Министерство образования и науки Российской Федерации

ГБОУ ВПО

Тверской государственный технический университет

Кафедра ЭВМ

Отчёт

по лабораторной работе №12

на тему

“Управление доступом в Windows server”

по дисциплине

“Сетевые операционные системы”.

Выполнили: студенты

группы ВМКСС-0903

Григорьевская Т.Ю.

Лапшинов Д. А.

Приняла: Полтавцева М. А.

Тверь

2013

Задание:

1. Создание консоли с оснастками "Шаблоны безопасности", "Анализ и настройка безопасности"

2. Откройте оснастку "Шаблоны безопасности" Изучите имеющиеся в системе стандартные шаблоны Обратите внимание на шаблоны:

   1. hisecdc

   2. securedc

   3. setupsecurity

3. Изучите в шаблонах разделы:

   1. Политики учетных записей (Политика паролей Политика блокировки учетной записи )

   2. Локальные политики ( Политика аудита Назначение прав пользователя Параметры безопасности )

   3. Журнал событий

4. Создайте новую базу данных

   1. В левой части окна новой консоли выберите оснастку "Анализ и настройка безопасности"

   2. Меню "Действие" - Выберите "Открыть базу данных" - Укажите имя базы данных (например, db-1) и путь для сохранения базы (например, X:) - Кнопка "Открыть"

   3. Выберите шаблон для импорта (выберите шаблон hisecdc.inf - шаблон контроллера домена с высоким уровнем безопасности) Кнопка "Открыть"

5. Проведите анализ настроек системы безопасности вашего компьютера

   1. В левой части окна новой консоли выберите оснастку "Анализ и настройка безопасности" Меню "Действие" - Выберите "Анализ компьютера" - Укажите путь к файлу журнала ошибок (например, X:) - Кнопка "ОК"

   2. Изучите результаты анализа настроек безопасности: В оснастке "Анализ и настройка безопасности" просмотрите разделы

      1. Политики учетных записей (Политика паролей , Политика блокировки учетной записи )

      2. Локальные политики (Политика аудита, Назначение прав пользователя, Параметры безопасности , Журнал событий )

   3. Закройте консоль

1. Включение политики аудита

1. Войдите в систему как Администратор

2. Запустите консоль "Политика безопасности контроллеров домена", Далее:

3. "Параметры безопасности" - "Локальные политики" - "Политика аудита" Откройте параметр "Аудит доступа к объектам" — Поставьте галочки у обоих полей "Успех" и "Отказ"

2. Включение аудита доступа к файлам для конкретной папки

   1. Откройте Свойства папки "X:\Folder" Далее:

   2. Закладка "Безопасность" —

   3. Кнопка "Дополнительно" —

   4. Закладка"Аудит" —

   5. Кнопка "Добавить" —

   6. Добавьте группу "Пользователи" —

   7. Кнопка "ОК"

   8. Поставьте галочки в столбцах "Успех" и "Отказ" для строк "Чтение данных", "Удаление папок и файлов" — нажмите кнопку "ОК" нужное число раз

3. Тестирование аудита доступа к файлам

   1. Войдите в систему как Администратор и как User1-N

   2. Откройте папку "X:\Folder"

   3. Попытайтесь открывать размещенные в папке файлы

4. Попытайтесь удалить размещенные в папке файлы

5. Войдите в систему как Администратор

6. Откройте консоль "Просмотр событий"

7. Откройте журнал "Безопасность"

8. Изучите записи журнала из категории "Доступ к объектам"

4. Локальные права доступа с запретом доступа (разрешения ntfs)

   1. Создайте папку на разделе NTFS (например, папку Folder на разделе X:).Разместите в ней различные документы (файлы).

   2. Назначьте локальные права доступа к папке Folder: Группа "Все" — Полный доступ, Группа Group1 — Запрет доступа

   3. Проверьте доступ к папке для пользователя User1: войдите в систему как пользователь User1; попытайтесь открыть папку Folder и размещенные в ней документы. list>

5. Локальные права доступа (разрешения ntfs)

   1. Назначьте локальные права доступа к папке Folder: Удалить группу "Все" Группа Group1-N — Чтение Группа Group2-N — Изменение

2. Проверьте доступ для пользователя User1: войдите в систему как пользователь User1-N; попытайтесь открыть папку Folder и размещенные в ней документы; попытайтесь изменить имеющиеся документы; попытайтесь создать новые документы.

6. Сетевые и локальные права доступа

   1. Откройте сетевой доступ к папке Folder Сетевые разрешения: Группа "Все" — Чтение

2. Сравните доступ к папке и её содержимому при доступе через сеть (например, \\SERVER\Folder) и локально (например, X:\Folder)

2. Взятие во владение файловых ресурсов

   1. Войдите в систему как пользователь User1

   2. Создайте папку

   3. Откройте Свойства папки

      1. Перейдите на закладку "Безопасность" —

      2. нажмите кнопку "Дополнительно" —

      3. уберите галочку у поля "Разрешить наследование разрешений от родительского объекта к этому объекту ..." —

      4. в появившейся панели нажмите кнопку "Удалить" —

      5. далее кнопка "ОК' —

      6. на вопрос "Хотите продолжить" кнопка "Да" —

      7. нажмите кнопку "Добавить" и добавьте пользователя User1 —

      8. назначьте права доступа "Полный доступ" —

      9. кнопка "ОК'

4. Войдите в систему как Администратор

5. Попытайтесь открыть созданную пользователем User1 папку и размещенные в ней документы

6. Откройте Свойства папки

   1. Перейдите на закладку "Безопасность" —

   2. нажмите кнопку "Дополнительно" —

   3. откройте закладку "Владелец" —

   4. выберите в списке группу "Администраторы" —

   5. поставьте галочку у поля "Заменить владельца подконтейнеров и объектов" —

1. Кнопка "ОК' —

2. Кнопка "Да"

3. В появившемся списке доступа к папке добавьте группу

4. "Администраторы" —

5. назначьте права доступа этой группе "Полный доступ" —

6. кнопка "OK"

1. Снова попытайтесь открыть данную папку и расположенные в ней документы.

3. Управление доступом из командной строки (команда cacls)

   1. Создайте в папке Folder текстовый файл произвольного содержания.

   2. Выведите в текстовый файл таблицы управления доступом для папки Folder, текстового файла и системной папки с соответствующими вводными предложениями следующего формата:

Папка Folder:

= разрешения =

Текстовый файл:

= разрешения =

Системный каталог:

= разрешения =

C:\>cacls folder > folder\doc.txt

C:\>cacls folder

C:\folder BUILTIN\Администраторы:(OI)(CI)F

NT AUTHORITY\SYSTEM:(OI)(CI)F

BUILTIN\Администраторы:F

СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F

BUILTIN\Пользователи:(OI)(CI)R

BUILTIN\Пользователи:(CI)(специальный доступ:)

FILE_APPEND_DATA

BUILTIN\Пользователи:(CI)(специальный доступ:)

FILE_WRITE_DATA

C:\>cacls folder\doc.txt

C:\folder\doc.txt BUILTIN\Администраторы:F

NT AUTHORITY\SYSTEM:F

BUILTIN\Администраторы:F

BUILTIN\Пользователи:R

C:\>cacls WINDOWS

C:\WINDOWS NT AUTHORITY\Прошедшие проверку:R

NT AUTHORITY\Прошедшие проверку:(OI)(CI)(IO)(специальный доступ:)

GENERIC_READ

GENERIC_EXECUTE

BUILTIN\Операторы сервера:C

BUILTIN\Операторы сервера:(OI)(CI)(IO)C

BUILTIN\Администраторы:F

BUILTIN\Администраторы:(OI)(CI)(IO)F

NT AUTHORITY\SYSTEM:F

NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F

BUILTIN\Администраторы:F

СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F

3. Расшифруйте полученные значения.

C:\>cacls /?

Просмотр и изменение таблиц управления доступом (ACL) к файлам

CACLS файл [/T] [/M] [/S[:SDDL]] [/E] [/C] [/G имя:доступ] [/R имя [...]]

[/P имя:доступ [...]] [/D имя[...]]

Файл Вывод таблиц управления доступом (ACL) для этого файла.

/T Изменение ACL указанных файлов в текущей папке

и всех подпапках.

/M Изменение ACL для томов, присоединенных к этой папке.

/S Вывод строки SDDL для DACL.

/S:SDDL Замена текущих ACL данными из строки SDDL

(не совместимо с параметрами /E, /G, /R, /P или /D).

/E Редактирование ACL вместо ее замены.

/C Продолжение при ошибках отказа в доступе.

/G имя:доступ Задает разрешения доступа для указанного пользователя.

Возможные значения параметра "доступ":

R - Чтение

W - Запись

C - Изменение (запись)

F - Полный доступ

/R имя Отзыв разрешений для указанного пользователя

(только вместе с /E).

/P имя:доступ Замена разрешений доступа для указанного пользователя.

Возможные значения параметра "доступ":

N - Отсутствует

R - Чтение

W - Запись

C - Изменение (запись)

F - Полный доступ

/D имя Запрет на доступ для указанного пользователя.

Для выбора нескольких файлов можно использовать подстановочные знаки.

В команде можно указать несколько пользователей.

Сокращения:

CI - Наследование контейнерами (Container Inherit).

ACE будет унаследован вложенными подпапками.

OI - Наследование объектами (Object Inherit).

ACE будет унаследован файлами.

IO - Только наследование (Inherit Only).

ACE не применяется для текущей папки или файла.

4. Установите для папки Folder права доступа для пользователя «Только чтение», для текстового файла «запись». Попробуйте совершить с каталогом и файлом допустимые и не допустимые операции.

C:\>cacls folder /p Администратор:R

Продолжить? (Y/N)y

обработан каталог: C:\folder

C:\>cacls folder\doc.txt /p Администратор:W

Продолжить? (Y/N)y

обработан файл: C:\folder\doc.txt

5. Запретите пользователю User1 доступ к системному каталогу.

C:\>cacls WINDOWS /d user1

Продолжить? (Y/N)y

обработан каталог: C:\WINDOWS

C:\Documents and Settings\user1>cd..

C:\Documents and Settings>cd..

C:\>cd WINDOWS

Отказано в доступе.

10