Настроювання безпеки доступу користувачів і груп до файлів.

Настроювання політик Kerberos.

Настроювання політик блокування облікових записів користувачів.

Дослідження політики облікових записів ОС WINDOWS XP

МЕТОДИ ТА ЗАСОБИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ

РОЗДІЛ 2

Настроювання безпеки авторизації користувачів.

Існує три типи політик для керування обліковими записами користувачів:

– політики паролів;

– політики блокування облікових записів;

– політики «Kerberos».

Налаштовування політик паролів.

Політики паролів контролюють безпеку паролів і вони включають:

– вимоги неповторності паролів;

– максимальний термін дії паролів;

– мінімальний термін дії паролів;

– мінімальна довжина пароля;

– пароль повинен відповідати вимогам складності;

– зберігати паролі всіх користувачів у домені, використовуючи оборотне шифрування.

Політики блокування облікових записів користувачів контролюють, як і коли блокуються системою домени або локальні облікові записи, а саме:

– граничне значення блокування;

– блокування облікового запису користувача та тривалість блокування;

– скидання лічильника блокування.

Kerberos є основним механізмом перевірки дійсності, який використовується у домені Active Directory. Механізм Kerberos використовує квитки служби й квитки користувача для ідентифікації користувачів і мережних служб. Квитки служби використовуються службовими процесами Windows, а квитки користувача користувальницькими процесами. Квитки містять зашифровані дані, що підтверджують дійсність користувача або служби.

Можна контролювати тривалість квитка, його поновлення й застосування, використовуючи наступні політики:

– примусові обмеження входу користувачів;

– максимальний строк життя квитка служби;

– максимальний строк життя квитка користувача;

– максимальний строк життя для поновлення квитка користувача;

– максимальну похибку синхронізації годин комп'ютера.

Для керування доступом користувачів до папок і файлів використовується деталізована система дозволів. Для файлів і папок існує не менше 14 дозволів NTFS, які можуть бути включені, або блоковані, й перевірені. Ці дозволи можна призначати файлам, директоріям, користувачам, групам. Крім того, можна призначати порядок спадкування дозволів для файлів, директорій, користувачів, груп.

Користувач не входить у безпосереднє зіткнення з яким-небудь об'єктом Windows, весь доступ до об'єктів здійснюється через програми або процеси. Програма, що звертається до ресурсів від імені користувача, виконує процедуру, що називається імперсоналізацією (impersonation). Програма, що звертається до вилученого ресурсу, виконує процедуру, що називається делегуванням (delegation).

Після реєстрації користувача його системний ідентифікатор (System Identifier - SID) і ідентифікатор (Group Identifier - GID) групи обробляються процесом lsass.exe, що генерує маркер безпечного доступу користувача. У маркер безпечного доступу вводиться й інша інформація, у тому числі про призначені користувачеві права, дозволи, ідентифікатор сеансу користувача, маску дозволів з детальним описом типу запитаного доступу. Права, призначені користувачеві, можна побачити за допомогою команди:

WHOAMI /all

Якщо програма звертається від імені користувача до захищеного ресурсу, то монітор захисту (security reference monitor) Windows запитує у програми маркер безпечного доступу користувача. Потім монітор захисту аналізує маркер, щоб визначити ефективні дозволи користувача, і дозволяє або забороняє виконання запитаної користувачем операції.

Кожний із захищених об'єктів Windows, у тому числі файли, директорії, загальні ресурси, принтери, розділи реєстру, підтримують дозвіл безпеки. Будь-яку директорію Windows можна зробити загальнодоступною, щоб дозволити дистанційний доступ. Дозвіл загальнодоступності (Share) можна призначати будь-якому об'єкту директорії (folder) і прінтерів (printer). Дозволи застосовуються, тільки якщо звертання до об'єкта відбувається через мережний ресурс. До дозволів директорії (Folder Share) ставиться повний дозвіл (Full Control),дозвіл на зміну (Change), дозвіл на перегляд (Read).

Якщо в Windows використовується файлова система NTFS, а не FAT, то всі файли, директорії, розділи реєстру й багато інших об'єктів мають дозвіл NTFS. Дозвіл NTFS застосовується як при локальному, так і при дистанційному доступі до об'єкта. Для перегляду й зміни дозволів NTFS файла або директорії, використовується вкладка «Властивості» (Properties) пункту «Безпеки» (Security).