1. Політики облікових записів в Windows 2000 / XP локальні політики Завдання політики цих облікових...
2. Політики безпеки. Діалогове вікно Windows Security

Політики облікових записів в Windows 2000 / XP

локальні політики

Завдання політики цих облікових записів і призначення їм відповідні права. У Windows 2000 це здійснюється через консоль Локальна Безпека. Запустити консоль Локальна безпека випливає з Панелі управління-> Адміністрування.

Можна цю ж оснащення запустити і як окремий інструмент

Консоль включає кілька інтегрованих контейнерів: "Політика облікових записів", "Локальні політики", "Політики відкритого ключа", "Політики безпеки IP на локальний комп'ютер", кожен з яких включає свої інтегровані компоненти.

Отже, політика управління паролями і політика блокування облікових записів в Windows 2000 виконується адміністратором в вузлі Політики облікових записів оснащення Локальна безпека.

У вузлі Політики паролів винесені окремо настройки, пов'язані з обмеженнями на використовувані паролі. Давайте їх розглянемо.

Налаштування перша - Максимальний термін дії пароля. Налаштувати певний параметр політики можна, двічі клацнувши мишкою на обраному пункті списку у вікні відповідного вузла. Таким чином, можна встановити Максимальний термін дії пароля.

Як бачите, в цьому вікні вказано, що паролі в системі (всі оптом) закінчуються протягом певної кількості днів, за замовчуванням - 42 дня. Якщо у користувача закінчився пароль, це не означає, що він не може входити в систему - просто при черговому вході в мережу користувач отримує можливість поміняти пароль. Зверніть увагу - Ця установка, як і всі, перераховані в цьому вікні, відносяться не до якогось ні будь одному користувачеві - це налаштування для всіх відразу. Якщо Ви хочете, щоб пароль конкретного користувача не закінчувався, в той час як паролі інших користувачів мали максимальний термін життя, то Ви знаєте як це зробити - в настройках конкретного користувача встановіть галочку Термін дії пароля не обмежений. Для чого обмежувати термін життя пароля зверху? Якщо Ви завжди користуєтеся одним і тим же паролем, то висока ймовірність, що коли не будь його вдасться кому то підглянути, якщо Ви змушуєте користувачів періодично міняти пароль за допомогою описуваної настройки, то таким чином Ви підвищуєте безпеку в мережі.

Наступне налаштування - Мінімальний термін дії пароля. Встановивши його в значення 0, Ви дозволите своїм користувачам змінювати пароль коли завгодно, вказавши ж певна кількість, Ви змусите користувача користуватися встановленим принаймні кілька днів. Ця настройка корисна, якщо Ваші користувачі часто від нудьги змінюють паролі і забувають їх, проте зовсім заборонити зміну паролів Вам не дозволяють вимоги безпеки.

Йдемо далі - Мінімальна довжина пароля. Цей параметр за замовчуванням має значення: 0, що означає дозвіл навіть порожніх паролів, проте з міркувань безпеки Ви можете змусити своїх користувачів вибирати паролі з числа букв, не меншої, ніж вказане Вами число.

Наступні настройки відповідають за унікальність паролів. Уявіть собі: Ви як адміністратор вимагаєте, щоб користувачі змінювали свої паролі не рідше одного разу в 30 днів. Нехай деякого користувачеві Windows 2000 повідомляє, що він зобов'язаний змінити пароль, а користувач цього робити не хоче - він звик до свого паролю та йому наплювати на проблеми безпеки. Що тоді зробить користувач, якого Ви змушуєте змінити пароль? Правильно, в якості нового пароля введе ... пароль старий, такий же як і був, отже фактично НЕ змінить пароль, хоча формально процедура зміни пройшла. Для того, щоб уникати подібних випадку, є настройка "вимагали не повторюваності паролів". Значення настройки "Чи не запам'ятовувати колишні паролі" встановлене в 0 означає, що Windows 2000 не запам'ятовує старі паролі користувачів, не веде історію паролів. Навпаки, якщо воно встановлено в певне число означає, що Windows 2000 для кожного користувача буде запам'ятовувати його останні паролі та не дозволяти використовувати їх в якості нових.

Другий вузол Політики облікових записів - Політика блокування облікових записів. Що це таке? Це ситуація, коли обліковий запис користувача призупиняє свою дію внаслідок того, що користувач кілька разів невірно ввів свій пароль - очевидно ця міра призначена для боротьби зі спробами підбору паролів.

За замовчуванням облікові записи користувачів не блокуються при невірних вводах пароля, проте адміністратор може включити цю функцію (параметр Блокування облікового запису на). Відповідно, адміністратор може налаштувати через яку кількість невірних спроб ввести пароль обліковий запис користувача блокується (параметр Граничне значення блокування). Наступне налаштування - Скидання лічильника блокування через говорить про те, через який час скидається лічильник невдалих спроб, якщо блокування ще не настала.

В цілому процедура формування політики використання паролів складається з трьох кроків: встановлюються вимоги до створення паролів, важких для "злому"; встановлюються правила зміни паролів на регулярній основі і, нарешті, необхідно зробити так, щоб зловмисникам було потрібно більше часу для "злому" паролів методом періодичної реєстрації.

Політики дозволяють надійно закрити можливі "дірки" в системі захисту, і не тільки за допомогою пароля. В арсеналі адміністратора є політика блокування облікового запису, яка ускладнить роботу програми автоматичного перебору паролів.

Таким чином, ми розглянули політики безпеки в мережі щодо облікових записів. Наступні вузол оснащення Локальні безпеки.

права користувачів

Отже, в вузлі Локальні політики ми бачимо кілька вузлів - Політики аудиту, Призначення прав користувача, Параметри безпеки.

Розглянемо з Вами вузли - Призначення прав користувача і Параметри безпеки. Налаштування користувальницьких прав вкрай важливі, зверніть на них особливу увагу: нерідко виникає проблема може бути вирішена присвоєнням користувачеві деякого права, без якого він не може виконати будь-яке дію.

У вікні, ми бачимо список певних прав, а так само яких груп користувачів дане право надано. Давайте розглянемо, які ж права користувача перераховані і кому вони надані. Щоб зайти в налаштування права користувача, необхідно клацнути мишкою двічі на обраному пункті зі списку. Ми з Вами не будемо розглядати всі з цього списку, зупинимося тільки на деяких.

Перше право, яке ми розглянемо, - Доступ до комп'ютера по мережі.

Ті, кому надано це право, можуть звертатися до комп'ютера за його загальними ресурсами, при цьому, зрозуміло, отримати право доступу до конкретного ресурсу можуть тільки ті користувачі, які внесені в ACL даного ресурсу. Фактично, це призначене для користувача право повинно бути надано всім, і лише маючи це право, користувач може звертатися до загального ресурсу, тоді вже в силу вступають дозволу користувача на деякий ресурс. Як бачите право Доступ до комп'ютера по мережі надано групі Все, тобто всім користувачам.

Право Архивирование файлів і каталогів дозволяє користувачам отримувати доступ (з метою архівування) навіть до тих файлів і папок, на які зазвичай у користувача немає прав.

Відповідно, в Windows 2000 є спеціальна вбудована група Оператори архіву, яка як раз і має описаним правом. Крім неї, цим правом володіють Адміністратори.

Право Змінювати системний час, як зрозуміло з назви, описує ті групи користувачів, які мають право змінювати системний час на комп'ютері.

Лише Адміністратори і Досвідчені користувачі мають право змінювати системний час.

Право Завершення роботи системи дозволяє вимкнути або перезавантажити комп'ютер. Як бачите це теж привілей, яку необхідно заслужити :) - за замовчуванням перезавантажуватися або вимикати комп'ютер можуть лише члени груп: Адміністратори, Досвідчені користувачі, Користувачі, Оператори архіву.

Право Завантаження і вивантаження драйверів пристроїв означає право встановлювати і видаляти драйвера для підтримки обладнання.

Зверніть увагу - тільки члени групи Адміністратори можуть встановлювати і видаляти драйвера.

Наступне право є одним з найбільш важливих. Право Локальний вхід в систему означає право входу в домен з ЦЬОГО комп'ютера. У Windows 2000 це право мають члени груп Адміністратор, Користувачі, Досвідчені користувачі, Оператори архіву, і навіть гості. Тут зверніть увагу, якщо Ви створюєте на Вашому комп'ютері нову групу, додаєте користувачів тільки в цю групу, прослідкуйте, щоб цій групі було призначено право Локальний вхід в систему, інакше члени такої групи не зможуть "зайти" на цей комп'ютер. Тільки що має право Локальний вхід в систему має право входить в мережу локально, тобто з цієї машини.

Наступне право - Управління аудитом і журналом безпеки. - Аудит. У Windows 2000 є можливість налаштовувати і вести докладні журнали, що описують відбуваються в системі події - і все це можуть робити тільки члени групи Адміністратори!

Право Відновлення файлів і каталогів є зворотним до вже розглянутого праву Архивирование файлів і каталогів. Фактично ті, хто мають це право можуть розпакувати навіть ті файли, на які зазвичай можуть і не мати доступу. Право дано за замовчуванням членам груп Оператори архіву, Адміністратори.

І нарешті останнє, вкрай важливе право - Оволодіння файлами і іншими об'єктами. Надано за замовчуванням це право лише членам групи Адміністратори, і саме за допомогою цього права члени групи Адміністратори можуть отримати доступ до будь-яких об'єктів, навіть якщо їм не надано доступу - просто взявши об'єкт у володіння, потім власник об'єкта вільний налаштовувати ACL для об'єкта.

Ось ми розібралися з Вами до призначених для користувача правами. Зрозуміло, я не пропоную Вам запам'ятати в точності, які права надані яких груп - однак Вам необхідно запам'ятати найважливіші права, такі як Локальний вхід в систему, крім того необхідно орієнтуватися в тих інструментах, якими Ви користуєтеся - якщо Ви пам'ятаєте, що існують такі " призначені для користувача право ", але зовсім не пам'ятаєте, які налаштування там можна зробити, то гріш ціна такому знанню!

Зрозуміло, Ви не зобов'язані дотримуватися налаштувань прав користувачів за замовчуванням: Ви вільні додавати в списки нові групи і нових користувачів (краще оперувати групами, так коротше) або видаляти наявні записи.

Політики безпеки. Діалогове вікно Windows Security

Потрібно сказати, що такої теми, як - Безпека Windows 2000 -, присвячений цілий ряд книг, статей, журналів, форумів і т. П, тому при всьому бажанні за одну статтю ми не зможемо розглянути її повністю, це і не є нашим завданням. Що нам на сьогодні необхідно знати про безпеку Windows 2000.

Основною відмінністю операційних систем сімейства Windows 2000 (і Windows NT) від Windows 9x є реалізована в них система захисту. Однак в "свіжовстановленому" на локальному комп'ютері Windows 2000 Professional ця система за замовчуванням відключена. Щоб убезпечити свій комп'ютер, доведеться зробити деякі досить неочевидні дії, а саме: створити схему захисту. Незважаючи на безліч публікацій про Windows 2000, а також цілком стерпне вбудовану довідкову систему, знайти рекомендації щодо захисту Windows 2000, встановленої на домашньому комп'ютері, не так просто. Як в книгах, так і в довідці Windows 2000 передбачається підключення комп'ютера до локальної мережі і реалізація захисту через мережевий домен або робочу групу. Проте навіть автономний комп'ютер з Windows 2000 Professional здатний захистити себе як від зловмисників, так і від невдалих дій "законного" користувача.

Зараз ми розглянемо як з цим завданням можна впоратися за допомогою вузла Параметри безпеки оснащення Локальна безпека.

Проблема забезпечення безпеки комп'ютера пов'язана з роботою в мережі, де існує велика кількість різного роду небезпек, атак, вірусів і т. П. І особливо цей матеріал відноситься до тих комп'ютерів, які підключені до мережі Інтернет (припускаю, що деякі з Вас вже мають гіркий досвід). Тут потрібно бути завжди на сторожі, а оскільки бути вартовим - це не справа користувача, для якого має бути завжди все зручно і комфортно, і приховано якомога більше всяких нюансів і налаштувань пов'язаних з роботою системи, то за забезпечення безпеки комп'ютера в мережі повинні відповідати засоби операційної системи і системний адміністратор. Що ж нам, як системним адміністраторам, надає для вирішення цього завдання оснащення Локальна безпека.

Отже, вузол "Параметри безпеки" дозволяє адміністратору безпеки вручну настроювати рівні безпеки, призначені політиці локального комп'ютера, як Ви бачите тут їх цілий список. Щоб змінити будь-яке з значень шаблону, двічі клацніть його. З'явиться діалогове вікно, що дозволяє модифікувати значення.

Таким чином контролювати включення або відключення налаштувань безпеки, таких як цифровий підпис даних, імена облікових записів адміністратора і гостя, доступ до дисководів гнучких і компакт-дисків, установка драйверів і запрошення на вхід в систему і всі інші доступні параметри політики безпеки. Давайте розглянемо докладніше, які параметри рекомендується встановлювати для підвищення захисту Вашого комп'ютера від різного роду атак по мережі Інтернет.

Перше про що хотілося б відзначити в продовження вище сказаного - нагадувати користувачам про закінчення терміну дії пароля, який як ми вже говорили - 14 днів (за замовчуванням).

Користувачам можна написати будь-яке побажання при вході в систему, з метою адміністрування звичайно.

Рекомендується включати політику - не відображати останнього імені користувача в діалозі входу (за замовчуванням - відключений). Особливо корисно в разі, коли пересічний користувач має пароль аналогічний своєму імені, і тоді без праці можна з декількох переборовши пароля хакеру проникнути на цей комп'ютер.

Рекомендується включати політику - заборонити користувачам установку драйвера принтера (за замовчуванням - відключений). А також рекомендується включити політику - очищення сторінкового файлу віртуальної пам'яті (за замовчуванням - відключений). Після цього система завжди при виключенні комп'ютера буде видаляти файл підкачування. Але тут є свій мінус - система буде довго вимикаються.

Ще одна політика безпеки відноситься до стану вікна CTRL + ALT + DEL при вході в систему. Ця політика за замовчуванням не встановлена. Після відключення Ви побачите при вході в систему вікно CTRL + ALT + DEL, яке за замовчуванням в Windows 2000 Professional не відображається. Якщо комп'ютер підключений до мережі слід відновлювати вікно CTRL + ALT + DEL.

Крім цього, з метою безпеки корисно налаштовувати такі параметри:

* "Автоматично відключати сеанси користувачів після закінчення дозволеного часу" (Активізувати) або

* "Тривалість простою перед відключенням сеансу" (скажімо так я у себе на комп'ютері ставлю 10 хвилин),

* "Додаткові обмеження для анонімних підключень" (встановити в значення "Неможливо отримати доступ, без явного дозволу анонімного доступу"),

* "Використовувати цифровий підпис з боку клієнта (Завжди)" (Активізувати) або

* "Використовувати цифровий підпис з боку клієнта (по можливості)" (Активізувати) або

* "Використовувати цифровий підпис з боку сервера (Завжди)" (Активізувати) або

* "Використовувати цифровий підпис з боку сервера (по можливості)" (Активізувати) або

* "Дозволити доступ до дисководів компакт-дисків тільки локальним користувачам" (Активізувати) або

* "Дозволити доступ до НГМД лише локальним користувачам" (Активізувати) або

Ви можете самостійно експериментувати з вищепереліченими політиками. Хоча локальні політики дають Вам сильний рівень контролю над системою, вони продовжують залишатися недостатньо гнучким інструментом саме як засіб забезпечення безпеки мережі, так як повинні налаштовуватися локально на кожній машині. Зазначу, що у Вас є можливість зберігати налаштування політики в файл і потім експортувати ці локальні настройки на інші системи.

Отже, ми з Вами розібралися з основними можливостями оснащення Локальна безпека, як засобу забезпечення безпеки локального комп'ютера. А тепер відзначимо ще один засіб безпеки Windows 2000 Professional, яке так і називається Діалогове вікно Безпека Windows (Windows Security). Натискаємо заповітну комбінацію Ctrl + Alt + Del для того, щоб запустити з вікна Windows Security оснащення Диспетчер завдань, давайте розглянемо, які ще можливості системи дозволяє запустити це вікно.

Діалогове вікно Windows Security дозволяє вирішувати наступні важливі завдання:

заблокувати робочу станцію;

змінити свій пароль;

користуватися утилітою Диспетчер завдань;

вийти з Windows 2000;

зареєструватися в системі під іншим ім'ям;

вимкнути комп'ютер.

Отже, по порядку.

Блокування - дозволяє блокувати комп'ютер без виходу з системи (наприклад, якщо Вам треба відлучитися з робочого місця). Всі програми при цьому продовжують працювати.

Щоб розблокуваті станцію, введіть свой пароль. Если користувач забув пароль, робочі станцію может розблокуваті адміністратор. Після цього адміністратор вільний призначити користувачеві новий пароль

Зміна пароля - дозволяє користувачеві змінити пароль свого облікового запису. Перед завданням нового пароля користувач повинен ввести колишній (ця схема оберігає від несанкціонованого зміни чужого пароля). Для користувачів це єдиний спосіб оновити заспівай пароль. Регулярна зміна паролів і обмеження на паролі - невід'ємна частина стратегії облікових записів, що проводиться адміністратором

Вихід з системи - здійснює вихід користувача з системи. Операційна система Windows 2000 продовжує працювати. Це, зокрема, означає, що користувачі мережі можуть як і раніше підключатися до комп'ютера і використовувати його ресурси. Завжди виходьте з системи, якщо не збираєтеся більше працювати на комп'ютері. Існує й інший спосіб завершити роботу в системі (більш відомий) - Пуск> Завершення роботи-> Як припинити.

Диспетчер завдань - містить список програм і процесів, що працюють в даний момент. З його можливостями Ви вже знайомі.

Вимкнення системи - закриває всі файли, зберігає всі дані операційної системи і готує комп'ютер до відключення живлення. На екрані з'явиться діалогове вікно Завершення роботи з комп'ютером. За замовчуванням в ньому вибраний перемикач Завершити роботу.

Скасування - закриває діалогове вікно Windows Security

Отже, які рекомендації з використання діалогового вікна Windows Security як засобу забезпечення безпеки локального комп'ютера в мережі. Для виклику вікна натискаєте CTRL + ALT + DELETE. Змінювати свої паролі можна користувачі можуть тільки за допомогою діалогового вікна Windows Security. Рекомендується користувачам комп'ютера в мережі привчитися завжди блокувати робочі станції, коли їм потрібно відлучитися з робочого місця, а якщо комп'ютер їм більше не потрібен, вийти з системи і підготовка комп'ютерів до вимикання харчування.

Давайте узагальнимо основні рекомендації по локальній безпеки комп'ютера, з якими ми познайомилися.

Слід завжди натискати комбінацію клавіш CTRL + ALT + DELETE перед реєстрацією на комп'ютері, навіть якщо вікно реєстрації вже на екрані. Це забезпечить ефективний захист і запобіжить спроби злому системи за допомогою вірусів типу "Троянський кінь".

Користуйтеся командою Завершення роботи для підготовки комп'ютера до вимикання харчування. Це гарантує, що Windows 2000 закриє всі відкриті файли, збереже системні і призначені для користувача параметри і запобігти пошкодженню файлів.

Тримайте пароль в повному секреті. Це гарантує, що ніхто не зможе отримати доступ до комп'ютера і мережевих ресурсів таким простим способом.

Включайте парольний захист при використанні екранних заставок. Завдяки цьому робочі станції, залишені без нагляду, будуть автоматично блокуватися.

Блокуйте комп'ютер, якщо Вам необхідно відлучитися з робочого місця. Програми користувача будуть продовжувати роботу, але доступ до комп'ютера буде блокований до тих пір, доки Ви не знімете блокування, ввівши правильний пароль.

Закінчуючи роботу, виходьте з системи. При цьому всі відкриті Вами файли будуть закриті, a Windows 2000 продовжить працювати, що дозволить іншим користувачам.

Автор Дмитро Ярошенко aka DimonXP