Műszaki felülvizsgálat biztonsági ügynökök
Minden alkalommal, amikor a felhasználó bejelentkezik, a rendszer hozzáférési tokenet hoz létre az adott felhasználó számára. A hozzáférési token tartalmazza a felhasználó biztonsági azonosítóját, felhasználói jogait és biztonsági azonosítóit azokhoz a csoportokhoz, amelyekhez a felhasználó tartozik. Ez a token biztosítja a biztonsági műveleteket azokhoz a műveletekhez, amelyeket bármely felhasználó végez a számítógépen.
Az egyedi felhasználók és csoportok számára létrehozott, egyedileg létrehozott domainbiztonsági azonosítók mellett léteznek ismert biztonsági kódok, univerzális felhasználói azonosítók és univerzális csoportok. Például a világ minden és SID-címe meghatároz egy csoportot, amely magában foglalja az összes felhasználót. Az ismert biztonsági azonosító értékek állandóak maradnak az összes operációs rendszeren.
A hozzáférési token egy biztonságos objektum, amely azonosító adatokat és felhasználói fiókkal kapcsolatos felhasználói jogokat tartalmaz.
Amikor a felhasználó interaktív módon jelentkezik be, vagy megpróbál létrehozni egy hálózati számítógépet a Windows számítógépen, a bejelentkezési folyamat hitelesíti a felhasználó hitelesítő adatait. A sikeres ellenőrzés után a folyamat biztonsági azonosítót ad vissza a felhasználónak és egy biztonsági azonosító listát a felhasználó biztonsági csoportjához. A számítógép Helyi biztonsági adminisztrátora (LSA) használja ezt az információt egy hozzáférési token (ebben az esetben a hozzáférési token) létrehozásához. Ez magában foglalja a SID-eket, a visszaküldött bejelentkezési folyamatot és a felhasználók és a felhasználó biztonsági csoportjának helyi biztonsági házirendhez rendelt felhasználói jogainak listáját.
Miután az LSA létrehoz egy hozzáférési tokenet, a hozzáférési token egy példánya hozzáadódik a felhasználó nevében futó minden egyes szálhoz és folyamathoz. Minden egyes alkalommal, amikor egy téma vagy folyamat kölcsönhatásba lép egy védett objektummal, vagy egy olyan rendszerfeladatot próbál végrehajtani, amelyhez felhasználói jogok szükségesek, az operációs rendszer ellenőrzi a témahez tartozó hozzáférési tokeneket, hogy megállapítsa a hitelesítés szintjét.
Kétféle hozzáférési jellel, maggal és megszemélyesítővel rendelkezik. Minden folyamatnak van egy elsődleges tokenje, amely leírja a folyamathoz társított felhasználói fiók biztonsági környezetét. A hozzáférési token általában egy folyamathoz van hozzárendelve az eljárás alapértelmezett biztonsági információinak megjelenítéséhez. Másfelől a megszemélyesítő tokeneket általában az ügyfél- és kiszolgálószkriptekhez használják. A személyazonosítási jelölők tartalmaznak egy biztonsági környezetben végrehajtandó szálat, amely különbözik attól a folyamattól, amelyet a biztonsági kontextusáram tartozik.
A biztonsági leíró az egyes védett objektumokhoz tartozó adatstruktúra. Az Active Directory valamennyi objektumában és a helyi számítógépen vagy a hálózaton található összes védett objektumon biztonsági leírók vannak az objektumokhoz való hozzáférés ellenőrzésére. A biztonsági leírók magukban foglalnak adatokat arról, hogy ki tulajdonosa az objektumnak, amelyhez hozzáfér, és milyen módon, és milyen típusú hozzáférések ellenőrzés alá esnek. A biztonsági leírók tartalmaznak egy objektum-hozzáférés-vezérlési listát (ACL), amely tartalmazza az összes objektumra érvényes biztonsági engedélyeket. Az objektum biztonsági leírója kétféle ACL-t tartalmazhat:
Az ACCESS CONTROL listája, amely azonosítja azokat a felhasználókat és csoportokat, amelyek számára engedélyezett vagy tilos a hozzáférés
Hozzáférés-ellenőrzési rendszer (SACL), amely meghatározza a hozzáférés-ellenőrzés végrehajtásának módját
Egy hozzáférés-vezérlési modellt használhat egyedi módon, objektumok és attribútumok, például fájlok és mappák, Active Directory objektumok, rendszerleíró kulcsok, nyomtatók, eszközök, portok, szolgáltatások, folyamatok és szálak védelmére. Ennek az egyetlen vezérlésnek köszönhetően beállíthatja az objektumok biztonságát a szervezet igényeinek kielégítésére, az objektumok vagy attribútumok jogosultságának átruházására, valamint olyan egyedi objektumokat vagy attribútumokat hozhat létre, amelyek egyedi biztonsági beállításokat igényelnek.
Az engedélyek lehetővé teszik az egyes védett objektumok tulajdonosának, például egy fájlnak, egy Active Directory objektumnak vagy adatbázisnak a tulajdonosát, hogy ellenőrizzék, ki végezhet műveleteket vagy műveletek sorát egy objektumban vagy az objektum tulajdonságában. A jogosultságok a biztonsági architektúra beléptetési nyilvántartása (ACE). Mivel az objektumhoz való hozzáférés az objektum tulajdonosának megfelelően, a Windows-ban használt hozzáférés-vezérlés típusát beléptetőnek nevezik.
A számítógépeken a felhasználói jogok lehetővé teszik a rendszergazdák számára, hogy ellenőrizzék, ki jogosult a teljes számítógépet érintő műveletek végrehajtására, nem pedig egy adott objektumra. A rendszergazdák kiosztják a hozzáférési jogokat az egyes felhasználóknak vagy csoportoknak a számítógép biztonsági beállításai részeként. Bár a felhasználói jogokat központilag a Csoportházirend segítségével lehet kezelni, azokat helyileg alkalmazzák. A felhasználók (és általában) különböző felhasználói jogokkal rendelkezhetnek különböző számítógépeken.
Információk a felhasználóról, milyen jogok állnak rendelkezésre és azok végrehajtása a Felhasználói jogok hozzárendelése szakaszban.
A Windows-felhasználó, szolgáltatás, csoport vagy számítógép esetén kezdeményezheti a műveletet biztonsági parancsnokként. A biztonsági megbízottak olyan számlákkal rendelkeznek, amelyek helyiek lehetnek a számítógép vagy a tartomány számára. Például az ügyfélszámítógépek tartományába lépve A Windows részt vehet a hálózati tartományban, kommunikálhat a tartományvezérlővel akkor is, ha a felhasználó nem jelentkezett be.
Az adatcserét kezdeményezni kell, a számítógépen aktív fiókkal kell rendelkeznie a tartományban. Mielőtt a kapcsolatot a számítógéppel, LSA tartományvezérlő hitelesíti a számítógép-tanúsítvány, majd határozza meg a számítógép biztonsági környezetében, mintha az a felhasználó biztonságát tagja.
A biztonsági környezet meghatározza a felhasználó vagy szolgáltatás azonosságát és képességeit egy adott számítógép vagy felhasználó, szolgáltatás, csoport vagy számítógép számára a hálózaton. Például meghatározza az erőforrásokat (például egy megosztott mappát vagy nyomtatót), amelyre a felhasználó, a szolgáltatás vagy a számítógép által elvégezhető műveletek (például olvasás, írás vagy módosítás) elvégezhetők ezen erőforráson.
A felhasználó vagy a számítógép biztonsági kontextusa számítógépről a másikra eltérhet, például akkor, amikor egy felhasználó hitelesítése a kiszolgálón vagy a felhasználó elsődleges munkaállomásán kívüli munkaállomáson történik. Az is átállhat egy munkamenetről a másikra, például amikor az adminisztrátor megváltoztatja a felhasználó jogát és jogosultságait. Ezenkívül a biztonsági környezet általában eltér abban az esetben, ha a felhasználó vagy a számítógép külön működik, vegyes hálózati tartományban vagy egy Active Directory tartomány részeként.
Az Active Directory tartományban létrehozott fiókok és biztonsági csoportok az Active Directory adatbázisban tárolódnak, és az Active Directory eszközök segítségével kezelhetők. Ezek a biztonsági rendszerek katalógusok, és felhasználhatók a tartományi erőforrásokhoz való hozzáférés szabályozására.
Helyi felhasználói és biztonsági fiókokat hoznak létre a helyi számítógépen, és felhasználhatók a számítógép erőforrásaihoz való hozzáférés szabályozására. A helyi felhasználói és biztonsági fiókokat a helyi számítógép Biztonsági fiókkezelője (SAM) tárolja és kezeli.
Ellenőrizze a felhasználói fiókhoz tartozó műveleteket.
Windows és Windows Server operációs rendszereken, beépített felhasználói fiókokkal, vagy felhasználói fiókjait a szervezet igényei szerint hozhatja létre.
A biztonsági csoport olyan felhasználói fiókok, számítógépes fiókok és egyéb fiókcsoportok gyűjteménye, amelyek biztonsági szempontból teljes egészében kezelhetők. A Windows operációs rendszereken több beépített biztonsági csoport létezik, amelyek megfelelő feladatokkal és jogosultságokkal vannak konfigurálva bizonyos feladatok elvégzéséhez. Ezenkívül (és általában) biztonsági csoportot hozhat létre a szervezet több felhasználójára vonatkozó biztonsági követelmények minden egyedi kombinációjához.
A csoportok az Active Directory vagy a helyi számítógépen alapulhatnak:
Az Active Directory biztonsági csoportjai a tartományi erőforrásokhoz való jogosultságok és jogosultságok kezelésére szolgálnak.
Helyi csoportok léteznek a SAM-adatbázisban a helyi számítógépen (Windows rendszerű számítógépeken), kivéve a tartományvezérlőket. Helyi csoportok használata csak a helyi számítógépen található erőforrásokhoz és jogosultságok kezeléséhez használható.
A hozzáférés-vezérléssel rendelkező biztonsági csoportok segítségével:
Az adminisztráció egyszerűsítése. A közös engedélyek, a közös engedélyek és / vagy több fiókok hozzárendelhetők egyszer, ahelyett, hogy minden egyes fiókhoz hozzárendelni őket. Ezenkívül, amikor a felhasználók átmásolják a feladatokat, vagy elhagyják a szervezetet, a jogosultságok nem kötődnek felhasználói fiókjaikhoz, egyszerűsítik az újraelosztást vagy a törlést.
A beléptetési modell szerep-alapú megvalósítás. Ez a modell használható engedélyek megadására a különböző területeket használó csoportok használatával annak érdekében, hogy megfeleljen. A Windows-ban rendelkezésre álló területek a helyi, globális, helyi és univerzális tartományok.
A hozzáférés-ellenőrzési listák (ACL) méretének csökkentése és a biztonsági ellenőrzések felgyorsítása. A biztonsági csoportnak saját biztonsági azonosítója van; Ily módon a SID csoportot használhatja az erőforrások engedélyeinek beállításához. Egy olyan környezetben, több ezer felhasználó esetén a biztonsági azonosítókat az egyéni felhasználói fiókok vannak, amelyek jelzik a hozzáférést a forrás, az ACL az erőforrás válhat túl nagy, és a szükséges idő, hogy a rendszer ellenőrzi a jogosultságokat a forrás válhat elfogadhatatlan.
Az Active Directoryban definiált leírások és tartománycsoport-biztonsági információk tekintetében lásd az Active Directory biztonsági csoportjait.
A csoportok leírása és részletei különlegesek, lásd: Különleges csoportok.