ЗНАЕТЕ ЛИ ВЫ?

Занятие 18 . Политика учетных записей.



Политика учетных записей включает в себя настройки паролей, блокировки входа и методов шифрования. Эти политики применяются только на уровне домена и игнорируются на уровне организационных единиц.

Политика паролей позволяет для всех пользователей домена задать единые правила для задания и изменения паролей. Эта политика настраивается аналогично правам пользователей в групповой политике т.е. в Computer Configur – Windows Settings – Security Settings – Account Policy – Password policy .

Настройка параметров пароля:

Параметр Описание
Maximum Password Age (Максимальный срок действия) По истечении этого времени пользователю будет предложено сменить пароль. Диапазон допустимых значений — от 1 до 999 дней. Внимание: Установка флажкаPassword Never Expires [Постоянный пароль (без ог­раничения срока действия)] в User Properties (Свойства пользователя) для индивидуальной учетной записи отменя­ет действие параметраMaximum Password Age (Максимальный срок действия).  
Minimum Password Age (Минимальный срок действия) Период времени, в течение которого пользователь не сможет изменить новый пароль. Это обеспечит уникальность паролей. Значение Minimum Password Age должно быть меньше, чем значение Maximum Password Age. Диапазон допустимых значений — от 1 до 999 дней
Minimum Password Length (Минимальная длина пароля) Минимально число символов в пароле. Диапазон от 1 до 14 символов
Enforce password history (история паролей) История паролей для смены. ( не следить или следить).Число новых паролей, которые должен использовать пользователь, прежде чем сможет повторить один из ранее использованных Диапазон значений — от 1 до 24 паролей
Password must meet the complexity requirements of installed Password filter Отслеживается содержание паролей: число разрешенных в нем символов, необходимость использования цифр и букв, возможность включения пароля в часть имени пользователя … с помощью фильтра паролей.
Store Passwords Using Reversible Encryption Клиенты Win 95/98 и Macintosh должны при регистрации использовать низкоуровневое шифрование.
User must Log On to Change Password Нельзя изменять пароль после истечения срока его действия. Также незарегистрированные пользователи не смогут изменять учетные записи «в лоб»

 

►20.Упражнение: Применение политики паролей

  • Для пользователя tim проверить изменение его пароля на «123» - получилось.
  • запустить редактирование политики домена ( кнопкой Edit) и открыть:
    Computer Configur – Windows Settings – Security Settings – Account Policy – Password policy
  • Выделить «Minimum Password Length» и открыть его свойства двойным щелчком. Установить минимальную длину пароля = 4
  • Перед проверкой каждого действия политики включайте ее применение немедленно командой из командной строки: secedit /refreshpolicy
  • Для пользователя tim снова проверить изменение его пароля на «asd» - не получилось. Проверить изменение на «1234» - получилось
  • В политике установить минимальный срок пароля 2 дня а максимальный 5 дней. последний флаг Users must log on in order to change passwordне устанавливать.
  • Войти как Tim и попробовать сменить пароль. Не получилось т.к. не окончен минимальный срок
  • Зайти как администратор и сменить дату на 3 дня вперед
  • Войти как Tim и снова попробовать сменить пароль. Получилось - дата между минимальной и максимальной
  • Зайти как администратор и сменить дату на 6 дней вперед
  • Войти как Tim. Компьютер потребует смену пароля - изменить ее и войти. Изменить удалось благодаря не установленному последнему флагу в политике
  • Зайти как администратор : сменить дату на 6 дней еще вперед и установить флаг Users must log on in order to change password
  • Войти как Tim. Компьютер потребует смену пароля - изменить ее и войти?. Изменить не удалось из-за установленного последнего флага в политике
  • Зайти как администратор и сменить пароль у Tim
  • Войти как Tim. Войти удалось ( срок не окончен).
  • Зайти как администратор и в записи Tim включить флаг Password Never Expires
  • Зайти как администратор : сменить дату на 6 дней еще вперед
  • Войти как Tim. Войти удалось (срок неограничен).

 

Самостоятельная работа на закрепление:

  • Какие настройки для паролей пользователей можно настроить в политике паролей и где эта политика находится? .
  • Что такое история паролей. Чем отличается максимальный срок жизни пароля от минимального.

 

Занятие 19 . Аудит

Назначение аудита

аудит это отслеживание событий, происходящих в системе, с сохранением сведений о них в

журнале Security.

Всего существует три специальных журнала:

· System события самой операционной системы

· Security события, определенные администратором в политике аудита

· Aplications события, записываемые прикладными программами при их работе( задаются программистами этих программ)

Для просмотра и работы с журналами используется программа Event Viewer

Итак:

· администратором задается политика аудита – отбор событий для записи в журнал Security

· Аудит задается в групповых политиках на разных уровнях структуры домена и делать это может только администратор

· Для объектов аудит задается кроме настроек в групповых политиках, где включается аудит глобально – еще и в свойствах самого объекта. К таким объектам относятся файлы, папки, принтеры и сами групповые политики(их аудит настраивается в их свойствах Properties - Security – Advanced)

· Аудит файлов и каталогов можно задавать только на томах NTFS

 

►21.Упражнение: Просмотр системных журналов

· Открыть программу Administrative Tools - Event Viewer

· Просмотреть журнал System: обратить внимание на информационные сообщения (i), предупреждающие о возможных ошибках (Warning) и события об ошибках( помеч. красным)

· Просмотреть журнал Security ( удачные события – ключик, неудачные – замочек) и очистить его

 

Задание глобальных настроек аудита

Включение глобальных настроек аудита для разных GPO задается в :

Редактировании соответствующего GPO:
Computer Configur – Windows Settings – Security Settings – Local policy –Audit Policy

Account Logon Events запись событий по получению контроллером домена запросов на вход в систему. Например, попытка входа для гостей.
Account managment запись всех событий по корректировке базы учетных записей пользователей и групп. Например, создание или удаление пользователя или группы.
Directory service access Доступ к объектам Active Directory. Например, доступ к OU
Logon Events запись событий по входу пользователей. Например, вошел пользователь.
Object Access запись событий по доступу к каталогам, файлам и принтерам для которых заданы события аудита. Для каждого объекта они задаются отдельно и дополнительно.
Privilege Use запись всех событий, которые соответствуют использованию своих прав пользователями (из списка прав в User Rights). Например, право изменять системное время
Process Tracking отслеживание работы процессов, для которых запущено отслеживание.
System Events запись событий запуска и завершения работы системы и всевозможные действия по нарушению безопасности системы

· В каждом из этих типов можно задать аудит либо успешных событий( его удалось сделать) – success, неуспешных – failure или обеих сразу.

· Внимание! при большом количестве событий аудита журнал может быстро переполниться и события перестанут в него записываться. Включайте только самые важные для безопасности системы события.

 

►22.Упражнение: Включение глобальных настроек аудита

· Включить аудит Account Logon Events для всех пользователей в политике домена для обеих типов событий ( успешных и нет)

· политику домена сделать единственной действующей ( включить флаги Block… и Override…)

· выполнить применение политики для всех пользователей(properties – Security) и сразу (командой secedit)

· Выйти из системы и войти под именем любого пользователя и снова перезайти как администратор .

· Просмотреть журнал Security: должны быть записи о выходе и входе в систему.

· Снова выйти и войти как пользователь, но с неправильным именем

· Просмотреть журнал Security как администратор.

Задание аудита файлов, каталогов и принтеров

Аудит файлов и каталогов задается помимо задания в GPO еще и в окне свойств соответствующего файла или каталога: Security –Advanced - Auditing

В окне аудита файла или каталога задаются события ( тоже успешные или нет) :

Первичное разрешение действие для папок действие для файлов
Travers Folder / Execute File Прохождение через папки т.е. можно переходить в эту папку и через нее в подпапки. Выполнение файла т.е. запуск исполняемых файлов.
List Folder / Read Data Просмотр содержимого папки просмотр содержимого файла
Read Attributes Просмотр атрибутов папки Просмотр атрибутов файла
Read Extended Attributes Просмотр дополнительных атрибутов папки Просмотр дополнительных атрибутов файла
Create Files/Write Data Создание файлов и их изменение изменение файлов
Create Folders /Append Data Добавление в каталог файлов и папок, Добавление данных в файл
Write Attributes Изменение атрибутов папки Изменение атрибутов файла
Write Extended Attributes Изменение дополнит атрибутов папки Изменение доп/ атрибутов файла
Delete Subfolders and Files Удаление подпапок и файлов Удаление
Delete Удаление самой папки Удаление самого файла
Read Permission Просмотр разрешений папки Просмотр разрешений файла
Change Permission Изменение разрешений папки Изменение разрешений файла
Take Ownership Сделать себя владельцем папки Сделать себя владельцем файла

Действие их зависит от флага применения доступа «Apply onto» аналогично тому, как он действует для назначения разрешений доступа.

В окне аудита принтера задаются события:

Print печать на принтере

Manage Printersуправление принтером

Manage documents события по управлению документами в очереди принтера

Read permissionчтение разрешений

Change permissionизменение разрешений

Take ownershipизменение владельца

►23.Упражнение: Аудит объектов

· Включить аудит Object Access для всех пользователей в политике домена для обеих типов событий ( успешных и нет)

· Выполнить применение политики домена командой secedit

· Создать папку aud на томе NTFS

· В свойствах папки aud – security – advanced – Audit включить аудит чтения папки и записи в нее для администраторов

· Войти в папку и создать в ней подпапку и выйти

· Просмотреть журнал Security – найти в нем событии я по чтению папки и по записи в нее.

Просмотр событий аудита

Для просмотра событий используется программа Event Viewer.





Последнее изменение этой страницы: 2016-08-16; Нарушение авторского права страницы

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.238.190.82 (0.007 с.)