Политики учётных записей в Windows 2000/XP

Локальные политики

Задание политики этих учетных записей и назначение им соответствующие права. В Windows 2000 это осуществляется через консоль Локальная Безопасность. Запустить консоль Локальная безопасность следует из Панели управления->Администрирование.

Можно эту же оснастку запустить и как отдельный инструмент

Консоль включает несколько интегрированных контейнеров: "Политика учетных записей", "Локальные политики", "Политики открытого ключа", "Политики безопасности IP на локальный компьютер", каждый из которых включает свои интегрированные компоненты.

Итак, политика управления паролями и политика блокирования учетных записей в Windows 2000 выполняется администратором в узле Политики учетных записей оснастки Локальная безопасность.

В узле Политики паролей вынесены отдельно настройки, связанные с ограничениями на используемые пароли. Давайте их рассмотрим.

Настройка первая - Максимальный срок действия пароля. Настроить определенный параметр политики можно, дважды щелкнув мышкой на выбранном пункте списка в окне соответствующего узла. Таким образом, можно установить Максимальный срок действия пароля.

Как видите, в этом окне указано, что пароли в системе (все оптом) истекают в течение определенного количества дней, по умолчанию - 42 дня. Если у пользователя истек пароль, это не значит, что он не может входить в систему - просто при очередном входе в сеть пользователю будет предложено поменять пароль. Обратите внимание - эта настройка, как и все, перечисленные в этом окне, относятся не к какому ни будь одному пользователю - это настройки для всех сразу. Если Вы хотите, чтобы пароль конкретного пользователя не истекал, в то время как пароли других пользователей имели максимальный срок жизни, то Вы знаете как это сделать - в настройках конкретного пользователя установите галочку Срок действия пароля не ограничен. Для чего ограничивать срок жизни пароля сверху? Если Вы всегда пользуетесь одним и тем же паролем, то высока вероятность, что когда ни будь его удастся кому то подсмотреть, если Вы заставляете пользователей периодически менять пароль с помощью описываемой настройки, то таким образом Вы повышаете безопасность в сети.

Следующая настройка - Минимальный срок действия пароля. Установив его в значение 0, Вы позволите своим пользователям менять пароль когда угодно, указав же некоторое число, Вы заставите пользователя пользоваться установленным по крайней мере некоторое количество дней. Эта настройка полезна, если Ваши пользователи часто от скуки меняют пароли и забывают их, однако совсем запретить изменение паролей Вам не позволяют требования безопасности.

Идем далее - Минимальная длина пароля. Этот параметр по умолчанию имеет значение: 0, что означает разрешение даже пустых паролей, однако из соображений безопасности Вы можете заставить своих пользователей выбирать пароли из числа букв, не меньшего, чем указанное Вами число.

Следующие настройки отвечают за уникальность паролей. Представьте себе: Вы как администратор требуете, чтобы пользователи меняли свои пароли не реже одного раза в 30 дней. Пусть некоторому пользователю Windows 2000 сообщает, что он обязан сменить пароль, а пользователь этого делать не хочет - он привык к своему паролю и ему наплевать на проблемы безопасности. Что тогда сделает пользователь, которого Вы заставляете сменить пароль? Правильно, в качестве нового пароля введет ... пароль старый, такой же как и был, следовательно фактически НЕ сменит пароль, хотя формально процедура смены прошла. Для того, чтобы избегать подобных случае, есть настройка "Требовать не повторяемости паролей". Значение настройки "Не запоминать прежние пароли" установленное в 0 означает, что Windows 2000 не запоминает старые пароли пользователей, не ведет историю паролей. Напротив, если оно установлено в определенное число означает, что Windows 2000 для каждого пользователя будет запоминать его последние пароли и не позволять использовать их в качестве новых.

Второй узел Политики учетных записей - Политика блокировки учетных записей. Что это такое? Это ситуация, когда учетная запись пользователя приостанавливает свое действие вследствие того, что пользователь несколько раз неверно ввел свой пароль - очевидно эта мера предназначена для борьбы с попытками подбора паролей.

По умолчанию учетные записи пользователей не блокируются при неверных вводах пароля, однако администратор может включить эту функцию (параметр Блокировка учетной записи на). Соответственно, администратор может настроить через какое количество неверных попыток ввести пароль учетная запись пользователя блокируется (параметр Пороговое значение блокировка). Следующая настройка - Сброс счетчика блокировки через говорит о том, через какое время сбрасывается счетчик неверных попыток, если блокировка еще не наступила.

В целом процедура формирования политики использования паролей состоит из трех шагов: устанавливаются требования к созданию паролей, трудных для "взлома"; устанавливаются правила изменения паролей на регулярной основе и, наконец, необходимо сделать так, чтобы злоумышленникам требовалось больше времени для "взлома" паролей методом повторяющейся регистрации.

Политики позволяют надежно заделать возможные "дыры" в системе защиты, и не только с помощью пароля. В арсенале администратора имеется политика блокировки учетной записи, которая затруднит работу программы автоматического перебора паролей.

Таким образом, мы рассмотрели политики безопасности в сети относительно учетных записей. Следующие узел оснастки Локальные безопасности.

Права пользователей

Итак, в узле Локальные политики мы видим несколько узлов - Политики аудита, Назначение прав пользователя, Параметры безопасности.

Рассмотрим с Вами узлы - Назначение прав пользователя и Параметры безопасности. Настройки пользовательских прав крайне важны, обратите на них особое внимание: нередко возникающая проблема может быть решена присвоением пользователю некоторого права, без которого он не может выполнить какое либо действие.

В открывшемся окне мы видим список определенных прав, а так же каким группам пользователей данное право предоставлено. Давайте рассмотрим, какие же права пользователя перечислены и кому они предоставлены. Чтобы зайти в настройки права пользователя, необходимо щелкнуть мышкой дважды на выбранном пункте из списка. Мы с Вами не будем рассматривать все из этого списка, остановимся только на некоторых.

Первое право, которое мы рассмотрим, - Доступ к компьютеру по сети.

Те, кому предоставлено это право, могут обращаться к данному компьютеру за его общими ресурсами, при этом, разумеется, получить право доступа к конкретному ресурсу могут только те пользователи, которые внесены в ACL данного ресурса. Фактически, это пользовательское право должно быть предоставлено всем, и лишь имея это право, пользователь может обращаться к общему ресурсу, тогда уже в силу вступают разрешения пользователя на некоторый ресурс. Как видите право Доступ к компьютеру по сети предоставлено группе Все, т.е. всем пользователям.

Право Архивирование файлов и каталогов позволяет пользователям получать доступ (с целью архивирования) даже к тем файлам и папкам, на которые обычно у пользователя нет прав.

Соответственно, в Windows 2000 есть специальная встроенная группа Операторы архива, которая как раз и обладает описанным правом. Помимо нее, данным правом обладают Администраторы.

Право Изменять системное время, как ясно из названия, описывает те группы пользователей, которые имеют право изменять системное время на компьютере.

Лишь Администраторы и Опытные пользователи имеют право изменять системное время.

Право Завершение работы системы позволяет выключить или перезагрузить компьютер. Как видите это тоже привилегия, которую необходимо заслужить :) - по умолчанию перезагружаться или выключать компьютер могут лишь члены групп: Администраторы, Опытные пользователи, Пользователи, Операторы архива.

Право Загрузка и выгрузка драйверов устройств означает право устанавливать и удалять драйвера для поддержки оборудования.

Обратите внимание - только члены группы Администраторы могут устанавливать и удалять драйвера.

Следующее право является одним из наиболее важнейших. Право Локальный вход в систему означает право входа в домен с ЭТОГО компьютера. В Windows 2000 это право имеют члены групп Администратор, Пользователи, Опытные пользователи, Операторы архива, и даже Гости. Здесь обратите внимание, если Вы создаете на Вашем компьютере новую группу, добавляете пользователей только в эту группу, проследите, чтобы этой группе было назначено право Локальный вход в систему, иначе члены такой группы не смогут "зайти" на этот компьютер. Только имеющий право Локальный вход в систему имеет право входит в сеть локально, т.е. с этой машины.

Следующее право - Управление аудитом и журналом безопасности. - Аудит. В Windows 2000 имеется возможность настраивать и вести подробнейшие журналы, описывающие происходящие в системе события - и все это могут делать только члены группы Администраторы!

Право Восстановление файлов и каталогов является обратным к уже рассмотренному праву Архивирование файлов и каталогов. Фактически те, кто имеют это право могут разархивировать даже те файлы, на которые обычно могут и не иметь доступа. Право дано по умолчанию членам групп Операторы архива, Администраторы.

И наконец последнее, крайне важное право - Овладение файлами и иными объектами. Предоставлено по умолчанию это право лишь членам группы Администраторы, и именно с помощью этого права члены группы Администраторы могут получить доступ к любым объектам, даже если им не предоставлено доступа - просто взяв объект во владение, затем владелец объекта волен настраивать ACL для объекта.

Вот мы разобрались с Вами с пользовательскими правами. Разумеется, я не предлагаю Вам запомнить в точности, какие права предоставлены каким группам - однако Вам необходимо запомнить важнейшие права, такие как Локальный вход в систему, кроме того необходимо ориентироваться в тех инструментах, которыми Вы пользуетесь - если Вы помните, что существуют такие "пользовательские право", но совершенно не помните, какие настройки там можно сделать, то грош цена такому знанию!

Разумеется, Вы не обязаны придерживаться настроек прав пользователей по умолчанию: Вы вольны добавлять в списки новые группы и новых пользователей (лучше оперировать группами, так короче) или удалять имеющиеся записи.

Политики безопасности. Диалоговое окно Windows Security

Нужно сказать, что такой теме, как - Безопасность Windows 2000 -, посвящен целый ряд книг, статей, журналов, форумов и т. п, поэтому при всем желании за одну статью мы не сможем рассмотреть ее полностью, это и не является нашей задачей. Что нам на сегодня необходимо знать о безопасности Windows 2000.

Основным отличием операционных систем семейства Windows 2000 (и Windows NT) от Windows 9x является реализованная в них система защиты. Однако в "свежеустановленной" на локальном компьютере Windows 2000 Professional эта система по умолчанию отключена. Чтобы обезопасить свой компьютер, придется предпринять некоторые весьма неочевидные действия, а именно: создать схему защиты. Несмотря на множество публикаций о Windows 2000, а также вполне сносную встроенную справочную систему, найти рекомендации по защите Windows 2000, установленной на домашнем компьютере, не так просто. Как в книгах, так и в справке Windows 2000 предполагается подключение компьютера к локальной сети и реализация защиты через сетевой домен или рабочую группу. Тем не менее даже автономный компьютер с Windows 2000 Professional способен защитить себя как от злоумышленников, так и от неудачных действий "законного" пользователя.

Сейчас мы рассмотрим как с этой задачей можно справиться с помощью узла Параметры безопасности оснастки Локальная безопасность.

Проблема обеспечение безопасности компьютера связана с работой в сети, где существует большое количество различного рода опасностей, атак, вирусов и т. п. и особенно этот материал относится к тем компьютерам, которые подключены к сети Интернет (предполагаю, что некоторые из Вас уже имеют горький опыт). Тут нужно быть всегда на страже, а поскольку быть стражем - это не дело пользователя, для которого должно быть всегда все удобно и комфортно, и скрыто как можно более всяких нюансов и настроек связанных с работой системы, то за обеспечение безопасности компьютера в сети должны отвечать средства операционной системы и системный администратор. Что же нам, как системным администраторам, предоставляет для решения этой задачи оснастка Локальная безопасность.

Итак, узел "Параметры безопасности" позволяет администратору безопасности вручную настраивать уровни безопасности, назначенные политике локального компьютера, как Вы видите здесь их целый список. Чтобы изменить любое из значений шаблона, дважды щелкните его. Появится диалоговое окно, позволяющее модифицировать значение.

Таким образом контролировать включение или отключение настроек безопасности, таких как цифровая подпись данных, имена учетных записей администратора и гостя, доступ к дисководам гибких и компакт-дисков, установка драйверов и приглашения на вход в систему и все остальные доступные параметры политики безопасности. Давайте рассмотрим подробнее, какие параметры рекомендуется устанавливать для повышения защиты Вашего компьютера от различного рода атак по сети Интернет.

Первое о чем хотелось бы отметить в продолжение выше сказанного - напоминать пользователям об истечении срока действия пароля, который как мы уже говорили - 14 дней (по умолчанию).

Пользователям можно написать любое пожелание при входе в систему, в целях администрирования конечно.

Рекомендуется включать политику - не отображать последнего имени пользователя в диалоге входа (по умолчанию - отключен). Особенно полезно в случае, когда рядовой пользователь имеет пароль аналогичный своему имени, и тогда без труда можно с нескольких переборов пароля хакеру проникнуть на этот компьютер.

Рекомендуется включать политику - запретить пользователям установку драйвера принтера (по умолчанию - отключен). А также рекомендуется включить политику - очистка страничного файла виртуальной памяти (по умолчанию - отключен). После этого система всегда при выключении компьютера будет удалять файл подкачки. Но тут есть свой минус - система будет долго выключатся.

Еще одна политика безопасности относится к состоянию окна CTRL+ALT+DEL при входе в систему. Эта политика по умолчанию не установлена. После отключения Вы увидите при входе в систему окно CTRL+ALT+DEL, которое по умолчанию в Windows 2000 Professional не отображается. Если компьютер подключен к сети следует восстанавливать окно CTRL+ALT+DEL.

Кроме этого, в целях безопасности полезно настраивать следующие параметры:

* "Автоматически отключать сеансы пользователей по истечении разрешенного времени" (Включить),

* "Длительность простоя перед отключением сеанса" (скажем так я у себя на компьютере ставлю 10 минут),

* "Дополнительные ограничения для анонимных подключений" (установить в значение "Нет доступа, без явного разрешения анонимного доступа"),

* "Использовать цифровую подпись со стороны клиента (Всегда)" (Включить),

* "Использовать цифровую подпись со стороны клиента (по возможности)" (Включить),

* "Использовать цифровую подпись со стороны сервера (Всегда)" (Включить),

* "Использовать цифровую подпись со стороны сервера (по возможности)" (Включить),

* "Разрешить доступ к дисководам компакт-дисков только локальным пользователям" (Включить),

* "Разрешить доступ к НГМД только локальным пользователям" (Включить),

Вы можете самостоятельно экспериментировать с вышеперечисленными политиками. Хотя локальные политики дают Вам сильный уровень контроля над системой, они продолжают оставаться недостаточно гибким инструментом именно как средство обеспечения безопасности сети, так как должны настраиваться локально на каждой машине. Отмечу, что у Вас есть возможность сохранять настройки политики в файл и затем экспортировать эти локальные настройки на другие системы.

Итак, мы с Вами разобрались с основными возможностями оснастки Локальная безопасность, как средства обеспечения безопасности локального компьютера. А теперь отметим еще одно средство безопасности Windows 2000 Professional, которое так и называется Диалоговое окно Безопасность Windows (Windows Security). Нажимаем заветную комбинацию Ctrl+Alt+Del для того, чтобы запустить из окна Windows Security оснастку Диспетчер задач, давайте рассмотрим, какие еще возможности системы позволяет запустить это окно.

Диалоговое окно Windows Security позволяет решать следующие важные задачи:

заблокировать рабочую станцию;

изменить свой пароль;

пользоваться утилитой Диспетчер задач;

выйти из Windows 2000;

зарегистрироваться в системе под другим именем;

выключить компьютер.

Итак, по порядку.

Блокировка - позволяет блокировать компьютер без выхода из системы (например, если Вам надо отлучиться с рабочего места). Все программы при этом продолжают работать.

Чтобы разблокировать станцию, введите свой пароль. Если пользователь забыл пароль, рабочую станцию может разблокировать администратор. После этого администратор волен назначить пользователю новый пароль

Смена пароля - позволяет пользователю изменить пароль своей учетной записи. Перед заданием нового пароля пользователь должен ввести прежний (эта схема предохраняет от несанкционированного изменения чужого пароля). Для пользователей это единственный способ обновить спой пароль. Регулярная смена паролей и ограничения на пароли - неотъемлемая часть стратегии учетных записей, проводимой администратором

Выход из системы - осуществляет выход пользователя из системы. Операционная система Windows 2000 продолжает работать. Это, в частности, означает, что пользователи сети могут по-прежнему подключаться к данному компьютеру и использовать его ресурсы. Всегда выходите из системы, если не собираетесь больше работать на компьютере. Существует и другой способ завершить работу в системе (более известный) - Пуск->Завершение работы->Завершение сеанса.

Диспетчер задач - содержит список приложений и процессов, работающих в данный момент. С его возможностями Вы уже знакомы.

Выключение системы - закрывает все файлы, сохраняет все данные операционной системы и подготавливает компьютер к отключению питания. На экране появится диалоговое окно Завершение работы с компьютером. По умолчанию в нем выбран переключатель Завершить работу.

Отмена - закрывает диалоговое окно Windows Security

Итак, какие рекомендации по использованию диалогового окна Windows Security как средства обеспечения безопасности локального компьютера в сети. Для вызова окна нажимаете CTRL+ALT+DELETE. Изменять свои пароли можно пользователи могут только при помощи диалогового окна Windows Security. Рекомендуется пользователям компьютера в сети приучиться всегда блокировать рабочие станции, когда им нужно отлучиться с рабочего места, а если компьютер им больше не нужен, выйти из системы и подготовить компьютер к выключению питания.

Давайте обобщим основные рекомендации по локальной безопасности компьютера, с которыми мы познакомились.

Следует всегда нажимать комбинацию клавиш CTRL+ALT+DELETE перед регистрацией на компьютере, даже если окно регистрации уже на экране. Это обеспечит эффективную защиту и предотвратит попытки взлома системы с помощью вирусов типа "Троянский конь".

Пользуйтесь командой Завершение работы для подготовки компьютера к выключению питания. Это гарантирует, что Windows 2000 закроет все открытые файлы, сохранит системные и пользовательские параметры и предотвратит повреждение файлов.

Держите пароль в полном секрете. Это гарантирует, что никто не сможет получить доступ к компьютеру и сетевым ресурсам таким простым способом.

Включайте парольную защиту при использовании экранных заставок. Благодаря этому рабочие станции, оставленные без присмотра, будут автоматически блокироваться.

Блокируйте компьютер, если Вам необходимо отлучиться с рабочего места. Программы пользователя будут продолжать работу, но доступ к компьютеру будет блокирован до тех пор, пока Вы не снимете блокировку, введя правильный пароль.

Заканчивая работу, выходите из системы. При этом все открытые Вами файлы будут закрыты, a Windows 2000 продолжит работать, что позволит другим пользователям зарегистрироваться на компьютере.