ОС Лаб.работа №4 (1069342), страница 3
Текст из файла (страница 3)
Если настройка включена, то при попытке создать пароль, неотвечающий требованиям сложности, на экране появится сообщение о том, чтоуказанный пароль не соответствует установленным требованиям политикипаролей.2.3.6 Хранение паролей с использованием обратимого шифрованияДанная настройка определяет, будет ли использоваться метод обратимогошифрования для хранения паролей. Эта политика обеспечивает поддержкуприложений, использующих протоколы, требующие знание пароля пользователядля проверки подлинности.Хранение паролей, использующих обратимое шифрование, не являетсябезопасным, поэтому включение данной политики целесообразно только тогда,Операционные системы Лаб.работа №4(Администрирование параметров безопасностиОС Windows 7)13когда требования приложения не станут более весомыми, чем требования позащите паролей.2.4 Политика блокировки учетных записейВ узле Политика блокировки учетных записей (Account Lockout Policy)содержатся настройки, с помощью которых задаются параметры блокировкиучетных записей.2.4.1 Пороговое значение блокировкиНастройка Пороговое значение блокировки (Account lockout threshold)определяет количество неудачных попыток ввода пароля до блокировки системы.Диалоговое окно данной настройки вызывается при двойном щелчкемышью по настройке Пороговое значение блокировки (Account lockoutthreshold), расположенной в узле Политика блокировки учетных записей(Account Lockout Policy).В диалоговом окне настройки Пороговое значение блокировки (Accountlockout threshold) содержится всего одно поле со счетчиком.
В данном полеуказывается количество попыток неудачного ввода пароля, которое будетприводить к блокировке учетной записи.Количество попыток ввода пароля может составлять от 0 до 999. Приустановке значения 0 (ноль) учетная запись не будет блокироваться внезависимости от того, сколько раз был введен неправильный пароль.Количество попыток ввода неверного пароля будет ограничено.
Послетого, как попытки ввода неверного пароля будут исчерпаны, учетная записьбудет заблокирована. Разблокировка учетной записи может быть осуществленаадминистратором, либо разблокировка произойдет автоматически через заданноевремя.Блокировка учетной записи существенно усложняет процесс подборапароля.Операционные системы Лаб.работа №4(Администрирование параметров безопасностиОС Windows 7)142.4.2 Продолжительность блокировки учетной записиИзменение данной настройки возможно , если в настройке Пороговоезначение блокировки (Account lockout duration), описанной выше, установленозначение, отличное от нуля, то есть режим блокировки учетной записи включен.Настройка Продолжительность блокировки учетной записи(Accountlockout duration) определяет интервал времени, в течение которого учетнаязапись будет заблокирована в случае ввода неверного пароля заданноеколичество раз.Продолжительность блокировки может составлять от нуля до 99999 минут.Если вы установите значение 0 (ноль), учетная запись будет заблокирована до техпор, пока администратор не разблокирует ее вручную.При блокировке учетной записи в окне приветствия Windows появляетсясообщение о том, что учетная запись заблокирована и не может быть использованадля входа в сеть.
Следующие попытки входа в систему будут возможны поистечении указанного интервала блокировки.2.4.3 Время до сброса счетчика блокировкиНастройка Время до сброса счетчика блокировки (Reset account lockoutcounter after) определяет интервал времени, через который будет осуществленсброс счетчика блокировки после неудачной попытки ввода пароля. Допустим, унас установлена блокировка учетной записи после трех неудачных попыток вводапароля. И время до сброса счетчика блокировки установлено равным пятиминутам. Мы ввели неверный пароль (у нас осталось две попытки), но повторнопытаться не стали. По прошествии пяти минут счетчик блокировки сбрасывается,и снова есть три попытки.Интервал времени до сброса счетчика блокировки может быть назначен от1 до 99999 минут.2.5 Политики аудитаПолитики аудита расположены в узлеКонфигурация компьютера => Конфигурация Windows => Параметрыбезопасности => Локальные политики => Политики аудита (ComputerОперационные системы Лаб.работа №4(Администрирование параметров безопасностиОС Windows 7)15Configuration => Windows Settings => Security Settings => Local Policies => AuditPolicy).В данном узле содержится несколько настроек, и каждая из них определяет,будет ли фиксироваться в системе то или иное событие.
Тип события как раз иопределяется конкретной настройкой. Все настройки в данном узле содержатодинаковые диалоговые окна, в которых присутствуют два флажка: Успех(Success) и Отказ (Failure).Если установлен флажок Успех (Success), будет фиксироваться успешное,то есть выполненное событие.Если же установить флажок Отказ (Failure), то фиксироваться будет так женезаконченное, то есть невыполненное событие, но при условии, чтопользователь пытался выполнить это событие.Например, если установить флажок Успех (Success) в диалоговом окненастройки Аудит входа в систему (Audit account logon events), система будетфиксировать (администратор сможет просмотреть эти события) успешные входыи выходы пользователей в Windows.
Неудачные попытки входа (например, вслучае неправильно набранного пароля) фиксироваться не будут.Однако, если установить флажок Отказ (Failure), фиксироваться будут втом числе и неудачные попытки входа в систем)'.Настройки, доступные в узле Политика аудита (Audit Policy):1.
Аудит входа в систему (Audit account logon events). Аудитуподвергается успешный или не успешный вход в операционную систему, а такжевыход из нее;2. Аудит доступа к объектам (Audit object access). Данная настройкавыполняет аудит доступа к объектам, не относящимся к Active Directory. Вкачестве объектов могут выступать файлы, папки, принтеры, разделы системногореестра:3. Аудит доступа к службе каталогов (Audit directory service access).Настройка выполняет аудит доступа к объектам, относящимся к Active Directory,для которых указан список управления доступом;Операционные системы Лаб.работа №4(Администрирование параметров безопасностиОС Windows 7)164.
Аудит изменения политики (Audit policy change). Данная настройкаведет аудит изменения политик пользователем;5. Аудит изменений привилегий (Audit privilege use). Даная настройкаопределяет, будет ли выполняться аудит попыток изменения политикиназначения прав пользователям;6. Аудит отслеживания процессов (Audit process tracking). Выполняетаудит событий, связанных с процессами, например, создания или завершенияпроцесса, а также обработке дублирований и непрямого доступа к объектам;7. Аудит системных событий (Audit system events). Выполняет аудитсистемных событий.
К системным событиям можно отнести изменениесистемного времени, запуск и отключение системы безопасности, загрузкукомпонентов расширяемой проверки подлинности, потерю отслеживаемыхсобытий, а также превышение размера журнала установленного уровня.8. Аудит событий входа в систему (Audit logon events). Эта настройкаопределяет, будет ли операционная система выполнять аудит каждый раз припроверке данным компьютером учетных данных. При использовании этойполитики создается событие для локального и удаленного входа пользователя всистему;9. Аудит управления учетными записями (Audit account management).Данная политика определяет, будут ли создаваться события при управленииучетными записями в системе и, соответственно, будет ли выполняться аудитэтих событий.2.6 Назначение прав пользователяВ узлеКонфигурация компьютера => Конфигурация Windows =>Параметры безопасности => Локальные политики => Назначение правпользователя (Computer Configuration => Windows Settings => Security Settings =>Local Policies =>User Rights Assignment)сосредоточено более сорока политик, с помощью которых можно задатьили ограничить права пользователя.Операционные системы Лаб.работа №4(Администрирование параметров безопасностиОС Windows 7)17Можно разрешить или запретить выполнять определенные действия длякатегорий пользователей или конкретных пользователей.Все настройки имеют одинаковые диалоговые окна, в которых приводитсясписок категорий пользователей.
Чтобы разрешить выполнять выбранноедействие, нужно добавить в список или категорию пользователей, иликонкретного пользователя.Например, настройка Создание файла подкачки (Create a page file)определяет пользователей, которым разрешено создавать файлы подкачки. Поумолчанию данное действие позволено выполнять только администраторам.Чтобы добавить категорию пользователей, которым разрешено создаватьфайлы подкачки, нужно выполнить следующие действия:1. В диалоговом окне настройки данной политики нажать кнопкуДобавить пользователя или группу (Add User or Group). На экранепоявится диалоговое окно выбора пользователей или групп.2. С помощью появившегося диалогового окна надо найти пользователейили группы, которых необходимо добавить в список разрешений.3.
Нажать кнопку ОК, чтобы закрыть диалоговое окно выборапользователей или групп.4. Убедиться, что выбранные вами пользователи или группы появилисьв списке диалогового окна настройки политики.5. Нажать кнопку ОК, чтобы закрыть диалоговое окно.Группы пользователей можно выбрать, нажав кнопку Типы объектов(Object Types) в диалоговом окне выбора пользователей или групп.
При нажатииданной кнопки появляется диалоговое окно со списком типов объектов. Для техтипов, которые необходимо выбрать, следует установить флажки. Также можнодобавить конкретных пользователей, выполнив их поиск на локальном и сетевыхкомпьютерах.С помощью кнопки Размещение (Locations) выбирается размещениепользователя (имя компьютера в сети или рабочая группа, в которой следуетвыполнить поиск имен).Операционные системы Лаб.работа №4(Администрирование параметров безопасностиОС Windows 7)18С помощью кнопки Проверить имена (Check Names) выполняется проверкаимен, указанных в поле слева.
Проверка имен выполняется в размещении,указанном вами с помощью диалогового окна, появляющегося при нажатиикнопки Размещение (Locations).Некоторые из Политики, расположенные в рассматриваемом узле: Блокировать страницы в памяти (Lock pages in memory). Этаполитика определяет пользователей и группы, которые могутиспользовать процессы для сохранения данных в физическойпамяти для предотвращения сброса этих данных в виртуальнуюпамять на диске. Блокировка страниц в памяти уменьшает свободныйобъем ОЗУ, что сказывается на снижении быстродействия системы; Загрузка и выгрузка драйверов устройств (Load and unload devicedrivers).
С помощью данной политики можно назначить права надинамическую загрузку или выгрузку драйверов устройств. Поумолчанию такую привилегию имеет только администратор.Политика не распространяется на драйверы устройств Plug and Play; Замена маркера уровня процесса (Replace a process level token). Этаполитика позволяет определить учетные записи, которым позволеновызывать процедуру API-интерфейса CreateProcessAsUser( )Данный интерфейс позволяет одной службе запускать другую; Изменение метки объекта (Modify an object label).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
