МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

Запорізький національний технічний університет

Методичні вказівки до лабораторних робіт з дисципліни

″КОМП’ЮТЕРНІ МЕРЕЖІ″

для студентів фаху 7.16103

«Системи захисту від несанкціонованого доступу»

за професійним спрямуванням 1601 «Інформаційна безпека»

усіх форм навчання

2012

Методичні вказівки до лабораторних робіт з дисципліни “Комп’ютерні мережі” для студентів фаху 7.16103 «Системи захисту від несанкціонованого доступу» за професійним спрямуванням 1601 «Інформаційна безпека» усіх форм навчання /Укл.: Б.Т.Солдатов, О.Г.Маркін, О.І.Вершина, О.В. Щекотихін. – Запоріжжя: ЗНТУ, 2004. – 62 с.

Укладачі: О.В. Щекотихін, доцент, к.т.н.

О.С. Гулін, асистент

Рецензент: Б.М. Бондарев, доцент, к.т.н.

Відповідальний

за випуск: О.В. Щекотихін, доцент, к.т.н.

О.С. Гулін, асистент

Затверджено на засіданні

кафедри Захист Інформації

Протокол №3 від **.**.2012 р.

ЗМІСТ

Лабораторна робота № 1. Функції та параметри

мережної утиліти NET…………………………………………4

Лабораторна робота № 2. Мережні утиліти PING,

TRACERT, IPCONFIG, ROUTE, ARP ……….……….……..5

Лабораторна робота № 3. Установка операційної

системи Windows XP……………….…………………………8

Лабораторна робота № 4. Робота з обліковими

записами локальних користувачів і групами ………...….15

Лабораторна робота № 5. Установка і конфігурування

мережних адаптерів ………………………………………….23

Лабораторна робота № 6. Установка і конфігурування

мережних протоколів ………………………………………..26

Лабораторна робота № 7. Установка і конфігурування

мережної операційної системи Windows Server ……...35

Лабораторна робота № 8. Адміністрування контролера

домена……………………………………………….….……..53

Література….....…………………………………………….……62

Лабораторна робота № 4 робота з обліковими записами локальних користувачів і групами

Мета роботи – ознайомитися з такими поняттями системи захисту Windows XP, як дозволи, права, локальні облікові записи користувачів, групи, а також навчитися працювати з інструментом Локальные пользователи и группы, що дозволяє системному адміністратору створювати і змінювати локальні облікові записи користувача.

Примітка. Усі дії у даному лабораторному завданні виконувати , завантаживши другий комплект операційної системи Windows 2000 Professional, для чого при завантаженні комп'ютера необхідно вибрати рядок Microsoft Windows 2000 Professional RUS-2.

4.1 Загальні відомості

Підхід системи Windows XP до ідеї захисту можна назвати розділовим. Це означає, що кожен ресурс системи (наприклад, принтер чи файловий сервер) має власника, що визначає за своїм розсудом, хто може мати доступ до ресурсів, а хто — не може. Звичайно, ресурс належить тому, хто його створив. Наприклад, при створенні дискового файлу його творець, звичайно, є і його власником. Однак системний адміністратор може розпоряджатися за своїм розсудом і тими ресурсами, до створення яких він не має відносин.

Щоб зберегти повний контроль над своїми особистими файлами, користувач повинен зберігати їх у томах NTFS.

Разрешения и права пользователей

Права пользователя

Перечень задач, которые пользователю разрешено выполнять в системе компьютера или домене. Существует два типа прав пользователей: привилегии и права на вход в систему. Примером привилегии может служить право на выключение системы. Примером права на вход в систему может служить право на удаленное подключение. Оба типа разрешений назначаются администраторами отдельным пользователям или группам пользователей как часть настроек безопасности компьютера.

Разрешение

Правило, связанное с объектом и используемое для управления доступом пользователей к этому объекту. Разрешения предоставляются и аннулируются владельцем объекта.

Власник ресурсу (чи адміністратор) дає дозволи на доступ до ресурсу через діалогове вікно властивостей ресурсу. Наприклад, якщо ви власник принтера чи власник повноважень адміністратора, ви можете заборонити доступ до принтера окремому користувачу, відвідавши діалогове вікно властивостей даного принтера.

Облікові записи користувача

Основою захисту в системі Windows XP є можливість привласнювати кожному користувачу унікальний ідентифікатор — обліковий запис користувача. Обліковий запис визначається при введенні імені і пароля користувача при завантаженні системи. Потім система контролює, обмежує й забороняє доступ до ресурсів системи на підставі дозволів і прав, привласнених даному обліковому запису власником ресурсів чи системним адміністратором.

Крім звичайних облікових записів користувача система забезпечує ще два спеціальні облікові записи, за якими закріплений визначений набір дозволів і прав: обліковий запис адміністратора та обліковий запис гостя.

Обліковий запис адміністратора дає права на «весь комп'ютер». З ним можна створювати інші облікові записи користувачів і керувати комп'ютером. Для даного запису доступно багато функцій і прав системи, що не доступні для простих облікових записів.

Порада. Щоб було не так просто скористатися обліковим записом адміністратора, його варто перейменувати. Інформація про перейменування облікового запису міститься в розділі “Перейменування, видалення й позбавлення доступу до облікового запису”.

Обліковий запис гостя по можливостям протилежний запису адміністратора. Він надає право нечастому чи випадковому користувачу ввійти в систему без пароля і використовувати можливості системи в дуже обмеженому обсязі. Рівень доступу для облікового запису гостя визначає адміністратор.

Групи користувачів

Групи дозволяють адміністратору створювати об'єднання користувачів, що мають однакові ступені доступу (під ступенями доступу маються на увазі й дозволи, і права). Наприклад, якщо хто-небудь із працівників бухгалтерії має потребу в доступі до папки Платежі, адміністратор може створити групу, назвати її так чи інакше і надати групі доступ до потрібної папки. Якщо після цього адміністратор додасть усі облікові записи працівників бухгалтерії у створену групу, усі вони автоматично одержать доступ до папки.

Користувач може належати до однієї групи, до декількох груп і не належати ні до яких груп зовсім.

Групи є зручним інструментом адміністратора. Вони спрощують роботу з користувачами, які потребують той самий набір доступів до ресурсів.

Дозволи і права можна накопичувати, тобто, якщо користувач належить до декількох груп, він дістає права й дозволи, надані всім групам.

Система Windows має кілька готових стандартних груп.

Кожна стандартна група має визначені ступені доступу, закріплені за нею за замовчуванням. Адміністратори можуть використовувати групи в готовому виді, а можуть робити необхідні зміни. Нижче наведені характеристики готових груп.

Администраторы. Ця група за замовчуванням включає обліковий запис адміністратора і володіє найбільшим з усіх груп контролем над системою. (Члени групи адміністраторів можуть надавати собі повноваження, не встановлені за замовчуванням.) Усі облікові записи даної групи автоматично одержують повноваження системних адміністраторів.

Хоча повноваження адміністраторів дуже великі, користувач все-таки може створити файл, до якого в адміністративної групи не буде доступу. Файлова система NTFS дозволяє забороняти доступ до файлів усім, у тому числі й адміністраторам. У цьому випадку адміністратор може одержати доступ до файлу, тільки привласнивши собі його авторство, а це спричиняє створення відповідного запису в панелі подій.

Опытные пользователи. Ця група включає тих, хто має потребу в багатьох, але не в усіх, ступенях доступу, що маються в групі адміністраторів. Досвідчені користувачі не мають права привласнювати авторство файлів, створювати архівні копії чи відновлювати файли, завантажувати й видаляти диски пристроїв чи керувати панелями безпеки. Однак, на відміну від звичайних користувачів, вони можуть створювати й видаляти файли, надані в загальне користування, створювати, керувати, видаляти й надавати в загальне користування локальні принтери й створювати локальних користувачів і групи.

Пользователи. Група користувачів є всеохватною групою. Вона надає базовий рівень доступу до системи. Її учасники не можуть надавати папки в загальне користування чи створювати локальні принтери (тільки в тому випадку, якщо вони є ще і членами групи адміністраторів чи досвідчених користувачів). За винятком облікових записів адміністраторів і гостей, всі облікові записи користувачів за замовчуванням входять у групу користувачів. Велика частина користувачів належить саме до цієї групи і ніякої іншої.

Примітка. Якщо комп'ютер із системою Windows 2000 є частиною домену, група користувачів включає всіх користувачів глобальної групи користувачів домену. Це означає, що той, хто попадає у вашу систему через мережу з іншого комп'ютера вашого домену, користується тими ж ступенями доступу, що і користувачі вашої системи.

Гости. Вбудований обліковий запис гостя є автоматичним членом групи гостей. Ті користувачі, що не часто використовують комп'ютер, також є кандидатами в групу гостей. Ступені доступу у тих, хто часто входить у систему (тобто звичайних учасників групи користувачів), набагато вище, ніж у групи гостей. Доступ у випадкових чи нечастих користувачів невеликий, що підвищує захист системи.

Операторы архива. Члени цієї групи можуть створювати резервні (архівні) копії й відновлювати папки й файли, навіть ті, до яких у них в інших випадках немає дозволу. Вони також мають доступ до системи Windows XP Backup.

Репликатор. Члени цієї групи можуть створювати копії файлів на доменах, робочих станціях і серверах.

Крім перерахованих, у системі Windows 2000 мається кілька спеціальних системних груп. Система може контролювати членів цих груп; адміністратори не можуть стежити за тим, хто входить у ці групи, а хто — ні. Ці групи не відображені в Локальные пользователи и группы, але з'являються в інших списках груп, наприклад, у тих, що можна побачити при запиті дозволу на користування папкою, яка надана в загальне користування, чи загальним принтером. Випадку використовувати всі з них швидше за все не представиться, однак дві можуть бути корисні:

- Все. Ця група включає всіх, хто використовує комп'ютер, локальних і віддалених користувачів.

- Прошедшие проверку. Підгрупа попередньої групи, що виключає гостей і тих користувачів, що використовують комп'ютер по мережі анонімно. За замовчуванням група ідентифікованих користувачів входить у групу користувачів.

Інші групи системи розділяють користувачів по тому, як вони приєднуються до системи: Interactive (Интерактивные), Network (Сеть) і Dialup (Удаленный доступ).

Облікові записи і групи домену

Усі розглянуті вище приклади користувачів і груп були локальними користувачами й групами. Локальний обліковий запис дозволяє попадати тільки на той комп'ютер, де мається локальний обліковий запис. Відповідно локальний обліковий запис дає доступ до ресурсів тільки даного комп'ютера. (Це не означає, що у вас немає можливості надавати в загальне користування ваші ресурси, навіть якщо ви не частина домену. Правда, для цього знадобиться створити локальні облікові записи для всіх користувачів, яким потрібні надані ресурси. Це створює неймовірну плутанину.)

Щоб уникнути можливих неприємностей, можна настроїти мережу як домен. Домен Windows XP — це мережа, у якої хоча б одна машина використовує Windows XP Server як контролер домену. Контролер домену — це комп'ютер, що зберігає базу даних захисту, що включає облікові записи й групи для домену. З обліковим записом домену можна потрапити на будь-який комп'ютер домену та одержати доступ до дозволених ресурсів мережі, такі облікові записи називаються глобальними.

Якщо ви є учасником домену, ви можете приєднуватися до груп домену: Администраторы домена, Гости домена та Пользователи домена, а також до груп, створеним адміністратором домену. Групи домену можуть поєднувати користувачів, що попадають на ваш комп'ютер з інших частин домену. Вони при цьому повинні бути зареєстровані на контролері домену.

Якщо ваш комп'ютер є частиною домену Windows XP, можливо, ви захочете додати визначені облікові записи чи групи домену в локальні групи. За замовчуванням група адміністраторів домену є членом локальної групи адміністраторів, користувачі домену є локальними користувачами, відповідно учасники цих груп домену мають ті ж повноваження, що й у випадку з локальними групами.