КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Вход в систему
Маркер Безопасности (SID) В состав маркера безопасности SID входит: - идентификатор домена, - идентификатор компьютера, - идентификатор пользователя. Каждая составляющая формируется операционной системой случайным образом. у администратора идентификатор пользователя = 500. у учётной запись Guest идентификатор пользователя = 501. Это не очень хорошо в смысле надёжности. Протокол аутентификации Kerberos является основным механизмом аутентификации, используемым в среде WS2003. Проблема аутентификации пользователя заключается в необходимости проверки того факта, что он является тем за кого себя выдаёт. В процессе аутентификации участвует три стороны: - клиент, запрашивающий соединение и предоставляющий сведения о своих полномочиях; - сервер, предоставляющий доступ к ресурсу и проверяющий полномочия клиента; - сервер, хранящий информацию о секретах всех клиентов (Центр распространения ключей); Аутентификация ведётся следующим образом: - клиент посылает запрос серверу аутентификации на информацию, однозначно идентифицирующую некоторый нужный клиенту сервер; - сервер передаёт требуемую информацию, зашифрованную с помощью известного пользователю ключа. Переданная информация состоит из билета сервера и временного ключа, предназначенного для шифрования (ключ сеанса); - клиент пересылает серверу билет, содержащий идентификатор клиента и ключ сеанса, зашифрованные с помощью ключа, известного серверу; - теперь ключ сеанса известен и клиенту, и серверу. Он может быть использован для аутентификации клиента, а также для аутентификации сервера. Модель распределённой безопасности в WS2003: Модель распределённой безопасности в WS2003 основана на трёх основных концепциях:
- каждая рабочая станция имеет прямой доверенный путь к контроллеру домена, членом которого является данная машина. Доверенный путь устанавливается службой NetLogon с помощью аутентифицированного соединения RPC с контроллером домена. Защищённый канал устанавливается и с другими доменами с помощью междоменных доверительных отношений. Этот канал используется для проверки информации безопасности, включая SID пользователей и групп; - перед выполнением запрошенных клиентом операций сетевые службы имперсонализируют контекст безопасности этого клиента. Имперсонализация основана на маркере адреса безопасности, созданном локальным администратором безопасности. Он представляет собой авторизацию клиента на сервере; - Ядро WS2003 поддерживает объектно-ориентированное управление доступом, сравнивая SID в маркере доступа с правами доступа, определенными в списке управления доступом данного объекта. Каждый объект WS2003 имеют собственные списки управления доступом. Разделяемые ресурсы \\имя_компьютера\ADMIN$ - для присоединения к каталогу, в котором находится ОС буква_диска$ - присоединение к корневому каталогу диска IPC$ - для организации связей NetLogon – для сервера при входе в систему prints$ - совместно используемые принтеры Repl$ - для факсов
FAT для локального пользователя открывает полный доступ ко всем ресурсам. Контроллер домена контролирует доступ к разделяемым ресурсам. Для доступа к разделяемым ресурсам на томе FAT рекомендуется назначать требуемые полномочия, на NTFS – максимально допустимые полномочия. На томе NTFS дополнительные ограничения устанавливаются обычным образом к любой папке. Таким образом разгружается контроллер домена. Полномочия разделяемого доступа: READ – разрешается читать файлы, папки, подпапки, атрибуты и изменять журнал безопасности; CHANGE – разрешается всё то, что в READ + разрешено удалять и добавлять файлы и подпапки, изменять их содержимое;
FULLCONTROL – разрешается всё, что в CHANGE + менять атрибуты доступа и владельца. NB:Для пользователя имеющего FULLCONTROL к каталогу разрешена операция удаления любой подпапки или файла из каталога, так как каталог - это файл, то есть фактически пользователь может изменять файл.
Дата добавления: 2014-01-11; Просмотров: 282; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |