Téma 4: Správa uživatelského přístupu a zabezpečení II
Téma 4: Správa uživatelského přístupu a zabezpečení II
1
Téma 4: Správa uživatelského přístupu a zabezpečení II
Teoretické znalosti V tomto cvičení si ukážeme, jak pracovat s místními uživatelskými účty a skupinami pomocí nástroje Správa počítače. Vyzkoušíte si vytvořit uživatele, skupinu a dozvíte se něco o uživateli Guest. V minulém cvičení jsme si ukázali, jak jednoduše vytvořit uživatele pomocí Ovládacích panelů v sekci Uživatelských účtů. Zkušení správci systému případně serveru spravují ať už doménové nebo místní účty pomocí editoru Správy počítače - Místní uživatelé a skupiny nebo předvolby skupin v rámci domény. Při vytváření uživatele poskytuje tento nástroj kromě standardních atributů (jméno, heslo, apod.) například možnosti jako: Při dalším přihlášení musí uživatel změnit heslo - používá administrátor pro nově vytvořené účty s přednastaveným heslem. Uživatel nemůže měnit heslo - v tomto případě musí uživatel používat heslo, které dostal přidělené. Heslo je platné stále - platnost hesla nikdy nevyprší. Toto pravidlo má přednost před nastaveními v zásadách pravidelných změn hesel. Účet je zablokován - toto nastavení je vhodné použít při dočasném vypnutí účtu.
Při vytváření skupin postupujeme podobně jako u uživatelů. Stačí zadat název skupiny a přiřadit ji patřičné uživatelské účty.
Poslední věc, na kterou se v tomto cvičení zaměříme je uživatel Guest. Tento host účet bývá ve výchozím nastavení systému vypnutý. Na některých PC může být nutné tento účet nastavit, aby se k němu mohli připojovat návštěvníci. Je důležité pečlivě řídit, jak bude k tomuto účtu přistupováno. 2
Téma 4: Správa uživatelského přístupu a zabezpečení II
Chcete-li vytvořit zabezpečený účet Guest, musíte postupovat takto: Povolit použití účtu Guest. Nastavit bezpečné heslo. Zajistit, aby nemohl být používán po síti. Zakázat možnost vypnutí PC. Zabránit uživateli prohlížet protokoly událostí.
3
Téma 4: Správa uživatelského přístupu a zabezpečení II
Zadání cvičení 1. Vytváření místních uživatelských účtů a skupin 1.1. Vytvoření místního uživatelského účtu - pomocí konzole Správy počítače vytvořte uživatelský účet student. Nastavte mu, aby byl při první přihlášení vyzván ke změně hesla. Vyzkoušejte si přihlášení na tohoto uživatele (Správa Počítače -> Systémové nástroje). 1.2. Vytvoření místní skupiny - vytvořte skupinu studenti a přidejte do ní nově vytvořeného uživatele. 2. Editace místních účtů a skupin 2.1. Upravení skupiny - přidejte uživatele FimUHK do skupiny studenti. 2.2. Upravení uživatele - dočasně zakažte účet student a vyzkoušejte funkčnost. Poté ho opět povolte. 3. Účet Guest 3.1. Povolení účtu - povolte účet Guest (Správa Počítače -> Systémové nástroje). 3.2. Heslo - nastavte heslo účtu. 3.3. Připojení po síti - zakažte vzdálené připojení k účtu Guest(secpol.msc -> Místní zásady -> Přiřazení uživatelských práv). 3.4. Vypnutí PC - zakažte možnost vypnutí PC. 3.5. Protokoly událostí - zakažte možnost prohlížet protokoly událostí (regedit -> HKLM\SYSTEM\CurrentControlSet\Services\Eventlog -> Aplication, Security, System -> RestrictGuestAccess = 1).
4
Téma 4: Správa uživatelského přístupu a zabezpečení II
Řešení: 1. Vytváření místních uživatelských účtů a skupin 1.1. Vytvoření místního uživatelského účtu - pomocí konzole Správy počítače vytvořte uživatelský účet student. Nastavte mu, aby byl při první přihlášení vyzván ke změně hesla. Vyzkoušejte si přihlášení na tohoto uživatele (Správa Počítače -> Systémové nástroje). 1.1.1. V liště start začněte psát sprá a objeví se jako první odkaz na Správa počítače.
1.1.2. Ve stromě se přesuňte do sekce Místní uživatelé a skupiny.
1.1.3. Pravým tlačítkem klikněte do volného prostoru pravé části okna a vyberte Nový uživatel.
1.1.4. Vyplňte příslušné údaje a zaškrtněte políčko Při dalším přihlášení musí uživatel změnit heslo.
5
Téma 4: Správa uživatelského přístupu a zabezpečení II
1.1.5. Uživatel student se objeví v seznamu uživatelů.
1.1.6. Odhlaste se a zkuste se přihlásit jako uživatel student. Systém bude požadovat změnu hesla.
1.2. Vytvoření místní skupiny - vytvořte skupinu studenti a přidejte do ní nově vytvořeného uživatele. 1.2.1. V nástroji Správa počítače zvolte složku Skupiny a znovu pravým tlačítkem do volného prostoru otevřete okno pro vytváření nové skupiny.
1.2.2. Vyplňte název a poté klepněte na tlačítko Přidat.
6
Téma 4: Správa uživatelského přístupu a zabezpečení II
1.2.3. Zadejte název student a stiskněte Kontrola názvů, abyste měli jistotu, že tento uživatel v systému opravdu existuje. Systém sám doplní před uživatelské jméno lomítko s názvem PC nebo domény.
1.2.4. Po stisknutí Vytvořit se objeví vytvořená skupina mezi ostatními.
7
Téma 4: Správa uživatelského přístupu a zabezpečení II
2. Editace místních účtů a skupin 2.1. Upravení skupiny - přidejte uživatele FimUHK do skupiny studenti. 2.1.1. V nastavení místních skupin pravým tlačítkem klikněte na Vlastnosti.
2.1.2. Pro přidání zvolte tlačítko Přidat. 2.1.3. Napište FimUHK a znovu vyberte Kontrola názvů.
2.1.4. V sekci členové se zobrazí uživatel FimUHK.
2.2. Upravení uživatele - dočasně zakažte účet student a vyzkoušejte funkčnost. Poté ho opět povolte. 2.2.1. Dočasné zakázání účtu se provádí téměř stejným způsobem jako vytváření. Klepněte pravým tlačítkem na student a vyberte vlastnosti.
2.2.2. Zaškrtněte volbu Účet je zakázán. 8
Téma 4: Správa uživatelského přístupu a zabezpečení II
2.2.3. Odhlaste se a vyzkoušejte přihlášení na student.
Povolte účet zpět.
9
Téma 4: Správa uživatelského přístupu a zabezpečení II
3. Účet Guest 3.1. Povolení účtu - povolte účet Guest (Správa Počítače -> Systémové nástroje). 3.1.1. Stejným způsobem jako jsme zakázali účet student. Nyní povolíme účet Guest. Pravé tlačítko -> Vlastnosti.
3.1.2. Odtrhnout Účet je zakázán.
3.2. Heslo - nastavte heslo účtu. 3.2.1. Znovu pravým tlačítkem na Guest, ale tentokrát vyberte možnost Nastavit heslo.
3.2.2. Zadejte dvakrát heslo a stiskněte OK.
Přihlášením na uživatele můžete ověřit funkčnost.
10
Téma 4: Správa uživatelského přístupu a zabezpečení II
3.3. Připojení po síti - zakažte vzdálené připojení k účtu Guest (secpol.msc -> Místní zásady -> Přiřazení uživatelských práv). 3.3.1. V liště Start zadejte příkaz secpol.msc.
3.3.2. Otevře se konzole pro nastavení Místních zásad zabezpečení. 3.3.3. V Místní zásady -> Přiřazení uživatelských práv vyberte zásadu Odepřít přístup k tomuto počítači ze sítě.
3.3.4. V tomto okně jsou zobrazeny uživatelské účty, na které není možno se přihlásit vzdáleně ze sítě. Výchozí nastavení již účet Guest obsahuje.
11
Téma 4: Správa uživatelského přístupu a zabezpečení II
3.4. Vypnutí PC - zakažte možnost vypnutí PC. 3.4.1. Ve stejném okně vyberte tentokrát zásadu Vypnout systém.
3.4.2. Na rozdíl od předchozí zásady, zde jsou vypsáni uživatelé nebo skupiny, kteří mohou vypínat PC.
3.5. Protokoly událostí - zakažte možnost prohlížet protokoly událostí (regedit -> HKLM\SYSTEM\CurrentControlSet\Services\Eventlog -> Aplication, Security, System -> RestrictGuestAccess = 1). 3.5.1. Do lišty Start zadejte příkaz regedit 12
Téma 4: Správa uživatelského přístupu a zabezpečení II
3.5.2. Přesuňte se do části HKLM\SYSTEM\CurrentControlSet\Services\Eventlog, kde v podklíči Application otevřete RestrictGuestAccess.
Hodnota 1 znamená, že uživatel Guest nemá právo číst protokol událostí aplikací. 3.5.3. To samé proveďte pro podklíč Security.
13
Téma 4: Správa uživatelského přístupu a zabezpečení II
3.5.4. A naposled ještě pro System.
V tuto chvíli je uživatel Guest správně nastaven a zabezpečen.
14
