Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Лабораторна робота «Політика безпеки архітектури комп'ютерних систем»

Скачати 74.72 Kb.

Лабораторна робота «Політика безпеки архітектури комп'ютерних систем»




Скачати 74.72 Kb.
Дата конвертації13.03.2017
Розмір74.72 Kb.
ТипЛабораторна робота

Лабораторна робота

«Політика безпеки архітектури комп'ютерних систем»

Сам по собі шаблон безпеки – це заздалегідь збережений текстовий файл з розширенням inf, який містить набір параметрів конфігурації безпеки.

Те́кстовий файл - форма подання послідовності символів у комп'ютері, де кожен символ із задіяного набору символів кодується одним байтом чи послідовністю двох, трьох і т. д. байтів. На відміну від терміна «текстовий формат», що характеризує вміст даних, термін «текстовий файл» стосується файлу та характеризує його як контейнер, який зберігає такі дані.
Одним з основних переваг шаблонів безпеки є гнучкість розгортання. Ви можете розгорнути шаблони безпеки як в домені за допомогою об’єктів групової політики Active Directory, так і в невеликих офісах або домашньому оточенні (Small Office Home Office – SOHO) за допомогою оснастки “Аналіз та налаштування безпеки” або засобами утиліти командного рядка Secedit.
Команди́р частини (підрозділу) - посадова особа командного складу в збройних силах, на котру покладено командування (керівництво) підрозділом, частиною (кораблем), з'єднанням. У більшості країн світу командир є єдиноначальником і несе особисту відповідальність за постійну бойову і мобілізаційну готовність ввіреної йому частини (підрозділу).
exe, про які буде розказано в наступних статтях. Ще однією з визначних пам’яток даних шаблонів є те, що шаблони безпеки – це звичайні текстові файли, редагувати які ви можете навіть за допомогою стандартної програми “Блокнот”. Також не можна не відзначити той факт, що саме за допомогою шаблонів безпеки ви можете провести аналіз відповідності поточної конфігурації комп’ютера і налаштувань, що містяться в створених шаблонах безпеки.

За допомогою шаблонів безпеки ви можете налаштовувати параметри політики, які відповідають за наступні компоненти безпеки:

Політики облікових записів.

Компонент (англ. component, нім. Komponente f) - різновид, складова частина чогось.
Обліковий запис (сленг. акаунт, обліковка або обліківка) у комп'ютерній системі - сукупність наданої інформації про користувача, засобів та прав користувача відносно багатокористувацької системи.
Ви можете налаштовувати вже відомі вам за статтею “Локальна політика безпеки. Частина 2: Політики облікових записів” політики паролів, політики блокування облікового запису, а також політики Kerberos;

  • Локальні політики. Доступні налаштування політики аудиту, призначення прав користувачів, а також параметри безпеки, аналогічні параметрам політики оснастки “Редактор об’єктів групових політик”;
    Кори́стува́ч - той, хто користується чим-небудь - майном, землею, комп'ютером тощо.
    Анало́гія - (грец. αναλογια - «відповідність») - подібність, схожість у цілому відмінних предметів, явищ за певними властивостями, ознаками або відношеннями.


  • Журнали подій. Ви можете змінювати налаштування журналів “Додатки”, “Система” і “Безпека”, Такі як політики створення файлів журналів, максимальний розмір та інше;

  • Групи з обмеженим доступом. Налаштування обмежень доступу користувачів, які є членами різних груп;

  • Налаштування системних служб>. Ви можете керувати типом запуску і дозволом доступу всіх системних служб, які можна знайти в оснащенні “Служби”;

  • Налаштування системного реєстру. Можна додавати дозволу на доступ до розділів реєстру;

  • Установки безпеки файлової системи.
    Додавання - бінарна арифметична операція, суть якої полягає в об'єднанні математичних об'єктів.
    Фа́йлова систе́ма - спосіб організації даних, який використовується операційною системою для збереження інформації у вигляді файлів на носіях інформації. Також цим поняттям позначають сукупність файлів та директорій, які розміщуються на логічному або фізичному пристрої.
    У вас є можливість задавати дозволу доступу на файли і папки.
    Можливість - це дія, що може відбутися або ні (можливо, приїду, а, можливо, і ні). Можливість можна забезпечити чи покладатись на «авось» та якось буде. Альтернатива дає шанс, але не гарантує без відповідних дій забезпечення результату і адекватності та конструктиву діяльності.


Рекомендується не вносити зміни в попередньо встановлений шаблон Setup security.inf, так як за допомогою цього шаблону у вас є можливість відновлення параметрів безпеки, які використовуються за замовчуванням.
Відно́влення (рос. восстановление, англ. reduction; нім. Reduktion f) -- це процес приєднання електронів речовиною, при цьому ступінь окиснення її елементів знижується.
Також, щоб уникнути багатьох проблем, бажано перед впровадженням створеного шаблону в експлуатацію, протестувати його на окремому комп’ютері.

Використання оснастки “Шаблони безпеки”


Відкрийте оснастку “Шаблони безпеки”. Для цього виконайте наступні дії:


  1. Відкрийте “Консоль управління MMC”. Для цього натисніть на кнопку “Пуск”, В полі пошуку введіть mmc, а потім натисніть на кнопку “Enter”;

  2. Відкриється порожня консоль MMC. У меню “Консоль” виберіть команду “Додати або видалити оснастку” або скористайтесь комбінацією клавіш Ctrl M;

  3. У діалозі “Додавання та видалення оснасток” виберіть оснастку “Шаблони безпеки” і натисніть на кнопку “Додати”;

  4. У діалозі “Додавання або видалення оснасток” натисніть на кнопку “ОК”.

При першому відкритті даної оснащення, в папці Documents вашого профілю створюється папка Security з вкладеною папкою Templates. Саме в папці Templates і зберігаються створені вами шаблони безпеки.

Для подальшої роботи з шаблонами безпеки створіть новий шаблон. Для цього вам належить виконати дії, описані в наступній процедурі:



  1. У дереві консолі клацніть правою кнопкою миші на вузлі, що надає шлях пошуку шаблону. За замовчуванням шлях% Userprofile% DocumentsSecurityTemplates;

  2. У контекстному меню виберіть команду “Створити шаблон”;

  3. Введіть назву нового шаблону в текстове поле “Ім’я шаблону” діалогового вікна. У тому випадку, якщо ви створюєте декілька різних шаблонів безпеки, я вам рекомендую додавати докладний опис призначення шаблону в поле “Опис”. Наприклад, наступного ілюстрації ви можете побачити діалог створення шаблону з назвою “Конфігурація системних служб”. У зв’язку з тим, що на комп’ютерах користувачів можуть бути встановлені різні ОС, в описі зазначена версія операційної системи, для якої створюється поточний шаблон.
    Операці́йна систе́ма, скорочено ОС (англ. operating system, OS) - це базовий комплекс програм, що виконує управління апаратною складовою комп'ютера або віртуальної машини; забезпечує керування обчислювальним процесом і організовує взаємодію з користувачем.




Рис. 2. Діалог створення нового шаблона безпеки

При бажанні ви можете змінити шлях для пошуку шаблонів, створений за замовчуванням. Для цього, в дереві консолі, натисніть правою кнопкою миші на вузлі “Шаблони безпеки” і виберіть команду “Знайти шлях для пошуку шаблонів …”. У діалоговому вікні “Огляд папок” виберіть папку, в якій будуть зберігатися нові шаблони безпеки і натисніть на кнопку “ОК”.





Рис. 3. Зміна шляху для пошуку шаблонів

Зміна налаштувань шаблону безпеки

Після створення нового шаблону, в оснащенні ви побачите набір групових політик, подібний тим, які відображаються в оснащенні “Редактор об’єктів групових політик”. Не варто також забувати, що оснащення шаблонів безпеки являє собою тільки редактор набору групових політик і не впливає на зміну поточної конфігурації. Тобто, після повної зміни політик, наданих в даній оснастці, вам не варто хвилюватися про те, що налаштування на вашому робочому місці будуть змінені.

Редагува́ння - це приведення об'єкта редагування у відповідність із чинними у певний час у конкретному суспільстві нормами, а також його творча оптимізація, метою яких є отримання заданого соціального ефекту.
Робо́че мі́сце - елементарна одиниця виробничої структури, що містить частину простору виробничого підрозділу, яка потрібна для здійснення трудової операції та оснащена матеріально-технічними засобами, що використовуються у процесі праці.
Далі ми розглянемо набір політик системних служб, додавання параметрів реєстру, а також редагування груп з обмеженим доступом.

Налаштування системних служб


Вузол “Системні служби” призначений для подальшої зміни конфігурації системних служб засобами групових політик при розгортанні. Вміст цього вузла сильно нагадує оснастку “Служби”, Проте між ними є одна істотна різниця. За допомогою оснастки “Служби” ви налаштовуєте тип запуску служб на локальному комп’ютері, а використовуючи шаблони безпеки, ви можете поширити зазначені налаштування системних служб одночасно на кілька комп’ютерів. Розглянемо детально застосування вмісту даного вузла на простому прикладі:

На комп’ютерах вашого малого офісу, в якому немає домену, ніколи не будуть використовуватися планшетні ПК, пристрої BlueTooth і смарт-карти.

Смарт-ка́ртка (англ. smart card) - пластикова картка, що містить інтегральну схему, яка забезпечує певний рівень програмованості та невеликий обсяг пам'яті.
Bluetooth (англ. Bluetooth) - технологія бездротового зв'язку, створена у 1998 році групою компаній: Ericsson, IBM, Intel, Nokia, Toshiba.
Припустимо, ви побоюєтеся вторгнення на комп’ютери недоброзичливців, тому хочете відключити можливість віддаленого управління системного реєстру, служби віддалених робочих столів, а також вашим користувачам не можна на робочих місцях використовувати Windows Media Center. За цієї ж причини необхідно повністю відключити на комп’ютерах вашої мережі всі ці служби. Щоб розгорнути ці налаштування служб на всіх комп’ютерах, виконайте наступні дії:




  1. В оснащенні “Шаблони безпеки” перейдіть на вузол “Системні служби”;

  2. Виберіть службу, тип запуску якої ви плануєте настроїти, наприклад, “Служба введення планшетного ПК” і відкрийте властивості цієї служби;

  3. У діалоговому вікні “Властивості: Служба введення планшетного ПК” встановити прапорець на опції “Визначити наступний параметр служби в шаблоні” і встановіть перемикач на опції “Заборонити”;



Рис. 5. Діалог властивостей системної служби


  1. Натисніть на кнопку “ОК”. Налаштуйте інші служби.


Налаштування системного реєстру


Після докладного вивчення параметрів групових політик, ви можете виявити, що, незважаючи на використання групових політик і шаблонів безпеки, користувачі примудряються змінювати деякі системні параметри за допомогою реєстру. Ви знаєте розділ системного реєстру, який відповідає за певну настройку, але хочете дати можливість вносити зміни в цей розділ тільки зазначеній групі користувачів. Припустимо, вам потрібно дати повний доступ на зміну параметрів розділу реєстру, який відповідає за компонент “Дата і час” тільки для груп “Система” і “Адміністратори”, Причому користувачам, які є членами групи “Користувачі” потрібно заборонити навіть перегляд даного розділу. Для цього виконайте наступні дії:


  1. В оснащенні “Шаблони безпеки” перейдіть на вузол “Реєстр”;

  2. Викличте контекстне меню для вузла “Реєстр” і виберіть команду “Додати розділ”;

  3. У діалоговому вікні “Вибір розділу реєстру” розгорніть розділ [MACHINESYSTEMCurrentControlSetControlTimeZoneInformation] або введіть шлях до розділу в поле “Обраний розділ” і натисніть на кнопку “ОК”;



Рис. 6. Діалогове вікно “Вибір розділу реєстру”


  1. У діалоговому вікні “Безпека даних для <Вибранний_раздел_реестра>“ встановіть дозволу для всіх груп і натисніть на кнопку “ОК”;



Рис. 7. Діалог “Безпека” розділу системного реєстру


  1. У діалозі “Додавання об’єкта” ви можете поширити зазначені налаштування безпеки на всі дочірні підрозділи, заборонити заміну дозволів в зазначеному розділі, або змінити параметри вручну.
    Підро́зділ - у військовій справі - військова одиниця постійної організації, головним чином однорідного складу в кожному роді військ та у спеціальних військах, що організаційно входить до складу більшого підрозділу або військової частини.




Рис. 8. Діалог “Додавання об’єкта”


  1. При натисканні на кнопку “ОК”, Дані зміни будуть відображені в оснащенні “Шаблони безпеки”


Налаштування груп з обмеженим доступом


За допомогою груп з обмеженим доступом ви можете вказувати користувачів, які будуть належати до певної групи. Політики, які застосовуються з шаблонами безпеки, будуть поширюватися на всіх користувачів, які входять до групи з обмеженим доступом. Для того щоб вказати членів групи з обмеженим доступом, виконайте наступні дії:


  1. В оснащенні “Шаблони безпеки” перейдіть на вузол “Групи з обмеженим доступом”;

  2. Натисніть правою кнопкою миші на вузлі і з контекстного меню виберіть команду “Додати групу”;

  3. У діалоговому вікні “Додавання групи” введіть назву нової групи або виберіть існуючу, використовуючи кнопку “Обзор”;



Рис. 10. Діалог додати групу


  1. У діалоговому вікні властивостей нової групи ви можете додати користувачів, які будуть входити до складу цієї групи, а також вибрати батьківську групу. Причому, політики не застосовуються на ті групи, до яким належить створена вами група;



Рис. 11. Діалог властивостей нової групи


  1. При натисканні на кнопку “ОК” нова група буде створена і додана в вузол груп з обмеженим доступом.http://easy-code.com.ua/2012/08/

Після закінчення зміни шаблону безпеки, вам потрібно його зберегти для подальшого використання. Для збереження шаблону безпеки натисніть правою кнопкою миші на найменуванні вузла шаблону безпеки і виберіть команду “Зберегти” або “Зберегти як” з контекстного меню. Шаблон буде збережений з розширенням *.inf.

Звіт з лабораторної роботи повинен містити висновки про призначення шаблону безпеки, а також діалогові вікна з створеним шаблоном безпеки і відповідним налаштуванням (системних служб, системного реєстру, груп з обмеженим доступом).
Література:

  1. Амато В. Основы организации сетей Cisco : в 2 кн. / Амато В. – М. : Вильямc, 2002. – 512 с. – Кн. 1

  2. Амато В. Основы организации сетей Cisco : в 2 кн. / Амато В. – М. : Вильямc, 2002. – 464 с. – Кн. 2

  3. Виснадул Б.Д. Основы компьютерных сетей : учебное пособие / Виснадул Б.Д., Лупин С.А., Сидоров С.В., Чумаченко П.Ю.; под ред. Гагариной Л.Г. – М. : ИД «Форум» : ИНФРА-М, 2007. – 272 с.

  4. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов / Олифер В.Г., Олифер Н.А. – СПб. : Питер, 2010. – 944 с.

  5. Олифер В.Г. Сетевые операционные системы : Учебник для вузов / Олифер В.Г., Олифер Н.А. – СПб. : Питер, 2009. – 672 с.

  6. http://easy-code.com.ua/2012/08/


Скачати 74.72 Kb.

  • Використання оснастки “Шаблони безпеки”
  • Налаштування системних служб
  • Налаштування системного реєстру
  • Налаштування груп з обмеженим доступом