Защита сетей на базе MS Windows NT/2000 Server
Сетевые операционные системы Windows NT/2000 используют единую схему аудита, проверки подлинности и полномочий пользователя:
- пользователь указывает имя своей учетной записи и пароль только один раз во время входа в систему, а затем получает доступ ко всем информационным ресурсам корпоративной сети;
- администратор ограничивает доступ к данным, модифицируя списки прав доступа к ресурсам;
- доступ пользователей к документам контролируется посредством аудита.
В частности, каждому пользователю в сети соответствует персональная учетная запись, параметры которой определяют его права и обязанности в домене. Учетная запись содержит такую информацию о пользователе, как его имя, пароль или ограничения на доступ к ресурсам.
Учетные записи бывают двух типов: глобальные и локальные.
Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на весь домен. При регистрации по локальной учетной записи пользователь получает доступ только к ресурсам данного компьютера.
Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, обратившись к своей глобальной учетной записи. Если сеть состоит из нескольких доменов и между ними установлены доверительные отношения, то возможна так называемая сквозная регистрация, то есть пользователь, отмечаясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у него нет персональной учетной записи. Создавать, модифицировать учетные записи и управлять ими администратор может с помощью программы User Manager for Domains.
Пароль играет одну из самых важных ролей при регистрации пользователя в сети, так как именно путем подбора пароля может происходить незаконный доступ к сетевым ресурсам. Поэтому Windows NT/2000 содержит ряд мощных механизмов, связанных с паролем пользователя. Это:
- уникальность пароля и хранение истории паролей;
- максимальный срок действия, после которого пароль необходимо изменить;
- минимальная длина и минимальный срок хранения пароля;
- блокировка учетной записи при неудачной регистрации.
Полномочия (возможности) пользователя в системе определяются набором его прав. Права пользователей бывают стандартные и расширенные.
К стандартнымотносятся такие права, как возможность изменять системное время, выполнять резервное копирование файлов, загружать драйверы устройств, изменять системную конфигурацию, выполнять выключение сервера и т. п.
Расширенныеправа во многом являются специфичными для операционной системы или приложений.
Предоставление прав на доступ к файлам и каталогам — основа защиты Windows NT/2000 и важнейший механизм файловой системы NTFS.
В Windows NT/2000 поддерживается заполнение трех журналов регистрации:
- системного журнала, который содержит информацию о компонентах ОС;
- журнала безопасности, куда заносится информация о входных запросах в систему и другая информация, связанная с безопасностью;
- журнала приложений, регистрирующего все события, записываемые приложениями.
По умолчанию аудит выключен и журнал безопасности не ведется, но он может быть подключен администратором сети.
Дата добавления: 2015-10-13; просмотров: 591;