систему. Здесь можно указывать как единичные дни, так и целые диапазоны (например Sa или M-F). Для указания времени допускается как 24-часовый формат, так и 12-часовый формат;
/fullname – этот параметр идентичен полю «Полное имя» при создании пользователя предыдущими способами.
Создание учетных записей пользователей для компьютеров, состоящих в домене
В серверной операционной системе Windows Server в домене Active Directory учетные записи пользователей можно создавать шестью способами:
•Создание пользователей при помощи оснастки «Active Directory – пользователи и компьютеры»
•Создание пользователей с помощью командной строки
•Импорт пользователей с помощью команды CSVDE
•Импорт пользователей с помощью команды LDIFDE
•Создание пользователей с помощью Windows PowerShell
•Создание пользователей с помощью VBScript
Заключение. Кратко рассмотрены вопросы об учетных записях пользователя. Учётная запись пользователя – это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Были рассмотрены методы создания локальных учетных записей пользователей и пользователей домена. Реальные упражнения и задачи рассматриваются в лабораторной работе №3 и на практическом занятии №2.
27
Лекция 4 Защита файлов и общих папок.
Разрешения файловой системы при доступе к ресурсам
Защита файлов и общих папок
Тема информационной защиты сегодня популярна, как никогда. IT-профессионалы черпают знания отовсюду: из специальных статей в журнале и даже из ежедневных рассылок по электронной почте. Большинство технических средств защищают ресурсы организации от постороннего вмешательства.
Но зачастую необходимо разделить доступ к информации внутри самого предприятия. Только представьте, какие проблемы могут возникнуть, если все сотрудники получат доступ к личным записям своих коллег.
Файловая система NTFS в Windows и её полномочия для общих папок специально разработаны для защиты содержимого папок общего доступа как от внутренних, так и внешних утечек. Рассмотрим, как грамотно назначать NTFS-полномочия и управлять доступом к общим папкам и файлам.
Управление доступом к файлам
Большинство пользователей выкладывает файлы в открытый доступ для некоторых сотрудников своего предприятия. Для этого нужно:
1.Щёлкнуть правой кнопкой на папке с файлами, к которым нужно предоставить доступ.
2.Из раскрывшегося меню выбрать пункт Sharing And Security (Общий доступ и безопасность).
3.В диалоговом окне свойств папки перейти на вкладку Sharing (Доступ) и выбрать команду Share This Folder (Открыть общий доступ к этой папке)
Далее необходимо дать имя общему ресурсу и пояснения по его назначению и использованию:
1.Введите название папки в графу Share Name (Имя общего ресурса) .
2.По желанию можно добавить несколько пояснительных слов в графу Comment (Описание).
3.Нажмите OK.
28
Необходимо помнить, что полномочия, заданные по умолчанию, предоставляют доступ к содержимому каталогов всем пользователям (группа Все). Поэтому их необходимо ограничить.
Также для того, чтобы назначить разные полномочия для разных пользователей, необходимо отключить активную по умолчанию опцию Windows Simple File Sharing (Простой общий доступ к файлам):
1.Откройте проводник Windows Explorer.
2.Перейдите в меню Tools (Сервис).
3.Выберите пункт Folder Options (Свойства папки).
4.Перейдите на вкладку View (Вид).
5.В окнеAdvanced Settings (Дополнительные параметры) уберите отметку с параметра Use Simple File Sharing (Recommended) | Использовать простой общий доступ к файлам (рекомендуется).
6.Нажмите OK.
Для того, чтобы отключить разрешение для Всех (Everyone) и настроить уровень доступа для каждого пользователя индивидуально:
1.Щёлкните правой кнопкой на требуемой папке.
2.Из раскрывшегося меню выберите пункт SharingAnd Security (Общий доступ и безопасность).
3.Нажмите на кнопку Permissions (Разрешения). Откроется диалоговое окно Permissions For... (Разрешения для...)
29
Изображение B. Настройка полномочий доступа на вкладке Share Permissions (Разрешения для общего ресурса) диалогового окна Permissions For... (Разрешения для...).
4.Выделите объект Everyone (Все) в списке представленных групп или пользователей.
5.Нажмите на кнопку Remove (Удалить).
6.Нажмите на кнопкуAdd (Добавить). Откроется диалоговое окно Select Users Or Groups (Выбор: Пользователь или Группа
7.В окне Enter The Object Names To Select (Введите имена выбираемых объектов) выберите пользователей или группы, для которых требуется настроить полномочия доступа, и нажмите
OK.
8.На панели Group Or User Names (Группы или пользователи) выделите объекты, для которых будет произведена настройка полномочий доступа: можно разрешить или запретить
(Allow или Deny) Полный доступ (Full Control), Чтение (Change) и Изменение (Read)
находящейся в папке информации.
9.Нажмите OK для того, чтобы изменения вступили в силу, и закройте диалоговое окно; нажмите OK для выхода из окна свойств папки.
30
Полномочия полного доступа (Full Control) разрешают пользователям или группам читать, изменять, удалять и запускать содержащиеся в папке файлы. Помимо этого такие пользователи могут создавать и удалять в этом каталоге новые подпапки.
Пользователи, имеющие право изменять информацию в папке (Change), могут просматривать и изменять находящиеся в каталоге файлы, создавать в нём свои файлы и папки и запускать расположенные в нём программы на исполнение.
Пользователям и группам, наделённых полномочиями чтения информации (Read), разрешается только просматривать хранимые в каталоге файлы и запускать программы. Для информации на дисках Windows XP, отформатированных в файловую систему NTFS, можно устанавливать дополнительные полномочия.
NTFS-полномочия (разрешения файловой системы NTFS)
NTFS-полномочия в среде Windows предоставляют собой дополнительный набор параметров, которые можно настраивать для каждого отдельного файла или папки.
Для начала нужно убедиться, что настройки Windows позволяют работать с файловой системой NTFS:
1.Нажмите Start (Пуск).
2.Выберите команду Run (Выполнить).
3.Введите в строку compmgmt.msc и нажмите OK. Откроется консоль Computer Management (Управление компьютером).
4.Перейдите к объекту Disk Management (Управление дисками) на вкладке Storage
(Запоминающие устройства) для того, чтобы узнать какой тип файловой системы используется на каждом диске.
Если диск или один из его разделов не отформатированы в NTFS, это можно исправить, если ввести convert X: /fs:ntfs, поставив вместо X букву нужного диска или раздела. Команда convert поменяет текущую файловую систему диска на NTFS, не уничтожая при этом хранящиеся на нём данные. Тем не менее, перед запуском команды на выполнение лучше сделать резервную копию содержимого диска.
31
Для настройки NTFS-разрешений:
1.Щёлкните на нужном файле или папке.
2.Из контекстного меню выберите пункт Properties (Свойства).
3.Перейдите на вкладку Security (Безопасность).
4.При помощи кнопокAdd/Remove (Добавить/Удалить) добавляйте или удаляйте пользователей и групп, для которых требуется произвести настройку NTFS-полномочий доступа.
5.Выберите нужный объект из окна Group Or User Names (Группы или пользователи) и назначайте/запрещайте полномочия, устанавливая или убирая соответствующие отметки в окне Permissions For (Разрешения для), как показано на изображении D.
6.Нажмите ОК для сохранения изменений.
32
Изображение D. NTFS-полномочия обладают большим количеством настраиваемых параметров по сравнению со службой простого общего доступа.
Учтите, что по умолчанию подкаталоги наследуют свойства своих корневых директорий. Для того, чтобы это изменить, нажмите на кнопкеAdvanced (Дополнительно) на вкладке Security (Безопасность) диалогового окна Properties (Свойства).
Виды NTFS-полномочий:
• Full Control (Полный доступ) - разрешает пользователям и группам выполнять любые операции с содержимым папки, включая просмотр файлов и подкаталогов, запуск файлов приложений, управление списком содержимого папки, чтение и запуск исполняемых файлов, изменение атрибутов файлов и папок, создание новых файлов, добавление данных в файлы, удаление файлов и подкаталогов, а также изменение полномочий доступа к файлам и папкам.
• Modify (Изменить) - разрешает пользователям и группам осуществлять просмотр файлов и подкаталогов, запускать исполняемые файлы приложений, управлять списком содержимого папки, просматривать параметры папки, изменять атрибуты папок и файлов, создавать новые файлы и подкаталоги, добавлять данные в файлы и удалять файлов.
• Read & Execute (Чтение и выполнение) - разрешает пользователям и группам просматривать список файлов и подкаталогов, запускать исполняемые файлы приложений, просматривать содержимое файлов, а также изменять атрибуты файлов и папок.
•List Folder Contents (Список содержимого папки) - разрешает пользователям и группам осуществлять навигацию по каталогам, работать со списком содержимого папки, а также просматривать атрибуты файлов и папок.
•Read (Чтение) - разрешает пользователям и группам просматривать содержимое папки, читать файлы и просматривать атрибуты файлов и папок.
•Write (Запись) - разрешает пользователям и группам изменять атрибуты файлов и папок, создавать новые папки и файлы, а также изменять и дополнять содержимое файлов.
Для определения окончательных полномочий того или иного пользователя вычтите из NTFSразрешений, предоставленных ему непосредственно (или как члену группы), все индивидуальные запреты (или запреты, который он получил в качестве члена группы). К примеру, если пользователь получил полный доступ (Full Control) к данной папке, но в то же время является членом группы, для которой запрещён полный доступ, то он в результате не будет обладать правами полного доступа. Если уровень доступа пользователя ограничен параметрами Read & Execute (Чтение и выполнение) и List Folder Contents (Список содержимого папки) в одной группе, и в то же время ему запрёщен доступ на уровне List Folder Contents (Список содержимого папки), то в результате его NTFS-полномочия будут ограничены только уровнем Read & Execute (Чтение и выполнение). По этой причине администратором следует подходить к запретам с особой осторожностью, поскольку запрещённые функции имеют приоритет перед разрешёнными для того же пользователя или группы.
Windows XP снабжена удобной утилитой для подтверждения действующих разрешений пользователя или группы:
1.Откройте диалоговое окно свойств нужного файла или папки (Properties).
2.Перейдите на вкладку Security (Безопасность).
3.Нажмите на кнопкуAdvanced (Дополнительно). Откроется диалоговое окно Advanced Security Settings For (Дополнительные параметры безопасности для...).
4.Перейдите на вкладку Effective Permissions (Действующие разрешения). (Изображение E)
33
5.Нажмите на кнопку Select (Выбрать).
6.Откроется диалоговое окно Select User Or Group (Выбор: Пользователь или Группа).
7.В поле Enter The Object Name To Select (Введите имена выбираемых объектов) введите имя
пользователя или группы, чьи полномочия необходимо подтвердить, и нажмите OK.
8. Диалоговое окно Advanced Security Settings For (Дополнительные параметры безопасности для...) отобразит итоговый набор NTFS-полномочий для выбранного пользователя или группы.
Изображение E. Вкладка Effective Permissions (Действующие разрешения) помогает легко определить, какими полномочиями на самом деле обладает пользователь или группа.
Сочетание NTFS-разрешений с полномочиями общего доступа
Для определения окончательных полномочий того или иного пользователя сравните итоговые полномочия общего доступа с итоговыми NTFS-разрешениями. Помните, что ограничения доступа будут доминировать над разрешениями.
34
Например, если итоговые NTFS-права доступа пользователя ограниченны уровнем Read and Execute (Чтение и выполнение), а итоговые права общего доступа - уровнем Full Control (Полный доступ), система не предоставит этому пользователю действительные права полного доступа, а выберет наиболее приоритетный уровень, в данном случае это NTFSразрешение на чтение и выполнение.
Всегда необходимо помнить о том, что итоговые ограничения в правах превалируют над итоговыми разрешениями. Это очень важный момент, который легко забывается, после чего доставляет пользователям немало хлопот. Поэтому тщательно рассчитывайте соотношения запретов и разрешений полномочий NTFS и общего доступа.
{Автор материалов данной лекции: Erik Eckel
Версия на английском: techrepublic.com.com
Копирование статьи разрешается только в случае указания явной гиперссылки на вебсайт winblog.ru, как на источник русскоязычной версии. }
35
Лекция 5 Управление правами доступа и пользователями в операционной системе Linux
Управление правами доступа
Linux - многопользовательская операционная система. Это означает, что несколько пользователей могут работать одновременно, решая различные задачи и совершенно не мешая друг другу.
Многопользовательская среда предполагает наличие механизма регулирования прав доступа к любому ресурсу в системе. Существует три типа прав доступа: на чтение, запись и исполнение.
Каждый файл имеет определенного владельца и группу, увидеть это можно с помощью команды ls -l:
Код:
$ ls -l
-rw-r--r-- 1 kolya users 0 Апр 5 03:12 foo
В данном случае владельцем является kolya, а группой файла - users. Первый (считая слева) символ говорит обычный ли это файл, каталог, символьное устройство, сокет или любое другое псевдофайловое устройство. В нашем случае -, указывает на обычный файл. Следующие три символа (в данном случае это rw-) задают права доступа владельца файла. Затем идут права группы, которой принадлежит файл (r--). Последняя тройка (r--) определяет права для всех остальных. Права сгруппированы три по три, соответственно чтение/запись/выполнение для владельца/группы/всех остальных. Численное и символьное представление:
36
Права на устройства контролируются аналогичным образом. В Linux все устройства представлены в виде файлов, которые можно открывать, читать и писать в них. Эти специальные файлы содержатся в каталоге /dev.
Каталоги также являются файлами. К ним применимы те же права на чтение, запись и выполнение. Правда, в данном случае "выполнение'' имеет несколько другой смысл. Когда каталог помечен как "исполнимый'', это означает, что можно "зайти'' в него (с помощью команды cd, change directory). Это также означает, что в данном каталоге можно получить доступ к файлам, имена которых известны (конечно, если собственные права на файл разрешают такой доступ).
Для управления правами используется команда chmod. Упрощенный синтаксис:
Код:
chmod изменение цель
В качестве изменения может выступать как цифровой код новых прав для файла:
Код:
chmod 777 foo
|
|
|
|
|
|
|
|
установит |
режим |
"можно |
все" |
|
для |
"всех" |
|
так и модификации, с использованием операторов +, - и = |
|
|
|
||||
оператор + означает добавить права |
|
|
|
|
|
||
оператор - означает удаление прав |
|
|
|
|
|
||
Код: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
chmod -x foo |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
удалит |
право |
исполнения |
для |
всех |
|
пользователей |
|
Также возможно |
целевое |
удаление или |
добавление |
прав, |
с использованием |
||
следующих обозначений: |
|
|
|
|
|
|
|
Код: |
|
|
|
|
|
|
|
u Пользователь (User) g Группа (Group)
o Другие (Other) a Все (All)
37
Код:
chmod g+r foo
добавит право чтения для группы
Для смены владельца/группы используется команда chown:
Код:
chown владелец:группа цель
установит для целевого файла указанного владельца и группу.
Для выполнения отдельных приложений с привилегиями суперпользователя предназначено sudo:
Код:
sudo приложение
Для перехода в режим суперпользователя используется команда su
Код:
su
пароль_суперпользователя
Управление пользователями в Linux
Для создания пользователей самый простой способ - использовать утилиту adduser которая в интерактивном режиме запросит все необходимые параметры. В большинстве случаев достаточно использовать параметры "по умолчанию"
Для смены пароля пользователя используется passwd.
Пользователь может (при наличии прав) сменить пароль для себя используя passwd без параметров.
Суперпользователь может сменить пароль для любого пользователя используя passwd логин_пользователя
Для включения пользователя в группу используется: gpasswd добавление:
38
Код:
gpasswd -a пользователь группа
удаление из группы:
Код:
gpasswd -r пользователь группа
Удаление пользователя - команда userdel:
Код:
userdel пользователь
Более подробную информацию можно найти в man страницах passwd, gpasswd, useradd, userdel
39
Лекция 6 Настройки параметров безопасности. Политики учетных записей. Политики безопасности компьютера и домена. Управление правами пользователей.
После установки ОС требуется выполнить следующие шаги по укреплению операционной системы с целью ее безопасного применения в производственных условиях.
•Шаг 1 - Установка базовой ОС с выбором необходимых опций для повышения безопасности во время установки и отключением ненужных сервисов, опций и программ.
•Шаг 2 - Установка всех рабочих комплектов администратора, инструментов безопасности и необходимых программ.
•Шаг 3 - Удаление ненужных сервисов, программ и приложений. Отключение или удаление неиспользуемых учетных записей пользователей и групп.
•Шаг 4 - Установка Service Pack, исправлений и обновлений. Обновление всех установленных программ.
•Шаг 5 - Запуск аудита безопасности (сканер, шаблоны, MBSA, и т.д.) для получения информации о текущем уровне безопасности
•Шаг 6 - Запуск восстановления системы (System Restore) и создание точки восстановления. Приложения резервного копирования и восстановления для восстановления после крушений системы.
•Шаг 7 - Резервное копирование системы с возможностью ее быстрого восстановления после краха.
Далее необходимо выполнить комплекс мер по настройке безопасности системы и прав пользователей. Рассмотрим основные вопросы по настройке политики безопасности прав пользователей.
Конфигурирование политик безопасности
Политика безопасности – это набор параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки «Редактор локальной групповой политики» или оснастки «Локальная политика безопасности».
Оснастка «Локальная политика безопасности» используется для изменения политики учетных записей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки «Редактор управления групповыми политиками». Перейти к локальным политикам безопасности, вы можете следующими способами:
1. Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Локальная политика безопасности и откройте приложение в найденных результатах;
40