УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ В WINDOWS И LINUX
Подробное описание со скриншотами приведено, например, в официальных руководствах по Windows [4 – 7] и Linux [1, 2, 3]. Ниже указаны «опорные» моменты.
Необходимо знать: что такое пользователи и группы пользователей, зачем нужны идентификаторы пользователей и групп, что такое пользовательские аккаунты, способы входа пользователей в систему и выхода из нее, назначение создаваемых по умолчанию пользователей и групп.
Для управления пользователями и группами в Windows используется графический интерфейс.
Основную роль в обеспечении безопасности работы Windows играет так называемая групповая политика (Group Policy). Ранее применялась оснастка poledit, начиная с Windows 2000 используются шаблоны gpedit.msc.
Например, собственно права пользователей конфигурируются в ветви Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment групповой политики.
Начиная с Windows Vista введен User Account Control (UAC). UAC позволяет информировать пользователя в тех случаях, когда действие, которое он собирается предпринять, требует временного повышения прав доступа.
Credential Manager позволяет сохранить «кредиты», такие как имена пользователей и пароли для доступа к web-сайтам или другим станциям в сети. В дальнейшем, Windows может автоматически заходить на соответствующие web-сайты и станции.
Особый интерес представляет политика обеспечения безопасности аккаунтов в ветви Computer Configuration\Windows Settings\Security Settings.
В Windows Vista и Windows 7 включена поддержка новых возможностей аутентификации, например, посредством биометрики.
Традиционные консольные команды Linux для управления пользователями и группами пользователей: useradd (добавление пользователя), userdel (удаление пользователя), usermod (модификация пользователя), groupadd (добавление группы), groupdel (удаление группы), groupmod (модификация группы), passwd (задание пароля пользователя), pwck (проверка пароля), gpasswd (администрирование группы), grpck (проверка группы), pwconv (преобразование пароля в скрытую форму), su (вход в систему от имени суперпользователя), chsh (замена пользователю оболочки Shell) и др.
Может применяться и графический интерфейс, например, Red Hat User Manager (графическая оболочка GNOME).
Нужно помнить о специальных системных пользователях.
К настоящему времени сформировалось три направления усиления защиты пользовательских паролей в Linux:
1. Перенос зашифрованных паролей из файла /etc/passwd в файл /etc/shadow, доступ к которому разрешен только суперпользователю и только для чтения.
2. Задание периода валидности паролей посредством файла /etc/shadow.
3. Обеспечение устаревания паролей на общесистемном уровне посредством файла /etc/login.defs.