Параметры безопасности по умолчанию
Параметры безопасности по умолчанию для Windows 2000 могут быть описаны с помощью разрешений, предоставляемых группам, использующимся по умолчанию («Администраторы», «Опытные пользователи», «Пользователи» и «Операторы архива»), а также трем специальным группам:
Администраторы
Члены группы «Администраторы» могут выполнять все действия, поддерживаемые операционной системой. Параметры безопасности по умолчанию не запрещают административный доступ к любому объекту реестра или файловой системы. Администраторы могут наделять себя всеми правами, которые у них отсутствуют по умолчанию.
В идеале административный доступ должен использоваться только для выполнения следующих действий:
- установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее);
- установки пакетов обновления;
- обновления операционной системы;
- восстановления операционной системы;
- настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
- вступления во владение файлами, ставшими недоступными;
- управления журналами безопасности и аудита;
- архивирования и восстановления системы.
На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.
Пользователи
Группа «Пользователи» предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы.
Пользователи могут
· выключать рабочие станции, но не серверы.
· создавать локальные группы, но управлять могут только теми, которые они создали.
· запускать сертифицированные программы для Windows 2000, которые были установлены или развернуты администраторами.
Пользователи имеют полный доступ к своим файлам данных (%userprofile%) и своей части реестра (HKEY_CURRENT_USER).
Пользователи не могут:
· изменять параметры реестра на уровне системы, файлы операционной системы или программы,
· устанавливать программы, которые могут быть запущены другими пользователями.
У них также нет доступа к личным данным и настройкам рабочего стола других пользователей.
Для обеспечения безопасности системы Windows 2000 администратор должен:
- убедиться, что конечные пользователи являются членами только группы «Пользователи»;
- внедрять программы, например сертифицированные для Windows 2000, которые будут успешно выполняться членами группы «Пользователи».
Пользователи не могут запускать большинство программ для предыдущих версий Windows, поскольку предыдущие версии Windows либо не поддерживают безопасность файловой системы и реестра (Windows 95 и Windows 98), либо параметры безопасности системы по умолчанию недостаточно строгие (Windows NT). Если у пользователей возникают сложности с выполнением устаревших приложений на только что установленных системах NTFS, выполните одно из следующих действий.
- Установите новые версии приложений, сертифицированные для Windows 2000.
- Переместите конечных пользователей из группы «Пользователи» в группу «Опытные пользователи».
3. Уменьшите разрешения безопасности по умолчанию для группы «Пользователи». Это можно сделать при помощи совместимого шаблона безопасности. За дополнительными сведениями обращайтесь к разделу справки «Стандартные шаблоны безопасности» в ссылке «См. также».
Дата добавления: 2021-04-21; просмотров: 296;