Полное руководство по Microsoft Windows XP
Шрифт:
К сожалению, многие из этих преимуществ предлагаются только пользователям Windows XP Professional Edition. Пользователи Windows XP Home Edition имеют доступ к некоторым функциям, например надежной защите пароля, но не могут устанавливать другие опции, в частности систему EFS. Если вам необходимы средства защиты системы в полном объеме, инсталлируйте Windows XP Professional Edition.
Примечание
Важно учитывать уровень компетентности разных пользователей при обработке ими получаемой информации. Например, многие специалисты подвергли сомнению жизнеспособность такого средства, как Паспорт. ЫЕТ (Passport), – интерактивной базы данных зарегистрированных пользователей корпорации Microsoft. Люди, применяющие Паспорт. ЫЕТ, подвергаются опасности, потому что взломщики уже разработали
Теперь, когда вы знаете, какие средства защиты при реализации локальной политики безопасности может предложить Windows XP, рассмотрим программное средство, которое обычно управляет ими. Оснастка Локальные параметры безопасности (Local Security Settings snapin) на консоли управления MMC содержит большое количество параметров, которые изменяют способы доступа к вашей машине и любой присоединенной сети. Рис. 22.1 показывает, как выглядит эта оснастка. Вы найдете ее в папке Администрирование на панели управления, если дважды щелкнете по значку Локальная политика безопасности (Local Security Policy).
Рисунок 22.1. Оснастка Локальные параметры безопасности дает возможность изменять и машинные, и сетевые настройки
Как видите, программа встроенной локальной защиты делит настройки на функциональные зоны. Комбинация параметров определяет вашу локальную политику безопасности. Windows XP также поддерживает групповую политику безопасности. Администратор осуществляет эту политику на контроллере домена (основном сервере). Параметры настройки групповой политики отменяют локальные, так что локальное изменение настройки не гарантирует изменения в сети.
Политики учетных записей
Папка Политики учетных записей (Account Policies) задает доступ в систему для каждого пользователя. Она состоит из вложенных папок Политика паролей (Password Policy) и Политика блокировки учетной записи (Account Lockout Policy) – см. рис. 22.1. Можно рассматривать первую папку как средство предоставления доступа, а вторую – как средство отказа в доступе. Из всех папок, которые вы можете изменять, эти наиболее важные. Помните: лучший способ предотвратить разрушение системы заключается в том, чтобы не впустить туда взломщиков.
Папка Политика паролей содержит пункты, которые задают способ входа в систему для различных пользователей. Рис. 22.1 показывает настройки по умолчанию для этой папки. Как видите, средства, используемые по умолчанию, не очень многообещающие. Чтобы сделать условия доступа на компьютер более жесткими, включите опцию Требовать неповторяемости паролей (Password History), которая будет напоминать пользователям о периодической смене пароля. Я рекомендую задавать максимум 30 дней между заменами пароля. Однако, если вы работаете с секретными данными, не помешает даже еженедельная замена (можно, конечно, предложить и ежедневные замены, но они быстро измотают вас).
Одна настройка в папке Политика паролей особенно важна. Обратите внимание на опцию Пароль должен отвечать требованиям сложности (Password Must Meet Complexity Requirements). Включите ее, и пользователям придется выбрать уникальные пароли, содержащие три категории символов из четырех доступных: числа, прописные буквы, символы нижнего регистра и специальные символы. Когда вы добавляете это требование к минимальной длине пароля (по крайней мере, шесть символов), разгадать его станет еще труднее.
Рекомендация
Некоторые считают, что пароль, который сложно сломать, должен быть длинным и трудно запоминаемым, типа xyz@2aBC$928. Я уверен, что большинство пользователей удивились бы, увидев такой пароль, и затем записали его где-нибудь, – я бы так и сделал. Сложно создать пароль, трудный для взломщика, но легкий при запоминании. Однако, например, пароль My$Password отвечает всем требованиям сложного пароля, но все же прост для запоминания. Если вы не хотите, чтобы пользователи записывали пароли, предложите им что-нибудь такое, что они смогут запомнить. Кроме того, действенными оказываются санкции за запись пароля.
Windows XP обеспечивает три
Блокировка учетной записи происходит, когда пользователь несколько раз введет неверный пароль при входе в систему. В таком случае Windows XP выдает сообщение, что система заблокирована и нужно обратиться к сетевому администратору.
На рис. 22.2 показаны результаты блокировки. Включите учетную запись, сняв флажок Заблокировать учетную запись (Account Is Locked Out). Выключать ли опцию Потребовать смену пароля при следующем входе в систему (User Must Change Password at Next Login), зависит от причины блокировки. В большинстве случаев удобно, чтобы пользователь создал новый пароль для своей учетной записи.
Рисунок 22.2. Одно из последствий политики блокировки учетной записи: пользователь должен сменить пароль
Установка порога блокировки учетной записи – опция Пороговое значение блокировки (Account Lockout Threshold) – раскрывает другую грань консоли Локальные параметры безопасности. Всякий раз, когда вы изменяете параметр, влияющий на другой параметр, появляется диалоговое окно Предлагаемые изменения значений (Suggested Value Changes) – рис. 22.3. Это окно сообщает, какую настройку Microsoft считает соответствующей минимальным требованиям, однако вы можете установить другое значение параметра.
Рисунок 22.3. В диалоговом окне Предлагаемые изменения значений содержатся оптимальные значения для дополнительных параметров защиты
Локальные политики
Папка Локальные политики (Local Policies) содержит три основные вложенные папки: Политика аудита (Audit Policy), Назначение прав пользователя (User Rights Assignment) и Параметры безопасности (Security Options). Это основа локальной политики безопасности вашей системы: здесь имеются настройки, от которых зависит работа с Windows XP.
Папка Политика аудита включает основные контрольные параметры для вашей системы. Windows XP не разрешает изменять данные списка из других зон. Например, если этот параметр политики определен, выполняется аудит (проверка и регистрация) событий входа в систему. Если дважды щелкнуть по одной из опций, появится диалоговое окно, в котором можно задать способ аудита при входе в систему: при отказах или успехах. Вы не можете изменить ни один из приведенных параметров.
Имя папки Назначение прав пользователя звучит слишком гордо для тех скромных возможностей, которые она предоставляет. Фактически она содержит параметры настройки, которые управляют доступом ко всем объектам в системе. На рис. 22.4 представлен пример записей в этом окне. Вы можете изменять параметры настройки и способ доступа для пользователей разных категорий, чтобы скорректировать перечень задач и объектов, с которыми они могут работать. Если дважды щелкнуть по любому из этих параметров, появится диалоговое окно со списком пользователей, чьи права можно изменить. Для управления настройками служат кнопки Добавить (Add) и Удалить (Remove).