2020-05-13
128
39. Управление пользователями в Windows 2000. Профили пользователей.
Каждый пользователь, регулярно работающий в домене, должен иметь свою учетную запись. Учетные записи позволяют администратору контролировать доступ пользователей к ресурсам домена и локальным ресурсам компьютера.
Учетная запись пользователя содержит набор сведений о пользователе (имя, адрес, пароль, комментарий и т.д.). Кроме того, учетная запись включает 3 важных элемента:
- список привилегий пользователя;
- SID (идентификатор безопасности);
- список групп, в которые входит данный пользователь.
Учетные записи пользователей бывают встроенные и созданные администратором.
Встроенные учетные записи - создаются автоматически при установке ОС. Это 2 учетные записи - Guest и Administrator.
Guest - предназначена для допуска к ресурсам компьютера случайных пользователей. По умолчанию отключена, имеет пустой пароль, не сохраняет настроек пользователей и изменений конфигурации, не может быть удалена, может быть переименована. Administrator - используется для управления всеми ресурсами и конфигурацией компьютера или домена, т.е. для выполнения задач администрирования. Имеет полный доступ к системе, не может быть отключена или заблокирована, не может быть удалена.
Учетные записи бывают локальные и глобальные.
Глобальная учетная запись содержит сведения о пользователе домена. Она позволяет зарегистрироваться в домене с любого компьютера и работать с ресурсами всего домена. Глобальная учетная запись размещается на контроллере домена.
Локальная учетная запись содержит информацию о пользователе данного компьютера и обеспечивает доступ только к ресурсам этого компьютера.
Создать учетную запись можно несколькими способами. Самый распространенный - с помощью Active Directory Users and Computers.
Группа - это набор учетных записей пользователей со схожими служебными обязанностями и потребностями в ресурсах. Права и привилегии группы получают все входящие в нее учетные записи.
Группы бывают 3 типов:
- локальные;
- глобальные;
- универсальные.
Локальные группы применяются для предоставления пользователям доступа к ресурсам и выполнения системных задач.
Глобальные группы организуют учетные записи пользователей домена по служебным обязанностям или географическому положению (логическое объединение людей).
Глобальные группы всегда создаются на контроллере домена.
В состав глобальной группы не могут входить другие глобальные или локальные группы.
Универсальные группы позволяют присвоить разрешения взаимосвязанным ресурсам в нескольких доменах.
В универсальную группу могут входить учетные записи пользователей любых доменов, а также учетные записи универсальных, локальных и глобальных групп (открытое членство).
Члены универсальной группы могут обращаться к ресурсам всех доменов.
Если сеть невелика, то можно использовать только универсальные группы.
Учетные записи групп бывают встроенные и созданные администратором.
Встроенные группы - это созданные при установке ОС группы с заданным по умолчанию набором привилегий.
40. Служба каталога Active Directory.
Active Directory - это служба каталогов, включенная в систему Windows 2000 Server. Она расширяет возможности существовавших ранее служб каталогов на базе Windows и добавляет совершенно новые возможности. Служба каталогов Active Directory обеспечивает безопасность, распределенность, возможность разбиения на разделы и возможность репликации. Она рассчитана на установку в системе любого размера - от одиночного сервера с несколькими сотнями объектов до системы из тысяч серверов с миллионами объектов. Служба каталогов Active Directory предоставляет много новых возможностей, облегчающих поиск и управление большими объемами данных и позволяющих экономить время как администраторам, так и конечным пользователям.
Active Directory позволяет централизовано администрировать все ресурсы, любые произвольные объекты и сервисы: файлы, периферийные устройства, базы данных, подключения к Web, учетные записи и др. В качестве поискового сервиса используется DNS. Все объекты внутри домена объединяются в организационные единицы (OU), составляющие иерархичные структуры. В свою очередь, домены могут объединяться в деревья.
Администрирование упростилось по сравнению с предыдущими версиями: больше нет первичного и резервных контроллеров домена. Все контроллеры доменов, используемые службой каталогов, равноправны. Изменения можно вносить на любом контроллере, а на остальные они будут тиражироваться автоматически.
Еще одна особенность Active Directory - поддержка нескольких хранилищ, в каждом из которых может находиться до 10 миллионов объектов. Понятно, что при таких возможностях эта служба каталогов прекрасно проявляет себя как в малых сетях, так и в больших системах.
41. Понятие домена. Иерархия доменов. Доверительные отношения.
Доменом называется отдельная область безопасности в компьютерной сети Windows NT или Windows 2000. На автономной рабочей станции доменом является сам компьютер. С физической точки зрения домен может включать в себя компьютеры, расположенные в разных местах. В каждом домене действует своя политика безопасности и свои отношения безопасности с другими доменами. Если несколько доменов связаны доверительными отношениями и имеют одни и те же схему, конфигурацию и глобальный каталог, мы имеем дерево доменов. Несколько деревьев доменов могут быть объединены в лес.
Дерево доменов (дерево) состоит из нескольких доменов, имеющих общие схему и конфигурацию и тем самым образующих общее пространство имен. Домены одного дерева также связаны между собой доверительными отношениями. Служба каталогов Active Directory представляет собой множество, состоящее из одного или нескольких деревьев.
Деревья можно рассматривать с двух точек зрения: с позиции доверительных отношений между доменами или как пространство имен дерева доменов.
Доверительные отношения
Дерево доменов можно представить в виде индивидуальных доменов и существующих между ними доверительных отношений.
Операционная система Windows 2000 устанавливает доверительные отношения между доменами на основе протокола безопасности Kerberos. Доверительные отношения по протоколу Kerberos транзитивны: если домен A доверяет домену B, а домен B доверяет домену C, то домен A доверяет домену C.
Пространство имен
Можно представить дерево доменов на основе пространства имен. Различающееся имя объекта можно определить, пройдя путь вверх по пространству имен дерева доменов. Это представление полезно для объединения объектов в логическую иерархическую структуру. Главное преимущество непрерывного пространства имен состоит в том, что глубоким поиском от корня пространства имен будет охвачена вся иерархическая структура.
Лесом называется набор, состоящий из одного или нескольких деревьев, которые не образуют непрерывного пространства имен. Все деревья леса имеют одни и те же схему, конфигурацию и глобальный каталог. Все деревья леса связаны доверительными отношениями посредством транзитивных доверительных отношений по протоколу Kerberos. Лес, в отличие от дерева, не должен иметь отличающее его имя. Лес существует как набор объектов перекрестных ссылок и доверительных отношений по протоколу Kerberos, известных деревьям, составляющим этот лес. Деревья леса образуют иерархию доверия по протоколу Kerberos; имя дерева, находящегося в корне дерева доверия, может быть использовано для ссылки на указанный лес.
42. Модель безопасности Windows 2000.
Модель распределенной безопасности Windows 2000 основана на трех основных концепциях:
- Каждая рабочая станция и сервер имеют прямой доверенный путь (trust path) к контроллеру домена, членом которого является данная машина. Доверенный путь устанавливается службой NetLogon с помощью аутен-тифицйрованного соединения RPC с контроллером домена. Защищенный канал устанавливается и с другими доменами Windows NT с помощью междоменных доверительных отношений. Он используется для проверки информации безопасности, включая идентификаторы безопасности (Security Identifiers, SID) пользователей и групп.
- Перед выполнением запрошенных клиентом операций сетевые службы имперсонализируют контекст безопасности этого клиента; Имперсонализация основана на маркере адреса безопасности, созданном локальным администратором безопасности (Local Security Authority, LSA). Он представляет собой авторизацию клиента на сервере. Поток, находящийся на сервере и соответствующий данному клиенту, имперсонализирует контекст безопасности клиента, и выполняет операции в соответствии с авторизацией данного клиента, а не в соответствии с идентификатором безопасности сервера. Имперсонализация поддерживается, всеми службами Windows 2000, включая, например? службу удаленного файлового сервера CIFS/SNB. Аутентифицированный RPC и DCOM поддерживают имперсонализацию для распределенных приложений. Серверы семейства BackOffice: Exchange Server, SNA Server и Internet Information Server также поддерживают имперсонализацию.
- Ядро Windows 2000 поддерживает объектно-ориентированное управление доступом, сравнивая SID в маркере доступа с правами доступа, определенными в списке управления доступом данного объекта. Каждый объект Windows 2000 (ключи реестра, файлы и каталоги NTFS, общие ресурсы, объекты ядра, очереди печати и т. д.) имеют собственные списки управления доступом. Ядро Windows 2000 проверяет разрешения при каждой попытке доступа к данному объекту. Управление доступом и аудит осуществляются с помощью настройки свойств безопасности объекта, позволяющих предоставить пользователю или группе доступ к объекту. Управление авторизацией выполняется централизованно посредством включения пользователей в группы Windows 2000, которым предоставлены необходимые права доступа операционной системе Windows 2000 существуют дополнительные средства обеспечения безопасности - аутентификация клиента с помощью открытого ключа посредством SSL/TLS и протокола Kerberos версии 5, которые интегрированы в систему безопасности.
43. Защита сетевых ресурсов с помощью прав общего доступа.
Права общего доступа.
Windows NT/2000/XP поддерживает механизм общего доступа к ресурсам. В окнах Explorer и My Computer папки, выделенные в общее пользование, помечаются изображением руки.
Иерархия прав доступа:
Full Control (Полный контроль) - можно выполнять все действия, в т.ч. и заменять разрешения и владельца на томах NTFS;
Change (Изменение) - позволяет создавать папки и файлы, изменять данные в файлах, изменять атрибуты файлов, удалять файлы и папки;
Read (Чтение) - позволяет просматривать названия папок и файлов, их атрибуты, запускать файлы приложений;
No access (Нет доступа) - просмотр содержимого папки запрещен.
Права общего доступа действуют при подключении пользователя по сети. Они никак не влияют на локальный доступ. По умолчанию встроенной группе Everyone (Все) присваивается право доступа Full Control ко всем общим папкам.
Права общего доступа можно присвоить учетной записи пользователя или группы. Если пользователь состоит в нескольких группах, имеющих различные права доступа, то действуют следующие правила:
1) Права доступа пользователя представляют собой наименее ограничивающую комбинацию прав доступа учетных записей пользователя и групп, в которые он входит.
2) Право No access имеет наивысший приоритет и отменяет все остальные права доступа.
(Верно, если учетная запись пользователя имеет разрешение No access, или пользователь входит в состав только одной группы и для нее - No access)
Чтобы предоставить папку в общее пользование, необходимо быть членом одной из встроенных групп: Administrators, Server Operators, Power Users.
Создание общей папки:
1) В Explorer или My Computer вызвать контекстное меню на папке, пункт Properties, вкладка Sharing.
2) Задать следующие параметры:
Share Name (Сетевое имя) - обязательный параметр. Если в конце имени поставить значек $, то папка будет скрытым ресурсом, пользователи ее не увидят.
User Limit (Максимальное число пользователей) - максимальное число пользователей, которые могут одновременно работать с ресурсом.
Кнопка "Permission" (Права доступа) - предназначена для добавления и удаления пользователей и групп, а также для установления разрешений для них.
New Share (Новый ресурс) - этот параметр появляется для папок уже предоставленных в общее пользование. Одна и та же папка может быть общей под разными именами и с разными правами доступа.
После того, как папка предоставлена в общее пользование, пользователи сети смогут подключаться к ней со своих компьютеров посредством:
1) С помощью Explorer, My Computer или Network Neighborhood (Сетевое окружение). Меню Tools/Map Network Drive или контекстного меню.
Эта команда позволяет назначить общей папке символ диска, она будет выглядеть как папка локального диска. При этом задается символ диска, UNC - имя компьютера, на котором располагается общая папка.
2) Меню Start/Run. В окне Open ввести имя компьютера, где расположена общая папка, и ее сетевое имя.
Для отключения общей папки:
- контекстное меню на имени диска;
- команда Disconnect.
|
|
|
|
|
|
|
|
|
|
|
|
44. Защита сетевых ресурсов средствами NTFS.
Защита ресурсов с помощью разрешений NTFS.
Разрешения NTFS - это набор специальных свойств файла или папки, заданных для ограничения доступа пользователей к этим объектам. Разрешения NTFS доступны только на томах, где установлена файловая система NTFS.
Разрешения NTFS служат для защиты ресурсов от:
1) локальных пользователей того компьютера, где расположен ресурс;
2) удаленных пользователей, подключающихся к общей папке по сети.
Для каждого пользователя или группы можно установить свои разрешения на доступ к соответствующим файлам или папкам. Cуществуют индивидуальные разрешения NTFS, из которых формируются стандартные и специальные разрешения (как комбинация индивидуальных разрешений.). Набор индивидуальных и стандартных разрешений в ОС Windows NT, 2000, XP несколько различаются.
Чтобы присвоить разрешения NTFS, нужно быть:
- владельцем файла или папки;
- иметь разрешение на доступ Full Control;
- иметь разрешение Change Permissions (Смена разрешений);
- иметь разрешение Take Ownership (Смена владельца).
По умолчанию присваиваются следующие разрешения NTFS:
1) При форматировании тома и установке файловой системы NTFS право Full Control автоматически присваивается группе Everyone;
2) При создании на томе NTFS новой папки или файла наследуются разрешения папки, в которой объект был создан.
Чтобы изменить разрешения NTFS:
В Explorer контекстное меню на файле или папке, команда Properties, вкладка Security. В окне диалога можно:
- уничтожить в списке управления доступом (ACL) пользователя или группу;
- модифицировать запись в ACL, изменив тип доступа;
- добавить новые записи в ACL.
Фактические разрешения NTFS - это комбинация разрешений пользователя и групп, членом которых он является. NoAccess отменяет все остальные разрешения.
По умолчанию разрешения для папки наследуются принадлежащими ей файлами. Однако, если заданы разрешения для файла, то они доминируют над разрешениями для папки, в которой он находится.
Исключение. Разрешение Full Control для папки позволяет пользователю удалить файл из этой папки даже при разрешении No Access для этого файла. Решение - лишите пользователя стандартного разрешения Full Control для папки и присвойте ему все индивидуальные разрешения для этой папки.
При копировании на тот же или другой том NTFS файл или папка наследуют разрешения папки-адресата, а пользователь, выполняющий копирование, становится владельцем копии. При перемещении в пределах одного тома NTFS папки и файлы сохраняют свои оригинальные разрешения и владельцев. При перемещении на другой том они наследуют разрешения папки-адресата, а новым владельцем становится переместивший пользователь.
При сочетании прав общего доступа и разрешений NTFS доступ всегда определяется самым строгим ограничением.
45. Аудит ресурсов и событий.
Аудит - одно из средств защиты Windows NT, 2000, ХР, позволяющее отслеживать действия пользователей и другие события в сети. Аудит реализуют на том компьютере, события которого собираются отслеживать.
Настройка аудита позволяет выбрать типы событий, которые должны регистрироваться службой аудита. Аудит приводит к дополнительной нагрузке на систему, поэтому регистрируются только те события, которые представляют интерес.
Для настройки аудита необходимо:
1) Быть членом группы Administrators того компьютера, на котором настраивается политика аудита;
2) Обладать привилегией Manage auditing and security log (Управление аудитом и журналом безопасности).
Члены группы Server Operators не могут управлять аудитом, но могут просматривать и архивировать журналы безопасности.
Аудит файлов и папок возможен только для разделов NTFS.
События, отслеживаемые при аудите, заносятся в локальный журнал безопасности. Процесс заполнения журнала начинается автоматически при каждом запуске ОС.
Аудит проводится в 2 этапа:
1) Определение стратегии аудита (путем выбора типов событий, подлежащих аудиту);
Выбор типов событий осуществляется через Administrative Tools/ Local(Domain) Security Policy.
Типы событий, которые могут регистрироваться:
- Регистрация или выход из системы;
- Доступ к файлам и объектам;
- Применение привилегий;
- Управление пользователями и группами;
- Изменение политики безопасности;
- Перезагрузка, выключение и системные события;
- Отслеживание прицессов.
2) Выбор файлов, папок и принтеров, для которых необходим аудит, а также пользователей и групп, действия которых нужно отследить.
В Explorer вызвать контекстное меню на файле или папке, выбрать Properties, вкладка Security.
Аудит файлов и папок возможен для следующих типов событий: чтение, изменение, выполнение, удаление, смена разрешений, смена владельца.
Работа с журналами событий.
Программа Event Viewer (Просмотр событий) предоставляет информацию о событиях (events), например сообщения об ошибках (errors), предупреждения (warnings) и сведения об успешном или неудачном выполнении задач.
Чтобы запустить программу Event Viewer: Start/Programs/Administrative Tools (Common)/Event Viewer.
Windows NT, 2000, ХР записывают события в три вида журналов: системный журнал (system log), журнал безопасности (security log) и журнал приложений (application log). Ведение системного журнала и журнала приложений обеспечивается ОС автоматически. Режим заполнения журнала безопасности включается вручную при настройке аудита.
" Системный журнал (системный_каталог\System32\Config\Sysevent.evt) содержит события, фиксируемые системными компонентами Windows и драйверами устройств - например, факт невозможности загрузки драйвера или другого системного компонента в процессе запуска Windows. Типы событий, регистрируемых системными компонентами, определяет сама ОС, а типы событий, регистрируемых драйверами сторонних производителей, - разработчики этих драйверов.
" Журнал безопасности (системный_каталог \System32 \Config\ Secevent.evt) фиксирует события, для которых включен режим аудита.
" Журнал приложений (системный_каталог\ System32\Config\Appevent.evt) содержит регистрируемые приложениями события. Тип регистрируемых в журнале событий определяют разработчики приложений
Содержимое системного журнала и журнала приложений может просматривать любой пользователь. Журнал безопасности доступен только администраторам, операторам сервера или пользователям, которым присвоена привилегия Manage auditing and security log (Управление аудитом и журналом безопасности). Они же могут производить настройку журналов. Некоторые действия при работе с журналами доступны только администратору. По умолчанию журнал безопасности не ведется.
предыдущая страница.......................следующая страница
