КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Призначення прав користувача
|
|
|
|
У цьому розділі перераховані описи кожного із прав користувача так само, як вони представлені в GUI локальних параметрів безпеки. За допомогою вищеназваного GUI ви можете настроїти, які з користувачів і груп мають які права.
Доступ до комп'ютера з мережі. Користувачам, що одержали ці права, і групам буде дозволене віддалене підключатися до локального комп'ютера по протоколі SMB (тобто поділу доступу Windows). Варто дотримуватися принципу - визначайте тільки одну спеціальну групу, що має доступ по SMB. Видалите групу "Всі" (установлювану за замовчуванням) і заміните її групою користувачів, що пройшли перевірку дійсності (як мінімум), і видалите користувача "Гість". Ці зміни не зачіпають інші служби, такі як служба терміналів і сервер FTP.
Робота в режимі операційної системи. Є поважна причина для відмови в цьому праві користувачам за замовчуванням. Користувач,що має такі низько рівневі привілеї може власне кажучи обійти всі інші обмеження безпеки, дозволу, права й привілеї в системі. Наприклад, можна створити маркер анонімного доступу й надати йому усі права й привілеї, тим самим обійшовши захист й аудита.
Додавання робочих станцій до домену. Це право дозволяє зазначеним користувачам і групам додавати нові робочі станції до домену. Багато більших організацій надають це право всім користувачам, що пройшли перевірки дійсності, що є спірною практикою. Очевидно, що в довірений домен можуть бути додані не вповноважені комп'ютери або комп'ютери, що мають пробіли в безпеці. Потрапивши в домен, комп'ютер буде одержувати зміни служб домена й облікових записів цих служб, паролі яких зберігаються в текстовому виді в реєстрі.
Настроювання квот пам'яті для процесу. Настроювання обсягу пам'яті, доступного для процесу, може бути корисна при тонкому настроюванні системи, але свідомо або неусвідомлено цей параметр може бути використаний для організації атаки типу DOS (Відмова в обслуговуванні).
|
|
|
Дозволяти вхід у систему через службу терміналів. Для користувачів можна явно вказати можливість підключатися через службу терміналів.
Архівування файлів і каталогів. Не роздавайте це право всім і кожному. За замовчуванням цим правом володіють "Адміністратори" й "Оператори архіву". Користувачі, що мають це право, не проходять перевірку за таблицям DACL (Discretionary Access Control Lists - таблиці керування дискретним доступом). Головне, необхідно мати у виді, що не можна надавати право на архівування й відновлення тим самим користувачам одночасно.
Обхід перехресної перевірки. Користувачі, що мають це право, можуть проходити по дереву каталогу, доступ до якого їм заборонений. Ці користувачі не можуть переглядати вміст каталогу, тільки переміщайся по ньому для доступу до іншого каталогу. Наприклад, у вас є три вкладених каталоги C:\temp\middle\target. Ваш обліковий запис дозволяє доступ до каталогів \temp й \target, але забороняє до \middle. Дозвіл "Обходу перехресної перевірки" дозволяє вам перетинати каталог \middle directory і попадати в підкаталог \target.
Зміна системного часу. Установка точного часу дуже важлива для завдань аудита, виконання додатків і служб ідентифікації, таких як Kerberos, що й спричиняється присвоєння цього права за замовчуванням тільки "Адміністраторам" й "Досвідченим користувачам". Але кращим рішенням буде виключити із цього списку "Досвідчених користувачів" і залишити це право тільки "Адміністраторам". Майте на увазі, що зміна системного часу може привести до перекручування журналів аудита й відключити Kerberos, не давайте це право всім підряд.
|
|
|
Створення сторінкового файлу. За замовчуванням тільки "Адміністратори" можуть створювати системний сторінковий файл Windows. Сторінковий файл необхідний для нормальної роботи комп'ютера, причому він впливає на безпеку системи, тому що відіграє роль віртуальної пам'яті й зберігає змінні процесів і функцій. Надавати це право іншим користувачам, крім "Адміністраторів", необхідно тільки у виняткових випадках.
Створення маркерного об'єкта. Дане право не можна надавати ні одному обліковому запису, якщо тільки ви не хочете наразити на небезпеку всю систему захисту. Це право надає можливість звертання до системних API, що створює маркери доступу, які визначають повноваження облікового запису при вході. Якщо маркери доступу можуть довільно створюватися, про безпеку нема чого й говорити.
Створення постійних об'єктів спільного використання. Деякі компоненти режиму ядра вже мають це право, яким вони користуються для розширення простору імен об'єктів. Це право не повинне надаватися користувачам або групам.
Налагодження програм. За замовчуванням це право надається тільки "Адміністраторам", необхідно позбавити їхнього цього права. Це право дозволяє користувачеві підключати до процесу відладчик, що може бути необхідно для розроблювачів або при роботі з Visual Studio. Одержання цього права дає також можливість запускати програми типу LsaDump2.exe, які витягають із реєстру текстові паролі облікових записів служб.
Відмова в доступі до комп'ютера з мережі. Використайте цей параметр для дозволу входу в комп'ютер тільки з консолі, замість підключення віддалено по протоколу SMB. Для певних у цьому параметрі облікових записів при спробі вилученого підключення буде отримане повідомлення про помилку "у доступі відмовлене". Право "Відмова" перекриває право "Успіх", таким чином, наприклад, якщо для облікового запису встановлені обоє права доступу, то у вилученому доступі буде відмовлено.
Відмова у вході як пакетне завдання. Замість інтерактивного входу може застосовуватися пакетний вхід. Пакетний вхід може використатися, наприклад, службою планувальника. Право "Відмова" перекриває право "Успіх", таким чином, наприклад, якщо для облікового запису встановлені обоє права доступу, то в доступі буде відмовлено.
|
|
|
Відмова у вході як служба. Облікові записи служб потрібні для реєстрації процесів як служби. Указуйте в цьому параметрі облікові записи саме тих служб, для яких це право необхідно відключити. Право "Відмова" перекриває право "Успіх", таким чином, наприклад, якщо для облікового запису встановлені обоє права доступу, то в доступі буде відмовлено.
Відхилити локальний вхід. Певним у цьому параметрі обліковим записам буде заборонений вхід з консолі. Але вони будуть імен, можливість підключатися через службу терміналів, Telnet, SMB й інші служби. Як звичайно, право "Відмова" перекриваємо право "Успіх".
Заборонити вхід у систему через службу терміналів. Певним у цьому параметрі обліковим записам буде заборонений вхід через службу терміналів. Але вони будуть мати можливість підключатися через консоль, Telnet, SMB й інші служби. І знову право "Відмова" перекриває право "Успіх".
Дозвіл довіри до облікових записів комп'ютерів і користувачів при делегуванні. Звичайно за замовчуванням на клієнтській машині під керуванням Windows XP ні в кого немає такого права. Делегування ставиться до функцій Windows і найбільше часто застосовується в багаторівневих додатках, коли серверу потрібно передати контексти користувача від одного до іншого. Користувач, що має таке право, має можливість установити ознаку "Довірений для делегування" об'єкту користувача або комп'ютера в Active Directory. Ця ознака об'єкта користувача доступний в Active Directory, наприклад, на закладці "Обліковий запис" параметрів облікового запису. "Адміністраторам" контролера домена Windows 2000/.NЕТ це право надане за замовчуванням
Примусове завершення з вилученого комп'ютера. Користувачі, що мають це право, може звертайся з вилученої системи до функцій API для вимикання комп'ютера. Навряд чи має сенс давати це право кому-небудь, крім "Адміністраторів".
Створення журналів безпеки. Зазначені в цьому параметрі облікові записи будуть використатися процесом для додавання записів у журнал безпеки.
|
|
|
Збільшення пріоритету диспетчування. Користувачі, що мають це право, можуть збільшувати пріоритет процесів. Наприклад, пріоритет процесу може бути збільшений за допомогою щиглика правої кнопки миші в диспетчері завдань Windows і вибору рядка "Пріоритет". Найвищий рівень, що може бути призначений, має мітку "Реального часу" (Realtime) і, по суті, ставить за обов'язок операційній системі передати всі доступні ресурси процесора цьому процесу. Призначення високих пріоритетів може привести до швидкого виснаження всіх ресурсів комп'ютера й тим же результатам, що й атака типу "Відмова від обслуговування".
Завантаження й вивантаження драйверів пристроїв. Драйвери пристроїв виконуються в привілейованому режимі ядра, отже, над ними повинне бути встановлене спостереження й контроль. Кращим варіантом буде залишити це право "Адміністраторам", як і встановлено за замовчуванням.
Закріплення сторінок у пам'яті. Закріплення сторінок у фізичній пам'яті (RAM) означає заборона на скидання їх у системний файл підкачки. Досить кому-небудь зловжити цим правом, і це може привести до створення умов для "Відмови від обслуговування", якщо відмовитися від використання файлу підкачування й заповнити всю оперативну пам'ять. За замовчуванням це право не надається нікому, для чого є вагомі підстави.
Вхід як пакетне завдання. Замість інтерактивного входу може застосовуватися пакетний вхід. Такий вхід може використатися, наприклад, службою планувальника.
Вхід як служба Облікові записи служб потрібні для реєстрації процесів як служби. Указуйте в цьому параметрі облікові записи саме тих служб, для яких це право необхідно включити. Це право автоматично встановлюється для всіх облікових записів, для яких ви вкажете в GUI служб MMC (Services.msc), що служба може "Входити в якості" цих облікових записів. Майте на увазі, що паролі облікових записів служб зберігаються в текстовому виді в реєстрі, тому втримаєтеся від використання служб адміністрування рівня доменів.
Локальний вхід у систему. Облікові записи повинні мати це право, якщо їм необхідно підключатися через консоль. Даний параметр не робить ніякого впливу на доступ через службу терміналів, Telnet, SMB й інші служби, включаючи IIS. Найкраще давати це право тільки тим, кому воно дійсно необхідно, значення за замовчуванням занадто ліберальні. На практиці це означає видалення всіх груп, крім "Адміністраторів" й "Користувачів".
При завантаженні сервера служб Інтернет (IIS) обліковий запис IUSR повинна мати право 'Локальний вхід у систему". Можливо, це не дуже важливо, але кожен користувач, якому необхідний доступ до віртуального каталогу, захищеному звичайною ідентифікацією, повинен мати право "Локальний вхід у систему". Дійсно, якщо ваш сайт використає звичайну ідентифікацію, те кожен вилучений користувач повинен мати це право.
Керування аудитом і журналом безпеки. Користувачі, що мають це право, володіють двома важливими можливостями. По-перше, вони можуть включаючи аудита окремих об'єктів, таких як файли, папки й ключі реєстру. По-друге, вони можуть переглядати й очищати журнал безпеки. Тому рекомендується обмежити надання цього права - тільки "Адміністраторам".
Зміна параметрів середовища встаткування. Це право дозволяє власникові облікового запису змінювати загальносистемні змінні середовища, на відміну від змінні середовища конкретного користувача. Оскільки системні змінні середовища можуть бути використані для вказівки на шкідливі програми, рекомендується залишити значення за замовчуванням, тобто тільки для "Адміністраторів".
Запуск операцій по обслуговуванню тому. Ці операції містять у собі виклик таких убудованих функцій API, як очищення й дефрагментація дисків, обоє дії повинні виконуватися тільки "Адміністраторами".
Профілювання одного процесу. Цей параметр визначає, хто з користувачів може вести спостереження за продуктивністю несистемних процесів.
Профілювання завантаженості системи. Цей параметр визначаємо хто з користувачів може вести спостереження за продуктивністю системних процесів.
Добування комп'ютера зі стикувального вузла. Користувачі, що володіють цим правом, можуть витягати комп'ютер зі стикувального вузла без входу в систему. Не мають цього права користувачі повинні входити в систему й звертатися до меню Пуск | Витягти PC (Start | Eject PC). Очевидно, що без обмеження фізичного доступу комп'ютер може бути просто висмикнуть, незважаючи на усі права.
Зміна маркера рівня процесу. Власник цього права може з батьківського процесу замінити маркер доступу для дочірнього процесу. Це право надає дуже більші привілеї, і звичайно надається компонентам, що працюють у режимі ядра.
Відновлення файлів і каталогів. Разом із правом, що доповнює, "Архівування файлів і каталогів" це право дозволяє користувачам обходити всі обмеження на доступ до файлів і каталогів (DACL) при відновленні файлів. За замовчуванням це право надане "Адміністраторам" й "Операторам архіву", що означає, що всі ваші плани системи безпеки можуть бути відновлені або затерті будь-яким членом цих груп, що б ви не встановлювали в DACL. І ще раз, не випустіть із уваги той факт, що права на архівування й відновлення повинні призначатися різним обліковим записам.
Завершення роботи системи. Користувачі, що мають це право, можуть виключати систему, що звичайно є необхідною дією для робочих станцій й особливо переносних комп'ютерів.
Синхронізація дані служби каталогів. Це право ставиться тільки до контролерів доменів і дозволяє обліковому запису синхронізувати дані служби каталогів (тобто базу даних Active Directory).
Оволодіння файлами або іншими об'єктами. Користувач, що має право на оволодіння об'єктами (включаючи файли, папки й ключі реєстру), може ігнорувати всі обмеження безпеки для цього об'єкта. Прочитайте ще раз. Цей механізм розроблений для надання адміністраторам можливості мати доступ до файлів і папок поза залежністю від установок DACL. Наприклад, якщо який-небудь службовець зненацька залишає вашу організацію, вам знадобиться доступ до його захищених файлів.
|
|
|
|
|
Дата добавления: 2014-01-04; Просмотров: 2772; Нарушение авторских прав?; Мы поможем в написании вашей работы!