Элементы безопасности системы

Далее будут рассмотрены вопросы реализации политики безопасности: управление учетными записями пользователей и групп, исполнение и делегирование административных функций.

Учетные записи пользователей и групп

Любой пользователь Windows NT характеризуется определенной учетной записью. Под учетной записью понимается совокупность прав и дополнительных параметров, ассоциированных с определенным пользователем. Кроме того, пользователь принадлежит к одной или нескольким группам. Принадлежность к группе позволяет быстро назначать права доступа и полномочия.

К встроенным учетным записям пользователей относятся:

Guest– учетная запись, фиксирующая минимальные привилегии гостя;

Administrator – встроенная учетная запись для пользователей, наделенных максимальными привилегиями;

Krbtgt – встроенная учетная запись, используемая при начальной аутентификации Kerberos.

Кроме них имеются две скрытые встроенные учетные записи:

System – учетная запись, используемая операционной системой;

Creator owner – создатель (файла или каталога).

Перечислим встроенные группы:

локальные (Account operators; Administrators; Backup operators; Guests; Print operators; Replicator; Server operators; Users);

глобальные (Domain guests – гости домена; Domain Users – пользователи домена; Domain Admins – администраторы домена).

Помимо этих встроенных групп имеется еще ряд специальных групп:

Everyone – в эту группу по умолчанию включаются вообще все пользователи в системе;

Authenticated users – в эту группу включаются только аутентифицированные пользователи домена;

Self – сам объект.

Для просмотра и модификации свойств учетной записи достаточно щелкнуть имя пользователя или группы и на экране появится диалоговое окно User Properties:

General–общее описание пользователя;

Address – домашний и рабочий адрес пользователя;

Account – обязательные параметры учетной записи;

Telephone/notes – необязательные параметры;

Organization – дополнительные необязательные сведения;

Membership – обязательная информация о принадлежности пользователя к группам;

Dial-in – параметры удаленного доступа;

Object – идентификационные сведения о пользовательском объекте;

Security – информация о защите объекта.

Локальная политика безопасности

Локальная политика безопасности регламентирует правила безопасности на локальном компьютере. С ее помощью можно распределить административные роли, конкретизировать привилегии пользователей, назначить правила аудита.

По умолчанию поддерживаются следующие области безопасности:

- политика безопасности – задание различных атрибутов безопасности на локальном и доменном уровнях; так же охватывает некоторые установки на машинном уровне;

- управление группами с ограничениями – позволяет управлять членством в группах, которые, по мнению администратора, «чувствительны» с точки зрения безопасности системы;

- управление правами и привилегиями – позволяет редактировать список пользователей и их специфических прав и привилегий;

- деревья объектов – включают три области защиты: объекты каталога Active Directory, ключи реестра, локальную файловую систему; для каждого объекта в дереве шаблоны безопасности позволяют конфигурировать и анализировать характеристики дескрипторов защиты, включая владельцев объекта, списки контроля доступа и параметры аудита;

- системные службы (сетевые или локальные) — построенные соответствующим образом дают возможность независимым производителям программного обеспечения расширять редактор конфигураций безопасности для устранения специфических проблем.