Windows Security
Date: 2015-10-07; view: 346.
Environment variables
Переменные среды позволяют обходиться без указания абсолютных путей к директориям. Например, если нам заранее неизвестна буква системного диска, мы всегда можем использовать переменную %systemdrive%, возвращающую букву диска, на котором установлена ОС. Также, переменные применяются для оптимизации кода - многократно повторяющемуся параметру (например, разделе реестра) можно назначить короткую переменную и использовать ее.
Хранятся переменные среды в реестре HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment и HKCU\Environment.
Переменные среды делятся на две категории:
• Переменные среды пользователя — указывают путь до пользовательских каталогов.
• Системные переменные — хранят данные о некоторых директориях операционной системы и конфигурации компьютера.
Просмотреть переменные среды можно набрав командуset в коммандной строке.
Синтаксис
Обращение к некоторой переменной среды возможно таким образом: %ИМЯ_ПЕРЕМЕННОЙ%. Также возможно выделение из переменной её части, например, печать различных частей переменной VAR с использованием командной строки Windows:
• Вывод содержимого переменной — echo %VAR%.
• Вывод первых четырёх символов — echo %VAR:~0,4%.
• Вывод символов с третьего по шестой — echo %VAR:~2,4%
• Вывод последних четырёх символов — echo %VAR:~-4%
Также могут быть созданы свои переменные коммандой SET
· Чтобы добавить переменную, введите в командной строке:
set имя_переменной=значение
· Чтобы отобразить переменную, введите в командной строке:
set имя_переменной
· Чтобы удалить переменную, введите в командной строке:
set имя_переменной=
Например,
SET MyVariable = C:\TEMP
задает переменную MyVariable, которая будет возвращать путь к указанной папке.
Важно: Переменные, задаваемые командой set, действуют лишь на протяжении командной сессии, в которой они были заданы
В x64 были добавлены %ProgramFiles(x86)%, %CommonProgramFiles(x86)%, %CommonProgramW6432%, %ProgramW6432%
Рассмотрим некоторые аспекты безопасности в ОС Windows.
В Windows 7 можно выделить следующие основные средства безопастности:
· Windows Defender (Защитник Windows)— программный продукт компании Microsoft, созданный для того, чтобы удалять, помещать в карантин или предотвращать появление spyware-модулей в операционных системах Microsoft Windows.
· Windows Firewall (Брандма́уэр Windows) — встроенный межсетевой экран. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
· User Account Control (UAC)
Типы объектов на которые возможно разграничить права в ОС Windows”
· Каталоги и файлы. Процедуры задания правил доступа различаются для локальных и разделяемых (share) каталогов и файлов. Операции: read, full control, change, add, ...;
· Реестр;
· Принтеры;
· Операционная система. По отношению к этому типу объектов определяются права по выполнению различных сервисов и утилит: вход, архивирование файлов, изменение конфигурации панелей, ...
Операции доступа - это действия объектов над субъектами. Операции могут быть либо разрешены, либо запрещены, либо вообще не иметь смысла для данной пары объекта и субъекта.
Все множество операций разделяется на подмножества, имеющие особые названия:
· разрешения (permissions) - это множество операций, которые могут быть определены для субъектов всех типов по отношению к объектам типа файл, каталог или принтер;
· права ( user rights) - определяются для объектов типа группа на выполнение некоторых системных операций: создание резервных копий, выключение компьютера (shutdown) и т.п. Права назначаются с помощью User Manager for Domains;
· возможности пользователей (user abilities) - определяются для отдельных пользователей на выполнение действий, связанных с формированием их операционной среды, например, изменение состава программных групп, показываемых на экране дисплея, включение новых иконок в Desktop, возможность использования команды Run и т.п.
В ОС Windows использует три типа групп: локальные, глобальные и специальные. Каждый тип имеет свое назначение, возможности и ограничения.
· Локальные группы дают пользователям права и разрешения на ресурсы того компьютера , где хранится учетная информация локальной группы.
· Глобальная группа пользователей - это группа, которая имеет имя и права, глобальные для всей сети
· Специальная группа - используется для системного доступа. Специальные группы не содержат учетной информации пользователей и групп
Существует 4 типа специальных групп:
· Network (Cетевая)
· Interactive (Интерактивная)
· Everyone (Каждый)
· Creator Owner (Создатель-Владелец).
Любой пользователь, который хочет получить доступ к разделяемому ресурсу по сети, автоматически становится членом группы Network. Пользователь, локально вошедший в компьютер, автоматически включается в группу Interactive. Один и тот же пользователь в зависимости от того, как он работает с компьютером, будет иметь разные права. Любой пользователь сети является членом группы Everyone. Администратор может назначить группе Everyone любые права. При этом администратор может предоставить любые права пользователю, не заводя на него учетной информации на своем компьютере. Группа Creator Owner содержит учетную информацию пользователя, который создал ресурс или владеет им.
В ОС Windows используются следующие встроенные локальные группы:
| Administrators | Server Operators | Account Operators | Print Operators | Backup Operators | Everyone | Users | Guests | |
| Права | ||||||||
| Log on locally (локальный логический вход ) | * | * | * | * | * | O | O | O |
| Access this computer from network (доступ к данному компьютеру через сеть) | * | O | O | O | O | * | O | O |
| Take ownership of files (установление прав собственности на файлы) | * | O | O | O | O | O | O | O |
| Manage auditing and security log (управление аудитингом и учетом событий, связанных с безопасностью) | * | O | O | O | O | O | O | O |
| Change the system time (Изменение системного времени) | * | * | O | O | O | O | O | O |
| Shutdown the system (Останов системы) | * | * | O | O | * | O | O | O |
| Force shutdown from remote system (Инициация останова с удаленной системы) | * | * | O | O | O | O | O | O |
| Backup files and directories (Резервное копирование файлов и каталогов) | * | * | * | * | * | O | O | O |
| Restore files and directories (Восстановление файлов и каталогов со стриммера) | * | * | O | O | * | O | O | O |
| Load and unload device drivers (Загрузка и выгрузка драйверов устройств) | * | O | O | O | O | O | O | O |
| Add workstation to domain (Добавление рабочих станций к домену) | * | O | O | O | O | O | O | O |
| Встроенные права | ||||||||
| Create and manage user accounts (Создание и управление пользовательской учетной информацией) | * | O | *1 | O | O | O | O | O |
| Create and manage global groups (Создание и управление глобальными группами) | * | O | *1 | O | O | O | O | O |
| Create and manage local groups (Создание и управление локальными группами) | * | O | *1 | O | O | O | *2 | O |
| Assign user rights (Назначение прав для пользователей) | * | O | O | O | O | O | O | O |
| Manage auditing of system events (Управление аудитингом системных событий) | * | O | O | O | O | O | O | O |
| Lock the server (Блокирование сервера) | * | * | O | O | O | *3 | O | O |
| Override the lock of the server (Преодоление блокировки сервера) | * | * | O | O | O | O | O | O |
| Format server's hard disk (Форматирование жесткого диска сервера) | * | * | O | O | O | O | O | O |
| Create common groups (Создание общих групп) | * | * | O | O | O | O | O | O |
| Keep local profile (Хранение локального профиля) | * | * | * | * | * | O | O | O |
| Share and stop sharing directories (Разделение и прекращение разделения каталогов) | * | * | O | O | O | O | O | O |
| Share and stop sharing printers (Разделение и прекращение разделения принтеров) | * | * | O | * | O | O | O | O |
1Операторы учетной информации (Accounts operators) не могут изменять учетную информацию администраторов, или же изменять глобальную группу Domain Admins или локальные группы Administrators, Server Operators, Account Operators, Print Operators или Backup Operators.
2Хотя члены группы Users имеют право создавать локальные группы домена, но они не смогут им воспользоваться, если им не разрешено входить локально в сервер или не разрешено пользоваться утилитой User Manager for Domains.
3Хотя Everyone имеет право блокировать сервер, только пользователи, которые могут также входить локально в этот сервер могут в действительности его заблокировать
| <== previous lecture | | | next lecture ==> |
| Registry | | | Networking |