Лабораторная работа № 5. Управление учётными записями пользователей MS Windows
Цель работы: освоение средств администратора операционной системы MS Windows, таких как:
- регистрации пользователей и групп в системе
- определения их привилегий
- определения параметров политики безопасности, относящихся к аутентификации и авторизации пользователей при интерактивном входе
Основные понятия
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
Идентификация — присвоение субъектам и объектам идентификатора и / или сравнение идентификатора с перечнем присвоенных идентификаторов.
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.
Аутентификация — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:
· что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);
· как организован (и защищен) обмен данными идентификации/аутентификации.
Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:
· нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
· нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
· нечто, что есть часть его самого (голос, отпечатки пальцев, то есть свои биометрические характеристики).
Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть – это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.
Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации.
Нужно отметить, что сервис идентификации / аутентификации может стать объектом атак на доступность. Если система сконфигурирована так, что после определенного числа неудачных попыток устройство ввода идентификационной информации (такое, например, как терминал) блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш.
Задания для выполнения
1. Прочитайте теоретический материал из методички.
2. Освоить средства регистрации пользователей:
· открыть список зарегистрированных пользователей (Панель управления | Администрирование | Управление компьютером | Локальные пользователи и группы | Пользователи);
· с помощью команды контекстного меню (Новый пользователь) создать для себя учетную запись с произвольным логическим именем, введя в качестве строки описания текст «Студент группы XY-Z»);
· включить в отчет о лабораторной работе
a) копию экранной формы создания новой учетной записи,
b) копию экранной формы со списком зарегистрированных пользователей,
c) список команд контекстного меню (при отсутствии выделения имени пользователя в списке),
d) а также объяснения смысла четырех дополнительных параметров создаваемой учетной записи;
· выделить имя вновь зарегистрированного пользователя и с помощью команды контекстного меню (Свойства) просмотреть ее свойства;
· включить в отчет о лабораторной работе копию экранной формы со свойствами учетной записи на вкладке «Общие» и объяснение разницы между отключением и блокировкой учетной записи (см. справочный материал – кнопка «Справка» окна свойств пользователя);
· включить в отчет о лабораторной работе копию экранной формы со свойствами учетной записи на вкладке «Членство в группах» и ответ на вопрос, в какую группу по умолчанию включается вновь созданный пользователь
· с помощью кнопок «Добавить», «Дополнительно» и «Поиск» включить вновь созданного пользователя также в группу «Опытные пользователи»;
· выбрать имя созданного пользователя, в контекстном меню выбрать пункт «Задать пароль» и изменить текущий пароль этого пользователя.
· включить в отчет о лабораторной работе список команд контекстного меню при выбранном имени учетной записи вместе с пояснениями их смысла, а также ответы на вопросы:
a) когда должна применяться команда «Задать пароль»,
b) в чем опасность ее применения,
c) как должна происходить смена пароля пользователем
3. Освоить средства работы с группами:
· открыть список групп (Панель управления | Администрирование | Управление компьютером | Локальные пользователи и группы | Группы)
· включить в отчет сведения об автоматически создаваемых группах пользователей, их именах и характеристиках прав их членов;
· создать новую группу в системе с именем «Начинающие пользователи» и включить в отчет о лабораторной работе копию используемого при этом экрана и сведения о порядке создания в системе новых групп пользователей, а также ответ на вопрос, в чем целесообразность разбиения множества пользователей на группы;
4. Освоить порядок назначения прав пользователям:
· открыть окно настройки прав пользователей (Панель управления | Администрирование | Локальная политика безопасности | Локальные политики | Назначение прав пользователя);
· исключить группу пользователей «Все» из числа групп, обладающих правом «Доступ к компьютеру из сети»;
· исключить пользователя «Гость» из числа пользователей, обладающих правом «Локальный вход в систему»;
· добавить группу «Начинающие пользователи» к списку пользователей, обладающих правом «Локальный вход в систему»;
· включить в отчет о лабораторной работе копии экранов, используемых при назначении прав пользователям, и сведения о порядке выполнения этих действий;
· с помощью раздела справки Windows «Назначение прав пользователя» включить в отчет о лабораторной работе пояснения отдельных привилегий пользователей системы. Обязательно ответить на вопрос, почему использование данного права должно быть ограничено.
5. Освоить определение параметров политики безопасности, относящихся к аутентификации и авторизации пользователей при интерактивном входе:
· открыть окно определения параметров безопасности для паролей (Панель управления | Администрирование | Локальная политика безопасности | Политики учетных записей | Политика паролей);
· включить в отчет о лабораторной работе сведения о порядке назначения максимального и минимального сроков действия паролей и ответ на вопрос о смысле подобных ограничений;
· включить в отчет о лабораторной работе сведения о порядке назначения минимальной длины и ограничений на сложность паролей, а также ответы на вопросы, какие и почему требования по сложности предъявляются к паролям в операционной системе Windows (с помощью справочной подсистемы);
· включить в отчет о лабораторной работе сведения о назначении параметров «Требовать неповторяемости паролей» и «Хранить пароли всех пользователей в домене, используя обратимое шифрование» (с помощью справки Windows);
· включить в отчет о лабораторной работе копии экранных форм, используемых при определении параметров политики безопасности, относящихся к паролям;
· открыть окно определения параметров безопасности для политики блокировки учетных записей (Панель управления | Администрирование | Локальная политика безопасности | Политики учетных записей | Политика блокировки учетных записей);
6. Подготовить и оформить письменный отчёт о выполненной работе.
7. Защитить выполненную работу, ответив на контрольные вопросы.
Контрольные вопросы
1. Какие существуют способы аутентификации пользователей?
2. В чем слабость парольной аутентификации?
3. Как может быть повышена надежность аутентификации с помощью паролей?
4. Какой может быть реакция системы на попытку подбора паролей?
5. Кому может быть разрешен доступ по чтению и по записи к базе учетных записей пользователей?
6. Как должны храниться пароли в базе учетных записей пользователей?
7. В чем смысл объединения пользователей в группы?