Операционные системы, среды и оболочки

Размещено на http://www.allbest.ru/

Методические указания к проведению практических занятий по дисциплине «Операционные системы, среды и оболочки»

Составитель В. А. Карповский

Владимир 2009



УДК 681.3.06 ББК 32.973 М54

Рецензент Доктор технических наук, профессор зав. кафедрой информатики и защиты информации Владимирского государственного университета М.Ю. Монахов

Печатается по решению редакционного совета Владимирского государственного университета

Методические указания к проведению лабораторных ра- М54 бот по дисциплине «Операционные системы, среды и оболочки» / Владим. гос. ун-т ; сост. В. А. Карповский. - Владимир : Изд-во Владим. гос. ун-та, 2009. - 56 с.

Приведены методические указания к лабораторным работам по дисциплине «Операционные системы, среды и оболочки». Использована технология виртуальных машин, позволяющая при проведении лабораторных работ в компьютерном классе моделировать условия работы реальной компьютерной сети предприятия на основе домена. Лабораторные работы охватывают наиболее важные темы и направлены на формирование у обучаемыйов базовых навыков эффективного использования операционных систем в компьютерной сети предприятия.

Предназначены для обучаемыйов 2 - 3-го курсов специальности 080801 - прикладная информатика в экономике очной и заочной форм обучения.

УДК 681.3.06 ББК 32.973



Предисловие

Парадокс программного обеспечения состоит в том, что простота и удобство для конечных пользователей достигаются за счет совершенствования программных средств и внутреннего усложнения [1].

Это в полной мере относится к операционным системам, составляющим основу, платформу вычислительной системы.

Специалисты в области информатики обязаны уметь эффективно использовать сложные современные операционные системы в условиях предприятия, обеспечивать надежность и безопасность работы пользователей, а также надежное сохранение данных и их безопасность. В соответствии со стандартом дисциплины «Операционные системы, среды и оболочки» вопросам эффективного использования операционных систем уделено значительное внимание как в теоретической, так и в практической частях курса, читаемого обучаемым специальности 080801 - прикладная информатика в экономике.

Большая проблема при преподавании данной дисциплины и проведении практических и лабораторных занятий связана с тем, что для полноценного изучения операционных систем на реальной аппаратуре необходимо обладать правами администратора - только в этом случае доступны функции настройки и администрирования операционной системы. Однако в реальной обстановке учебного компьютерного класса такими правами обучаемого наделять нельзя. Кроме того, при изучении систем надо выполнять множество действий и настроек учебного плана, неприемлемых для реальной системы.

Для проведения практических занятий используется технология виртуальной машины. Она позволяет создать на базе обычного компьютерного класса, в котором для обучаемых установлены права простого пользователя, не имеющего возможности изменять настройки системы, полнофункциональную виртуальную компьютерную сеть предприятия на основе домена, в которой обучаемый является администратором.

При этом администрирование и настройка виртуальных объектов никак не влияет на реальную систему и не представляет для неё опасности. Виртуальная система легко переносится с компьютера на компьютер, очень просто восстанавливается в случае сбоев и неправильных настроек. Обучаемый при минимуме затрат времени может создать точную копию системы, используемой в учебной лаборатории, на своем компьютере и заниматься самостоятельно и дополнительно совершенствовать свои навыки в условиях, моделирующих реальную систему предприятия. Это делает предлагаемый методический комплекс уникальной средой для обучения работе с операционными системами, пригодной для всех форм обучения .

Виртуальная модель на единой платформе применяется преподавателем при чтении лекций, и все темы курса находят свое отражение в учебном процессе по данной дисциплине. В учебном плане предусмотрено чтение факультативных курсов по администрированию операционных систем, в которых специальные вопросы найдут свое более полное освещение.



Практическое занятие № 1. Установка виртуальной компьютерной сети на основе операционных систем Windows

Цель работы: создать модель компьютерной сети предприятия на основе виртуальной машины Microsoft Virtual PC.

Назначение виртуального компьютера в составе лабораторного комплекса

Применение виртуального компьютера позволяет создать гибкую в настройках и безопасную для реального компьютера среду, в которой обчаемый обладает правами администратора, и изучать все аспекты применения операционных систем без вмешательства в настройки реального (физического) компьютера. Это создает уникальные возможности для изучения любых ОС в составе сети предприятия без необходимости их установки на реальном компьютере.

Под управлением основной системы могут быть одновременно запущены любые операционные системы, и процесс изучения ОС, приобретения и тестирования навыков проходит эффективно. Изолированность виртуальной машины от основной операционной системы исключает возможность распространения вирусов или срабатывания вредоносных механизмов исследуемого программного обеспечения.

Виртуальный компьютер представлен файлами на диске реального компьютера и может быть легко перенесен с одного компьютера на другой.

Виртуальную машину с нужным набором программного обеспечения в течение нескольких минут можно установить на все машины компьютерного класса. Если обучаемый в процессе освоения преподаваемых технологий умышленно или нечаянно разрушит подопытную среду, то для восстановления поврежденной виртуальной машины из резервной копии понадобится всего несколько минут. При выполнении практических занятий все тестовые сети и компьютеры, находящиеся внутри них, создают, используя средства комплекса виртуальных машин.

Указания к выполнению практического занятия

Создание виртуальных компьютеров для лабораторного комплекса необходимо выполнить в следующей последовательности.

1. Реализуйте действия, необходимые для установки Microsoft Virtual PC 2004/2007 на компьютере учебного класса с операционной системой Windows XP или Windows Vista. Установка выполняется путем запуска установочного файла setup.exe из дистрибутива Microsoft Virtual PC 2004/2007, являющегося бесплатным и свободно распространяемым продуктом.

При запуске виртуальной машины появляется консоль управления виртуальными компьютерами (рис. 1.1), предоставляющая возможность установки любых операционных систем и работы с ними после установки как по отдельности, так и в составе компьютерной сети.

2. Для установки операционной системы на виртуальной платформе необходимо выбрать пункт New и далее Create a virtual machine. При переносе уже имеющейся машины на другой компьютер выбирают пункт Add an existing virtual machine, позволяющий добавить в данный контейнер ранее созданный виртуальный компьютер.

Рис. 1.1. Выбор варианта установки виртуального компьютера



При установке выбирают объем оперативной памяти, достаточный для функционирования устанавливаемой ОС, и вариант создания жесткого диска машины, как это показано на рис. 1.2 и 1.3.

Рис. 1.2. Выбор объема оперативной памяти виртуальной машины

Рис. 1.3. Выбор варианта создания жесткого диска виртуальной машины



Машину можно установить на новый виртуальный жесткий диск (A new virtual hard disk) или использовать диск, созданный ранее (An existing virtual hard disk).

После создания новой виртуальной машины ее имя появляется в консоли и ее можно запустить для установки операционной системы (рис. 1.4).

Рис. 1.4. Запуск виртуальной машины для установки операционной системы

Для установки операционной системы необходимо иметь ее дистрибутив на CD/DVD диске или файл образа в формате ISO.

В первом случае в меню виртуального компьютера в пункте CD выберите Use physical drive, и виртуальная машина будет использовать привод реального компьютера. При наличии ISO-образа выбирают пункт Capture ISO image и указывают соответствующий файл.

Далее установка операционной системы ничем не отличается от ее установки на реальном компьютере.

При установке ОС необходимо указать размер виртуального жесткого диска, достаточный для операционной системы и предполагаемого к установке ПО, а при форматировании диска обязательно выберите опцию Форматировать раздел в системе NTFS. Далее при установке следует выбирать стандартные настройки, предлагаемые по умолчанию. По окончании установки системы новый виртуальный компьютер появляется в консоли управления виртуальной машиной и может быть запущен кнопкой Start.

Аналогично устанавливается операционная система Windows Server 2003. Здесь выбирают все варианты по умолчанию, так как настройки сети и серверов предполагается выполнить на следующих практических занятиях.

4. Среда, моделирующая компьютерную сеть предприятия, образуется при одновременном запуске виртуальных машин с серверной и клиентской операционными системами. Для организации сетевого взаимодействия виртуальных компьютеров необходимо настроить виртуальные сетевые соединения. Для этого используется раздел Settings установки параметров Virtual PC, в котором предусмотрено несколько режимов настройки сети. Для того чтобы создать изолированную от реальной системы виртуальную сеть, выбирают режим Local only (рис. 1.5), в котором виртуальные машины взаимодействуют только между собой.



Рис. 1.5. Выбор варианта сетевого взаимодействия виртуальных машин

Далее необходимо настроить протокол TCP/IP на сервере и клиентской машине. Настройка протокола TCP/IP на сервере сводится к установлению постоянного (статического) IP-адреса виртуального компьютера с операционной системой Windows Server. Для этого открывают окно свойств подключения по локальной сети и выбирают компонент Протокол Интернета (TCP/IP) (рис. 1.6). Настраивают свойства протокола, установив IP-адрес 192.168.1.1 и маску сети 255.255.255.0. Аналогично задается IP-адрес для клиентской машины. Установим его равным 192.168.1.10. В качестве шлюза по умолчанию указывают адрес сервера.

5. Проверим взаимодействие виртуальных компьютеров по сети. Для этого в режиме командной строки (Пуск/Выполнить/cmd.exe) введем команду проверки функционирования сети: ping 192.168.1.1 на машине-клиенте и ping 192.168.1.10 на сервере.

Если сетевые адаптеры и протоколы взаимодействуют верно, то результаты выполнения команд будут показывать наличие обмена данными.



Рис. 1.6. Выбор протокола TCP/IP для настройки IP-адресов

Таким образом, мы получили рабочий макет стандартной схемы локальной сети масштаба предприятия. Для простоты понимания учебного примера проведена миниатюризация: в каждую сеть помещен только один компьютер. Этого достаточно для демонстрации работы ОС при её изучении в составе лабораторного комплекса.

Задание на выполнение практического занятия

Одна из бригад обучаемыйов, выбранная преподавателем, выполняет следующее задание.

1. Установить виртуальную машину.

2. Установить на виртуальном компьютере операционную систему Windows XP или Windows Vista.

3. Установить на следующем виртуальном компьютере операционную систему Windows Server 2003 или Windows Server 2008.

4. Настроить сетевое соединение компьютеров.

5. Проверить взаимодействие компьютеров через сеть.

6. Создать копии файлов виртуальных машин на мобильном запоминающем устройстве - DVD-диске или Flash-носителе.

Остальные бригады обучаемыйов получают копии файлов виртуальных машин и создают на их основе виртуальные машины на своих рабочих местах.

Каждая бригада отчитывается перед преподавателем, демонстрируя работу виртуальных компьютеров, установленных на рабочем месте обучаемыйа.

Контрольные вопросы

1. Назовите преимущества использования виртуальной машины при изучении операционных систем.

2. Назовите основные шаги установки виртуального компьютера.

3. Как установить виртуальную машину с параметрами по умолчанию?

4. Как установить виртуальную машину с использованием файлов уже имеющейся виртуальной машины?

5. Назовите способы установки операционных систем на виртуальную машину.

6. Каким образом выбирают режимы работы сетевых адаптеров виртуальной машины?

7. Каким образом можно установить созданную виртуальную машину на другом компьютере?

8. Почему в качестве файловой системы виртуальных машин необходимо выбирать систему NTFS?



Практическое занятие № 2. Установка и настройка домена

Цель работы: научить обучаемых устанавливать и настраивать домен на основе операционной системы Windows Server.

Указания к установке контроллера домена

Установка контроллера домена выполняется на компьютере с ОС Windows Server. Для этого запускают консоль Управление данным сервером в разделе Администрирование (рис. 2.1).

Рис. 2.1. Мастер настройки сервера

Выберем пункт Добавление/Удаление роли сервера для того, чтобы увидеть перечень возможных ролей сервера с указанием их наличия (Да) или отсутствия (Нет). Как видно из представленной мастером настройки информации (см. рис. 2.1), Контроллер домена (Active Directory) не установлен, не настроены также необходимые в домене служба имен (DNS-сервер) и служба присвоения IP-адресов (DHCP-сервер). Для установки контроллера домена выберем эту роль (см. рис. 2.1) и нажмем кнопку Далее. Другой путь установки домена - запуск программы установки домена dcpromo.exe командой Выполнить, доступной после активации кнопки Пуск. Мастер настройки сервера последовательно открывает окна для выполнения требуемых настроек. Необходимы следующие операции.

В окне Выбор типа контроллера домена выберите Контроллер домена в новом домене. В окне Создать новый домен выберите Новый домен в новом лесу. Чтобы указать новое имя домена, введите имя домена, например class.pi. Далее следуйте указаниям мастера установки, оставляя предлагаемые настройки до пункта настройки службы имен на основе DNS-сервера. В окне Диагностика регистрации DNS- сервера выберите Установить и настроить DNS-сервер на этом компьютере.

На этом этапе установки потребуется диск с Service Pack1. Далее с помощью кнопки Обзор укажите на диск с дистрибутивом или подключите виртуальную машину через ее меню (пункт CD) к образу ISO. После завершения установки потребуется перезагрузка, после чего компьютер готов к выполнению роли контроллера домена. На рис. 2.2 видно, что установлены роли Контроллера домена (Active Directory), DNS-сервера и DHCP-сервера. Службы DNS и DHCP и соответствующие серверы рассматриваются в практическому занятию № 6.

Основные средства администрирования домена доступны через главное меню сервера в разделе Администрирование. В повседневной работе администратор наиболее часто использует пункт Active Directory - пользователи и компьютеры, отмеченный на рис. 2.3.



Рис. 2.2. Мастер настройки сервера после установки домена

Рис. 2.3. Раздел Администрирование домена

Следующая задача создания сети предприятия - подключение компьютера клиента к домену. Для этого на машине клиента необходимо раскрыть Мой компьютер/Свойства и перейти в раздел Имя компьютера/Изменение имени компьютера, в котором выбрать подключение к домену, набрать имя домена и ввести учетную запись администратора домена.

Если все настройки верные, через некоторое время последует сообщение «Добро пожаловать в домен class.pi» (рис. 2.4).

После перезагрузки компьютера становится возможным вход в домен с учетной записью администратора домена. Затем, используя средства администрирования сервера, можно приступить к созданию рабочей среды домена.

Рис. 2.4. Сообщение об успешном подключении к домену



Задание к проведению практического занятия

1. Установить службу Active Directory на виртуальном компьютере с операционной системой Windows Server и интегрированной службой DNS. С целью коллективного использования системы в учебном процессе строго выполнить следующее указание. При создании домена установить учетную запись администратора со следующими параметрами: имя - администратор, пароль - p@ssw0rd. Создав домен, обучаемые могут задать удобную для себя дополнительную учетную запись с правами администратора.

2. Подключить рабочую станцию к домену, используя учетную запись администратора домена.

3. Продемонстрировать преподавателю полученные результаты и сохранить снимки экранов с основными этапами работы для включения их в отчет о практическому занятию.

Контрольные вопросы

1. С какой целью создается домен?

2. Укажите основные этапы установки Active Directory.

3. Какая ОС должна быть на компьютере, чтобы была возможна установка Active Directory?

4. Кто имеет право подсоединить компьютер к домену?

5. Какова роль службы DNS в домене?

6. Где хранятся учетные записи пользователей и компьютеров домена?

7. В чем отличие учетных записей домена от локальных учетных записей компьютеров одноранговой сети?

8. Почему уровень безопасности сети на основе домена выше, чем в одноранговой сети?

9. Если на компьютере установлены протоколы TCP/IP, какую максимальную длину имени компьютера можно задать во время установки?

10. Можно ли изменить имя компьютера после установки ОС на клиентской машине и на контроллере домена?

11. Какое из следующих утверждений верно:

• вы можете подключить компьютер к рабочей группе или домену только во время установки;

• если вы подключите компьютер к рабочей группе во время установки, то к домену можно подключиться позже;

• если вы подключите компьютер во время установки к домену, то к рабочей группе можно подключиться позже;

• вы не можете подключить компьютер к рабочей группе или домену во время установки?

12. Когда вы настраиваете сетевые компоненты со стандартными параметрами, какие компоненты устанавливаются? Для чего нужен каждый компонент?



Практическое занятие № 3. Управление группами, пользователями и компьютерами домена

Цель работы: привить обучаемым навыки управления пользователями, группами и компьютерами домена.

Данные операции составляют основу повседневной работы администратора компьютерной сети предприятия.

Для достижения поставленной цели рассматриваются следующие объекты домена и операции управления ими:

• учетные записи пользователей и компьютеров;

• управление пользователями;

• управление группами;

• управление компьютерами.

Учетные записи пользователя и компьютера

Учетные записи пользователей и компьютеров в Active Directory представляют физические объекты: компьютер или пользователя.

Группы, а также учетные записи пользователей и компьютеров называются участниками безопасности. Последние являются объектами каталогов, которым автоматически назначают коды безопасности (SID) для доступа к ресурсам домена.

Учетная запись пользователя или компьютера используется для следующих целей:

• проверки подлинности пользователя или компьютера;

• разрешения или запрещения доступа к ресурсам домена;

* аудита действий, выполняемых с использованием учетной записи пользователя или компьютера. Аудит помогает при наблюдении за безопасностью учетных записей.

Учетные записи пользователей

Учетные записи пользователей, созданные автоматически при установке домена, называются встроенными учетными записями пользователей. После установки Active Directory контейнер Users, расположенный в оснастке Active Directory - пользователи и компьютеры, отображает встроенные учетные записи пользователей: «Администратор», «Гость».

Учетная запись администратора имеет самые большие права и разрешения в домене, а учетная запись гостя - ограниченные права и разрешения.

При помощи учетной записи «Администратор» можно полностью контролировать домен, назначать права пользователей и разрешения управления доступом для пользователей домена. Эта запись должна использоваться только для задач, выполнение которых требует учетных данных администратора. По умолчанию учетная запись «Администратор» включается в группы Администраторы, Администраторы домена, Администраторы предприятия, Владельцы-создатели групповой политики и Администраторы схемы в Active Directory. Она не может быть удалена или перемещена из группы «Администраторы», но ее настоятельно рекомендуем переименовать, поскольку коды безопасности (SID) учетных записей сохраняются, а у переименованной учетной записи остаются все остальные свойства, в том числе описание, пароль, принадлежность к группам, профиль пользователя, учетная информация, а также любые разрешения и права пользователя.

Учетная запись «Гость» используется теми, кто не имеет действительной учетной записи в домене. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью «Гость». Учетная запись «Гость» не требует пароля.

X X vy тI vy vy vy

Учетной записи «Гость», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. По умолчанию учетная запись «Гость» является членом встроенной группы «Гости» и глобальной группы «Гости домена», позволяющих пользователям входить в домен. По умолчанию она отключена. Рекомендуем оставить ее в этом положении.

Защита учетных записей пользователей

Для обеспечения безопасности проверки подлинности пользователя следует создавать отдельные учетные записи для каждого пользователя сети, применяя для этого оснастку Active Directory - пользователи и компьютеры. Каждая учетная запись пользователя (включая учетные записи администратора и гостя) может быть добавлена в группу для управления правами и разрешениями, назначенными этой учетной записи. Использование соответствующих этой сети учетных записей и групп позволяет проверить подлинность входящего в сеть пользователя и возможность предоставления ему разрешенных ресурсов.

Повысить защиту домена от атак можно с помощью надежных паролей и политики блокировки учетных записей. Применение политики блокировки учетных записей снижает вероятность проникновения злоумышленника в домен путем повторных попыток. Политика блокировки учетных записей позволяет установить число неудачных попыток входа в систему, после которых учетная запись отключается.

Параметры учетным записей

Каждая учетная запись пользователя Active Directory имеет ряд параметров, относящихся к безопасности и определяющих, как производится проверка подлинности данной учетной записи при входе в сеть. Параметры пароля и безопасности для учетных записей можно настроить указанными ниже способами.

• Потребовать смену пароля при следующем входе в систему.

Задает требование смены пользователем пароля при следующем

входе в сеть. Параметр используется, когда необходима уверенность в том, что никто, кроме пользователя, не знает его пароля.

• Запретить смену пароля пользователем.

Не разрешает пользователю менять пароль. Параметр используется при необходимости контролировать учетную запись пользователя, например учетную запись гостя или временную учетную запись.

• Срок действия пароля не ограничен.

Снимает временные ограничения на использование пароля.

• Хранить пароль, используя обратимое шифрование.

Позволяет пользователю входить в сеть Windows с компьютеров

Apple.

• Отключить учетную запись.

Не разрешает использовать данную учетную запись для входа в сеть. Многие администраторы используют отключенные учетные записи в качестве шаблонов для часто употребляемых учетных записей пользователей.

• Требовать смарт-карту для интерактивного входа в сеть.

Требует наличия смарт-карты для входа в сеть в интерактивном

режиме.

• Учетная запись доверена для делегирования.

Позволяет службе использовать данную учетную запись для выполнения операций от имени других пользователей в сети.

• Учетная запись важна и не может быть делегирована.

• Использовать для данной учетной записи тип шифрования DES. Обеспечивает поддержку шифрования с алгоритмом DES (Data

Encryption Standard).

Управление пользователями

Управление пользователями домена включает в себя следующие операции:

• создание новой учетной записи пользователя;

• смена пароля пользователя;

• копирование учетной записи пользователя;

• перемещение учетной записи пользователя;

• установка времени входа;

• отключение или включение учетной записи пользователя;

• сопоставление сертификата учетной записи пользователя;

• изменение основной группы пользователя;

• удаление учетной записи пользователя.

Создание новой учетной записи пользователя

Чтобы создать новую учетную запись пользователя, используя интерфейс Windows, откройте оснастку Active Directory - пользователи и компьютеры.

ТЛ W W

В дереве консоли щелкните правой кнопкой мыши на папку, в которую добавляется учетная запись пользователя, выделите пункт Создать, а затем выберите команду Пользователь.

В поле Имя введите имя пользователя. В поле Инициалы введите инициалы пользователя. В поле Фамилия введите фамилию пользователя.

В поле Имя входа пользователя введите имя входа пользователя, к которому добавляется суффикс UPN (@ имя домена), а если доменов в сети несколько, то выберите суффикс UPN в раскрывающемся списке.

В полях Пароль и Подтверждение введите пароль пользователя, а затем выберите соответствующие параметры пароля.

Смена пароля пользователя, копирование или перемещение учетной записи пользователя, отключение или включение учетной записи, смена основной группы пользователя, а также ее удаление осуществляются выбором соответствующей операции, доступной после щелчка правой кнопкой по учетной записи пользователя.

Чтобы установить время входа, щелкните учетную запись пользователя правой кнопкой мыши и выберите команду Свойства. На вкладке Учетная запись выберите команду Время входа и установите часы, когда пользователю разрешен или запрещен вход в систему.

Управление компьютерами

Каждый компьютер, который присоединяется к домену, имеет учетную запись компьютера. Так же, как и учетные записи пользователей, учетные записи компьютеров предоставляют возможность проверки подлинности и аудита доступа компьютера к сети и ресурсам домена. Учетная запись компьютера должна быть уникальной. Она создается при подключении компьютера к домену. компьютерный сеть домен windows

Учетные записи компьютеров и пользователей добавляются, отключаются, восстанавливаются и удаляются с помощью оснастки Active Directory - пользователи и компьютеры.

Чтобы выполнить операцию с учетной записью компьютера, используя интерфейс Windows, откройте оснастку Active Directory - пользователи и компьютеры, выберите компьютер и соответствующую команду, доступную при щелчке правой кнопкой мыши.

Управление группами

Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и учетных записей групп в управляемые элементы. Использование групп позволяет упростить обслуживание и администрирование сети.

В Active Directory существует два типа групп: группы распространения и группы безопасности. Группы распространения используются только приложениями электронной почты (например Exchange) для отправки сообщений группам пользователей, для создания списков рассылки электронной почты.

Группы безопасности необходимы для задания разрешений на использование общих ресурсов. Они обеспечивают эффективное управление доступом к ресурсам сети. Использование групп безопасности позволяет выполнять следующие действия:

• назначать права пользователя группе безопасности в Active Directory;

• назначать разрешения на использование ресурсов для групп безопасности.

Не следует путать разрешения с правами пользователей. Разрешения задаются для групп безопасности, использующих общие ресурсы. Они определяют, кто может получить доступ к данному ресурсу и уровень доступа. Права пользователя, заданные для групп безопасности, определяют, что может делать член данной группы в области действий домена или на локальном компьютере рабочей группы.

Группы безопасности перечислены в избирательных таблицах управления доступом, в которых определены разрешения на ресурсы и объекты. Администраторам следует назначать разрешения для ресурсов (общих файлов, принтеров и т. д.) группам безопасности, а не отдельным пользователям. Разрешения назначаются группе один раз в отличие от назначения прав каждому отдельному пользователю. Каждая учетная запись при добавлении к группе получает права, заданные данной группе в Active Directory, и разрешения, определенные для данной группы на ресурсе.

Группы безопасности могут использоваться в качестве адресатов электронной почты, как и группы распространения. Сообщение электронной почты, предназначенное группе, отправляется всем членам группы.

Управление группами включает в себя следующие операции:

• создание новой группы;

• добавление участника группы;

• преобразование типа группы;

• изменение области действия группы;

• удаление группы;

• поиск групп, в которые входит пользователь.

Создание новой группы

Чтобы создать новую группу, щелкните правой кнопкой мыши на папку, в которую добавляется новая группа. Выделите пункт Создать, а затем выберите команду Группа. Введите имя создаваемой группы. Задавая тип группы, выберите один из предложенных вариантов: группа безопасности или группа распространения.

Задавая область действия группы, выберите один из предложенных вариантов: локальная в домене, глобальная или универсальная (только для групп распространения).

Группы с локальной доменной областью действия могут включать в себя учетные записи и группы с глобальной областью действия, а также группы с универсальной областью действия и группы с локальной доменной областью действия только из данного домена.

Группы с глобальной областью действия могут включать в себя учетные записи и группы с глобальной областью действия из данного домена.

Группы с универсальной областью действия могут включать в себя учетные записи и группы с глобальной областью действия, а также группы с универсальной областью действия из любого домена.

Добавление участника группы

Чтобы добавить участника группы, выберите команду Свойства данной группы и на вкладке Члены групп нажмите кнопку Добавить.

В поле Введите имена выбираемых объектов введите имя пользователя, группы или компьютера, добавляемых к выбранной группе, и нажмите кнопку OK. Можно воспользоваться кнопками Дополнительно и Поиск, а затем выбрать добавляемый объект из списка доступных в домене.

Преобразование типа группы

Чтобы преобразовать тип группы, выберите папку, включающую в себя группу, тип которой необходимо изменить. В области сведений щелкните правой кнопкой мыши на необходимую группу и выберите команду Свойства. На вкладке Общие выберите тип группы.

Изменение области действия группы

Чтобы изменить область действия группы, выберите папку, включающую в себя группу, для которой необходимо изменить область действия. В области сведений щелкните правой кнопкой мыши на необходимую группу и выберите команду Свойства. На вкладке Общие в разделе Область действия группы выберите область действия группы.

Удаление группы

Чтобы удалить группу, выберите папку, включающую в себя группу, которую необходимо удалить. На панели сведений щелкните правой кнопкой мыши на необходимую группу и выберите команду Удалить.

Поиск групп, в которые входит пользователь

Чтобы найти группы, в которые входит пользователь, в дереве консоли Active Directory щелкните узел Пользователи. Можно также выбрать папку, содержащую учетную запись пользователя. На панели сведений щелкните правой кнопкой мыши на учетную запись пользователя и выберите команду Свойства, затем вкладку Член групп и определите, в какие группы входит данный пользователь.

Задания к практическому занятию

1. Создание групп.

Создайте две группы безопасности с локальной доменной областью действия, например группу Разработчики и группу Менеджеры.

Создайте две группы безопасности с глобальной областью действия, например группу Инженеры и группу Экономисты.

2. Создание учетных записей пользователей и помещение их в группы.

Создайте по одной учетной записи для каждой из созданных групп, задавая в качестве параметра человеческие имена.

Создайте одну учетную запись и поместите её в каждую из созданных групп.

3. Включение групп в другие группы.

Поместите глобальную группу Инженеры в локальную группу Разработчики, а глобальную группу Экономисты - в локальную группу Менеджеры.

4. Создайте учетную запись для нового компьютера WorkStation1, который предполагается подключить к домену.

5. Создайте произвольную группу, учетную запись пользователя и учетную запись компьютера. Выполните с ними все описанные операции по управлению и после показа результатов преподавателю удалите эти временные объекты.

Контрольные вопросы

1. Какие типы групп могут быть созданы в домене?

2. Чем отличаются группы безопасности от групп распространения?

3. Назовите порядок размещения пользователей и групп в группах домена большого предприятия с несколькими доменами.

4. В чем главное отличие групп локального компьютера от групп домена?

5. В чем различие глобальных и локальных доменных групп?

6. Какие группы могут быть отнесены к универсальным группам домена?

7. Как создается учетная запись компьютера в домене?

8. Как создается учетная запись пользователя домена?

9. Какими учетными записями должен обладать пользователь для того, чтобы он мог выполнить первоначальное присоединение компьютера к домену?

10. Какая команда служит для управления группами и пользователями домена?



Практическое занятие № 4. Управление доступом к файловым ресурсам

Цель работы: освоение навыков управления доступом пользователей к файлам и папкам с целью защиты информации от несанкционированного доступа.

Краткое введение

Файловые системы современных операционных систем при соответствующей настройке эффективно обеспечивают безопасность и надежность хранения данных на дисковых накопителях. Для операционных систем Windows стандартной является файловая система NTFS.

Устанавливая для пользователей определенные разрешения для файлов и каталогов (папок), администраторы могут защитить информацию от несанкционированного доступа. Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создает. Администратор может назначить себя владельцем любого объекта файловой системы, но обратная передача владения от администратора к пользователю невозможна.

Назначение разрешений производится для пользователей или групп. Так как рекомендуется выполнять настройки безопасности для групп, то необходимо, чтобы пользователь был членом хотя бы одной группы на компьютере или в домене.

Разрешения могут быть установлены для различных объектов компьютерной системы, однако в настоящем издании рассмотрены разрешения для файлов и папок. Другие задачи, например разрешения для принтеров, решаются аналогичным образом.

Указания к проведению практического занятия

Для назначения разрешений для файла или папки администратор выбирает данный файл или папку и при нажатии правой кнопки мыши использует команду Свойства (Properties), в появившемся окне переходит на вкладку Безопасность (Security). Пример для папки с именем Авиатор приведен на рис. 4.1.

В зоне Имя (Name) имеется список групп и пользователей, которым уже назначены разрешения для данного файла или папки.

Рис. 4.1. Вкладка Безопасность окна свойств папки Авиатор

Для добавления пользователя или группы нажмите кнопку Добавить (Add) или Удалить (Remove). При добавлении появится диалог Выбор: Пользователи, Компьютеры или Группы (Select Users, Computers or Groups). Добавив пользователя или группу, мы увидим этот объект в зоне Имя и, выделив его, можем задать необходимые разрешения с помощью установки флажков Разрешить (Allow) или Запретить (Deny) в зоне Разрешения (Permissions).

Стандартные разрешения для файлов:

• полный доступ (Full Control);

• изменить (Modify);

• чтение и выполнение (Read&Execute);

• чтение (Read);

• запись (Write).

Стандартные разрешения для папок:

• полный доступ (Full Control);

• изменить (Modify);

• чтение и выполнение (Read&Execute);

• список содержимого папки;

• чтение (Read);

• запись (Write).

Разрешение Чтение позволяет просматривать файлы и папки и их атрибуты.

Разрешение Запись позволяет создавать новые файлы и папки внутри папок, изменять атрибуты и просматривать владельцев и разрешения.

Разрешение Список содержимого папки позволяет просматривать имена файлов и папок.

Разрешение Чтение и выполнение для папок позволяет перемещаться по структуре других папок и служит для того, чтобы разрешить пользователю открывать папку, даже если он не имеет прав доступа к ней, для поиска других файлов или вложенных папок. Разрешены все действия, право на которые дают разрешения Чтение и Список содержимого папки. Это же разрешение для файлов позволяет запускать файлы программ и выполнять действия, право на которые дает разрешение Чтение.

Разрешение Изменить позволяет удалять папки, файлы и выполнять все действия, право на которые дают разрешения Запись и Чтение и выполнение.

Разрешение Полный доступ позволяет изменять разрешения, менять владельца, удалять файлы и папки и выполнять все действия, на которые дают право все остальные разрешения NTFS.

Разрешения для папок распространяются на их содержимое: под- папки и файлы.

При назначении пользователю или группе разрешения на доступ к файлу или папке руководствуются тем уровнем доступа, который достаточен для данной группы или пользователя при выполнении им своих рабочих обязанностей.

Рассмотренные разрешения относятся к пользователям данного компьютера, совершившим вход локально на данную машину. Такие разрешения называются разрешениями файловой системы.

Так как файловая система Windows называется NTFS, то разрешения файловой системы для Windows называют разрешениями NTFS.

Разрешения для пользователей, получивших доступ к папке или файлу через сеть, регулируются отдельно с помощью так называемых разрешений общего доступа. Эти разрешения распространяются только на папки, к которым предоставлен общий доступ через сеть, и действуют только для пользователей, обращающихся к папке через сеть. Возможности пользователя задаются разрешениями, представленными ниже:

• полный доступ (Full Control);

• изменить (Change);

• чтение (Read).

Доступ к средствам настройки разрешений общего доступа выполняется через свойства папки, предоставленной в общий доступ (рис. 4.2).

Разрешения общего доступа - средство обеспечения безопасности данных при коллективной работе с документами. Они должны устанавливаться очень тщательно и обоснованно. При этом администратору рекомендуется действовать следующим образом.

• Для каждого ресурса общего доступа определить, каким группам пользователей необходим доступ к нему и какой требуется уровень доступа.

• Для упрощения администрирования назначать

разрешения группам, а не отдельным пользователям.

• Устанавливать максимально строгие разрешения, которые, однако, должны позволять пользователям совершать необходимые действия.

• Организовать ресурсы общего доступа таким образом, чтобы папки с одинаковым уровнем требований безопасности находились в одной папке. Затем установить общий доступ только к ней, все вложенные папки наследуют настройки безопасности.

• Для папок общего доступа применять интуитивно понятные пользователям имена, корректно отображаемые всеми клиентскими операционными системами, используемыми на предприятии.

• Если в общих папках предполагается хранить программы- приложения, то целесообразно поместить их в одну папку - единое место хранения и обновления приложений.

Несколько общих папок, доступных членам группы Администраторы, так называемые скрытые административные общие папки, создается операционной системой автоматически. Имена этих папок заканчиваются знаком $. Это корневые каталоги каждого тома на жестком диске (C$, D$ и т.д.), папка Admin$ - для доступа к системному каталогу, папка Print$ - для доступа к файлам драйверов принтеров.

Кроме того, скрытую папку с общим доступом можно создать с целью доступа к ней только тех пользователей, которые будут знать имя скрытой папки.

Получить доступ к общим папкам других компьютеров можно, используя компоненты Сетевое окружение, Мой компьютер, Мастер добавления в сетевое окружение и команду Выполнить (Run).

Соединение с общей папкой через Сетевое окружение выполняется двойным щелчком по ресурсу, к которому необходимо получить доступ. Если общий ресурс отсутствует в списке доступных, выберите значок Добавить новый элемент в сетевое окружение и укажите адрес подключаемого ресурса.

Соединение с общей папкой через компонент Мой компьютер выполняется через меню Сервис этого компонента в пункте Подключить сетевой диск посредством указания пути к общему ресурсу. Если необходимо пользоваться этим соединением постоянно, нужно, чтобы флажок Восстанавливать при входе в систему был установлен. Соединение будет доступно в разделе Сетевые диски окна Мой компьютер.

Для соединения с общей папкой с помощью команды Выполнить щелкните Пуск, затем Выполнить и введите путь к папке в формате UNC (\\имя_ компьютера\имя_общей папки).

Рассмотрим, как пользоваться средствами установки разрешений файловой системы и общего доступа.

После выбора объекта, для которого будет выполняться настрой-

W 1 W W V/ 1 V/

ка разрешений файловой системы, в диалоговом окне свойств файла или папки необходимо выбрать вкладку Безопасность, показанную на рис. 4.3.

В данном случае видим, что для папки Авиатор для группы Администраторы установлены разрешения уровня Полный доступ, а для группы Все разрешения ограничены уровнем Чтение.

При установке разрешений в списке групп можно заметить имена так называемых встроенных системных групп, невидимых при использовании оснасток для управления группами и пользователями. Эти группы не имеют определенных членств, которые можно назначить или изменить, но в них система включает различных пользователей в различное время в зависимости от того, каким образом пользователь получает доступ к системе или ресурсам.

Встроенные системные группы были рассмотрены в практическому занятию № 3. В данном случае имеется в виду группа Все, в которую во время работы входят все, кто получил доступ к компьютеру или домену.

Разрешения можно не только устанавливать, но и запрещать. Запрет имеет больший приоритет, чем разрешение. Запрет разрешений как метод контроля ресурсов применять не рекомендуется, и он используется в основном для дополнительной настройки разрешений конкретным пользователям в отличие от разрешений для остальных пользователей группы.

Рассмотренные разрешения называются стандартными и позволяют решить большинство задач, связанных с регулированием уровня доступа групп к ресурсам.

Кнопка Дополнительно (см. рис. 4.3) служит для задания специальных разрешений. Каждое стандартное разрешение состоит из нескольких специальных. Например, стандартное разрешение Запись включает в себя шесть специальных разрешений: создание файлов/запись данных, создание папок/дозапись данных, запись атрибутов, запись дополнительных атрибутов, чтение разрешений, синхронизация. Специальные разрешения можно использовать для настройки в нестандартных ситуациях.

В окне специальных разрешений имеются закладки Аудит, Владелец и Эффективные разрешения.

Аудит - это процесс, позволяющий фиксировать события, происходящие в системе и имеющие отношение к безопасности. На данной вкладке производится выбор пользователя или группы, для которых данная папка (или файл) будет объектом аудита. Аудит изучается в практическому занятию № 5.

Закладка Владелец обеспечивает такое свойство безопасности, как право владения объектом файловой системы. Администратор всегда может стать владельцем любого объекта файловой системы, любой пользователь - владелец созданных им объектов. Если локальные или доменные политики безопасности разрешат, пользователь может назначать себя владельцем других файлов и папок.

Подробное рассмотрение вопросов владения выходит за рамки данного издания, однако отметим, что многие операции с файлами и папками, например смена разрешений, шифрование и дешифрование, привязаны к факту владения данным объектом.

Список управления доступом (ACL) хранится на диске NTFS для каждого файла или папки. В нем перечислены пользователи и группы, для которых установлены разрешения для файла или папки, а также сами назначенные разрешения.

Каждому пользователю или группе могут быть установлены множественные разрешения через участие в нескольких группах с разным набором разрешений. В этом случае действуют эффективные разрешения - пользователь обладает всеми назначенными ему разрешениями.

Действует приоритет разрешений для файлов над разрешениями для папок и приоритет запрещения над разрешением.

Разрешения, назначенные родительской папке, по умолчанию наследуются всеми подпапками и файлами, содержащимися в папках. Однако есть возможность предотвратить наследование для любой вложенной папки. В этом случае эта папка сама становится родительской для вложенных в нее папок.

Если папка предоставлена для общего доступа, то на нее распространяются разрешения двух видов:

• разрешения файловой системы, установленные для пользователей данного компьютера;

• разрешения общего доступа, объявленные для пользователей, получивших доступ через сеть.

Обычно для папок общего доступа задают разрешения полного доступа, а ограничения вводят установкой разрешений NTFS [4, 5].

В этом случае действует объединение разрешений NTFS и разрешений для общей папки, при котором наиболее строгое разрешение имеет приоритет над другими.

Задание к проведению практического занятия

1. Создайте папку, в которую поместите текстовый файл и приложение в виде файла с расширением exe, например одну из стандартных программ Windows, такую как notepad.exe (Блокнот).

2. Установите для этой папки разрешения полного доступа для одного из пользователей группы Администраторы и ограниченные разрешения для пользователя с ограниченной учетной записью.

3. Выполните различные действия с папкой и файлами для обеих учетных записей и установите, как действуют ограничения, связанные с назначением уровня доступа ниже, чем полный доступ.

4. Установите общий доступ к папке и подключитесь к ней через сеть с другого виртуального компьютера.

5. Установите разрешения общего доступа так, чтобы администратор не имел ограничений, а пользователь имел ограниченный уровень доступа.

6. Экспериментально убедитесь в выполнении правил объединения разрешений NTFS и разрешений общего доступа.

7. Составьте отчет о проведенных экспериментах.

8. Разработайте стратегию регулирования безопасности при коллективном доступе к общим папкам для различных групп пользователей.

Контрольные вопросы

1. Какое из следующих разрешений NTFS для папок позволяет удалять папку:

• чтение;

• чтение и выполнение;

• изменение;

• администрирование?

2. Какое разрешение NTFS для файлов следует установить, если вы позволяете пользователям удалять файл, но не позволяете становиться его владельцами?

3. Какие объекты по умолчанию наследуют разрешения, установленные для родительской папки?

4. Кто может устанавливать разрешения для отдельных пользователей и групп (выберите все правильные ответы):

• члены группы Администраторы;

• члены группы Опытные пользователи;

• пользователи, обладающие разрешением Полный доступ;

• владельцы файлов и папок?

5. Какой из следующих вкладок диалогового окна свойств файла или папки следует воспользоваться для установки или изменения разрешений NTFS:

• Дополнительно;

• Разрешения;

• Безопасность;

• Общие?

6. Если вы хотите, чтобы пользователь или группа не имели доступа к определенной папке или файлу, следует ли запретить разрешения для этой папки или файла?



Практическое занятие № 5. Аудит безопасности

Цель работы: научить обучаемыйов проводить настройку аудита событий безопасности и использовать журналы безопасности для повышения защищенности системы.