Учетные записи пользователей
Лабораторная работа № 1
Исследование возможностей системы безопасности Windows ХР по разграничению полномочий пользователей.
Цель:практическое освоение студентами научно-теоретических положений дисциплины по вопросам защиты информации от несанкционированного доступа на разграничения полномочий, а также овладение ими техникой экспериментальных исследований и анализа полученных результатов, привитие навыков работы с вычислительной техникой.
Краткие теоретические сведения
Отнесение пользователей к тем или иным группам производится посредством создания учетных записей пользователей.
Учетная запись это - запись, содержащая все сведения, определяющие пользователя в операционной системе Windows. К этим сведениям относятся имя пользователя и пароль, требуемые для входа пользователя в систему, имена групп, членом которых пользователь является, а также права и разрешения, которые он имеет при работе в системе и доступе к ее ресурсам.
Другими словами, Учетная запись пользователя определяет, какие действия пользователь может производить в Windows. На автономном компьютере или на компьютере, входящем в рабочую группу, учетная запись пользователя устанавливает полномочия каждого пользователя.
Учетные записи пользователей
Основой системы разграничения доступа в ОС является понятие учетной записи. Для каждого зарегистрированного пользователя система создает свою учетную запись. Учетная запись – это запись в специальной базе данных системы, содержащая информацию о пользователе, а также данные для аутентификации пользователя. Каждый раз при аутентификации пользователя, происходит сравнение введенных им аутентификационных данных с данными из базы, и при совпадении пользователь получает соответствующий доступ к ОС.
Примечание. Если рабочая станция входит в состав локальной вычислительной сети (ЛВС) на основе домена, то помимо локальных учетных записей, существуют доменные учетные записи, которые хранятся не на локальной системе, а на сервере (контроллере домена). Проверку аутентификационных данных таких учетных записей осуществляет контроллер домена.
Все учетные записи пользователей ОС можно условно разделить на четыре категории:
- Системные (специальные) учетные записи создаются автоматически при установке ОС. Они отличаются от обычных пользовательских учетных записей, и возможности по управлению ими ограничены (например, их нельзя удалить). Такие учетные записи, как правило, играют особую роль в ОС и необходимы для выполнения различных специальных функций (например, загрузки критических системных процессов). Интерактивный вход под такими учетными записями чаще всего невозможен.
- Встроенные учетные записи пользователей создаются автоматически при установке ОС. Они практически не отличаются от обычных пользовательских учетных записей, но возможности по управлению ими, как правило, ограничены (например, их нельзя удалить). Такие учетные записи необходимы самой ОС для функционирования СРД «по умолчанию».
- Стандартные учетные записи пользователей также создаются автоматически при установке ОС. Однако они не являются обязательными и выполняют вспомогательные функции. Перечень таких учетных записей может сильно варьироваться в различных ОС линейки Windows и даже в рамках различных service packs. Возможности по управлению такими учетными записями не ограничены.
- Пользовательские учетные записи – зарегистрированные пользователи ОС. Такие учетные записи создаются и управляются администратором системы или пользователем, имеющим соответствующие права.
Ниже приведены системные (специальные) учетные записи ОС Windows и их назначение:
Учетная запись | Описание |
SYSTEM (Локальная система) | Это системная учетная запись. Обладает неограниченными правами в системе. Используется самой ОС для загрузки компонентов ядра, системных сервисов (служб) и библиотек. Недоступна для интерактивного входа. Изменение атрибутов учетной записи также невозможно. |
LOCAL SERVICE (Локальная служба) | Это ограниченная системная учетная запись. Обычно используется для загрузки локальных сервисов (служб) системы. Недоступна для интерактивного входа. Изменение атрибутов учетной записи также невозможно. |
NETWORK SERVICE (Сетевая служба) | Это ограниченная системная учетная запись. Обычно используется для загрузки сетевых сервисов (служб) системы. Недоступна для интерактивного входа. Изменение атрибутов учетной записи также невозможно. |
Ниже приведены встроенные учетные записи ОС Windows и их назначение:
Учетная запись | Описание |
Administrator (Администратор) | Учетная запись администратора системы. Необходима для выполнения многих административных задач (управление настройками системы, управление другими пользователями и т.п.). Обычно обладает наивысшими правами среди доступных для интерактивного входа учетных записей. Пароль задается при установке системы. |
Guest (Гость) | Гостевая учетная запись. Обычно обладает минимальными правами и предназначена для входа анонимных пользователей. Отключена по умолчанию. Как правило, на учетной записи установлен пароль по умолчанию “guest”. |
Ниже приведены примеры стандартных учетных записей ОС Windows и их назначение:
Учетная запись | Описание |
HelpAssistant | Учетная запись для предоставления удаленной помощи |
SUPPORT_388945a0 | Это учетная запись поставщика для службы справки и поддержки |
В Windows вся информация об учетных записях хранится в специальном разделе системного реестра. На жестком диске соответствующий раздел находится в файле %SystemRoot%\system32\config\sam. Доступ к данному файлу (и соответствующему разделу системного реестра) имеет только учетная запись SYSTEM. Даже Administrator не имеет прямого доступа к базе учетных записей ОС.