Какая модель разграничения доступа субъектов к объектам ntfs и ad используется в windows 2000

Обновлено: 05.07.2024

Средства разграничения доступа в ОС Windows

Права доступа к файлам. NTFS

При разработке систем Windows большое внимание уделялось средствам разграничения доступа. Эти средства совершенствовались с каждой новой ОС.

Система Windows XP имеет развитые средства ограничения доступа.

Возможность задания разных прав доступа к файлам для разных пользователей связана с использованием файловой системы NTFS .

Файловая система NTFS обладает характеристиками защищённости, поддерживая контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности жизненно важных конфиденциальных данных. Папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являются они общими или нет. NTFS позволяет назначать права доступа к отдельным файлам. Однако, если файл будет скопирован из раздела NTFS в раздел FAT , все права доступа и другие уникальные атрибуты, присущие NTFS , будут утрачены. NTFS обеспечивает такое сочетание производительности, надёжности и эффективности, какого невозможно добиться с помощью FAT .

Основными целями разработки NTFS являлись обеспечение скоростного выполнения стандартных операций над файлами (включая чтение, запись) и предоставление дополнительных возможностей, включая сжатие и восстановление повреждённых файлов. Помимо разграничения доступа, NTFS поддерживает шифрование файлов с помощью EFS ( Encrypting File System ).

Для каждого пользователя или группы можно назначить или запретить стандартные разрешения для файлов: полный доступ ( full control ), изменение ( modyfy ), чтение и выполнение ( read & execute ) , чтение ( read ) и запись ( write ) . Для установок разрешения или отказа служат флажки Разрешить ( Allow ) и Запретить ( Deny ).

Для папок разрешения устанавливается аналогичным образом.

Чтобы "понять", имеет ли определённый пользователь права доступа по отношению к конкретному объекту, система должна каким - либо образом идентифицировать каждого пользователя. Для этого используются учётные записи пользователей и групп. Создание учётных записей занимает важное место в обеспечении безопасности Windows XP , поскольку, назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации, разрешать или запрещать выполнение определённых действий. Для регистрации пользователя в системе Windows XP в обязательном порядке требуется наличие пользовательской учётной записи ( user account ). Причём пользователь идентифицируется не по входному имени и паролю ( login / password ) , а по идентификатору безопасности ( Security ID , SID ) . Большинство идентификаторов безопасности являются уникальными для каждого пользователя (в том числе и для пользовательских учётных записей в разных системах). Исключение составляют только так называемые "хорошо известные" SID , например, такие как встроенная группа Everyone ( Все).

Сразу после установки системы Windows XP автоматически создаются встроенные учётные записи:

· Administrator (Администратор) - используется при установке рабочей станции или сервера, являющегося членом домена. Эта запись не может быть уничтожена, блокирована или удалена из группы Администратора

· Guest ( Гость) - учётная запись для регистрации в системе без специально созданной учётной записи. она не требует ввода пароля и по умолчанию заблокирована

· HepAssistaint - используется при работе средства Remote Assistance ; по умолчанию заблокирована

· Support - 38894500 – зарезервирована для поддержки справочной службы Microsoft ; по умолчанию заблокирована

Автоматически создаются также встроенные группы:

· Administrators (Администраторы) - обладают полным доступом ко всем ресурсам системы

· BackupOperations (Операторы архива) - могут восстанавливать и архивировать файлы

· Guests (Гости) - могут зарегистрироваться в системе и получать ограниченные права

· PowerUsers (Опытные пользователи) - обладают большими правами, чем члены групп Guests и Users

· Replicators (Репликатор) - специальная группа для работы в сети

· Users ( Пользователи) - могут выполнять большинство пользовательских функций

· Network Configuration Operatons ( Операторы настройки сети ),

· Remote Desktop Users (Удаление пользователей рабочего стола),

· Help Services Group (Группа Служб Поддержки).

В процессе работы в системе могут создаваться новые группы и пользовательские учётные записи; может меняться членство пользователей в локальных группах.

Система Windows XP имеет также средства аудита. После включения аудита система начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Security ) можно просмотреть с помощью специальной программы. В процессе настройки аудита необходимо указать, какие события должны отслеживаться. Например, регистрация в системе, попытка создания объекта файловой системы, получения к нему доступа или удаления. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполняемого действия, пользователе, выполнившем его, а также дате и времени действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определённого действия.

Следует учитывать, что аудит несколько снижает производительность системы, поэтому по умолчанию он отключён.

Таким образом система Windows XP имеет развитые средства управления доступом, что обеспечивает безопасность информации, хранящейся на компьютере.

Разграничение прав доступа в Windows


Статья о разграничении прав доступа в операционных системах Windows: дискретном и мандатном. В статье рассматриваются разграничения прав доступа к папкам и файлам на уровне операционной системы Windows и с помощью Secret Net.

Дискретное разграничение прав доступа

Для того, что бы настроить правила безопасности для папок нужно воспользоваться вкладкой «Безопасность». В Windows XP эта вкладка отключена по умолчанию. Для ее активации нужно зайти в свойства папки (Меню «Сервис» -> «Свойства папки» -> «Вид») и снять флажок «Использовать простой общий доступ к файлам».

Свойства папки

Основные права доступа к папкам

В файловой системе NTFS в Windows XP существует шесть стандартных разрешений:

  1. Полный доступ;
  2. Изменить;
  3. Чтение и выполнение;
  4. Список содержимого папки;
  5. Чтение;
  6. Запись.

Основные права доступа к папкам Windows XP

В Windows 10 нет стандартного разрешения «Список содержимого папки».

Основные права доступа к папкам Windows10

Эти разрешения могут предоставляться пользователю (или группе пользователей) для доступа к папкам и файлам. При этом право «Полный доступ» включат в себя все перечисленные права, и позволяет ими управлять.

Права доступа назначаются пользователю для каждого объекта (папки и файла). Для назначения прав нужно открыть меню «Свойства» и выбрать вкладку «Безопасность». После этого выбрать необходимо пользователя, которому будут назначаться разрешения.

Создайте папки по названиям разрешений, всего у вас будет 6 папок для Windows XP и для Windows 10. Я рассмотрю на примере Windows XP, на «десятке» вам будет проще. Скачайте папки по ссылке и скопируйте в них содержимое (не сами папки, а то, что в них находится).

Каталоги для примера

Отройте вкладку «Безопасность» в свойствах папки «Список содержимого папки». У меня есть пользователь user, вы можете добавить своего. Для того, что бы изменить право на объект нужно выбрать пользователя и указать ему разрешение, в данном случае «Список содержимого папки». Затем нажмите «Применить» и «ОК».

Выбор пользователя Список содержимого

По аналогии установите права для соответствующих папок.

После установки прав доступа проверьте их. Для этого войдите в операционную систему под пользователем, для которого устанавливали права, в моем случае это user.

Смена пользователя

Откройте каждую папку и проверьте, что разрешения выполняются.

Элементы разрешений на доступ

Каждое разрешение состоит из нескольких элементов, которые позволяют более гибко настраивать систему безопасности. Войдите в операционную систему под учетной записью администратора.

Просмотреть элементы разрешений на доступ можно, нажав на кнопку «Дополнительно» во вкладке «Безопасность» и выбрав любой элемент разрешений.

Элементы разрешений на доступ

Поэкспериментируйте с элементами и проверьте, как они работаю.

Элементы разрешений на доступ для записи

Элементы разрешений на доступ для записи

Владелец файла

В файловой системе NTFS у каждого файла есть свой владелец. Владельцем файла является пользователь операционной системы. Он может управлять разрешениями на доступ к объекту независимо от установленных разрешений.

Узнать, какой пользователь является владельцем файла или папки можно на закладке «Владелец» в дополнительных параметрах безопасности.

Владелец файла в NTFS

Наследование прав доступа

В файловой системе NTFS поддерживается наследование разрешений. Если вы устанавливаете разрешение на папку, то оно наследуется для всех вложенных файлов и папок.

При любых изменениях разрешений на родительскую папку они меняются в дочерних (вложенных) файлах и каталогах.

Для изменения унаследованных разрешений нужно открыть вкладку «Разрешения» в дополнительных параметрах безопасности. Там же можно отключить наследование разрешений.

Отключение наследования разрешений

Запреты

Кроме установки разрешений в файловых системах можно устанавливать запреты. Например, вы можете разрешить чтение и выполнение, но запретить запись. Таким образом, пользователь для которого установлен запрет и разрешения сможет запустить исполняемый файл или прочитать текстовый, но не сможет отредактировать и сохранить текстовый файл.

Запреты на объекты в файловой системе NTFS

Запреты на объекты в файловой системе NTFS

В дополнительных параметрах безопасности можно посмотреть действующие разрешения и для конкретного пользователя.

Действующие разрешения

Разграничение прав доступа с помощью Secret Net (на примере версии 5.1)

При использовании Secret Net доступ к файлам осуществляется, в случае если пользователю присваивается соответствующий уровень допуска. В примере я использую Windows XP с установленным программным продуктом Secret Net 5.1.

Первым делом нужно запустить локальные параметры безопасности от имени Администратора: «Пуск –> Программы –> Secret Net 5 –> Локальная политика безопасности».

Локальная политика безопасности

Далее необходимо перейти в «Параметры Secret Net» –> «Настройка подсистем» –> «Полномочное управление доступом: название уровней конфиденциальности».

Полномочное управление доступом: название уровней конфиденциальности

Введите названия уровней. У меня это:

  • Низший – Общедоступно.
  • Средний – Конфиденциально.
  • Высший – Секретно.

Название уровней доступа

Настройка субъектов

Настройка субъектов в Secret Net производится в группе «Локальные пользователи и группы». Зайдите в меню «Пуск» –> «Программы» –> «Secret Net 5» –> «Управление компьютером» –> «Локальные пользователи и группы» –> «Пользователи».

Что бы настроить права администратора нужно выбрать учетную запись «Администратор» и перейти на вкладку Secret Net 5. Установим уровень доступа «секретно».

Настройка субъектов

Далее установите все флажки.

  • Управление категориями конфиденциальности означает, что пользователь имеет право изменять категории конфиденциальности папок и файлов, а так же может управлять режимом наследования категорий конфиденциальности папок.
  • Печать конфиденциальных документов означает, что пользователь может распечатывать конфиденциальные документы. Данная возможность появляется, если включен контроль печати конфиденциальных документов.
  • Вывод конфиденциальной информации означает, что пользователь может копировать конфиденциальную информацию на внешние носители.

Уровни доступа пользователя

После установки всех флажков нажмите «Применить» и «ОК».

Создадим нового пользователя. Для этого нужно перейти «Локальные пользователи и Группы» –> «Пользователи». Создайте новых пользователей, я назову их «Конфиденциальный» и «Секретный». По аналогии с пользователем Администратор установите для новых пользователей аналогичные уровни доступа и настройки как на рисунках ниже.

Создание нового пользователя

Настройка объектов

Та или иная категория конфиденциальности является атрибутом папки или файла. Изменения этих атрибутов производятся уполномоченными пользователями (в данном случае Администратором). Категория конфиденциальности может присваиваться новым файлам или папкам автоматически или по запросу.

Автоматическое присваивание категории конфиденциальности можно включить или отключить в окне настройки свойств папки. Этот параметр может редактировать только пользователь, у которого есть права на «Редактирование категорий конфиденциальности».

Автоматическое присвоение категорий конфиденциальности

При этом стоит учесть, что категории конфиденциальности могут назначаться только папка и файлам в файловой системе NTFS. В случае если у пользователя нет такой привилегии, он может только повысить категорию конфиденциальности и только не выше своего уровня.

Попробуйте создать в паке новый файл или каталог, а после чего изменить ее уровень (повысить) и установить флажок «Автоматически присваивать новым файлам». У вас появиться окно «Изменение категорий конфиденциальности».

Выберите пункт «Присвоение категорий конфиденциальности всем файлам в каталоге» и нажмите «ОК» для присвоения категории конфиденциальности всем файлам кроме скрытых и системных файлов.

В случае если категория допуска пользователя выше чем категория конфиденциальности объект, то пользователь имеет право на чтение документа, но не имеет права изменять и сохранять документ.

Если пользователь с категорией «Общедоступно» попробует прочитать или удалить документ, то он получит соответствующие ошибки.

Отказано в доступе

То есть пользователь не может работать с документами, у которых уровень конфиденциальности выше, чем у него.

Если вы зайдете под пользователем «Секретный» то вы сможете повысить уровень конфиденциальности файлов и работать с ними.

Повышение уровня конфиденциальности

Не стоит забывать, что конфиденциальные файлы нельзя копировать в общедоступные папки, чтобы не допустить их утечки.

Контроль потоков данных

Контроль потоков данных используется для того, что бы запретить пользователям возможность понижения уровня конфиденциальности файлов.

Для этого нужно запустить «Локальные параметры безопасности»: «Пуск» – «Программы» –> «Secret Net 5» –> «Локальная политика безопасности», затем перейти в группу «Параметры Secret Net» –> «Настройки подсистем» и выбрать параметр «Полномочное управление доступом: Режим работы» и включить контроль потоков. Изменения вступят в силу после перезагрузки компьютера.

Полномочное управление доступом: Режим работы

Если зайти (после перезагрузки) под пользователем «Секретный» появиться выбор уровня конфиденциальности для текущего сеанса. Выберите секретный уровень.

Выбор уровня конфиденциальности

Если вы откроете файл с уровнем «Конфиденциально», отредактируете его и попробуете сохранить под другим именем и в другую папку, то вы получите ошибку, так как уровень сеанса (секретный) выше, чем уровень файла (конфиденциальный) и включен контроль потоков данных.

На этом все, если у вас остались вопросы задавайте их в комментариях.

Анатолий Бузов

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

Система безопасности Windows NT имеет своей целью защитить как данные системы, так и данные пользователя от случайного или преднамеренного уничтожения или искажения, а также от несанкционированного доступа к ним. С самой первой версии Windows NT система безопасности удовлетворяла многим требованиям надежной защиты данных. Развитие системы в целом сопровождалось и совершенствованием системы безопасности. В Windows 2000, являющейся новой версией Windows NT, появилось много новых функций, которые, с одной стороны, позволили еще более надежно защитить информацию в системе, а с другой — упростить обмен информацией в гетерогенных системах за счет использования стандартных протоколов и API.

Условно функции защиты данных можно разделить на функции, приносящие выгоду пользователям, и функции, приносящие выгоду администраторам. К первым относятся новые, упрощенные, но более надежные способы регистрации в сети, шифрование файлов пользователей и использование сертификатов. Ко вторым — служба каталогов Active Directory, содержащая все объекты системы и позволяющая не только разграничивать права и привилегии, но и легко выполнять их делегирование; средства конфигурирования уровня безопасности и управления политикой безопасности; средства аудита системы; средства обеспечения безопасной передачи данных по сети по протоколу IP.

Возможности, предоставляемые пользователям

Начнем с тех возможностей по обеспечению безопасности данных, которые получили пользователи. К ним относятся новые средства регистрации в системе, аутентификация Kerberos, возможность вторичной регистрации в системе, файловая система с шифрованием и менеджер сертификатов. Рассмотрим их подробнее.

При входе в систему пользователь может задать не только свое короткое имя в системе, но и полное имя в виде «имя@имя_домена». Это позволяет интегрировать систему безопасности с Интернетом. Дополнительно по умолчанию используется иной протокол аутентификации — Kerberos. Для повышения защищенности служит и использование при регистрации смарт-карт. Все это выполнено таким образом, что наряду с серверами, работающими под управлением Windows 2000, в сети могут существовать машины и с предыдущими версиями Windows NT и с иными ОС.

Аутентификация Kerberos

Протокол Kerberos усиливает существующие функции безопасности Windows NT и добавляет новые.

  • Повышенная скорость аутентификации при установлении начального соединения. Сервер приложений не должен обращаться к контроллеру домена для аутентификации клиента. Это повышает масштабируемость серверов приложений при обработке запросов на подключение от большого числа клиентов.
  • Делегирование аутентификации в многоярусных архитектурах «клиент/сервер». При подключении клиента к серверу последний имперсонирует (олицетворяет) клиента в этой системе. Но если серверу для завершения транзакции необходимо выполнить сетевое подключение к другому серверу, протокол Kerberos позволяет делегировать аутентификацию первого сервера и выполнить подключение ко второму от имени клиента. Делегирование позволяет второму серверу также выполнить имперсонацию клиента.
  • Транзитивные доверительные отношения для междоменной аутентификации. Пользователь может быть аутентифицирован в любом месте дерева доменов, так как сервисы аутентификации (KDC) в каждом домене доверяют билетам, выданным другими KDC в дереве. Транзитивное доверие упрощает управление доменами в больших сетях с несколькими доменами.

Основы Kerberos

Kerberos является протоколом аутентификации с совместным секретом. Так он называется потому, что и пользователю, и KDC известен пароль (KDC на самом деле известен зашифрованный пароль). Протокол Kerberos определяет серию обменов между клиентами, KDC и серверами для получения билетов Kerberos (рис. 1). Когда клиент начинает регистрацию в Windows 2000, поставщик функций безопасности (ПФБ) Kerberos получает начальный билет Kerberos (Ticket grant ticket — TGT), основанный на зашифрованном представлении пароля. Windows 2000 хранит TGT в кэше билетов на рабочей станции, связанной с контекстом регистрации пользователя. При попытке клиентской программы обратиться к сетевой службе выполняется проверка кэша билетов на наличие в нем верного билета для текущего сеанса работы с сервером. Если такого билета нет, на KDC посылается запрос, содержащий TGT, для получения сеансового билета, разрешающего доступ к серверу.

Сеансовый билет добавляется в кэш и может быть впоследствии использован повторно для доступа к тому же самому серверу в течение времени действия билета. Время действия билета устанавливается доменными правилами и обычно равно восьми часам. Если время действия билета истекает во время сеанса, то поставщик функций безопасности Kerberos возвращает соответствующую ошибку, что позволяет клиенту и серверу обновить билет, создать новый сеансовый ключ и возобновить подключение.

На рис. 2 изображено взаимодействие между клиентом, KDC и сервером приложений, использующим протокол аутентификации Kerberos.

Сеансовые билеты Kerberos содержат уникальный сеансовый ключ, созданный KDC для симметричного шифрования информации об аутентификации и данных, передаваемых от клиента к серверу. В модели Kerberos KDC используется в качестве интерактивной доверенной стороны, генерирующей сеансовый ключ.

Интеграция Kerberos

Протокол Kerberos полностью интегрирован с системой безопасности и контроля доступа Windows 2000. Начальная регистрация в Windows 2000 обеспечивается процедурой WinLogon. Она использует поставщика функций безопасности Kerberos для получения начального билета TGT. Другие компоненты системы, например Redirector, используют интерфейс SSPI к ПФБ Kerberos для получения сеансового билета для удаленного доступа к файлам сервера SMB.

Делегирование аутентификации (рис. 3) поддерживается в протоколе Kerberos v5 путем использования в сеансовых билетах флагов proxy и forwarding. Функция делегирования используется сервером Windows 2000 для получения сеансового билета на доступ от имени клиента к другому серверу.

Расширения Kerberos для использования смарт-карт

Расширения протокола Kerberos, использующие открытые ключи, являются основой аутентификации в сети с помощью технологии смарт-карточек. В Windows 2000 возможно выполнять вход пользователя по смарт-карте.

В отличие от регистрации с вводом пароля пользователь вставляет в приемное устройство смарт-карту, в которой содержится персональная информация о пользователе и его личный ключ. Для активации смарт-карты пользователь вводит свой PIN-код. Личный ключ и сертификат, хранимые в карточке, аутентифицируют пользователя в KDC, и он получает TGT. Таким образом, для каждого пользователя необходима своя смарт-карта.

Вторичная регистрация «Run As»

Полезной функцией, встроенной в Windows 2000, является сервис вторичной регистрации, позволяющий выполнять отдельные процессы с разным уровнем привилегий. Для этого в командной строке используется команда runas. Она подобна утилите SU в UNIX. Указывая имя процесса и учетную запись, от имени которой будет запущен процесс, можно изменять привилегии этого процесса.

Обратный пример: вы обладаете достаточно высокими правами в системе, но вам надо запустить некоторую программу, в безвредности которой вы не уверены. Что ж, запустите ее под гостевой учетной записью, и программа не сможет причинить вреда.

Файловая система с шифрованием

Одной из стандартных мер предосторожности в персональных компьютерах является возможность загрузки с гибкого диска. Это выручает в случае сбоев на жестком диске или повреждений загрузочного сектора, так как позволяет осуществить доступ к данным. К сожалению, эта же возможность позволяет загрузить на компьютере операционную систему, отличную от той, что на нем установлена. Потенциально любой, имеющий физический доступ к компьютеру, сможет обойти систему разграничения доступа файловой системы Windows 2000, используя появившиеся в последнее время утилиты чтения NTFS.

Файловая система с шифрованием (Encrypting File System — EFS) призвана решать эту проблему.

Реализация EFS

Файловая система с шифрацией (рис. 4) является частью послойной модели Windows 2000 и состоит из следующих компонентов:

  • Драйвер EFS. Этот драйвер располагается непосредственно над NTFS и взаимодействует с сервисом EFS для запроса ключей шифрования файлов, полей дешифрования файлов, полей восстановления файлов и других сервисов, связанных с управлением ключами.
  • EFS FSRTL. Этот модуль драйвера EFS реализует различные вызовы NTFS для выполнения таких операций файловой системы, как чтение, запись и открытие зашифрованных файлов и каталогов, а также операции шифрования, дешифрования и восстановления данных при записи на диск или считывании с диска.
  • Сервис EFS. Этот сервис является частью подсистемы защиты.
  • Интерфейсы Win32 API. Обеспечивают программные интерфейсы для шифрования текстовых файлов, дешифрации или восстановления закодированных текстов, а также импорта или экспорта зашифрованных файлов без их предварительного дешифрования.

Также имеется возможность восстановления файлов в случае потери личного ключа пользователя.

Использование EFS

Шифрование выполняется на уровне файлов и папок. Если папка зашифрована, то любой файл, положенный в нее, также будет зашифрован. Шифрование можно выполнять на отдельно стоящей рабочей станции, на машине, входящей в домен, и удаленно: на сервере — члене домена. При этом следует помнить, что шифруются только хранимые данные. Передача по сети не шифруется. Кроме того, шифруются только данные пользователя. Системные данные не шифруются. Шифрование возможно только на NTFS 5.0.

Функции системы безопасности для администраторов

В первую очередь к функциям системы безопасности, предоставляющим новые возможности администраторам, безусловно, следует отнести службу каталогов Active Directory. Помимо этого имеются Delegation Wizard — инструмент для упрощения делегирования административных полномочий, Enterprise Certificate Services — средство выдачи сертификатов, а также средства управления локальным компьютером и политикой безопасности.

Безопасность и Active Directory

Во всех предыдущих версиях Windows NT информация об учетных записях хранилась в защищенных ветвях реестра на контроллерах домена. Использование доверия между доменами и сквозной аутентификацией в двухуровневых иерархиях доменов позволяло обеспечивать некоторую гибкость в управлении учетными записями и серверами ресурсов. Однако внутри каждого домена пространство имен было плоским и не имело никакой внутренней организации.

В Windows 2000 распределенные службы безопасности используют Active Directory в качестве хранилища учетной информации. Active Directory значительно превосходит реестр в плане производительности и масштабируемости, а также предлагает исчерпывающие административные возможности.

Учетные записи пользователей, групп и машин могут быть организованы в виде контейнеров каталога, называемых организационными единицами (OU). В домене может быть произвольное число OU, организованных в виде древовидного пространства имен. Это пространство имен может быть организовано в соответствии с подразделениями и отделами в организации. Так же как и OU, учетные записи пользователей являются объектами каталога и могут быть легко переименованы внутри дерева доменов при перемещении пользователей из одного отдела в другой.

Хранение учетной информации в Active Directory означает, что пользователи и группы представлены в виде объектов каталога. Права на чтение и запись могут быть предоставлены как по отношению ко всему объекту в целом, так и по отношению к отдельным его свойствам. Администраторы способны точно определять, кто именно может модифицировать информацию о пользователях и какую именно.

Между Active Directory и Службами безопасности Windows 2000 существуют фундаментальные отношения. В Active Directory хранятся правила безопасности домена, определяющие использование системы, — ограничения паролей, ограничения доступа к системе. Объекты каталога, относящиеся к безопасности, должны быть защищены от несанкционированного доступа. В Windows 2000 реализована объектная модель безопасности и контроля доступа ко всем объектам в каталоге Active Directory. У каждого объекта имеется свой уникальный дескриптор защиты, определяющий разрешения, необходимые для чтения или обновления свойств объектов.

Группы

Понятие групп в Windows 2000 расширено по сравнению с предыдущими версиями Windows NT. Существуют четыре вида групп: универсальные, глобальные, локальные в домене и почтовые. Последние не относятся к системе безопасности.

Универсальные группы характерны тем, что членство в них публикуется в Глобальном каталоге. Глобальные группы включают в себя пользователей или группы того же самого домена, в котором определены глобальные группы. Членство в этих группах не публикуется в Глобальном каталоге.

Локальные группы домена включают в себя как пользователей, так и группы из доверяемых доменов. Членство в этих группах также не публикуется в Глобальном каталоге.

Делегирование административных полномочий

Делегирование административных полномочий является гибким инструментом ограничения администраторов в рамках части домена организации. Это позволяет предоставить им возможность управления пользователями или группами в пределах их области администрирования и в то же время не дает прав на управление учетными записями в других частях организации.

Делегирование права создания новых пользователей или групп определяется на уровне организационной единицы (OU) или контейнера, в котором создана учетная запись. Администраторы групп в одной организационной единице не обязательно имеют возможность создавать или управлять учетными записями в другой организационной единице того же самого домена. Однако доменные правила и права доступа, определенные на более высоких уровнях в каталоге, могут быть применены ко всему дереву путем использования наследования прав доступа.

Для делегирования полномочий применяется Delegation Wizard.

Безопасная передача по протоколу IP

В RFC 1825-1829 определены спецификации протокола IPSec. Этот протокол является обязательным для IPv6 и опционным для IPv4, тем не менее он реализован в Windows 2000. IPSec защищает трафик IP по двум протоколам: Authentication Header (AH) и Encapsulating Security Payload (ESP).

AH обеспечивает целостность и неизменность как заголовка пакета IP, так и его содержимого. Если хакер внес изменения в пакет, то AH позволяет узнать об этом на приемной стороне.

ESP обеспечивает конфиденциальность передаваемых данных путем шифрования пакетов IP. ESP не шифрует заголовки пакетов, что позволяет использовать его при трансляции сетевых адресов.

IPSec работает в двух режимах: транспортном и туннельном. В транспортном режиме AH или ESP располагается в оригинальном пакете IP между IP-заголовком и верхним слоем расширений заголовка. Этот режим используется для защиты соединений точка-точка, например между рабочей станцией и сервером.

В туннельном режиме оригинальный пакет IP помещается внутри нового пакета, а AH или ESP — между заголовком IP нового пакета и оригинальным пакетом. Новый заголовок пакета IP указывает на конечную точку туннеля, в то время как в старом заголовке хранится точное место назначения. Туннельный режим используется для создания туннеля между двумя системами, например между двумя конечными точками, между конечной точкой и защищенным шлюзом или между двумя защищенными шлюзами. Под защищенным шлюзом можно рассматривать туннельный сервер, маршрутизатор, межсетевой экран или виртуальную частную сеть.

Ядром реализации IPSec в Windows 2000 является политика безопасности IP. В рамках этой политики можно задать параметры для фильтров IP, политики переговоров, метода аутентификации, туннеля IPSec, а также выбрать тип соединения — локальной сети или удаленного доступа. Политика безопасности может храниться как на отдельных машинах, так и в Active Directory, что позволяет распространить ее на всю организацию в целом.

Заключение

Итак, в новой версии Windows NT появились новые возможности, позволяющие надежно защитить данные, — причем защитить их не только от уничтожения или искажения, но и от несанкционированного доступа. Защита данных выполняется как при хранении, так и при передаче по сети, как на отдельно взятом компьютере, так и на машине, входящей в сеть. И все это делается сравнительно просто, без колдовства и шаманства, за счет использования мощных и удобных инструментов.

Для операционной системы Windows 2000 разработчики Microsoft преобразовали алгоритм контроля доступа к файлам и другим объектам NTFS.

Вероятно, многие пользователи уже заметили, что программа Security Configuration Manager (SCM), реализованная в Windows NT 4.0 Service Pack 4, управляет доступом точно так же, как в Windows 2000. Действительно, новая модель доступа в NTFS унаследовала старую методику управления, но, вместе с тем, приобрела некоторые очень важные свойства. Изменения затрагивают контроль доступа в следующих трех аспектах. Во-первых, система разрешений (permission) стала более детально проработанной, что предполагает возможность более тонкой настройки доступа. Во-вторых, пользователям, привыкшим к принятой в NetWare системе динамического наследования прав, система разрешений Windows 2000, реализованная в SCM, покажется хорошо знакомой. И, наконец, специалисты Microsoft целиком переработали диалоговые окна при назначении разрешений доступа.

Модульность

Прежде чем воспользоваться новой моделью, необходимо уяснить, в чем же заключаются усовершенствования в системе управления доступом по сравнению с предыдущими моделями, реализованными в NT, и как ими воспользоваться. «Внутри себя» NT всегда обеспечивала более детализированную модель управления доступом, нежели через внешний интерфейс. До выхода четвертого пакета исправлений (SP4) доступ к файлам и каталогам контролировался с помощью семи разрешений высокого уровня: No Access (Нет доступа), Read (Чтение), Change (Изменение), Add (Добавление), List (Список), Add & Read (Добавление и Чтение) и, наконец, Full Control (Полный доступ). Разрешения высокого уровня являются удобной комбинацией шести низкоуровневых специальных разрешений: Read (Чтение), Execute (Исполнение), Write (Запись), Delete (Удаление), Change Permissions (Изменение разрешений) и Take Ownership (Право владения). Если заранее подготовленные разрешения пользователю не подходят, можно указать специальный доступ и выбрать индивидуальную комбинацию разрешений. Но хотя эти специальные разрешения появляются на самом низком уровне доступа, они содержат в себе еще более низкоуровневые разрешения. Например, совокупность разрешений List Folder/Read Data (Список каталога/Чтение данных), Read Attributes (Чтение атрибутов), Read Extended Attributes (Чтение расширенных атрибутов) и Read Permissions (Чтение разрешений) образуют специальное разрешение Read (R), так что с точки зрения внутренних механизмов NTFS разрешения, составляющие Read (R), рассматриваются по отдельности. Но до появления SP4 у пользователей не было возможности с помощью диалогового окна назначения разрешений устанавливать упомянутые выше специальные права доступа к NTFS. Теперь же этими низкоуровневыми разрешениями можно управлять, поскольку Windows 2000 и SCM отображают все 14 специальных разрешений, которые приведены в Таблице 1, а также формировать из них шесть более высокоуровневых групп разрешений, включая группу Special.

Обращаю внимание читателей на то, что разрешение No Access в группах Windows 2000 и SCM отсутствует. До появления SP4 элемент access control entry (ACE), элемент контроля доступа, с разрешением No Access аннулировал всякий доступ, который пользователь мог бы получить через другие элементы списка ACL. Операционные системы NT до установки SP4 не предоставляли никаких механизмов явного запрещения индивидуальных разрешений, поскольку No Access отвергал доступ в целом. Для Windows 2000 и SCM нет необходимости в разрешении No Access, поскольку разработчики Microsoft добавили новые механизмы «точечного» управления доступом. Windows 2000 и SCM предоставляют в распоряжение пользователя два типа ACE: Allow (разрешить) и Deny (отказать), как показано на Экране 1. Пользователь может выбрать в диалоговом окне флажок Allow или Deny в закладке Security в области Permissions и установить, какие разрешения следует предоставить, а какие - нет. Более того, можно даже ограничить доступ специальными разрешениями. Например, Джон выполняет некоторую работу вместе с сотрудниками инженерного отдела, и ему нужен такой же доступ, как и инженерной группе, за исключением права Write в каталог ProjectSchedule. Список контроля доступа, ACL, предоставляет группе Engineering доступ Change на каталог ProjectSchedule. Чтобы не переделывать полностью структуру группы для предотвращения нежелательного доступа Джона в указанный каталог, можно создать группу Interns, членом которой является Джон, и добавить для каталога элемент ACE, который «отнимет» у этой группы доступ Write. Джон по-прежнему сможет просматривать содержимое данного каталога, только без права записи.

Динамическое наследование

Для операционной системы NT в предшествовавшей появлению SP4 модели статического наследования каждый объект получал копию ACL от своего родителя в момент создания объекта. После этого объект становился полностью независимым от родителя, и те изменения, которые происходили с ACL родителя, не оказывали никакого воздействия на порожденный объект до тех пор, пока не устанавливался флажок Replace Permissions on Subdirectories (Заменить разрешения для подкаталогов) и Replace Permissions on Existing Files (Заменить разрешения для существующих файлов) в диалоговом окне определения разрешений каталогов NT. Установка этих флажков означала принудительное копирование родительских ACL на все дочерние объекты, поэтому удобно было использовать такие флажки, когда требовалось распространить разрешения по всей ветви дерева каталогов. Модель наследования ACL разработана именно в таком виде, для того чтобы ускорить процесс определения контроля доступа. Однако подобный подход усложнял администрирование объектов, поскольку процесс перезаписи родительских ACL ликвидировал все легитимные исключения, встречающиеся ниже по дереву от объекта-родителя. Поэтому, когда в NT создавалась новая группа, а SP4 установлен не был, администратор не имел никакой возможности назначить данной группе точный доступ для данного участка дерева каталогов и не повлиять при этом на существующие разрешения.

В Windows 2000 и SCM эти проблемы наследования успешно решены. Теперь разрешения автоматически распространяются от родительского объекта на все порожденные объекты и файлы. Когда происходит изменение ACL какого-либо каталога, все элементы ACE автоматически копируются для всех дочерних ACL. Вместе с тем, явным образом установленные ACE дочернего объекта не переписываются. Дело в том, что для каждого ACE имеется флажок, указывающий, каким образом сформирован элемент ACE - в результате наследования или же явным образом (без наследования). Когда система копирует ACE вниз по дереву дочерних объектов, замена существующих записей выполняется только для унаследованных элементов, а явно назначенные права остаются без изменений.

Описанная модель может вызвать вопрос - а как поведет себя система в том случае, когда, с одной стороны, унаследованные и неунаследованные разрешения конфликтуют между собой, а с другой стороны, администратор не заинтересован в распространении разрешений вниз по дереву? В модели определения контроля доступа Windows 2000 и SCM используется особый алгоритм, с помощью которого Security Reference Monitor (SRM) рассматривает элементы ACE для разрешения конфликтов между унаследованными и неунаследованными разрешениями. SRM-компонент Windows 2000 и SCM предоставляет или блокирует доступ к объекту, когда программа пытается его открыть. SRM в первую очередь обрабатывает неунаследованные разрешения и лишь потом унаследованные. Обработка записей ACE осуществляется по одной в данный момент времени, и каждый раз выполняется сравнение указанного SID группы или пользователя в записи ACE и набора SID маркера доступа (access token) программы.

Когда пользователь запускает какую-либо программу, то получает маркер доступа, включающий SID самого пользователя и набор SID тех групп, которым данный пользователь принадлежит. Когда SRM перебирает элементы ACE, соответствующие некоторому SID в маркере доступа, монитор SRM выполняет оценку ACE-разрешений. Если ACE явным образом отвергает затребованный программой тип доступа, SRM немедленно прекращает просмотр элементов ACE и отвергает доступ к объекту. В противном случае SRM аккумулирует разрешения, предоставляемые данным ACE. После этого SRM проверяет, накоплен ли необходимый программе уровень разрешений. Если SRM накопил все требуемые разрешения, доступ к объекту предоставляется; если же нет, монитор переходит к рассмотрению следующего ACE. Если список ACL исчерпан, а разрешений недостаточно, работа SRM завершается, и доступ к объекту отклоняется. Следовательно, в случае конфликта между унаследованными и неунаследованными разрешениями последние оказываются в выигрыше. Допустим, Фред, являющийся членом группы SalesReps, пытается открыть файл commission.doc для чтения и записи. Файл commission.doc имеет унаследованное разрешение ACE, которое отвергает доступ на чтение для группы SalesReps, а также неунаследованный ACE, предоставляющее лично Фреду права на чтение и запись. В результате Фред сможет открыть файл, поскольку монитор SRM удовлетворит запрос на доступ с правом чтения и записи еще до того, как будет рассмотрено унаследованное право на отказ в таком доступе.

Что же происходит, когда разрешающий элемент ACE конфликтует с запрещающим ACE и оба элемента унаследованы? Монитор SRM всегда в первую очередь обрабатывает запрещающую запись ACE для каждого наследования. Это означает, что, когда несколько ACE записаны на одного и того же пользователя, разрешения накапливаются; однако неунаследованные записи ACE превалируют над унаследованными ACE, а внутри каждого вида наследования запрещающие ACE превалируют над разрешающими ACE, что и показано на Рисунке 1. Администратор может указать наиболее общие разрешения на самом высоком уровне дерева каталогов и наращивать разрешения до необходимого уровня по мере продвижения вниз по дереву. Также он вправе воспользоваться запрещающими разрешениями для выборочных ограничений разрешений членов той или иной группы.

Управление наследованием

Администратору может понадобиться блокировать распространение разрешений от родительского каталога к дочерним каталогам и файлам вниз по дереву. Для Windows 2000 и SCM такая возможность ему предоставляется - либо на дочернем, либо на родительском уровне. Например, администратор хочет заблокировать наследование на уровне дочернего каталога или файла, поскольку для данного каталога или файла должна действовать система разрешений, отличная от таковой на родительском уровне. Для этого на дочернем уровне в списке ACL достаточно просто снять флажок Allow inheritable permissions from parent to propagate to this object (Разрешается наследование разрешений от родительского объекта до данного) в диалоговом окне Properties закладки Security, как показано на Экране 1. Снятие этого флажка закрывает «дверь» к дочернему объекту и блокирует наследование любых разрешений. Когда для отмены наследования используется описанный выше метод, настройки диалогового окна предоставляют администратору возможность удалить наследуемые разрешения и начать формирование списка ACL объекта, что называется, «с чистого листа» или же создать копию уже имеющихся для дочернего объекта ненаследуемых разрешений и приспособить ее к новым требованиям.

На уровне родителя администратор может управлять наследованием двумя способами. Во-первых, каждый родительский ACE имеет специальный флажок, который определяет, будет ли система распространять данный элемент ACE ниже, чем непосредственные дочерние объекты рассматриваемого родителя. Когда администратор устанавливает флажок Apply these permissions to objects and/or containers within this container only (Применить разрешения к объектам и/или контейнерам внутри только данного контейнера) в диалоговом окне Permission Entry for Projects в закладке Object (см. Экран 2), система не распространяет рекурсивно данный ACE на «внучатые» объекты (т. е. порожденные дочерним объектом). Нужно иметь в виду, что рассматриваемый флажок ACE индивидуален и не распространяется на весь список ACL.

Во-вторых, для управления наследованием на уровне родительского объекта администратор может воспользоваться индивидуальными настройками ACE, но уже в другом диалоговом окне, чтобы указать, будет ли данный ACE применяться к каталогу, файлам внутри каталога или подкаталогам внутри данного каталога. В выпадающем списке альтернативных значений Apply onto (Применить на) в диалоговом окне Permission Entry в закладке Object администратор может выбрать любое сочетание каталогов, подкаталогов и файлов, к которым будет применима данная запись ACE.

Можно воспользоваться выпадающим списком Apply onto для получения того же самого результата, который достигался с помощью разрешений Add и Add & Read в операционной системе NT до появления SP4 (напоминаю, что эти разрешения в Windows 2000 и SCM отсутствуют). Допустим, имеется некоторое устаревшее клиент-серверное приложение, в котором клиентская часть создает файлы в каталоге совместного доступа для дальнейшей их обработки серверным компонентом. В целях сохранения конфиденциальности информации администратору нужно, с одной стороны, обеспечить доступ пользователей к файлам, создание которых было инициировано самими пользователями, а с другой стороны, заблокировать доступ пользователей к чужим файлам. До выхода пакета исправлений SP4 требуемый список ACL выглядел так, как показано в Таблице 2. В среде Windows 2000 или SCM список ACL выглядит согласно Таблице 3.

На родительском уровне можно одновременно воспользоваться обоими методами для назначения точной глубины распространения родительских разрешений и конкретных объектов, к которым эти разрешения применимы. Хотя администратор может в этих двух методах запутаться. Флажок Apply these permissions to objects and/or containers within this container only (Применить разрешения к объектам и/или контейнерам внутри только данного контейнера) контролирует рекурсивное распространение, в то время как выпадающий список альтернативных значений Apply onto контролирует объекты, которые собственно и получают эти разрешения.

Существует еще третий метод управления наследованием разрешений, применяемый при необходимости жестко задать непротиворечивые разрешения для определенной ветви дерева каталогов. Например, несколько администраторов обслуживают один и тот же каталог проектов для инженерного отдела. Это приводит к тому, что в нескольких подкаталогах могут быть неправильно установлены разрешения, в связи с чем возникнет необходимость переустановить эти разрешения. Нужно отредактировать список ACL для каталога проектов и установить флажок Reset permissions on all child objects and enable propagation of inheritable permissions (Переустановить разрешения для всех дочерних объектов и активизировать наследование разрешений) в диалоговом окне Access Control Settings в закладке Permissions (см. Экран 3). В результате списки ACL для всех дочерних объектов очистятся и разрешения родительского каталога проектов распространятся вниз по всей ветви порожденных объектов.

Новый интерфейс

Если администратор намерен применять группы со стандартными разрешениями и избегать использования специальных разрешений, то возможностей данного диалогового окна вполне достаточно. Но для того чтобы упростить работу с диалоговым окном Security, специалистам Microsoft нужно было бы так скомбинировать списки Name и Permissions, чтобы, наряду с возможностью пользоваться предопределенным набором разрешений, администратор мог бы с одного взгляда оценить все имеющиеся разрешения, а не заниматься прокруткой всего списка из начала в конец. Также целесообразно снабдить это главное диалоговое окно системой оповещений (alert) о наличии для данного объекта индивидуальных разрешений в одном или нескольких элементах ACL так, чтобы не приходилось просматривать для этого весь список Name целиком.

Щелкнув мышью на кнопке Advanced в закладке Security в диалоговом окне Properties данного объекта, можно вызвать новое диалоговое окно - Access Control Settings. В нем практически во всех деталях отображается весь список ACL. Эллипсис в колонке Permissions сигнализирует о том, что более подробная информация будет доступна при растягивании диалогового окна. Однако в этом окне администратор не может поменять большинство настроек и увидеть, для каких именно записей ACE отключено рекурсивное распространение разрешений. Для обслуживания специальных разрешений и рекурсии следует выбрать соответствующую запись Permissions, а затем щелкнуть кнопкой View/Edit. Появится окно Permission Entry, которое позволяет обработать и каждое ACE-свойство, и выпадающий список альтернативных значений Apply onto нужных файлов и каталогов.

Динамическая модель наследования разрешений NTFS - это мечта многих администраторов, ставшая реальностью, а новые возможности организации контроля доступа служат дополнительными рычагами управления и дают большую гибкость. Но за столь тщательную проработку пришлось заплатить излишней сложностью пользовательского интерфейса и необходимостью задействовать несколько итераций для назначения разрешений. Добротная система безопасности зависит от того, насколько точно можно определить правила доступа и с одного взгляда понять, кто и где именно имеет те или иные разрешения.

Читайте также: