Текст книги "Microsoft Windows XP Professional. Опыт сдачи сертификационного экзамена 70-270"

7.3. Права пользователей

Перечень задач, которые пользователю разрешено выполнять на локальном компьютере или в домене, называется правами пользователя (User Rights). Существуют два типа прав пользователей: привилегии и права на вход в систему. В отличие от разрешений, права пользователей применяются к учетным записям пользователей, а не к объектам.

Права пользователей в Windows ХР Professional определяют их возможности на локальном компьютере. Хотя права пользователей и могут применяться к учетным записям отдельных пользователей, рекомендуется администрировать права пользователей на основе групп, так как это намного удобнее.

Права, назначенные группе, автоматически наследуются всеми пользователями, входящими в систему под учетной записью, состоящей в этой группе. И если всем пользователям группы требуются одинаковые права, можно один раз назначить набор прав группе, вместо того чтобы назначать один и тот же набор прав каждому пользователю в отдельности.

Пользователь может иметь более одного набора прав, так как права пользователей, являющихся членами нескольких групп, суммируются.

Права, назначенные группе, применяются ко всем членам группы до тех пор, пока они в ней состоят, и чтобы лишить пользователя прав, администратору достаточно удалить его из группы.

Как уже было сказано выше, существуют два типа прав пользователей:

□ Привилегии (Privileges) – права пользователя выполнять конкретную задачу. Обычно действуют не для конкретного объекта, а для системы в целом. Привилегии назначаются администраторами отдельным пользователям или группам пользователей как часть настроек безопасности компьютера;

□ Права на вход в систему (Logon Rights) – права, присвоенные пользователю и определяющие способы его входа в систему. Примером права на вход в систему может служить право на удаленное подключение.

С помощью групповой политики в Windows ХР Professional можно назначить пользователям и группам следующие привилегии.

□ Архивирование файлов и каталогов – определяет, какие пользователи могут архивировать содержимое системы, невзирая на имеющиеся разрешения для файлов и каталогов. Эта привилегия эквивалентна предоставлению указанным пользователям и группам следующих разрешений на доступ ко всем файлам и папкам системы:

• Обзор папок / Выполнение файлов;

• Содержание папки / Чтение данных;

• Чтение атрибутов;

• Чтение дополнительных атрибутов;

• Чтение разрешений.

Однако эта привилегия используется только при попытке приложения получить доступ к архивации NTFS через интерфейс программирования приложений (API, application programming interface). В противном случае применяются разрешения для обычных файлов и каталогов. По умолчанию этим правом обладают группы Администраторы и Операторы архива.

□ Восстановление файлов и каталогов – определяет, какие пользователи могут восстанавливать архивированные файлы и каталоги, невзирая на имеющиеся у них разрешения для этих файлов и каталогов, а также предоставлять любому действительному участнику безопасности право становиться владельцем объекта. По умолчанию этой привилегией обладают группы Администраторы и Операторы архива.

□ Добавление рабочих станций к домену – предоставляет группам и пользователям возможность добавлять рабочие станции в домен. Хотя и имеется в Windows ХР Professional, действует только на контроллерах домена.

□ Завершение работы системы – указывает, какие пользователи могут, войдя на локальный компьютер, завершить работу операционной системы. По умолчанию присваивается группам Администраторы, Опытные пользователи, Пользователи и Операторы архива.

□ Загрузка и выгрузка драйверов устройств – позволяет динамически загружать и выгружать драйверы самонастраивающихся устройств и не влияет на возможность установки драйверов для устройств, не являющихся самонастраивающимся. Эта привилегия необходима для установки драйверов устройств Plug and Play. По умолчанию присвоена только группе Администраторы, и не рекомендуется назначать эту привилегию другим пользователям, так как пользователь может непреднамеренно (или же умышленно) установить вредоносную программу, выглядящую как драйвер устройства.

□ Закрепление страниц в памяти – определяет, какие учетные записи могут использовать процесс для хранения данных в физической памяти, избегая подкачки страниц в виртуальную память на диск. Применение этой привилегии может существенно сказаться на системной производительности, поскольку приводит к уменьшению объема свободной оперативной памяти.

□ Замена маркера уровня процесса – позволяет учетным записям пользователей инициировать процесс замены стандартного маркера, связанного с запущенным подпроцессом.

□ Запуск операций по обслуживанию тома – предоставляет пользователям и группам полномочия на выполнение процедур обслуживания томов, таких как очистка диска и дефрагментация диска. По умолчанию таким правом обладают только администраторы.

□ Извлечение компьютера из стыковочного узла – определяет, может ли пользователь отключать переносной компьютер от стыковочного узла, не входя в систему.

□ Изменение параметров среды оборудования – разрешает изменение общесистемных параметров среды либо при помощи свойств системы, либо через процесс, с использованием интерфейса API.

□ Изменение системного времени – указывает, какие пользователи и группы могут изменять время и дату на встроенных часах компьютера.

□ Настройка квот памяти для процесса – определяет, какие учетные записи могут использовать процесс с правом изменения свойств другого процесса для увеличения квоты ресурсов процессора, назначенной другому процессу.

□ Обход перекрестной проверки – позволяет пользователю проходить через папки, к которым иначе у него нет доступа на пути к объекту в файловой системе NTFS или в реестре. Эта привилегия не разрешает пользователю выводить список содержимого папки, а только проходить через него. По умолчанию этой привилегией обладают все пользователи.

□ Овладение файлами или иными объектами – разрешает пользователю становиться владельцем любого объекта системы, контролируемого средствами безопасности, в том числе файлов и папок NTFS, принтеров, разделов реестра, служб, процессов и потоков. По умолчанию таким правом обладают только администраторы.

□ Отладка программ – определяет пользователей, которые могут запускать программу отладки для любого процесса. Эта привилегия обеспечивает большие возможности доступа к важным компонентам, необходимым для функционирования операционной системы и по умолчанию предоставлена только администраторам.

□ Принудительное удаленное завершение – указывает, каким пользователям разрешено завершать работу компьютера из удаленного узла сети.

□ Профилирование загруженности системы – предоставляет возможность работать со средствами наблюдения за производительностью для отображения рабочих характеристик системных процессов.

□ Профилирование одного процесса – позволяет работать со средствами наблюдения за производительностью для наблюдения за несистемными процессами.

□ Работа в режиме операционной системы – разрешает процессу проходить проверку подлинности как обычному пользователю и таким образом получать доступ к тем же ресурсам, что и любой пользователь. Эта привилегия требуется только для низкоуровневых служб проверки подлинности.

□ Создание журналов безопасности – позволяет выполнять процесс создания записей журнала безопасности.

□ Создание маркерного объекта – разрешает процессу создавать маркер, который может затем быть использован для получения доступа к любым локальным ресурсам, если процесс использует программный интерфейс создания маркера.

□ Создание страничного файла – предоставляет возможность создавать и изменять размер страничного файла. По умолчанию этой привилегией обладают только администраторы.

□ Увеличение приоритета диспетчирования – предоставляет право изменять приоритет процесса, например, с помощью Диспетчера задач.

□ Управление аудитом и журналом безопасности – предоставляет возможность указывать параметры аудита доступа к объекту для отдельных ресурсов. Аудит доступа к объектам не выполняется, пока не включен Аудит доступа к объектам в политике аудита. С помощью этой привилегии пользователь имеет возможность просматривать и очищать журнал безопасности в окне просмотра событий. По умолчанию присваивается только группе Администраторы.

Кроме предоставления привилегий, в права пользователей могут входить следующие способы входа в систему.

□ Вход в качестве пакетного задания – предоставляет пользователю право входить в систему с помощью средства обработки пакетных заданий. Например, если с помощью планировщика заданий инициируется задание пользователя, планировщик обеспечивает его вход в систему как пакетного пользователя, а не как интерактивного.

□ Вход в качестве службы – позволяет выполнять вход в качестве службы. Службы можно настроить для запуска под учетными записями локальной системы, локальной службы или сетевой службы, для которых существует встроенное право на вход в качестве службы. Любая служба должна быть наделена этим правом, чтобы можно было запустить ее с отдельной учетной записью.

□ Доступ к компьютеру из сети – определяет пользователей и группы, которым разрешается подключаться к компьютеру через сеть. По умолчанию доступ разрешен для всех пользователей.

□ Запретить вход в систему через службу терминалов – определяет, каким пользователям и группам запрещается входить в систему в качестве клиента служб терминалов.

□ Локальный вход в систему – определяет, какие пользователи могут локально входить в систему. По умолчанию вход разрешен членам групп Администраторы, Операторы архива, Опытные пользователи, Пользователи, а также учетной записи Гость.

□ Отказ в доступе к компьютеру из сети – определяет, каким пользователям запрещается доступ к данному компьютеру через сеть. Эта политика отменяет политику Доступ к компьютеру из сети, если учетная запись пользователя указывается в обеих политиках.

□ Отказ во входе в качестве пакетного задания – определяет, какие учетные записи запрещается использовать при входе в систему в качестве пакетного задания. Эта политика отменяет действие политики Вход в качестве пакетного задания, если учетная запись пользователя указывается в обеих политиках.

□ Отказать во входе в качестве службы – определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Перекрывает право доступа Вход в качестве службы, если учетная запись пользователя указывается в обеих политиках.

□ Отклонить локальный вход – отменяет для указанных учетных записей политику Локальный вход в систему и запрещает регистрироваться в системе под этими учетными записями.

□ Разрешить вход в систему в качестве службы терминалов – позволяет пользователю выполнить вход в систему при помощи подключения к удаленному рабочему столу.

7.4. Политики учетных записей

Для управления параметрами безопасности учетных записей локального компьютера служат две политики: политика паролей и политика блокировки учетных записей. С помощью этих двух политик можно повысить уровень защиты системы от попыток несанкционированного входа.

Для учетных записей пользователей домена используется еще одна политика, не входящая в состав политики локального компьютера – политика Kerberos. Она определяет параметры протокола аутентификации Kerberos, такие как, например, срок жизни билета. На экзамене вопросы, связанные с политикой Kerberos, не встречаются, и здесь эта политика рассматриваться не будет.

С помощью этой политики устанавливаются требования, значительно затрудняющие подбор злоумышленником верного пароля к учетной записи пользователя или администратора. Пароли администраторов должны быть защищены особо тщательно, так как, зная пароль администратора системы, злоумышленник обладает полным доступом ко всем системным и пользовательским файлам.

Для усиления защиты политикой паролей Windows ХР Professional применяются следующие параметры.

□ Максимальный срок действия паролей – период времени (в днях), в течение которого можно использовать пароль. Можно задать значение в диапазоне от 1 до 999 дней или снять всякие ограничения срока действия, установив число дней равным 0. По умолчанию установлено 42 дня. Перед истечением срока действия пароля пользователю при каждом входе в систему будет выдаваться соответствующее сообщение и предложение изменить пароль. После того как срок истечет, система потребует от пользователя изменить пароль.

□ Минимальный срок действия пароля – период времени (в днях), в течение которого необходимо использовать пароль, прежде чем пользователь сможет заменить его. Можно задать значение в диапазоне от 1 до 999 дней или разрешить изменение в любое время, установив число дней равным 0.

□ Минимальная длина пароля – наименьшее число символов, которое может содержать пароль учетной записи. Можно задать значение в диапазоне от 1 до 14 символов или же разрешить использовать пустые пароли, установив число символов равным 0.

□ Пароль должен отвечать требованиям сложности – если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям сложности:

• пароль не может содержать имя учетной записи пользователя или какую-либо его часть;

• пароль должен состоять не менее чем из шести символов;

• в пароле должны присутствовать символы трех категорий из числа следующих четырех:

□ прописные буквы английского алфавита от А до Z;

□ строчные буквы английского алфавита от а до z;

□ десятичные цифры (от 0 до 9);

□ символы, не принадлежащие алфавитно-цифровому набору (такие как !, @, #, $, % и др.).

Проверка соблюдения этих требований выполняется при изменении и создании паролей, и если пароль оказывается "слабым", система потребует изменить его так, чтобы требования сложности выполнялись.

□ Требовать неповторяемости паролей – задает число новых паролей, которые должны быть использованы, прежде чем можно будет снова использовать старый пароль. Это значение должно принадлежать диапазону от 0 до 24. Данное требование позволяет администраторам повышать уровень безопасности, запрещая пользователям все время использовать одни и те же старые пароли. Чтобы эта политика действовала эффективно, следует установить минимальный срок действия пароля, отличный от нуля. Если этого не сделать, пользователь сможет перебрать требуемое количество паролей и вернуться к старому паролю, который ему нравится.

□ Хранить пароли всех пользователей в домене, используя обратное шифрование – эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности нужно знать пароль пользователя. Хранить пароли, зашифрованные обратимыми методами, категорически не рекомендуется, так как это значительно снижает их защиту. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля.

Политика блокировки учетных записей позволяет блокировать (или, другими словами, временно отключать) учетную запись пользователя, если определенное количество раз в течение заданного промежутка времени при попытке входа в систему был неверно указан пароль. Блокированную учетную запись нельзя использовать до тех пор, пока она не будет разблокирована администратором или пока не истечет интервал ее блокировки.

Политика блокировки учетных записей состоит из следующих параметров.

□ Блокировка учетной записи на – число минут, в течение которых учетная запись остается блокированной, прежде чем будет автоматически разблокирована. Этот параметр может принимать значения от 1 до 99 999 минут. Если установить значение 0, учетная запись будет блокирована на все время до тех пор, пока администратор явным образом не разблокирует ее. Если определено пороговое значение блокировки, данный интервал блокировки должен быть больше или равен интервалу сброса.

□ Пороговое значение блокировки – число неудачных попыток входа в систему, после которых учетная запись пользователя блокируется. Можно задать значение в диапазоне от 1 до 999 или запретить блокировку данной учетной записи, установив значение 0. Попытки входа с неверным паролем на компьютеры, заблокированные с помощью клавиш <Ctrl>+ +<Alt>+<Del> или экранных заставок, защищенных паролем, не считаются неудачными попытками входа.

□ Сброс счетчика блокировки через – число минут, которые должны пройти после неудачной попытки входа в систему, прежде чем счетчик неудачных попыток будет сброшен на 0. Этот параметр может принимать значения от 1 до 99 999 минут. Этот параметр имеет смысл только при заданном параметре Пороговое значение блокировки. При этом интервал сброса не должен быть больше интервала Блокировка учетной записи на.

Определяя политику блокировки учетных записей, следует учитывать, что пользователи, неуверенно владеющие клавиатурой, могут довольно часто ошибаться при вводе своих паролей, и если установить низкое пороговое значение блокировки, такие пользователи будут постоянно жаловаться на то, что они не могут войти в систему.

Кроме того, это средство обеспечения безопасности может превратиться в орудие "разборок" между пользователями, когда один сотрудник намеренно пытается войти в систему с помощью учетной записи и неверного пароля досадившего ему сотрудника. В результате, "жертва" такого акта не может войти в систему или получить доступ к необходимым ресурсам.

7.5. Шаблоны безопасности

Windows ХР Professional обеспечивает администратора предопределенными наборами параметров безопасности, соответствующими базовым требованиям безопасности на компьютерах, выполняющих различные роли. Такие предопределенные наборы называются шаблонами безопасности (Security Template). Кроме того, можно создавать собственные шаблоны безопасности для их дальнейшего применения на других системах.

Взяв за основу шаблон безопасности, администратор может с меньшими усилиями настроить требуемые параметры безопасности для определенного компьютера или группы компьютеров. Отдельные компьютеры могут быть настроены путем импортирования шаблона с помощью оснастки Локальные параметры безопасности (Secpol.msc) или утилиты командной строки Secedit.exe. Также можно воспользоваться оснасткой Анализ и настройка безопасности, которая, кроме того, позволяет проверять компьютер на соответствие требованиям указанного уровня безопасности и находить уязвимые места. Для применения одинаковых настроек к группам компьютеров, объединенным в сеть, следует импортировать шаблоны безопасности в Групповую политику.

По умолчанию предопределенные шаблоны безопасности хранятся в папке %systemroot%SecurityTemplates. Windows ХР Professional предлагает следующие готовые шаблоны безопасности.

□ Совместимый (Compatws.inf). Изменяет настройки безопасности по умолчанию, чтобы позволить членам локальной группы Пользователи запускать приложения, не сертифицированные для Windows ХР Professional или Windows 2000. По умолчанию члены группы Пользователи могут успешно работать только с сертифицированными приложениями, а с несертифицированными могут работать члены группы Опытные пользователи. Поскольку члены группы Опытные пользователи обладают дополнительными возможностями, такими как создание пользователей, групп, принтеров и общих ресурсов, в некоторых случаях более предпочтительным будет предоставление дополнительных разрешений группе Пользователи, вместо добавления пользователей в группу Опытные пользователи. Именно для этих целей служит шаблон Совместимый. Он изменяет разрешения для файлов и реестра для группы Пользователи, так чтобы они соответствовали требованиям большинства несертифицированных приложений.

□ Защита (Secure*.inf). Определяются параметры безопасности, относящиеся к поведению операционной системы и сетевых протоколов. К таким настройкам относятся параметры паролей, протоколов проверки подлинности, политики аудита и системного реестра. Кроме того, определяются дополнительные ограничения для анонимных пользователей.

□ Повышенная защита (Hisec*.inf). Обеспечивает самый высокий уровень безопасности, налагая дополнительные ограничения на уровни кодировки и подписи, необходимые для проверки подлинности и для данных, передаваемых по безопасным каналам между клиентами SMB (Server Message Block, блок сообщений сервера) и серверами. Кроме того, удаляются все члены группы Опытные пользователи, и производится проверка того, что членами группы Администраторы являются только администраторы домена и локальная учетная запись администратора.

□ Безопасность системного корневого каталога (Rootsec.inf). Этот шаблон можно использовать, чтобы повторно применить разрешения для корневого каталога, если они были случайно изменены. По умолчанию эти разрешения определяются для корневого каталога системного диска, но так же могут быть изменены и разрешения для корневых каталогов других томов. Явно установленные разрешения, определенные для всех дочерних объектов, не изменяются. Применяются только наследованные дочерними объектами разрешения.

□ Безопасность по умолчанию (Setup Security.ini). Устанавливает настройки безопасности, используемые по умолчанию при «чистой» установке системы. Этот шаблон можно использовать полностью или частично с целями аварийного восстановления или для приведения уровня безопасности в соответствие со стандартным после обновления операционной системы до Windows ХР Professional. Этот шаблон нельзя применять при помощи оснастки Групповая политика.

Примечание

SMB – стандартный протокол, который используется для совместного использования файловых и принтерных сервисов.

Чтобы применить шаблон безопасности к локальному компьютеру, откройте оснастку Групповая политика, раскройте ветвь Конфигурация компьютера, там выберите Конфигурация Windows, щелкните правой кнопкой мыши по элементу Параметры безопасности и выберите команду Импорт политики. Затем выберите нужный шаблон безопасности в стандартном диалоговом окне открытия файла.