- •Практичне заняття № 3
- •1. Основні поняття
- •2. Політики облікових записів і локальні політики
- •2.1. Політики облікових записів
- •2.2. Локальні політики
- •3. Засоби управління налагодженням безпеки.Шаблони безпеки
- •3.1. Загальні відомості про оснащення «Шаблоны безопасности»
- •3.2. Нові й готові шаблони
- •3.3. Готові шаблони безпеки
- •3.4. Безпека за умовчанням (Setupsecurity.Inf)
- •3.5. Сумісний (Compatws.Inf)
- •3.6. Захист (Secure*.Inf)
- •3.7. Підвищений захист (Hisec*.Inf)
- •3.8. Безпека системного кореневого каталогу (Rootsec.Inf)
- •3.9. Відсутність sid користувача серверу терміналів (Notssid.Inf)
- •Умовні позначення форматування в описах команд
- •5. Аналіз безпеки
- •6. Налагодження системи безпеки
- •Описи параметрів безпеки
- •7. Автоматизація задач налагодження системи безпеки Програма Secedit.Exe
- •1.2. Використання інтерфейсу Windows
Практичне заняття № 3
Тема: Засоби адміністрування і управління безпекою (4 год.)
Мета: Навчитися використовувати засоби адміністрування і управління безпекою із застосуванням Microsoft Management Console (MMC) у MS Windows XP. Навчитися визначати локальні політики безпеки..
Обладнання: комп’ютери Pentium, Celeron.
Програмне забезпечення: MS Windows XP.
Теоретичні відомості
1. Основні поняття
Адміністратор – у Windows XP Professional користувач, відповідальний за налагодження і управління контролерами домена і локальними комп'ютерами, ведення облікових записів користувачів і груп, надання паролів і дозволів, який також допомагає користувачам працювати в мережі. Адміністратори є членами однойменної групи і володіють повним доступом до домена або комп'ютера.
В Windows XP Home Edition користувач, який має право вносити на комп'ютері зміни на рівні системи, встановлювати програмне забезпечення і має доступ до всіх файлів на комп'ютері. Користувач з обліковим записом адміністратора комп'ютера має повний доступ до інших облікових записів користувачів на комп'ютері.
Active Directory ‑ служба каталогів, яка зберігає відомості про об'єкти мережі і надає ці дані користувачам і адміністраторам. Active Directory дає можливість користувачам мережі здійснювати доступ до передбачених ресурсів в рамках одного процесу підключення. Крім того, ця служба забезпечує адміністраторів інтуїтивним ієрархічним представленням мережі і єдиним інструментом адміністрування всіх мережних об'єктів.
Консоль MMC – це основа для побудови засобів адміністрування, які називаються консолями. Консоль складається з інструментів, папок або інших контейнерів, веб-сторінок і інших компонентів управління. Ці об'єкти відображаються в лівій області консолі, званої деревом консолі. Консоль має одне або декілька вікон, що забезпечують представлення її дерева.
Головне вікно консолі MMC надає меню і кнопки для похідних консолей. Похідні елементи MMC і дерево консолі можна приховати в призначеному для користувача режимі.
Дерево консолі‑це ліва область консолі MMC, що відображає об'єкти консолі. За умовчанням ця область присутня у вікні консолі, але може бути і прихована. Об'єкти, що знаходяться в дереві консолі, і їх ієрархічна організація визначають можливості консолі.
Оснащення (оснастка)– це тип інструменту, який можна додати в консоль, похідну від MMC (Microsoft Management Console). Ізольоване оснащення може використовуватися незалежно від інших оснащень, тоді як оснащення розширення може бути використано тільки як доповнення іншого оснащення.
2. Політики облікових записів і локальні політики
2.1. Політики облікових записів
Усі політики безпеки є політиками безпеки для комп'ютера. Політики облікових записів визначаються на комп'ютерах і визначають взаємодію облікових записів з комп'ютером і доменом. Існує три політики облікових записів.
Політика паролів -використовується для облікових записів доменів і локальних комп'ютерів. Визначає параметри паролів, такі як відповідність обов'язковим умовам і термін дії.
Політика блокування облікового запису -використовується для облікових записів доменів і локальних комп'ютерів. Визначає умови і період часу блокування облікового запису.
Політика Kerberos -використовується для облікових записів користувачів домена. Визначає параметри Kerberos, такі як термін життя квитка і відповідність обов'язковим умовам. Політики Kerberos не входять до складу політики локального комп'ютера.
Для облікових записів доменів допускається використання тільки однієї політики облікових записів. Політика облікових записів повинна бути визначена в політиці домена за умовчанням і реалізовуватися контролерами домена, що створюють цей домен. Контролер домена завжди отримує політику облікових записів від об’єкта групової політики Политика по умолчанию для домена, навіть якщо є інша політика облікових записів, застосована до організаційного підрозділу, який містить контролер домена. Приєднані до домена робочі станції і сервери (такі як комп'ютери-учасники) за умовчанням також отримують цю ж політику облікових записів для локальний облікових записів. Проте локальні політики облікових записів можуть відрізнятися від політики облікових записів домена, наприклад коли політика облікових записів визначається безпосередньо для локальних облікових записів.
У вікні Параметры безопасности доступні дві політики, що мають з політиками облікових записів схожу функціональність. Далі представлені ці політики.
Network Access: Allow anonymous SID/NAME translation.
Мережна безпека: Примусовий вихід з системи після закінчення допустимих годин роботи.