Зверева О.М. Операционные системы. Часть 3: Операционная система Windows 2000 Professional. Дополнительные возможности администрирования и мониторинга системы

Подождите немного. Документ загружается.

Расширение Параметры безопасности позволяет настраивать

аспекты системы безопасности компьютера:

• Политики учетных записей (Account Policies). Можно настраивать

политики безопасности как учетных записей в масштабах домена, так

и локальных учетных записей. Здесь определяются политика паролей,

блокировки паролей и новая политика Kerberos, распространяющаяся

на весь домен.

• Локальные политики (Lоса1 Ро1iсies). Можно настраивать

политику

аудита, назначать права пользователей и различные параметры безо-

пасности, доступные для настройки в системе Windows 2000.

• Журнал событий (Event Log). Можно настраивать политики, опреде-

ляющие работу журналов событий приложений, системы и безопасно-

сти.

• Группы с ограниченным доступом (Restricted Groups). Можно регули-

ровать членство пользователей в специфических группах. Сюда обыч-

но включают встроенные

группы, такие как Администраторы,

Операторы архива и другие, имеющие по умолчанию права админист-

ратора. В эту категорию могут быть включены и другие группы, безо-

пасность которых требует особого внимания и членство в которых

должно регулироваться на уровне политики (только для политики в

домене).

• Системные службы (System Services). Можно настраивать безопас-

ность и параметры загрузки для работающих на компьютере служб. В

этом разделе могут быть использованы расширения, с помощью кото-

рых можно осуществлять настройку безопасности, специфическую

для данной службы (только для политики в домене).

• Реестр (Registry). Можно настраивать безопасность различных разде-

лов реестра (только для политики в домене).

• Файловая система

(File System). Можно настраивать безопасность

определенных файлов (только для политики в домене).

• Политики открытого ключа (Public Key Policies). Можно настраивать

политики безопасности в отношении шифрования информации.

• Политики безопасности IP (IPSEC). Позволяет настраивать политику

безопасности IР для компьютеров, находящихся в определенной об-

ласти действия.

Политики безопасности, определяемые расширением Параметры

безопасности, действуют на компьютеры и частично

на пользователей.

Поскольку политика безопасности Windows 2000 значительно отличается

от политик предыдущих версий Windows NT, при переходе к

Windows 2000 низкоуровневые политики безопасности не переносятся.

Если при переходе создается новое дерево доменов, одновременно

создается и новая политика безопасности, назначаемая по умолчанию.

Если при переходе домен присоединяется к уже существующему дереву,

политика безопасности берется от родительского домена.

Для модификации настроек безопасности щелкните на папке

Параметры безопасности, затем щелчками на соответствующих

узлах

откройте весь путь, ведущий к интересующим настройкам. В правом

подокне окна оснастки Групповая политика двойным щелчком выберите

настраиваемую политику и в открывшемся окне настройте ее.

Политика учетных записей

На локальном компьютере политика учетных записей

подразделяется на две группы: паролей и блокировки учетных записей.

Если рабочая станция или сервер включается в

домен, то независимо от

того, какая политика действовала на них до этого, она будет заменена

политикой в домене (поэтому в правом подокне видим два значения

«Локальный параметр» и «Действующий праметр»).

Основные правила политики паролей с описанием, значением по

умолчанию и значением для защищенных систем приведены в табл. 4

Правила политики паролей

Таблица 4

Наименование правила

политики

Описание

Максимальный срок

действия пароля (Maxi-

mum password age)

Максимальный период, по окончании которо-

го пароль нужно изменять. Если пользователь

долго не меняет своего пароля, защищенность

системы от несанкционированного доступа

заметно снижается.

Значение по умолчанию: 42

Для защищенных систем: 42

Минимальная длина

пароля (Minimum pass-

word length)

При повышенных требованиях к защите пус-

той пароль недопустим. Администратор сис-

темы должен определить в политике ведения

учетных записей минимальную длину паро-

ля. Создавая новую учетную запись для поль-

зователя, он может указать пароль произ-

Наименование правила

политики

Описание

вольной длины независимо от ограничения,

заданного политикой ведения учетных запи-

сей. Однако, если пользователь будет изме-

нять свой пароль после регистрации системы,

он сможет ввести пароль только согласно

правилам учетных записей.

Значение по умолчанию: 0

Значение для защищенных систем: 8

Минимальный срок

действия пароля (Mini-

mum password age)

Ограничивает минимальное время, через ко-

торое пользователь может изменять свой па-

роль. Сменив по истечении срока действия

пароль, пользователь может захотеть вер-

нуться к прежнему. Так как это ослабит за-

щищенность системы, принудительная за-

держка не позволит этого сделать. Это осо-

бенно эффективно, если установить параметр

отслеживания паролей (см. далее).

Значение по умолчанию: 0

Значение для защищенных систем: 2

Требовать неповторяе-

мости паролей (Enforce

password uniqueness by

remembering last…)

Позволяет хранить историю паролей. Пока не

будет использовано указанное число паролей,

ни один из них повторно задействовать нель-

зя. Эффективно при обязательной смене па-

ролей через определенный срок и запрете

смены пароля в течение другого срока.

Значение по умолчанию: 0

Значение для защищенных систем: 6

Пароли должны отве-

чать требованиям слож-

ности (Passwords must

meet complexity require-

ments of installed pass-

word filter)

Windows 2000 позволяет добавлять в систему

модули, проверяющие сложность пароля.

Разрешив данное правило, вы снимете с себя

тяжкое бремя слежения за паролями пользо-

вателей и разъяснения им того, что в качестве

пароля нельзя использовать свое имя, год ро-

ждения, имена родственников и т.д.

Система

посредством установленного фильтра сама

позаботится о том, чтобы пароль содержал

минимум 3 из перчисленных типов символов:

− прописные буквы;

− строчные буквы;

− цифры;

Наименование правила

политики

Описание

− спец . символы.

Значение по умолчанию: Запрещено

Значение для защищенных систем: Разрешено

Хранить пароли всех

пользователей в домене,

используя обратимое

шифрование (Allow

storage of passwords un-

der reversible encryption)

Равносильно разрешению хранения паролей в

открытом (незашифрованном) виде. Пред-

ставляет серьезную угрозу для безопасности

системы.

Значение по умолчанию: Запрещено

Значение для защищенных систем: Запрещено

Политика блокировки учетных записей позволяет обезопасить

систему от «словарных атак» - программ взлома системы защиты,

выводящих пароль путем перебора наиболее часто используемых слов и

фраз из своего словаря. Эта политика отобьет охоту войти в вашу систему.

Как и политика паролей, политика блокировки учетных записей имелась в

Windows NT 4.0. Основные правила политики блокировки учетных

записей приведены в табл. 5.

Правила политики блокировки учетных записей

Таблица 5

Наименование правила

политики

Описание

Блокировка учетной за-

писи на (Lockout account

for)

Заблокировать учетную запись навечно нель-

зя – иначе законный владелец не войдет в

систему. Нужно установить некоторый ра-

зумный срок, по истечении которого учетная

запись будет разблокирована. Это правило

устанавливает срок в минутах.

Значение по умолчанию: Не установлено

Значение для защищенных систем: 30 минут

Пороговое значение бло-

кировки (Account lockout

amount)

Количество неудачных попыток зарегистри-

роваться в системе , по достижении которого

учетная запись будет заблокирована.

Значение по умолчанию: 0 (не блокируется)

Значение для защищенных систем: 5

Сброс счетчика блоки-

ровки через (Reset lockout

count after)

Даже законный хозяин учетной записи может

ошибаться и вводить неверный пароль. Дабы

его ошибки не накапливались и не привели в

Наименование правила

политики

Описание

один прекрасный момент к блокировке учет-

ной записи, введено правило сброса отсчета

по истечении определенного срока.

Значение по умолчанию: Не установлено

Значение для защищенных систем: 30 минут

Локальные политики

Локальные политики регламентируют правила безопасности на

локальном компьютере. Они позволяют распределить административные

роли, конкретизировать права пользователей, назначить правила аудита.

Локальная политика содержит 3 группы правил: правила

назначения прав пользователей, правила аудита и параметры

безопасности.

Назначение прав пользователей. Права пользователей на

выполнение определенных действий устанавливаются при установке

системы для определенных групп

или назначаются администратором. В

таблице 6 приведены основные права и группы, которым они назначаются

по умолчанию.

Права пользователей

Таблица 6

Права пользователей Назначаются по умолчанию группам

Архивирование файлов и ка-

талогов

Администраторы, Операторы архива

Восстановление файлов и

каталогов

Администраторы, Операторы архива

Доступ к компьютеру из сети Все, Пользователи, Опытные пользовате-

ли, Операторы архива, Администраторы

Завершение работы системы Пользователи, Опытные пользователи,

Операторы архива, Администраторы

Загрузка и выгрузка драйве-

ров устройств

Администраторы

Изменение параметров среды

оборудования

Администраторы

Изменение системного вре-

мени

Опытные пользователи , Администрато-

ры

Овладение файлами или дру-

гими объектами

Администраторы

Отладка программ Администраторы

Создание страничного файла Администраторы

Управление аудитом и жур-

налом безопасности

Администраторы

Параметры безопасности представляют собой дополнительные

правила, позволяющие усилить защиту. Большая часть таких параметров

для системы видна на рис.14.

Установка программ (Software Installation)

Оснастка Установка программ предназначена для организации

централизованного управления установкой программного обеспечения на

компьютеры сети Windows 2000. Она позволяет настроить два режима

установки ПО на группу компьютеров или для группы пользователей –

назначение (assignment)

и публикация (publishing).

Назначение ПО группе пользователей или компьютеров

предполагает, что все пользователи, которым необходима данная

программа, будут автоматически получать ее без привлечения

администраторов или технического персонала. Если для приложения

установлен принудительный режим, ярлык, соответствующий данной

программе, появляется в меню Пуск, а в реестр заносится информация о

данном приложении, включая местоположение

пакета и других файлов,

необходимых для установки данного ПО. При первом обращении

пользователя к ярлыку соответствующее программное обеспечение

устанавливается и запускается.

Публикация программного обеспечения предполагает, что

пользователь сам сможет решить, устанавливать ему данное приложение

или нет. В данном случае ярлык в меню Пуск не появляется, локальный

реестр тоже не изменяется. Вся

информация, необходимая для установки

программы, находится в Active Directory.

Сценарии (Scripts)

С помощью этого расширения можно задать сценарии, которые

должны выполняться на компьютере при загрузке и завершении работы

операционной системы, а также при регистрации пользователя в системе и

окончании сеанса работы.

Для задания сценариев:

1. Запустите оснастку Групповая политика.

2. Если необходимо задать сценарий, выполняющийся при загрузке

операционной системы или завершении ее работы, откройте узел

Конфигурация компьютера.

Рис.14. Окно оснастки Групповая политика с изображением пара-

метров безопасности

3. Чтобы задать сценарий, выполняющийся при регистрации поль-

зователя в системе и выходе из системы, откройте узел Конфигу-

рация пользователя.

4. Откройте узел Сценарии.

5. В правом подокне окна оснастки Групповая политика появится

пара образов сценариев: Автозагрузка/Завершение

(Startup/Shutdown) – для компьютера и Вход в систему/Выход из

системы (Logon/Logoff) – для пользователя.

6. Для подключения сценария укажите соответствующий образ и

нажмите правую кнопку мыши. В контекстном меню выберите

команду Свойства. Откроется окно диалога свойств сценариев.

7. В этом окне нажмите кнопку Добавить. Откроется окно диалога

Добавление сценария (Add a Script), в котором введите имя при-

соединяемого сценария и задайте необходимые значения пара-

метров. Если имя сценария

неизвестно, нажмите кнопку Обзор –

отобразится содержимое папки, где по умолчанию хранятся сце-

нарии (каждый тип сценария находится в собственной папке на

общем томе SYSVOL). Здесь можно выбрать необходимый сце-

нарий. Для быстрого перехода к папке со сценариями служит

кнопка Показать файлы (Show Files) в окне свойств сценариев.

8. После завершения ввода информации нажмите

кнопку OK.

Перенаправление папки (Folder Redirection)

Оснастка Перенаправление папки позволяет перенаправить

некоторые папки профиля пользователя в другое место (как правило, на

общий ресурс сети). Перенаправление возможно для следующих папок:

• Application Data

• Рабочий стол (Desktop)

• Мои документы (My documents)

• Мои рисунки (My Pictures)

• Главное меню (Start Menu)

Перенаправление папки на общий ресурс сети позволяет,

например, обеспечить доступ к

информации перечисленных папок для

различных компьютеров сети (особенно важно для папки Мои

документы), а также повысить отказоустойчивость и упростить создание

резервных копий информации.

Для перенаправления специальной папки на общий ресурс сети:

1. Запустите оснастку Групповая политика.

2. Найдите узел Перенаправление папки и откройте его.

3. Укажите специальную папку и нажмите правую кнопку мыши. В

открывшемся контекстном меню выберите команду Свойства.

4. В окне свойств папки в раскрывающемся списке Значение (Set-

ting) выберите пункт Базовый

(Basic), если данная специальная

папка переназначается в одно место для всех пользователей.

Появится поле ввода Размещение конечной папки (Target folder

Location).

5. Нажмите кнопку Обзор и укажите местоположение переназна-

чаемой информации.

6. Если специальная папка для различных групп переназначается в

разные места, в списке Значение выберите пункт Расширенный

(Advanced). В этом случае в нижней

части окна свойств папки

появится поле Членство в группе безопасности (Security Group

Membership).

7. Нажмите кнопку Добавить. В открывшемся окне диалога Выбор

группы и размещения (Specify Group and Location) введите имя

группы пользователей и соответствующее ей целевое местопо-

ложение переназначаемой информации.

Хранение объекта групповой политики

На каждом компьютере сети Windows 2000 существует локальный

объект групповой политики, представляющий собой шаблон

групповых

политик. По умолчанию он содержит только информацию безопасности.

Его данные расположены в папке %SystemRoot%\System32\GroupPolicy.

Администраторы и операционная система обладают полным доступом к

этой папке. Пользователи получают доступ только на чтение.

Подкаталоги шаблона групповых политик

Внутри папки шаблона групповых политик имеются следующие

подкаталоги:

• Adm (если компьютер входит в домен). Здесь находятся

все файлы

*.adm для данного шаблона групповых политик.

• Machine. Здесь хранится файл Registry.pol со значениями параметров

реестра, устанавливаемыми для компьютера. При загрузке операци-

онной системы файл Registry.pol копируется с контроллера домена, и

его данные записываются в реестр в раздел

НКЕY_LOCAL_MACHINE. Если компьютер входит в домен, в папке

Масhine появляется подкаталог Scripts (где находятся все сценарии и

связанные с ними файлы

), в котором находятся подкаталоги Shutdown

и Startup для сценариев выключения и запуска системы (соответст-

венно).

• User. Здесь хранится (если компьютер входит в домен) файл

Registry.роl со значениями параметров реестра, устанавливаемыми

для пользователей. Когда пользователь регистрируется в системе,

файл Registry.роl копируется с контроллера домена, и его данные за-

писываются в реестр

в раздел НКЕY_CURRENT_USER. Если компь-

ютер входит в домен, папка User содержит подкаталог Scripts, где на-

ходятся все сценарии и связанные с ними файлы, и подкаталоги

Logoff и Logon (для сценариев выхода из системы и регистрации в

системе).

Порядок применения групповых политик

Применение групповых политик происходит в

последовательности, соответствующей иерархии объектов групповых

политик:

сначала объект групповой политики сайта, затем домена, затем

объекты, связанные с подразделениями в соответствии с их

вложенностью. Порядок выполнения групповых политик можно изменить

с помощью настроек, блокирующих определенные групповые политики

или заставляющих их выполняться принудительно.

По умолчанию настройки групповой политики, применяемые к

контейнеру определенного уровня, наследуются всеми контейнерами

более низких уровней

и находящимися внутри них пользователями и

компьютерами. Если с дочерней организационной единицей

(контейнером) связан свой объект он может устанавливать для нее

индивидуальные настройки групповых политик, отменяющие применение

к ней наследуемых настроек. Если некоторые настройки групповых

политик родительского контейнера не заданы, то они не наследуются и

дочерними контейнерами. Если родительский контейнер

обладает

сконфигурированными настройками групповых политик, которые не

заданы в объекте дочернего контейнера, то такие настройки наследуются.