В списках ACL хранятся разрешения или запреты на определенные виды доступа для отдельных лиц или групп. Права доступа могут быть предоставлены или запрещены в различной степени. Существуют уровни прав доступа, которые различаются применением:
1) Разрешение или запрет применяется к объекту в целом, при этом настройки касаются всех свойств объектов.
2) Применяется к группе свойств, определенной наборами свойств внутри объекта
3) Применяется разрешение только к отдельному свойству.
По умолчанию доступ для чтения и записи ко всем свойствам объекта получает создатель объекта.
Наследование прав доступа
Это распространение информации об управлении доступом определенной в высших слоях контейнера в каталоге на вложенные контейнеры и объекты листья. Существуют 2 модели наследования прав доступа:
1. Динамическая. Наследование прав определяется путем оценки разрешений на доступ назначенных непосредственно для объекта, а также для всех родительских объектов в каталоге. Это дает возможность эффективно управлять доступам к части дерева каталога, внося в контейнер влияющие на все вложенные контейнеры и объекты листья. Это преимущество. Но отрицательная сторона этой модели – это невысокая производительность из-за потери времени на определение эффективных прав при запросе пользователя.
2. Статическая (Наследование в момент создания). При создании нового объекта информация об управлении доступом к контейнеру распространяется на все вложенные объекты контейнера и наследуемые права сливаются с правами доступа назначенными по умолчанию. При этом любые изменения, выполняемые в дальнейшем на высших уровнях дерева, должны распространяться специальной командой на все дочерние объекты. Это усложняет администрирование. Положительный момент этой модели – увеличение производительности.
Элементы безопасности системы
Учетные записи пользователей и групп. Учетные записи бывают 3 типов:
1) Учетная запись, созданная администратором.
2) Встроенная учетная запись «Гость» (по умолчанию отключена).
3) Встроенная учетная запись администратора, которая предоставляет максимум прав в системе. (не может быть удалена с компьютера).
Учетные записи делятся по способу создания на локальные и глобальные. Локальная учетная запись создается внутри рабочей группы и позволяет определять доступ к ресурсам только на том компьютере, на котором она была создана. Глобальная учетная запись создается в домене, ранится на контролере домена и может быть использована для настройки доступа на любом компьютере в составе домена. Потому что именно контролер проверяет подлинность во время аутентификации.
После заполнения имени и пароля нужно прописать определенные параметры:
1. Потребовать смену пароля. Пароль будет знать только владелец учетной записи. Именно этот вариант авторы системы рекомендуют использовать.
2. Запретить смену пароля пользователем. Используется если несколько человек работают с одной учетной записью. Это полный контроль администратора над паролем.
3. Срок действия пароля не ограничен. Используется для учетных записей программами и службами.
4. Отключить учетную запись. Прямой способ лишить пользователя доступа к компьютеру.
Учетные записи пользователей чаще всего используются для ограничения прав.
Группы
Это набор учетных записей пользователя и других групп. Группа позволяет задавать разрешения всем участникам. Группы бывают встроенные и группы созданные администратором.
По типу группы делят на группы безопасности и группы распространения. Группы безопасности используются при выполнении задач администрирования, а группы распространения используют приложения в качестве списков пользователей для осуществления функций не связанных с защитой информации.
По способу распространения группы делятся на:
1. Локальную
2. Глобальную
3. Универсальную
Локальная группа может быть создана на любом компьютере и при этом учетные записи из этой базы будут сохранены на локальном компьютере в его локальной базе данных безопасности. Главные особенности локальной группы это открытое членство. Это означает, что в состав локальной группы могут входить представители из любых доменов. Локальная группа позволяет предоставить пользователям доступ к ресурсам только в одном домене, в котором она была создана. Доступ к ресурсам в домене локальная группа может предоставить только в случае, если она реализована на контролере домена, а на обычном компьютере локальная группа позволяет предоставить доступ только к ресурсам этого компьютера. При включении нового компьютера в состав домена администратор автоматически добавляется в состав локальной группы, за счет чего появляется возможность администрировать любые ресурсы на любых компьютерах входящих в состав домена.
Глобальная группа организует пользователей с одинаковыми требованиями доступа к сети. Особенности глобальных групп:
А. Ограниченное членство – в состав можно добавить только пользователей из домена в котором создана группа.
Б. Доступ к ресурсам любого домена. Чтобы администратор из другого домена смог администрировать ресурсы находящиеся в составе домена он должен быть включен в группу администраторы на контролере домена.
Универсальные группы применяются обычно для назначения доступа к связанным ресурсам из нескольких доменов.
Особенности универсальной группы:
А. Открыто членство
Б. Доступ к ресурсам в любом домене
В. Создавать глобальные и универсальные группы можно только на контролере домена.
Стратегия создания групп. Добавление одних групп в другие (вложенность) позволяет уменьшить число операций по назначению разрешений, но при больших уровнях вложенности контроль разрешений усложняется.
1. На первом этапе пользователей со схожими обязанностями объединяют в одну группу (глобальную или универсальную) в зависимости от расположения ресурсов которые необходимы пользователям. Например это может быть бухгалтерия или группа отдел кадров или группа менеджеры и т.д.
2. Определение, к каким ресурсом будут обращаться сотрудники и создание для отдельных ресурсов или для групп ресурсов локальных групп на контролере домена.
3. Выявить все локальные группы, которые будут обращаться к этому ресурсу и включить их в состав локальной группы.
4. Назначить локальной группе соответствующие разрешения:
А. Печать документов
Б. Управление документами
В. Управление принтером (возможность свойства и доступ к принтеру)
Встроенных групп 3 варианта:
1. Локальные – предоставляют привилегии для решения различных системных задач. Абсолютно на всех компьютерах есть встроенные локальные группы:
1) Пользователи/Users – это группа в составе которой по умолчанию все учетные записи из локальной базы. На контролере домена в состав этой группы входит группа пользователей домена, группа «прошедшие проверку» и группа интерактивных пользователей.
2) Администраторы\Administrators – в составе группы по умолчанию запись администратора.
3) Гости\Guest – пользователи которые не имеющие прав на изменение рабочей среды компьютера.
4) Операторы архива – группа с правами на архивирование и восстановление файлов локального компьютера с помощью стандартной программы backup встроенной в систему.
5) Опытные пользователи – существует только на рабочих станциях и серверах, не существует на контролере (по умолчанию пустая). Дает возможность создавать и изменять учетные записи на локальном компьютере и предоставлять ресурсы в общее пользование. Ее применяют для решения задач с администрированием.
На контролере есть дополнительные локальные группы:
1) Account Operators – создание, изменение и удаление пользователей и групп за исключением Server Operators и Print Operators.
2) Server Operators – предоставляют дисковые ресурсы в общее пользование на контролере и архивируют и восстанавливают файлы на сервере.
3) Print Operators – установка и настройка сетевых принтеров.
2. Глобальные – по умолчанию не обладают никакими привилегиями, но приобретают привилегии после включения в состав локальных групп или после присваивания им прав и привилегий администратора.
| Глобальная группа | Автоматически включается в состав |
| Domain Admins и Админ-ры предприятия | В локальную группу Administrators, после чего приобретает локальные административные полномочия |
| Domain Users | В локальную группу Users, причем администратор входит в состав группы Users по умолчанию и каждая новая учетная запись в домене автоматически включается в состав локальной группы Users |
| Domain Guest | В локальную группу Guest. |
3. Системные. Состав встроенных системных групп менять нельзя. Членство в этих группах определяется системными, в том числе и сетевыми действиями пользователей. Основные встроенные системные группы, которые используются при администрировании.
1) Все\Everyone – все локальные и удаленные пользователи, подключившиеся к компьютеру. В том числе и пользователи, учетные записи которых система не идентифицировала. В системе будут распознаны в качестве гостей, если эта учетная запись активны.
2) Создатель владелец\Creator Owner – включает пользователя который создал ресурс или стал его владельцем при смене такого. Если администратор становится владельцем ресурс, фактически ресурсом завладеет вся группа администраторов.
3) Прошедшие проверку\Authenticated Users – включает пользователей с действительными учетными записями. Рекомендуется к использованию вместо группы Everyone.
4) Сеть\Network – объединяет всех пользователей находящихся за другими компьютерами, которые подключились к общему ресурсу на компьютере на котором размещена группа.
5) Интерактивные\Interactive – пользователи которые зарегистрировались в системе.
6) Анонимный вход\Anonymous Login – все учетные записи которые не аутифенцированны.
7) Удаленный доступ\Dial up – все пользователи подключившиеся в настоящий момент по удаленному подключению.
Права и привилегии
Права доступа и привилегии можно присваивать отдельным учетным записям и группам, права доступа определяют правомочность пользователей при выполнении различных действий с ресурсами, то есть с папками, файлами и принтерами. Привилегии регулируют права пользователей при выполнении системных операций на конкретном компьютере. Например создание новых учетных записей, регистрацию в системе, возможность завершения работы системы и так далее. Привилегии возникают у пользователя за счет включения в состав локальных групп. Только локальные группы обладают привилегиями. Глобальные получают привилегии за счет включения в состав локальных групп. Встроенные системные группы обладают только правами. Привилегии можно настраивать для различных учетных записей и групп пользователей в разделе «Политика безопасности».
