Заглавная страница
Избранные статьи
Случайная статья
Познавательные статьи
Новые добавления
Обратная связь
FAQ
Написать работу

ТОП 10 на сайте

Приготовление дезинфицирующих растворов различной концентрации

Техника нижней прямой подачи мяча.

Франко-прусская война (причины и последствия)

Организация работы процедурного кабинета

Смысловое и механическое запоминание, их место и роль в усвоении знаний

Коммуникативные барьеры и пути их преодоления

Обработка изделий медицинского назначения многократного применения

Образцы текста публицистического стиля

Четыре типа изменения баланса

Задачи с ответами для Всероссийской олимпиады по праву

Мы поможем в написании ваших работ!

ЗНАЕТЕ ЛИ ВЫ?

Влияние общества на человека

Приготовление дезинфицирующих растворов различной концентрации

Практические работы по географии для 6 класса

Организация работы процедурного кабинета

Изменения в неживой природе осенью

Уборка процедурного кабинета

Сольфеджио. Все правила по сольфеджио

Балочные системы. Определение реакций опор и моментов защемления

Главная Избранные Случайная статья Познавательные Новые добавления Обратная связь FAQ Написать работу

Занятие 18 . Политика учетных записей.

↑

⇐ ПредыдущаяСтр 9 из 16Следующая ⇒

Политика учетных записей включает в себя настройки паролей, блокировки входа и методов шифрования. Эти политики применяются только на уровне домена и игнорируются на уровне организационных единиц.

Политика паролей позволяет для всех пользователей домена задать единые правила для задания и изменения паролей. Эта политика настраивается аналогично правам пользователей в групповой политике т.е. в Computer Configur – Windows Settings – Security Settings – Account Policy – Password policy.

Настройка параметров пароля:

Параметр	Описание
Maximum Password Age (Максимальный срок действия)	По истечении этого времени пользователю будет предложено сменить пароль. Диапазон допустимых значений — от 1 до 999 дней. Внимание: Установка флажкаPassword Never Expires [Постоянный пароль (без ограничения срока действия)] в User Properties (Свойства пользователя) для индивидуальной учетной записи отменяет действие параметраMaximum Password Age (Максимальный срок действия).
Minimum Password Age (Минимальный срок действия)	Период времени, в течение которого пользователь не сможет изменить новый пароль. Это обеспечит уникальность паролей. Значение Minimum Password Age должно быть меньше, чем значение Maximum Password Age. Диапазон допустимых значений — от 1 до 999 дней
Minimum Password Length (Минимальная длина пароля)	Минимально число символов в пароле. Диапазон от 1 до 14 символов
Enforce password history (история паролей)	История паролей для смены. (не следить или следить).Число новых паролей, которые должен использовать пользователь, прежде чем сможет повторить один из ранее использованных Диапазон значений — от 1 до 24 паролей
Password must meet the complexity requirements of installed Password filter	Отслеживается содержание паролей: число разрешенных в нем символов, необходимость использования цифр и букв, возможность включения пароля в часть имени пользователя … с помощью фильтра паролей.
Store Passwords Using Reversible Encryption	Клиенты Win 95/98 и Macintosh должны при регистрации использовать низкоуровневое шифрование.
User must Log On to Change Password	Нельзя изменять пароль после истечения срока его действия. Также незарегистрированные пользователи не смогут изменять учетные записи «в лоб»

►20.Упражнение: Применение политики паролей

Для пользователя tim проверить изменение его пароля на «123» - получилось.

запустить редактирование политики домена (кнопкой Edit) и открыть:
Computer Configur – Windows Settings – Security Settings – Account Policy – Password policy

Выделить «Minimum Password Length» и открыть его свойства двойным щелчком. Установить минимальную длину пароля = 4

Перед проверкой каждого действия политики включайте ее применение немедленно командой из командной строки: secedit /refreshpolicy

Для пользователя tim снова проверить изменение его пароля на «asd» - не получилось. Проверить изменение на «1234» - получилось

В политике установить минимальный срок пароля 2 дня а максимальный 5 дней. последний флаг Users must log on in order to change password не устанавливать.

Войти как Tim и попробовать сменить пароль. Не получилось т.к. не окончен минимальный срок

Зайти как администратор и сменить дату на 3 дня вперед

Войти как Tim и снова попробовать сменить пароль. Получилось - дата между минимальной и максимальной

Зайти как администратор и сменить дату на 6 дней вперед

Войти как Tim. Компьютер потребует смену пароля - изменить ее и войти. Изменить удалось благодаря не установленному последнему флагу в политике

Зайти как администратор: сменить дату на 6 дней еще вперед и установить флаг Users must log on in order to change password

Войти как Tim. Компьютер потребует смену пароля - изменить ее и войти?. Изменить не удалось из-за установленного последнего флага в политике

Зайти как администратор и сменить пароль у Tim

Войти как Tim. Войти удалось (срок не окончен).

Зайти как администратор и в записи Tim включить флаг Password Never Expires

Зайти как администратор: сменить дату на 6 дней еще вперед

Войти как Tim. Войти удалось (срок неограничен).

Самостоятельная работа на закрепление:

Какие настройки для паролей пользователей можно настроить в политике паролей и где эта политика находится?.

Что такое история паролей. Чем отличается максимальный срок жизни пароля от минимального.

Занятие 19. Аудит

Назначение аудита

аудит это отслеживание событий, происходящих в системе, с сохранением сведений о них в

журнале Security.

Всего существует три специальных журнала:

· System события самой операционной системы

· Security события, определенные администратором в политике аудита

· Aplications события, записываемые прикладными программами при их работе(задаются программистами этих программ)

Для просмотра и работы с журналами используется программа Event Viewer

Итак:

· администратором задается политика аудита – отбор событий для записи в журнал Security

· Аудит задается в групповых политиках на разных уровнях структуры домена и делать это может только администратор

· Для объектов аудит задается кроме настроек в групповых политиках, где включается аудит глобально – еще и в свойствах самого объекта. К таким объектам относятся файлы, папки, принтеры и сами групповые политики(их аудит настраивается в их свойствах Properties - Security – Advanced)

· Аудит файлов и каталогов можно задавать только на томах NTFS

►21.Упражнение: Просмотр системных журналов

· Открыть программу Administrative Tools - Event Viewer

· Просмотреть журнал System: обратить внимание на информационные сообщения (i), предупреждающие о возможных ошибках (Warning) и события об ошибках(помеч. красным)

· Просмотреть журнал Security (удачные события – ключик, неудачные – замочек) и очистить его

Задание глобальных настроек аудита

Включение глобальных настроек аудита для разных GPO задается в:

Редактировании соответствующего GPO:
Computer Configur – Windows Settings – Security Settings – Local policy –Audit Policy

Account Logon Events	запись событий по получению контроллером домена запросов на вход в систему. Например, попытка входа для гостей.
Account managment	запись всех событий по корректировке базы учетных записей пользователей и групп. Например, создание или удаление пользователя или группы.
Directory service access	Доступ к объектам Active Directory. Например, доступ к OU
Logon Events	запись событий по входу пользователей. Например, вошел пользователь.
Object Access	запись событий по доступу к каталогам, файлам и принтерам для которых заданы события аудита. Для каждого объекта они задаются отдельно и дополнительно.
Privilege Use	запись всех событий, которые соответствуют использованию своих прав пользователями (из списка прав в User Rights). Например, право изменять системное время
Process Tracking	отслеживание работы процессов, для которых запущено отслеживание.
System Events	запись событий запуска и завершения работы системы и всевозможные действия по нарушению безопасности системы

· В каждом из этих типов можно задать аудит либо успешных событий (его удалось сделать) – success, неуспешных – failure или обеих сразу.

· Внимание! при большом количестве событий аудита журнал может быстро переполниться и события перестанут в него записываться. Включайте только самые важные для безопасности системы события.

►22.Упражнение: Включение глобальных настроек аудита

· Включить аудит Account Logon Events для всех пользователей в политике домена для обеих типов событий (успешных и нет)

· политику домена сделать единственной действующей (включить флаги Block… и Override…)

· выполнить применение политики для всех пользователей(properties – Security) и сразу (командой secedit)

· Выйти из системы и войти под именем любого пользователя и снова перезайти как администратор.

· Просмотреть журнал Security: должны быть записи о выходе и входе в систему.

· Снова выйти и войти как пользователь, но с неправильным именем

· Просмотреть журнал Security как администратор.

Задание аудита файлов, каталогов и принтеров

Аудит файлов и каталогов задается помимо задания в GPO еще и в окне свойств соответствующего файла или каталога: Security –Advanced - Auditing

В окне аудита файла или каталога задаются события (тоже успешные или нет):

Первичное разрешение действие для папок действие для файлов

Travers Folder / Execute File Прохождение через папки т.е. можно переходить в эту папку и через нее в подпапки. Выполнение файла т.е. запуск исполняемых файлов.

List Folder / Read Data Просмотр содержимого папки просмотр содержимого файла

Read Attributes Просмотр атрибутов папки Просмотр атрибутов файла

Read Extended Attributes Просмотр дополнительных атрибутов папки Просмотр дополнительных атрибутов файла

Create Files/Write Data Создание файлов и их изменение изменение файлов

Create Folders /Append Data Добавление в каталог файлов и папок, Добавление данных в файл

Write Attributes Изменение атрибутов папки Изменение атрибутов файла

Write Extended Attributes Изменение дополнит атрибутов папки Изменение доп/ атрибутов файла

Delete Subfolders and Files Удаление подпапок и файлов Удаление

Delete Удаление самой папки Удаление самого файла

Read Permission Просмотр разрешений папки Просмотр разрешений файла

Change Permission Изменение разрешений папки Изменение разрешений файла

Take Ownership Сделать себя владельцем папки Сделать себя владельцем файла

Действие их зависит от флага применения доступа «Apply onto» аналогично тому, как он действует для назначения разрешений доступа.

В окне аудита принтера задаются события:

Print печать на принтере

Manage Printers управление принтером

Manage documents события по управлению документами в очереди принтера

Read permission чтение разрешений

Change permission изменение разрешений

Take ownership изменение владельца

►23.Упражнение: Аудит объектов

· Включить аудит Object Access для всех пользователей в политике домена для обеих типов событий (успешных и нет)

· Выполнить применение политики домена командой secedit

· Создать папку aud на томе NTFS

· В свойствах папки aud – security – advanced – Audit включить аудит чтения папки и записи в нее для администраторов

· Войти в папку и создать в ней подпапку и выйти

· Просмотреть журнал Security – найти в нем событии я по чтению папки и по записи в нее.

Просмотр событий аудита

Для просмотра событий используется программа Event Viewer.

⇐ Предыдущая 4 5 6 7 8910 11 12 13 Следующая ⇒

Познавательные статьи:

Как правильно слушать собеседника

Типичные ошибки при выполнении бросков в баскетболе

Принятие христианства на Руси и его значение

Средства массовой информации США

Последнее изменение этой страницы: 2016-08-16; просмотров: 362; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.139.72.250 (0.01 с.)