infrastructura IT pentru întreprinderea dvs.
Utilizarea eficientă a identificatorilor puternice
Spre deosebire de siguranța tipică participanților, acești participanți nu pot fi redenumite sau șterse. Este imposibil de a crea propriile principii de securitate încorporate; acestea sunt aceleași în toate sistemele Windows, deși o listă de directori de securitate încorporate variază ușor în diferite versiuni. În plus, built-in principal de securitate are același SID pe orice sistem Windows. De exemplu, SID S-1-5-10 furnizat întotdeauna participant auto și SID S-1-3-0 reprezintă întotdeauna un proprietar participant la Creator.
Privire de ansamblu asupra directori de securitate încorporate
Administrare încorporat directori de securitate
Built-in de securitate există în toate sistemele de operare Windows instalate în domeniu, sau în mod independent. Cu toate acestea, nu toate încorporate de securitate au intrat în sistemele de sine stătătoare. Mai mult decât atât, după cum sa explicat mai devreme, o listă de directori de securitate încorporate variază ușor în diferite versiuni ale sistemelor de operare.
Built-in directori de securitate pot fi adăugate la alte grupuri și liste de control al accesului obiectelor (ACL) pentru Windows. În AD poate delega chiar permisiuni directori de securitate încorporate. Destul de ciudat, atunci când încercați mai întâi să adăugați un built-in principal de securitate într-un alt grup nu se poate găsi într-o clipă Active Directory Users and Computers consola MMC. Trebuie să cunoașteți numele corect al principalului obligat de securitate încorporat; Pentru a găsi un element pe care nu se poate utiliza instrumentele de alegere utilizatori activi facilități de scule Directory și Calculatoare. Faptul că snap utilizatorii Active Directory și Computers se axează pe gestionarea datelor în contextul unui domeniu de denumire AD, și-a construit în principii de securitate sunt stocate în contextul de configurare AD de denumire. Aceeași problemă apare atunci când se utilizează utilitarul de completare snap MMC Utilizatori și grupuri locale. În acest caz, securitatea built-in sunt ascunse de utilizator.
Cele anticipate în Active Directory Users and Computers Built-in ForeignSecurityPrincipals de securitate afișate în container. De exemplu, dacă introduceți încorporat principal de securitate Autentificati Operatori Utilizatorii de grup de imprimare, elementul de utilizatorii autentificați ForeignSecurityPrincipals se adaugă la containerul (Figura 3). Trebuie remarcat faptul că, în majoritatea ușor de citit numele principal de securitate built-in NT AUTORITATE șir de caractere este prezent. NT AUTORITATEA - Manager de securitate în built-in pentru Windows domeniul de securitate, care există în fiecare sistem Windows.
Built-in directori de securitate pot fi adăugate la alte grupuri sau liste de control al accesului (ACL), la resursele din linia de comandă. Acest lucru se poate face folosind comenzile și Net Group Net Localgroup. De exemplu, pentru a adăuga grupul interactiv operatorilor locali grup de backup, introduceți comanda
De exemplu, pentru a oferi un grup de service local dreptul de a citi registrul secțiunea MyApplication, introduceți comanda
Utilizatorii autentificați și toată lumea
Built-in principal de securitate grup de utilizatori autentificați include toți utilizatorii care Windows va autentifica folosind un set de acreditări valide de utilizator la conectare. Grupul de utilizatori autentificați include toți utilizatorii cu acreditări de conectare în pădure și domeniile sale și utilizatorii din alte păduri care accesul la resurse în pădurea locală, prin acreditările de conectare și relații de încredere valabile în pădure sau peste păduri.
Sistem, Network Service Serviciul Local și
Rezoluția sistem comparabil cu root pe un cont UNIX. Când executați în contextul de securitate al unui sistem de servicii sau aplicații, serviciul sau aplicația oferă permisiuni aproape nelimitate în Windows. De exemplu, în cazul în care serviciul este conectat un controler de domeniu (DC), prin utilizarea de securitate principal încorporate în sistem, l-ați primit pe sistemul local de pe DC. După obținerea controlului serviciului, un atacator poate face modificări în AD. Ar trebui să fie atent - acționând în conformitate cu principiul suficiente permisiuni minime, este mai bine să se evite utilizarea sistemului.
Serviciul de rețea oferă un nivel minim de permisiuni pentru serviciile care necesită acces la alte computere din rețea. Cum ar fi serviciul cu permisiuni System, Serviciu de rețea accesează resursele de rețea cu cele ale contului de calculator. Servicii Domain Name System (DNS) și Remote Procedure Call (RPC) permisiunile alocate serviciu de rețea în mod implicit. Pentru a configura serviciul pentru utilizarea serviciului de rețea, trebuie să introduceți NT AUTHORITYNetworkService fila Log On caseta de dialog Alerter Properties. Nu este necesară o parolă.
Autentificarea selectivă poate fi atribuită pentru o relație de încredere în pădure, și între păduri, precum și pentru relații de încredere externe între domenii. Administratorul poate stabili o relație de încredere între domeniile rădăcină forestiere a două păduri, iar această relație va fi aplicată tuturor autentificării traficului peste păduri. Puteți organiza relații de încredere externe între oricare două domenii în cele două păduri, iar apoi acestea vor fi aplicate traficului de autentificare între cele două domenii.
Cu încredere expertul Expertul sau proprietățile încrederii poate fi creat relații de încredere într-o pădure sau externă la pădure pentru autentificare selectivă. Pentru a configura autentificarea selectivă a casetei de dialog Proprietăți a unei relații de încredere ar trebui să meargă la tab-ul de autentificare și activați selectiv autentificare.
În cazul în pădure sau relația de încredere externă folosesc autentificarea selectivă, iar utilizatorul încearcă să acceseze o resursă într-o altă pădure (ciclism încredere de pădure), apoi Windows adaugă la jeton de acces al utilizatorului încorporat în principal de securitate a unei alte organizații. Utilizatorii care accesează resursele utilizând relația de încredere dintre păduri, în mod implicit au în markerul încorporat în această organizație de acces principal de securitate. Atunci când un utilizator activează o relație de încredere într-o pădure sau o relație externă între păduri fără autentificare selectivă, Windows adaugă Organizația Acest lucru la token-ul de acces al utilizatorului. În acest caz, membru al grupului Această organizație este aceeași ca și în grupul de utilizatori autentificați.
Cod restricționat
Dacă jeton de acces al utilizatorului are un built-in principal de securitate Cod restricționat, atunci Windows va anula toate permisiunile pentru utilizator, în plus față de Bypass Traverse Verificare. Ca urmare, cererea nu poate accesa profilul de utilizator și sunt permise numai accesul la bazele de date citească datele de configurare în HKEY_LOCAL_MACHINE registru și HKEY_CURRENT_USER.
Tipuri de Logon și autentificare
Auto, Creatorul și proprietar Creatorul grupului
Mai multe tipuri de structuri ierarhice de obiecte pentru Windows (inclusiv AD, registru și sistemul de fișiere) oferă moștenire permisiunea. Permisiunile sunt definite în obiectul părinte, și apoi transferat automat la obiecte copil. Windows are un built-in directori de securitate auto, Creator și Proprietar Group Creator pentru a administra permisiuni acestor structuri ierarhice.
De obicei, toți cei trei participanți sunt înscrise în lista de control al accesului (ACL) a obiectului părinte, și apoi obiectul copil va moșteni acești membri după cum urmează.
În mod implicit, Windows oferă permisiunea de citire pentru atributul Self-membru din grup. Prin urmare, toți membrii grupului pot vedea ceilalți utilizatori care aparțin grupului. AD prevede, de asemenea, grupul de utilizatori autentificați citit acces la lista membrilor grupului și utilizatorii de utilizatorii autentificați se vedea, de asemenea, aceste informații.
instrument puternic, dar complex
Partajați imagini cu prietenii și colegii