Beépített biztonsági rendszerek, ablakok IT Pro
Informatikai infrastruktúra a vállalat
Hatékony használata erős azonosítók
Ellentétben a tipikus biztonsági résztvevők, ezek a résztvevők nem lehet átnevezni vagy törölni. Lehetetlen, hogy saját beépített biztonsági tagjai; azok azonosak minden Windows rendszerekben, bár egy listát a beépített biztonsági tagjai kissé változik különböző változatban. Ezen túlmenően, a beépített biztonsági tőke azonos SID minden Windows rendszer. Például SID S-1-5-10 mindig biztosított Self résztvevő és SID S-1-3-0 mindig jelentése résztvevő Creator tulajdonos.
Áttekintés a beépített biztonsági elvek
Administration beágyazott biztonsági tagjai
Beépített biztonsági léteznek minden Windows operációs rendszerek telepítése a tartomány, vagy attól függetlenül. Azonban nem minden a beépített biztonsági lépett önálló rendszereket. Továbbá, amint azt korábban kifejtettük, egy listát a beépített biztonsági tagjai kissé változik a különböző változatai az operációs rendszerek.
Beépített biztonsági tagjai adhatunk más csoportok és hozzáférés-vezérlési listák (ACL) a Windows tárgyakat. Az AD is átruházhatja jogosultságokat beépített biztonsági tagjai. Furcsa módon, amikor először próbál meg hozzáadni egy beépített biztonsági igazgató számára, hogy egy másik csoport nem találja meg egy pillanat alatt az Active Directory felhasználók és számítógépek beépülő konzol. Meg kell tudni, hogy a megfelelő név a beépített biztonsági megbízó Ahhoz, hogy megtalálja egy elemet nem tudja használni az eszközöket választott Aktív szerszám létesítmények Directory felhasználók és számítógépek. Az a tény, hogy a beépülő modul Active Directory felhasználók és számítógépek kezelésére összpontosít adatok keretében AD-tartományba elnevezésére, és a beépített biztonsági tagjai vannak tárolva AD névhasználati környezetében. Ugyanez a probléma merül fel, amikor a pillanat MMC Helyi felhasználók és csoportok. Ebben az esetben a beépített biztonsági rejtve maradnak a felhasználó.
A beépülő modul Active Directory felhasználók és számítógépek beépített biztonsági ForeignSecurityPrincipals megjelenik a tartályba. Például ha beírja a beágyazott biztonsági fő Hitelesített felhasználók csoport Nyomtatófelelõsök elem Hitelesített felhasználók ForeignSecurityPrincipals adunk a tartály (3. ábra). Meg kell jegyezni, hogy a legtöbb könnyen olvasható nevét beépített biztonsági tőke NT AUTHORITY húr van jelen. NT AUTHORITY - Security Manager a beépített Windows biztonság területén, ami létezik minden Windows rendszeren.
Beépített biztonsági tagjai adhatunk más csoportok vagy hozzáférés-vezérlési listák (ACL) a források a parancssorból. Ezt meg lehet tenni a parancsokat és Net Group Net localgroup. Például, hogy adjunk az interaktív csoport a helyi csoport Backup üzemeltetők, írja be a parancsot
Például, hogy egy csoport a helyi szolgáltató a jogot, hogy olvassa el a myapplication adatbázis, írja be a parancsot
Hitelesített felhasználók Mindenki
Beépített biztonsági tőke Hitelesített felhasználók csoport magában foglalja az összes felhasználó számára, hogy a Windows hitelesíti egy érvényes sor felhasználói hitelesítő adatokat bejelentkezést. A Hitelesített felhasználók csoport magában foglalja az összes felhasználó érvényes bejelentkezési adatok az erdőben és annak domainek és a felhasználók más erdőkben az erőforrásokhoz való hozzáférés a helyi erdei keresztül érvényes bejelentkezési adatokat és bizalmi kapcsolatok az erdőben, vagy az egész erdő.
Rendszerben, a helyi szolgáltató és a hálózati szolgáltatás
Rendszer felbontása hasonló root UNIX fiókot. Ha fut a biztonsági környezetében egy szolgáltatás vagy alkalmazás rendszer, a szolgáltatás vagy alkalmazás szinte korlátlan engedélyek Windows. Például, ha a szolgáltatás be van jelentkezve tartományvezérlő (DC) segítségével a beépített biztonsági rendszer elsődleges, akkor kapta meg a helyi rendszeren a DC. Miután egyre irányítást a szolgáltatást, a támadó módosíthatja az AD. Óvatosnak kell lenned - összhangban eljárva elve minimális megfelelő jogosultsággal, akkor jobb, hogy ne használja a rendszer.
Hálózati szolgáltatás biztosítja a minimális szintű jogosultságokat igénylő szolgáltatásokhoz való hozzáférés más számítógépek a hálózaton. Mint Service System Engedélyek Network Service szolgáltatás hozzáfér a hálózati erőforrásokhoz azokkal a számítógépes számla. Szolgáltatások Domain Name System (DNS) és a Remote Procedure Call (RPC) rendelt jogosultságokat hálózati szolgáltatás alapértelmezés szerint. Állíthatja be a szolgáltatást használni Network Service, meg kell adnia NT AUTHORITYNetworkService lap Log On Riasztás tulajdonságai párbeszédpanelt. Nincs szükség jelszóra.
Szelektív hitelesítés lehet hozzárendelni egy bizalmi kapcsolat az erdőben, és erdők között, valamint a külső közötti bizalmi kapcsolat domain. A rendszergazda beállíthat egy bizalmi kapcsolat az erdő gyökere domének két erdők, és ez a kapcsolat érvényes lesz az összes forgalom hitelesítésre erdők. Te is szervez a külső közötti bizalmi kapcsolat bármely két domén a két erdő, és akkor kell alkalmazni, hogy a hitelesítési forgalmat a két területen.
A Trust Wizard varázslót, vagy a tulajdonságok a bizalom lehet állítani bizalmi kapcsolatok egy erdőben vagy külső erdőben szelektív hitelesítést. Konfigurálása szelektív hitelesítés a Tulajdonságok párbeszédablak egy bizalmi kapcsolatot kell menni az Authentication fület és aktiválja a Szelektív hitelesítés.
Ha az erdő vagy a külső bizalmi kapcsolat használja a szelektív hitelesítést, és a felhasználó megpróbál hozzáférni egy erőforrást egy másik erdőben (kerékpár erdei alap), akkor a Windows növeli a felhasználó hozzáférési token beépített biztonsági tőke más szervezet. Azon felhasználók, akik hozzáférhetnek a források felhasználásával a bizalmi kapcsolat az erdők, alapértelmezés szerint már a saját beépített marker Ez a szervezet biztonsági elsődleges hozzáférést. Amikor a felhasználó aktiválja a bizalmi kapcsolatot egy erdő, vagy egy külső viszonyát erdők nélkül szelektív hitelesítés, a Windows hozzáadja az Ez a szervezet a hozzáférési token a felhasználó. Ebben az esetben a csoport tagsága Ez a szervezet megegyezik a Hitelesített felhasználók csoportja.
Tiltott kód
Ha a felhasználó hozzáférési token egy beépített biztonsági tőke korlátozott kód, akkor a Windows törli az összes felhasználóra vonatkozik, továbbá a mellőzésének. Ennek eredményeként, az alkalmazás nem tud hozzáférni a felhasználói profilt és csak akkor megengedett, az adatbázisokhoz való hozzáférést, olvassa konfigurációs adatokat a regisztrációs HKEY_LOCAL_MACHINE és a HKEY_CURRENT_USER.
Bejelentkezés és hitelesítés fajtái
Self, Létrehozó tulajdonos és Creator Group
Több hierarchikus struktúrák tárgyak a Windows (beleértve AD, adatbázis és a fájlrendszer) rendelkezik engedéllyel örökséget. Jogosultságok meghatározása a szülő objektum, majd automatikusan át a gyermek objektumokat. A Windows beépített biztonsági igazgatók Self, Létrehozó tulajdonos és Creator Group beadni engedélyekkel ezek hierarchikus struktúrákat.
Jellemzően mind a három résztvevő bekerülnek a hozzáférés-vezérlési lista (ACL) a szülő objektumot, majd az utód objektum örökli ezek a tagok az alábbiak szerint.
Alapértelmezésben a Windows biztosítja az olvasási engedélyt a Self-tagság attribútum a csoportban. Ezért minden a csoport tagjai láthatják más felhasználók csoportjába tartozó. AD is biztosít a Hitelesített felhasználók csoport olvasási jogosultsággal a csoporttagok felsorolását és a felhasználók a hitelesített felhasználó is láthatja, hogy információkat.
Erőteljes, de összetett eszköz
Ossza meg képeit barátaival és kollégáival