Ранее в этой книге мы с вами рассмотрели все стандартные групповые политики операционной системы Windows Vista, задаваемые при помощи разделов КОНФИГУРАЦИЯ КОМПЬЮТЕРА/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ и КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ. Однако в этих разделах содержится только часть групповых политик Windows — остальную часть групповых политик, определяемую разделом КОНФИГУРАЦИЯ КОМПЬЮТЕРА/ПАРАМЕТРЫ БЕЗОПАСНОСТИ, мы сейчас и рассмотрим.

Раздел Политики учетных записей

Раздел КОНФИГУРАЦИЯ КОМПЬЮТЕРА/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ предназначен для определения правил, ограничивающих параметры создания паролей и их ввода. Он состоит из двух дочерних подразделов: ПОЛИТИКИ ПАРОЛЕЙ и ПОЛИТИКА БЛОКИРОВКИ УЧЕТНОЙ ЗАПИСИ. Эти подразделы содержат в себе наборы правил, которые изменяют отдельные биты параметра BINARY-типа F, расположенного в ветви реестра HKLM\SAM\SAM\Domains\Account.

Раздел Политики паролей

Правила данного раздела позволяют указать ограничения на наборы букв, которые можно использовать в качестве паролей. Названия этих правил, а также биты параметра F, которые эти правила изменяют, описаны в таблице 7.05.

Как правило, назначение правила понятно из его названия. Однако это утверждение верно не для всех правил, поэтому давайте вкратце рассмотрим назначение некоторых из них.

• ВЕСТИ ЖУРНАЛ ПАРОЛЕЙ. Определяет количество уникальных паролей, которые пользователь должен использовать перед тем, как ему будет разрешено в качестве пароля использовать ранее применявшуюся строку.
• ПАРОЛЬ ДОЛЖЕН ОТВЕЧАТЬ ТРЕБОВАНИЯМ СЛОЖНОСТИ. Если данное правило установлено, тогда пароль должен состоять более чем из 6 знаков, среди которых обязательно должны быть строчные и прописные символы, числа, и не буквенно-цифровые знаки (№, $, !, & и т.д.).

Таблица 7.05. Подраздел Политики паролей

Вести журнал паролей 83 байт.
Максимальный срок действия паролей набор байт после 25 байта.
Минимальная длина пароля 81 байт.
Минимальный срок действия пароля набор байт после 34 байта.
Пароль должен отвечать требованиям сложности 77 байт: присваивает значение 01.
Хранить пароли используя обратимое шифрование 77 байт: присваивает значение 10.

Раздел Политика блокировки учетной записи

Правила данного раздела предназначены для определения условий, при которых после неудачного ввода пароля попытка входа от имени соответствующей учетной записи будет заблокирована. Эти правила, и биты, которые они изменяют, представлены в таблице 7.06.

Правило ПОРОГОВОЕ ЗНАЧЕНИЕ БЛОКИРОВКИ определяет количество неудачных попыток ввода пароля (размер счетчика неудачных попыток), по истечении которого соответствующая учетная запись будет заблокирована. При каждой неудачной попытке ввода пароля счетчик неудачных попыток увеличивается на единицу. При этом правило ВРЕМЯ ДО СБРОСА СЧЕТЧИКА БЛОКИРОВКИ определяет интервал времени, по истечении которого счетчик неудачных попыток будет сброшен в ноль.

Таблица 7.06. Подраздел Политика блокировки учетной записи

Пороговое значение блокировки 85 байт параметра.
Продолжительность блокировки учетной записи набор байт, начиная с 50 байта.
Время до сброса счетчика блокировки набор байт, начиная с 58 байта.

Раздел Локальные политики

Данный раздел является основным разделом групповых политик, предназначенным для настройки параметров безопасности компьютера.

Раздел Политика аудита

С помощью данного раздела выполняется включение и отключение параметров аудита операционной системы Windows Vista. Элементы данного раздела будут описаны ниже.

Раздел Назначение прав пользователя

Раздел НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ позволяет управлять назначением привилегий и прав определенным пользователям или группам пользователей.

Политики назначения привилегий

Привилегией можно назвать право определенного пользователя на выполнение той операции, которую по умолчанию пользователю выполнять запрещено. Как правило, привилегии используются при работе процессов — сведения о привилегиях, которые доступны пользователю, запустившему процесс, заносятся в маркер доступа. Также привилегии используются при работе служб — ранее мы с вами даже узнали, что при помощи параметра RequiredPrivileges раздела службы определяются дополнительные привилегии, которые предоставлены соответствующей службе.

В таблице 7.07 представлен список привилегий, которые можно назначить при помощи раздела НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ, а также названия политик данного раздела, которые эти привилегии назначают.

Таблица 7.07. Возможные привилегии

SeBackupPrivilege Архивация файлов и каталогов
SeChangeNotifyPrivilege Обход перекрестной проверки
SeCreateGlobalPrivilege Создание глобальных объектов
SeCreatePagefilePrivilege Создание файла подкачки
SeCreateSymbolicLinkPrivilege Создание символических ссылок
SeDebugPrivilege Отладка программ
SeImpersonatePrivilege Имитация клиента после проверки подлинности
SeIncreaseBasePriorityPrivilege Увеличение приоритета выполнения
SeIncreaseQuotaPrivilege Настройка квот памяти для процесса
SeIncreaseWorkingSetPrivilege Увеличение рабочего набора процесса
SeLoadDriverPrivilege Загрузка и выгрузка драйверов устройств
SeManageVolumePrivilege Выполнение задач по обслуживанию томов
SeProfileSingleProcessPrivilege Профилирование одного процесса
SeRemoteShutdownPrivilege Принудительное удаленное завершение работы
SeRestorePrivilege Восстановление файлов и каталогов
SeSecurityPrivilege Управление аудитом и журналом безопасности
SeShutdownPrivilege Завершение работы системы
SeSystemEnvironmentPrivilege Изменение параметров среды изготовителя
SeSystemProfilePrivilege Профилирование производительности системы
SeSystemtimePrivilege Изменение системного времени
SeTakeOwnershipPrivilege Смена владельцев файлов и других объектов
SeTimeZonePrivilege Изменение часового пояса
SeTcbPrivilege Работа в составе операционной системы
SeUndockPrivilege Отключение компьютера от стыковочного узла

Основные привилегии

А теперь давайте вкратце рассмотрим основные привилегии, используемые операционной системой Windows Vista, а также перечислим пользователей и имена служб, которым эти привилегии предоставлены. Однако перед этим хочется заметить одно нововведение операционной системы Windows Vista — теперь при помощи политик раздела НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ можно не только назначать привилегии пользователям, но и прочитать описание соответствующих привилегий.

SeBackupPrivilege Привилегия предоставлена группам: Администраторы, Операторы архива и Операторы сервера. Привилегия предоставлена службам: idsvc, PlugPlay, ProfSvc, seclogon, swprv, wbengine, WinDefend, Appinfo, DcomLaunch, DFSR.

Разрешает службе или учетной записи выполнять операции резервного копирования. Данная привилегия позволяет учетной записи или службе открывать файлы и каталоги, независимо от того, разрешена для них эта операция при помощи DACL или нет. Данная привилегия позволяет обходить проверку таких разрешений, как ОБЗОР ПАПОК/ВЫПОЛНЕНИЕ ФАЙЛОВ, СОДЕРЖИМОЕ ПАПКИ/ЧТЕНИЕ ДАННЫХ, ЧТЕНИЕ АТРИБУТОВ, ЧТЕНИЕ РАСШИРЕННЫХ АТРИБУТОВ, ЧТЕНИЕ РАЗРЕШЕНИЙ, READ PERMISSIONS. При этом DACL обходится только в том случае, если установлен флаг FILE_FLAG_BACKUP_SEMANTIC.

SeChangeNotifyPrivilege Привилегия предоставлена группам: Администраторы, Операторы архива, Пользователи, Все. Привилегия предоставлена службам: учетная запись локальной службы, учетная запись сетевой службы.

Разрешает службе или учетной записи не проходить все проверки прав доступа пользователя при проходе многоуровневых каталогов (проверки прав доступа к вложенным каталогам). Данная привилегия не предоставляет прав на просмотр содержимого каталога, если эти права вам не предоставлены DACL, однако она позволяет выполнять обзор каталога.

SeCreateGlobalPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: учетная запись локальной службы, учетная запись сетевой службы.

Данная привилегия впервые появилась в Windows 2000 SP4. Она разрешает процессу создание разделов и символьных ссылок во время сеанса службы терминалов.

SeCreatePagefilePrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: msiserver, wuauserv.

Разрешает службе или учетной записи создание файла подкачки при помощи специальных API-функций.

SeCreateSymbolicLinkPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: нет.

Данная привилегия позволяет пользователю создавать символические ссылки. Определить, какие виды символьных ссылок доступны в операционной системе, можно при помощи команды программы командной строки fsutil behavior set.

SeDebugPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: IKEEXT, PcaSvc, PlugPlay, ProfSvc, SysMain, Themes, UI0Detect, WdiSystemHost, WerSvc, WinDefend, Wlansvc, Appinfo, COMSysApp, DcomLaunch, EapHost.

Разрешает службе или учетной записи производить отладку системного процесса с помощью подключаемого отладчика программ. Это позволяет процессам получать доступ к другим процессам, минуя проверку их дескриптора защиты.

SeImpersonatePrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: учетная запись локальной службы, учетная запись сетевой службы.

Данная привилегия впервые появилась в Windows 2000 SP4. Она разрешает процессам выполнять олицетворение других процессов.

SeIncreaseBasePriorityPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: MMCSS, msiserver, swprv, CscService.

Разрешает службе или учетной записи увеличивать приоритет, с которым выполняются процессы. Например, пользователь это сможет сделать при помощи окна диспетчера задач.

SeIncreaseQuotaPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: учетная запись локальной службы, учетная запись сетевой службы.

Разрешает службе или учетной записи увеличивать квоту на доступный объем памяти, назначенную запущенному процессу. Привилегия предоставлена службам:

SeIncreaseWorkingSetPrivilege Привилегия предоставлена группам: Пользователи. Привилегия предоставлена службам: Audiosrv.

SeLoadDriverPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: IPBusEnum, msiserver, PlugPlay, RemoteAccess, SharedAccess, Spooler, UmRdpService, DFSR.

Разрешает службе или учетной записи загружать и выгружать драйверы устройств режима ядра. Данная привилегия не относится к драйверам, поддерживающим Plug`n`Play.

SeManageVolumePrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: swprv, wbengine, Wsearch.

Данная привилегия необходима для выполнения проверки диска или его дефрагментации.

SeProfileSingleProcessPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: msiserver, SysMain, WdiSystemHost.

Разрешает службе или учетной записи собирать информацию о профилях одиночного процесса. Данная привилегия необходима для работы службы предвыборки данных. В частности, эта привилегия необходима для использования средства мониторинга производительности несистемных процессов.

SeRemoteShutdownPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: нет.

Данная привилегия необходима, чтобы процесс winlogon.exe разрешил удаленно завершить работу компьютера.

SeRestorePrivilege Привилегия предоставлена группам: Администраторы и Операторы архива. Привилегия предоставлена службам: idsvc, msiserver, PlugPlay, ProfSvc, Schedule, seclogon, swprv, TrkWks, wbengine, WinDefend, Appinfo, DcomLaunch, DFSR.

Разрешает службе или учетной записи выполнять операции восстановления.

Данная привилегия позволяет учетной записи или службе открывать файлы и каталоги, независимо от того, разрешена для них эта операция при помощи DACL или нет. При этом данная политика позволяет обходить проверку таких разрешений, как ОБЗОР ПАПОК/ВЫПОЛНЕНИЕ ФАЙЛОВ и ЗАПИСЬ. Однако DACL обходится только в том случае, если установлен флаг FILE_FLAG_BACKUP_SEMANTIC.

SeSecurityPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: msiserver, PlugPlay, UxSms, WinDefend, CertPropSvc, DFSR, gpsvc.

Данная привилегия необходима для доступа к SACL дескриптора защиты, а также для чтения и очистки журнала событий безопасности. Она идентифицирует своего владельца в качестве оператора системы безопасности.

SeShutdownPrivilege Привилегия предоставлена группам: Администраторы, Операторы архива, Пользователи. Привилегия предоставлена службам: msiserver, AppMgmt.

Разрешает службе или учетной записи завершать работу операционной системе.

SeSystemEnvironmentPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: нет.

Данная привилегия необходима для чтения переменных окружения микрокода из энергонезависимой памяти компьютеров (Nonvolatile RAM) при помощи HAL. Эта привилегия применима только к компьютерам с архитектурой, отличной от x86 — единственное, к чему можно получить доступ при помощи этой привилегии на компьютерах x86, так это к сведениям о последней удачной конфигурации. Также эта привилегия требуется для установки и модернизации операционной системы.

SeSystemProfilePrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: нет.

Проверяется API-функцией NTCREATEPROFILE. Данная привилегия необходима для использования средства мониторинга производительности системных процессов.

SeSystemtimePrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: W32Time.

Разрешает изменять на компьютере время и дату.

SeTakeOwnershipPrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: idsvc, msiserver, PlugPlay, ProfSvc, SharedAccess, SysMain, AppMgmt, CertPropSvc, gpsvc.

Разрешает службе или учетной записи получать права владельца на любой объект файловой системы (объекты Active Directory, файлы и папки, принтеры, разделы реестра, процессы и потоки), но не предоставляет полного доступа к объекту. При этом можно выполнять только те операции над объектом, которые законно предоставлены владельцу.

SeTimeZonePrivilege Привилегия предоставлена группам: Администраторы. Привилегия предоставлена службам: нет.

Данная привилегия разрешает пользователю изменять временную зону, установленную в операционной системе.

SeTcbPrivilege Привилегия предоставлена группам: никому. Привилегия предоставлена службам: idsvc, IKEEXT, MSiSCSI, msiserver, PlugPlay, RasAuto, RasMan, Schedule, SCPolicySvc, seclogon, SENS, Spooler, swprv, SysMain, TabletInputService, UI0Detect, UxSms, WdiSystemHost, wercplsupport, WerSvc, Wlansvc, Wsearch, wuauserv, AeLookupSvc, Appinfo, BITS, CertPropSvc, CscService, DcomLaunch, dot3svc, EapHost, gpsvc.

Повышает общие права службы или учетной записи до уровня операционной системы (идентифицирует владельца привилегии как часть доверенного блока компьютеров). Например, это позволяет создавать новый сеанс от имени любого локального пользователя, относящегося к любой группе (позволяет олицетворять любого пользователя локального компьютера без аутентификации, и получать доступ к тем ресурсам, к которым может получить доступ другой пользователь).

SeUndockPrivilege Привилегия предоставлена группам: Администраторы, Пользователи. Привилегия предоставлена службам: PlugPlay.

Данная привилегия необходима, чтобы Plug`n`Play разрешил извлечение компьютера из стыковочного устройства.

Продолжение следует