Безопасность при работе в сети

Задачи, связанные с паролем

Для изменения пароля пользователя проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления) и затем щелкните дважды на User Accounts (Учетные записи пользователя).
2. В появившемся диалоговом окне (рис. 9.17) щелкните на имени пользователя и затем щелкните на Change Password (Смена пароля).
3. Впишите новый пароль два раза в диалоговом окне Reset Password (Смена пароля).
4. Вы можете ввести подсказки для пароля, если считаете, что это поможет пользователю вспомнить забытый пароль.

Windows XP Professional позволяет устанавливать определенные правила для управления паролями. Например, можно заставить пользователя изменять свой пароль при каждом входе в систему, отключить учетную запись и т. д. Для установки правил проделайте следующее.

Рис. 9.17. Изменение пароля пользователя

1. Откройте ММС и добавьте оснастку Local Users and Groups (Локальные пользователи и группы).
2. Щелкните дважды на папке Users (Пользователи).
3. Щелкните правой кнопкой мыши на имени пользователя, учетной записью которого вы собираетесь управлять, и затем выберите Properties (Свойства).
4. На странице свойств (рис. 9.18) можно установить следующие правила:
   • User must change password at next logon (Пользователь должен сменить пароль при следующем входе);
   • User cannot change password (Пользователь не может менять пароль).
   • Password never expires (Время действия пароля не ограничено);
   • Account is disabled (Учетная запись отключена);
   • Account is locked out (Учетная запись заблокирована).

Примечание.Установить более сложные правила для использования пароля можно с помощью оснастки Group Policy (Групповая политика): установить минимальную длину пароля или определить время смены пароля. Групповая политика будет обсуждаться в одном из следующих разделов этой лекции.

Рис. 9.18. Управление правилами пароля

Сохранение имен пользователей и паролей. Исходя из сложности и конфигурации сети, вы можете не захотеть, чтобы пользователь применял одни и те же реквизиты для доступа к различным ресурсам. Например, пользователь будет иметь доступ на уровне опытного пользователя для сети, но только уровень обычного пользователя для доступа к серверу. В любом случае Windows XP Professional будет отслеживать реквизиты пользователя с помощью опции Stored User Names and Passwords (Сохранение имен пользователей и паролей), находящейся в панели управления.

Примечание. Возможности сохранения имен пользователей и паролей не ограничиваются только именами пользователей и паролями. Также можно отслеживать сертификаты безопасности, смарт-карты и мандаты Passport.

Если пользователь пытается получить доступ к сетевому ресурсу, защищенному паролем, то будут использованы его реквизиты входа. Если эти реквизиты окажутся недостаточными, то будет послан запрос в файл Stored User Names and Passwords (Сохранение имен пользователей и паролей). Если реквизиты пользователя окажутся на месте, то пользователь получит доступ к ресурсу. Если реквизитов на месте не окажется, то пользователю порекомендуют ввести корректные реквизиты, которые будут сохранены для использования в будущем.

При создании нового имени пользователя и пароля для доступа к защищенному паролем ресурсу сети проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления) и дважды щелкните на User Accounts (Учетные записи пользователей).
2. Если вы являетесь частью домена, щелкните на вкладке Advanced (Дополнительно) и затем щелкните на Manage Passwords (Управление паролями). На компьютерах, не являющихся часть домена, надо щелкнуть на значке, аналогичном учетной записи, и затем в области Related Tasks нажать на Manage your stored passwords (Управление сохраненными паролями).
3. Щелкните на Add (Добавить).
4. Введите необходимую информацию.

Восстановление паролей. Если вы когда-нибудь забывали свой пароль, то вам знакомо ощущение тревоги и неудобства, связанное с его восстановлением. Для решения этой проблемы Windows XP Professional включает в себя мастер сброса пароля (Password Reset Wizard), который позволяет создавать запасную дискету для восстановления пароля.

Примечание. Мастер сброса пароля работает только на локальном компьютере. Программу нельзя использовать для сетевых учетных записей. Более того, на дискете на самом деле нет пароля, а вместо этого она содержит пару секретных ключей - общий и личный. Так как ваш пароль не хранится на дискете, то нет необходимости создавать новую запасную дискету всякий раз при смене пароля.

Для создания запасной дискеты проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления).
2. Выберите User Accounts (Учетные записи пользователей) и в списке выберите свою учетную запись.
3. В окне Related Tasks (Связанные задачи) щелкните на Prevent a forgotten password. Этим приводится в действие мастер сброса пароля.
4. Щелкните на Next (Далее).
5. Вставьте дискету в дисковод.
6. В поле Current User Account Password (Пароль текущей учетной записи) введите свой пароль и нажмите Next (Далее).
7. Когда индикатор выполнения задания покажет, что задание выполнено, нажмите на Finish (Готово) и уберите дискету в безопасное место.

Примечание. Лучше не снабжать дискету наклейкой с надписью "Запасная копия пароля".

Теперь при вводе неверного пароля система Windows XP Professional будет запрашивать дискету с запасной копией. Мастер задаст вопрос, в каком дисководе находится запасная дискета, и попросит ввести новый пароль.

Групповая безопасность

Учетные записи пользователей являются строительными блоками для построения безопасности групп. Группы можно создавать и управлять ими в зависимости от нужд организации. Например, можно разбить всех пользователей на группы, состоящие из руководителей высшего звена, среднего звена и простых служащих. Такая структура будет полезна, если вы хотите дать (или отобрать) разрешение определенной группе пользователей, не затрагивая всей организации. Например, в организации только что установили новый цветной принтер, но вы хотите, чтобы к нему имело доступ только руководство. Дав разрешение на доступ к принтеру только группам, включающим в себя руководителей высшего и среднего звена, вам не придется беспокоиться по поводу того, что все служащие компании будут пользоваться принтером. Более того, надо выдать всего два разрешения (по одному каждой группе пользователей), а не возиться целый день с учетными записями пользователей сети, чтобы выдавать разрешения каждому по отдельности.

Группы безопасности могут быть любого размера. Они включают от одного компьютера или пользователя до всего домена или леса. Все группы безопасности системы Windows XP Professional подпадают под одну из следующих категорий.

• Локальные группы компьютера. Эти группы определены только в рамках работы локального компьютера и не фигурируют нигде внутри домена.
• Локальные группы домена. Разрешения выдаются только устройствам, являющимся частями домена.
• Глобальные группы. Используются в рамках домена для объединения учетных записей пользователей, которым необходим доступ, на основании их работы внутри организации.
• Универсальные группы. Группы этой категории применяются в многодоменной сети для объединения пользователей, которым необходим доступ к сетевым ресурсам на основании их работы в данной организации.

Встроенные принципы безопасности применяются к любой учетной записи, которая использует компьютер определенным образом, по сути, не являясь группой безопасности, но подчиняясь тем же правилам. Например, встроенные принципы безопасности могут применяться к каждому, кто использует соединение наборного доступа, или к любому, кто входит в компьютер из сети.

В основном группы определяются на основании того, в какой части сети они могут использовать разрешения, и по количеству трафика, который генерирует группа. Другим преимуществом использования групп является то, что если они хорошо спланированы и реализованы, то сетевая нагрузка снижается в связи с отсутствием необходимости в обширной репликации контроллера домена.

Whoami

Нет, Whoami - это не группа мирового класса по брэйк-дансу начала 1980-х. Это инструмент командной строки системы Windows XP Professional, который позволяет просматривать разрешения и права, выданные пользователю.

Whoami находится на диске с Windows XP Professional в каталоге Support\Tools. Этот инструмент возвращает имя домена или компьютера наряду с именем текущего пользователя и компьютера, в системе которого работает Whoami. Он показывает имя пользователя и его SID, группы и их идентификаторы защиты, привилегии и статус.

Для инсталляции Whoami щелкните дважды на инструменте SETUP.EXE в каталоге Support/Tools на компакт-диске Windows XP Professional. Затем выполните действия в мастере установки (Support Tools Setup Wizard) для завершения инсталляции Whoami.

Для запуска Whoami в окне команд введите whoami.

Ниже перечислены опции команды Whoami для получения необходимых результатов:

• /all Показывает всю информацию текущего маркера доступа.
• /user Показывает информацию о пользователе, связанном с текущим маркером доступа.
• /groups Показывает группы, связанные с текущим маркером доступа.
• /priv Показывает привилегии, связанные с текущим маркером доступа.
• /logonid Показывает ID входа в систему, используемый в текущей сессии.
• /sid Показывает SID, связанный с текущей сессией. Этот аргумент должен добавляться в конце опций /USER, /GROUPS, /PRIV, /LOGONID.

Далее следуют два примера применения Whoami.

C:\Documents and Settings\Robert Elsenpeter>whoami /user /priv
[User] = "GEONOSIS\Robert Elsenpeter"
(X) 	SeChangeNotifyPrivilege 			= Bypass traverse checking
(O) SeSecurityPrivilege 				= Manage auditing and security log
(O) SeBackupPrivilege 					= Back up files and directories
(O) SeRestorePrivilege 					= Restore files and directories
(O) SeSystemtimePrivilege 				= Change the system time
(O) SeShutdownPrivilege 				= Shut down the system
(O) SeRemoteShutdownPrivilege 		= Force shutdown from a remote system
(O) SeTakeOwnershipPrivilege 			= Take ownership of files or other objects
(O) SeDebugPrivilege 					= Debug programs
(O) SeSystemEnvironmentPrivilege 	= Modify firmware environment values
(O) SeSystemProfilePrivilege 			= Profile system performance
(O) SeProfileSingleProcessPrivilege 	= Profile single process
(O) SeIncreaseBasePriorityPrivilege 	= Increase scheduling priority
(X) SeLoadDriverPrivilege 				= Load and unload device drivers
(O) SeCreatePagefilePrivilege 			= Create a pagefile
(O) SeIncreaseQuotaPrivilege 			= Adjust memory quotas for a process
(X) SeUndockPrivilege 					= Remove computer from docking station
(O) SeManageVolumePrivilege 			= Perform volume maintenance tasks

Для вывода SID используйте параметры /user и /sid вместе:

C:\Documents and Settings\Robert Elsenpeter>whoami /user /sid
[User] = "GEONOSIS\Robert Elsenpeter" S-1-5-21-606747145-113007714-17085377
68-1003