Безопасность персонального компьютера
Файловая система NTFS
Файловая система представляет собой общую структуру, которая определяет в операционной системе наименование, сохранение и размещение файлов. Фактически, представляет собой структуру данных, создаваемую Windows при форматировании тома для файловых систем. Windows хранит в таблице размещения файлов сведения о каждом файле, чтобы при необходимости можно было извлечь нужный файл.
Windows XP поддерживает следующие файловые системы:
FAT16 (File allocation table 16bit) –может использоваться не только с Windows NT, но и с другими операционными системами, включая Windows 9x, Windows for Workgroups, MS-DOS, Linux и OS/2.
FAT32 (File allocation table 32bit) – была введена с выпуском Windows 95 OSR2, и ее поддержка обеспечивается в Windows 98. Она обеспечивает оптимальный доступ к жестким дискам, повышая скорость и производительность всех операций ввода/вывода. FAT32 представляет собой усовершенствованную версию файловой системы FAT, предназначенную для использования на томах, объем которых превышает 2 Гбайт. Windows 2000 продолжает поддерживать файловую систему FAT, а также добавляет дополнительную поддержку для FAT32.
NTFS (NT file system) – Файловая система Windows NT (NTFS) обеспечивает такое сочетание производительности, надежности и эффективности, которое невозможно предоставить с помощью любой из реализаций файловой системы FAT (как FAT16, так и FAT32). Основными целями разработки NTFS являлись обеспечение скоростного выполнения стандартных операций над файлами (включая чтение, запись, поиск) и предоставления дополнительных возможностей, включая восстановление поврежденной файловой системы на чрезвычайно больших дисках. Кроме того, NTFS обладает механизмами защиты данных, необходимыми на файловых серверах и высокопроизводительных компьютерах в корпоративных средах. Файловая система NTFS поддерживает контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности жизненно важных конфиденциальных данных.
На выбор файловой системы оказывают влияние следующие факторы:
n Цель, для которой предполагается использовать компьютер (сервер или рабочая станция)
n Количество жестких дисков и их объем
n Требования к безопасности
n Необходимость использования дополнительных возможностей NTFS 5.0, таких как распределенная файловая система (DFS) и шифрующая файловая система (EFS)
NTFS по сравнению с FAT предоставляет целый ряд преимуществ, которые будут описаны далее в этой главе. Однако, если вы в дополнение к Windows 2000 намерены использовать еще одну операционную систему, помните, что доступ к файлам, расположенным в разделах NTFS, можно будет получить только через Windows 2000. Поэтому для системного и загрузочного разделов другой операционной системы необходимо использовать иную файловую систему (иначе эта операционная система просто не сможет загрузиться).
Разрешения, которые назначаются папкам, отличаются от разрешений для файлов. Администраторы или владельцы файлов или папок, а так же пользователи с правами полного доступа (Full Control permission), имеют право назначать NTFS разрешения для пользователей и групп пользователей с целью контроля за доступом к файлам и папкам.
Учётная запись — запись, содержащая сведения, которые пользователь сообщает о себе некоторой компьютерной системе.
Учётная запись, как правило, содержит сведения, необходимые для идентификации пользователя при подключении к системе, информацию для авторизации и учёта. Это имя пользователя и пароль (или другое аналогичное средство аутентификации — например, биометрические характеристики). Пароль или его аналог, как правило, хранится в зашифрованном или хэшированном виде (в целях его безопасности).
Для повышения надёжности могут быть, наряду с паролем, предусмотрены альтернативные средства аутентификации — например, специальный секретный вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учётной записи.
Аутентификация
Модель безопасности Windows XP Professional основана на понятиях аутентификации и авторизации. При аутентификации проверяются идентификационные данные пользователя, а при авторизации – наличие у него прав доступа к ресурсам компьютера или сети. В Windows XP Professional также имеются технологии шифрования, которые защищают конфиденциальные данные на диске и в сетях, например EFS (Encrypting File System), технология открытого ключа.
Авторизация
Авторизация позволяет контролировать доступ пользователей к ресурсам. Применение списков управления доступом (ACL) и прав доступа NTFS гарантирует, что пользователь получит доступ только к нужным ему ресурсам, например к файлам, дискам (в том числе сетевым), принтерам и приложениям. С помощью групп безопасности, прав пользователей и прав доступа можно одновременно управлять безопасностью как на уровне ресурсов, так и на уровне файлов, папок и прав отдельных пользователей.
Группы безопасности
Группы безопасности позволяют упростить управление доступом к ресурсам. Можно приписывать пользователей к группам безопасности, а затем предоставлять этим группам права доступа. Можно добавлять пользователей к группам безопасности и удалять в соответствии с их потребностями в доступе к новым ресурсам.
Администраторы (Administrators) обладают полным контролем над локальным компьютером и правами на совершение любых действий. При установке Windows XP Professional для этой группы создается и назначается встроенная учетная запись Администратор (Administrator).
Опытные пользователи (Power Users) обладают правами на чтение и запись файлов не только в личных папках, но за их пределами. Они могут устанавливать приложения и выполнять многие административные действия.
Пользователи (Users) в отношении большей части системы имеют только право на чтение. У них есть право на чтение и запись только файлов их личных папок. Пользователи не могут читать данные других пользователей (если они не находятся в общей папке), устанавливать приложения, требующие модификации системных каталогов или реестра, и выполнять административные действия.
Гости (Guests) могут регистрироваться по встроенной учетной записи Гость (Guest) и выполнять ограниченный набор действий, в том числе выключать компьютер. Пользователи, не имеющие учетной записи на этом компьютере, или пользователи, чьи учетные записи отключены (но не удалены), могут по учетной записи Гость зарегистрироваться на компьютере. Можно устанавливать права доступа для этой учетной записи, которая по умолчанию является членом встроенной группы Гость. По умолчанию учетная запись Гость отключена.
Операторы архива - члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.
Операторы настройки сети - члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.
Пользователи удаленного рабочего стола - члены этой группы имеют право на выполнение удаленного входа в систему.
Шифрование
EFS (Encrypting File System) позволяет зашифровать данные на жестком диске. Риск кражи портативных компьютеров особенно велик, поэтому с помощью EFS вы усилите безопасность путем шифрования данных на жестких дисках портативных компьютеров компании. Эта предосторожность защищает информацию и идентификационные данные от несанкционированного доступа.
Управляемый доступ к сети
Windows XP содержит встроенную подсистему безопасности для предотвращения вторжений. Работа подсистемы базируется на ограничении прав любого пытающегося получить доступ к компьютеру из сети до привилегий гостевой учетной записи. Взломщикам не удастся получить доступ к компьютеру и перебором паролей получить дополнительные привилегии, или они получат только ограниченный гостевой доступ.
Оснастка Локальные пользователи и группы (lusrmgr.msc) — это инструмент, предназначенный для управления локальными пользователями и группами. Локальный пользователь или группа — это учетная запись, которой могут быть предоставлены разрешения и права на вашем компьютере.
Оснастка "Локальные пользователи и группы" является важным средством безопасности, поскольку позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Одна учетная запись пользователя может входить в несколько групп.
В левой части открывшегося окна можно видеть две папки - Пользователи и Группы
Папка Пользователи отображает две встроенные учетные записи пользователей — Администратор и Гость, которые создаются автоматически при установке Wundows XP, а также все созданные учетные записи пользователей.
Учетная запись Администратор используется при первой установке операционной системы. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Учетную запись "Администратор" нельзя удалить, отключить или вывести из локальной группы Администраторы, благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает учетную запись "Администратор" от остальных членов локальной группы "Администраторы".Учетная запись Гость используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью "Гость". Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить.
В папке Группы отображаются все встроенные группы и группы, созданные пользователем. Встроенные группы создаются автоматически при установке Windows XP. Принадлежность к группе предоставляет пользователю права и возможности для выполнения различных задач на компьютере.
Все действия с правами «АДМИНИСТРАТОРА»!
Создание учетной записи пользователя.
Меню: «Пуск – Панель управления – Администрирование – Управление компьютером»
Открыть меню «Служебные программы – Локальные пользователи и группы – Пользователи».
В контекстном меню выбираем «Новый пользователь».
Вводим в поле:
«Пользователь» имя сотрудника по которому он будет идентифицироваться в системе.
«Полное имя» - имя и фамилия сотрудника.
«Описание» - комментарии или дополнения к учетной записи
«Пароль», «Подтверждение пароля» - вводится криптостойкий пароль который известен только пользователю.
«Потребность смену пароля при следующем входе в систему» - в случае когда администратор создает учетную запись, пользователь при первом входе в системе меняет пароль принудительно.
«Запретить смену пароля пользователям» - только администратор имеет право менять пароль.
«Срок действия пароля не ограничен» по умолчанию срок действия пароля равен 45 дней
«Отключить учетную запись» - пользователь не сможет авторизоваться в системе
Нажать кнопку «Создать», в списке пользователей появится новая учетная запись.
Открываем новую учетную запись, открываем закладку членство в группах, нажимаем кнопку «Добавить».
Нажимаем кнопку «Дополнительно».
Нажимаем кнопку «Поиск» и выбираем из списка членство в группе пользователя.
Завершаем работу текущего пользователя, в списке пользователей выбираем нового пользователя (Василия Иванова). Вводим пароль.
При первой авторизации пользователя, система попросит изменить пароль на новый.
Смена пароля в последующей работе в системе: меню «Пуск – Панель управления – Учетные записи», выбираем пользователя.
Выбираем пункт «Изменение пароля».
Нажимаем кнопку «Изменить пароль».
Если Вы состоите в членстве группы «Администраторов». Вы можете управлять кроме своей, другими учетными записями.
Меню: «Пуск – Панель управления – Администрирование – Управление компьютером»
Открыть меню «Служебные программы – Локальные пользователи и группы – Пользователи».
Выделить пользователя, вызвать контекстное меню «Задать пароль».
Нажимаем кнопку «Продолжить».
Вводим новый пароль.
2. Настройка брандмауэра Windows.
Брандмауэр (сетевой экран) – это защитный барьер между компьютером или сетью и внешним миром.
Меню «Пуск – Панель управления - брандмауэр Windows»
Устанавливаем переключатель в пункте «Включить».
Перейти на закладку «Исключения».
Выделяем пункт «Общий доступ к файлам и принтерам».