Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
При входе в систему Windows XP Professional с использованием интерактивного процесса данные, удостоверяющие личность пользователя, сверяются с данными, хранящимися на локальном компьютере или на контроллере домена. Эти процессы будут различаться в зависимости от того, где хранятся данные о пользователе.
Примечание. При входе в домен Windows 2000 в диалоговом окне должна появится надпись Logondomain (Домен входа). Если этого не произошло, щелкните на кнопке Options (Параметры) и выберите домен или введите имя пользователя в следующем формате: username@ mycomputer. .
Интерактивный вход
Для конечного пользователя процесс входа представляется достаточно простым. Надо вписать свое имя пользователя и пароль и нажать на Enter. Однако большая часть событий, необходимых для осуществления интерактивного входа, происходит "за кулисами". В процессе входа задействованы следующие компоненты.
· Winlogon. Процесс, отвечающий за проведение операций входа и выхода, а также за начало сессии пользователя.
· Graphical Identification and Authentication (GINA). Файл динамической библиотеки (DLL), вызываемый Winlogon и содержащий имя пользователя и пароль. Представлен в виде диалогового окна, появляющегося при входе в систему.
· LocalSecurityAuthoruty (LSA). Объект на локальном устройстве, который проверяет имя пользователя и пароль при аутентификации.
· SecurityAccountManager (SAM). Объект, который ведет базу данных имен пользователей и паролей. SAM находится как на локальных компьютерах, так и на контроллерах доменов.
· NetLogonService. Эта служба используется наравне с NTLM (будет обсуждаться далее в лекции) для отправки запросов к SAM контроллера домена.
· Kerberos Key Distribution Center (KDS) service. Эта служба применяется при аутентификации для доступа к ActiveDirectory.
Запуск от имени
Если вы в своей Windows-сети выполняете всю работу, используя свои администраторские данные для удостоверения личности, то подвергаете сеть необоснованному риску. Например, вы можете неумышленно занести вирус, который распространится по всей сети. Наилучшим способом минимизировать риск является использование для входа прав обычного или опытного пользователя и своей учетной записи администратора, только если этого требует работа.
К сожалению, выходить из системы в качестве пользователя и снова входить в нее в качестве администратора - дело достаточно нудное и неэффективное. Поэтому в Windows XP Professional есть инструмент под названием RunAs (Запуск от имени). Он позволяет пользователю входить в систему с одним набором данных, удостоверяющих его личность, а затем запускать приложения, используя другой набор привилегий. Например, используя данные удостоверения личности обычного пользователя, вы можете выполнять свою ежедневную работу, заходить на сайты в интернете и т. д. Затем, если потребуется управление группой пользователей, вы обращаетесь к RunAs, выполняете свои административные задачи и закрываете RunAs.
Запуск от имени позволяет запускать:
· программы;
· ярлыки программ;
· ММС;
· элементы Панели управления.
Для запуска RunAs проделайте следующие шаги.
1. Определите место расположения элемента, который вы хотите открыть, в WindowsExplorer, и затем щелкните на нем.
2. Нажмите на SHIFT, щелкните правой кнопкой мыши на элементе и выберите RunAs (Запуск от имени).
3. В открывшемся диалоговом окне (рис. 27.15) щелкните на кнопке Thefollowinguser (Учетная запись указанного пользователя).
Рис. 27.15. Диалоговое окно RunAs (Запуск от имени)
4. Введите свое имя пользователя и пароль или учетную запись, которую вы хотите использовать для доступа к элементу.
5. В окне Domain (Домен) выполните одно из действий:
o введите имя своего компьютера для использования данных удостоверения личности администратора локальной сети;
o введите имя своего домена для использования данных удостоверения личности администратора домена.
Если инструмент RunAs (Запуск от имени) не работает, убедитесь в том, что сервис RunAs подключен, используя оснастку Services (Службы) ММС.
Протоколы
Существует много протоколов обеспечения безопасности, и система Windows XP Professional использует два наиболее распространенных: Kerberos и NTLM. NTLM используется по умолчанию как протокол входа в систему в сетях Windows NT. Kerberos применяется как протокол по умолчанию для доменов Windows 2000.
Протокол Kerberos применяется в том единственном случае, когда контроллеры доменов используют Windows 2000 или. NET, а клиенты используют Windows XP Professional. В остальных сценариях применяется протокол NTLM. В следующих разделах рассматривается работа этих протоколов безопасности.
Kerberos
Kerberos - это протокол аутентификации по умолчанию, используемый в системах Windows 2000 и Windows XP Professional.
Протокол Kerberos был разработан в Технологическом институте (Массачусетс) в 1232323 г. Этот протокол предоставляет быстрый одноразовый вход в систему Windows-сети, а также в сети с другими операционными системами, поддерживающими Kerberos. Протокол Kerberos обеспечивает следующие возможности:
· быструю аутентификацию при входе в компьютерную сеть со множеством компонентов;
· взаимодействие с не-Windows системами, использующими протокол Kerberos;
· сквозную аутентификацию для распределенных приложений;
· транзитивные доверительные отношения между доменами.
Протокол Kerberos обеспечивает взаимно-секретную аутентификацию. Это означает, что знают пароли только клиент и другой компьютер (называемый центром распространения ключей - KDS). Kerberos предоставляет быструю аутентификацию, поскольку снимает бремя этой задачи с сервера и передает его клиенту и KDS.
NTLM
Протокол NTLM осуществляет аутентификацию компьютеров и клиентов по принципу вызов/ответ. При работе по протоколу NTLM исходный сервер должен контактировать с контроллером домена для подтверждения подлинности пользователя или компьютера.
Примечание. Протокол NTLM можно использовать не только в окружении домена, но также при взаимодействии двух устройств одного ранга и в групповой работе.
Следующие шаги поясняют, что происходит при интерактивном входе в систему в соответствии с протоколом NTLM.
1. Пользователь инициирует вход, нажимая клавиши CTRL+ALT+DEL. Этоназывается SAS (Secure Attention Sequence).
2. Далее Winlogon вызывает библиотеку GINA. DLL - появляется диалоговое окно входа.
3. После того как пользователь ввел свое имя и пароль, Winlogon посылает информацию в LSA.
Примечание. LSA - это объект, который получает имя пользователя и пароль от Winlogon и принимает решение о разрешении входа в систему локального компьютера или сети.
4. Если учетная запись пользователя хранится на локальном компьютере, то LSA использует пакет аутентификации MSV1_0 , сравнивая информацию для входа с данными, хранящимися в базе данных SAM компьютера. Если учетная запись пользователя хранится в сети, то LSA использует MSV1_0 и службу Сетевой вход в систему (NetLogon) для проверки SAM на Windows NT-контроллере домена.
5. Если информация подтверждается, то SAM сообщает об этом LSA, высылая пользовательский идентификатор защиты (SID). Более того, SAM высылает идентификаторы защиты (SID) всех групп, к которым принадлежит пользователь. Эта информация используется локальным администратором безопасности (LSA) для создания маркера доступа, который включает в себя идентификатор защиты пользователя.
6. Сеанс работы пользователя начинается после получения службой Winlogon этого маркера.
Аутентификация
Не путайте вход в систему с аутентификацией. В то время как вход позволяет пользователю получать доступ к компьютеру (локально или с сетевыми полномочиями), процесс аутентификации позволяет пользователям иметь определенные разрешения на работу и членство в группах.
Создание, управление и удаление учетных записей пользователей и создание и поддержка групп безопасности являются важнейшими задачами управления безопасностью. Именно от этих функций зависит уровень доступа пользователей и их возможность работать с сетевыми ресурсами.
Учетная запись пользователя
Каждый пользователь в сети имеет свою учетную запись. Учетные записи могут создаваться локально или как часть домена. Если у пользователя имеется локальная учетная запись, то он не может получить доступ к сетевым ресурсам (если в сети нет разрешенного анонимного доступа). Если у пользователя есть учетная запись на уровне домена, то со своего локального компьютера он может получать доступ к ресурсам сети.
При инсталляции Windows XP Professional создаются две учетные записи пользователя.
· Администратор. Позволяет конфигурировать и управлять системой. После окончания инсталляции и конфигурирования Windows XP Professional эта учетная запись нужна только для выполнения отдельных административных задач.
Примечание. Хорошей практикой в обеспечении безопасности является отключение учетной записи администратора и использование для повседневной работы учетной записи пользователя.
· Гость. Позволяет пользователям входить в компьютер без отдельной учетной записи для каждого пользователя.
Помимо этих учетных записей, Windows XP Professional позволяет создавать еще ряд учетных записей.
· Оператор архива. Члены этой группы могут выполнять операции копирования и восстановления на компьютерах, независимо от имеющихся разрешений.
· Группа службы поддержки. Члены этой группы могут использовать приложения для диагностики проблем, возникающих в системе.
· Операторы настройки сети. Члены этой группы могут выполнять ограниченные административные функции, такие как выдача IP-адресов.
· Опытные пользователи. Члены этой группы занимают промежуточное положение между администраторами и простыми пользователями. Они могут устанавливать и модифицировать приложения, имеют права на чтение и запись и могут получать разрешения на установку локальных принтеров (с согласия администратора).
· Пользователи удаленного рабочего стола. Члены этой группы имеют право доступа с удаленного компьютера.
· Репликатор. Члены этой группы имеют право копировать файлы домена.
· Пользователи. Члены этой группы имеют ограниченное право доступа к системе и могут получать права на чтение и запись только в индивидуальном порядке.
Если для локального компьютера нужен определенный тип учетной записи, то администратор должен войти в систему и создать эту учетную запись. Никто, кроме него, не имеет права создавать учетные записи.
Для создания, управления и удаления учетной записи проделайте следующие шаги.
1. Выберите Start\ControlPanel (Пуск\Панель управления).
2. Щелкните на UserAccounts (Учетные записи пользователей). Появится окно, показанное на рис. 27.16.
Вы также можете управлять дополнительными характеристиками пользователей, о чем пойдет речь в следующих разделах.
Управление паролем
Работники приходят и уходят (некоторым даже предлагается это сделать). Поэтому Windows XP Professional обеспечивает возможность управления паролями служащих вашей организации. Есть два способа управления паролями.
Рис. 27.16. Управление учетными записями пользователей
· UserAccounts (Учетные записи пользователей). Расположенная в панели управления, эта опция используется, если компьютер не является частью домена, и паролями надо управлять локально.
· LocalUsersandGroups (Локальные пользователи и группы). Эта оснастка ММС используется, если компьютер является частью домена и надо управлять паролями на нескольких компьютерах.
Задачи, связанные с паролем
Для изменения пароля пользователя проделайте следующие шаги.
1. Выберите Start\ControlPanel (Пуск\Панель управления) и затем щелкните дважды на UserAccounts (Учетные записи пользователя).
2. В появившемся диалоговом окне (рис. 27.17) щелкните на имени пользователя и затем щелкните на ChangePassword (Смена пароля).
3. Впишите новый пароль два раза в диалоговом окне ResetPassword (Смена пароля).
4. Вы можете ввести подсказки для пароля, если считаете, что это поможет пользователю вспомнить забытый пароль.
Windows XP Professional позволяет устанавливать определенные правила для управления паролями. Например, можно заставить пользователя изменять свой пароль при каждом входе в систему, отключить учетную запись и т. д. Для установки правил проделайте следующее.
Рис. 27.17. Изменение пароля пользователя
1. Откройте ММС и добавьте оснастку LocalUsersandGroups (Локальные пользователи и группы).
2. Щелкните дважды на папке Users (Пользователи).
3. Щелкните правой кнопкой мыши на имени пользователя, учетной записью которого вы собираетесь управлять, и затем выберите Properties (Свойства).
4. На странице свойств (рис. 27.18) можно установить следующие правила:
o Usermustchangepasswordatnextlogon (Пользователь должен сменить пароль при следующем входе);
o Usercannotchangepassword (Пользователь не может менять пароль).
o Passwordneverexpires (Время действия пароля не ограничено);
o Accountisdisabled (Учетная запись отключена);
o Account is locked out (Учетнаязаписьзаблокирована).
Примечание.Установить более сложные правила для использования пароля можно с помощью оснастки GroupPolicy (Групповая политика): установить минимальную длину пароля или определить время смены пароля.
Рис. 27.18. Управление правилами пароля
Сохранение имен пользователей и паролей. Исходя из сложности и конфигурации сети, вы можете не захотеть, чтобы пользователь применял одни и те же реквизиты для доступа к различным ресурсам. Например, пользователь будет иметь доступ на уровне опытного пользователя для сети, но только уровень обычного пользователя для доступа к серверу. В любом случае Windows XP Professional будет отслеживать реквизиты пользователя с помощью опции StoredUserNamesandPasswords (Сохранение имен пользователей и паролей), находящейся в панели управления.
Примечание. Возможности сохранения имен пользователей и паролей не ограничиваются только именами пользователей и паролями. Также можно отслеживать сертификаты безопасности, смарт-карты и мандаты Passport.
Если пользователь пытается получить доступ к сетевому ресурсу, защищенному паролем, то будут использованы его реквизиты входа. Если эти реквизиты окажутся недостаточными, то будет послан запрос в файл StoredUserNamesandPasswords (Сохранение имен пользователей и паролей). Если реквизиты пользователя окажутся на месте, то пользователь получит доступ к ресурсу. Если реквизитов на месте не окажется, то пользователю порекомендуют ввести корректные реквизиты, которые будут сохранены для использования в будущем.
При создании нового имени пользователя и пароля для доступа к защищенному паролем ресурсу сети проделайте следующие шаги.
1. Выберите Start\ControlPanel (Пуск\Панель управления) и дважды щелкните на UserAccounts (Учетные записи пользователей).
2. Если вы являетесь частью домена, щелкните на вкладке Advanced (Дополнительно) и затем щелкните на ManagePasswords (Управление паролями). На компьютерах, не являющихся часть домена, надо щелкнуть на значке, аналогичном учетной записи, и затем в области RelatedTasks нажать на Manageyourstoredpasswords (Управление сохраненными паролями).
3. Щелкните на Add (Добавить).
4. Введите необходимую информацию.
Восстановление паролей. Если вы когда-нибудь забывали свой пароль, то вам знакомо ощущение тревоги и неудобства, связанное с его восстановлением. Для решения этой проблемы Windows XP Professional включает в себя мастер сброса пароля (PasswordResetWizard), который позволяет создавать запасную дискету для восстановления пароля.
Примечание. Мастер сброса пароля работает только на локальном компьютере. Программу нельзя использовать для сетевых учетных записей. Более того, на дискете на самом деле нет пароля, а вместо этого она содержит пару секретных ключей - общий и личный. Так как ваш пароль не хранится на дискете, то нет необходимости создавать новую запасную дискету всякий раз при смене пароля.
Для создания запасной дискеты проделайте следующие шаги.
1. Выберите Start\ControlPanel (Пуск\Панель управления).
2. Выберите UserAccounts (Учетные записи пользователей) и в списке выберите свою учетную запись.
3. Вокне Related Tasks (Связанныезадачи) щелкнитена Prevent a forgotten password. Этим приводится в действие мастер сброса пароля.
4. Щелкните на Next (Далее).
5. Вставьте дискету в дисковод.
6. В поле CurrentUserAccountPassword (Пароль текущей учетной записи) введите свой пароль и нажмите Next (Далее).
7. Когда индикатор выполнения задания покажет, что задание выполнено, нажмите на Finish (Готово) и уберите дискету в безопасное место.
Примечание. Лучше не снабжать дискету наклейкой с надписью "Запасная копия пароля".
Теперь при вводе неверного пароля система Windows XP Professional будет запрашивать дискету с запасной копией. Мастер задаст вопрос, в каком дисководе находится запасная дискета, и попросит ввести новый пароль.
Групповая безопасность
Учетные записи пользователей являются строительными блоками для построения безопасности групп. Группы можно создавать и управлять ими в зависимости от нужд организации. Например, можно разбить всех пользователей на группы, состоящие из руководителей высшего звена, среднего звена и простых служащих. Такая структура будет полезна, если вы хотите дать (или отобрать) разрешение определенной группе пользователей, не затрагивая всей организации. Например, в организации только что установили новый цветной принтер, но вы хотите, чтобы к нему имело доступ только руководство. Дав разрешение на доступ к принтеру только группам, включающим в себя руководителей высшего и среднего звена, вам не придется беспокоиться по поводу того, что все служащие компании будут пользоваться принтером. Более того, надо выдать всего два разрешения (по одному каждой группе пользователей), а не возиться целый день с учетными записями пользователей сети, чтобы выдавать разрешения каждому по отдельности.
Группы безопасности могут быть любого размера. Они включают от одного компьютера или пользователя до всего домена или леса. Все группы безопасности системы Windows XP Professional подпадают под одну из следующих категорий.
· Локальные группы компьютера. Эти группы определены только в рамках работы локального компьютера и не фигурируют нигде внутри домена.
· Локальные группы домена. Разрешения выдаются только устройствам, являющимся частями домена.
· Глобальные группы. Используются в рамках домена для объединения учетных записей пользователей, которым необходим доступ, на основании их работы внутри организации.
· Универсальные группы. Группы этой категории применяются в многодоменной сети для объединения пользователей, которым необходим доступ к сетевым ресурсам на основании их работы в данной организации.
Встроенные принципы безопасности применяются к любой учетной записи, которая использует компьютер определенным образом, по сути, не являясь группой безопасности, но подчиняясь тем же правилам. Например, встроенные принципы безопасности могут применяться к каждому, кто использует соединение наборного доступа, или к любому, кто входит в компьютер из сети.
В основном группы определяются на основании того, в какой части сети они могут использовать разрешения, и по количеству трафика, который генерирует группа. Другим преимуществом использования групп является то, что если они хорошо спланированы и реализованы, то сетевая нагрузка снижается в связи с отсутствием необходимости в обширной репликации контроллера домена.
Whoami
Это инструмент командной строки системы Windows XP Professional, который позволяет просматривать разрешения и права, выданные пользователю.
Whoami находится на диске с Windows XP Professional в каталоге Support\Tools. Этот инструмент возвращает имя домена или компьютера наряду с именем текущего пользователя и компьютера, в системе которого работает Whoami. Он показывает имя пользователя и его SID, группы и их идентификаторы защиты, привилегии и статус.
Для инсталляции Whoami щелкните дважды на инструменте SETUP. EXE в каталоге Support/Tools на компакт-диске Windows XP Professional. Затем выполните действия в мастере установки (SupportToolsSetupWizard) для завершения инсталляции Whoami.
Для запуска Whoami в окне команд введите whoami.
Ниже перечислены опции команды Whoami для получения необходимых результатов:
· /all Показывает всю информацию текущего маркера доступа.
· /user Показывает информацию о пользователе, связанном с текущим маркером доступа.
· /groups Показывает группы, связанные с текущим маркером доступа.
· /priv Показывает привилегии, связанные с текущим маркером доступа.
· /logonid Показывает ID входа в систему, используемый в текущей сессии.
· /sid Показывает SID, связанный с текущей сессией. Этот аргумент должен добавляться в конце опций /USER, /GROUPS, /PRIV, /LOGONID.
Далее следуют два примера применения Whoami.
C:\Documents and Settings\Robert Elsenpeter>whoami /user /priv
[User] = "GEONOSIS\Robert Elsenpeter"
(X) SeChangeNotifyPrivilege = Bypass traverse checking
(O) SeSecurityPrivilege = Manage auditing and security log
(O) SeBackupPrivilege = Back up files and directories
(O) SeRestorePrivilege = Restore files and directories
(O) SeSystemtimePrivilege = Change the system time
(O) SeShutdownPrivilege = Shut down the system
(O) SeRemoteShutdownPrivilege = Force shutdown from a remote system
(O) SeTakeOwnershipPrivilege = Take ownership of files or other objects
(O) SeDebugPrivilege = Debug programs
(O) SeSystemEnvironmentPrivilege = Modify firmware environment values
(O) SeSystemProfilePrivilege = Profile system performance
(O) SeProfileSingleProcessPrivilege = Profile single process
(O) SeIncreaseBasePriorityPrivilege = Increase scheduling priority
(X) SeLoadDriverPrivilege = Load and unload device drivers
(O) SeCreatePagefilePrivilege = Create a pagefile
(O) SeIncreaseQuotaPrivilege = Adjust memory quotas for a process
(X) SeUndockPrivilege = Remove computer from docking station
(O) SeManageVolumePrivilege = Perform volume maintenance tasks
Для вывода SID используйте параметры /user и /sid вместе:
C:\Documents and Settings\Robert Elsenpeter>whoami /user /sid
[User] = "GEONOSIS\Robert Elsenpeter" S377
68-1003
Листинг 27.1.
Списки контроля доступа
В последнем разделе мы поверхностно рассмотрели учетные записи пользователей и управление ими с помощью групп. Для управления группами (добавления и удаления пользователей и разрешений) администраторы применяют списки контроля доступа (ACL).
В Windows XP Professional имеется два вида ACL.
· Discretionaryaccesscontrollists (DACL) - списки разграничительного контроля доступа. Используются для идентификации пользователей и групп, которым разрешен (или запрещен) доступ.
· Systemaccesscontrollists (SACL) - системные списки контроля доступа, контролируют проверку доступа.
Списки контроля доступа являются удобным инструментом определения того, кто имеет доступ к конкретному объекту, и предоставляют возможность редактировать разрешения. Например, если вы считаете, что новый лазерный принтер не должен использоваться никем, кроме работников отделения маркетинга, то для приведения в действие этих ограничений можно использовать ACL.
Просмотр
Для просмотра ACL щелкните правой кнопкой мыши на значке объекта (папки, принтера и т. д.) и выберите Properties (Свойства). Щелкните на вкладке Security (Безопасность) - и увидите группы и пользователей, имеющих доступ к этому объекту, а также перечень разрешений, выданных этой группе.
Примечание. Компьютеры с системой Windows XP Professional, как отдельные, так и в составе рабочей группы, не смогут увидеть вкладку Security (Безопасность), если работают в режиме простого обмена информацией. Для отключения SimpleSharing откройте MyComputer (Мой компьютер). В меню Tools (Параметры) щелкните на FolderOptions (Свойства папок). Затем щелкните на вкладке View (Просмотр) и очистите флажок Usesimplefilesharing (Использовать простой обмен файлами).
На вкладке Security (Безопасность) расположены два окна.
· Grouporusernames (Группы или пользователи). В этом окне перечислены группы и пользователи, которые имеют необходимые разрешения для доступа к данному объекту.
· Permissions (Разрешения). В этом окне перечислены разрешения, выданные или запрещенные для пользователя или группы, выбранных в окне Grouporusernames (Группы или пользователи).
Примечание. Только пользователи, имеющие разрешения доступа к определенному объекту, могут просматривать ACL данного объекта.
Кнопки Add (Добавить) и Remove (Удалить) выполняют те действия, на которые указывают их названия, а именно добавление или удаление пользователей или группы из списка.
Расширенные настройки
Щелкнув на кнопке Advanced (Дополнительно), можно изучить детали настроек определенного пользователя или группы. На странице AdvancedSecuritySettings (Дополнительные параметры безопасности) можно установить большее количество расширенных свойств выдачи разрешений:
· выдача специальных разрешений пользователю или группе;
· создание наследуемых возможностей доступа для дочерних объектов данного объекта;
· отслеживание попыток доступа к объекту;
· управление правами собственности на информацию данного объекта.
При своем появлении страница AdvancedSecuritySettings автоматически выводит на экран вкладку Permissions (Разрешения). На ней показаны разрешения, которые были установлены в явном виде для данного объекта. Другая вкладка с разрешениями, называемая EffectivePermissions (Действующие разрешения), позволяет просматривать все разрешения, которые применяются к пользователю или группе в отношении данного объекта, включая разрешения, являющиеся частью разрешений определенной группы или установленные для определенного пользователя.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
