20

Лабораторная работа №7

Система защиты информации от несанкционированного доступа в локальной вычислительной сети под управлением ОС Windows NT.

ЦЕЛЬ РАБОТЫ

Целью лабораторной работы является изучение cистемы защиты информации от несанкционированного доступа в сетевой операционной системеWindowsNT; получение навыков просмотра и изменения прав пользователя и групп пользователей с помощью утилитGUIи командной строки.

ВВЕДЕНИЕ

В предыдущих лабораторных работах вы уже изучили клиент-серверное взаимодействие в сети, под управлением операционной системы NetWare. Но у данной операционной системы существуют достаточно большие недостатки, - она сложна в администрировании, у неё отсутствует поддержка производителями «железа». Т.е. существует большая вероятность того, что ваша сетевая карточка просто не будет работать.

Та же самая проблема присуща и другим известным сетевым операционным системам, к примеру – Linux,BSD- и прочим. Но, в связи с тем, что над безопасностью и выявлением ошибок в той жеLinuxсистеме трудятся десятки тысяч программистов по всему миру, данная система признана более защищённой от хакерских атак, нежелиNetWare, построение сетей в ней гораздо проще и удобнее, к тому же распространяется она по лицензии GNU General Public License (т.е. бесплатно) с открытым исходным кодом.

В связи с этим, операционная система NetWareпотеряла свою популярность и используется на данный момент лишь там, где переход на новые сетевые решения осложнён.

Всё бы было хорошо, но на современном рынке существует такая корпорация, как Microsoft, которая коммерциализировала свои разработки и внедрила их по всему миру, отдав другим операционным системам лишь несколько процентов от общего числа компьютеров. Тяжело найти человека, у которого на компьютере не была бы установлена операционная системаWindows.Microsoftпрактически монополизировала целые компьютерные отрасли – офисные, полиграфические, домашние. Все известные программы данных отраслей написаны только подWindows, а под другие ОС их попросту не существует. Да и производители компьютерных комплектующих вынуждены ориентироваться именно на нужды данной корпорации, т.к. тоже хотят получить большие прибыли от продаж. Но реализация сетевых возможностей вWindowsнастолько убога, что применение её в качестве серверной ОС, особенно в больших сетях, категорически не рекомендуется. Каждый день в ней находятся новые ошибки, ставящие под угрозу сохранность информации. Однако, как уже было сказано, часто некоторые устройства невозможно подключить в других ОС и администраторы просто вынуждены устанавливать именноWindows. Поэтому в данной работе мы попытаемся разобраться в администрированииWindows-сервера. Работа будет производиться на ОСWindows2000ProfessionalсемействаNetworkTechnologies(NT).

1. ВВЕДЕНИЕ В СЕТЕВУЮ ОПЕРАЦИОННУЮ СИСТЕМУ WINDOWSNT.

Сеть представляет группу компьютеров, связанных между собой так, чтобы они могли взаимодействовать и разделять ресурсы.

Пользователи сети, сидя за отдельными персональными компьютерами, могут взаимодействовать друг с другом через сеть. Они также могут разделять ресурсы (жесткие диски, данные, прикладные программы, принтеры) и пользоваться сервисом, предоставляемым сетью.

Рабочие станции - это персональные компьютеры, за которыми пользователи сети выполняют свою работу. Функционирование рабочих станций во многом схоже с функционированием самых обычных персональных компьютеров. На каждой станции имеется свой набор файлов и своя операционная система.

Файл-серверы - это персональные компьютеры, использующие операционную систему для управления работой сети. Файл-сервер координирует все рабочие станции и регулирует распределение сетевых ресурсов. Он определяет, кто и в какой последовательности может использовать принтер, какие файлы могут быть открыты рабочей станцией и.т.д.

Все сетевые файлы помещаются на диске файл-сервера, поэтому могут быть доступны всем сетевым ПК.

2. ЗАГРУЗКА ОС WINDOWSNT

1. Загрузите Вашу рабочую станцию.

Для этого запустите программу-эмулятор Vmware, ярлык «VMware Workstation» которой помещён на рабочий стол, а в ней выберите пункт меню«Power->Power On».

2. В диалоге авторизации укажите имя пользователя и пароль «user».

3. Разверните эмулируемую ОС на весь экран, нажав комбинацию «Ctrl+Alt+Enter».

Дополнительная информация по Vmware.

Комбинация клавиш	Действие
Ctrl+B	Включить питание виртуального компьютера
Ctrl+Alt	«Вытащить» курсор мыши из окна эмулируемой ОС.
Ctrl+Alt+Enter	Включить/Выключить полноэкранный режим

3. ЗАЩИТА ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Вся информация в сети хранится централизованно на дисках файлового сервера. Однако, не все пользователи сети должны иметь доступ ко всем файлам сервера. Это необходимо для того, чтобы обеспечить независимость каждого пользователя друг от друга при работе в сети. Для этого каждый пользователь может иметь именные каталоги, доступ других пользователей к ним должен быть запрещен. Каталоги с файлами, которые могут использоваться несколькими пользователями одновременно, создаются администратором как многопользовательские. Но пользователи, использующие один и тот же файл, не должны иметь к нему одновременного доступа, чтобы выполняемые операции над данными были правильными.

ОС Windowsснабжена обширной системой защиты данных, которая состоит из четырех уровней:

• защита регистрации,

• защита через права пользователя на доступ к общему ресурсу,

• защита через возможности файловой системы,

• защита через атрибуты каталогов и файлов,

• защита файл-сервера.

Система защиты постоянно следит за тем:

- кто может иметь доступ к сети,

- к каким ресурсам (каталогам, файлам) конкретный пользователь может иметь доступ,

- что могут делать пользователи с доступными им ресурсом (каталогом, файлом),например, читать или модифицировать файл,

В данной работе рассматривается защита через права пользователя на доступ к общему ресурсу, через возможности файловой системы NTFS5.0 и через атрибуты каталогов и файлов.

3.1 ЗАЩИТА ЧЕРЕЗ ПРАВА ПОЛЬЗОВАТЕЛЯ НА ДОСТУП К ОБЩЕМУ РЕСУРСУ

Данные права бывают двух типов – «Чтение» и «Изменение», что очевидно, т.к. другие типы взаимодействия просто невозможно отследить на сетевом уровне. Их можно установить по отдельности для каждого существующего пользователя или сразу для группы пользователей. Сразу после установки сетевых прав на доступ объекту, он превращается в ресурс, к которому можно получить доступ (так называемый «расшаренный» от англ. share, а процесс создания ресурсов называется «расшаривание»). Для установки данных прав можно воспользоваться тремя приоритетными путями – либо используяGUI(GraphicalUserInterface– графический интерфейс пользователя)Windows, вызвав контекстное меню для объекта (папки) и выбора закладки«Доступ»в свойствах объекта, либо используяGUIоснастку «Общие папки» (информацию см.ниже), либо используяGUIутилиту «shrpubw»(меню «Пуск»->«Выполнить»,shrpubw, ОК), либо через командный режим эмуляцииMS-DOSс помощью утилитыNET. Далее мы подробно рассмотрим эти способы расшаривания, а также прочие возможности утилитыNET.

«Расшаривание» ресурсов

Возможности GUI Windows NT.

Для того, чтобы сделать ресурс доступным в сети, в ОС WindowsNTсуществует закладка «Доступ» у свойства объекта (папки), см. рис. 1.

Здесь указывается имя общего ресурса – то, что будет видно пользователям сети вместо имени объекта на Вашем локальном компьютере.

Также указывается предельное число пользователей, которые могут одновременно обращаться к данному ресурсу, но самое интересное находится на вкладке «Разрешения» (рис.2 ).

Это основное окно разграничения сетевых прав. Оно состоит из двух списков. В верхнем перечислены пользователи (группы пользователей), для которых устанавливаются права, находящиеся в нижнем поле.

Пользователей можно добавлять/удалять с помощью соответствующих кнопок. А далее для каждого пользователя/группы установить соответствующие флажки прав в нижнем окне.

Что касается удаления пользователей, то там, думаю, никаких трудностей у Вас не возникнет, а вот что касается добавления, то тут необходимо кое-что Рис.1

отметить.

При нажатии кнопки «Добавить» появляется окно, изображённое на рис.3.

Для добавления известных пользователей, можно просто добавить их в виде «Имя_компьютера»\«Имя_пользователя» (без кавычек) в нижнее поле окна, после чего, проверив наличие пользователя соответствующей кнопкой, нажать ОК и данный пользователь появится в списке окна разрешений, где ему будет можно присвоить требуемые права сетевого доступа. Но, если Вы не помните точно имени пользователя, его можно найти в окне, которое вызывается нажатием кнопки «Дополнительно».

Рис. 2

Рис.3

3.2 ЗАЩИТА ОБЪЕКТОВ В ФАЙЛОВОЙ СИСТЕМЕ NTFS5.0

В данном разделе последовательно и подробно рассматриваются особенности стандартной в Windows2000 файловой системы –NTFSверсии 5.0. Только эта система позволяет в полной мере использовать все возможностиWindows2000, обеспечивающие безопасность и надёжность хранения данных на дисковых накопителях.

Разрешения для файлов и папок.

Устанавливая пользователям определённые разрешения для файлов и каталогов (папок), администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа. Каждый пользователь должен иметь определённый набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создаёт. Администратор может назначить себя владельцем любого объекта файловой системы (файла или папки). Следует, однако, помнить, что обратная передача владения от администратора к пользователю невозможна. Администратор должен зарегистрироваться в системе под именем того пользователя, которому он хочет передать владение файлом или папкой, а затем стать владельцем нужного объекта.

Разрешения пользователя на доступ к объектам работают по принципу дополнения (аддитивности). Это значит, что действующие разрешения, то есть те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с помощью логической функции ИЛИ. Например, если пользователь имеет прямо назначенное разрешение для каталога на чтение, а косвенно через членство в группе ему дано разрешение на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные. Следует всё же заметить, что правило сложения разрешений с помощью логического ИЛИ не выполняется, когда пользователь имеет определённое разрешение, а группе, в которую он входит, отказано в этом разрешении (или наоборот). В этом случае отказ в разрешении имеет более высокий приоритет над предоставлением разрешения, т.е. в результате пользователь не будет иметь данного разрешения. Для отказа пользователю в разрешении на доступ к какому-либо файлу или папке следует включить пользователя в группу, которой отказано в разрешении Полный доступ (FullControl) для данного объекта файловой системы.