KnigaRead.com/
KnigaRead.com » Компьютеры и Интернет » Программное обеспечение » Питер Нортон - Полное руководство по Microsoft Windows XP

Питер Нортон - Полное руководство по Microsoft Windows XP

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Питер Нортон, "Полное руководство по Microsoft Windows XP" бесплатно, без регистрации.
Перейти на страницу:

Одна настройка в папке Политика паролей особенно важна. Обратите внимание на опцию Пароль должен отвечать требованиям сложности (Password Must Meet Complexity Requirements). Включите ее, и пользователям придется выбрать уникальные пароли, содержащие три категории символов из четырех доступных: числа, прописные буквы, символы нижнего регистра и специальные символы. Когда вы добавляете это требование к минимальной длине пароля (по крайней мере, шесть символов), разгадать его станет еще труднее.

...

Рекомендация

Некоторые считают, что пароль, который сложно сломать, должен быть длинным и трудно запоминаемым, типа [email protected]$928. Я уверен, что большинство пользователей удивились бы, увидев такой пароль, и затем записали его где-нибудь, – я бы так и сделал. Сложно создать пароль, трудный для взломщика, но легкий при запоминании. Однако, например, пароль My$Password отвечает всем требованиям сложного пароля, но все же прост для запоминания. Если вы не хотите, чтобы пользователи записывали пароли, предложите им что-нибудь такое, что они смогут запомнить. Кроме того, действенными оказываются санкции за запись пароля.

Windows XP обеспечивает три параметра блокировки учетной записи. Параметры блокировки запрещают доступ к системе после наступления некоторых событий. Значение порога блокировки – ключ к настройкам. Установка по умолчанию (0) предполагает, что пользователи могут вводить неправильный пароль целый день, и вы никогда не узнаете об этом. Установка значений 3 или 4 в графе Количество неправильных входов в систему (Incorrect Logins) обычно гарантирует, что система отследит проникновение, но даст взломщику небольшой шанс для вторжения. Остальные параметры устанавливают продолжительность блокировки и интервал времени, которые должны пройти между неправильными входами в систему до сброса счетчика блокировки. Значения по умолчанию (30 мин) на самом деле недостаточно, чтобы помешать злоумышленникам. Кроме того, это вынудит служащих ждать окончания блокировки. Я обычно устанавливаю оба счетчика минимум на 1440 мин, что составляет 24 ч.

Блокировка учетной записи происходит, когда пользователь несколько раз введет неверный пароль при входе в систему. В таком случае Windows XP выдает сообщение, что система заблокирована и нужно обратиться к сетевому администратору.

На рис. 22.2 показаны результаты блокировки. Включите учетную запись, сняв флажок Заблокировать учетную запись (Account Is Locked Out). Выключать ли опцию Потребовать смену пароля при следующем входе в систему (User Must Change Password at Next Login), зависит от причины блокировки. В большинстве случаев удобно, чтобы пользователь создал новый пароль для своей учетной записи.

Рисунок 22.2. Одно из последствий политики блокировки учетной записи: пользователь должен сменить пароль

Установка порога блокировки учетной записи – опция Пороговое значение блокировки (Account Lockout Threshold) – раскрывает другую грань консоли Локальные параметры безопасности. Всякий раз, когда вы изменяете параметр, влияющий на другой параметр, появляется диалоговое окно Предлагаемые изменения значений (Suggested Value Changes) – рис. 22.3. Это окно сообщает, какую настройку Microsoft считает соответствующей минимальным требованиям, однако вы можете установить другое значение параметра.

Рисунок 22.3. В диалоговом окне Предлагаемые изменения значений содержатся оптимальные значения для дополнительных параметров защиты

Локальные политики

Папка Локальные политики (Local Policies) содержит три основные вложенные папки: Политика аудита (Audit Policy), Назначение прав пользователя (User Rights Assignment) и Параметры безопасности (Security Options). Это основа локальной политики безопасности вашей системы: здесь имеются настройки, от которых зависит работа с Windows XP.

Папка Политика аудита включает основные контрольные параметры для вашей системы. Windows XP не разрешает изменять данные списка из других зон. Например, если этот параметр политики определен, выполняется аудит (проверка и регистрация) событий входа в систему. Если дважды щелкнуть по одной из опций, появится диалоговое окно, в котором можно задать способ аудита при входе в систему: при отказах или успехах. Вы не можете изменить ни один из приведенных параметров.

Имя папки Назначение прав пользователя звучит слишком гордо для тех скромных возможностей, которые она предоставляет. Фактически она содержит параметры настройки, которые управляют доступом ко всем объектам в системе. На рис. 22.4 представлен пример записей в этом окне. Вы можете изменять параметры настройки и способ доступа для пользователей разных категорий, чтобы скорректировать перечень задач и объектов, с которыми они могут работать. Если дважды щелкнуть по любому из этих параметров, появится диалоговое окно со списком пользователей, чьи права можно изменить. Для управления настройками служат кнопки Добавить (Add) и Удалить (Remove).

Рисунок 22.4. Настройки папки Назначение прав пользователя задают права каждого объекта в системе, а не только пользователей

Необходимо тщательно наблюдать за добавлением пользователей в этой папке, потому что изменения могут свидетельствовать об активности взломщика. Например, если группа Все (Everyone) внезапно получит власть изменять локальные входы в систему, значит, кто-то вмешался в настройки. Вам может потребоваться изменить несколько стандартных параметров. Например, если вы отключаете учетную запись Гость (Guest), параметр Локальный вход в систему (Log On Locally) все еще продолжает содержать Гостя как одного из тех, кто может войти. Удаление Гостя из списка повысит уровень защиты системы.

Папка Параметры безопасности (рис. 22.5), содержит параметры, которые затрагивают системные процессы. Например, допустимо ограничить доступ к дисководу для компакт-дисков на вашей машине пользователям с правами локального входа. Неважно, что вы делаете в программе Проводник, – этот параметр остается без изменений (если вы не модифицируете его глобальную или локальную политику).

Рисунок 22.5. Папка Параметры безопасности содержит настройки, которые затрагивают системные процессы

Некоторые более важные настройки защиты постоянно находятся в папке Параметры безопасности. Например, здесь можно найти настройки Интерактивный вход в систему: [контекст входа] (Interactive Logon). Применение необязательного сочетания клавиш Ctrl+Alt+Del определяет, заходят ли пользователи в систему непосредственно с входного экрана при запуске машины. Другие параметры изменяют сообщение и заголовок при входе в систему. С помощью настройки интерактивного входа в систему допустимо также удалить имя последнего зарегистрированного при входе пользователя.

Обратите внимание, что эта папка включает даже большее количество опций для настройки параметров аудита. Важно только понять, что следует контролировать. Windows XP обеспечивает средства, чтобы выполнять аудит почти всех видов действий операционной системы.

Политики открытого ключа

Папка Политики открытого ключ а (Public Key Policies) обычно содержит только одну вложенную папку, Файловая система EFS (Encrypting File System), где находятся все сертификаты системы (см. раздел «Цифровой сертификат» данной главы). Она предоставляет следующую информацию:

• кто владеет сертификатом;

• кто выпустил сертификат;

• когда истекает срок действия сертификата;

• как система использует сертификат;

• дружественное имя сертификата;

• статус сертификата;

• шаблон, используемый для создания сертификата.

Обычно нет необходимости что-либо делать с сертификатами на этой странице. Вы можете их удалять, экспортировать и открывать. Поскольку Windows XP обычно сохраняет сертификаты даже в случае, когда они устарели, вам придется лишь удалять ненужные. Открытие сертификата дает возможность ознакомиться с его содержимым. Полезную информацию о владельце сертификата можно найти на вкладке Дополнительно (Details) диалогового окна свойств сертификата (Certificate Properties).

Экспортировать сертификат требуется при отправке его кому-то еще или перемещении пользователя на другую машину. Щелкните правой кнопкой мыши по сертификату и выберите Все задачиЭкспортировать (All Tasks → Export) из контекстного меню. Появится окно Мастера экспорта сертификата (Certificate Export Wizard). Ниже показано, как экспортировать сертификат:

1. Щелкните по кнопке Далее. Появится диалоговое окно Экспортировать закрытый ключ (Export Private Key). Всегда экспортируйте закрытый ключ, если перемещаете сертификат на другую машину или создаете резервную копию, но не делаете этого, если собираетесь использовать сертификат совместно с кем-то еще.

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*