Итак, изучив некоторые технические аспекты функционирования Windows 2000, мы плавно переходим к основам ее использования. А это значит, что сегодня мы поговорим об администрировании, ведь хороший стиль политики администрирования — залог безопасности и бесперебойной работы всей компьютерной сети, а администратор — это «главный» человек, которому поклоняются и которого боготворят рядовые «юзеры». И если в предыдущих статьях мы делали основной упор на выявление основ функционирования системы безопасности операционной Windows 2000, то сейчас речь пойдет о том, как эти глубокие знания использовать на практике, ведь, в конечном счете, все делается именно для управления компьютером и наиболее эффективного использования его ресурсов. А это и есть администрирование, почти по определению.
Часть шестая. Администрирование пользователей и групп
«Страх — одна из величайших сил в жизни воинов, потому что он заставляет их учиться.»
Карлос Кастанеда,
«Огонь изнутри»
Основная задача администратора — управлять компьютером или сетью таким образом, чтобы обеспечить его наиболее эффективную бесперебойную работу. Компьютерная техника крайне сложна — так называемое «железо» состоит из миллионов элементов, один из которых когда-нибудь обязательно сломается, причем произойдет это, скорее всего, в самый неподходящий момент. Программное обеспечение последние годы также не радует простотой и прозрачностью использования, поэтому жизнь рядового администратора безоблачной никак не назовешь. Но и это не все! Зачастую бедному сисадмину, замученному техникой и криво написанными программами, приходится отражать атаки еще и Homo Sapiens, которые в некоторых случаях могут носить характер стихийного бедствия.
Страх перед этими атаками, как умышленными, так и непреднамеренными (случайными), как хакеров, так и просто не осознающих свои действия пользователей, заставляет администратора изучать давно известные более опытным коллегам способы защиты компьютерных систем, а также придумывать свои новые методы и личные уловки. Администратор должен предвидеть различные действия своих потенциальных «врагов» и предусмотреть всевозможные последствия этих действий, а также систему мер, позволяющих со всеми этими бедами бороться. В придачу к этому, администратор должен думать о том, чтобы работа пользователей оставалась максимально удобной и продуктивной. Задача, скажу я вам, не из легких. Но, слава Богу, бороться приходится не одному, а в коллективе единомышленников — так, в Интернете или Фидо, существует множество конференций и форумов, посвященных проблемам безопасности и администрирования, где вы всегда можете рассчитывать на квалифицированную помощь и дельный совет. Делятся люди опытом не только в форумах, но и посредством различных публикаций (как в электронных средствах массовой информации, так и в бумажных) и книг, посвященных администрированию.
Итак, когда же начинается сам процесс администрирования компьютера? А начинается он уже во время инсталляции ОС (точнее, еще раньше, когда вы продумываете политику безопасности, оцениваете, на какие группы разбить пользователей, какие права и привилегии каждой из них выделить, и так далее, но технически настройка всех параметров ОС начинается именно в момент инсталляции). Начнем с самого начала. После успешной установки операционной системы человеку, ее проводящему, предлагается ввести имя компьютера, а также утвердить пароль администратора. Это, пожалуй, самая важная часть всего процесса установки, поэтому отнестись к ней нужно серьезно, ибо администратор — это почти «бог». И если, в случае чего, у вас еще будет возможность изменить имя компьютера путем прямого редактирования реестра, то вот забыть пароль администратора — непростительная оплошность. А главное — еще и трудно исправимая, поэтому, если вы действительно умудрились забыть пароль, то мне вас искренне жаль. В то же время, мы крайне не рекомендуем записывать пароль где попало или брать в качестве него имя любимой жены, благо его-то уж знают все ваши сотрудники и при необходимости могут без труда подобрать. Лучше всего взять какое-нибудь длинное и хорошо запоминающееся слово (например, широко разрекламированный товар или марку), скажем panasonic, и заменить часть букв на схожие по написанию цифры (i или l на единицу, о на ноль) или некоторые буквы заменить на заглавные, в нашем примере получится pAnAs0nIc — сомнительно, что кто-то быстро подберет такой пароль, и в то же время он будет достаточно запоминающимся. Вспомните, какой был пароль у Фокса Малдера — легендарного агента ФБР из сериала «Секретные материалы» — Trustno1. Его не смогли адекватно перевести даже профессиональные переводчики ОРТ (закодированную фразу «не доверяй никому» они озвучили как «верю не верю один»).
Здесь есть еще один тонкий момент: поскольку администратор имеет неограниченный доступ ко всем ресурсам компьютера, не рекомендуется выполнять повседневную работу, входя в систему от имени администратора, поскольку таким образом вы колоссально увеличиваете уязвимость системы. Ведь все программы, запускаемые в рамках рабочего сеанса с расширенными административными полномочиями, могут представлять опасность для рабочей среды — особенно это касается использования всем известного Internet Explorer’а для серфинга по просторам сети, а также не менее известной почтовой программы Outlook. Кроме того, вы можете случайно изменить важные настройки, а запустившиеся вирусы в этой ситуации будут чувствовать себя просто восхитительно. Поэтому для домашнего компьютера оптимальным считается вариант, когда администратор обладает двумя учетными записями: одна из них обладает набором привилегий обычного (или опытного) пользователя, а вторая расширенным набором административных привилегий. Вся каждодневная работа выполняется с использованием первой учетной записи, а для выполнения задач, связанных с администрированием системы, администратор должен переключаться на использование второй. Для сети, где вопросы безопасности особенно важны, мы бы рекомендовали наделить правами администратора учетную запись с отличным от установленного по умолчанию именем (чтобы потенциальному нарушителю пришлось узнавать не только пароль, но еще и имя учетной записи), в то же время учетную запись с именем «Администратор» обеспечить минимальными правами и включить аудит на ее использование, — тогда вы сможете отслеживать в журнале событий все атаки, предпринимаемые на драгоценный сервер.
Естественно, что постоянное отключение от системы и подключение к системе с использованием различных учетных записей, меняющихся в зависимости от выполняемых задач, — весьма утомительное и нудное занятие. Но в Windows 2000 этого и не требуется делать, ведь она теперь поддерживает новый механизм, который позволяет запускать приложения в другом контексте безопасности, не отключаясь при этом от системы. Эта возможность обеспечивается благодаря автоматически запускающейся в начале работы системы службе Secondary Logon Service (запуск от имени). Чтобы воспользоваться этим механизмом, нужно просто щелкнуть на исполняемом файле правой кнопкой мыши, при этом удерживая нажатой клавишу Shift. В результате в выпадающем меню появится пункт Run As (Запуск от имени), и вы сможете запустить интересующее вас приложение от имени другого пользователя.
Добавлять новых пользователей в систему могут только администраторы и опытные пользователи, при этом опытные пользователи не могут назначать пользователям права большие, чем они имеют сами. Не стоит кидаться и сразу создавать кучу пользователей и назначать каждому из них определенные полномочия, лучше выключите компьютер, расслабьтесь и спокойно продумайте план инфраструктуры безопасности, ведь это, пожалуй, одна из самых важных составляющих общего плана развертывания Windows 2000 на предприятии. Очевидно, что при планировании системы безопасности крупной сети вам потребуется затратить значительно большие усилия, чем если бы вы планировали систему защиты сети, в которой работает лишь несколько клиентов. Однако, без всякого сомнения, время, потраченное на изучение принципов «правильного» администрирования даже одного компьютера, не окажется лишним. Скажем сразу, что законченный план безопасности обязательно должен содержать сведения о том, каким образом вы планируете использовать механизмы защиты ОС для того, чтобы обеспечить приемлемый уровень защиты ресурсов рабочей среды, желательно даже, чтобы это было сделано в письменной форме. Продумывая план безопасности, вы, прежде всего, должны оценить риски безопасности, то есть представить возможные ситуации, в которых рабочая среда может оказаться под угрозой. При этом вы должны по возможности разделить эти ситуации на категории, критерием деления будет служить вероятность возникновения ситуации и возможный в этом случае ущерб (например, следует учесть деструктивные действия вирусов, неправильное назначение привилегий, отказ служб, перехват идентификационных данных и т.д.). Обязательно определите политику создания паролей, то есть требование к сложности паролей, их длине, а также к интервалу времени, после которого пароль должен быть изменен (вместо того чтобы назначать правила, которым должны соответствовать придуманные пользователями пароли, вы можете сами назначать им пароли и запретить их изменять). Независимо от того, сами ли вы назначаете пользователям пароли, или они этим занимаются самостоятельно, постарайтесь исключить передачу незашифрованных паролей через каналы связи вашей сети. Продумайте действия, связанные с аудитом. Необходимо учитывать, что механизмы аудита требуют для своей работы дополнительного дискового пространства, а также влияют на производительность. Определите, желаете ли вы, чтобы старые сообщения в журнале аудита перезаписывались спустя несколько дней, или будет лучше, если компьютер будет останавливаться в случае, если происходит переполнение журнала безопасности. Обязанность просмотра журнала безопасности вы можете делегировать другому лицу. Обязательно проанализируйте меры безопасности, связанные с использованием в сети кода, загружаемого из Интернета или получаемого из других непроверенных источников. Также продумайте процедуры, связанные с цифровой подписью писем, отправляемых от лиц, являющихся членами вашей сети.
Когда вы это проделали, вы уже имеете достаточно четкое представление, что же вы хотите получить в конечном итоге, а значит, ваши усилия по настройке безопасности будут целенаправленными, а не случайными, что исключает появление непредвиденных дыр и ошибок. Вы можете возразить, сказав, что все вышесказанное относится скорее к крупной корпоративной сети, нежели к сети какой-нибудь мелкой фирмы, которых, что уж говорить, большинство, и где насчитывается всего-то 10-15 компьютеров, связанных по витой паре. Действительно, в этом случае, скорее всего, не придется разрабатывать сложный документ, отражающий политику безопасности, мы призываем лишь к тому, чтобы еще перед установкой сети вы сели и по-думали: что, от кого и как вы будете защищать, а не делали это в самую последнюю очередь.
Итак, можете включать компьютер и начинать настраивать ОС. Поскольку мы только что установили систему, на компьютере у нас имеется всего две учетных записи: Администратор и Гость. Учетная запись Администратор позволяет полностью управлять компьютером, поскольку входит в группу Администраторы и, таким образом, обладает полным контролем над всей работой системы и ее безопасностью. К слову, учетная группа Администраторы — единственная, которая не может быть удалена или заблокирована ни при каких обстоятельствах, в эту группу обязательно должна входить хотя бы одна учетная запись. Гость — это учетная запись для тех пользователей, которые не зарегистрированы в системе. Для входа в систему в качестве гостя необязательно вводить пароль и предварительно регистрироваться. Таким образом, будьте особенно осторожны, при определении прав и привилегий учетной группы Гости. А лучше вообще отключите ее использование.
Вы уже наверняка заметили, при обсуждении безопасности Windows 2000 всплывают такие фундаментальные понятия, как учетная запись и учетная группа. Так как они имеют огромное значение для обсуждения всех последующих концепций защиты, их стоит обсудить подробнее.
Как известно, в Windows 2000 реализован многопользовательский интерфейс, который предоставляет возможность работать на одном компьютере нескольким людям. Для их учета и идентификации используются учетные записи, поэтому каждый, кто регулярно работает на локальном компьютере, должен иметь учетную запись пользователя, которая содержит информацию о пользователе, включая имя пользователя, его пароль и различные необязательные пункты, определяющие, помимо прочего, когда и каким образом пользователю разрешено входить в систему (с локального компьютера или, скажем, используя telnet). Из этого следует, что одна из ключевых задач администрирования состоит в создании учетных записей для отдельных пользователей и их групп. Отдельная учетная запись предоставляет индивидуальные настройки рабочей среды, в которые входят настройки рабочего стола и интерфейса пользователя, а также индивидуальные настройки отдельных приложений, которые использует данный пользователь (например, настройки почтовой программы будут различны для различных использующих ее людей), настройки печати, набор разрешенных для выполнения программ и так далее. При этом предполагается, что часть индивидуальных настроек пользователи устанавливают сами в соответствии со своими вкусами и потребностями, а часть устанавливает администратор, и эти настройки кроме него не имеет права менять никто. Управление учетными записями осуществляется с помощью оснастки «Локальные пользователи и группы», а также при помощи пункта панели управления — «Пользователи и пароли» (Users and Passwords). Сразу следует оговориться, что вариант использования «Пользователи и пароли» предоставляет значительно меньше возможностей, чем первый, и служит скорее для упрощения администрирования. Однако, с другой стороны, он предоставляет два уникальных параметра: автоматический вход в систему при загрузке с использованием особой учетной записи; определение необходимости нажатия комбинации клавиш Crt-Alt-Del для доступа к диалоговому окну Вход в систему.
Каждая учетная запись может иметь членство в одной или нескольких группах. При установке системы автоматически создаются шесть встроенных групп: Администраторы, Операторы архива, Гости, Опытные пользователи, Репликаторы и Пользователи. Попробуем пояснить, зачем же нужны эти группы. Права доступа в системе можно назначать вручную для каждой учетной записи, так чаще всего и поступают, если пользователей немного. Но что делать, если их, например, больше 100? Администратору предстоит бессонная ночь, если он попытается назначать права доступа всем им прямым присвоением. Ну а если пользователи все время приходят и уходят, администратор, как Жучка, будет этим заниматься практически постоянно, а это рано или поздно приведет к анархии в администрировании, так как никто не будет иметь представления о том, каким пользователям предоставлены разрешения и какие именно. Гораздо предпочтительнее хорошо разработать несколько групп и включать туда при необходимости те или иные учетные записи. Но не стоит думать, что использование групп служит только для облегчения работы администратора, вовсе нет, преимущества их использования должны быть очевидны и руководителям, и топ-менеджерам. Предположим, вы директор крупного предприятия. Вы работаете с самыми разными документами: финансовыми договорами, производственными бумагами, договорами о поставках и так далее, все они хранятся на сервере вашего предприятия, поскольку с ними работают и другие сотрудники. Вам, вполне естественно, хотелось бы ограничить доступ бухгалтеров к производственным документам, а инженеров — к финансовым. С этой целью можно создать две группы: «Финансисты» и «Техники», каждой из которых назначить доступ к нужным файлам. Затем учетная запись директора включается в каждую из этих групп, и вы получите доступ ко всем документам сразу. Назначая права доступа не отдельным пользователям и их учетным записям, а целым группам, администратор может сильно повысить эффективность своей работы, особенно если в сети работает много пользователей с разными правами доступа.
Связывание определенной учетной записи с конкретными правами доступа происходит с применением SID, которые есть и у обычных пользователей, и у групп, и даже у отдельных компьютеров. При этом права каждой учетной записи полностью определяются допустимым SID (подробнее о SID читайте в третьей части нашей статьи), который используется для назначения прав доступа к объектам (таким как файлы, сетевые ресурсы или принтер, каналы, задания, процессы, потоки и т. д.). Таким образом, если даже учетная запись пользователя является корректным SID, которому может быть предоставлено разрешение для доступа к сетевому ресурсу или права в системе, в общем случае следует избегать предоставления разрешений отдельным ученым записям пользователя. Правильнее будет пользоваться группами как основным механизмом обеспечения безопасности. Группа — это имя, аналогичное имени пользователя или имени учетной записи пользователя, которым можно пользоваться для работы с несколькими пользователями. Группы обеспечивают удобный способ назначения и последующего управления доступом для нескольких пользователей, выполняющих схожие задачи. Помещая учетные записи пользователей в группу, вы можете предоставить всем пользователям этой группы одинаковые возможности и ограничения. Если вам по-требуется изменить разрешения или права, назначенные пользователям в группе, достаточно будет модифицировать только одну учетную запись — запись группы.
Но права и разрешение на использование тех или иных ресурсов — это не единственное, что отличает различных пользователей одной сети или даже одного компьютера. Все мы люди, а значит, личности, то есть индивидуальности, поэтому у каждого из нас есть свои предпочтения и вкусы. Как писал классик: кто-то любит арбуз, а кто и свиной хрящик. При этом каждый обычно пытается эту свою индивидуальность выразить, поэтому поверхность десктопа очень быстро, словно скатертью, накрывается различными обоями и всевозможными иконками. Понятно, что люди, занимающиеся разной работой, обычно используют разные приложения, если десктоп у всех будет один и тот же — то он очень скоро превратится в «жуткое нечто», наполненное кучей ярлыков и ссылок. Работать эффективно будет почти невозможно. Поэтому все настройки рабочей среды, сделанные самим пользователем и называемые профи-лем пользователя, хранятся отдельно для каждого, кто пользуется компьютером. Локальный профиль пользователя хранится в папке Documents and Settings, перемещаемый профиль находится в специальной папке на выбранном для этого сервере, пути к которой прописаны для каждой учетной записи, использующей этот профиль. Однажды создав профиль пользователя, не хочется делать это заново в случае переустановки системы или изменения места работы пользователя. На этот случай предусмотрена очень приятная возможность: создание перемещаемого профиля, который хранится на сервере и может быть доступен на любом рядовом ее члене. Один из способов создания перемещаемого профиля — скопировать нужный про-филь в специальную папку на сервере, а затем переименовать файл настроек пользователя Ntuser.dat в Ntuser.man. После этого можно прописывать пути к этому профилю для нужных вам учетных записей, это делается либо с помощью оснастки Локальные пользователи и группы, либо — Active Directory — пользователи и компьютеры.
Напоследок рассмотрим еще один важный вопрос: аудит системы. Мы уже упоминали о том, что администратор может просматривать интересующие его события, происходящие в системе, и адекватным образом реагировать на них. Для того чтобы отслеживать в системе определенные события (успешные и неуспешные попытки произвести то или иное действие), аудит вначале нужно активизировать с помощью оснастки Групповые политики. Как правило, особый интерес представляют попытки доступа к определенным файлам или папкам, активизировать отслеживание таких событий можно прямо на вкладках свойств этих объектов. Но не стоит увлекаться и применять аудит ко всему подряд; не забывайте, что он достаточно сильно замедляет работу системы.
Итак, мы рассмотрели некоторые важные аспекты работы администратора локального компьютера и сети. На самом деле все несоизмеримо сложнее: дело в том, что кроме безопасности, про которую мы постарались рассказать поподробнее, есть еще много всего такого, чем в силу специфичности данной должности в России обычно приходится заниматься администратору: это и настройка сети со всеми вытекающими последствиями, и установка принтеров, новых устройств и, соответственно, драйверов для них, нового программного обеспечения и т. д. А если особенно повезет с работодателем, то, возможно, на администратора заодно повесят создание пары-тройки сайтов для организации, замену расходников для принтеров и различных копировальных аппаратов, что тоже несколько поможет расширить кругозор. Единственный совет, который можно дать в свете всего вышесказанного, — будьте открыты для обучения и познания, которого вам, скорее всего, достанется немало.
http://www.comprice.ru
<< Назад | <Оглавление> | Далее >>
