Мета роботи. Дослідження політики облікових записів ОС Windows XP

Дослідження політики облікових записів ОС WINDOWS XP

Лабораторна робота № 1

Організація безпеки мережі при використанні ОС Unix за допомогою міжмережного екрана IPFW

Коли пакет відповідає правилу із ключовим словом log, повідомлення буде зафіксоване згідно syslogd. Пакет, що попадає під правило, буде фіксуватися тільки за умови, що системна змінна net.inet.ip.fw.verbose дорівнює 1. Вона встановлена в 1 за замовчуванням, якщо ядро скомпільоване із включеною опцією IPFIREWALL_VERBOSE.

Правило повинно бути пов'язане з дією, що буде виконана, коли пакет збіжиться з тілом правила. Дії можуть бути:

– дозволити;

– заборонити;

– перенаправляти на зовнішній додаток;

– порахувати кількість пакетів.

Тіло правила містить нуль або більше критеріїв фільтрації, яким пакет повинен відповідати.

Критерії фільтрації – це адреса джерела й адреса призначення, порти, параметри протоколу, інтерфейс і інше. Пакет може проходити фільтр від 0 до 4 разів залежно від джерела пакета, приймача пакета й настроювань системи. Пакети можуть попадати у фільтр із декількох положень у стеку протоколів, залежно від значень системних змінних.

Після того, як пакети попадуть у фільтр, кожний з пакетів послідовно проходить за всіма правилами. Якщо критерії пакета задовольняють якому-небудь із правил, то виконується задана правилом дія й пакет залишає фільтр. Однак, залежно від настроювань системи і дій над пакетом, він може після обробки за правилом, залишатися у фільтрі і продовжуватиме оброблятися. Наприклад, після дії count, пакет продовжує оброблятися фільтром. Фільтр ipfw завжди містить правило, яке не може бути модифіковане, і яке визначає політику за замовчуванням. Це правило має номер 65535 і може бути allow або deny залежно від конфігурації ядра.

Якщо правило містить опції keep-state або limit, то для цих правил створюються тимчасові динамічні правила із вказівкою мережних адрес і портів, на яких потрібно очікувати відповідь. Таке поводження фільтра називається «поводження зі збереженням стану». Динамічні правила мають фіксований час життя й відкривають фільтр тільки для відповідей на вихідні запити.

Всі правила фільтра мають кілька лічильників: лічильник пакетів, лічильник байт і часу останнього проходження пакета через дане правило. Переглянути значення лічильників пакетів і час проходження останнього пакета можна командою ipfw - at list. Обнулити значення лічильників можна командою ipfw zero.

Вивчити методи забезпечення безпеки робочої станції під керуванням ОС Windows. Ознайомиться з основними засобами забезпечення безпеки, вбудованими в операційну систему та доступними при її налаштуванні. Навчитися налаштовувати рівні безпеки локального комп'ютера.

Ключові положення

Облікові записи користувачів дозволяють Microsoft Windows відслідковувати інформацію про користувачів і управляти їх правами доступу й привілеями. При створенні облікових записів користувача, основними засобами керування обліковими записами, є:

– Оснаска «Користувачі й Комп'ютери Каталога Домена» (Active Directory Users And Computers), яка використовується для керування обліковими записами користувачів у межі домена.

– Оснаска «Локальні Користувачі й Групи» (Local User and Groups), яка використовується для керування обліковими записами користувачів на локальному комп'ютері.

Облікові записи Windows використовують паролі й відкриті сертифікати, щоб засвідчувати доступ до ресурсів мережі. Пароль – це чутливий до регістра рядок, який містить до 104 символів у «Службі каталога Active Directory» і до 14 символів у «Диспетчері безпеки Windows». Щоб уникнути неавторизованого доступу до ресурсів мережі, потрібно використовувати безпечні паролі. Різниця між звичайним і безпечним паролем полягає у тому, що безпечний пароль важко вгадати й зламати. Важким, для злому, пароль робить комбінація всіх можливих типів символів, включаючи рядкові й заголовні літери, цифри й спеціальні символи.

Ключові питання

1. За допомогою яких інструментів можливе настроювання служб ОС Windows?

2. Поясніть, для чого служать відключені вами служби?

3. Поясніть призначення утиліти msconfig.

4. Для чого служить файл boot. ini?

5. Які настроювання безпеки ви можете зробити за допомогою утиліти «Локальні політики»?

6. За допомогою якого інструмента можливий доступ до редагування реєстру системи? Яким чином можна уникнути несанкціоновану або випадкову зміну реєстру користувачами системи?

7. За допомогою якого інструмента можна розмежувати права доступу до системного диска?

8. Яким чином можливе керування настроюванням користувачів і груп? Які вимоги безпеки існують для настроювання користувачів і груп?

Завдання до лабораторної роботи

1. Вивчити засіб настроювання аутентифікації, реалізованої при вході в операційну систему Windows. Для цього необхідно запустити утиліту «Облікові записи користувачів», набравши в командному рядку ім'я утиліти control userpasswords2 або з меню «Мій комп'ютер/керування/локальні користувачі й групи». Зробити зміни залежно від варіанта.

2. Настроїти доступ користувачів і груп до файлів і директорій операційної системи Windows, для цього відкрити властивості директорії й вибрати вкладку «Безпеки» «Security». Зробити зміни, залежно від варіанта.

3. Настроїти розмежування прав доступу користувачів і груп до ОС Windows за допомогою настроювання локальної політики, для цього запустити з командного рядка утиліту secpol.msc. Зробити зміни залежно від варіанта.

4. Настроїти необхідні служби для роботи локального комп'ютера, відповідно до варіанта, для цього запустити утиліту services.msc. Перевірити список запущених служб, за допомогою виклику з командного рядка утиліти cmd.exe і команди net start.

5. Ознайомитися з настроюванням забезпечення безпеки ОС Windows, за допомогою оснащення «Настроювання системи», для цього запустити з командного рядка утиліту msconfig. Зробити зміни залежно від варіанта.

6. Настроїти файл завантаження системи. Для цього необхідно, залежно від варіанта, зробити зміни параметрів завантаження у файлі С:\boot.ini.

7. Настроїти рівні доступу в Інтернет стандартними способами ОС Windows Internet Explorer (низький, середній, високий). Зробити зміни, залежно від варіанта.

8. Настроїти засоби автоматичного відновлення ОС Windows. Зробити зміни залежно від варіанта.

9. Настроїти стандартний брандмауер ОС Windows. (низький, середній, високий). Зробити зміни залежно від варіанта.

10. Забезпечити захист даних локальної робочої станції, за допомогою реєстру, для цього запустити утиліту RegEdit і зробити зміни залежно від варіанта.

Варіанти завдань для виконання лабораторної роботи:

1.1. Скасувати автоматичний вхід користувача в систему.

1.2.Створити директорію temp і настроїти права доступу до даної директорії, таким чином, щоб користувачі, групи «Гості» мали права читання даних, огляду директорій, але не могли переглядати атрибути.

1.3.За допомогоюоднієї з доступних утиліт зупинити службу факсів, призначивши їй тип запуску: «Вручну».

1.4. У вікні «Автозавантаження (startup)», утиліти msconfig відключити автоматичний запуск всіх програм, крім антивірусу.

1.5. За допомогою параметра /SOS включити виведення на екран списку системних драйверів, які завантажуються під час початкового завантаження системи.

2.1. Задати автоматичний вхід у систему, залишивши одного користувача.

2.2. Створити директорію temp і настроїти права доступу до даної директорії таким чином, щоб користувачі, групи «Оператори архіву» не мали прав читання атрибутів, запису атрибутів, читання дозволів, зміну дозволів.

2.3.У вікні «Служби (Services)», утиліти msconfig відключити служби DHCP- Клієнта, координатора розподілених транзакцій, службу факсів.

2.4 Закрити доступ до запуску реєстру для всіх користувачів

2.5. Скасуйте дію ключів /DEBUG, для цього заборонити налагодження привілейованого режиму (ядра) під час ініціалізації, за допомогою параметра /NODEBUG.

3.1.Скасуйте вимогу натискання Ctrl+Alt+Del перед входом у систему.

3.2. Створіть директорію temp і настройте права доступу до даної директорії таким чином, щоб користувачі, групи «Досвідчені користувачі» мали права читання, запису, видалення файлів, але не мали прав змінити дозволи і власника директорії.

3.3.Задайтефункцію вимоги неповторності пароля, пароль повинен відповідати вимогам складності.

3.4. За допомогоюоднієї з доступних утиліт зупинити службу завантаження зображень (WIA), призначивши тип запуску: «Відключене».

3.5. У вікні «Файла завантаження (BOOT.INI)», утиліти msconfig змінити час очікування входу в систему.

4.1. Задайте обмеження терміну дії пароля користувача.

4.2. Створіть директорію temp і настройте права доступу до даної директорії таким чином, щоб користувачі, групи «Адміністратори» мали повні права доступу.

4.3.Задайте максимальний термін дії пароля 14 днів, мінімальну довжину пароля 8 символів.

4.4. За допомогоюоднієї з доступних утиліт зупинити службу COM запису компакт-дисків IMAPI, призначивши їй тип запуску: «Вручну».

4.5. У вікні «Автозавантаження (startup)», утиліти msconfig відключити автоматичний запуск мультимедійних програм, таких як Winamp, RealPlayer.

5.1.Дозвольте зміну пароля користувачем, додайте користувача в групу операторів настроювання мережі.

5.2. Створіть директорію temp і настройте права доступу до даної директорії таким чином, щоб користувачі, групи «Оператори настроювання мережі» не мали прав видалення інформації і її редагування.

5.3. За допомогою параметра /PCILOCK, скасуйте динамічний розподіл IO/IRQ для PCI пристроїв.

5.4. У вікні «Служби (Services)», утиліти msconfig відключіть служби диспетчера черги печатки, старт-карт, Telnet.

5.5. Скасуйте використовувану за замовчуванням функцію ОС, що показує ім'я користувача, який останнім входив у систему, для цього у гілці реєстру HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System необхід-но задати наступне значення параметра DontDisplayLastUserName:DWORD = 1

6.1.Перейменуйте обліковий запис адміністратора, задайте нестандартний шлях до профілю адміністратора.

6.2. Створіть директорію temp і настройте права доступу до даної директорії таким чином, щоб користувачі, групи «Користувачі вилученого робочого стола» мали права переглядати, видаляти, створювати файли й директорії, але не могли змінити права доступу до них.

6.3. За допомогоюоднієї з доступних утиліт, зупиніть службу доступу до HID- Пристроїв, призначивши їй тип запуску: «Відключено».

6.4. За допомогою параметра /DEBUG включіть налагодження.

6.5. У вікні «Файла завантаження (BOOT. INI)», утиліти msconfig змінити завантаження ОС у захищеному режимі з підтримкою мережі, за допомогою параметра SAFEBOOT і додаткового ключа NETWORK.

7.1.Настройте вимогу до зміни пароля користувача, при наступному вході в систему, підключіть користувача до мережного профілю.

7.2. Створіть директорію «temp» і змініть власника даної директорії.

7.3. За допомогою параметра /NUMPROC=, визначте число процесорів, які будуть використовуватися в мультипроцесорній системі.

7.4. За допомогоюоднієї з доступних утиліт зупиніть службу диспетчера сеансу довідки для вилученого робочого столу, призначивши їй тип запуску: «Вручну».

7.5. У вікні «Автозавантаження (startup)», утиліти msconfig відключити автоматичний запуск офісних програм, наприклад Microsoft Office TSR.

8.1.Перейменуйте обліковий запис гостя. Створіть нового користувача, додайте його в групу операторів архіву.

8.2.Створіть директорію «temp», закрийте директорію від всіх користувачів, крім групи адміністраторів.

8.3.Настройте аудит відстеження процесів.

8.4. У вікні «Служби (Services)», утиліти msconfig відключити служби джерела безперебійного живлення, службу підтримки TCP/IP NetBIOS.

8.5. За допомогою параметра /BASEVIDEO настройте використання стандартного VGA драйвера в графічному режимі.

9.1. Обмежте використовуваний ОС Windows обсяг пам'яті, указавши параметр MAXMEM=16.

9.2.Настройте права доступу до локального диска D:\\ і застосуйте спадкування даних прав до піддиректорій.

9.3.Настройте аудит успішного й невдалого доступу до служби каталогів.

9.4. За допомогоюоднієї з доступних утиліт запустіть службу журналів і оповіщення продуктивності, призначивши їй тип запуску: «Авто».

9.5. У вікні «файла завантаження (BOOT.INI)», утиліти msconfig вкажіть, за допомогою параметра ALTERNATESHELL, яку графічну оболонку використовувати за замовчуванням, замість Explorer'а.

10.1. Включіть налагодження й установіть швидкість передачі даних, замість передбаченої за замовчуванням (19200), за допомогою параметра /BAUDRATE=115200.

10.2.Перегляньте діючі дозволи користувачів, що входять у групу «Users» на диск D:\\.

10.3. Настройте аудит успішних і невдалих входів користувачів у систему.

10.4. За допомогоюоднієї з доступних утиліт запустіть службу тіньового копіювання тома, призначивши їй тип запуску: «Авто».

10.5. У вікні «Автозавантаження (startup)», утиліти msconfig відключити автоматичний запуск систем керування базами даних, таких як Microsoft SQL Server.

11.1. Настройте доступ до вилученого редагування реєстру для групи адміністраторів домена.

11.2. Створіть директорію «temp», настройте права доступу до даної директорії групі «Users», задавши право читання, перегляду й запуску файлів, тільки в даній директорії.

11.3. Настройте заборону входу в систему через службу терміналів.

11.4. У вікні «Служби (Services)», утиліти msconfig відключити служби планувальника завдань.

11.5. За допомогою параметра / ONECPU укажіть використання одного процесора.

12.1. Настройте щомісячну зміну паролів.

12.2.За допомогою параметра SAFEBOOT і додаткового ключа MINIMAL задайте завантаження ОС Windows у захищеному режимі без підтримки мережі.

12.3. Настройте право на завершення роботи системи, тільки для групи «Адміністратори».

12.4.За допомогою однієї з доступних утиліт, запустіть службу центра забезпечення безпеки, призначивши їй тип запуску: «Авто».

12.5.У вікні «Файла завантаження (BOOT.INI)», утиліти msconfig змінити час очікування входу в систему.

Зміст протоколу

Звіти до всіх лабораторних робіт повинні містити:

– назву теми лабораторної роботи;

– ціль лабораторної роботи;

– завдання для вашого варіанта;

– хід роботи;

– висновки.

У ході виконання лабораторної роботи, необхідно включити змінені параметри, інструмент (утиліти, команди), за допомогою яких вироблялися зміни, опис призначення кожного зміненого параметра й зроблених вами настроювань.

Дата добавления: 2014-10-15; Просмотров: 1231; Нарушение авторских прав?; Мы поможем в написании вашей работы!