Организация защиты сети. Каждому пользователю в сети соответствует персональная учетная запись, параметры которой определяют его права и обязанности в домене.
Учетная запись содержит такую информацию о пользователе, как его имя, пароль или ограничения на его деятельность в сети. Учетные записи бывают двух типов глобальные и локальные. Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на домен. При использовании локальной учетной записи пользователь получает доступ только к ресурсам данного компьютера. Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, воспользовавшись своей глобальной учетной записью.
Если сеть состоит из нескольких доменов и между ними установлены доверительные отношения, то возможна так называемая сквозная регистрация, то есть пользователь, регистрируясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у него нет персональной учетной записи. 10 Создавать, модифицировать и управлять учетными записями администратор может с помощью программы User Manager for Domains.
При создании новой учетной записи администратор может определить следующие параметры пароль и правила его модификации, локальные и глобальные группы, в которые входят пользователь, профиль пользователя, имена рабочих станций, с которых он может регистрироваться, разрешенные часы работы, срок действия учетной записи и другие. Пароль пользователя играет одну из самых важных ролей при регистрации пользователя в сети, так как именно путем подбора пароля может происходить незаконный доступ к сетевым ресурсам.
Поэтому Windows NT содержит ряд мощных механизмов, связанных с паролем пользователя - максимальный срок действия, после которого пароль необходимо изменить - минимальная длина пароля - минимальный срок хранения пароля - уникальность пароля и хранение истории паролей - блокировка учетной записи при неудачной регистрации - продолжительность блокировки. Учетная запись пользователя может содержать указания на использование домашнего каталога и сценария регистрации.
Администратор может задавать сценарии регистрации пользователей и тем самым устанавливать единый механизм регистрации в сети. Сразу после аутентификации пользователя выполняется сценарий, который представляет собой командный или исполняемый файл. Сценарии могут быть одинаковы для всех пользователей или уникальны для каждого. Каждый пользователь может иметь домашний каталог для хранения персональных файлов. Этот каталог открывается по умолчанию в диалоговых окнах, например в окне Файл Открыть File Open, а также в командной строке.
Домашним каталогом может быть как один из общих каталогов, так и персональный каталог пользователя. 14 Целесообразно объединять учетные записи в группы, так что администратор может оперировать правами большого числа пользователей с помощью одной учетной записи. Изменение в учетной записи группы приводит к автоматическому изменению учетных записей всех пользователей, входящих в эту группу. 24 Возможности пользователя в системе определяются набором его прав. Права пользователей бывают стандартные и расширенные. К стандартным относятся такие права, как возможность изменять системное время, выполнять резервное копирование файлов, загружать драйверы устройств, изменять системную конфигурацию, выполнять выключение сервера и т.п. Расширенные права во многом являются специфичными для операционной системы или приложений.
Некоторые из расширенных прав зарезервированы для использования в будущих версиях операционной системы. 16 Механизмы защиты Windows NT позволяют гибко ограничивать или предоставлять права пользователей на доступ к любым ресурсам системы.
Права на доступ к файлам и каталогам определяют, может ли пользователь осуществлять к ним доступ, и если да, то как. Владение файлом или каталогом позволяет пользователю изменять права на доступ к нему. Администратор может вступить во владение файлом или каталогом без согласия владельца. Предоставление прав на доступ к файлам и каталогам - основа защиты Windows NT и является важнейшим механизмом файловой системы NTFS. Права доступа определяются набором атрибутов Read, Write, Delete, Change Permission, Execute, Take Ownership, No Access. 21 Для каталогов, предоставляемых в совместное использование, защита состоит из двух уровней сетевого и локального.
Как отмечалось ранее, возможность локальной защиты существует только на файловой системе NTFS. Удаленный пользователь получает права доступа, являющиеся комбинацией локальных ограничений NTFS и прав доступа к совместно используемым ресурсам.
Один и тот же каталог может быть предоставлен в совместное использование несколько раз. При этом каждый раз применяется новое имя ресурса, и можно назначить другие права для других групп пользователей. Права доступа определяются следующим набором атрибутов Read, Change, Full Control, No Access. 22