ОС Лаб.работа №7-8 (Методические указания по выполнению всех лабораторных работ)

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙУНИВЕРСИТЕТ им. Н.Э. БАУМАНАФакультет «Информатика и системы управления»Кафедра «Автоматизированные системы обработки информации и управления»Сёмкин П.С., Сёмкин А.П.Методические указания по выполнению лабораторных работпо дисциплине«Операционные системы»Лабораторная работа № 7-8«Администрирование параметров безопасностиОС Windows 7»Москва2017 г.Операционные системы Лаб.работа №7-8(Администрирование параметров безопасностиОС Windows 7)2ОГЛАВЛЕНИЕ1ЦЕЛЬ РАБОТЫ ............................................................................................................

22ТЕОРЕТИЧЕСКАЯ ЧАСТЬ .......................................................................................... 22.1Политики безопасности ..................................................................................................................................... 22.2Шифрование файлов, папок и дисков ............................................................................................................ 32.3Агенты восстановления данных ......................................................................................................................

62.4Политики паролей учетных записей ............................................................................................................... 92.4.1Ведение журнала паролей ............................................................................................................................ 92.4.2Максимальный срок действия пароля ....................................................................................................... 112.4.3Минимальный срок действия пароля ........................................................................................................

112.4.4Минимальная длина пароля ....................................................................................................................... 122.4.5Требования сложности пароля .................................................................................................................. 122.4.6Хранение паролей с использованием обратимого шифрования ............................................................ 132.5Политика блокировки учетных записей ......................................................................................................

132.5.1Пороговое значение блокировки ............................................................................................................... 132.5.2Продолжительность блокировки учетной записи .................................................................................... 142.5.3Время до сброса счетчика блокировки ..................................................................................................... 142.6Политики аудита...............................................................................................................................................

152.7Назначение прав пользователя=>.................................................................................................................. 172.8Параметры безопасности данных и функционирования системы .......................................................... 203ЗАДАНИЕ НА ВЫПОЛНЕНИЕ РАБОТЫ ................................................................. 234КОНТРОЛЬНЫЕ ВОПРОСЫ ....................................................................................

245ЛИТЕРАТУРА ............................................................................................................. 241 Цель работыЦелью работы является знакомство с администрированием параметровбезопасности операционной системы Windows 7.Продолжительность работы – 4 часа.2 Теоретическая часть2.1 Политики безопасностиКомпоненты, обеспечивающие безопасность, являются одними изважнейших в современных операционных системах. Обычно по умолчаниюОперационные системы Лаб.работа №7-8(Администрирование параметров безопасностиОС Windows 7)3компоненты ОС настроены для обеспечения среднего для обычного пользователяуровня безопасности.Но иногда такого уровня безопасности оказывается недостаточно, иоперационная система настраивается таким образом, чтобы обеспечиваласьмаксимальная безопасность, даже ценой снижения производительности системы.В операционной системе Windows имеется множество компонентов,отвечающих за ее безопасность.

С помощью групповых политик можно получитьдоступ практически ко всем параметрам безопасности системы.Основная часть этих политик расположена в оснастке Политика«Локальный компьютер».За безопасность отвечают политики, расположенные в узлеПолитика «Локальный компьютер» \ Конфигурация компьютера \Конфигурация Windows \ Параметры безопасности2.2 Шифрование файлов, папок и дисковДля различных криптографических операций — шифрования данных наэлектронных носителях информации, создания и использования электронныхцифровых подписей и шифрования пакетов данных при передаче по закрытымканалам связи, аутентификации пользователей используются криптосистемы соткрытым ключом.В таких системах используют два ключа шифрования - открытый,используемый для шифрования данные или проверки достоверность электроннойподписи, и закрытый, позволяющий расшифровать данные или подписать ихэлектронной подписью.В операционной системе Windows такие ключи называют сертификатамиоткрытого и закрытого ключей, поскольку такие ключи обычно подписаныэлектронной подписью центра сертификации.Шифрующаязашифровыватьфайловаясистемапозволяетпринадлежащиеимипапкирасположенные на томах с файловой системой NTFS.пользователямотдельныефайлы,Операционные системы Лаб.работа №7-8(Администрирование параметров безопасностиОС Windows 7)4Для шифрования файла или папки следует просто установить для нихатрибут Шифровать содержимое для зашиты.

Если пометить папку какзашифрованную, то будут зашифрованы все файлы в этой папке, а все новыефайлы, перемещенные в эту папку или созданные в ней, также будутзашифрованы.Зашифрованные таким образом файлы в обычных условиях невозможнопросмотретьдругомупользователю,даженаделенномуполномочиямиадминистратора. При этом пользователь, зашифровавший файлы, может работатьс ними как с обычными файлами. В результате применения шифрования, дажеесли компьютер будет украден или перезагружен в системе MS-DOS, файлыостанутся нечитаемыми.Когдапользовательсообщаетсистеме,чтохочетзашифроватьопределенный файл, формируется случайный 128-разрядный ключ.Ключ используется для поблочного шифрования файла с помощьюсимметричного алгоритма, параметром в котором используется этот ключ.Каждый новый шифруемый файл получает новый случайный 128разрядный ключ, так что никакие два файла не используют один и тот же ключшифрования, что увеличивает защиту данных в случае, если какой-либо изключей окажется скомпрометированным.Независимое шифрование каждого блока файла необходимо длясохранения возможности произвольного доступа к блокам файла.Чтобы файл мог быть впоследствии расшифрован, ключ файла должен гдето храниться.

Если бы ключ хранился на диске в открытом виде, тогдазлоумышленник, укравший файлы, мог бы легко найти его и воспользоваться имдля расшифровки украденных файлов. В этом случае сама идея шифрованияфайлов оказалась бы бессмысленной. Поэтому ключи файлов сами должныхраниться на диске в зашифрованном виде. Для этого и используетсяшифрование с открытым ключом.Открытый ключ можно без каких-либо опасений хранить прямо в реестре,так как по открытому ключу невозможно определить закрытый ключ,Операционные системы Лаб.работа №7-8(Администрирование параметров безопасностиОС Windows 7)5необходимый для расшифровки файлов. Затем случайный 128-разрядный ключфайла шифруется открытым ключом, а результат сохраняется на диске вместе сфайлом.Чтобы расшифровать файл, с диска считывается зашифрованныйслучайный 128-разрядный ключ файла. Однако для его расшифровки необходимзакрытый ключ. В идеале этот ключ должен храниться на смарт-карте, внекомпьютера, и вставляться в считывающее устройство только тогда, когдатребуетсярасшифроватьфайл.ХотяоперационнаясистемаWindowsподдерживает смарт-карты, она не позволяет хранить на них закрытые ключи.Вместо этого, когда пользователь в первый раз зашифровывает файл спомощью системы EFS, операционная система Windows формирует пару ключей(закрытый ключ, открытый ключ) и сохраняет закрытый ключ, зашифрованныйпри помощи симметричного алгоритма шифрования, на диске.

Ключ для этогосимметричного алгоритма формируется либо из пароля пользователя длярегистрации в системе, либо из ключа, хранящегося на смарт-карте, еслирегистрация при помощи смарт-карты разрешена.Таким образом, система EFS может расшифровать закрытый ключ вовремя регистрации пользователя в системе и хранить его в своем виртуальномадресномпространствевовремяработы,чтобыиметьвозможностьрасшифровывать 128-разрядные ключи файлов без дополнительного обращенияк диску. Когда компьютер выключается, закрытый ключ стирается извиртуального адресного пространства системы EFS, так что никто, даже укравкомпьютер, не получит доступа к закрытому ключу.Потенциальная потребность в совместном использовании зашифрованныхфайлов является одной из причин, по которой применяется такая двухуровневаясистема ключей.

Если бы все файлы зашифровывались ключами владельцевфайлов, то совместное использование зашифрованных файлов было быневозможным. Эта проблема может быть решена, если для зашифровки каждогофайла использовать отдельный ключ.Операционные системы Лаб.работа №7-8(Администрирование параметров безопасностиОС Windows 7)6Схема с использованием случайных ключей для шифрования файлов, но сшифрованиемсамихключейприпомощисимметричногоалгоритмашифрования не будет работать. Проблема в том, что наличие симметричногоключа, хранящегося на диске в открытом виде, разрушит всю систему защиты сформировать ключ дешифрации по ключу шифрования слишком легко. Такимобразом, медленное шифрование с открытым ключом требуется для шифрованияключей файлов.Поскольку ключи шифрования все равно являются открытыми, хранениеих в открытом виде не представляет опасности.Втораяпричинаиспользованиядвухуровневойсистемыключейзаключается в производительности.