Поделиться
7. Контроль доступа. Бюджеты пользователей.doc
ОС обеспечивает контроль действий пользователей в сети, определяя для каждого пользователя разрешённые и запрещённые действия. Кроме того, она предоставляет пользователям доступ к запрашиваемым ими ресурсам сети. Администратор может позволить некоторым пользователям устанавливать соединения с ресурсами (например, принтерами) и/или производить определённые действия (например, модифицировать файлы), в то время как другим пользователям это будет запрещено. Доступ можно ограничить с помощью следующих средств:
Ø Бюджет пользователя
Ø Права пользователя
Ø Группы пользователей
Ø Субъекты и имперсонация (impersonation)
Ø Информация по безопасности объектов (права доступа)
Реализация системы безопасности в сети включает использование доменов и доменных контроллеров.
Человек, который принимает участие в работе домена, должен иметь бюджет пользователя (user account) для входа в сеть и получения доступа к её ресурсам (файлам, каталогам, принтерам).
Администратор должен создать бюджет пользователя, указав пользовательское имя бюджета и другие идентификационные данные пользователя и определив права пользователя в системе. Идентификаторы включают информацию о пользователе, его членстве в группах, и информацию политики безопасности. После того, как эта информация для вновь созданного бюджета пользователя будет введена, сервер определяет для пользователя уникальный идентификатор безопасности (Unique Security Identifier, SID). Каждый SID всегда является уникальным.
Когда пользователь регистрируется, сервер создаёт маркер безопасного доступа (security-access token). Он включает SID пользователя, идентификаторы безопасности групп, к которым он принадлежит, и другую информацию, в том числе имя пользователя и имена групп, к которым он принадлежит.
Права пользователя (User rights) – это правила, определяющие действия пользователя, которые он может произвести. Если ПК не является контроллером домена, эти права относятся только к локальному ПК. Если это – контроллер домена, то эти права распространяются на все контроллеры в домене.
Права могут быть определены индивидуальному пользователю, но обычно (и более эффективно) они определяются для групп. Заранее определенные (встроенные) группы уже имеют набор пользовательских прав, определенный для них при установке системы. Администраторы обычно предоставляют права пользователям путем занесения их имен в список членов одной или нескольких заранее определенных групп. При необходимости можно создать новую группу и наделить ее специфическими правами. Пользователи, которые добавлены в группу, автоматически получают пользовательские права, определенные для этой группы. Существует набор прав пользователей, которые администраторы сетей с повышенными требованиями к безопасности должны подвергать аудиту. Такие виды доступа, как Log on Locally (Локальная регистрация в системе) и Shut down the system (Останов системы) должны быть строго ограничены, а назначения этих прав, сделанные по умолчанию, должны быть изменены.
Таблица 6.1. Пользовательские права, устанавливаемые по умолчанию,
которые могут быть изменены
|
Право пользователя |
Группы, обладающие этим правом по умолчанию |
Рекомендуемые изменения |
|
Локальная регистрация. Поэволяет пользователю локально зарегистрироваться на компьютере с помощью клавиатуры |
Administrators, Backup Operators, Everyone, Guests, Power Users, Users Guests |
Лишить этого права группы Everyone и Guests |
|
Завершить работу системы. (SeShutdownPrivilege) Поэволяет пользователю завершить работу операционной системы Windows |
Administrators, Backup Operators, Everyone, Guests, Power Users, Users |
Лишить этого права группы Everyone и Guests |
Права пользователя, приведенные в табл. 6.1, обычно не требуют переустановки значений, заданных по умолчанию. Это касается даже систем с повышенными требованиями к безопасности.
Таблица 6.2. Пользовательские права, установленные по умолчанию
|
Право пользователя |
Описание |
Группы, получающие это право при установке системы |
|
Получать доступ к компьютеру через сеть |
Пользователь, обладающий этим правом, может устанавливать с данным компьютером соединение |
Administrators, Everyone, Power Users |
|
Работать как часть операционной системы {SeTcbPrivilege) |
Позволяет процессу работать как защищенная часть ОС. Предоставляется некоторым подсистемам |
|
|
Добавить рабочую станцию к домену (SeMachineAccountPrivilege) |
Не действует на компьютере с Windows NT |
|
|
Производить резервное копирование файлов и каталогов (SeBackupPrivilege) |
Пользователи, имеющие это право, могут выполнять резервное копирование файлов и каталогов. Это право заменяет права на доступ к файлам и каталогам |
Administrators, Backup Operators
|
|
Не подвергаться промежуточным проверкам (SeChangeNotifyPrivilege)
|
Позволяет пользователю переходить в каталог и получать доступ к файлам и подкаталогам, даже если он не имеет доступа к родительскому каталогу |
Everyone |
|
Изменять системное время (SeSystemTimePrivilege)
|
Дает пользователю возможность устанавливать системное время компьютера |
Administrators, Power Users |
|
Создавать файл pagefile.sys
|
Не имеет никакого влияния в текущих версиях Windows |
Administrators |
|
Создавать маркер доступа (SeCreateTokenPrivilege)
|
Право процесса создавать маркеры доступа. Это может делать только LSA |
|
|
Создавать постоянные раэделяемые объекты (SeCreatePermanentPrivilege)
|
Позволяет пользователю создавать специальные по стоянные обьекты, такие как \\Device, для внутреннего использования Windows |
|
|
Отлаживать программы (SeDebugPrivilege)
|
Право пользователя отлаживать различные низкоуровневые обьекты (например, нити).
|
Administrators |
|
Остановить удаленнуюсистему (SeRemoteShutdownPrivilege}
|
Позволяет пользователю производить принудительный останов удаленной системы |
Administrators |
|
Генерировать отчеты по аудиту (SeAuditPrivilege) |
Право процесса генерировать записи в журнал аудита |
|
|
Повышать квоты (SelncreaseQuotaPrivilege) |
Не работает в текущей версии Windows |
|
|
Повышать приоритет (SelncreaseBasePriorityPrivilege) |
Позволяет пользователю увеличить базовый приоритет процесса |
Administrators, Power Users |
|
Загрузка и выгрузка драйверов устройств (SeLoadDriverPrivilege) |
Позволяет пользователю устанавливать и удалять драйверы устройств |
Administrators |
|
Фиксация страниц в памяти (SeLockMemoryPrivilege)
|
Позволяет пользователю эафиксировать страницы памяти таким образом, чтобы они стали неперемещаемыми и не могли быть выгружены на жесткий диск в файл pagefile.sys |
|
|
Регистрация в системе под видом пакетного задания (batch file) |
Не оказывает никакого влияния в текущей версии Windows |
|
|
Регистрация в системе в качестве сервиса
|
Позволяет процессу эарегистрироваться в качестве сервиса |
|
|
Локальная регистрация в системе |
Позволяет пользователю зарегистрироваться в системе с клавиатуры локального компьютера |
Administrators, Backup Operators, Guests, Power Users, Users
|
|
Управление журналом аудита и безопасности (SeSecurityPrivilege) |
Позволяет пользователю указать системе безопасности, какие типы доступа к ресурсам (например, получение
доступа к файлам) подлежат аудиту. |
Administrators |
|
Модификация параметров аппаратной среды (SeSystemEnvironmentPrivilege)
|
Позволяет пользователю модифицировать системные переменные окружения, хранящиеся в памяти NVRAM для систем, поддерживающих этот тип конфигурации |
Administrators |
|
Профилирование одиночных процессов (SePrafSinglePrivilege)
|
Позволяет пользователю производить профилирование (замер производительности) одиночных процессов |
Administrators, Power Users |
|
Профилирование произ- водительности системы (SeSyslemProfilePrivilege)
|
Позволяет пользователю производить профилирование (замер производительности) всей системы |
Administrators |
|
Замена маркера безопасного доступа на уровне процессов (SeAssignPrimaryTokenPriviiege)
|
Позволяет пользователю Производить модификацию маркера безопасного доступа для процесса. Это право предоставляет доступ к системе безопасности и поэтому используется только системой |
|
|
Восстановление файлов
и
|
Позволяет пользователю восстанавливать файлы и каталоги с помощью резервных копий. Это право обладает приоритетом по отношению к правам доступа на файлы и каталоги |
Administrators, Backup
Operators |
|
Завершение работы системы (SeShutDownPrivilege) |
Позволяет пользователю завершить работу системы |
Administrators, Backup Operators, Power Users |
|
Присвоение прав владельца на файлы и другие объекты (SeTakeOwnershipPrivilege)
|
Позволяет пользователю захватывать права владельца на файлы, каталоги, принтеры и другие объекты системы. Это право имеет приоритет перед правами, защищающими объекты |
Administrators |
Администраторы обычно группируют пользователей в соответствии с тем доступом в сеть, который им необходим для работы. Например, большое количество бухгалтеров, работающих на определенном уровне, нуждаются в доступе к одним и тем же серверам, каталогам и файлам. Используя группы, администраторы могут одновременно назначать права доступа множеству пользователей. Другие пользователи могут быть добавлены к существующим группам в любое время, очень быстро получая права доступа, определенные для той группы, членом которой они являются.
Существует два типа групп:
Ø Глобальная группа
(global group) состоит из
различных бюджетов пользователей одного домена, группируемых под одним
именем
Глобальная
группа может содержать имена пользователей только одного домена, в
котором она создана. Слово «глобальная» говорит о
том, что
группа может быть наделена правами доступа для использования ресурсов в
множестве глобальных доменов. Глобальная группа
может
содержать только бюджеты пользователей (но не может содержать бюджеты
других групп). Глобальная группа не может быть
создана
на компьютере, работающем под управлением Windows NT, или на компьютере,
выполняющем в домене роль сервера (member server).
Ø Локальная группа (local group) может включать сгруппированные вместе под одним именем пользовательские бюджеты и глобальные группы одного или нескольких доменов. В локальные группы могут быть добавлены пользователи и глобальные группы, принадлежащие к внешним доменам, если внешний домен является доверяемым по отношению к локальному домену. Слово «локальная» означает, что группе могут быть выделены права доступа на использование ресурсов, находящихся только в одном локальном домене. Локальные группы могут содержать пользователей и глобальные группы, но не могут содержать других локальных групп
При работе с группами рекомендуется использовать следующие правила:
Ø Лучше назначать права
доступа локальным группам и использовать
глобальные
группы как метод включения пользователей в локальные
группы.
Ø Глобальная группа - это лучший метод для одновременного включения множества пользователей в другой домен. Необходимые права и доступ обеспечиваются локальной группой, в которую добавляется глобальная группа
Ø Глобальные группы могут быть добавлены к локальным группам того же домена или доверяющего домена. Они также могут быть добавлены к компьютерам, работающим под управлением Windows NT Server и расположенным в том же домене или в доверяющем домене
Windows 200’X Server имеет встроенные локальные и глобальные пользовательские группы.
Одна из целей модели безопасности Windows состоит в том, чтобы обеспечить любой программе, активизированной пользователем, такие права доступа к объектам, которые не превышали бы прав, которые имеет сам пользователь. Это значит, что если пользователю предоставлены права на чтение определенного файла, и он запускает программу, то эта программа не сможет выполнять запись в этот файл, поскольку как и пользователь, будет иметь право только на чтение.
Субъектом (subject) называется комбинация маркера доступа пользователя и программы, которая работает от имени пользователя. Windows использует субъекты для слежения и управления доступом программ, используемых пользователем. Когда программа или процесс запускается от имени пользователя, то говорят, что эта программа работает в контексте безопасности данного пользователя. Контекст безопасности (security context) контролирует тот доступ к объектам и системным сервисам, который имеет данный субъект.
Модель клиент-сервер операционной системы Windows определяет два класса субъектов внутри архитектуры безопасности:
Ø Простой субъект (simple subject) — это процесс, который активизируется в контексте безопасности пользователя при входе в сеть. Он не является защищенным сервером, который может иметь других субъектов в качестве своих клиентов
Ø Серверный субъект(server subject) является процессом, применяемым как защищенный сервер (примером может служить подсистема Win32). Другие субъекты являются клиентами защищенного сервера. В этой роли серверный субъект обычно имеет контекст безопасности тек клиентов, от имени которых он работает
Когда субъект вызывает объектный сервис через защищенную подсистему, маркер субъекта определяет, кто сделал вызов, и имеет ли сделавший вызов субъект достаточно прав, чтобы его запрос был выполнен.
Windows позволяет одному процессу брать атрибуты безопасности другого процесса. Это делается с помощью технологии, называемой имперсонациеи (impersonation). Например, серверный процесс обычно действует от лица клиентского процесса, если для выполнения задачи требуется доступ к объектам, к которым сам сервер доступа не имеет.
Вес именованные объекты Windows, а также некоторые объекты, не имеюшие имен, могут быть защищены. Дескриптор безопасности (security descriptor) описывает атрибуты безопасности объекта. Дескриптор безопасности для объекта включает в свой состав четыре части:
Ø SID владельца, который определяет пользователя или группу, владеющую объектом. Владелец объекта может изменять уровень доступа к объекту
Ø Групповой SID, который используется только подсистемой POSIX и игнорируется другими подсистемами Windows
Ø Избирательный список контроля доступа (access control list, ACL), идентифицирующий пользователей и группы, которым предоставлен или запретен определенный вид доступа. ACL контролируется владельцем объекта
Ø Системный ACL, контролирующий сообщения аудита, генерируемые системой. Системный ACL контролируется администратором системы безопасности
Права доступа к объектам, которые могут быть предоставлены или нет, зависят от типа объектов. Например, для очереди заданий на принтер можно указать такие права доступа, как Manage Documents (Управление документами) или Print (Печать), для каталога - Read (Чтение), Write (Запись) и Execute (Запуск файлов на выполнение).
Права доступа к объекту также определяются тем, является ли объект контейнерным (container object) или неконтейнерным (noiicontainer object). Контейнерный объект — это объект, который имеет логические связи с другими объектами, неконтейнерный объект не имеет логических связей с другими объектами. Например, каталог - это контейнерный объект, который логически связан с объектами типа «файл» и другими каталогами. Файлы являются неконтейнерными объектами. Эта разница между контейнерными и неконтейперными объектами очень важна, потому что объекты, содержащиеся внутри контейнерных объектов, могут наследовать определенные типы прав доступа от родительского контейнера.
Замечание
NTFS поддерживаег наследование ACL от объекта "каталог" объектом "файл", который создастся внутри этого каталога.
Список контроля
доступа и его элементы
Каждый ACL состоит из элементов списка контроля доступа (Access control entries, АСЕ), которые определяют право доступа к объекту или разрешение на аудит объекта одному пользователю или группе. Существует три типа АСЕ. Два из них предназначены для избирательного контроля доступа (discretionary access control), а один — для определения системной безопасности.
Элементами ACL, определяющими избирательный контроль доступа, являются AccessAllowed (доступ разрешен) и AccessDenied (доступ запрещен). Они явным образом разрешают или запрещают доступ к объекту для пользователя или группы пользователей. Первый встретившийся АСЕ типа AccessDenied отклоняет доступ пользователя к ресурсу, и дальнейшей обработки АСЕ не происходит.
Замечание
Существует очень важное отличие между ситуацией, когда в ACL нет ни одного элемента, то есть он пуст, и ситуацией, когда существует объект, у которого вообще нет ACL. В случае, когда ACL пуст, права доступа явным образом не указаны, и соответственно, доступ неявно запрещен. Для объекта, который совсем не имеет ACL, не существуем зашиты, определенной для этого объекта, и, соответственно, любые пользователь и группа могут получить доступ к этому объекту.
Элементом списка ACL, определяющим системную безопасность, является элемент System Audit. Он используется для ведения журнала событий, связанных с безопасностью (log of security events) этого объекта и генерации сообщений аудита безопасности.
Каждый элемент списка имеет маску доступа (access mask), которая определяет всевозможные действия для объекта определенного типа. Маска доступа похожа на меню, из которого осуществляется выбор типов прав доступа, которые нужно либо предоставить, либо нет.
Специфические типы (specific types) определяют вид доступа, который соответствует объекту определенного типа. Для каждого типа объекта можно определить до 16 специфических типов доступа. Совокупность специфических типов доступа для определенного типа объекта называется специфической маской доступа. Специфические типы и специфическая маска доступа определяются в момент определения типа объекта. Например, файлы Windows имеют следующие специфические типы доступа:
Read Data ReadEA ReadAttribules
Write Data WriteEA WriteAttributes
AppendData Execute
Стандартные типы (standard types) относятся ко всем объектам и состоят из следующих прав доступа:
Ø SYNCHRONIZE. Используется для синхронизации доступа и для разрешения процессу ожидать, когда объект перейдет в необходимое сигнальное состояние (signaled state).
Ø WRITE_OWNER. Используется для назначения с правом записи владельца.
Ø WRITE_DAC. Используется для разрешения или запрещения доступа с правом записи к избирательному ACL.
Ø READ_CONTROL. Используется для разрешения или запрещения доступа с правом чтения к дескриптору безопасности и владельцу.
Ø DELETE. Используется для разрешения или запрещения доступа с правом удаления.
Общие или родовые типы (generic types) — это широкий набор типов доступа, используемых при защите объекта. Точное применение этих типов устанавливается приложением, определяющим объект. Например, для того, чтобы проигрывать и редактировать объект голосовой аннотации (voice annotation), приложение, которое определяет объект, может указать специфические виды доступа, используя VOICE_PLAY и VOICE_EDIT. Кроме того, это приложение может установить структуру соответствия общего и специфического типов доступа, в которой GENERIC_EXECUTE соответствует VOICE_PLAY, a GENERIC_WR1TE соответствует VOICE_EDIT.
Специфические стандартные типы детально отражаются в журнале безопасности. Общие типы в журнале безопасности не появляются. Вместо этого туда записывается соответствующий специфический или стандартный тип.
Когда внутри контейнерного объекта создается новый объект, он по умолчанию наследует защиту доступа от родительского объекта.
Изменение прав доступа на каталог действует на весь каталог и файлы, которые находятся в нем, но не относится автоматически к существующим подкаталогам и их содержимому. Для того чтобы права доступа действовали на подкаталоги, надо в диалоговом окне Directory Permissions установить флажки Replace Permissions On Existing Files и Replace Permissions On Subdirectories.
Когда пользователь пытается получить доступ к объекту, Windows сравнивает информацию о безопасности в пользовательском маркере доступа с информацией безопасности, содержащейся в дескрипторе безопасности объекта.
Для субъекта создается желаемая маска доступа (desired access mask), основанная на типе доступа, который пытается получить пользователь. Эта маска доступа, обычно создаваемая программой, которую активизировал пользователь, сравнивается с ACL объекта. (Все общие типы доступа приводятся в соответствие со стандартными и специфическими типами доступа.) Каждый элемент списка проверяется следующим образом:
Ø Идентификатор безопасности в АСЕ сравнивается с набором идентификаторов безопасности в маркере доступа пользователя. Если совпадение не найдено, то данный АСЕ пропускается. Дальнейшая обработка основана на типе АСЕ. Элементы ACL типа AccessDenied предшествуют в списке элементам ACL типа AcccssAl-lowed и, следовательно, обрабатываются ранее.
Ø Если доступ запрещен, система проверяет, содержит ли
первоначальная желаемая маска доступа только ReadControI и WRITE_DAC. Если
это так, система проверяет, является ли тот, кто сделал запрос, владельцем
объекта. Если это так, доступ разрешается.
Ø Для АСЕ AccessDenied, действия в маске доступа АСЕ
сравниваются с
действиями, описанными в желаемой маске доступа. Если какое-либо
право доступа найдено в обеих масках, то доступ запрещается. В противном случае
обработка продолжается проверкой следующего запрошенного АСЕ.
Ø Для АСЕ AccessAllowed действия в маске доступа АСЕ
сравниваются с
соответствующими действиями, описанными л желаемой маске доступа. Если все
доступы в желаемой маске доступа совпадают с АСЕ, то
дальнейшая обработка не требуется, и доступ предоставляется. В противном случае
обработка продолжается со следующего АСЕ.
Ø Если для содержимого желаемой маски доступа не найдено
полного
совпадения при том, что уже достигнут конец списка контроля доступа (ACL),
доступ неявно отклоняется.
Windows включает возможности аудита, которые можно использовать для сбора информации о том, как используется система. Эти возможности позволяют следить за событиями, имеющими отношение к безопасности системы, идентифицировать слабые места в системе безопасности и определять местонахождение и масштабы любого повреждения. Уровень аудируемых событий может быть изменен для того, чтобы как можно лучше соответствовать требованиям конкретной организации. Некоторые организации требуют небольшого количества информации аудита, в то время как другие находят необходимым пожертвовать производительностью и некоторой частью диска для сохранения детальной информации, которую они могут использовать для анализа безопасности системы.
Замечание
Если вы активизируете аудит, помните, что каждая аудиторская проверка требует небольших накладных расходов (overhead), что отражается на производительности системы.
Windows может следить за событиями, имеющими отношение как к самой операционной системе, так и к индивидуальному приложению. Каждое приложение может определять свои собственные аудируемые события. Определения этих событий добавляются в реестр при установке приложения на компьютере с Windows.
Аудируемые события идентифицируются системой по имени исходного модуля (который соответствует специфическому типу события в реестре) и идентификатору события.
С помощью утилиты Event Viewer события, занесенные в журнал безопасности, могут быть отражены по категориям и по идентификатору события. В журнал безопасности могут быть занесены следующие категории событий (категории, заключенные в скобки, можно найти в диалоговом окне Audit Policy в User Manager);
Таблица 6.3. События безопасности, которые могут быть подвергнуты
аудиту
|
Категория |
Значение |
|
Управление бюджетами (User and Group Man agement) |
Описывают изменения, происходящие в базе данных бюджетов пользователей, например, создание пользователя или изменение членства в группе. Потенциально может быть выполнен более детальный аудит на уровне объектов |
|
Детальное прослеживание процессов (Process Tracking) |
Предоставляют
детальную информацию о таких событиях, |
|
Вход/Выход (Logon/Logoff) |
Предоставляют информацию о единичной попытке входа в сеть или выхода из сети, независимо от того, окончились ли эти действия успешно или нет. В описание входа включается информация о типе входа (т. е. интерактивный, сетевой или сервисный) |
|
Доступ к обьекту (File and Object Access) |
Описывают успешный или неуспешный доступ к защищенным объектам |
|
Изменение политики (Security Policy Change) |
Описывают изменения высокого уровня в базе данных политики безопасности, такие как предоставление привилегий или возможностей входа. Потенциально может быть выполнен более детальный аудит на уровне объектов (См. предыдущую категорию) |
|
Использование привилегий (Use of User Rights) |
Описывают успешную или неудачную попытку использования привилегий. В данную категорию включена информация о предоставлении специальных привилегий. Специальные привилегии подвергаются аудиту только в момент их предоставления. Во время использования аудит этих привилегий не производится |
|
Системное событие (System) |
Отражают всё, что происходит в системе и затрагивает ее безопасность или записывается в журнал аудита |
Управление сетевым трафиком с целью обеспечения приемлемого времени ответа является важной задачей администрирования. Когда PDC подключён через WAN или модемную линию, можно подсчитать уровень трафика и время, необходимое для репликации изменений в базе данных каталога к и от PDC. Полученные данные позволяют организовать трафик так, чтобы интересы площадки были учтены наилучшим образом.
Репликация (replication) - процесс копирования данных из хранилища или из файловой системы на несколько компьютеров для синхронизации данных. Active Directory обеспечивает репликацию с несколькими хозяевами между контроллерами домена в пределах данного домена. Во всех контроллерах домена разрешено сохранение изменений в реплике каталога. Это позволяет обновлять любые реплики в данном домене. Служба репликации автоматически копирует изменения из данной реплики во все другие реплики.
Расчёт месячного времени репликации представлен в табл. 6.4
Таблица 6.4
|
Условия |
Факторы
|
№
|
|
Количество изменений пароля за месяц |
Количество пользовательских бюджетов
|
A
|
|
|
Срок жизни паролей (в календарных днях) |
B
|
|
|
B/30 |
C |
|
Дополнительные ежемесячные изменения |
Количество изменений в пользовательских бюджетах, A+C |
D |
|
|
Если это число неизвестно, используйте значение 5% от D |
E |
|
|
Количество новых пользовательских бюджетов |
F |
|
|
Количество изменений в группах *4 |
G |
|
|
Количество изменений бюджетов компьютеров *5 |
H |
|
Ежемесячный объём реплицируемых данных |
D + E + F + G + H |
I |
|
Полное время репликации ежемесячно |
Пропускная способность: скорость модемной линии (байт в секунду), если скорость дана в Килобайт/сек, умножьте значение на 1024, например, 56 Килобайт/сек.= 57344 байт/сек |
J1 |
|
|
J1*8 (бит в байте) |
J2 |
|
|
J2*60 (секунд в минуте) |
J3 |
|
|
J3*60 (минут в часе)= общая пропускная способность |
J |
|
|
О = полное время репликации (часов в месяц) |
K |
Уровни защиты распределяются от «А» до «D». Уровень А представляет наивысшую защиту. Уровень C обычно применяется для программного обеспечения в бизнесе. Каждый уровень подразделяется на несколько классов. Например, уровень C подразделяется на C1 и C2. С2 определяет более высокий уровень защиты.
Требования для ОС, которые претендуют на соответствие стандарту C2:
Ø регламентированный доступ и его контроль
Ø идентификация и аутентификация
Ø аудит
Ø повторное использование объектов
Для организации доступа и контроля ОС даёт администратору или пользователю возможность определять, кто может иметь доступ к файлам, и какие операции с этими файлами могут быть произведены. В Windows 200’X Server могут быть проконтролированы объекты и ресурсы, такие как доступ к принтерам и разделяемым областям на сетевых серверах.
Идентификация и аутентификация производятся с помощью средств защищённой регистрации в системе. Для начала работы с Windows 200’X Server все пользователи должны войти в систему. При локальном входе в систему пользователи Windows 200X Server, чтобы убедиться, что в системе не работают программы типа «троянский конь», должны сначала нажать комбинацию клавиш <CTRL>+<ALT>+<DEL>. (Программа типа «троянский конь» может перехватить пользовательскую информацию входа, обеспечивая себе таким образом сетевой доступ). Так как каждый пользователь имеет уникальное пользовательское имя, доменное имя, а также пароль, Windows 200’X Server может обеспечивать ему уникальную идентификацию.
Используя Windows 200’X Server, системный администратор может проводить аудит всех событий, имеющих отношение к безопасности, а также всех пользовательских действий. Утилита User Manager даёт возможность администраторам указать, какие события (например, вход в систему или доступ к файлам) будут подвергаться мониторингу. Вся информация по аудиту сохраняется в журнале событий, который может быть просмотрен с помощью приложения Event Viewer.
Процесс оценки ПО очень сложен. Такого рода оценка базируется на наборе стандартов, опубликованных в так называемой «Оранжевой книге» («Orange Book»). Все дополнительные документы, которые описывают процесс оценок, носят название «Радужные серии» («Rainbow Series»).
Модель безопасности разработана с учётом уровня безопасности C2 в соответствии с определением, данным Департаментом обороны США.
Основные требования уровня безопасности C2:
Ø Владелец ресурса (например, файла) должен иметь возможность контроля доступа к этому ресурсу
Ø ОС должна защищать объекты таким образом, чтобы исключить их случайное использование другими процессами
Ø Перед тем как пользователю будет предоставлен доступ в систему, он должен идентифицировать себя путём ввода уникального имени и пароля. Система должна иметь возможность использования этих уникальных идентификаторов для отслеживания действий пользователей
Ø Системный администратор должен иметь возможность аудита всех событий, связанных с безопасностью. Доступ к этим данным должен представляться только авторизованным администраторам.
Ø Система должна защищать себя от внешнего воздействия. Такого как модификация работающей подсистемы или системных файлов, сохранённых на диске
При планировании доменной структуры необходимо уделить большое внимание именам доменов. Не рекомендуется менять уже разработанную систему имён. Изменение имени домена требует переустановки каждого сервера, относящегося к этому домену. На практике используются имена, отражающие основные целевые назначения доменов.
Корпорация может создать глобальную группу для каждого ресурсного домена. Эта группа может включать в свой состав всех, кто использует этот домен, как свою основную (primary) базу ресурсов. Для всех подразделений или площадок могут быть созданы другие глобальные группы. Работники каждого подразделения могут автоматически становиться членами этой группы. Имя группы должно отражать домен и подразделение, к которым она относится, например: отдел кадров может быть назван Dpt_Pers.Для работников отдела и категории работ может быть создана группа, например, Dpt_Pers_Manager.
В идеале один пользовательский идентификатор и пароль должны предоставлять доступ ко всем пользовательским ресурсам. Если пользовательский пароль нельзя передать другим системам, то самое лучшее, что можно сделать – это создать последовательную и непротиворечивую структуру имён пользователей в каждой организации, входящей в состав компании. Желательно в имени пользователя в первых трёх символах указывать наименование подразделения, в остальных в произвольной форме личное имя и личный номер пользователя. Например, если условный номер подразделения в классификации компании 057 и необходимо создать имя для пользователя с личным номером 5, то данное имя должно выглядеть следующим образом: U057I005 для случая, если в подразделении работает не более 100 человек. Для подразделения свыше 100 человек, данный номер будет выглядеть таким образом: U057I0005.
С точки зрения удобства администрирования предпочтительной моделью доменной структуры является модель одиночного домена. Если модель одиночного домена не может быть использована, то следует попытаться применить модель одиночного основного домена.
Для того, чтобы выбрать по характеристикам и положительным качествам модель, наиболее подходящую для организации, очень полезно бывает сравнить характеристики доменных моделей.
Таблица 6.5.Матрица выбора домена
|
Атрибут домена |
Одиночный домен |
Одиночный основной домен |
Множество основных доменов |
Независимые одиночные домены с доверительными отношениями |
|
Менее 40000 пользователей на домен |
Х |
Х |
Х |
|
|
Более 40000 пользователей на домен |
|
|
X |
|
|
Централизованное управление бюджетами |
X |
X |
|
|
|
Централизованное управление ресурсами |
X |
|
X |
X |
|
Децентрализованное управление бюджетами |
|
|
X |
X |
|
Децентрализованное управление ресурсами |
|
X |
X |
|
Для выбора расположения сообществ пользователей, ответьте на следующие вопросы:
Ø где пользователь будет входить в сеть?
Ему необходимо обеспечить доступ к аутентифицирующему резервному контроллеру домена (BDC)
Ø необходимо ли пользователю иметь возможность входить в сеть с нескольких рабочих мест?
Если это так, бюджеты пользователей не могут быть связаны с одним местоположением. Следует рассматривать использование модели одиночного основного домена или множества основных доменов
Ø доступ к каким ресурсам требуется?
Ø Требуется ли пользователю вход в сеть, даже если линия связи с центальной площадкой не работает?
Являются ли все данные централизованными таким образом, что никакая обработка не может быть произведена локально, без линии WAN?
Ø Насколько быстрыми являются линии WAN?
Скорость линии WAN, которая соединяет площадки, определяется исходя из использования ресурсов с помощью этих линий и частоты изменений установок для пользователей или групп.
Когда выбирается ПК в качестве главного (PDC) или резервного (BDC) контроллера домена, используйте рекомендации по выбору аппаратуры из табл. 6.6.
|
Количество бюджетов пользователей |
Размер SAM |
Размер реестра |
Страничный пул |
Мощность CPU |
Pagefile |
RAM |
|
Менее 3000 |
5 |
25 |
50 |
РII/233 |
64 |
32 |
|
До 7500 |
10 |
25 |
50 |
РII/233 |
128 |
64 |
|
До 10000 |
15 |
25 |
50 |
РIII/450 |
192 |
96 |
|
До 15000 |
20 |
30 |
75 |
РIII/450 |
256 |
128 |
|
До 20000 |
30 |
50 |
100 |
РIV/1800 |
512 |
256 |
|
До 30000 |
45 |
75 |
128 |
РIV/2400 |
1024 |
512 |
|
До 40000 |
60 |
102 |
128 |
РIV/3000 |
1024 |
512 |
|
До 50000 |
75 |
102 |
128 |
РIV/3600 |
2048 |
1024 |
Количество пользователей в домене зависит от размера базы данных каталога. Таблица 6.7 определяет нужное количество доменов. Встроенные локальные группы для доменов включает такие группы, как Administrator, Domain Admins, Users, Domain Users, Guests, Domain Guests…
|
Факторы |
||
|
Расчёт размера базы данных SAM |
Кол-во пользователей, умноженное на 1 Кб |
A |
|
Кол-во ПК, умноженное на 0.5 Кб (необходимо учесть рабочие станции, серверы, принтеры и т.д.) |
B |
|
|
Кол-во индивидуальных групп, умноженное на 4 Кб |
C |
|
|
Встроенные локальные группы |
D |
|
|
|
Общий размер базы данных SAM: A+B+C+D = |
E |
|
|
Размер SAM необходимо преобразовать в Mb, умножив E на .001024 |
F |
|
|
MIN кол-во доменов = F/401 (округляется до следующего целого) |
|
Соотношение между количеством рабочих станций и серверов в домене определяет время при начальном входе в систему. Чем больше в домене резервных контроллеров (BDC), тем больше пользователей могут войти в сеть одновременно. Один BDC может поддерживать до 2000 пользовательских бюджетов.
Табл. 6.8 Кол-во BDC на кол-во пользователей
|
Кол-во рабочих станций |
Кол-во серверов, выполняющих роль BDC |
|
10 |
1 |
|
100 |
1 |
|
500 |
1 |
|
1000 |
1 |
|
2000 |
1 |
|
5000 |
2 |
|
10000 |
5 |
|
20000 |
10 |
|
30000 |
15 |
Рекомендуется производить начальную установку всех BDC на локальной площадке, или с помощью высокоскоростных линий, т.к. каждый новый BDC потребует полной синхронизации с главным контроллером домена (PDC).
Категории типичных проблем:
Ø Невозможность просмотра разделяемых ресурсов сервера
Ø Проблема доступа к разделяемым ресурсам
Ø Резервный контроллер домена (BDC) не может аутентифицировать пользовательский пароль
Ø Проблемы, вызванные наличием нескольких главных контроллеров (PDC) в домене
Ø Проблемы, вызванные специальными символами в имени домена
Предположим, работник под именем Polsn входит в домен RCI с паролем SerNik и хочет просмотреть разделяемые ресурсы на сервере, имя которого \\Products, но его пароль здесь Hooray. Polsn увидит сообщение:
Error 5: Access has been denied.
(Ошибка 5 : Доступ запрещён)
Polsn просит администратора сервера \\Products изменить его пароль, но администратор оставляет установленным флажок: Вы должны изменить пароль при следующем входе. Когда Polsn пытается опять просмотреть разделяемые ресурсы сервера, он увидит сообщение:
Error 2242: The password of this user has expired.
(Ошибка 2242 : Срок действия пароля этого пользователя истёк)
Когда администратор сервера \\Products сбросит данный флажок, Polsn будет иметь возможность видеть серверные разделяемые ресурсы.
Два примера помогут объяснить некоторые вопросы доступа.
Ø Предположим, работник Korsi хочет иметь доступ к разделяемому каталогу на сервере, но не имеет бюджета пользователя в этом домене. Он может получить доступ к этому ресурсу с помощью бюджета Guest на \\Products, получая ассоциированное с этим бюджетом право доступа
Ø Предположим Polsn вошёл в домен с паролем SerNik. Он хочет присоединиться к разделяемому каталогу на \\Products, где его пароль Hooray. Так как для Polsn существует бюджет пользователя, он не имеет возможности получить доступ, используя бюджет Guest. Вместо этого ОС предложит Polsn ввести правильный пароль для регистрации на сервере \\Products.
Пользователь пытается присоединиться к домену, где определён его бюджет, но резервный контроллер (BDC) этого домена не может распознать пользовательский пароль. Эта ситуация возникает, когда пароль изменился, но на момент входа данного пользователя в систему BDC ещё не синхронизирован с PDC. В этом случае BDC передаёт запрос на вход к PDC в том же самом домене.
Мера, которая может предотвратить подобную ситуацию, заключается в том, что пользователь должен зарегистрироваться на всех ПК, к которым он имеет доступ, в течении 15 минут после изменения пароля. При этом все кешированные входные параметры пользователя обновляются на каждом ПК. Тогда пользователь будет иметь возможность входа в сеть, и при этом будет использоваться кешированная информация входа, даже если PDC на момент регистрации недоступен.
Нельзя конфигурировать несколько главных контроллеров (PDC) в одном домене.
Предположим, администратор устанавливает ПК с Windows 200’x Server с именем ПК \\Main_unit. При установке он сконфигурирован как PDC домена с именем MainDomain.
После этого администратор отключает \\Main_unit. Затем он устанавливает другой сервер, называемый \\Second_unit, который тоже устанавливается как PDC для MainDomain. Так как \\Main_unit на момент установки второго сервера не работает, первоначальный MainDomain неизвестен, поэтому установки \\Second_unit и создание нового домена MainDomain происходит без ошибки. Два домена с одинаковыми именами не идентичны – они имеют различные идентификаторы безопасности.
Когда администратор включает \\Main_unit , сервис NetLogon обнаруживает в сети ещё один PDC. При этом NetLogon перестаёт работать, и ПК \\Main_unit не может присоединится к домену. Администратор имеет серьёзную проблему. Просто перекофигурировать \\Main_unit из PDC в BDC и продолжить работу невозможно. Идентификатор безопасности (SID) для \\Main_unit не будет распознан в текущем PDC, который имеет имя \\Second_unit. Таким образом, ПК \\Main_unit не сможет присоединиться к домену MainDomain.
Эта ситуация происходит потому, что уникальный доменный SID создаётся каждый раз, когда создаётся PDC. Все резервные контроллеры домена (BDC) и бюджеты пользователей внутри домена распределяют этот доменный SID. Он является префиксом к их собственному SID. Префикс SID \\Second_unit, установленного как PDC, отличается от префикса SID \\Main_unit, и эти два ПК не могут одновременно участвовать в одном и том же домене.
Администратор не может изменить имя \\Main_unit и заставить его заново вступить в MainDomain, потому что SID был зафиксирован, когда устанавливалась ОС. Если \\Main_unit должен быть PDC домена MainDomain, администратор должен выключить оба сервера и запустить \\Main_unit, а затем переустановить ОС ПК \\Second_unit и при этом сконфигурировать его как BDC.
Чтобы избежать этих проблем, сервер \\Second_unit должен быть установлен как резервный контроллер домена в тот момент, когда включён \\Main_unit. Затем, если \\Main_unit выключается, \\Second_unit может быть переконфигурирован в состояние BDC. SID для \\Main_unit воспринимается сервером \\Second_unit. Когда \\Main_unit включается, он опять становится PDC.
В именах доменов не допускается использование следующих спецсимволов:
* пробел “ \\ / [ ] : | < > + = ; , ?
Хотя некоторые спецсимволы, например, точка (.) являются допустимыми, лучше использовать в именах доменов символы подчёркивания (_) или дефиса (-).
Скачано с www.znanio.ru
Материалы на данной страницы взяты из открытых источников либо размещены пользователем в соответствии с договором-офертой сайта. Вы можете сообщить о нарушении.
