Лекция 17. Подсистема безопасности ОС Windows 2000/XP

ОПЕРАЦИОННЫЕ
СИСТЕМЫ
Авторы курса лекций:
Зверева Ольга Михайловна, ст. преподаватель каф АСУ
Доросинский Леонид Григогрьевич, д-р техн. наук, профессор
Екатеринбург 2007
Модуль 2
Работа с операционными системами семейства
Windows
Лекция 9. Процесс загрузки систем семейства Windows
Лекция 10. Средства управления в среде Windows
Лекция 11. Основные задачи администрирования систем Windows:
управление пользователями и группами
Лекция 12. Основные задачи администрирования систем Windows:
управление рабочей средой пользователя
Лекция 13. Файловые системы в ОС Windows
Лекция
14,
Отказоустойчивость
дисковых
систем
и
восстанавливаемость файловых систем на примере ОС WINDOWS
Лекция 15. Возможности файловой системы NTFS 5.0
Лекция 16.Работа с общими дисковыми ресурсами
Лекция 17. Подсистема безопасности ОС Windows 2000/XP
Лекция 18. Средства мониторинга и оптимизации системы Windows
3
Формируемые компетенции
После изучения теоретического материала Модуля 2 необходимо знать и
иметь представление о:
отличительных особенностях интерфейса ОС семейства Windows;
этапах и вариантах загрузки ОС Windows, основных файлах, задействованных
в этом процессе
основных файловых системах, с которыми работает ОС Windows и их
основных возможностях
понятиях отказоустойчивости и восстанавливаемости и реализации этих
принципов в ОС Windows
уметь:
сформировать рабочую среду пользователя через графический интерфейс или
используя сценарии входа
создавать инструменты для администрирования системы и использовать
стандартные, существующие в системе средства
уметь настроить нужным образом политику безопасности системы
владеть:
навыками администрирования в ОС Windows
4
Лекция 16. Подсистема
безопасности ОС Windows 2000/XP
Цели изучения
Изучение на примере системы Windows возможности
управления безопасностью системы
Получение навыков администрирования систем с целью
повышения их защищенности от атак злоумышленников
Знакомство с понятием политики безопасности и
получения навыков управления этой политикой для
повышения защищенности системы
6
Содержание
Понятие групповой политики
Оснастка «Групповая политика»
Инструменты настройки политики безопасности
Оснастка «Шаблоны безопасности»
Оснастка «Анализ и настройка безопасности»
7
Оснастки подсистемы безопасности ОС
Windows
Групповая политика (локальный вариант оснастки –
Локальная политика безопасности (Программы
|Администрирование);
Шаблоны безопасности (устанавливается в
изолированной консоли);
Анализ и настройка безопасности (устанавливается в
изолированной консоли).
8
2 подхода к настройке политики
безопасности
Использование оснастки Групповая политика. С ее
помощью Вы можете корректировать свою политику
безопасности, устанавливая соответствующие параметры.
Две другие оснастки используются совместно. Вы можете
создать некий шаблон безопасности с помощью оснастки
Шаблоны безопасности (это некоторая политика –
образец), а затем произвести сравнение с политикой
безопасности вашего компьютера, а при необходимости
внедрить созданный шаблон в качестве своей политики
безопасности.
9
Преимущества групповых политик
Основываясь на службе Active Directory системы Windows,
позволяет как централизованно, так и децентрализовано
управлять параметрами политики.
Обладает гибкостью и масштабируемостью. Может быть
применена в широком наборе конфигураций системы,
предназначенных как для малого бизнеса, так и для
больших корпораций.
Предоставляет интегрированный инструмент управления
политикой с простым и хорошо понятным интерфейсом –
оснастку консоли управления Групповая политика.
Обладает высокой степенью надежности и безопасности
10
Окно оснастки «Групповая политика»
11
Оснастка «Локальные параметры
безопасности»
12
Политика учетных записей
(политика паролей)
Наименование правила
политики
Описание
Максимальный срок
действия пароля
Максимальный период, по окончании
которого пароль нужно изменять. Если
пользователь долго не меняет своего пароля,
защищенность
системы
от
несанкционированного
доступа
заметно
снижается.
Минимальная длина
пароля
Администратор системы должен определить в
политике
ведения
учетных
записей
минимальную длину пароля. Если пользователь
будет изменять свой пароль после регистрации
системы, он сможет ввести пароль только
согласно правилам учетных записей.
13
Политика учетных записей
(политика паролей)
Продолжение таблицы
Наименование
правила политики
Описание
Минимальный срок
действия пароля
Ограничивает минимальное время, через которое
пользователь может изменять свой пароль.
Сменив по истечении срока действия пароль,
пользователь может захотеть вернуться к
прежнему. Так как это ослабит защищенность
системы, принудительная задержка не позволит
этого сделать.
Требовать
неповторяемости
паролей
Позволяет хранить историю паролей. Пока не
будет использовано указанное число паролей, ни
один из них повторно задействовать нельзя.
Эффективно при обязательной смене паролей
через определенный срок и запрете смены пароля
в течение другого срока.
14
Политика учетных записей
(политика паролей)
Продолжение таблицы
Наименование
правила политики
Описание
Пароли должны
отвечать
требованиям
сложности
Windows 2000/XP позволяет добавлять в систему
модули, проверяющие сложность пароля. Разрешив
данное правило, вы снимете с себя тяжкое бремя
слежения за паролями пользователей и разъяснения
им того, что в качестве пароля нельзя использовать
свое имя, год рождения, имена родственников и т.д.
Система посредством установленного фильтра сама
позаботится о том, чтобы пароль содержал минимум
3 из перечисленных типов символов:
15
Политика учетных записей
(политики блокировки учетных записей)
Наименование Описание
правила
политики
Блокировка
учетной
записи на
Заблокировать учетную запись навечно нельзя –
иначе законный владелец не войдет в систему. Нужно
установить некоторый разумный срок, по истечении
которого учетная запись будет разблокирована. Это
правило устанавливает срок в минутах.
Пороговое
значение
блокировки
Количество неудачных попыток зарегистрироваться в
системе, по достижении которого учетная запись
будет заблокирована.
16
Политика учетных записей
(политики блокировки учетных записей)
Продолжение таблицы
Наименование Описание
правила
политики
Сброс счетчика
Даже законный хозяин учетной записи может
блокировки через ошибаться и вводить неверный пароль. Дабы его
ошибки не накапливались и не привели в один
прекрасный момент к блокировке учетной записи,
введено правило сброса отсчета по истечении
определенного срока.
17
Локальные политики
Локальные
политики
регламентируют
правила
безопасности на локальном компьютере. Они позволяют
распределить административные роли, конкретизировать
права пользователей, назначить правила аудита.
Локальная политика содержит 3 группы правил:
назначения прав пользователей,
правила аудита;
параметры безопасности.
18
Примеры прав пользователей
Право пользователей
Назначаются группам
Архивирование файлов и каталогов Администраторы, Операторы
архива
Восстановление файлов и
каталогов
Администраторы, Операторы
архива
Завершение работы системы
Пользователи, Опытные
пользователи, Операторы архива,
Администраторы
Доступ к компьютеру из сети
Все, Пользователи, Опытные
пользователи, Операторы архива,
Администраторы
19
Параметры безопасности
20
Настройка политики аудита
21
Оснастка «Шаблоны безопасности»
22
Оснастка «Шаблоны безопасности»
(возможности оснастки)
Можно настраивать:
Политики безопасности учетных записей. Здесь вы сможете
настроить такие параметры безопасности, как политика паролей,
политика блокировки паролей и т. д.
Локальные политики. Здесь можно настроить параметры
безопасности, касающиеся политики аудита, прав пользователей и
индивидуальных параметров безопасности конкретной машины
Windows 2000/XP. Большинство этих параметров безопасности
соответствуют значениям переменных реестра.
Системные службы. Здесь можно настроить параметры безопасности,
касающиеся режима загрузки и управления доступом для всех
системных служб.
23
Хранение шаблонов безопасности
24
Заранее определенные компанией
Microsoft конфигурации безопасности
Базовая. Это набор настроек безопасности, генерируемых по
умолчанию Windows XP. Базовая конфигурация в основном служит
для того, чтобы
прекращать действие более жестких типов
конфигураций безопасности. Базовые
шаблоны безопасности
содержат настройки параметров безопасности устанавливаемые по
умолчанию для всех областей обеспечения безопасности, за
исключением прав пользователя и групп.
Шаблон - setup security.inf
Совместимая
(Сотраtible).
Эти
настройки
безопасности
генерируются в системах, где не требуются жесткие меры
безопасности, и где работают устаревшие программные продукты. В
выборе между обеспечением выполнения всех функций приложения и
обеспечением безопасности данная конфигурация принимает сторону
приложения.
Шаблон - compatws.inf.
25
Заранее определенные компанией
Microsoft конфигурации безопасности
Защищенная (Secure). Обеспечивает более надежную безопасность по
сравнению с совместимой конфигурацией. В выборе между
обеспечением выполнения всех функций приложения и обеспечением
безопасности данная конфигурация принимает сторону безопасности.
Она содержит жесткие настройки безопасности для политики учетных
записей, аудита и некоторых широко используемых разделов реестра.
Шаблоны - securews.inf и securedc.inf
Сильно защищенная (High Security). Эта конфигурация позволяет
получить идеально защищенную систему Windows 2000/XP, не
учитывающую
функциональность
приложений.
Подобная
конфигурация при обмене информацией предполагает обязательное
использование электронной подписи и шифрования, которое
обеспечивается только средствами Windows 2000/XP. Поэтому
компьютеры, на которых установлена сильно защищенная
конфигурация безопасности, не могут обмениваться данными с
другими операционными системами Windows.
Шаблоны - hisecws.inf и hisecdc.inf.
26
Оснастка
«Анализ и настройка безопасности»
27
Создание базы данных для проведения
анализа или настройки безопасности
1.
2.
3.
4.
Запустите оснастку Анализ и настройка безопасности и нажмите
правую кнопку мыши на корне структуры.
В появившемся контекстном меню выберите команду Открыть базу
данных.
Введите имя новой базы данных и нажмите кнопку ОК. По
умолчанию базы данных располагаются в каталоге \Documents And
Settings\Имя_Пользователя\My Documents\Security\Database.
В следующем окне выберите шаблон безопасности, информация
которого должна быть перенесена в создаваемую базу данных, и
нажмите кнопку Открыть. По умолчанию шаблоны безопасности
находятся в каталоге %SystemRoot\Security\Templates.
28
Выполнение анализа безопасности
1.
2.
3.
4.
Выберите корень оснастки Анализ н настройка безопасности и
нажмите правую кнопку мыши. Если база данных конфигураций
безопасности только что была создана (см. предыдущий слайд), то
нужно перейти к пункту 3.
С помощью команды Открыть базу данных открывшегося
контекстного меню загрузите личную базу данных.
В том же контекстном меню выберите команду Анализ компьютера.
Введите с клавиатуры имя файла журнала и нажмите кнопку ОК. По
умолчанию файлы журналов создаются в каталоге \Documents And
Settings\Имя_Пользователя\Local Settings\Temp.
29
Просмотр результатов анализа
1.
2.
3.
Откройте оснастку Анализ и настройка безопасности.
Откройте папки, отображающие различные аспекты
безопасности.
Исследуйте найденные отличия текущих настроек
безопасности системы и рекомендованных настроек,
находящихся в шаблоне безопасности. Отличия помечены
хорошо заметным красным значком, совпадения –
зеленой галочкой. Если в строке результатов нет метки,
это значит, что данная настройка безопасности не входит
в применяющийся при анализе шаблон.
30
Окно результатов анализа
31
Настройка политики безопасности
с помощью шаблона
Выберите папку Анализ и настройка безопасности и
нажмите правую кнопку мыши.
В контекстном меню выберите команду Настроить
компьютер.
В открывшемся окне введите с клавиатуры имя файла
журнала и нажмите кнопку ОК.
32
Информационное обеспечение лекции
Литература по теме:
1. Олифер В. Г. Сетевые операционные системы : учебник / В. Г.
Олифер, Н. А. Олифер. – СПб. : Питер, 2001. – 544 с.
2. Гордеев А. В. Операционные систем: Учебник для вузов. 2-е изд./ А.
В. Гордеев. – Спб.: Питер. 2005. – 415 с.
3. Дейтел Г. Введение в операционные системы: В 2 т. /Пер. с англ. Л.
А. Теплицкого, А. Б. Ходулева, В. С. Штаркмана: Под ред. В. С.
Штаркмана. – М.: Мир, 1987.
4.
Андреев А.Г. и др. Microsoft Windows 2000 Server. Русская версия/
Под общ ред. А.Н. Чекмарева и Д.Б. Вишнякова. СПб.: БХВПетербург,2001.-960с.
5.
Андреев А.Г. и др. Microsoft Windows XP Professional. Русская
версия/ Под общ ред. А.Н. Чекмарева и Д.Б. Вишнякова. СПб.: БХВПетербург,2004.-960с.
Электронный адрес: zvereva@rtf.ustu.ru
33
Операционные системы
Курс лекций является частью учебно-методического комплекса
«Операционные системы», авторский коллектив:
Зверева Ольга Михайловна, старший преподаватель кафедры
«Автоматизированные системы управления»
Доросинский Леонид Григорьевич, д-р техн. наук, профессор, зав.
кафедрой «Автоматизированные системы управления
Учебно-методический комплекс подготовлен на кафедре АСУ РИ-РТФ
ГОУ ВПО УГТУ-УПИ
Никакая часть данной презентации не может быть воспроизведена в
какой бы то ни было форме без письменного разрешения авторов
34