Безопасность при работе в сети

Вход в систему

Впервые пользователь сталкивается с политикой безопасности при входе в систему. Когда он усаживается за свой компьютер и нажимает на CTRL-ALT-DEL, то видит приглашение ко вводу имени пользователя и пароля. В этом разделе мы подробно рассмотрим, что представляет собой процесс входа в системе Windows XP Professional, и как осуществляется переход от одной учетной записи пользователя к другой.

Типы процессов входа в систему

При использовании Windows 2000 в качестве операционной системы сервера, Windows XP Professional использует четыре типа процессов входа.

• Интерактивный. Используется при входе пользователя на локальный компьютер.
• Сетевой. Используется при входе пользователя в сеть. Локальный администратор безопасности (Local Security Authority, LSA) клиентской рабочей станции предпринимает попытку авторизации с помощью аутентификационных данных входа в систему.
• Сервисный. Сервисы на базе Win32 загружаются на локальный компьютер, используя данные удостоверения личности из учетной записи пользователя локальной сети (или домена) или учетной записи LocalSystem. При использовании учетной записи LocalSystem (в Windows 2000 Server) сервис будет иметь свободный доступ к Active Directory. С другой стороны, если сервис использует привилегии безопасности учетной записи пользователя, то у него не будет доступа к сетевым ресурсам.
• Пакетный. Этот тип входа в систему редко используется в Windows-окружении и применяется, в основном, для крупных пакетов заданий.

При входе в систему Windows XP Professional с использованием интерактивного процесса данные, удостоверяющие личность пользователя, сверяются с данными, хранящимися на локальном компьютере или на контроллере домена. Эти процессы будут различаться в зависимости от того, где хранятся данные о пользователе.

Примечание. При входе в домен Windows 2000 в диалоговом окне должна появится надпись Logon domain (Домен входа). Если этого не произошло, щелкните на кнопке Options (Параметры) и выберите домен или введите имя пользователя в следующем формате: username@ mycomputer.myorganization.com.

Интерактивный вход

Для конечного пользователя процесс входа представляется достаточно простым. Надо вписать свое имя пользователя и пароль и нажать на Enter. Однако большая часть событий, необходимых для осуществления интерактивного входа, происходит "за кулисами". В процессе входа задействованы следующие компоненты.

• Winlogon. Процесс, отвечающий за проведение операций входа и выхода, а также за начало сессии пользователя.
• Graphical Identification and Authentication (GINA). Файл динамической библиотеки (DLL), вызываемый Winlogon и содержащий имя пользователя и пароль. Представлен в виде диалогового окна, появляющегося при входе в систему.
• Local Security Authoruty (LSA). Объект на локальном устройстве, который проверяет имя пользователя и пароль при аутентификации.
• Security Account Manager (SAM). Объект, который ведет базу данных имен пользователей и паролей. SAM находится как на локальных компьютерах, так и на контроллерах доменов.
• Net Logon Service. Эта служба используется наравне с NTLM (будет обсуждаться далее в лекции) для отправки запросов к SAM контроллера домена.
• Kerberos Key Distribution Center (KDS) service. Эта служба применяется при аутентификации для доступа к Active Directory.

Запуск от имени

Если вы в своей Windows-сети выполняете всю работу, используя свои администраторские данные для удостоверения личности, то подвергаете сеть необоснованному риску. Например, вы можете неумышленно занести вирус, который распространится по всей сети. Наилучшим способом минимизировать риск является использование для входа прав обычного или опытного пользователя и своей учетной записи администратора, только если этого требует работа.

К сожалению, выходить из системы в качестве пользователя и снова входить в нее в качестве администратора - дело достаточно нудное и неэффективное. Поэтому в Windows XP Professional есть инструмент под названием Run As (Запуск от имени). Он позволяет пользователю входить в систему с одним набором данных, удостоверяющих его личность, а затем запускать приложения, используя другой набор привилегий. Например, используя данные удостоверения личности обычного пользователя, вы можете выполнять свою ежедневную работу, заходить на сайты в интернете и т. д. Затем, если потребуется управление группой пользователей, вы обращаетесь к Run As, выполняете свои административные задачи и закрываете Run As.

Запуск от имени позволяет запускать:

• программы;
• ярлыки программ;
• ММС;
• элементы Панели управления.

Для запуска Run As проделайте следующие шаги.

1. Определите место расположения элемента, который вы хотите открыть, в Windows Explorer, и затем щелкните на нем.
2. Нажмите на SHIFT, щелкните правой кнопкой мыши на элементе и выберите Run As (Запуск от имени).
3. В открывшемся диалоговом окне (рис. 9.15) щелкните на кнопке The following user (Учетная запись указанного пользователя).
   

   
   Рис. 9.15. Диалоговое окно Run As (Запуск от имени)
4. Введите свое имя пользователя и пароль или учетную запись, которую вы хотите использовать для доступа к элементу.
5. В окне Domain (Домен) выполните одно из действий:
   • введите имя своего компьютера для использования данных удостоверения личности администратора локальной сети;
   • введите имя своего домена для использования данных удостоверения личности администратора домена.

Если инструмент Run As (Запуск от имени) не работает, убедитесь в том, что сервис Run As подключен, используя оснастку Services (Службы) ММС.