Администрирование пользователей состоит в создании учетной информации пользователей (определяющей имя пользователя, принадлежность пользователя к различным группам пользователей, пароль пользователя), а также в определении прав доступа пользователя к ресурсам сети - компьютерам, каталогам, файлам, принтерам и т.п.
1) определение группы пользователей
2) определение возможностей пользователей
Понятие учетной записи
Если вы имели опыт работы администрирования и работы с операционными системами Windows 9x, то одной из главных отличительных особенностей профессиональных версий Windows воспринимается повышенное внимание к тому, кто и что делает на компьютере.
Программа, которая исполняется на компьютере с установленной операционной системой Windows NT/200x/XP/Vista, всегда запущена от имени какого-либо пользователя и обладает данными ему правами. Если вы начали работу на компьютере, введя свое имя и пароль, то любая задача: графический редактор или почтовый клиент, дефрагментация диска или установка новой игры - будет выполняться от этого имени. Если запущенная программа вызывает в свою очередь новую задачу, то она также будет выполняться в контексте вашего имени. Даже программы, являющиеся частью операционной системы, например служба, обеспечивающая печать на принтер, или сама программа, которая запрашивает имя и пароль у пользователя, желающего начать работу на компьютере, выполняются от имени определенной учетной записи (Система). И так же, как программы, запускаемые обычным пользователем, эти службы имеют права и ограничения, которые накладываются используемой учетной записью.
Локальные и доменные учетные записи
При работе в компьютерной сети существуют два типа учетных записей. Локальные учетные записи создаются на данном компьютере. Информация о них хранится локально (в локальной базе безопасности компьютера) и локально же выполняется аутентификация такой учетной записи (пользователя).
Доменные учетные записи создаются на контроллерах домена. И именно контроллеры домена проверяют параметры входа такого пользователя в систему.
Чтобы пользователи домена могли иметь доступ к ресурсам локальной системы, при включении компьютера в состав домена Windows производится добавление группы пользователей домена в группу локальных пользователей, а группы администраторов домена- в группу локальных администраторов компьютера. Таким образом, пользователь, аутентифицированный контроллером домена, приобретает права пользователя локального компьютера. А администратор домена получает права локального администратора.
12. Инструменты администрирования пользователей в доменах Microsoft (графические утилиты, утилиты командной строки)
Для запуска основных инструментов администрирования следует открыть вкладку управления. Это можно сделать двумя способами:
· Войти в меню «Пуск» и, кликнув правой кнопкой на пункте «Компьютер», выбрать «управление»;
· Нажав на клавиши «Win» и «R», открыв окно выполнения команд и введя compmgmtlauncher. После первого запуска команда сохранится, и её можно уже не набирать каждый раз, а выбирать из выпадающего списка.
Запуск панели управления компьютером
После этого открывается окно управления системой, где представлены все основные инструменты, которые позволят полностью настроить её для своих нужд.
Эти же программы и службы можно запускать и отдельно (для чего существуют специальные команды) или через пункт «Администрирование».
13. Группы безопасностей в сетях Microsoft. Типы групп безопасностей, их назначение. Встроенные группы безопасности, их назначение
Группы безопасности - каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
В ActiveDirectory есть два типа групп:
· Группы рассылки Используется для создания списков рассылки электронной почты.
· Группы безопасности Используется для назначения разрешений общим ресурсам.
В свою очередь, группа распространения изначально используется приложениями электронной почты, и она не может быть принципалом безопасности. Другими словами, этот тип группы не является субъектом безопасности. Так как эту группу нельзя использовать для назначения доступа к ресурсам, она чаще всего используется при установке Microsoft Exchange Server в том случае, когда пользователей необходимо объединить в группу с целью отправки электронной почты сразу всей группе.
Ввиду того, что именно группы безопасности вы можете использовать как с целью назначения доступа к ресурсам, так и с целью распространения электронной почты, многие организации используют только этот тип группы. В домене с функциональным уровнем не ниже Windows 2000 вы можете преобразовывать группы безопасности в группы распространения и наоборот.
|
Администраторы |
Могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор, которая создается при установке системы, является членом этой группы. Если компьютер является членом домена, то в эту группу включается глобальная группа Администраторы домена. |
|
|
Операторы резервного копирования |
Члены группы могут выполнять вход на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также завершать работу этого компьютера. |
|
|
Администраторы DHCP (создается при установке службы DHCP Server) |
Члены этой группы могут администрировать службу DHCP Server. |
14. Инструменты администрирования группами безопасности (графические утилиты, утилиты командной строки, программный интерфейс)
Инструменты администрирования
В операционной системе необходимо решать ряд задач, которые относят к задачам системного администрирования. К ним можно отнести: добавлением, удалением и назначением прав пользователей, установку и удаление прикладных программ; добавление и конфигурирование новых устройств; настройку графического интерфейса; настройку сетевых подключений; обеспечение достаточного уровня защиты от несанкционированных действий и т.п. Для этих целей используется ряд программ, называемых утилитами системного администрирования.
В системной области диска хранятся служебные данные о том, в каком месте диска записан тот или иной файл. Формат служебных данных определяется конкретной файловой системой, которая предназначена для хранения данных на дисках и обеспечения доступа к ним. Нарушение целостности данных в системной области диска приводи к невозможности воспользоваться данными, записанными на диске. Целостность, непротиворечивость и надежность этих данных регулярно контролируется средствами ОС.
15. Обеспечение информационной безопасности в сетях Microsoft: аутентификация, разграничение доступа, групповые политики. Инструменты анализа и управления безопасностью в сетях Microsoft
Процесс обеспечения безопасности относится к оперативным процессам и, в соответствии с библиотекой ITIL, входит в блок процессов поддержки ИТ-сервисов. Нарушение безопасности информационной системы предприятия может привести к ряду негативных последствий, влияющих на уровень предоставления ИТ-сервисов:
· снижение уровня доступности вследствие отсутствия доступа или низкой скорости доступа к данным, приложениям или службам;
· полная или частичная потеря данных;
· несанкционированная модификация данных;
· получение доступа посторонних пользователей к конфиденциальной информации.
Анализ причин нарушения информационной безопасности показывает, что основными являются следующие:
· ошибки конфигурирования программных и аппаратных средств ИС;
· случайные или умышленные действия конечных пользователей и сотрудников ИТ-службы;
· сбои в работе программного и аппаратного обеспечения ИС;
· злоумышленные действия посторонних по отношению к информационной системе лиц.
Компания Microsoft разрабатывает стратегию построения защищенных информационных систем (Trustworthy Computing) - это долгосрочная стратегия, направленная на обеспечение более безопасной, защищенной и надежной работы с компьютерами для всех пользователей.
Концепция защищенных компьютерных систем построена на четырех принципах:
· безопасность, которая предполагает создание максимально защищенных ИТ-инфраструктур;
· конфиденциальность, которая подразумевает внедрение в состав и технологий и продуктов средств защиты конфиденциальности на протяжении всего периода их эксплуатации;
· надежность, которая требует повышения уровня надежности процессов и технологий разработки программного обеспечения информационных систем;
· целостность деловых подходов для укрепления доверия клиентов, партнеров, государственных учреждений.
Данные принципы реализуются в программных продуктах Microsoft. Компания Microsoft предлагает обеспечивать безопасностьоперационных систем семейства Windows с помощью технологии единого каталога (Active Directory) и групповых политик. Использование групповой политики и Active Directory позволяет централизовано управлять параметрами безопасности как для одного пользователя или компьютера, так и для группы пользователей, управлять безопасностью серверов и рабочих станций.
Для решения вопросов обеспечения информационной безопасности компания Microsoft предоставляет следующие технологии:
· Active Directory - единый каталог, позволяющий сократить число паролей, которые должен вводить пользователь;
· двухэтапная аутентификация на основе открытых / закрытых ключей и смарт-карт;
· шифрование трафика на базе встроенных средств операционной системы IPSec (IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов);
· создание защищенных беспроводных сетей на основе стандарта IEEE 802.1x;
· шифрование файловой системы;
· защита от вредоносного кода;
· организация безопасного доступа мобильных и удаленных пользователей;
· защита данных на основе кластеризации, резервного копирования и ограничения несанкционированного доступа;
· служба сбора событий из системных журналов безопасности.
Групповые политики
Управление групповыми политиками в Microsoft Windows Server 2003 позволяет администраторам задавать конфигурацию операционных систем серверов и клиентских компьютеров. Реализуется эта функциональность с помощью оснастки «Редактор объектов групповой политики», общий вид которой приведен на
Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU - organizational units).
Групповые политики и Active Directory позволяют:
· централизованно управлять пользователями и компьютерами в масштабах предприятия;
· автоматически применять политики информационной безопасности;
· понижать сложность административных задач (например, обновление операционных систем, установка приложений);
· унифицировать параметры безопасности в масштабах предприятия;
· обеспечить эффективную реализацию стандартных вычислительных средств для групп пользователей.
Существуют тысячи инструментов, как коммерческих, так и бесплатных, предназначенных для специалистов, которым приходится оценивать систему безопасности сети. Сложность заключается в выборе подходящего для конкретного случая инструмента, которому можно доверять. Чтобы сузить круг поиска, в данной статье я предлагаю вниманию читателей 10 превосходных бесплатных инструментов для анализа уровня безопасности сети.
Процесс оценки безопасности сети состоит из четырех основных этапов: сбор данных, привязка, оценка и проникновение. На стадии сбора данных проводится поиск сетевых устройств с помощью сканирования в реальном времени с применением протоколов Internet Control Message Protocol (ICMP) или TCP. На стадиях привязки и оценки определяется конкретная машина, на которой работает служба или приложение, и оцениваются потенциально уязвимые места. На этапе проникновения одно или несколько уязвимых мест используются для привилегированного доступа к системе с последующим расширением полномочий на данном компьютере либо во всей сети или домене.
16. Аутентификация в распределенных системах. Схема Kerberos, применение схемы Kerberos в доменах Windows
Технологии аутентификации
Несмотря на обилие публикаций, в последнее время участились случаи непонимания сути явлений идентификации и аутентификации даже среди специалистов по защите информации. Поэтому для начала договоримся о некоторых терминах.
В данной статье под термином аутентификация понимается процесс подтверждения (проверки) идентичности человека или объекта. В рамках электронных информационных систем процесс аутентификации - единый метод, используемый для управления доступом к учетным записям пользователя и его личной информации. Аутентификация, как правило, предусматривает представление пользователями в информационную систему своих действительных идентификационных данных, сопровождаемых одним или более аутентифицирующими факторами для подтверждения их подлинности.