Приведенная в предыдущих разделах информация о методах и средствах обеспечения безопасности носила общий характер. По отдельности рассматривались те или иные проблемные области. В этом разделе рассмотрим практические методы обеспечения безопасности в операционной системе Windows 2000 Professional.

Windows 2000 Professional – это версия Windows 2000, оптимизированная для работы на компьютере конечного пользователя. Она может обеспечивать работу, как узла сети, так и отдельного компьютера, в том числе портативного. Однако если установить набор средств управления доменом, такая система сможет играть роль и узла управления доменом.

Защита любой системы обязательно должна быть комплексной – необходимо обеспечить безопасность пользователей, групп, данных, а также конфигурационной информации. Большая часть предпринимаемых мер по защите определяется способом использования той или иной системы. В составе Windows 2000 поставляются установленные по умолчанию шаблоны безопасности, которые могут помочь повысить уровень безопасности вашей системы.

Изолированная система – это любой компьютер, работающий под управлением Windows 2000 Professional, Server или Advanced Server, который не является участником домена. Набор создаваемых по умолчанию на изолированных системах локальных пользователей и групп отличается от такого набора, создаваемого по умолчанию при установке контроллера домена. Кроме того, отличается и область действия пользователей и групп. Локальные пользователи и группы изолированной системы могут быть только локальными; иными словами, назначаемые им права и разрешения распространяются только на локальную систему.

По умолчанию создаются следующие локальные группы:

· Администраторы (Administrators);

· Пользователи (Users);

· Опытные пользователи (Power Users);

· Гости (Guests);

· Репликатор (Replicator);

· Операторы архива (Backup Operators).

Для работы в среде Windows 2000 Professional пользователь должен иметь учетную запись. Хотя во многих случаях операционная система Windows 2000 Professional устанавливается на компьютере, с которым работает только один пользователь, ее можно настроить так, чтобы доступ к компьютеру могли получить несколько пользователей. Для каждого из них должны быть созданы учетная запись, профиль, область для хранения документов, а также набор прав.

Сведения обо всех учетных записях пользователей и групп хранятся в локальной базе данных учетных записей безопасности (SAM – Security Account Manager) в системном реестре.

Во время установки создаются только две учетные записи – «Администратор» (Administrator) и «Гость» (Guest).

Администраторы

В Windows 2000 имеется три административные группы – «Администраторы домена» (Domain Admins), «Администраторы предприятия» (Enterprise Admins) и «Администраторы» (Administrators). Если система не входит в домен, группы «Администраторы домена» и «Администраторы предприятия» не создаются. Необходимо отметить, что группа «Администраторы предприятия» является нововведением Windows 2000.

Что может делать «Администратор»? В Windows 2000 применяются следующие правила:

· по умолчанию «Локальный администратор может делать все, что угодно. Например, хотя он может и не иметь доступа к некоторым параметрам реестра, файлам или папкам, ничто не мешает ему назначить себя их владельцем и получить необходимые привилегии;

· администратор может даже назначить себе дополнительные привилегии, выходящие за рамки привилегий, установленных по умолчанию. Например, он может назначить себе право «Работа в режиме операционной системы» (Act as Part of the Operating System);

· один администратор может ограничивать права другого администратора. Например, один администратор может лишить другого права добавлять новых участников в группу «Администраторы». Наличие такой возможности позволяет правильно распределить административные функции между несколькими администраторами.

Что может делать администратор из того, что нельзя делать пользователю? Следующие операции может выполнять только администратор:

· установку приложений, требующих установки служб;

· установку компонентов операционной системы (например, драйверов) и служб;

· установку сервисных пакетов, исправлений и обновленных версий Windows;

· восстановление ОС с помощью средства «Консоль восстановления» (Recovery Console);

· настройку параметров ОС, распространяющихся на всех пользователей компьютера (установку политики паролей, настройку драйверов уровня ядра, управление доступом, ведение аудита).

Кроме того, некоторые устаревшие приложения требуют для работы полномочий администратора. Это объясняется, как правило, не ошибками в ОС, а некорректной реализацией функциональности таких приложений – они могут, например, осуществлять доступ к файлам или параметрам реестра, к которым пользователь не должен иметь доступа

Пользователи

Что может делать пользователь? Вопрос сложный – проще ответить, чего он не может делать.

При первой установке Windows 2000 «с нуля» в раздел NTFS от участников группы «Пользователи» по умолчанию скрываются часть средств операционной системы и установленных приложений. В отличие от Windows NT, в которой ко многим важным параметрам реестра и папкам имели полный доступ все пользователи, Windows 2000 ограничивает доступ к подобным важным ресурсам.

Пользователи не могут изменять параметры реестра, значения которых могут сказаться на работе всего компьютера. Пользователи также не могут изменять файлы операционной системы или программные файлы и не могут устанавливать и запускать программы под именами других пользователей. В идеальном случае в Windows 2000 любой пользователь может запускать программы, установленные администраторами, опытными пользователями и установленные самостоятельно, однако не может запускать программы, установленные другими пользователями (это один из методов защиты от «троянских коней»). Кроме того, пользователь не может получить доступ к данным других пользователей.

Однако для того, чтобы в процессе эксплуатации эти свойства системы обеспечения безопасности оставались столь же надежными, необходимо участие администратора. Прежде всего, следует добавлять пользователей только в группу «Пользователи». Нужно также тщательно отбирать запускаемые программы – лучше всего использовать только те из них, которые соответствуют спецификациям Windows 2000 Application Specification.

До тех пор, пока все программы не будут переписаны в соответствии со спецификациями Microsoft, всегда найдется какая-нибудь программа, для работы которой потребуется расширить полномочия пользователя. Многие же устаревшие приложения просто не будут доступны для участников группы «Пользователи». В таких случаях можете рассмотреть вариант с размещением пользователей в группе «Опытные пользователи».

Опытные пользователи

Параметры безопасности для опытных пользователей в точности совпадают с аналогичными параметрами участников группы «Пользователи Windows NT». Kроме того, опытные пользователи характеризуются следующими свойствами:

· могут устанавливать приложения, которые не устанавливают системных служб. (В этой связи установка некоторых устаревших приложений будет заканчиваться неудачно, так как они могут пытаться заменить файлы операционной системы, чего опытные пользователи не могут делать);

· могут настраивать ресурсы, распространяющиеся на уровень системы, такие как системное время, параметры экрана, общедоступные ресурсы, параметры энергосбережения, принтеры и т.п.;

· не могут получать доступ к данным других пользователей, если эти данные хранятся в разделе NTFS и имеют адекватную защиту.

Опытные пользователи также имеют более свободный доступ к системным файлам и параметрам реестра, чем обычные пользователи. По умолчанию группа «Опытные пользователи» пуста.

Если пользователи, входившие в группу «Пользователи NT Workstation», могли запускать какие-либо приложения, то после перехода на Windows 2000 Professional они могут лишиться такой возможности. Проблема заключается не в привилегиях или правах группы «Пользователи», а в улучшенных ограничениях доступа к реестру и системным файлам (точнее говоря, в ограничениях попыток приложений модифицировать системные файлы, которые теперь защищаются от записи).

Доступ к реестру и системным файлам, который в Windows NT имели участники группы «Пользователи», теперь имеют только участники группы «Опытные пользователи». Таким образом, приложения, которые после перехода с Windows NT на Windows 2000 не смогли запустить обычные пользователи, скорее всего, смогут запустить опытные пользователи. Поэтому вы можете при необходимости сделать пользователей устаревших приложений участниками группы «Опытные пользователи» или, если не хотите предоставлять обычным пользователям права опытных пользователей, несколько ослабить ограничения доступа к реестру.

Гости

В группу «Гости» включена учетная запись «Гость», запрещенная по умолчанию. Она обеспечивает ограниченный доступ к системе, но позволяет пользователю войти в систему, не имея личного идентификатора и пароля.

Репликатор

Группа «Репликатор» может быть использована для поддержки службы FRS (File Replication Service), обеспечиваемой доменом. В изолированных системах она не применяется.

Операторы архива

Операторы архива имеют право создавать резервные копии и восстанавливать папки и файлы.

Неотъемлемые права пользователей

Права пользователей определяются исключительно на основании совокупностей присвоенных им прав и привилегий. Помимо таких прав, имеются также встроенные, или неотъемлемые, права, которые назначаются встроенным группам (табл. 13.1).

Таблица 13.1

Неотъемлемые права пользователей