Kerberos версии 5 является основным механизмом проверки подлинности, используемым в домене AD. Kerberos использует билеты службы и билеты пользователя для идентификации пользователей и сетевых служб. Как Вы догадываетесь, билеты службы используются служебными процессами Windows 2000, а билеты пользователя пользовательскими процессами. Билеты содержат зашифрованные данные, подтверждающие подлинность пользователя или службы.
Вы можете контролировать длительность билета, его возобновление и применение, используя следующие политики:
- Принудительные ограничения входа пользователей
- Максимальный срок жизни билета службы
- Максимальный срок жизни билета пользователя
- Максимальный срок жизни для возобновления билета пользователя
- Максимальная погрешность синхронизации часов компьютера
4. Группы пользователей. Глоб и лок группы.
Локальная группа может определяться для домена или для компьютера. Локальные группы дают пользователям права и разрешения на ресурсы того компьютера (или домена), где хранится учетная информация локальной группы. Доступ к ресурсам компьютера - Windows NT Workstation или Windows NT Server могут быть определены только для членов локальной группы этого компьютера, даже если эти компьютеры являются членами домена. Так как база SAM PDC копируется на все BDC домена, то пользователи, определенные в PDC, могут иметь права на ресурсы как PDC, так и всех BDC домена.Доступ к ресурсам компьютера для пользователей домена обеспечивается за счет механизма включения в локальную группу отдельных пользователей домена и глобальных групп домена. Включенные пользователи и группы получают те же права доступа, что и другие члены данной группы. Механизм включения глобальных групп в локальные является основным средством централизованного администрирования прав доступа в домене Windows NT.
Локальная группа не может содержать другие локальные группы. Поэтому в сети, использующей модель рабочей группы нет возможности определить на одном компьютере всех пользователей сети и предоставлять им доступ к ресурсам других компьютеров. В любом случае локальная группа объединяет некоторое число пользователей и глобальных групп, которым присваивается общее имя - имя локальной группы. Локальные группы могут включать пользователей и глобальные группы не только данного домена, но и любых доверяемых доменов.
Windows NT Workstation и Server поддерживают несколько встроенных локальных групп для выполнения системных задач. Администратор может создавать дополнительные локальные группы для управления доступом к ресурсам. Встроенные локальные группы делятся на две категории - администраторы (Administrators), которые имеют все права и разрешения на данный компьютер, и операторы, которые имеют ограниченные права на выполнение специфических задач. Для Windows NT Server имеются следующие группы-операторы: операторы архивирования (Backup Operator), репликаторы (Replicator), операторы сервера (Serevr Operator), принт-операторы (Print Operator) и операторы учетной информации (Account Operator). Кроме того, имеются втроенные локальные группы Users - для обычных пользователей, и Guests - для временных пользователей, которые не могут иметь профиля и должны обладать минимальными правами.
Глобальная группа пользователей - это группа, которая имеет имя и права, глобальные для всей сети, в отличие от локальных групп пользователей, которые имеют имена и права, действительные только в пределах одного домена. Администратор доверяющего домена может предоставлять доступ к ресурсам своего домена пользователям из глобальных групп тех доменов, которым данный домен доверяет. Глобальные группы можно включать в состав локальных групп пользователей ресурсного домена.
Глобальная группа - это некоторое число пользователей одного домена, которые группируются под одним именем. Глобальным группам могут даваться права и разрешения путем включения их в локальные группы, которые уже имеют требуемые права и разрешения. Глобальная группа может содержать только учетную информацию пользователей из локальных учетных баз данных, она не может содержать локальные группы или другие глобальные группы.
Существует три типа встроенных глобальных групп: администратор домена (Domain Admins), пользователи домена (Domain Users) и гости домена (Domain Guests). Эти группы изначально являются членами локальных групп администраторов, пользователей и гостей соответственно. Необходимо использовать встроенные группы там, где только это возможно. Рекомендуется формировать группы в следующей последовательности:
1. В учетном домене необходимо создать пользователей и добавить их к глобальным группам.
2. Включить глобальные группы в состав локальных групп ресурсных доменов.
3. Предоставить локальным группам необходимые права и разрешения.
Специальная группа - используется исключительно Windows NT Server для системного доступа. Специальные группы не содержат учетной информации пользователей и групп. Администраторы не могут приписать пользователей к этим группам. Пользователи либо являются членами этих групп по умолчанию (например, каждый пользователь является членом специальной группы Everyone), либо они становятся ими в зависимости от своей сетевой активности.
Существует 4 типа специальных групп: Network (Cетевая), Interactive (Интерактивная), Everyone (Каждый), Creator Owner (Создатель-Владелец).
Любой пользователь, который хочет получить доступ к разделяемому ресурсу по сети, автоматически становится членом группы Network. Пользователь, локально вошедший в компьютер, автоматически включается в группу Interactive. Один и тот же пользователь в зависимости от того, как он работает с компьютером, будет иметь разные права. Любой пользователь сети является членом группы Everyone. Администратор может назначить группе Everyone любые права. При этом администратор может предоставить любые права пользователю, не заводя на него учетной информации на своем компьютере. Группа Creator Owner содержит учетную информацию пользователя, который создал ресурс или владеет им. В файловой системе NTFS разрешения группе Creator Owner даются на уровне каталога. Владелец любого каталога или файла, созданного в данном каталоге, получает разрешения, данные группе Creator Owner. Например, можно назначить какому-либо каталогу для членов группы Everyone разрешения Read (Чтение), а группе Creator Owner предоставить доступ Full Control (Полное управление). Любой пользователь, который создает файлы или подкаталоги в этом каталоге, будет иметь к ним доступ Full Control.
5. Привилегии (права в локальной практике) УЗ и групп. Св-ва встроенных лок групп.
Права определяются для объектов типа группа на выполнение некоторых системных операций: создание резервных копий, выключение компьютера (shutdown) и т.п. Права назначаются с помощью User Manager for Domains.
Права для встроенных локальных групп домена по отношению к системе, которая выполняет роль PDC или BDC:
локальный логический вход: Administrators, Server Operators, Print Operators, Backup Operators доступ к данному компьютеру через сеть: Administrators, Everyone установление прав собственности на файлы, управление аудитингом и учетом событий, связанных с безопасностью, Загрузка и выгрузка драйверов устройств – Administrators Останов системы: Administrators, Server Operators, Backup Operators Резервное копирование файлов и каталогов: Adm, Serv Op, Account Operators Инициация останова с удаленной системы, Изменение системного времени: Administrators, Server Operators
1Операторы учетной информации (Accounts operators) не могут изменять учетную информацию администраторов, или же изменять глобальную группу Domain Admins или локальные группы Administrators, Server Operators, Account Operators, Print Operators или Backup Operators.
2Хотя члены группы Users имеют право создавать локальные группы домена, но они не смогут им воспользоваться, если им не разрешено входить локально в сервер или не разрешено пользоваться утилитой User Manager for Domains.
3Хотя Everyone имеет право блокировать сервер, только пользователи, которые могут также входить локально в этот сервер могут в действительности его заблокировать.
Похожие права можно задать и по отношению к Windows NT Server, не выполняющему роль PDC или BDC - с помощью утилиты User Manager for Domains, а также к Windows NT Workstation с помощью утилиты User Manager.
Возможности пользователей - определяются для отдельных пользователей на выполнение немногочисленных действий, касающихся реорганизации их операционной среды:
1.Включение новых иконок в группу программ панели Program Manager;
2.Создание программных групп Program Manager;
3.Изменение состава программных групп;
4.Изменение свойств программных единиц (например, включение в стартовую группу);
5.Запуск программ из меню FILE в Program Manager;
6.Установление соединений с сетевым принтером, кроме тех (которые уже предусмотрены в профиле пользователя).
Возможности пользователя являются частью так называемого профиля пользователя (User Profile), который можно изменять с помощью утилиты User Profile Editor. Профиль наряду с описанными возможностями включает и установки среды пользователя на его рабочем компьютере, такие как цвета, шрифты, набор программных групп и их состав.
6. Элементы системы безопасности Windows. Функции программных компонентов: Local Security Authority, Security Account Manager, Security Reference Monitor. Аутентификация лок в домене.
Модель безопасности Windows NT базируется на концепции пользовательских бюджетов (user accounts). Можно создать неограниченное количество пользовательских бюджетов и сгруппировать их наиболее удобным методом. После этого для каждого бюджета или группы можно представить или ограничить доступ к любому из ресурсов компьютера. В операционную систему Windows NT встроена возможность аудита. Это позволяет отслеживать, какие пользовательские бюджеты использовались для доступа в систему, и какого типа доступ к файлам и другим объектам был получен пользователями. Кроме того, аудит может использоваться для отслеживания попыток входа в систему, остановки и перезапуска системы и прочих аналогичных событий.
Модель безопасности Windows NT содержит следующие компоненты:
- Процессы входа в систему (Logon processes), принимающие от пользователей на регистрацию в системе. Сюда относятся начальный интерактивный процесс регистрации, отображающий диалоговое окно входа в систему, и процесс удаленной регистрации, позволяющий удаленным пользователям получить доступ к серверу Windows NT.
- Распорядитель локальной безопасности (Local Security Authority, LSA), гарантирующий, что каждый пользователь, регистрирующийся в системе, имеет право доступа к ней. Этот компонент является центральным для всей подсистемы безопасности Windows NT. Он создает маркеры безопасного доступа, управляет локальной политикой безопасности и обеспечивает интерактивный сервис аутентификации пользователей. Кроме того, LSA управляет политикой аудита и регистрирует сообщения аудита, генерируемые монитором безопасности (Security Reference Monitor).
- Диспетчер бюджетов безопасности (Security Accounts Monitor, SAM). Этот компонент поддерживает базу данных пользовательских бюджетов. База данных SAM содержит информацию обо всех пользовательских и групповых бюджетах. SAM обеспечивает сервис валидизации пользовательских паролей, используемый LSA. База данных SAM известна также под названием базы данных каталога (Directory Database).
- Монитор безопасности (Security Reference Mon) - компонент системы безопасности, ответственный за проверку наличия у пользователей прав доступа к объектам и осуществления действий, которые они пытаются выполнить. Монитор безопасности принудительно устанавливает проверку прав доступа к объектам и устанавливает политику аудита заданную LSA. Монитор безопасности предоставляет сервис процессам, работающим как в режиме ядра, так и в режиме пользователя. Это гарантирует, что все пользователи и процессы, пытающиеся получить доступ к объекту и выполнить над ним некоторые действия, обладают соответствующими правами доступа. Кроме того, монитор безопасности генерирует сообщения аудита в тех случаях, когда это необходимо.
Ключевой особенностью системы безопасности Windows NT является управление доступом к объектам. Модель безопасности поддерживает информацию защиты для каждого пользователя, группы и объекта. Она может идентифицировать попытки доступа, осуществленные непосредственно пользователем, а также способна выявлять непрямые попытки доступа, предпринятые не самим пользователем, а программой или иным процессом, действующими от лица пользователя. Windows NT отслеживает все попытки доступа и позволяет управлять доступом как к объектам, которые пользователи могут просматривать с помощью пользовательского интерфейса (файлам и принтерам), так и к абстрактным объектам, которые с помощью пользовательского интерфейса просмотреть нельзя (к ним относятся, например, процессы и именованные каналы).
Администратор системы присваивает пользователям и группам права доступа (permissions), с помощью которых можно предоставить или отклонить пользовательский доступ к объектам. Возможность избирательного присвоения прав доступа по усмотрению владельца объекта (или пользователя, уполномоченного изменять права доступа), называется избирательным контролем доступа (discretionary access control).
Система безопасности идентифицирует пользователей с помощью идентификатора безопасности (security ID, SID). Уникальность идентификаторов безопасности гарантирована, и существование двух идентичных SID полностью исключено. Когда пользователь регистрируется в системе, Windows NT создает маркер безопасности доступа (security access token). В состав маркера безопасного доступа входят SID пользователя, SID всех групп, к которым этот пользователь принадлежит, а также дополнительная информация о пользователе и его группах. Кроме того, любой процесс, работающий от имени пользователя, получает копию его маркера безопасного доступа. Когда пользователь пытается получить доступ к объекту, Windows NT ссылается на содержащийся в маркере безопасного доступа SID. Идентификаторы безопасности (SID) сравниваются со списком контроля доступа к объекту, чтобы гарантировать, что пользователь имеет достаточные права.
Диапазон средств защиты файлов можно установить как на базе подхода "по файлам", так и на базе подхода "по каталогам". Чтобы воспользоваться всей властью над отдельными файлами, их следует расположить на томах с NTFS. Windows NT поддерживает для совместимости с MS DOS работу с FAT, но эта файловая система была разработана без учета требований безопасности. Чтобы воспользоваться всеми преимуществами защиты Windows NT, необходимо использовать файловую систему NTFS.
Системные принтеры можно защитить, не позволяя конкретным пользователям отправлять на них задания (постоянно или только в течение указанного времени суток).
7. Мех-м защиты ресурсов. Маркеры доступа, списки контроля доступа ACL. Счема проверки доступа к объектам.
Списки контроля доступа (ACL). DACL Как видно из структуры дескриптора безопасности, он содержит два поля, содержащих в своем названии 'ACL' (Access-Control List) - список контроля доступа. Таких списков два: Discretionary Access-Control List, (DACL) - список управления избирательным доступом и System Access-Control List (SACL) - системный список управления доступом. Именно DACL формирует правила, кому разрешить доступ к объекту, а кому - запретить. Поэтому все, что будет сказано о списках контроля доступа и его элементах, в большей степени относится именно к DACL. SACL позволяет лишь управлять аудитом (об этом - ниже). Каждый список контроля доступа (ACL) представляет собой набор элементов контроля доступа (Access Control Entries, или ACE). Чтобы не было путаницы в терминах, изобразим схематически (рисунок 3). SID1-чтение-разрешить; SID1-запись-запретить; SID2-полный доступ-разрешть
ACE бывает двух типов (разрешающий и запрещающий доступ) и обязательно содержит три поля:
· SID пользователя или группы, к которому применяется данное правило
· Вид доступа, на которое распространяется данное правило
· Тип ACE - разрешающий или запрещающий.
Таким образом, ACL, устанавливает следующие правила: пользователю SID1 разрешить доступ на чтение объекта, но запретить доступ на запись, а пользователю SID2 - разрешить полный доступ к объекту. Кроме того, к дескриптору безопасности применимы следующие правила:
· Если DACL отсутствует, то объект считается незащищенным, т.е. все имеют к нему неограниченный доступ.
· Если DACL существует, но не содержит ни одного ACE, то доступ к объекту закрыт для всех.
Система сопоставляет маркер доступа и дескриптор защиты не при каждом обращении к объекту, а только при получении его дескриптора. Например, если имеется защищенный объект-мьютекс, система проверяет права только при вызове процессом функции OpenMutex. В этой же функции процесс сразу же указывает, какие виды доступа ему в дальнейшем потребуются. Если все указанные виды доступа разрешены - процесс получает дескриптор объекта и может его использовать сколь угодно долго в соответствии с запрошенными правами. Даже если DACL объекта изменится. После того как процесс получил дескриптор, система не сможет его забрать. Если же система принимает решение отказать в доступе, процесс просто не получит дескриптор объекта.
Таким образом, продолжая аналогию, дескриптор безопасности - это охранник, маркер доступа - это пропуск, а DACL - это приказ охраннику, кому давать доступ, а кому - отказывать. Ядро обращается к объектам не через дескрипторы, а через указатели. Права доступа в режиме ядра не проверяются, другими словами, система полностью сама себе доверяет и всегда имеет доступ к объекту.
Маркеры. Чтобы контролировать, кто имеет право работать с объектом, система защиты должна быть уверена, что пользователь правильно идентифицирован. Таким образом, первая линия защиты в Windows NT — это требование, чтобы каждый пользователь зарегистрировался перед началом работы.
Подсистема защиты (security subsystem), отвечает за аутентификацию (authenticating) пользователей, т.е. за проверку того, что введенная пользователем при регистрации в системе информация совпадает с информацией, хранящейся в базе данных защиты. После того, как подсистема защиты определила, что регистрация аутентична, она создает объект, который остается постоянно связанным с пользовательским процессом. Этот объект называется маркерам доступа (access token) и служит официальным удостоверением личности процесса, когда тот пытается использовать какой-либо системный ресурс. Первый показанный на рисунке атрибут — это личный пользовательский идентификатор защиты (security ID), который обычно соответствует идентификатору, указываемому пользователем при регистрации. В больших организациях идентификатор защиты также может включать в себя название подразделения или отдела пользователя. Идентификаторы защиты групп создаются из списков идентификаторов пользователей. Второй атрибут— это список групп, к которым принадлежит MARYH. Windows NT задает несколько стандартных идентификаторов групп, которые включены в маркер MARYH.При попытке процесса открыть описатель объекта диспетчер объектов вызывает справочный монитор защиты. Справочный монитор защиты получает маркер доступа, связанный с процессом, и использует его идентификатор защиты и список групп, чтобы определить, имеет ли процесс право доступа к объекту. Небольшое количество чувствительных к защите системных сервисов (таких как создание маркера), также защищены от использования. Атрибут привилегий перечисляет все такие сервисы, к которым имеет право обращаться пользователь. Большинство пользователей не имеет никаких привилегий.В общем случае, пользователь, создавший объект, становится его владельцем и может решать, кто еще имеет доступ к объекту. Список контроля доступа (access control list, ACL) по умолчанию, хранящийся в маркере доступа, — это первоначальный список прав доступа, который присоединяется к создаваемым пользователем объектам. Атрибут "первичная группа" позволяет собирать идентификаторы защиты в группы для организационных целей. Это свойство присутствует в некоторых средах ОС, включая POSIX. К сервисам создания, открытия и опроса добавляется еще сервис установки. Установка атрибутов объекта — это распространенный сервис, предоставляемый многими объектами исполнительной системы NT. Другие три сервиса предназначены для использования главным образом программами администрирования защиты.
8. Разрешения доступа к каталогам и файлам. Понятие владельца. Стратегия предоставления прав на доступ. Сетевая печать.
Администратор может управлять доступом пользователей к каталогам и файлам в разделах диска, отформатированных под файловую систему NTFS. Разделы, отформатированные под FAT и HPFS, не поддерживаются средствами защиты Windows NT. Однако можно защитить разделяемые по сети каталоги независимо от того, какая используется файловая система.
Для зашиты файла или каталога необходимо установить для него разрешения (permissions). Каждое установленное разрешение определяет вид доступа, который пользователь или группа пользователей имеют по отношению к данному каталогу или файлу. Например, когда вы устанавливаете разрешение Read к файлу MY IDEAS.DOC для группы COWORKERS, пользователи из этой группы могут просматривать данные этого файла и его атрибуты, но не могут изменять файл или удалять его. Windows NT позволяет использовать набор стандартных разрешений, которые можно устанавливать для каталогов и файлов. Стандартными разрешениями для каталогов являются: No Access, Read, Add, Add&Read, Change и Full Control.
Стандартные разрешения (No Access, Read, Change и Full Control) представляют собой группы индивидуальных разрешений. Каждому стандартному разрешению соответствует определенная установка фиксированного набора индивидуальных разрешений. Индивидуальные разрешения могут быть: Read, Write, Execute, Delete, Change. Администратор может с помощью утилиты File Manager устанавливать как стандартные, так и индивидуальные разрешения. Для того, чтобы эффективно пользоваться возможностями механизмов безопасности NTFS, нужно помнить следующее:
· Пользователи не могут пользоваться каталогом или файлом, если они не имеют разрешения на это, или же они не относятся к группе, которая имеет соответствующее разрешение.
· Разрешения имеют накопительный эффект за исключением разрешения No Access, которое отменяет все остальные имеющиеся разрешения.
· Когда вы создаете в каталоге файлы и подкаталоги, то они наследуют разрешения, которые имеет каталог.
· Пользователь, который создает файл или каталог, является владельцем этого файла или каталога. Владелец всегда имеет полный доступ к файлу или каталогу, так как может изменять разрешения для него. Пользователи - члены группы Administrators - могут всегда стать владельцами любого файла или каталога.
Самым удобным путем управления защитой файлов и каталогов является установка разрешений для групп пользователей, а не для отдельных пользователей.
Подсистема сетевой печати Windows NT включает следующие элементы:
- Устройство печати (print device) - физическое устройство, которое печатает текстовые и графические документы на бумаге, например, Hewlett-Packard Laser Jet 4p или Cannon Bubble-Jet 10B. Обычно это устройство называют принтером, но Microsoft под принтером понимает программное обеспечение.
- Принтер (printer) - программный интерфейс между операционной системой и устройством печати. Принтер включает драйвер принтера и ряд других программных компонент, организующих печать документов на физическом устройстве.
- Устройство печати с сетевым интерфейсом - устройство с собственным сетевым адаптером. Оно не должно подключаться к порту компьютера, так как может непосредственно взаимодействовать с сетью.
- Принт-сервер (print server) - компьютер, на котором работает программное обеспечение принтера. Принт-сервер получает документы от клиентов и организует их печать. Нужно отличать использование этого термина в Windows NT от использования его в Net-Ware и OS/2 - там очередью называют программный интерфейс между операционной системой и устройством печати, то есть то, что в Windows NT имеет название принтер.
- Принт-спулер (print spooler) - набор динамических библиотек DLL, которые организуют получение, планирование и распределение документов. Спулинг - это процесс записи принтерных работ в файл на диске. Это файл называется спул-файлом. Спулер всегда устанавливается на принт-сервере, а также на клиентах Windows NT Workstation и Windows 95. Использование спулера на клиенте ускоряет работу приложений, печатающих свои документы, так как для приложения в этом случае процесс печати завершается после помещения всех его страниц в локальный спулер, а не в сетевой спулер принт-сервера.
- Очередь (queue) - группа документов, ожидающих печати. Не нужно
- Пул печати (printing pool) - обслуживание одним принтером нескольких однотипных устройств печати, подключенных к одному компьютеру. Организация пула печати позволяет переложить на программное обеспечение работу по балансу загрузки физических устройств печати. Пользователь не знает, на какое конкретное устройство он посылает документ.
На клиентах Windows NT Workstation 4.0 и Windows 95 не нужно устанавливать драйвер принтера для печати документа на принт-сервере. Этот драйвер автоматически переписывается с принт-сервера, когда клиент первый раз соединяется с принт-сервером. Клиент Windows NT Workstation 4.0 при каждом последующем соединении проверяет соответствие своей версии драйвера принтера той, которая имеется на принт-сервере и при ее обновлении заново переписывает свежую версию. Клиент Windows 95 так не делает, поэтому обновлять версию драйвера нужно вручную, устанавливая ее на клиенте. На остальных клиентах для соединения с принт-сервером Windows NT необходимо установить соответствующий драйвер принтера. Необходимо отметить, что принт-сервер может иметь несколько подключенных устройств печати и несколько инсталлированных принтеров.
Связь между принтерами и устройствами может быть достаточно гибкой:
- каждое устройство может обслуживаться отдельным принтером;
- несколько устройств могут обслуживаться одним принтером (пул печати);
- одно устройство может обслуживаться несколькими принтерами - это позволяет назначить каждому принтеру свой приоритет и документы будут печататься на устройстве в приоритетном порядке, в зависимости от того, на какой принтер пользователь послал документ.