Анализ возможностей администрирования компьютеров под управлением Microsoft Windows Server 2013, Microsoft Windows 7 и Microsoft Windows 8

Размещено на http://www.allbest.ru/

Введение

1.1.1 Управление учетными записями

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2013, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.

Для работы с локальными учетными записями используется оснастка Local Users and Groups. Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers. Управление локальными учетными записями на контроллерах домена невозможно.

Оснастка Local Users and Groups (Локальные пользователи и группы) -- это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп -- как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи). Пример окна оснастки Local Users and Groups приведен на рисунке (см. Приложение А).

Сразу после установки системы Windows Server 2013 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 7, третья появилась в Windows 8.

- Administrator (Администратор) -- эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.

- Guest (Гость) -- эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.

- SUPPORT_388945a0 -- компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета -- Internet Information Services.

Для работы с локальными пользователями можно использовать утилиту командной строки net user.

Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.

Папка Groups. В системах Windows 8 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы.

Описание свойства групп.

- Administrators (Администраторы) -- ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins. Backup Operators (Операторы архива) -- члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.

- Guests (Гости) -- эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.

- Power Users (Опытные пользователи) -- члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.

- Replicator (Репликатор) -- членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.

- Users (Пользователи) -- члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. Если компьютер подключен к домену, эта группа также содержит группу Domain Users.

В системах Windows 7 появились еще три группы.

- Network Configuration Operators (Операторы настройки сети) -- группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.

- Remote Desktop Users (Удаленные пользователи рабочего стола) -- эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.

- HelpSenicesGroup (Группа служб поддержки) -- группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

- Еще четыре группы появились в системах Windows Server 2013.

- Performance Log Users -- члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).

- Performance Monitor Users -- группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.

- Print Operators -- члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.

- TelnetClients -- группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.

На компьютерах -- членах домена в локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер, или в доверяемых доменах.

1.1.2 Удаленный доступ к рабочему столу

В предыдущих серверных версиях Windows для удаленного управления сервером администратор должен был использовать службы терминалов. Минусом подобного решения являлась необходимость развертывания службы терминалов даже в том случае, когда администратору требовалось только одно удаленное подключение с целью выполнения рутинных административных задач. В системах Windows 7 и Windows Server 2013 имеется стандартный механизм Remote Desktop for Administration, или просто Remote Desktop, который позволяет подключаться удаленно и выполнять необходимые операции по управлению сервером. Этот механизм в своей основе использует службы терминалов и поддерживает два одновременных удаленных подключения (в Windows 7 -- одно). Администратор может с любого рабочего места администрировать все серверы, находящиеся под управлением Windows Server 2013, подключаясь к ним удаленно.

В системах Windows 7 и Windows Server 2013 имеется также функция Remote Assistance, позволяющая пользователю инициировать доступ к своему компьютеру и получить помощь в сложных ситуациях.

По умолчанию функции Remote Desktop и Remote Assistance отключены.

Кроме этого, если на некотором компьютере под управлением Windows 7 или Windows Server 2013 установлен веб-сервер в составе служб Internet Information Services (IIS), то через этот компьютер можно осуществлять удаленный доступ к любой системе Windows 7 или Windows Server 2013, находящейся в той же локальной сети, из веб-браузера (Internet Explorer 8.0 и выше), работающего в любой операционной системе. Такая возможность позволяет, например, на маломощном компьютере под управлением Windows 95 запустить браузер и, введя имя удаленной системы Windows Server 2013 на базе какого-нибудь мощнейшего процессора, работать на ней в полноэкранном режиме.

Все сессии удаленного доступа шифруются, чтобы исключить несанкционированный доступ к данным и системам: протокол RDP, использующийся при этом, шифруется с помощью алгоритма RC4.

Для управления режимом удаленного доступа используется вкладка Remote (Удаленное использование) окна свойств системы System Properties (см. Приложение Б, Рисунок 1). (Для быстрого доступа к этому окну можно использовать клавиши <Win>+<Break>.)

Чтобы пользователи могли с других компьютеров обратиться к вашей системе, установите флажок Allow users to connect remotely to this computer. Нажав кнопку Select Remote Users, вы можете явно указать, каким пользователям разрешен удаленный доступ (см. Приложение Б, Рисунок 2): эти пользователи будут включены в локальную группу Remote Desktop Users. По умолчанию только администраторы имеют удаленный доступ к компьютеру. Использовать учетные записи без пароля для удаленного доступа нельзя. Если на компьютере имеются такие записи, то при установке флажка Allow users to connect remotely to this computer появится предупреждение, показанное на рисунке (см. Приложение Б, Рисунок 3).

Для инициализации сеанса удаленного доступа служит утилита Remote Desktop Connection (см. Приложение Б, Рисунок 4).

Чтобы обратиться к компьютеру через Интернет, в поле адреса браузера необходимо ввести http://<имя_cepвepa>/TSWeb, где имя_сервера -- DNS-имя веб- сервера (компьютера с установленными службами IIS) или его IP-адрес.

После соединения с сервером появится веб-страница "Remote Desktop Web Connection" (Интернет-подключение к удаленному рабочему столу) (см. Приложение Б, Рисунок 5), где в поле Server (Сервер) вы должны указать имя или адрес того компьютера, к которому хотите подключиться, после чего нажмите кнопку Connect (Подключить). Обратите внимание на то, что имена веб-сервера и целевого компьютера могут различаться: т. е. вы "входите" в сеть через один компьютер, а подключаетесь к любому другому.

При первом выполнении описанной процедуры с сервера загрузится компонент ActiveX, который нужно установить на локальном компьютере (см. Приложение Б, Рисунок 6).

После этого выполняется подключение к выбранному (целевому) компьютеру и появляется традиционное окно регистрации (см. Приложение Б, Рисунок 7). В окне адреса указан IP-адрес одного компьютера (через который мы вошли в сеть), а подключение выполнено к другому компьютеру -- его адрес указан в нижней части экрана. В полноэкранном режиме работы панели браузера не отображаются совсем, и мы увидим только рабочий стол удаленного компьютера.

Средство Remote Assistance (Удаленный помощник) по сути реализовано так же, как и функция Remote Desktop.

Для использования Remote Assistance обе системы должны работать под управлением Windows ХР или Windows Server 2013. Включить/выключить это средство можно на вкладке Remote (Удаленное использование) (см. Приложение Б, Рисунок 8). Нажав на этой вкладке кнопку Advanced (Подробнее), можно настроить некоторые параметры удаленного помощника (см. Приложение Б, Рисунок 8). При включении Remote Assistance по умолчанию разрешено и удаленное управление компьютером. Это не должно вас пугать, поскольку для управления компьютером всегда требуется дополнительное, явное разрешение с вашей стороны во время сеанса работы удаленного помощника. Если вы не измените срок действия запроса (по умолчанию 30 дней), то в течение этого времени ваше приглашение будет действительным, т. е. помощник сможет запрашивать доступ к вашему компьютеру. Всякий раз при этом от вас потребуется отдельное разрешение на его подключение.

Работа с удаленным помощником не вызывает затруднений (поскольку осуществляется с помощью программы-мастера), поэтому опишем процедуру инициализации сеанса совместной работы в целом.

1.1.3 Управление рабочей средой пользователя

Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений.

Для управления средой пользователя предназначены следующие средства систем Windows 8/7 и Windows Server 2013.

Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды системы, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью.

Сценарий входа в систему (сценарий регистрации) представляет собой командный файл, имеющий расширение bat или cmd, исполняемый файл с расширением ехе или сценарий VBScript, который запускается при каждой регистрации пользователя в системе или выходе из нее. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.

Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или в окне консоли команд. При этом сценарии не нужно встраивать в документ HTML.

Аудит -- это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Информация о подобных событиях заносится в файл журнала событий операционной системы.

После включения аудита операционная система начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Security) можно просмотреть с помощью оснастки Event Viewer (Просмотр событий). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.

Настройка аудита может выполняться как в один, так и в два приема:

1. Сначала его следует активизировать с помощью оснастки Local Security Settings (Локальная политика безопасности) или Group Policy Object Editor (Редактор объектов групповой политики). При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Для многих системных событий этой операции достаточно, и их регистрация начинается немедленно.

2. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется с помощью Редактора списков управления доступом (ACL). Для разных объектов -- файлов, реестра или объектов каталога Active Directory -- используемый при этом пользовательский интерфейс будет непринципиально различаться.

В автономных системах Windows Server 2013 по умолчанию включен аудит событий регистрации в системе (logon events). На контроллерах домена под управлением Windows Server 2013 по умолчанию включен аудит большинства системных событий, за исключением доступа к объектам и процессам, а также событий использования привилегий.

1.1.4 Сервер сценариев Windows

Сервер сценариев Windows (Windows Script Host, WSH) не зависит от языка сценария и устанавливается в системах, Windows 8/7 и Windows Server 2013 как стандартное средство. Также его можно установить в системах Windows 7 и Windows 8.0. Компания Microsoft разработала и поддерживает ядро сценариев как для Visual Basic, так и для JavaScript. В составе Windows 7 и Windows Server 2013 поставляется WSH версии 5.6.

Сервер сценариев позволяет применять в операционных системах Windows простые мощные и гибкие сценарии. Раньше единственным языком сценариев, поддерживаемым операционной системой Windows, был язык команд MS-DOS (командный файл). Хотя это быстрый и компактный язык в сравнении с языками VBScript и JScript, он обладает весьма ограниченными возможностями. В настоящее время архитектура сценариев ActiveX позволяет в полной мере использовать все средства таких языков сценариев, как VBScript и JScript, одновременно сохраняя совместимость с набором команд MS-DOS.

Компания Microsoft поставляет три среды, предназначенных для выполнения языков сценариев на платформах Windows:

- Internet Explorer;

- Internet Information Server или WWW Server в составе служб Internet Information Services;

- Windows Scripting Host.

Internet Explorer позволяет выполнять сценарии на машинах клиентов внутри HTML-страниц.

Internet Information Server поддерживает работу со страницами ASP, позволяющими выполнять сценарии на веб-сервере. Другими словами, выполнение сценариев на сервере становится возможным в сетях Интернет и интранет.

Сервер сценариев Windows позволяет выполнять сценарии прямо на рабочем столе операционной системы Windows или в окне командной консоли, для этого не нужно встраивать их в документ HTML. В процессе работы сервер сценариев чрезвычайно экономно использует память, что очень удобно для выполнения неинтерактивных сценариев, например сценария входа в сеть, административного сценария, и автоматизации операций, выполняемых на машине.

1.2 Администрирование доменов