Technikai áttekintése rendszerbiztonsági

Minden alkalommal, amikor egy felhasználó bejelentkezik, a rendszer létrehoz egy hozzáférési tokent a felhasználó számára. A hozzáférési token tartalmazza a felhasználó SID, felhasználói jogokat és biztonsági azonosítók csoportoknak, hogy a felhasználó tartozik. Ez a marker egy biztonsági akciók kontextusát bármely felhasználó végez a számítógépen.

Amellett, hogy az egyedülállóan kialakított, a tartomány biztonsági azonosítók rendelt egyedi felhasználók és csoportok vannak ismert biztonsági kódokat, a felhasználók azonosítását az egyetemes és univerzális csoportok. Mint például a SID és az egész világ, hogy meghatározzák a csoport magában foglalja az összes felhasználó számára. Ismert biztonsági azonosítókat értékek állandóak maradnak minden operációs rendszeren keresztül.

A hozzáférési token egy biztonságos objektum, amely információkat tartalmaz az azonosító és felhasználói jogok társított felhasználói fiókot.

Amikor a felhasználó bejelentkezik interaktívan, vagy megpróbál létrehozni egy hálózati kapcsolatot a számítógép Windows, a bejelentkezés hitelesíti a felhasználó adatait. A sikeres ellenőrzési folyamat visszatér a biztonsági azonosító a felhasználó és egy listát a SIDS a felhasználó biztonsági csoport. Helyi biztonsági szervezet (LSA) számítógépen használja ezt az információt, hogy hozzon létre egy hozzáférési tokent (ebben az esetben a hozzáférési token). Ez magában foglalja a SID azonosítót, visszatért a bejelentkezési folyamat, és egy lista a felhasználói jogok rendelt a helyi biztonsági házirend a felhasználó és a felhasználó biztonsági csoport.

Miután LSA létrehoz egy hozzáférési tokent csatolt egy másolatot a hozzáférési token minden patak, és a folyamat, hogy fut a felhasználó nevében. Minden alkalommal, amikor egy szál vagy folyamat kölcsönhatásban van a védendő vagy megkísérel végrehajtani egy olyan rendszert igénylő feladat a megfelelő felhasználó, az operációs rendszer ellenőrzi a biztonsági token kapcsolódó patak szintjének meghatározása a hitelesítést.

Kétféle biztonsági tokeneket, az elsődleges és a megszemélyesítés. Minden folyamatnak van egy fő token, amely leírja a felhasználói fiók biztonsági környezetben, amely kapcsolódó folyamatot. hozzáférési tokent, mint általában, a folyamat hozzárendelése az alapértelmezett nézet biztonsági információkat a folyamatot. Másrészt, alakítások markerek általában használt kliens és a szerver forgatókönyveket. Markerek közé megszemélyesítés szál végrehajtani biztonsági környezetében, amely eltér a folyamatot, amely birtokolja a biztonsági környezetében az áramlás.

A biztonsági leíró egy adatstruktúra, melyek az egyes védendő. Minden objektum az Active Directory, és minden rögzíthető tárgyakat a helyi számítógépen vagy a hálózaton van biztonsági leírók való hozzáférés szabályozására tárgyakat. Biztonsági leírók információt tartalmaznak, kié a tárgy, amely hozzáférést biztosít, és milyen módon, és milyen típusú hozzáféréssel beszámolóit. Biztonsági leírók tartalmazza a hozzáférés-vezérlési lista (ACL) az objektum, amely tartalmazza az összes biztonsági engedélyek vonatkoznak az adott objektumot. Objektum biztonsági leíró tartalmazhat kétféle ACL:

Hozzáférés-vezérlési lista, amely meghatározza a felhasználók és csoportok, amelyek számára engedélyezett, vagy megtagadja a hozzáférést

Beléptető rendszer (SACL), amely meghatározza, hogy a hozzáférési ellenőrzési

Használhatja a hozzáférés-vezérlési modell védelmére vonatkozó egyes objektumok és attribútumok, mint például a fájlok és mappák, Active Directory-objektumok, kulcsok, nyomtatók, eszközök, kikötők, szolgáltatások, folyamatok és szálak. Emiatt egyetlen vezérlő lehet beállítani, hogy megfeleljen a biztonsági szervezet igényeit, felhatalmazás tárgyak vagy tulajdonságok, és hozzon létre egyedi tárgyak vagy tulajdonságok, amelyek megkövetelik egyedülálló védelmet meghatározzuk.

Engedélyek teszi a tulajdonos minden védett objektum, például egy fájl, az Active Directory objektum vagy registry, hogy ellenőrizzék, akik valamely művelet vagy a műveletek egy objektum vagy objektum tulajdonság. Jogosultságok hozzáférés-vezérlés (ACE) a biztonsági architektúra. Mivel a mechanizmushoz való hozzáférés szerint a tárgy tulajdonosa, a fajta hozzáférés-vezérlés, hogy használják a Windows a hozzáférés-szabályozás.

A számítógépek felhasználói jogosultságok lehetővé teszik a rendszergazdáknak, akik a jogot, hogy végre műveleteket, amelyek befolyásolják a számítógép teljes, nem egy konkrét tárgy. A rendszergazdák a hozzáférési jogok kijelölését egyes felhasználók vagy csoportok részeként a biztonsági beállításokat a számítógépen. Annak ellenére, hogy a jogokat a felhasználó lehet központilag irányított Group Policy, ezek helyileg. A felhasználók (és általában) különböző felhasználói jogok különböző számítógépeken.

A felhasználói adatokat, milyen jogai állnak, és hogyan hajtják végre a részben a Felhasználói jogok kiosztása.

Mivel a Windows felhasználó, szolgáltatás, csoport, vagy a számítógép, akkor kezdeményezheti a művelet egy biztonsági igazgató. Biztonsági megbízók számlák, amelyek lehetnek helyben a számítógépre vagy tartományra. Például belül a domain a Windows kliens számítógépek vehetnek részt a hálózati tartományhoz való kötődéssel tartományvezérlő akkor is, ha a felhasználó nincs bejelentkezve.

Kommunikáció kezdeményezésére, a számítógépnek rendelkeznie kell egy aktív fiókot a tartományban. Mielőtt a kapcsolatot a számítógéppel, LSA tartományvezérlő hitelesíti a számítógép-tanúsítvány, majd határozza meg a számítógép biztonsági környezetében, mintha az a felhasználó biztonságát tagja.

a biztonsági környezet határozza meg a személyazonosságát és a felhasználó képes kiszolgálni, vagy egy adott számítógép vagy felhasználó, szolgáltatás, csoport, vagy a számítógép a hálózaton. Például határozza erőforrások (mint például a megosztott mappa vagy nyomtató), amely lehet végezni, és az intézkedések (pl, olvasni, írni, vagy változás), hogy lehet végre a felhasználó, szolgáltatás, vagy a számítógép ezen erőforrás.

a felhasználó biztonsági környezetében, illetve a számítógép között változhat egyik számítógépről a másikra, például a felhasználói hitelesítést a szerver vagy munkaállomás, kivéve a fő felhasználó munkaállomása. Azt is változhat váltogatni, például, ha az adminisztrátor megváltoztatja azokat a jogokat és a felhasználói jogosultságokat. Ezen kívül a biztonsági környezet általában más, ha a felhasználó vagy a számítógép működik külön, a vegyes hálózati tartomány részeként vagy az Active Directory tartományhoz.

Számlák és biztonsági csoportok jönnek létre, hogy az Active Directory-tartomány tárolja az Active Directory adatbázis és kezeli az Active Directory eszközök. Ezek a biztonsági megbízók könyvtár tárgyakat, és azokat fel lehet használni eléréséhez tartomány gazdálkodás.

Helyi felhasználói fiókok és a biztonsági csoportok jönnek létre a helyi számítógépen, és fel lehet használni, hogy ellenőrizzék az erőforrásokhoz való hozzáférés azon a számítógépen. Helyi felhasználói fiókok és a biztonsági csoportok vannak tárolva, és kezeli a Biztonsági fiókok Manager (SAM) a helyi számítógépen.

Ellenőrzési műveleteket végez a felhasználói fiókot.

A Windows és a Windows Server operációs rendszer, beépített felhasználói fiókokat, vagy létrehozhat felhasználói fiókok követelményeivel összhangban a szervezet.

Security Group - a felhasználói fiókok gyűjteménye, számítógép- és egyéb csoportos fiókok kezelhetők egységes egészként a biztonság szempontjából. Windows operációs rendszeren, több beépített biztonsági csoportok vannak beállítva a megfelelő jogosultsággal egyes feladatok ellátásához. Ezen felül, akkor lehet (és általában is) hozzon létre egy biztonsági csoport minden egyedi kombinációja biztonsági követelményeknek több felhasználó számára a szervezetben.

Csoportok alapja lehet az Active Directory vagy a helyi számítógép:

Active Directory biztonsági csoportok kezelésére használt tartomány erőforrásai jogosultsággal.

A helyi csoportok léteznek a SAM-adatbázist a helyi számítógépen (Windows számítógépekhez), kivéve a tartományvezérlőkön. Helyi csoportok ellenőrzik a jogok és engedélyek csak erőforrásokat a helyi számítógépen.

A rendszer segítségével a biztonsági csoportok beléptető, akkor:

Adminisztráció egyszerűsítése. A közös jogait, a közös jogosultságokat és / vagy több fiókot, hozzá lehet rendelni egy időben, ahelyett bízzák azokat külön-külön számla. Ezen túlmenően, amikor a felhasználók át munkahely, vagy elhagyja a szervezetet, a jogosultságokat nem kötődnek a felhasználói fiókjukba, megkönnyítve átminősítése engedélyeket, vagy törölni.

Modell hozzáférés végrehajtása szerep-alapú menedzsment. Ez a modell is használható jogosultságokat csoportokkal különböző területeken, hogy megfelelő-e. Területeken érhető el a Windows a domain helyi, globális, lokális és egyetemes.

Méretének csökkentése a hozzáférés-vezérlési listák (ACL) és felgyorsítja a biztonsági ellenőrzéseket. A biztonsági csoport saját biztonsági azonosító; Így SID csoport lehet használni engedélyeinek beállítása az erőforrást. Egy olyan környezetben, több ezer felhasználó esetén a biztonsági azonosítókat az egyéni felhasználói fiókok vannak, amelyek jelzik a hozzáférést a forrás, az ACL az erőforrás válhat túl nagy, és a szükséges idő, hogy a rendszer ellenőrzi a jogosultságokat a forrás válhat elfogadhatatlan.

Leírások és információk tartomány biztonsági meghatározott csoportok Active Directory, lásd. A részben Active Directory biztonsági csoportok.

Leírások és információk a csoport, hogy a különleges. Különleges csoport.