После установки операционной системы вы начинаете работу с правами учетной записи Администратор (Administrator— для интернациональных версий ОС). Пользователь Администратор обладает максимальными правами в данной операционной системе; используя права Администратора можно создавать, модифицировать, удалять другие учетные записи, выполнять любые операции по настройке системы и т. п.
Обратите внимание, что после использования мастера установки Windows XP в режиме отображения страницы приветствий во время входа в систему название учетной записи администратора не показано на экране. Однако эта учетная запись может быть применена для работы с системой, причем обычно администраторы забывают о необходимости установки для нее пароля, что позволяет легко локально зайти в систему с правами администратора, предъявив "пустой" пароль.
Целесообразно назначить этой учетной записи длинный и сложный пароль, состоящий из цифр и символов только английского алфавита. Это упростит возможные операции по восстановлению операционной системы. Кроме того, в целях безопасности рекомендуется переименовать учетные записи администраторов и запретить для анонимных пользователей просмотр базы идентификаторов безопасности. Для управления учетными записями используются специальные оснастки: управления компьютером в локальном случае и оснастка управления AD Пользователи и компьютеры при создании доменных пользователей.
При создании новых пользователей домена рекомендуется устанавливать для них требование смены пароля при первом входе в сеть. Управлять учетной записью можно из командной строки. Так, добавить пользователя можно командой net user <имя> <пароль> /add, а удалить — net user <имя> /DELETE. Опытные пользователи могут использовать сценарии Visual Basic для автоматизации типовых операций с учетными записями.
В домене Windows учетные записи создаются и для компьютеров с операционными системами Windows NT/200x/XP/Vista. Эти учетные записи можно использовать для контроля доступа к сетевым ресурсам.
Если в организации используются дополнительные параметры учетной записи (название отдела, адрес и т. п.), то более удобно при создании нового пользователя перенести в его учетную запись максимум настроек, которые имеют аналогичные пользователи. Для этих целей служит операция копирования учетной записи. При копировании программа создает новую учетную запись, в настройки которой перенесены те параметры, которые не являются личными характеристиками. Например, новая учетная запись будет уже включена в те группы, в которые входила исходная учетная запись, но такой параметр, как номер телефона (который также может являться одной из характеристик пользователя), скопирован не будет.
Дополнительные параметры учетной записи
Каждая учетная запись имеет существенное количество дополнительных параметров, значения которых могут быть использованы в работе организации. Это дает администратору возможность объединять пользователей в группы, учитывая содержимое того или иного поля. Например, можно создать группу, объединяющую пользователей, находящихся в определенном офисе, и присвоить ей почтовый адрес. Поля учетной записи могут заполняться с помощью окна свойств, вызываемого из оснастки управления службой каталогов (или управления компьютером— при правке локальных пользователей). Эти свойства можно запрашивать и устанавливать с помощью достаточно простых сценариев Visual Basic, однако более удобно выполнять соответствующие операции поиска и изменения данных на основе протокола LDAP, при этом администратору доступны практически любые критерии поиска необходимых записей.
Права учетной записи
В операционных системах класса Windows 9х любой пользователь системы мог выполнить любые действия. В системах на основе Windows NT при выполнении операций, которые могут повлиять на стабильность работы, осуществляется проверка наличия прав пользователя на выполнение этих действий. Перечень контролируемых ситуаций крайне объемен. Например, проверяется наличие у пользователя разрешения на локальный вход в систему и на завершение работы компьютера, на установку нового оборудования и на удаление учетной записи, право на доступ к компьютеру по сети или право на отладку программ и т. д. Причем основная масса прав после установки системы даже не задействована: администратор может использовать имеющиеся параметры при последующей точной настройке системы. Если файловая система на компьютере преобразована в NTFS, то дополнительно появляется возможность контролировать доступ к отдельным файлам и папкам, определяя соответствующие права доступа. Права пользователей назначаются через оснастку Локальная безопасность, расположенную в группе административных задач. В случае работы в составе домена администраторы регулируют права пользователей с помощью соответствующих групповых политик. Использование этих инструментов достаточно очевидно, и мы не будем подробно описывать такие операции.
Восстановление параметров безопасности по умолчанию
В случае смены администраторов новому специалисту обычно не известны, например, те изменения прав доступа, которые выполнил прежний сотрудник. В некоторых случаях некорректное назначение прав может повлиять на стабильность работы системы. В Windows существуют специальные средства, которые позволяют вернуть параметры безопасности к тем значениям, которые определены для вновь устанавливаемой операционной системы. С этой целью используется оснастка Анализ и настройка безопасности. По умолчанию эта оснастка не включена в меню. Чтобы начать работу с ней, следует открыть консоль управления (команда mmc) и выполнить операцию добавления оснастки. В окне Добавить изолированную оснастку следует отметить строку Анализ и настройка безопасности и закрыть все последующие окна, нажимая на кнопки подтверждения операции. В операционной системе хранятся шаблоны безопасности, разработанные поставщиком, для нескольких типовых конфигураций компьютера. Это шаблон настроек безопасности, соответствующий установке системы, шаблоны безопасности для компьютеров (отдельно для рабочих станций, серверов и контроллеров домена), соответствующие различным уровням защищенности совместимого с программным обеспечением, разработанным до Windows 2000, и т. д. Программа позволяет сравнить значения, определенные в этих шаблонах, с фактическими параметрами настройки системы. Полученные результаты сохраняются в виде базы данных, которая может быть проанализирована поль- зователем: все отличия настроек специально выделены в отчете программы. Если администратор сочтет необходимым, то он может с помощью данной оснастки применить один из шаблонов безопасности — применение шаблона фактически означает установку соответствующих параметров системы (разрешений, прав) в те значения, которые определены в данном шаблоне. Для анализа или применения настроек необходимо выполнить следующие действия:
1. Создать пустую базу данных. 2. Загрузить в нее желаемый шаблон. 3. Провести анализ и/или настройку системы.
Для применения шаблона следует выполнить команду Настроить компьютер. В завершение желательно проанализировать результаты операции.
Обратите внимание на шаблон compatws.inf, который позволяет перейти в режим совместимости с Windows NT 4.0. В этом режиме учетным записям пользователей даются дополнительные права на доступ к ресурсам системы. В результате появляется возможность запуска программ, не в полной мере совместимых с последними версиями операционной системы. Например, очень часто старые программы не запускаются именно потому, что они пытаются осуществить запись в реестр системы. Эта операция в новых ОС разрешена только администраторам, но после применения данного шаблона необходимые разрешения будут предоставлены.
Автоматически создаваемые учетные записи
При установке операционной системы автоматически создается несколько учетных записей пользователей. Ранее мы упоминали учетную запись Администратор. Эта учетная запись особая. Ранее ее нельзя было даже удалить или исключить из группы администраторов. Сделано это было из соображений безопасности, чтобы пользователь случайно не удалил всех администраторов и система не стала неуправляемой. Другая автоматически создаваемая учетная запись— это Гость (Guest). Она не имеет пароля и предназначена для обеспечения возможности работы с данным компьютером пользователя, у которого в системе нет учетной записи. К примеру, вы приезжаете со своим ноутбуком в другую организацию и хотите распечатать документ. Если в той организации принтер предоставлен в совместное использование и действует учетная запись Гость, то вы можете подключиться к принтеру и выполнить печать, в противном случае вам должны сообщить имя входа и пароль, которые можно использовать для подключения к серверу печати. В рабочих станциях Windows NT 4.0 эта учетная запись по умолчанию была доступна. В серверных операционных системах и в версиях рабочих станций Windows 2000/XP/Vista учетная запись Гость по соображениям безопасности заблокирована. Однако если ваша сеть полностью автономна и объединяет немного компьютеров, то для облегчения использования сетевых ресурсов вы можете ее разблокировать. Так делает, например, мастер конфигурирования домашней сети: если вы определили, что компьютер используется в рамках домашней сети, то мастер разрешает использование учетной записи Гость. В этом случае, если вы разрешите совместное использование ресурсов компьютера, то к ним будет возможно подключение любых пользователей, независимо от того, существуют ли для них учетные записи на вашем компьютере или нет, Учетная запись HelpAssisstant применяется в случаях обращения к удаленному помощнику. Удаленный пользователь подключается к компьютеру с правами, предоставленными данной учетной записи.
Учетная запись SUPPORT_номер используется службами технической поддержки Microsoft. Обычно рекомендуют просто удалить эту учетную запись, Если на компьютере устанавливается информационный сервер Интернета (Internet Information Server, IIS), то создаются две учетных записи. Это IUSR_ имя_компьютера и IWАМ_имя_компьютера. Учетная запись IUSR_имя_ компьютера применяется при предоставлении Web-ресурсов анонимному пользователю. Иными словами, если информационный сервер Интернета не использует аутентификацию пользователя (предоставляет ресурсы анонимно), то в системе такой пользователь регистрируется под именем IUSR_имя_компьютера. Вы можете, например, запретить анонимный доступ к каким-либо ресурсам информационного сервера, если исключите чтение таких файлов данным пользователем. Пароль пользователя lUSR_имя_компьютера создается автоматически и синхронизируется между операционной системой и информационным сервером. Пароли учетных записей IUSR_имя_компьютера и IWAM_имя_компью- тера легко можно узнать при помощи сценария, имеющегося на компьютере. Найдите файл Adsutil.vbs (обычно он расположен в папке административных сценариев 1IS, например, InetPubVAdminScripts), замените в текстовом редакторе строку сценария
IsSecureProperty = True на IsSecureProperty = False и выполните: cscript.exe adsutil.vbs get w3svc/anonymoususerpass для отображения пароля IUSR-пользователя или cscript.exe adsutil.vbs get w3svc/wamuserpass для показа пароля IWAM-пользователя.
Учетная запись IWАМ_имя_компьютера используется для запуска процессов информационного сервера (например, для обработки сценариев на страницах с активным содержанием). Если вы случайно удалите какую-либо из этих записей и вновь создадите одноименную, то, скорее всего, столкнетесь с неработоспособностью информационного сервера. Конечно, можно обратиться к справочной базе разработчика, правильно настроить службы компонентов на использование новой учетной записи, синхронизовать с помощью специальных сценариев пароли учетных записей и т. п. Но гораздо эффективнее в этой ситуации будет просто удалить службу информационного сервера и вновь добавить этот компонент, предоставив программе установки выполнить все эти операции. Кроме перечисленных учетных записей новые бюджеты часто создаются прикладными программами в процессе их установки. Обычно создаваемые таким образом учетные записи имеют необходимое описание в своих свойствах.
Учетная запись Система
При необходимости можно настроить службы для старта от имени любого пользователя. Однако в этом случае вам необходимо установить соответствующей учетной записи постоянный пароль и предоставить ей достаточно большие права по отношению к локальному компьютеру. Из такого сочетания требований очевидно вытекает настоятельная рекомендация: не использовать учетные записи пользователей для запуска служб по соображениям безопасности.
Учетная запись Система (Local System) предназначена для запуска служб компьютера. Она обладает полными правами по отношению к локальному компьютеру и фактически является частью операционной системы. Ее права существенно выше, чем права любой учетной записи пользователя. Для учетной записи Система выполняется обход проверок безопасности, поэтому для нее не существует пароля, который можно было бы дешифровать или взломать. Учетная запись Система не может быть использована для доступа к сетевым ресурсам. Использования учетной записи Система для запуска служб компьютера без особых на то причин следует избегать, поскольку данное решение понижает уровень безопасности. Например, если пользователю удастся подменить запускаемый файл службы на пакетный файл и затем прервать выполнение этого пакетного файла нажатием комбинации клавиш +, то он получит возможность запуска в этом командном окне задач с приоритетом Системы. Поэтому в последних версиях Windows (XP/Server 2003) для использования при запуске служб введены еще две учетных записи. Это Local Service и Network Service. Так же, как и учетная запись Система, эти учетные записи являются частью самой операционной системы и не имеют паролей. При этом они обладают гораздо меньшими правами, чем учетная запись Система. Если Local Service используется также только при запуске локальных программ, то Network Service может осуществлять доступ к сетевым ресурсам. При этом данная учетная запись аутентифицируется в удаленной системе как учетная запись соответствующего компьютера.
Следует быть внимательным при назначении прав доступа к локальным ресурсам компьютера. Автор неоднократно сталкивался с ситуацией, когда недостаточно опытные пользователи, желая ограничить доступ к ресурсам своего компьютера, работающего в составе сети, запрещали доступ к файлам на диске всем, кроме самого себя. Исключив специальных пользователей, они сделали невозможным запуск многих служб, необходимых для работы операционной системы.
Встроенные группы При установке операционной системы на компьютере автоматически создается несколько групп. Для большинства случаев персонального использования этих групп достаточно для безопасной работы и управления системой.
Администраторы (Administrators). Члены этой группы имеют все права на управление компьютером. После установки в системе присутствуют только пользователи-члены этой группы (в Windows XP в ходе установки можно создать несколько администраторов системы, в предыдущих версиях создается только одна запись).
Пользователи (Users). Это основная группа, в которую надо включать обычных пользователей системы. Членам этой группы запрещено выполнять операции, которые могут повлиять на стабильность и безопасность работы компьютера.
Опытные пользователи (Power Users). Эти пользователи могут не только выполнять приложения, но и изменять некоторые параметры системы. Например, создавать учетные записи пользователей, редактировать и удалять учетные записи (но только те, которые были ими созданы), предоставлять в совместный доступ ресурсы компьютера (и управлять созданными ими ресурсами). Но опытные пользователи не смогут добавить себя в число администраторов системы, не получат доступ к данным других пользователей (при наличии соответствующих ограничений в свойствах NTFS, у опытных пользователей отсутствует право становиться владельцем объекта), кроме того, они не смогут выполнять операции резервного копирования, управлять принтерами, журналами безопасности и протоколами аудита системы.
Операторы резервного копирования (Backup Operators). В эту группу следует включить ту учетную запись, от имени которой будет осуществляться резервное копирование данных компьютера. Основное отличие этой группы в том, что ее члены могут "обходить" запреты доступа к файлам и папкам при операции резервного копирования данных. Независимо от установленных прав доступа в резервную копию данных будут включены все отмеченные в операции файлы, даже если у оператора резервного копирования нет права чтения такого файла.
Учетная запись с правами оператора резервного копирования является достаточно серьезной брешью в системе безопасности организации. Как правило, особое внимание "безопасников" уделяется пользователям, имеющим административные права. Да, они могут стать владельцами любой информации, доступ к которой для них явно запрещен. Но при этом такие действия протоколируются и контролируются службой безопасности предприятия. Пользователь, на которого возложена рутинная вроде бы обязанность резервного копирования, легко может выполнить резервную копию всех данных и восстановить секретную информацию из этой копии на другой компьютер, после чего говорить о наличии установленных прав доступа к файлам и папкам уже бессмысленно. Но есть и более простые способы копирования информации, право доступа к которой запрещено на уровне файловой системы. В составе Resource Kit имеется утилита для массового копирования файлов— robocopy.exe. Эта программа может выполнять копирование данных в режиме использования права резервного копирования (естественно, что она должна быть запущена пользователем, состоящим в группе операторов резервного копирования). В результате в новую папку будут скопированы все файлы, причем пользователю даже не нужно становиться владельцем файлов — все запреты будут уже сняты.
Гости (Guests). Эта группа объединяет пользователей, для которых действуют специаль- ные права для доступа "чужих" пользователей. По умолчанию в нее вклю- чена только одна заблокированная учетная запись Гость.
HeplSevicesGroup. Группа предоставляет типовой набор прав, необходимый специалистам службы техподдержки. Не следует включать в нее других членов, кроме учетной записи, созданной по умолчанию.
Remote Desktop Users. Эта группа появилась в операционных системах Windows XP. Ее члены могут осуществлять удаленное подключение к рабочему столу компьютеpa. Иными словами, если вы хотите иметь возможность удаленно подклю-читься к своему компьютеру, то необходимо включить в эту группу соот-ветствующую учетную запись. По умолчанию членами этой группы явля-ются администраторы локального компьютера.
DHCP Administrators. Группа создается только при установке DHCP. Пользователи группы имеют право на конфигурирование службы DHCP (например, с помощью графической оснастки управления или командой netsh). Используется при делегировании управления DHCP-службой.
DHCP Users, WINS Users. Группы создаются только при установке соответствующих служб. Пользователи групп имеют право только на просмотр параметров настройки служб DHCP (или WINS). Применяются при делегировании прав техническому персоналу (например, для сбора информации о состоянии сервисов).
Network Configuration Operators. Пользователи группы имеют право изменения TCP/IP-параметров. По умолчанию группа не содержит членов.
Print Operators. Члены группы могут управлять принтерами и очередью печати.
В системе присутствуют и другие группы, на описании которых мы не будем особо останавливаться (Account Operators, Pre-Windows 2000 Compatible Access, Server Operators и т. д.).
Специальные группы
В операционной системе существуют так называемые специальные группы, членством в которых пользователь компьютера управлять не может. Они не отображаются в списке групп в оснастках управления группами, но доступны в окнах назначения прав доступа. Это группы Все (Everyone), Интерактивные пользователи (Local Users), Сетевые пользователи (Network Users), Пакетные файлы (Batch), Прошедшие проверку (Authenticated) и т.д. Предназначение групп ясно уже по их названию. Так, в группу Интерактивные пользователи автоматически включаются все пользователи, осуществившие вход в систему с консоли (клавиатуры). Сетевые пользователи — это те пользователи, которые используют ресурсы данного компьютера через сетевое подключение и т. п. Данные группы предназначены для более точного распределения прав пользователей. Например, если вы хотите, чтобы с каким-либо документом была возможна только локальная работа, то можно просто запретить доступ к нему сетевых пользователей. Заострим внимание читателей на группе Все, поскольку именно с ней связано наибольшее количество ошибок в предоставлении прав доступа. Эта группа включает не любых пользователей, а только тех, кто имеет учетную запись на данном компьютере. Иными словами, если вы предоставили ресурс в общий доступ с правами чтения для группы Все, то использовать его могут только те, кто "прописан" на данном компьютере. Если вы предпочитаете, чтобы ресурс мог использовать действительно "кто угодно", то для этого нужно разрешить использование учетной записи Гость.
В последних версиях Windows пересматривался состав группы Все. Во избежание ошибок следует уточнить состав данной группы в каждом конкретном случае.
