Обеспечение работы системы регистрации и авторизации пользователей сети
Цель работы:ознакомиться с порядком регистрации и авторизации пользователей сети, научиться проводить регистрацию NPS-сервера в домене по умолчанию, проходить авторизацию доступа к сети
Оборудование: тандем компьютера с ОС Windows 8 и компьютера с ОС WindowsServer 2008
Задание:провести регистрацию NPS-сервера в домене по умолчанию, пройти авторизацию доступа к сети
Теоретические сведения
Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. В большинстве систем защиты авторизация осуществляется многократно при каждой попытке доступа субъекта к конкретному объекту.
Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).
Авторизация пользователей осуществляется с использованием следующих основных механизмов реализации разграничения доступа:
• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для использования программ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.
Технические средства разграничения доступа к ресурсам АС должны рассматриваться как составная часть единой системы контроля доступа субъектов:
• на контролируемую территорию;
• в отдельные здания и помещения организации;
• к элементам АС и элементам системы защиты информации (физический доступ);
• к информационным и программным ресурсам АС.
Механизмы управления доступом субъектов к объектам доступа выполняют основную роль в обеспечении внутренней безопасности компьютерных систем. Их работа строится на концепции единого диспетчера доступа. Сущность этой концепции состоит в том, что диспетчер доступа (монитор ссылок) - выступает посредником-контролером при всех обращениях субъектов к объектам.
Ход работы
Регистрация NPS-сервера в домене по умолчанию
1. Нажмите кнопку Пуск, выберите Администрирование и щелкните пункт Сервер сетевых политик.
2. Правой кнопкой мыши щелкните Сервер сетевых политик (локальный) и затем выберите пункт Зарегистрировать сервер в ActiveDirectory. Откроется диалоговое окно Сервер сетевых политик.
3. В диалоговом окне Сервер сетевых политик нажмите кнопку OK и затем еще раз нажмите кнопку OK.
Авторизация доступа к сети
Успешное или неудачное прохождение авторизации зависит как от свойств удаленного доступа учетных записей пользователей ActiveDirectory®, так и от политик сети, настроенных на сервере политики сети.
Политики сети позволяют предоставлять или запрещать доступ к сети пользователям или компьютерам, являющимся членами групп Windows, в то время как параметр разрешения доступа к сети в свойствах входящих вызовов учетных записей пользователей в доменных службах ActiveDirectory управляет предоставлением или блокировкой доступа к сети для отдельных пользователей. Кроме того, с помощью доменных служб ActiveDirectory можно указать, что разрешение на доступ к сети будет предоставляться на базе параметров политики сети.
При разработке схемы авторизации необходимо определить, как должно осуществляться управление авторизацией – по пользователям или по группам.
Авторизация по пользователям
Если управление авторизацией осуществляется по пользователям, для разрешения на доступ к сети в учетной записи пользователя или компьютера устанавливается значение Разрешение доступа к узлуили Запретить доступ. При желании можно создать разные политики сети для разных типов подключений.
Например, может возникнуть необходимость создать одну политику сети для подключений по виртуальной частной сети (подключений VPN) и другую политику сети – для беспроводных подключений.
Управление авторизацией по отдельным пользователям рекомендуется только в том случае, если число находящихся под управлением учетных записей пользователей или компьютеров невелико.
Если управление авторизацией осуществляется по пользователям, базовый процесс, используемый на сервере политики сети для авторизации запроса на подключение, протекает следующим образом:
· Если сервер политики сети обнаруживает, что запрос на подключение соответствует всем условиям политики сети, он проверяет параметр разрешения на доступ к сети для данной учетной записи пользователя.
· Если параметр разрешения на доступ к сети учетной записи пользователя настроен на предоставление доступа, сервер политики сети применяет к предоставленному подключению эту политику сети и параметры подключения учетной записи пользователя.
· Если параметр разрешения на доступ к сети учетной записи пользователя настроен на запрет доступа, сервер политики сети отклоняет данный запрос на подключение.
· Если запрос на подключение не соответствует всем условиям первой политики сети, сервер политики сети переходит к проверке по следующей политике сети.
· Если запрос на подключение не соответствует полностью условиям ни одной из настроенных политик сети, сервер политики сети отклоняет данный запрос на подключение.
Авторизация по группам
Если управление авторизацией осуществляется по группам, установите для разрешения доступа к сети в учетной записи пользователя значение Управление доступом на основе политики сети NPS и создайте политики сети, соответствующие разным типам подключения и членству в группах Windows.
Например, может возникнуть необходимость создать одну политику сети для подключений удаленного доступа для сотрудников (членов группы "Сотрудники", созданной в доменных службах ActiveDirectory) и другую политику сети для подключений удаленного доступа для подрядчиков (члены группы "Подрядчики", созданной в доменных службах ActiveDirectory).
Если управление авторизацией осуществляется по группам, базовый процесс, используемый на сервере политики сети для авторизации запроса на подключение, протекает следующим образом:
· Если сервер политики сети обнаруживает, что запрос на подключение соответствует всем условиям политики сети, он проверяет параметр Права доступа данной политики сети.
· Если параметр Права доступа настроен на предоставление доступа, сервер политики сети применяет к предоставленному подключению эту политику сети и параметры подключения учетной записи пользователя.
· Если параметр Права доступа настроен на запрет доступа, сервер политики сети отклоняет данный запрос на подключение.
· Если запрос на подключение не соответствует всем условиям первой политики сети, сервер политики сети переходит к проверке по следующей политике сети.
· Если запрос на подключение не соответствует полностью условиям ни одной из настроенных политик сети, сервер политики сети отклоняет данный запрос на подключение.
Содержание отчета
Отчет по практической работе должен содержать следующие пункты:
- название практической работы;
- цель работы;
- краткие теоретические сведения;
- индивидуальное задание для выполнения практической работы;
- краткое описание хода выполнения работы;
- результаты выполнения работы;
- выводы.