Стратегия безопасности в Windows

Современные версии операционной системы (ОС) Windows [-2000

(Millennium), -2002 (XP), -2003] базируются на сетевой ОС Windows NT, в

которую были заложены. До сих пор остались в качестве основных сле-

дующие средства обеспечения безопасности: учетные записи, группы, пра-

ва, разрешения и аудит безопасности.

Управление перечисленными средствами обычно осуществляет систем-

ный администратор (сисадмин), если компьютеры конечных пользователей

являются рабочими станциями локальной сети. При использовании компью-

тера в автономном режиме (вне сети) средства обеспечения безопасности на-

ходятся в распоряжении владельца, и он вправе воспользоваться ими, если

его компьютер доступен нескольким пользователям. Поэтому не исключены

угрозы для данных как самого владельца, так и всех пользователей. Естест-

венно, установки параметров безопасности согласовываются между всеми

зарегистрированными пользователями (группами пользователей), дабы не

ущемлять прав и функциональных обязанностей каждого из них.

Учетнаязапись идентифицирует пользователя (группу) по систем-

ному имени и паролю, которые должны быть правильно набраны при вхо-

де в компьютер, иначе доступ будет невозможен. Windows не требует обя-

зательной установки паролей для учетных записей пользователей. Однако

по соображениям безопасности настоятельно рекомендуется назначать па-

роли для всех учетных записей. При входе в рабочую станцию сети может

быть добавлен третий (сетевой) идентификатор – имя сетевого домена.

Домен – группа компьютеров с общими администрацией, базой данных ка-

талога и политикой безопасности).

Пользователи создаются либо операционной системой (по умолча-

нию), либо административно – сисадмином или владельцем компьютера.

Пользователи по умолчанию – «Система», «Создатель-владелец»⁵.

Группа пользователей удобнее для администрирования, чем индиви-

дуальный пользователь. Назначая права группам, а не отдельным пользо-

вателям, можно упростить управление учетными записями пользователей.

Так, если всем пользователям группы требуются одинаковые права, можно

один раз назначить набор прав группе, вместо того чтобы назначать один и

тот же набор прав каждому пользователю в отдельности. Пользователю,

входящему в систему с учетной записью члена группы, обеспечивается ав-

томатическое наследование прав, назначенных этой группе. Права, назна-

ченные группе, применяются ко всем членам группы до тех пор, пока они

в ней состоят. Права пользователей, являющихся членами нескольких

5 Этих пользователей можно считать и группами, как это делается в Центре справки и

поддержки Windows ХР.

групп, суммируются. Это означает, что такой пользователь имеет более

одного набора прав. Чтобы лишить пользователя прав, администратору

достаточно удалить его из группы. При этом пользователь лишается прав,

назначенных группе.

Группы, как и пользователи, создаются операционной системой (по

умолчанию – встроенные группы) либо администратором и другими поль-

зователями (при необходимости). Встроенными группами локальной сети

могут быть «Администраторы», «Опытные пользователи», «Пользовате-

ли», «Операторы архива», «Репликатор», «Гости», «Все» и специальные

группы. Встроенных групп автономного компьютера меньше: «Админист-

раторы», «Пользователи», «Все».

Права определяют круг полномочий (функциональных возможностей

и обязанностей), которые операционная система или сисадмин делегиру-

ют пользователям и группам. Только системный администратор обладает

всей номенклатурой прав. Это же может себе позволить владелец авто-

номного компьютера, наделенный правами сисадмина. Остальным пользо-

вателям и группам предоставляются ограниченные наборы прав. Права ус-

танавливаются автоматически для встроенных групп и пользователей, соз-

данных ОС, или административно для остальных групп и пользователей.

Список прав каждого пользователя и каждой группы может быть админи-

стративно изменен, даже если речь идет о встроенных группах и пользова-

телях. Существуют два типа прав пользователей:

а) привилегии: право на архивацию файлов и папок, на загрузку и вы-

грузку драйверов устройств, управление аудитом и журналом безопасно-

сти, изменение параметров среды оборудования и др. – всего около трех

десятков привилегий;

б) права на вход в систему: право локального входа в систему, входа в

качестве службы, на доступ к компьютеру из сети и др. – всего около де-

сятка прав.

Права применяются к учетным записям пользователей и групп, в от-

личие от разрешений, применяемых к компьютерным ресурсам (объектам),

которые эксплуатируются пользователями и группами.

Разрешения на доступ к ресурсам указывают, что можно, а чего нель-

зя делать с ресурсами, такими как диски, папки, файлы, периферийные

устройства, службы и др. Так, основными разрешениями для работы с дис-

ками, папками и файлами являются: полный доступ, изменение (значит,

разрешить изменение атрибутов и редактирование данных), чтение и вы-

полнение, чтение, запись (разрешить редактирование данных). Для дисков

и папок дополнительное разрешение – список содержимого папки (значит,

разрешить просмотр папки), Особые разрешения – удаление, удаление

подпапок и файлов, чтение и смена разрешений, смена владельца и др.

10

Всего в файловой системе NTFS (NT File System) предусмотрено пол-

тора десятка разрешений⁶. Для работы с принтером существуют разреше-

ния на печать, управление принтером и документами (приостановка и во-

зобновление работы принтера, изменение параметров очереди печати, пре-

доставление принтера в совместное использование, изменение свойств пе-

чати, приостановка, возобновление, перезапуск, отмена и изменение по-

рядка печати документов, отправленных другими пользователями).

Разрешения устанавливаются обычно администратором и владельцами

ресурсов с обязательным указанием, кому из пользователей и групп они

выданы. Если ресурс коллективный (общего пользования), то на него уста-

навливаются соответствующие разрешения, допускающие всех к пользо-

ванию этим ресурсом (например, к печати на сетевом принтере). Ресурсы

ограниченного пользования наделяются разрешениями для ограниченного

контингента пользователей и групп и запретами для остальных. Так, сис-

темный диск большинству пользователей открыт только для просмотра,

чтения и копирования имеющихся дисковых ресурсов, но не для их редак-

тирования и создания новых папок и файлов.

Разрешения на ресурс, выданные группе, могут наследоваться всеми

пользователями данной группы (по усмотрению владельца ресурса), если

только конкретным пользователям некоторые разрешения не урезаны (за-

прещены). Разрешения, выданные на «родительский» ресурс (объект), на-

пример диск или папку, по умолчанию наследуются «дочерними» объек-

тами (вложенными папками, файлами). Но так же как и для групп, владе-

лец того или иного объекта может «оспорить» разрешения на наследование

и часть из них запретить (для папок).

Поскольку в спецификациях (установках) разрешений на ресурс при-

сутствуют имена пользователей и групп, наделенных правами, возможны

конфликты между правами и разрешениями, разрешениями и запретами

(флажки Разрешить и Запретить в окне Безопасность ресурса). В этих

случаях срабатывает системный протокол приоритетов, определяющий,

кому отдать предпочтение в конфликте – праву, разрешению или запрету.

В общем случае элементы запрета пользуются приоритетом перед элемен-

тами разрешения.

Аудит (проверка, ревизия) безопасности – отслеживание действий

пользователей путем регистрации событий определенных типов в журнале

безопасности. Регистрация таких событий необходима для определения

злоумышленников и/или попыток поставить под угрозу системные и поль-

зовательские данные. Примерами событий, подлежащих аудиту, являются

6 Важно, что механизм разрешений для дисков, папок и файлов действует в пол-

ном объеме толькоприформатированиидисковвфайловойсистеме NTFS. Если

формат дисков устаревший (DOS-формат FAT, FAT32), файловая система практически

беззащитна против информационных террористов.

11

попытки неудачного доступа к компьютеру, сети или ресурсу, несанкцио-

нированного управления учетными записями пользователей и групп.

Основные типы аудита: 1) вход в систему⁷; 2) управление учетными

записями; 3) доступ к службе каталогов; 4) доступ к объектам; 5)

изменение политики безопасности; 6) использование привилегий; 7)

отслеживание процессов; 8) системные события.

Тот или иной аудит включается или выключается в параметрах безо-

пасности Windows (Локальные политики\Политика аудита). В каждом

включенном аудите можно задать проверку успехов или отказов: аудит ус-

пехов означает создание записи аудита при каждой успешной попытке

(входе, доступе, управлении, изменении, использовании), аудит отказов –

при каждой неудачной.

Включенный аудит, как «недреманное око», следит за вверенной ему

«территорией безопасности» и фиксирует соответствующие события (ус-

пехи и отказы) в журналах безопасности, приложений и системном журна-

ле. Эти журналы можно прочитать в окне просмотра событий.

Помимо перечисленных средств, в современных версиях Windows ис-

пользуются утилиты (служебные программы) безопасности, обеспечивающие:

– криптографическую защиту файлов;

– восстановление поврежденных данных и системных файлов;

– защиту от вирусов и нежелательной Internet-информации;

– защиту системных файлов Windows от несанкционированных попыток

их замены или перемещения;

– анализ безопасности Windows, службы Internet и SQL-сервера и др.

По сравнению с Windows NT современные средства безопасности

Windows усложнились настолько, что конечному пользователю даже на

своем рабочем или домашнем компьютере мы не рекомендовали бы их ис-

пользовать без специальной подготовки. Не надо забывать, что «заряжен-

ное ружье раз в год стреляет», в том числе, по своим, и во избежание риска

лучше пригласить специалиста (например, системного администратора),

способного грамотно решить проблемы безопасности на вашем компьюте-

ре. Тем более конечному пользователю не следует вмешиваться в систему

безопасности локальной сети, имеющей свою администрацию. В крайнем

случае есть смысл обратиться в системный Центр справки и поддержки

(Пуск/ Справка и поддержка), содержащий свод детальных инструкций

безопасности по каждой категории защиты.

Не нашли, что искали? Воспользуйтесь поиском по сайту: