2.

Sarcina și obiectivele lucrării de laborator

Scopul: Administrarea eficientă a conturilor, securizarea calculatorului prin

exploatarea eficientă a posibilităților standard din Windows, securizarea folderelor
ce conțin informații sensibile, securizarea
MS Office.

Sarcina lucrarii de laborator:

1. Crearea unui nou cont de utilizator

2. Securizarea directoarelor sensibile
3. Setarea parolei de intrare a folderului
4. Protejarea folderului în timp real odată cu pornirea SO
5. Crearea unui fișier nou în MS Office
6. Alegerea tipului de criptare pentru pentru securizarea fișierului
7. Securizarea fișierului din punct de vedere al utilizării macrocomenzilor

Obiectivele lucrarii de laborator:

 Familiarizarea cu tipurile conturilor de utilizator

 Înțelegerea metodelor de creare/modificare/ștergere a conturilor de
utilizator
 Înțelegerea conceptelor de grup de utilizatori, drepturi NTFS
 Familiarizarea cu metodele de securizare a accesului la resurse prin
asignarea de drepturi NTFS și administrarea directoarelor utilizate în comun
 Posibilitatea de a securiza fișierele ce aparțin MS Office
3.Contul nou creat cu toate setarile de securitate asociate lui .
Contul de utilizator local permite accesul doar pe staţia pe care a fost creeat contul
şi accesul doar la resursele acelei staţii.
În cazul în care suntem logaţi ca un simplu utilizatori în pagina Pick A Task avem
doar următoarele drepturi:

- Creare parolă pentru cont

- Modificare imagine
Însă celelalte obţiuni sunt blocate, adică nu avem acces la ele.Aceste obţiuni
sunt:
- Modificare nume cont
- Modificare tip cont
- Gestionare alt cont
- Modificare setări Control cont utilizatori
În cazul în care suntem logaţi ca administratori avem:
După cum observăm în cazul data avem controlul total asupra contului de utilizator
şi avem următoarele drepturi:

- Modificare nume cont

- Creare parolă
- Modificare imagine
- Configurare control parental
- Modificare tip cont
- Ştergere cont
- Gestionează alt cont
4. Analiza completă a modurilor de creare a conturilor .
Creara unui cont nou prin intermediul contol panel/user accounts
Aceasta reprezintă varianta “Limited”, adică posibilităţile noului utilizator şi
accesul la resursele calculatorului sunt limitate. El nu poate:

 crea,modifica,şterge alte conturi sau drepturile acestora

 scimba setările sistemului de operare
 să instaleze programe şi să aibă acces la toate fişierele,în afară de cele carei
sunt permise de catre administrator.

Crearea unui cont de utilizator prin opţiunea Administrative tools

Accesăm Control Panel-> Performance and Maintenance->Computer

Management->Sistem Tools->Local users and Groups->Users.
5. Modul în care are loc securizarea conturilor de utilizator şi a calculatorului
în ansamblu prin prisma conturilor de utilizator.

În cazul în care creăm un cont nou de utilizator prin control panel/ user acount
putem da doar un nume scurt unui utilizator, seta o parola si de limitat doar
citeva restricții. Prin aceasta obțiune chiar și un utilizator ce are puse doar
cîteva restricții mai poate crea un utilizator, însă in al 2 caz doar
administratorul poate face aces lucru. În cel de al 2 caz de creare a conturilor
de utilizatori este posibil de alocat numele complect a utilizatorului , de anexat
o descriere, setat o parolă.Aici apare niște obțiuni noi față de primul caz,
pasibilitatea de a cere schimbul parolei la ormatoare conectare la sistem,
interzicerea schimbului parolei utilizatorului, iar în caz de necesitate acest cont
poate fi oprit, însă nu complect șters.

După cele expuse mai sus observăm ca cea de a 2 soluție de creare a conturilor de
utilizatori este mult mai eficintă și permite de a seta mai mulți parametri.

6. Definirea opţiunilor care sunt în Administrative tools / Local security

policy/ account policies/password policy.
În cadrul Administrative tools sunt prezente urmatoarele instrumente:
 Windows PowerShell Modules
 Brandmaur Windows în regim de securitate înaltă
 Inițiator iSCSI
 Sursa de date (ODBC)
 Configurarea sistemului
 Politica locală de securitate
 Planificarea lucrului
 Vizualizarea evenimetelor
 Monitor de sistem
 Serviciul componentelor
 Servicii
 Mediu de verificare a memorie in Windows
 Mangementul calculatorului
 Managementul printării
Mai detaliat vom studia politica locală de securitate(Local security policy/account
policies/password policy)
În cadrul acestei obțiuni sunt cuprinse următoarele tipuri de setări a parolei:
 Activează parole de logare
Această setare de securitate determină numărul unic de parole noi, care trebuie
să fie alocat un cont de utilizator pentru a re-utiliza parola vechi. Numărul de
parole trebuie să fie 0 la 24.
Această politică permite administratorilor de a îmbunătăţi securitatea prin
garantarea faptului că parolele vechi nu vor fi reutilizate în mod continuu.
Implicit:
24 privind controlerele de domeniu.
0 pentru stand-alone servere.

 Parolă maximă
Această setare de securitate determină perioada de timp (în zile), timp în
care puteţi utiliza parola ca sistemul nu are nevoie utilizatorul pentru a schimba
aceasta. Parola poate fi 1 la 999 de zile, o valoare de 0 corespunde non-care expiră
parola. În cazul în care vârsta maximă parola este între 1 la 999 de zile, valoarea
durata minimă de parola trebuie să fie mai mică decât cea maximă. În cazul în care
vârsta maximă parola este 0, durata minimă a unei parole poate lua orice valoare în
intervalul 0 - 998 de zile.
Este recomandat pentru a seta parolele pentru durata de valoarea de 30 la 90 de
zile, în funcţie de mediul de lucru. În acest caz, atacatorul este limitat de timpul în
care el ar putea sparge parola şi să obţină acces la resurse de reţea.
Implicit: 42.

 Lungimea minimă a parolei

Această setare de securitate determină numărul minim de caractere care trebuie
să fie cuprinse în parola utilizatorului. Aveţi posibilitatea să setaţi o valoare de 1 la
14 de caractere, semne sau 0 în cazul în care parola nu este necesară.
  Password Minimum
Această setare de securitate determină perioada de timp (în zile), în care
utilizatorul trebuie să utilizaţi o parolă înainte de a putea fi schimbat. Aveţi
posibilitatea să setaţi o valoare de 1 la 998 de zile, sau permite de a schimba parola
imediat, setarea la 0 zile.
Valoarea durata minimă de parola trebuie să fie mai mică decât vârsta maximă
de parola, cu excepţia valorilor perioadei maxime de 0 zile, ceea ce înseamnă că
niciodată de valabilitate a parolei expira. În cazul în care vârsta maximă parola este
0, durata minimă a unei parole poate lua orice valoare în intervalul 0 - 998 de zile.
Setarea expirării minim parola este mai mare decât 0, pentru a permite
exploatarea forestieră de parole. Fără instalarea unui termen minim de parola,
utilizatorul poate schimba parolele în mod repetat, până când vor primi parola
vechea lor preferat. Valoarea implicită este setată faţă de această recomandare,
astfel încât administratorul poate atribui o parola de utilizator, apoi cere pentru a
schimba aceasta atunci când utilizatorul se conectează în sistem. În cazul în care
parolele jurnalul setată la 0, utilizatorul nu are nevoie pentru a alege o nouă parolă.
Din acest motiv, valoarea pentru un istoric a parolei implicit este 1.

 Parola trebuie să îndeplinească cerinţele de complexitate

Această setare de securitate determină dacă parola trebuie să îndeplinească
cerinţele de complexitate.
Dacă această politică este activată, parolele trebuie să îndeplinească
următoarele cerinţe minime.
Nu conţine numele contului de utilizator sau o parte a numelui de utilizator
complet mai mult de două personaje adiacente
Avand o lungime de cel puţin 6 caractere
Pentru a conţin semne de trei din următoarele patru categorii:
Litere de tipar latine (de la A la Z)
Latină mai mici litere (a, prin z)
 Cifre (0 la 9)
Care diferă de litere şi numere, semne (cum ar fi!, $, #,%)
Cerinţele aplicabile atunci când crearea sau schimbarea parole.
Implicit:

 Parolele se păstra utilizând criptare reversibile

Această setare de securitate determină dacă sistemul de operare utilizat pentru a
stoca parole de criptare reversibile.
Această politică oferă suport pentru aplicaţii care utilizează protocoale care
necesită cunoştinţe de parola utilizatorului pentru autentificare. Parolele se păstra
utilizând criptare reversibile - în esenţă, acelaşi lucru ca stocarea parolele în text
clar. Din acest motiv, această politică nu ar trebui să se aplice până la cerinţele de
aplicare nu devin mai greu decât cerinţele de protecţie a parole.
Această politică este necesar atunci când se utilizează autentificarea CHAP
protocolul prin intermediul serviciului de acces de la distanţă sau Internet
Authentication (IAS). De asemenea, este necesară atunci când se utilizează
autentificarea Digest în IIS.
7. Opţiunile ezistente în Administrative tools/Local security policy/local
policies/user rights assignement.
 În cadrul Administrative tools/Local security policy/local policies/user
rights assignement sunt prezente o serie de setări, ceea ce permite de a
restricționa sau da acces utilizatorilor pentru o securitate mai sporită a
calculatorului.
 Accesul la computer din reţea
Acest utilizator drept determină pe care utilizatorii şi grupurile cărora li se
permite să se conecteze la un computer din reţea. Acest drept de utilizare nu
afectează serviciul de desktop-uri de la distanţă.

 Încărcarea şi descărcarea drivere de dispozitiv

Acest utilizator drept determină care utilizatorii pot încărca dinamic şi descarcă
drivere de dispozitiv sau un alt cod în modul kernel-ului. Acest drept de utilizare
nu se aplică la drivere de dispozitiv pentru a Plug and Play. Nu atribui acest
privilegiu pentru alţi utilizatori.
Atenție
Scopul acestei legi, un utilizator ar putea prezenta un risc de securitate. Nu
atribui acest drept de a utilizatorului, de grup sau de proces, care nu este de dorit,
pentru a permite sistemului de control.
Prin mod implicit, staţii de lucru şi servere: Administratori.

 Autentificări Locale
Specifică utilizatorilor care pot Log on pe acest computer.
Atenție
Modificarea acestei setări pot afecta compatibilitatea cu clientii, servicii şi
aplicaţii. Informaţiile cu privire la compatibilitatea acestui opţiune, a se vedea
"Permite log on local" (http://go.microsoft.com/fwlink/?LinkId=24268) pe site-ul
de la Microsoft.
Implicit:
 • Pe statii de lucru şi servere: Administratori, Operatorii de backup, utilizatori şi
persoane.
• Pe controlere de domeniu: Cont operatori, administratori, Operatori de backup
şi Print Operatori.

 Depanare
Acest utilizator drept determină care utilizatorii pot conecta un depanator de
nici un proces sau a kernel-ului. atunci nu dreptul de a numi dezvoltatorii de
depanare propriile aplicaţii. Aceasta ar necesita dezvoltatorii pentru a depana noi
componente de sistem. Acest drept de utilizare oferă acces deplin la componente
importante ale sistemului de operare.
Atenție
Scopul acestui drept utilizatorul poate reprezenta un risc de securitate. Atribuiţi-
o numai pentru utilizatorii de încredere.
Implicit: Administratori
 Lucru pe sistemul de operare
Acest utilizator permite unui proces de dreptul de a juca rolul oricărui utilizator
fără autentificare. Procesul, prin urmare, pot avea acces la aceleaşi resurse locale,
ca utilizator.
Procesele care necesită un astfel de drept ar trebui să utilizeze conţine deja
LocalSystem dreptul de cont, şi nu un cont separat utilizator cu acest drept. Dacă
organizaţia dvs. utilizează numai serverele care rulează Windows Server 2003 de
familie, nu este necesar să se atribuie aceste drepturi pentru utilizatori. Cu toate
acestea, în cazul în care organizaţia dvs. utilizează serverele care rulează Windows
2000 sau Windows NT 4.0, numirea acestor drepturi pot fi necesare pentru
utilizarea de aplicaţii, de schimb de parole în format text simplu.

Atenție
Scopul acestei legi, un utilizator ar putea prezenta un risc de securitate. Atribuirea
unor astfel de drepturi doar pentru utilizatorii de încredere.
8. Lista de permisiuni pentru directoarele utilizate în comun .
Utilizarea în comun a fişierelor (simple file sharing) defineşte un model simplificat
de utilizare a resurselor împreuna cu alţi utilizatori locali sau cu utilizatori din
acelaşi workgroup fără configurarea permisiunilor NTFS sau a utilizării în comun a
directoarelor. Cînd opţiunea de utilizare în comun a fişierelor e activată, utilizatorii
au o singură opţiune – un director poate fi utilizat în comun sau nu de către toti
utilizatorii din reţea.
Cînd opţiunea de utilizare în comun a unui fişier e dezactivată, controlul asupra
modului în care utilizatorii accesează un astfel de director se realizează prin
asignarea permisiunilor de tip shared folder.
Permisiunile sunt următoarele:
 Read: se pot afişa numele directoarelor/fişierelor şi atributele lor, se pot rula
fişiere program;
 Change: se pot creea directoare, se pot adăuga fişiere în directoare, se pot
modifica date din fişiere, se pot adăuga date în fişiere, se pot modifica
atributele fişierelor, se pot şterge directoare şi fişiere; desemenea, sunt
permise toate acţiunile din cadrul permisiunilor de tip Read;
 Full Control: se pot modifica drepturile şi se pot executa toate acţiunile din
cadrul permisiunilor de tip Change.
Membrii grupurilor Administrators, Power Users şi utilizatorii cu drepturi de tip
Create Permanent Shared Folders pot creea directoare care apoi să sunt utilizate în
comun.

9. Metode de restricţionare a accesului la un folder creat .

Pentru o administrare uitlă pot fi folosite mai multe metode.Există opţiunea de a
utiliza posibilităţile ce ne oferă sistemul de operare sau de a utiliza un program
specializat de administrare (spre exemplu Security Administrator),care va oferi un
număr mare de restricţii asupra anumitor acţiuni al oricărui utilizator al
calculatorului. Bineînţeles că e mai uşor şi mai convenabil de utilizat un program
similar pentru administrare,însă cazul în care noi nu despunem de un asemenea
program şi trebuie să facem configurări de restricţie utilizînd instrumentele
sistemului de operare.
Pentru securizarea unui folder utilizăm aplicaţia Anvide Lock Folder 2.30.
Folder Anvide Lock - un program pentru a proteja foldere împotriva falsificării
neautorizate. Cu Anvide Lock Folder, puteți adăuga directorul pe lista de site-uri
protejate și o puneţi la statutul de "protejat". După aceea, alți utilizatori nu vor
putea vedea conținutul acesteia. Interfață drăguță , Anvide Lock Folder vă permite
să adăugați folderul la lista de protejat și ușor s-o puneţi într-un statut de protecție.
Programul Anvide Lock Folder este distribuit gratuit de către autor, nu are
restricții și malware sau adware. Anvide Lock Folder este în limba rusă, iar în
plus, funcționează fără instalarea sistemului de operare.
Interfaţa programului
Securizarea unui folder

10. Securizarea unui fişier în MS Office .

Solicitarea unei parole pentru a permite deschiderea sau modificarea unui
document
Utilizați parole puternice, care combină litere mari și mici, numere și simboluri.
Parolele slabe nu combină aceste elemente. Parolă puternică: Y6dh!et5. Parolă
slabă: Casa27. Parolele trebuie să aibă o lungime de 8 sau mai multe caractere. O
frază de acces care utilizează 14 sau mai multe caractere este mai bună. .Este
esențial să vă amintiți parola. Dacă uitați parola, Microsoft nu poate să o
regăsească. Depozitați într-un loc sigur parolele pe care le notați, departe de
informațiile pe care acestea le protejează.
1. Deschideți fișierul.
2. În meniul Instrumente, faceți clic pe Opțiuni, apoi faceți clic pe
Securitate.
3. Variante disponibile:

Setarea Microsoft Word pentru a recomanda deschiderea unui document

doar în citire
Aveți posibilitatea de a sugera, dar nu de a solicita ca utilizatorii să deschidă un
document doar în citire. Dacă un utilizator deschide documentul doar în citire și îl
modifică, acea persoană poate salva documentul numai dacă îi dă un alt nume de
fișier.
1. În meniul Instrumente, faceți clic pe Opțiuni.
2. Faceți clic pe Securitate.
3. Selectați caseta de selectare Recomandat doar în citire, iar apoi faceți clic
pe OK.
4. Faceți clic pe Salvare din bara de instrumente Standard

Modificarea setărilor de securitate pentru macrocomenzi din Excel

În Microsoft Excel, aveți posibilitatea să modificați setările de securitate pentru
macrocomenzi, pentru a controla ce macrocomenzi se execută și în ce condiții,
atunci când deschideți un registru de lucru.
Setările de securitate pentru macrocomenzi și efectele lor

Lista de mai jos rezumă diversele setări de securitate pentru macrocomenzi. Pentru
toate setările, dacă este instalat un program software antivirus care funcționează
împreună cu Microsoft Office 2010, iar registrul de lucru conține macrocomenzi,
registrul de lucru este scanat pentru viruși cunoscuți înainte de a se deschide.

 Se dezactivează toate macrocomenzile, fără notificare Faceți clic pe

această opțiune dacă nu acordați încredere macrocomenzilor. Toate
macrocomenzile din documente și avertizările de securitate despre
macrocomenzi sunt dezactivate. Dacă există documente cu macrocomenzi
nesemnate în care aveți încredere, aveți posibilitatea să amplasați aceste
documente într-o locație de încredere. Se permite executarea documentelor
din locațiile de încredere fără a fi verificate de sistemul de securitate Centru
de autorizare.
 Se dezactivează toate macrocomenzile, cu notificare Aceasta este
setarea implicită. Faceți clic pe această opțiune dacă doriți ca
macrocomenzile să fie dezactivate, dar să primiți avertizări de securitate
dacă sunt prezente macrocomenzi. Astfel aveți posibilitatea să alegeți când
să activați aceste macrocomenzi, de la caz la caz.
 Se dezactivează toate macrocomenzile cu excepția macrocomenzilor
semnate digital Această setare este identică cu Se dezactivează toate
macrocomenzile, cu notificare, cu excepția faptului că, dacă
macrocomanda este semnată digital de un editor de încredere,
macrocomanda se poate activa dacă deja ați acordat încredere editorului.
Dacă nu ați acordat încredere editorului, veți fi anunțat. Astfel aveți
posibilitatea să alegeți dacă activați aceste macrocomenzi semnate sau
acordați încredere editorului. Toate macrocomenzile nesemnate sunt
dezactivate, fără notificare.
  Se activează toate macrocomenzile (nerecomandat, se poate executa cod
potențial periculos) Faceți clic pe această opțiune pentru a permite
executarea tuturor macrocomenzilor. Deoarece această setare face
computerul vulnerabil la codurile potențial rău intenționate, nu recomandăm
să o utilizați.
 Se acordă încredere accesului la modelul de obiect al proiectului
VBA Această setare este pentru dezvoltatori și se utilizează pentru a bloca
în mod intenționat sau a permite accesul programatic la modelul de obiect
VBA din orice client de automatizare. Cu alte cuvinte, furnizează o opțiune
de securitate pentru codul scris pentru a automatiza un program Office și a
utiliza programatic mediul și modelul de obiect VBA (Microsoft Visual
Basic for Applications). Aceasta este o setare per utilizator și per aplicație și
refuză accesul în mod implicit. Această opțiune de securitate face dificilă
pentru programele neautorizate crearea de cod care se „auto-reproduce”, cod
ce poate fi dăunător sistemelor utilizatorilor finali. Pentru ca un client de
automatizare să poată accesa în mod programatic modelul de obiect VBA,
trebuie să se acorde acces în mod explicit utilizatorului care execută codul.
Pentru a activa accesul, bifați caseta de selectare.

Modificarea setărilor de securitate pentru macrocomenzi

Aveți posibilitatea să modificați setările de securitate ale macrocomenzilor în

Centrul de autorizare, în afara situației în care un administrator de sistem din
organizația dvs. a modificat setările implicite pentru a vă împiedica să modificați
setările.

1. În fila Dezvoltator, în grupul Cod, faceți clic pe Securitate macrocomenzi.

Notă Dacă fila Dezvoltator nu este disponibilă, procedați astfel pentru a o afișa:

1. Faceți clic pe fila Fișier, faceți clic pe Opțiuni, apoi faceți clic pe categoria
Particularizare Panglică.
2. În lista File principale, bifați caseta de selectare Dezvoltator, apoi faceți
clic pe OK.
3. Faceți clic pe orice altă filă pentru a reveni la fișier.

2. În categoria Setări macrocomandă, sub Setări macrocomandă, faceți clic

pe opțiunea dorită.

Concluzie:
Îm urma efectuării acestei lucrări de laborator am determinat modalităţile de
creare a unui cont nou de utilizator, făcînd analiza diferenţelor dintre diferite
modalităţi de creare a conturilor de utilizatori. Astfel am determinat permisiunile
directoareleor pentru fiecare utilizator in parte, determinind calea ce mai eficientă
pentru o administare mai buna a calculatorului.
 Ministerul Educației al Republicii Moldova

Universitatea Tehnică a Moldovei

Catedra Sisteme și Rețele de Comunicații Optoelectronice

DARE DE SEAMĂ

Disciplina: Securitatea Sistemelor Informationale

Lucrarea de laborator: Nr 2

Tema: Administrarea conturilor de utilizator.Administrarea

folderelor şi a fişierelor utilizate în comun

A efectuat studentul grupei SOE-131 Maxim Mirzenco

A verificat profesorul Arina Lachi

Chișinău 2014