Средства поддержки безопасности компьютера в Windows 2000
Безопасность компьютера имеет большую важность не только с точки зрения защиты данных на самом компьютере, но и с точки зрения безопасности всей сети. Хорошая система безопасности выполняет подтверждение личности пользователей, которые пытаются осуществить доступ к ресурсам на компьютере, защищает определенные ресурсы от несанкционированного доступа со стороны пользователей и предоставляет простые и эффективные средства настройки и поддержки безопасности на компьютере.
В Windows 2000 имеются следующие средства для выполнения вышеперечисленных задач:
Учетные записи пользователей.
Учетные записи групп.
Шифрование (только для дисков NTFS).
Разрешения файлов и папок (только для дисков NTFS).
Разрешения общих папок.
Разрешения принтеров.
Аудит.
Права пользователей.
Групповая политика.
Учетные записи пользователей
Для использования компьютера под управлением Windows 2000 необходимо сначала создать учетную запись пользователя, состоящую из имени пользователя и пароля.
После нажатия CTRL+ALT+DEL и ввода имени пользователя и пароля Windows 2000 проверяет их. Если учетная запись пользователя была отключена или удалена, Windows 2000 будет предотвращать любые попытки доступа с помощью данной учетной записи, тем самым открывая доступ только разрешенным пользователям.
Для создания, добавления или удаления пользователей из существующих групп и изменения паролей пользователей служит объект Пользователи и пароли на панели управления.
Для использования объекта «Пользователи и пароли» необходимо войти в систему с помощью учетной записи «Администратор» или члена группы «Администраторы».
Учетные записи групп
Для выполнения задач на компьютере с установленной операционной системой Windows 2000 пользователи должны обладать определенными правами.
Учетные записи групп позволяют быстро и просто назначать пользователям права и разрешения.
Windows 2000 Professional содержит много встроенных групп (таких как «Администраторы», «Операторы архива», «Пользователи»), организованных в зависимости от задач, которые часто выполняются пользователями. Назначение пользователей одной или нескольким из встроенных групп позволяет предоставить большей части пользователей права, которые им необходимы для выполнения их задач.
Оснастка «Локальные пользователи и группы» раздела “Администраторы” Панели управления управляет пользователямиигруппамипользователей выбранного компьютера. Допускается создание новых пользователей и групп, добавление пользователей в группы, удаление пользователей из групп, отключение учетных записей пользователей и групп, а также сброс паролей.
Параметры безопасности по умолчанию
Параметры безопасности по умолчанию для Windows 2000 могут быть описаны с помощью разрешений, предоставляемых группам, использующимся по умолчанию («Администраторы», «Опытные пользователи», «Пользователи» и «Операторы архива»), а также трем специальным группам:
Администраторы
Члены группы «Администраторы» могут выполнять все действия, поддерживаемые операционной системой. Параметры безопасности по умолчанию не запрещают административный доступ к любому объекту реестра или файловой системы. Администраторы могут наделять себя всеми правами, которые у них отсутствуют по умолчанию.
В идеале административный доступ должен использоваться только для выполнения следующих действий:
установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее);
установки пакетов обновления;
обновления операционной системы;
восстановления операционной системы;
настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
вступления во владение файлами, ставшими недоступными;
управления журналами безопасности и аудита;
архивирования и восстановления системы.
На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.
Пользователи
Группа «Пользователи» предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы.
Пользователи могут
выключать рабочие станции, но не серверы.
создавать локальные группы, но управлять могут только теми, которые они создали.
запускать сертифицированные программы для Windows 2000, которые были установлены или развернуты администраторами.
Пользователи имеют полный доступ к своим файлам данных (%userprofile%) и своей части реестра (HKEY_CURRENT_USER).
Пользователи не могут:
изменять параметры реестра на уровне системы, файлы операционной системы или программы,
устанавливать программы, которые могут быть запущены другими пользователями.
У них также нет доступа к личным данным и настройкам рабочего стола других пользователей.
Для обеспечения безопасности системы Windows 2000 администратор должен:
убедиться, что конечные пользователи являются членами только группы «Пользователи»;
внедрять программы, например сертифицированные для Windows 2000, которые будут успешно выполняться членами группы «Пользователи».
Пользователи не могут запускать большинство программ для предыдущих версий Windows, поскольку предыдущие версии Windows либо не поддерживают безопасность файловой системы и реестра (Windows 95 и Windows 98), либо параметры безопасности системы по умолчанию недостаточно строгие (Windows NT). Если у пользователей возникают сложности с выполнением устаревших приложений на только что установленных системах NTFS, выполните одно из следующих действий.
Установите новые версии приложений, сертифицированные для Windows 2000.
Переместите конечных пользователей из группы «Пользователи» в группу «Опытные пользователи».
Уменьшите разрешения безопасности по умолчанию для группы «Пользователи». Это можно сделать при помощи совместимого шаблона безопасности. За дополнительными сведениями обращайтесь к разделу справки «Стандартные шаблоны безопасности» в ссылке «См. также».
Опытные пользователи
Члены группы «Опытные пользователи» имеют больше разрешений, чем члены группы «Пользователи», и меньше, чем члены группы «Администраторы».
Опытные пользователи могут выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы «Администраторы».
Параметры безопасности Windows 2000 по умолчанию для опытных пользователей очень похожи на стандартные параметры безопасности для пользователей Windows NT версии 4.0. Все программы, которые могут выполняться пользователями в Windows NT версии 4.0, в Windows 2000 могут выполнять опытные пользователи.
Опытные пользователи могут:
выполнять приложения, сертифицированные для Windows 2000, а также устаревшие приложения;
устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
создавать и управлять локальными учетными записями пользователей и групп;
останавливать и запускать системные службы, не запущенные по умолчанию.
Опытные пользователи не могут добавлять себя в группу «Администраторы». Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены.
Внимание!
Для выполнения устаревших программ в Windows 2000 часто необходимо изменить доступ к некоторым параметрам системы. Разрешения по умолчанию, позволяющие опытным пользователям выполнять устаревшие программы, также позволяют им получать дополнительные привилегии в системе, даже полный административный контроль. Тем не менее, важно внедрять программы, сертифицированные для Windows 2000, чтобы обеспечить максимальную безопасность без снижения функциональности программ. Программы, сертифицированные для Windows 2000, могут успешно выполняться в безопасной конфигурации группы «Пользователи». Дополнительные сведения можно найти в разделе о безопасной установке Windows 2000 на веб-узле Microsoft Security Advisor.
Поскольку опытные пользователи могут устанавливать и изменять программы, подключение к Интернету в качестве опытного пользователя может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности. Дополнительные сведения можно найти в разделе «Почему не следует работать на компьютере с учетной записью администратора».
Операторы архива
Члены группы «Операторы архива» могут:
архивировать и восстанавливать файлы на компьютере, независимо от всех разрешений, которыми защищены эти файлы,
входить на компьютер и выключать его/
Операторы архива не могут изменять параметры безопасности.
Внимание!
Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами. Параметры групповой политики могут использоваться для создания такой среды, чтобы операторы архива могли выполнять только программы архивирования. Дополнительные сведения можно найти в разделе о безопасной установке Windows 2000 на веб-узле Microsoft Security Advisor.
Специальные группы
В Windows 2000 автоматически создаются несколько дополнительных групп.
Интерактивные. В этой группе находится пользователь, в настоящее время работающий в системе. Во время обновления Windows 2000 члены группы «Интерактивные» также добавляются в группу «Опытные пользователи», таким образом устаревшие приложения будут работать так же, как и до обновления.
Сеть. В этой группе находятся все пользователи, в настоящее время имеющие доступ на компьютер по сети.
Пользователь сервера терминалов. При установке сервера терминалов в режиме сервера приложений, в этой группе содержатся пользователи, в настоящее время работающие в системе с помощью сервера терминалов. Все программы, которые могут быть запущены пользователями в Windows NT версии 4.0 будут выполняться для пользователя сервера терминалов в Windows 2000. Разрешения, назначенные по умолчанию для данной группы, позволяют пользователю сервера терминалов выполнять большинство устаревших программ.
Внимание! Для выполнения устаревших программ в Windows 2000 необходимо разрешение на изменение некоторых параметров системы. Разрешения по умолчанию, позволяющие пользователям сервера терминалов выполнять устаревшие программы, также позволяют им получать дополнительные привилегии в системе, даже полный административный контроль. Приложения, сертифицированные для Windows 2000, могут успешно выполняться в безопасной конфигурации группы «Пользователи». Дополнительные сведения можно найти в разделе о безопасной установке Windows 2000 на веб-узле Microsoft Security Advisor.
Примечание. При установке сервера терминалов в режим удаленного управления пользователи, работающие на компьютере с помощью сервера терминалов не будут членами этой группы.
Шифрование (только для дисков NTFS)
Шифрование файлов и папок позволяет сделать их нечитаемыми для пользователей, не прошедших проверку. Если пользователь, осуществляющий попытку доступа к зашифрованному файлу, обладает закрытым ключом к данному файлу (иными словами, если данный пользователь лично зашифровал файл или является зарегистрированным агентом восстановления), то пользователь сможет открыть файл и работать с ним, как с любым обычным документом. Доступ к файлу запрещен пользователю, не имеющему закрытого ключа к данному файлу. Шифрование поддерживается только томами NTFS.