содержит десять различных флажков, позволяющих устанавливать различные права доступа к разделам реестра. Краткое описание этих флажков и устанавливаемых с их помощью прав приведены в табл. 1.
Флажок Назначаемые праваЗапрос значенияДает право чтения значимых элементов из раздела реестраЗадание значенияДает право модифицировать значимый элемент в разделе реестраСоздание подразделаДает право создавать подразделы в выбранном разделе реестраПеречисление подразделовДает право идентифицировать подразделы выбранного раздела реестраУведомлениеДает право установить аудит на разделы реестраСоздание связиДает право создавать символические ссылки в конкретном подразделе реестраУдалениеДает право удаления выделенного разделаЗапись DACДает право получать доступ к разделу и создавать/модифицировать для него Список управления доступомСмена владельцаДает право присвоения прав владельца данного разделаЧтение разрешенийДает право просматривать параметры безопасности, установленные для данного раздела
Таблица 1. Флажки диалогового окна «Элемент разрешения для…».
Рис. 29. Копия экранной формы разрешений редактора реестра.
Рис. 30. Копия экранной формы элемента разрешения для раздела реестра.
Рис. 31. Копия экранной формы действующих разрешений редактора реестра.
. Ознакомились (с помощью функции Панели управления Администрирование | Управление компьютером - административная оснастка compmgmt.msc, узел Локальные пользователи и группы) с порядком создания и изменения учетных записей пользователей и групп в защищенных версиях операционной системы Windows.
.1. Оснастка "Локальные пользователи и группы" служит для создания пользователей и групп, хранимых локально на компьютере, и управления ими.
Советы и рекомендации по управлению локальными пользователями и группами.
По соображениям безопасности не рекомендуется входить в систему с учетными данными администратора.
При входе в систему не с учетными данными администратора можно использовать команду Запуск от имени администратора для выполнения задач, требующих более высокого уровня прав, чем учетная запись обычного пользователя.
Для обеспечения дополнительной защиты локального компьютера рекомендуется принять во внимание следующие рекомендации.
Ограничьте число пользователей в группе «Администраторы» на локальном компьютере, поскольку члены этой группы получают на данном компьютере разрешение «Полный доступ».
Не включайте учетную запись гостя. Учетная запись гостя используется теми, кто не имеет существующей учетной записи на компьютере. Для учетной записи «Гость» не требуется вводить пароль, что снижает безопасность системы. По умолчанию учетная запись гостя отключена, и включать ее не рекомендуется.
Не включайте учетную запись администратора. По умолчанию учетная запись администратора отключена, и включать ее не рекомендуется.
Некоторые права встроенных пользователей, присвоенные определенным встроенным локальным группам, позволяют членам этих групп получить дополнительные права, в том числе административные, на локальном компьютере. Поэтому необходимо с осторожностью добавлять пользователей в группы «Администраторы» и «Операторы архива».
Управление локальными пользователями.
Основные действия по администрированию локальных пользователей:
Создание локальной учетной записи пользователя;
Сброс пароля для локальной учетной записи пользователя ;
Отключение или активация локальной учетной записи пользователя;
Удаление локальной учетной записи пользователя;
Переименование локальной учетной записи пользователя;
Назначение сценария входа для локальной учетной записи пользователя;
Назначение домашней папки локальной учетной записи пользователя;
Управление локальными группами
Основные действия по администрированию локальных групп:
Создание локальной группы;
Добавление члена в локальную группу;
Идентификация членов локальной группы;
Удаление локальной группы.
Рис. 32. Копия экранной формы Управление компьютером.
. Ознакомились (с помощью функции Панели управления Администрирование | Локальная политика безопасности | Локальные политики | Назначение прав пользователя - административная оснастка secpol.msc, узел Локальные политики | Назначение прав пользователя) с порядком назначения прав пользователям и группам.
.1. Назначение прав пользователям и группам устанавливается настройкой локальной политики. Перечислим основные параметры.
Запретить вход в систему через службы удаленных рабочих столов
Этот параметр безопасности определяет, каким пользователям и группам будет запрещено входить в систему как клиенту служб удаленных рабочих столов.
Запретить локальный вход
Этот параметр безопасности определяет, каким пользователям будет отказано во входе в систему. Этот параметр политики заменяет параметр "Разрешить локальный вход в систему", если к учетной записи применяются обе политики.
Если этот параметр безопасности применяется к группе "Все", никто не сможет войти в систему локально.
Отказать в доступе к этому компьютеру из сети
Этот параметр безопасности определяет, каким пользователям будет отказано в доступе к компьютеру из сети. Этот параметр заменяет параметр политики "Разрешить доступ к компьютеру из сети", если к учетной записи пользователя применяются об политики.
Разрешать вход в систему через службы удаленных рабочих столов
Этот параметр безопасности определяет, какие пользователи или группы имеют право входа в систему в качестве клиента служб удаленных рабочих столов.
Смена владельцев файлов и других объектов
Этот параметр безопасности определяет пользователей, которые могут стать владельцем любого защищаемого объекта системы, в том числе: объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков.
Назначение этого права пользователя может представлять угрозу безопасности. Так как объекты полностью контролируются их владельцами, назначать данное право следует только доверенным пользователям.
Создание аудитов безопасности
Этот параметр безопасности определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания несанкционированного доступа в систему. Неправильное применение этого права пользователя может стать причиной формирования множества событий аудита, которые могут скрыть свидетельства атаки или вызвать отказ в обслуживании, если включен параметр безопасности "Аудит: немедленно завершить работу системы при невозможности протоколирования аудита безопасности".
Рис 33. Копия экранной формы локальной политики безопасности.
. Ознакомились (с помощью функции Панели управления Администрирование | Локальная политика безопасности | Политики учетных записей | Политика паролей - административная оснастка secpol.msc, узел Политики учетных записей | Политика паролей) с порядком определения параметров безопасности для парольной аутентификации.
.1. Политики паролей операционной системы Windows позволяют довольно гибко настроить возможность выбора паролей для пользователей данной системы. А если выразиться точнее, то данные политики позволяют довольно гибко настроить ограничения по выбору паролей для пользователей Windows. Политики паролей позволяют настроить минимальную длину паролей, их сложность и многие другие параметры. Рассмотрим данные политики.
Этот параметр безопасности определяет число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля. Число паролей должно составлять от 0 до 24.
Эта политика позволяет администраторам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться постоянно.
Максимальный срок действия пароля
Этот параметр безопасности определяет период времени (в днях), в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. Срок действия пароля может составлять от 1 до 999 дней; значение 0 соответствует неограниченному сроку действия пароля. Если значение максимального срока действия пароля составляет от 1 до 999 дней, то значение минимального срока действия пароля должно быть меньше максимального. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней.
Примечание. Рекомендуется устанавливать для срока действия паролей значение от 30 до 90 дней, в зависимости от рабочей среды. В этом случае у злоумышленника ограничено время, в течение которого он может взломать пароль пользователя и получить доступ к сетевым ресурсам.
Минимальная длина пароля
Этот параметр безопасности определяет минимальное количество знаков, которое должно содержаться в пароле пользователя. Можно установить значение от 1 до 14 знаков, либо 0 знаков, если пароль не требуется.
Минимальный срок действия пароля
Этот параметр безопасности определяет период времени (в днях), в течение которого пользователь должен использовать пароль, прежде чем его можно будет изменить. Можно установить значение от 1 до 998 дней либо разрешить изменять пароль сразу, установив значение 0 дней.
Значение минимального срока действия пароля должно быть меньше значения максимального срока действия пароля, за исключением значения максимального срока, равного 0 дней, означающего, что срок действия пароля никогда не истечет. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней.
Установите значение минимального срока действия пароля больше 0, чтобы включить ведение журнала паролей. Без установки минимального срока действия пароля пользователь может изменять пароли повторно, пока не получит свой старый предпочитаемый пароль. Значение по умолчанию установлено вопреки этой рекомендации, поэтому администратор может назначить пользователю пароль, а затем потребовать сменить его при входе пользователя в систему. Если для журнала паролей установлено значение 0, пользователю не нужно выбирать новый пароль. По этой причине значение для журнала паролей по умолчанию равно 1.
Пароль должен отвечать требованиям сложности
Этот параметр безопасности определяет, должен ли пароль отвечать требованиям сложности.
Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям.
Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков. Иметь длину не менее 6 знаков. Содержать знаки трех из четырех перечисленных ниже категорий: Латинские заглавные буквы (от A до Z)Латинские строчные буквы (от a до z)Цифры (от 0 до 9)Отличающиеся от букв и цифр знаки (например, !, $, #, %). Требования сложности применяются при создании или изменении пароля.
Хранить пароли, используя обратимое шифрование
Этот параметр безопасности определяет, используется ли операционной системой для хранения паролей обратимое шифрование.
Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности. Хранение паролей с помощью обратимого шифрования - по существу то же самое, что и хранение паролей открытым текстом. По этой причине данная политика не должна применяться, пока требования приложения не станут более весомыми, чем требования по защите паролей.
Эта политика необходима при использовании проверки подлинности протокола CHAP через удаленный доступ или службу проверки подлинности в Интернете (IAS). Она также необходима при использовании краткой проверки подлинности в IIS.
По умолчанию: Отключена.
Рис. 34. Копия экранной формы установки политики паролей.
. Ознакомились (с помощью функции Панели управления Администрирование | Локальная политика безопасности | Политики учетных записей | Политика блокировки учетных записей - административная оснастка secpol.msc, узел Политики учетных записей | Политика блокировки учетных записей) с порядком определения параметров безопасности для политики блокировки учетных записей.
.1. Приведем описание параметров политики блокировки учетных записей и сведения о каждом параметре политики.
Время до сброса счетчика блокировки
Этот параметр безопасности определяет количество минут, которые должны пройти после неудачной попытки входа в систему до того, как счетчик неудачных попыток входа будет сброшен до 0. Допустимые значения: от 1 до 99999 минут.
Если определено пороговое значение блокировки учетной записи, то время сброса должно быть меньше или равно длительности блокировки учетной записи.
Пороговое значение блокировки
Этот параметр безопасности определяет количество неудачных попыток входа в систему, приводящее к блокировке учетной записи пользователя. Заблокированная учетная запись не может использоваться до тех пор, пока не будет сброшена администратором, либо пока не истечет период блокировки этой учетной записи. Количество неудачных попыток входа в систему может составлять от 0 до 999. Если установить это значение равным 0, то учетная запись никогда не будет разблокирована.
Неудачные попытки ввода паролей на рабочих станциях или серверах-членах домена, заблокированных с помощью клавиш CTRL+ALT+DELETE или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему.
Продолжительность блокировки учетной записи
Этот параметр безопасности определяет количество минут, в течение которых учетная запись остается заблокированной до ее автоматической разблокировки. Допустимые значения: от 0 до 99999 минут. Если продолжительность блокировки учетной записи равна 0, то учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее.
Если определено пороговое значение блокировки учетной записи, то длительность блокировки учетной записи должна быть больше или равна времени сброса.
защита программный безопасность
Рис. 35. Копия экранной формы настройки политики блокировки учетной записи.