Практическая работа 10
Подсистема безопасности (квотирование, шифрование, доступ к объектам)
Цель работы: изучение базовых возможностей обеспечения безопасности объектов файловой системы NTFS в среде ОС Windows XP.
Краткие теоретические сведения
В современных условиях развития сети Интернет как глобального средства коммуникации обеспечение безопасности данных в коммерческой организации становится все более актуальной задачей, возлагаемой, главным образом, на системного администратора. В связи с учащающимися случаями проникновения в незащищенные сети, атаками и просто потенциальными угрозами инструментарий профессионала в области информационной безопасности должен быть максимально широким и включать все возможные аппаратно-программные средства защиты (аппаратные и программные сетевые экраны, брандмауэры, аппаратные и программные средства ограничения локального и удаленного доступа, управления локальной и групповой политикой), а не ограничиваться антивирусными пакетами на защищаемых узлах сети. Большинство программных компонентов для решаемых задач безопасности доступны системному администратору сразу же после установки сетевой операционной системы, в частности, ОС Windows XP. При этом принципиальных отличий в настройке элементов безопасности локального узла или сервера домена не существует, поскольку безопасность в сети подчиняется единому набору правил, называемому политикой безопасности организации.
Таким образом, при создании сети на базе ОС Windows XP безопасность необходимо обеспечивать на двух уровнях: на уровне локального компьютера и на сетевом, уровне домена или рабочей группы. Программные средства профессиональной версии ОС Windows XP позволяют обеспечивать безопасность несколькими способами. Часть из этих средств была унаследована от предыдущих версий операционных систем семейства Windows, другие компоненты, напротив, появились сравнительно недавно и успешно применяются.
С появлением каждой новой сетевой ОС семейства Windows средства безопасности, эволюционируя, претерпевают значительные изменения, позволяющие администратору сети гибко настраивать ее и обеспечивать, тем самым, приемлемый уровень комплексной защиты вычислительной системы. Данное утверждение не является исключением также по отношению к изучаемой ОС Windows XP. В ней имеется ряд программных средств от ОС предыдущего поколения, ОС Windows NT и ОС Windows 2000, но имеются и новые средства обеспечения безопасности, основные из которых представлены ниже.
– Собственность администратора. В ранних версиях ОС Windows любые ресурсы (файлы и каталоги), созданные администратором, становились достоянием всей группы. В профессиональной ОС Windows XP ресурсы теперь принадлежат тому, кто их создал.
– Ограничения, связанные с использованием пустого пароля. Теперь пользователи ОС Windows XP могут использовать пустые пароли при регистрации, но с ними они могут регистрироваться локально, только физически присутствуя.
– Программные ограничения. Политика безопасности ОС Windows XP может быть присвоена отдельным приложениям на основании пути к исполняемому файлу (порту), Интернет-зоны или сертификата безопасности.
– Быстрая смена пользователей. Узлы, работающие в среде ОС Windows XP и при этом не соединенные с доменом, могут быстро переключаться с одного пользователя на другого, не выходя из локальной сети и не закрывая приложений.
– Мастер сброса пароля. Если пользователь забыл свой пароль, то он может воспользоваться загрузочным диском для осуществления доступа к своей учетной записи.
Нетрудно заметить, что отмеченные возможности обеспечения безопасности, как локальной, так и глобальной, стали более доступными с точки зрения их сетевого применения и практически ориентированными на гибкое администрирование и конфигурирование ОС. Это позволяет сделать вывод о том, что данная тенденция будет наблюдаться и впредь, позволяя профессионалам постоянно иметь необходимый инструментарий.
В первом приближении некоторые вопросы обеспечения локальной безопасности уже имели место в предыдущих лабораторных работах. В частности, было осуществлено знакомство с одним из основных инструментов системного администратора, консолью администрирования MMC и одной из основополагающих оснасток «Групповая политика», являющейся обязательной для целей конфигурирования безопасной операционной среды.
В рамках настоящей практической работы и соответствующей лабораторной работы предполагается изучить дополнительные инструменты системного администратора и выполнить ряд мероприятий, направленных на обеспечение сетевой безопасности, а именно осуществить некоторые элементарные действия по управлению локальной политикой безопасности, рассмотреть процедуру безопасного входа в систему, организовать аудит в журналах безопасности Internet Connection Firewall, поговорить о шаблонах безопасности, а также научиться анализировать и конфигурировать подсистему безопасности ОС в целом. Отдельно предполагается рассмотреть вопросы, связанные с обеспечением безопасности файловой системы, ее объектов (файлов и каталогов) как локально, так и при сетевом взаимодействии.
Термины FAT и NTFS являются общими названиями файловых систем (ФС), каждая из которых включает в себя несколько различных модификаций. Например, имеются следующие разновидности ФС FAT: FAT12, FAT16 и FAT32 и, напротив, существует две версии ФС NTFS – v.4.0 и v.5.0.
Если ранее в ОС Windows NT использовалась ФС NTFS v.4.0, то ОС Windows XP предлагает самую последнюю версию ФС NTFS – v.5.0, представленную еще в ОС Windows 2000. Хотя ФС обеих версий приспособлены к взаимному чтению и записи объектов (файлов и каталогов), в ОС Windows XP имеется ряд преимуществ, которыми ОС Windows NT не наделена. К их числу, например, относятся:
- возможности создания "точек повторной обработки", которыми ОС Windows NT не в состоянии воспользоваться при обращении к жесткому диску с ОС Windows XP;
- также, ОС Windows NT будет игнорировать квоты дискового пространства, установленные под управлением ОС Windows XP;
- кроме того, ОС Windows NT в отличие от ОС Windows XP не сможет ни читать, ни делать запись в шифрованных файлах;
-. и наконец, ОС Windows NT будет игнорировать журнал изменений, доступный в ОС Windows XP.
Указанные особенности делают ФС NTFS v.5.0 мощным инструментом безопасности с встроенными возможностями администрирования, который при правильном применении обеспечивает более продуктивную и эффективную организацию системы. Это обстоятельство выгодно отличает данную ФС от ее предыдущей версии и, тем более, от ФС FAT, в сравнении с которой также имеется ряд отличительных особенностей:
- ФС NTFS обеспечивает безопасность на уровне файлов, в отличие от общей безопасности ФС FAT;
- при помощи ФС FAT имеется возможность запретить или разрешить доступ из сети к части дискового пространства, в то время как с помощью ФС NTFS можно установить доступ к конкретным объектам (файлам и каталогам);
- ФС NTFS тесно взаимосвязана с подсистемой безопасности ОС, в целом, и взаимодействует с подсистемой безопасности сети, в частности.
Известно, что "памяти никогда не бывает много!". Это утверждение в полной мере относится к внешней памяти жесткого диска. В этой связи администратору сетевых ресурсов необходимо контролировать расход доступной в его распоряжении внешней памяти. В ФС NTFS имеется штатное программное средство, позволяющее это делать – оно позволяет ограничивать свободное пространство на жестком диске, предполагаемое к выделению пользователям.
Процесс выделения пользователю определенного объема внешней памяти жесткого диска называется квотированием, а сам выделяемый объем, соответственно, квотой на дисковое пространство. Квотирование дискового пространства в организации необходимо с целью его безопасного расходования. Если свободное пространство на жестком диске ограничено, квоты помогут избежать потери исключительно важных данных, которые просто могут не уместиться на заполненный до отказа диск.
В ОС Windows XP квотирование дискового пространства позволяет выполнять следующие действия.
- Уведомлять пользователя о том, что он превысил порог выдачи предупреждения (но при этом еще не израсходовал свою квоту).
- Не допускать запись на жесткий диск после того, как пользователь исчерпал отведенную ему квоту.
Квотирование диска работает индивидуально в отношении каждого пользователя и каждого тома. При этом квоты "прозрачны" для пользователя. Когда он смотрит на доступное пространство диска, то видит, сколько осталось от выделенной ему части. После исчерпания квоты на диске, дальнейшее сохранение данных невозможно. В этом случае пользователь может удалить объекты (файлы и каталоги) или передать их в собственность другого пользователя, чтобы освободить дисковое пространство, или же попросить сетевого администратора об увеличении квотируемого объема.
При установлении пользователям квот необходимо помнить несколько принципиальных моментов. Квотируемый жесткий диск должен быть отформатирован в ФС NTFS. Лицо, выдающее квоты, должно иметь полномочия администратора. Порог выдачи предупреждения должен быть процентов на десять меньше, чем сама квота. Например, квота в 1Гб должна сопровождаться порогом выдачи предупреждения в 900Мб. Когда пользователь израсходует выделенные 900Мб, в регистрационном журнале будет сделана соответствующая запись; когда порог квотирования в 1Гб будет превышен, осуществляется запрет на дальнейшее использование жесткого диска и также делается соответствующая запись в журнале регистрации.
Для ознакомления с возможностями квотирования дискового пространства в среде ОС Windows XP выполните следующее.
Задание №10.1. Изучение возможностей квотирования дискового пространства в среде ОС Windows XP на конкретных примерах.
Секция A. Активация возможности квотирования локального тома в среде ОС Windows XP.
1. Из контекстного выпадающего меню "Свойства" тома выберите вкладку "Квота", на которой установите флажок рядом с надписью "Включить управление квотами", тем самым, активизировав изучаемую функциональность.
2. Установите квоту в 1Гб и порог предупреждения в 900Мб, выделяемые по умолчанию для каждого нового пользователя квотируемого жесткого диска.
3. Задействуйте протоколирование превышение порога предупреждения и выделенной квоты в журнале регистрации.
4. Нажмите OK, чтобы изменения вступили в силу.
Примечание. Уместно отметить, что выделение квот возможно не только для локальных пользователей, но и для удаленных. При этом обязательным условием, помимо указанных выше, должно быть то, что общим для доступа каталогом должен быть корневой каталог квотируемого тома.
Секция B. Протоколирование и управление квотами локального тома в среде ОС Windows XP.
После того, как дисковые квоты установлены, появляется возможность отслеживать пороги квот, статус предупреждения или реально использованное пространство.
1. Просмотрите выделенные пользователям квоты. Для этого манипулятором мышь щелкните на кнопке "Записи квот" и изучите появившийся список существующих в системе пользователей и выделенные им квоты. Обратите внимание на то, что в списке пользователей имеется учетная запись системной группы "Администраторы", у которой предельные значения порога превышения и самой квоты отсутствуют.
Примечание. Если в момент первого запуска диалоговое окно "Записи квот" окажется пустым, то необходимо заполнить список пользователей, за которыми предстоит вести наблюдение и протоколирование расхода их дискового пространства.
2. Введите в список нового пользователя, которому необходимо выделить квоту. Для этого в меню "Квота" на панели инструментов выберите команду "Создать запись квоты…", а затем в появившемся окне добавьте стандартным способом соответствующего пользователя (в качестве примера можно взять пользователя с именем "Гость"). Обратите внимание на то, что в процессе создания новой записи квоты, имеется возможность установить особые значения предельных параметров порогового значения и самой квоты для данного пользователя.
В меню "Квота" также имеется возможность удалить ненужные записи. В случае необходимости удалите ненужного пользователя из сформированного списка. Это делается простым выбором команды "Удалить запись квоты…".
3. Теперь предположим, что некоторому пользователю (например, с именем "Гость") требуется выделить дополнительное пространство на жестком диске. Для изменения его квоты необходимо в окне "Записи квот" правой кнопкой манипулятора мышь щелкнуть на его записи, выбрать команду "Свойства" и установить новые значения параметров в появившемся окне.
4. Закройте диалоговое окно "Записи квот" и нажмите OK, чтобы изменения вступили в силу.
При выполнении заданий секций используйте следующие инструкции:
- перенесите последовательность выполняемых действий в отчет (возможно приведение графических фрагментов, сделанных с экрана, в качестве демонстрационного материала),
- сделайте вывод о проделанной работе и запишите его в отчет.
Задание №10.2. Изучение основных возможностей файловой системы EFS в среде ОС Windows XP на конкретных примерах.
Использование ФС EFS (Encrypting File System – шифрующая файловая система) в ОС Windows XP представляет собой дополнительную возможность защиты данных на жестком диске. При применении ФС EFS сохраняемые на диске файлы шифруются и становятся недоступными, пока к ним не будет обеспечен корректный доступ в рамках NTFS-тома.
При работе с ФС EFS лучше всего зашифровывать целый каталог, а не отдельные файлы. Это ускоряет процесс и делает его более эффективным. Таким образом, появляется возможность создать защиту группы файлов вместо шифрования отдельных из них. При шифровании каталога целиком все запасные копии файлов также шифруются (разумеется, только в том случае, если они хранятся в шифруемом каталоге).
Для ознакомления с возможностями ФС EFS в среде ОС Windows XP выполните следующее.
1. Войдите в систему под любой учетной записью (стандартной или созданной заранее).
2. В служебном программном модуле "Мой компьютер" (Пуск | Мой компьютер) создайте самостоятельно каталог и скопируйте в него какой-либо файл, предполагаемый к шифрованию.
3. Щелкните правой кнопкой манипулятора мышь на созданном каталоге и выберите команду "Свойства" из контекстного выпадающего меню.
4. На вкладке "Общие" появившегося диалогового окна щелкните на кнопке "Дополнительно" (или "Другие") и установите флажок рядом с надписью "Шифровать содержимое для защиты данных".
5. Нажмите OK для подтверждения операции.
Примечание. После шифрования объект будет выделен зеленым цветом.
6. Войдите в систему под другой учетной записью и произведите открытие файла. Обратите внимание на полученный результат.
Примечание. Расшифровывание объектов возможно в обратном порядке и под той учетной записью, в рамках которой происходило шифрование.
При выполнении задания используйте следующие инструкции:
- перенесите последовательность выполняемых действий в отчет (возможно приведение графических фрагментов, сделанных с экрана, в качестве демонстрационного материала),
- сделайте вывод о проделанной работе и запишите его в отчет.
Задание №10.3. Изучение основных возможностей доступа к объектам в среде ОС Windows XP на конкретных примерах.
ОС Windows XP позволяет реализовать совместное использование файлов, папок, принтеров и других сетевых ресурсов. С этими ресурсами могут работать либо другие пользователи локального компьютера, либо пользователи, находящиеся в сети. То, каким образом ресурсы используются совместно, зависит от настройки системы.
Совместное использование на уровне каталога является базовым уровнем, на котором можно осуществлять управление. Совместное использование одного файла невозможно реализовать в ОС Windows XP. Файл должен быть перенесен или создан внутри папки, предназначенной для совместного использования.
Для совместного использования ресурсов в сети сначала необходимо инициировать службу доступа к файлам и принтерам сетей Microsoft (File and Printer Sharing for Microsoft Networks). Если отсутствует вкладка "Доступ" в диалоговом окне свойств папки, то указанная служба не подключена.
Поскольку данная служба, как правило, устанавливается в автоматическом режиме в процессе установки ОС, ее ручное инсталлирование не представляется к рассмотрению в рамках практической работы (инструкция по процедуре ручного добавления данной службы доступна в центре справки и поддержки ОС, а также на специализированных ресурсах глобальной сети).
ОС Windows XP предлагает пять уровней доступа к объектам (файлам и каталогам) ФС NTFS, которые необходимо знать и разделять, чтобы корректно настраивать параметры безопасности в соответствии с потребностями организации при совместном использовании сетевых ресурсов. Каждый из указанных уровней доступа рассматривается далее в соответствующей секции текущего задания лабораторной работы.
Внимание! Дальнейшее конфигурирование параметров безопасности показано на примере ОС с подключенной опцией "Простой общий доступ к файлам" ("Пуск | Панель управления | Свойства папки", вкладка "Вид", окно "Дополнительные параметры").
Секция A. Изучение первого уровня доступа к объектам файловой системы NTFS в среде ОС Windows XP.
Первый уровень (Уровень I) доступа является самым строгим в ФС NTFS: только владелец объекта может читать и модифицировать его. Другие пользователи, включая сетевого администратора, не имеют доступ к таким объектам. Все объекты в каталоге с первым уровнем доступа сохраняют тот же уровень секретности, что и родительский каталог.
Примечание. Возможность создания каталога Уровня I доступна только для учетной записи группы "Пользователи" и только в рамках его собственной папки "Мои документы".
Для обеспечения доступа Уровня I необходимо выполнить следующее.
1. Одним из ранее изученных способов создайте новую учетную запись пользователя с правами группы "Пользователи" или воспользуйтесь уже готовой учетной записью, полученной в предыдущих заданиях.
2. Войдите в систему с правами группы "Пользователи", воспользовавшись только что созданной учетной записью, и создайте в служебном каталоге "Мои документы" (расположен в соответствующем профиле учетной записи) новый подкаталог с именем, выбранным самостоятельно.
3. Установите "Простой общий доступ к файлам", как указано выше.
4. Щелкните правой кнопкой манипулятора мышь на созданном каталоге и выберите команду "Общий доступ и безопасность" из выпадающего контекстного меню.
5. В появившемся диалоговом окне на вкладке "Доступ" установите флажок рядом с надписью "Отменить общий доступ к этой папке" в категории доступа "Локальный общий доступ и безопасность".
6. Нажмите "Применить" (в случае необходимости установите новый пароль на текущую учетную запись) и OK для подтверждения операции.
7. Войдите в систему под любой другой учетной записью (в том числе и с правами администратора) и убедитесь, что созданный каталог является недоступным для открытия, тем самым, обеспечивая конфиденциальность сохраненных в нем данных.
Секция B. Изучение второго уровня доступа к объектам файловой системы NTFS в среде ОС Windows XP.
На втором уровне (Уровень II) владелец файла и администратор имеют права на чтение и запись в файле или каталоге. В ОС Windows XP это является настройкой по умолчанию для каждого пользовательского файла в служебном каталоге "Мои документы".
Для обеспечения доступа Уровня II необходимо выполнить следующее.
1. Одним из ранее изученных способов создайте новую учетную запись пользователя с правами группы "Пользователи".
2. Войдите в систему с правами группы "Пользователи", воспользовавшись только что созданной учетной записью, и создайте в служебном каталоге "Мои документы" (расположен в соответствующем профиле учетной записи) новый подкаталог с именем, выбранным самостоятельно.
3. Установите "Простой общий доступ к файлам", как указано выше, если он еще не был установлен.
4. Щелкните правой кнопкой манипулятора мышь на созданном каталоге и выберите команду "Общий доступ и безопасность" из выпадающего контекстного меню.
5. В появившемся диалоговом окне на вкладке " Доступ" удалите флажки рядом с надписью "Отменить общий доступ к этой папке" в категории доступа "Локальный общий доступ и безопасность" и надписью "Открыть общий доступ к этой папке" в категории доступа "Сетевой общий доступ и безопасность ", если они находятся в установленных положениях.
6. Нажмите OK для подтверждения операции.
7. Войдите в систему под любой другой учетной записью кроме административной (если необходимо, создайте еще одну с правами пользователя) и убедитесь, что созданный каталог является недоступным для удаления и модификация его содержимого невозможна.
8. Войдите в систему под учетной записью с правами администратора и убедитесь, что он имеет доступ к вновь созданной папке на чтение и запись.
Секция С. Изучение третьего уровня доступа к объектам файловой системы NTFS в среде ОС Windows XP.
Третий уровень (Уровень III) позволяет пользователям, входящим в систему из локальной сети, совместно использовать объекты ФС NTFS (файлы и каталоги). В зависимости от типа пользователя ему позволено или запрещено выполнять определенные действия с файлами Уровня III в каталоге "Общие документы". В частности,
- администраторы локальных компьютеров и опытные пользователи имеют полный доступ,
- ограниченные пользователи имеют доступ "только для чтения",
- удаленные пользователи не имеют доступа к файлам Уровня III.
Для обеспечения доступа Уровня III необходимо выполнить перемещение желаемого объекта файловой системы в каталог "Общие документы". Выполните следующее:
Воспользовавшись знаниями, полученными в предыдущих заданиях, самостоятельно создайте объект ФС NTFS с доступом Уровня III и занесите последовательность выполняемых действий в отчет.
Секция D. Изучение четвертого уровня доступа к объектам файловой системы NTFS в среде ОС Windows XP.
Один из самых распространенных уровней сетевого доступа является Уровень IV. На этом уровне объекты ФС NTFS доступны для чтения всем удаленным пользователям. Локальные пользователи также имеют право чтения (это касается и учетных записей "Гость"), но не имеют права записи и модификации объектов.
Внимание! Право организации доступа Уровня IV присвоено администратору сети.
Для обеспечения доступа Уровня IV необходимо выполнить следующее:
1. В виртуальной машине войдите в систему с правами администратора. Отключите брандмауэр и создайте в любом месте локального тома новый каталог с именем, выбранным самостоятельно, и запишите в него любой текстовый файл для дальнейших операций.
2. Установите "Простой общий доступ к файлам", как указано выше, если он еще не был установлен.
3. Щелкните правой кнопкой манипулятора мышь на созданном каталоге и выберите команду "Общий доступ и безопасность" из выпадающего контекстного меню.
4. В появившемся диалоговом окне на вкладке "Доступ" щелкните фразу " Если вы понимаете потенциальную опасность, но все равно хотите включить общий доступ без помощи мастера, щелкните здесь".
5. Установите флажок рядом с надписью "Открыть общий доступ к этой папке" в категории доступа "Сетевой общий доступ и безопасность" и удалите флажок рядом с надписью "Разрешить изменение файлов по сети", если он находится в установленном положении.
6. Нажмите OK для подтверждения операции.
7. На физической машине нажмите Пуск | Выполнить и введите \\ ip_адрес_виртуальной_машины. Откройте только что созданный каталог и произведите чтение данных из текстового файла, находящегося внутри.
8. Убедитесь, что созданный каталог является недоступным для удаления и модификация его содержимого по сети невозможна.
Секция E. Изучение пятого уровня доступа к объектам файловой системы NTFS в среде ОС Windows XP.
Второй из распространенных уровней сетевого доступа, который достаточно часто встречается при организации локальной сети, в том числе, в домашних условиях, – Уровень V. Этот уровень является наиболее "разрешенным" с точки зрения безопасности объектов файловой системы. Любой пользователь локальной сети может читать, записывать данные по сети, удалять файлы и каталоги, а также модифицировать их содержимое. Из этого следует, что такой уровень безопасности следует вводить только в закрытых и надежно защищенных от внешнего воздействия локальных сетях.
Внимание! Право организации доступа Уровня V присвоено администратору сети.
Для обеспечения доступа Уровня V необходимо выполнить следующее:
1. В виртуальной машине войдите в систему с правами администратора, воспользовавшись только что созданной учетной записью. Создайте в любом месте локального тома новый каталог с именем, выбранным самостоятельно, и запишите в него любой текстовый файл для дальнейших операций.
3. Установите "Простой общий доступ к файлам", как указано выше, если он еще не был установлен.
4. Щелкните правой кнопкой манипулятора мышь на созданном каталоге и выберите команду "Общий доступ и безопасность" из выпадающего контекстного меню.
5. В появившемся диалоговом окне на вкладке "Доступ" установите флажок рядом с надписью "Открыть общий доступ к этой папке" и флажок рядом с надписью "Разрешить изменение файлов по сети" в категории доступа "Сетевой общий доступ и безопасность".
6. Нажмите OK для подтверждения операции.
7. На физической машине нажмите Пуск | Выполнить и введите \\ ip_адрес_виртуальной_машины. Откройте созданный администратором предыдущего узла каталог и произведите чтение данных из текстового файла, находящегося внутри.
8. Убедитесь, что созданный каталог является доступным для модификации. Для этой цели модифицируйте по сети содержимое текстового файла в каталоге с общим доступом и сохраните его.
Полученные в настоящей практической работе знания и изученные возможности снабжают потенциального системного администратора или опытного пользователя базовым инструментарием, ориентированным на обеспечение безопасности компьютера от различного рода сетевых воздействий, атак или угроз как локальных, так и внешних.