Имитировать клиента после проверки подлинности
Увеличение приоритета диспетчеризации
Загрузка и выгрузка драйверов устройств
Закрепление страниц в памяти
Вход в качестве пакетного задания
Вход в качестве службы
Управление аудитом и журналом безопасности
Изменение параметров среды оборудования
Выполнение задач по обслуживанию томов
Профилирование одного процесса
Профилирование загруженности системы
Отключение компьютера от стыковочного узла
Замена маркера уровня процесса
Восстановление файлов и каталогов
Завершение работы системы
Синхронизация данных службы каталогов
Смена владельца файлов или иных объектов
Параметры безопасности:
Учетные записи: состояние учетной записи «Администратор»
Учетные записи: состояние учетной записи «Гость»
Учетные записи: ограничить использование пустых паролей только для консольного входа
Учетные записи: переименование учетной записи администратора
Учетные записи: переименование учетной записи гостя
Аудит: аудит доступа глобальных системных объектов
Аудит: аудит прав на архивацию и восстановление
Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности
Устройства: разрешать отстыковку без входа в систему
Устройства: разрешено форматировать и извлекать съемные носители
Устройства: запретить пользователям установку драйверов принтера
Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям
Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям
Устройства: поведение при установке неподписанного драйвера
В качестве эксперимента мы попробовали изменение локальной политики безопасности применительно к новому созданному ранее пользователю.
Мы включили для пользователя аудио доступа к объектам в случаях успеха или неудачи.
Кроме того, мы разрешили пользователю выполнять завершение работы системы.
Второй момент мы проверили, завершив работу системы от имени нашего пользователя.
Первый момент мы проверили, совершив попытку несанкционированного доступа к объекту(каталогу) и просмотрев затем журнал событий безопасности с записями о наших действиях.