Вивчаємо безпеку Windows 2003: Огляд

Марсін Поліч

У січні 2002 року Microsoft виступила з ініціативою "Trustworthy Computing", спрямованої на забезпечення безпеки платформи Windows. Ця подія безпосередньо вплинуло на відстрочку дати випуску наступної хвилі продуктів Microsoft (зібраних під "парасолькою". NET), але додаткові місяці зусиль розробників призвели до того, що нові продукти стали набагато безпечніше і стабільніше, ніж будь-які з їх попередників.

Нові функції розроблені з тим, щоб запропонувати зрослий рівень безпеки, практично, у кожній сфері функціональних можливостей нової операційної системи. Ми почнемо з тієї з них, що надає вплив на величезну кількість користувачів та адміністраторів Windows.

Дозволи NTFS і загальні дозволи, визначаються за замовчуванням

У попередніх версіях Windows дозволу за замовчуванням наділяли правом Full Control (Повний доступ) групу Everyone (Усі) (для обох систем дозволів), що робило файлову систему повністю незахищеною (У разі локального доступу до системи). Починаючи з Windows XP Professional, цей підхід зазнав зміна.

Дозволи NTFS на кореневому диску, надані групі Everyone обмежені правом Read (Читання) і Execute (Виконання) і надаються тільки на кореневому каталозі. Це означає, що група Everyont не може успадковувати ці дозволи на будь-якому з підкаталогів, створеному в кореневому каталозі. Група Everyone також виключена зі списку управління доступом (Access Control List) для забезпечення більшої безпеки таких областей файлової системи, як Program Files або каталоги Windows. Користувачі, на додаток до прав Read і Execute, можуть створювати підкаталоги (здатні успадковувати права) та файли в підкаталогах. (Зверніть увагу, що це не поширюється на кореневій диск). Рівень дозволів, що надаються облікового запису System і членам локальної адміністративної групи, не змінюється – вони, як і раніше, зберігають права Full Control по відношенню до кореневого каталогу і всім його підкаталогам і файлів. Група Creator Owner наділена правом Full Control до підкаталогам і файлів у них, що дозволяє користувачам повною мірою управляти створюваними ними підкаталогами.

Загальні дозволи для новостворюваних загальних ресурсів для групи Everyone тепер обмежені правом Read.

Крім того, група Everyone більше не включає до свого складу анонімний ідентифікатор безпеки (anonymous SID), що дає можливість неавторизованого доступу до файлової системи. Ви також можете швидко перевірити, наскільки добре працює ваша система безпеки на рівні NTFS, за допомогою вкладки Effective Permissions вікна Advanced Security Settings для вибраного файлу або папки. Це дозволяє усунути необхідність приблизної оцінки і складного аналізу успадкування і прямого призначення прав NTFS. Однак, ця функція не приймає до уваги загальні дозволи на користування ресурсом.

Володіння файлами та папками

Тепер ви можете не тільки заволодіти обраним об'єктом файлової системи (файлом або папкою), але також передати його будь-якому користувачеві, використовуючи вкладку Owner діалогового вікна Advanced Security Setting цього файлу або папки. Ця функція спрощує роботу з дисковими квотами Windows, заснованими на властивостях володіння. Наприклад, адміністратор створює новий файл від імені користувача (наприклад, через копіювання файлу або встановлення нової програми), що призводить до того, що адміністратор стає власником цього файлу. Отже, розмір нового файлу не буде зараховуватися в ліміт квоти цього користувача. У минулому, це рішення вимагало громіздкого обхідного шляху або використання інструментів сторонніх виробників. Тепер, за допомогою функціональної можливості призначення власника, доступного через користувальницький інтерфейс, ця проблема може бути вирішена дуже просто (для будь-якого типу операційної системи, що використовує NTFS – включаючи Windows NT 4.0, 2000 і XP Professional – якщо ця зміна здійснюється на Windows 2003 Server).

Зверніть увагу на те, що подібні функціональні можливості (ефективні дозволу і призначення власника) також доступні для об'єктів Active Directory, керованих з серверів Windows 2003 (через вкладки Effective Permissions і Owner в діалоговому вікні Advanced Security оснащення Active Directory Users and Computers).

Налаштування служб Windows

Зміни в налаштуваннях служб Windows можуть бути згруповані у дві основні категорії:

Аутентифікація

Удосконалення механізмів аутентифікації застосовуються для проведення аутентифікації як в локальних системах, так і в доменах Active Directory.

Установки аутентифікації в локальній системі за замовчуванням обмежують використання локальних облікових записів з порожнім паролем тільки для роботи з консолі. Це означає, що подібні облікові записи (без призначення пароля) не можуть використовуватися для будь-якого іншого типу доступу, що виходить з віддалених систем (таких, як підключення дисків або з'єднання "віддалений робочий стіл / віддалена підтримка").

Зміни аутентифікації в Active Directory є більш помітними, коли маєш справу з довірчими відносинами між деревами (cross-forest trust). Довірчі відносини між деревами дозволяють створювати засновані на Kerberos довірчі відносини між кореневими доменами лісів (що вимагає, щоб обидва лісу перебували на функціональному рівні Windows 2003, що, у свою чергу, має на увазі, що всі контролери доменів працюють під управлінням ОС Windows 2003 Server і всі домени є доменами функціонального рівня Windows 2003).

Подібні довірчі відносини є транзитивними, що означає, що вони поширюються на всі домени більш низького рівня в кожному з цих лісів. Це дозволяє будь-якому користувачеві з одного лісу отримати захищений доступ до будь-якого ресурсу, розташованому в іншому лісі, включаючи вхід в систему з іншого лісу (використовуючи угоду про іменуванні UPN). При налаштуваннях за замовчуванням, аутентифікація здійснюється в межах усього лісу, даючи всім учасникам безпеки з інших лісів такі ж можливості доступу до локальних ресурсів, що і у користувачів і комп'ютерів локального лісу. Але, в будь-якому випадку, доступ користувачів до ресурсів залежать від дозволів, визначених на цих ресурсах.

Якщо ви не відчуваєте себе на "короткій нозі" з подібним типом сценарію, то можете налаштувати вибіркову аутентифікацію на основі довірчих відносин рівня лісу, що вимагає функціонального рівня лісу Windows 2003. У цьому випадку, ви можете позначити користувачів або групи облікових записів з іншого лісу, яким дозволено аутентифицироваться, а також вибирати ресурси у вашому лісі, до яких ці облікові записи будуть мати доступ. Цей процес складається з двох основних етапів:

Перший етап включає в себе призначення учасникам безпеки з іншого лісу дозволу "Allowed to Authenticate" (допускається до аутентифікації) для об'єкта Active Directory, що представляє обліковий запис комп'ютера, на якому міститься цей ресурс. Наприклад, уявіть собі, що існують довірчі відносини між двома лісами функціонального рівня Windows 2003 – ForestA і ForestB – налаштованих на вибіркову аутентифікацію. Користувач UserA в домені DomainA лісу ForestA повинен отримати доступ до загального ресурсу ShareB на ServerB в домені DomainB лісу ForestB. Щоб досягти цього, повинна бути виконана наступна послідовність кроків:

На другому етапі просто призначте необхідний рівень прав для ресурсу ShareB на ServerB для глобальної групи DomainA \ GroupA (як альтернатива можна додати глобальну групу DomainA \ GroupA в локальну групу домену DomainB і встановити дозволи для цієї локальної групи). Це може бути зроблено за допомогою стандартних методів (за допомогою графічного інтерфейсу або інструментів командного рядка, наприклад, CACLS).

Межлесная (cross-forest) аутентифікація може також здійснюватися для реєстраційних імен користувачів через Internet Authentication Service (хоча в цьому випадку потрібні двонаправлені довірчі відносини між лісами).

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*