Лабораторная работа № 8
Система разграничения доступа в Windows.
Цель работы:
Ознакомиться с системой разграничения доступа, изучить основные принципы управления учетными записями
Операционная система: Windows XP Professional Service Pack 3
Теоретические сведения
Операционные системы линейки Windows NT, а также старше Windows 98/Me по своей архитектуре являются полноценными многопользовательскими системами, а значит, в целях обеспечения безопасности должны иметь продуманную систему разграничения доступа (СРД). Данная лабораторная работа посвящена основам СРД в современных версиях Microsoft Windows.
Учетные записи пользователей
Основой системы разграничения доступа в ОС является понятие учетной записи. Для каждого зарегистрированного пользователя система создает свою учетную запись. Учетная запись – это запись в специальной базе данных системы, содержащая информацию о пользователе, а также данные для аутентификации пользователя (способ и место хранения учетных записей будут подробнее рассмотрены далее). Каждый раз при аутентификации пользователя, происходит сравнение введенных им данных с данными из базы, и при совпадении пользователь получает соответствующий доступ к ОС.
|
|
Примечание. Если компьютер входит в состав локальной вычислительной сети (ЛВС) на основе домена Windows, учетные записи пользователей и групп хранятся не на локальной системе, а на сервере Windows (контроллере домена). В этом случае проверку аутентификационных данных осуществляет контроллер домена. В данной лабораторной работе этот случай не рассматривается.
Все учетные записи пользователей ОС можно условно разделить на три категории:
¨ Встроенные учетные записи пользователей создаются автоматически при установке ОС. Они являются системными учетными записями, и возможности по управлению ими ограничены (например, их нельзя удалить). Такие учетные записи необходимы самой ОС для разграничения доступа системных процессов.
¨ Стандартные учетные записи пользователей также создаются автоматически при установке ОС. Однако они не являются системными и выполняют вспомогательные функции. Возможности по управлению такими учетными записями не ограничены.
¨ Пользовательские учетные записи – зарегистрированные пользователи ОС. Такие учетные записи создаются и управляются Администратором или пользователем, имеющим соответствующие права.
Все перечисленные категории учетных записей хранятся в одном разделе системного реестра. На жестком диске соответствующий раздел находится в файле %WINDOWS%/system32/config/sam. Доступ к данному файлу (и соответствующему разделу системного реестра) имеет только системная учетная запись. Даже Администратор не имеет прямого доступа к базе учетных записей ОС.
|
|
Ниже приведены встроенные учетные записи ОС и их назначение:
Учетная запись | Описание |
SYSTEM | Это системная учетная запись. Обладает неограниченными правами в системе. Используется самой ОС для загрузки компонентов ядра, системных сервисов и библиотек. Недоступна для интерактивного входа. Изменение атрибутов учетной записи также невозможно. |
LOCAL SERVICE | Это ограниченная системная учетная запись. Обычно используется для загрузки локальных сервисов системы. Недоступна для интерактивного входа. Изменение атрибутов учетной записи также невозможно. |
NETWORK SERVICE | Это ограниченная системная учетная запись. Обычно используется для загрузки сетевых сервисов системы. Недоступна для интерактивного входа. Изменение атрибутов учетной записи также невозможно. |
Администратор | Учетная запись администратора системы. Необходима для выполнения многих административных задач (управление настройками системы, управление другими пользователями и т.п.). Обычно обладает наивысшими правами среди доступных для интерактивного входа учетных записей. |
Гость | Гостевая учетная запись. Обычно обладает минимальными правами и предназначена для входа анонимных пользователей. Отключена по умолчанию. |
Ниже приведены стандартные учетные записи ОС и их назначение:
Учетная запись | Описание |
HelpAssistant | Учетная запись для предоставления удаленной помощи |
SUPPORT_388945a0 | Это учетная запись поставщика для службы справки и поддержки |
Группы пользователей
Каждая учетная запись обладает определенными правами доступа и привилегиями в системе. Эти права могут выставляться Администратором для каждой учетной записи отдельно. Однако это не всегда удобно, т.к. многие пользователи обладают одинаковыми правами доступа, и приходится для соответствующих учетных записей выставлять одни и те же права. Поэтому еще одним инструментом управления разграничением доступа в ОС являются группы. Группа – это совокупность учетных записей, обладающих одинаковыми правами. Каждая отдельная учетная запись может принадлежать к одной или нескольким группам, и, следовательно, обладать правами группы.
Все группы можно условно разделить на две категории:
¨ Стандартные группы пользователей создаются автоматически при установке ОС. Однако, они не являются системными, поэтому возможности по управлению такими группами не ограничены (можно удалять, переименовывать, изменять права и т.д.).
¨ Пользовательские группы – зарегистрированные группы ОС. Такие группы создаются и управляются Администратором или пользователем, имеющим соответствующие права. Возможности по управлению такими группами не ограничены.
Далее перечислим и охарактеризуем основные стандартные группы ОС.
Администраторы - членство в этой группе по умолчанию предоставляет самый широкий набор прав и возможность изменять собственные права. По умолчанию членом этой группы является только встроенная учетная запись Администратора. Права Администратора в системе практически неограниченны, хотя учетная запись SYSTEM обладает еще более высокими правами.
В целях безопасности рекомендуется использовать административный доступ только для выполнения следующих действий:
¨ установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее);
¨ установки пакетов обновления;
¨ обновления операционной системы;
¨ восстановления операционной системы;
¨ настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
|
|
¨ вступления во владение файлами, ставшими недоступными;
¨ управления журналами безопасности и аудита;
¨ архивирования и восстановления системы.
Опытные пользователи - эта группа поддерживается, в основном, для совместимости с предыдущими версиями и для выполнения не сертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры ОС. Члены группы Опытные пользователи имеют больше прав, чем члены группы Пользователи, и меньше, чем члены группы Администраторы. Опытные пользователи могут выполнять любые задачи с ОС, кроме задач, зарезервированных для группы Администраторы (например, установка сервисов и драйверов).
Опытные пользователи могут:
¨ устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
¨ настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
¨ останавливать и запускать системные службы, не запущенные по умолчанию.
Опытные пользователи не могут добавлять себя в группу Администраторы. Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены.
Пользователи - членами этой группы обычно являются рядовые пользователи системы. Группа Пользователи предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Они не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Пользователи имеют полный доступ только к своим файлам данных и только к своей части реестра (HKEY_CURRENT_USER). Права на уровне пользователя часто не допускают выполнение пользователем различных приложений. Учетные записи, входящие в группу Пользователи, не могут устанавливать новые приложения в систему и гарантированно могут запускать только сертифицированные приложения.
|
|
Операторы архива - члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности.
Гости - члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной записи Гость, еще более ограниченной в правах.
Операторы настройки сети - члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.
Пользователи удаленного рабочего стола - члены этой группы имеют право на выполнение удаленного входа в систему.