Реализация политики безопасности в защищенных версиях операционной системы Windows
Лабораторная работа, 25 Сентября 2012, автор: пользователь скрыл имя
Краткое описание
Цель работы: освоения средств администратора и аудитора защищенных версий операционной системы Windows, предназначенных для
• определения параметров политики безопасности;
• определения параметров политики аудита;
• просмотра и очистки журнала аудита.
Прикрепленные файлы: 1 файл
Лабораторная работа 2.doc
— 81.00 Кб (Скачать документ)Лабораторная работа №2
Реализация политики безопасности в защищенных версиях операционной системы Windows
Цель работы: освоения средств администратора и аудитора защищенных версий операционной системы Windows, предназначенных для
- определения параметров политики безопасности;
- определения параметров политики аудита;
- просмотра и очистки журнала аудита.
Подготовка к выполнению работы: подготовить для включения в отчет о лабораторной работе определения следующих понятий
- аудит;
- событие безопасности;
- журнал (файл) аудита;
- политика аудита;
- сетевой доступ;
- цифровая подпись.
Подготовить для включения в отчет о лабораторной работе ответы на следующие вопросы:
- какие события безопасности должны фиксироваться в журнале аудита?
- что определяет политику аудита?
- целесообразно ли с точки зрения безопасности компьютерной системы разрешать анонимный доступ к ее информационным ресурсам?
- как должен передаваться по сети (с точки зрения безопасности компьютерной системы) пароль пользователя (или другая аутентифицирующая информация)?
- нужно ли ограничивать права пользователей по запуску прикладных программ и почему?
Порядок выполнения работы:
- После собеседования с преподавателем и получения допуска к работе войти в систему под указанным именем (с правами администратора).
- Освоить средства определения политики безопасности:
- открыть окно определения параметров политики безопасности (Панель управления | Администрирование | Локальная политика безопасности | Локальные политики | Параметры безопасности);
- установить заголовок «ПРЕДУПРЕЖДЕНИЕ» в качестве значения параметра «Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему»;
- установить текст «На этом компьютере могут работать только зарегистрированные пользователи!» в качестве значения параметра «Интерактивный вход в систему: текст сообщения для пользователей при входе в систему»;
- установить значение «Отключен» для параметра «Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL»;
- установить значение «Включен» для параметра «Интерактивный вход в систему: не отображать последнего имени пользователя»;
- установить значение «7 дней» для параметра «Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее»;
- включить в отчет о лабораторной работе о смысле параметров политики безопасности, относящихся к интерактивному входу;
- включить в отчет о лабораторной работе копии экранных форм, используемых при определении параметров политики безопасности, относящихся к интерактивному входу;
- с помощью раздела Справки Windows «Параметры безопасности» включить в отчет о лабораторной работе пояснения отдельных параметров локальной политики безопасности компьютерной системы и их возможных значений (в соответствии с номером варианта и приложением 1). Обязательно ответить на вопрос, чем может угрожать неправильное определение данного параметра.
- Освоить средства определение политики аудита:
- открыть окно определения параметров политики аудита (Панель управления | Администрирование | Локальная политика безопасности | Локальные политики | Политика аудита);
- с помощью параметров политики аудита установить регистрацию в журнале аудита успешных и неудачных попыток
- входа в систему,
- изменения политики,
- использования привилегий,
- событий входа в систему,
- управления учетными записями;
- открыть окно определения параметров безопасности (Панель управления | Администрирование | Локальная политика безопасности | Локальные политики | Параметры безопасности) и включить в отчет о лабораторной работе ответ на вопрос, какие еще параметры политики аудита могут быть определены;
- открыть окно просмотра журнала аудита событий безопасности (Панель управления | Просмотр событий | Безопасность), выполнить команду «Свойства» контекстного меню (или команду Действие | Свойства) и включить в отчет о лабораторной работе ответы на вопросы
- какие еще параметры политики аудита могут быть изменены,
- где расположен журнал аудита событий безопасности;
- включить в отчет о лабораторной работе сведения о порядке назначения параметров политики аудита и ответ на вопрос о смысле этих параметров;
- включить в отчет о лабораторной работе копии экранных форм, используемых при определении параметров политики аудита.
- Освоить средства просмотра журнала аудита событий безопасности:
- открыть окно просмотра журнала аудита событий безопасности (Панель управления | Администрирование | Просмотр событий | Журналы Windows | Безопасность);
- включить в отчет о лабораторной работе копии экранных форм с краткой и полной информацией о просматриваемом событии безопасности;
- с помощью буфера обмена Windows и соответствующей кнопки в окне свойств события включить в отчет о лабораторной работе полную информацию о нескольких событиях безопасности.
- Освоить средства определения политики ограниченного использования программ:
- открыть окно определения уровней безопасности политики ограниченного использования программ (Панель управления | Администрирование | Локальная политика безопасности | Политики ограниченного использования программ | Уровни безопасности);
- включить в отчет о лабораторной работе пояснения к возможным уровням безопасности при запуске программ и копии соответствующих экранных форм;
- открыть окно определения дополнительных правил политики ограниченного использования программ (Панель управления | Администрирование | Локальная политика безопасности | Политики ограниченного использования программ | Дополнительные правила);
- включить в отчет о лабораторной работе ответы на вопросы, (с помощью команд контекстного меню или меню «Действие») в чем смыл задания правил «для зоны сети» и «для пути», а также копии соответствующих экранных форм.
- Включить в отчет о лабораторной работе ответы на контрольные вопросы:
- к чему может привести ошибочное определение политики безопасности (приведите примеры)?
- почему, на Ваш взгляд, многие системные администраторы пренебрегают использованием большинства из рассмотренных в данной лабораторной работе параметров политики безопасности?
- Подготовить отчет о выполнение лабораторной работы, который должен включать в себя:
- титульный лист с названиями университета, факультета, кафедры, учебной дисциплины и лабораторной работы, номером варианта, фамилиями и инициалами студента (студентов) и преподавателя, города и года выполнения работы;
- содержание отчета с постраничной разметкой;
- ответы на вопросы, данные в ходе подготовки к выполнению работы;
- сведения о выполнении работы по пунктам с включением содержания задания, копий экранных форм и ответов на вопросы;
- ответы на контрольные вопросы.
Порядок защиты лабораторной работы:
- К защите лабораторной работы допускаются студенты, выполнившие ее в компьютерном классе, предъявившие результаты своей работы преподавателю и подготовившие отчет о выполнении лабораторной работы, содержание которого соответствует п. 7 порядка выполнения работы;
- На защите студенты предъявляют отчет о выполнении лабораторной работы, дают пояснения по деталям выполнения задания и отвечают на вопросы преподавателя.
- По результатам защиты каждому студенту выставляется дифференцированная оценка, учитываемая в при определении его итогового рейтинга за семестр.
- В случае неудовлетворительной оценки по результатам защиты лабораторной работы или пропуска соответствующего занятия студент должен защитить работу повторно в другой день.
Приложение 1
Номер варианта |
Поясняемые параметры политики безопасности |
1 |
Учетные записи: состояние учетной
записи «Администратор» Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию Клиент сети Microsoft: использовать цифровую подпись (всегда) Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля |
2 |
Учетные записи: состояние учетной записи «Гость» Устройства: разрешать отстыковку без входа в систему Контроллер домена: запретить изменение пароля учетных записей компьютера Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы |
3 |
Учетные записи: ограничить использование пустых паролей только для консольного входа Устройства: запретить пользователям установку драйверов принтера Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам Сетевая безопасность: уровень проверки подлинности LAN Manager |
4 |
Учетные записи: переименование учетной записи администратора Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям Член домена: шифрование данных безопасного канала, когда это возможно Сервер сети Microsoft: длительность простоя перед отключением сеанса Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) |
5 |
Учетные записи: переименование учетной записи гостя Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям Член домена: цифровая подпись данных безопасного канала, когда это возможно Сервер сети Microsoft: использовать цифровую подпись (всегда) Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) |
6 |
Завершение работы: разрешить завершение работы системы без выполнения входа в систему Устройства: поведение при установке неподписанного драйвера Член домена: максимальный срок действия пароля учетных записей компьютера Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) Доступ к сети: разрешить трансляцию анонимного SID в имя |
Номер варианта |
Поясняемые параметры политики безопасности |
7 |
Завершение работы: очистка страничного файла виртуальной памяти Член домена: требует стойкого ключа сеанса (Windows 2000 или выше) Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями Системная криптография: использовать
FIPS-совместимые алгоритмы Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей |
8 |
Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов Член домена: отключить изменение пароля учетных записей компьютера Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями Консоль восстановления: разрешить автоматический вход администратора Сетевой доступ: разрешать анонимный доступ к общим ресурсам |
9 |
Системные объекты: учитывать регистр для подсистем, отличных от Windows Сетевой доступ: не разрешать средству сохранения имен пользователей и паролей сохранять пароли или учетные данные для проверки в домене Сетевой доступ: пути в реестре доступны через удаленное подключение Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа |
10 |
Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок) Сетевой доступ: разрешить применение разрешений для всех к анонимным пользователям Сетевой доступ: разрешать анонимный доступ к именованным каналам Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки |