Управление пользователями сети. Авторизация.

Управление пользователями
В операционной системе Windows XP для проверки подлинности (аутентификации) пользователя используются учетные записи. Они хранятся в специальной базе данных на локальных компьютерах и на сервере (для сети с выделенным сервером). Каждый раз при аутентификации пользователя, происходит сравнение введенных им данных с данными из базы, и при совпадении пользователь получает доступ к компьютеру или в локальную сеть. Windows XP Professional использует три типа учетных записей пользователей:

Локальные учетные записи пользователей для регистрации пользователей локального компьютера. Индивидуальная база учетных записей локальных пользователей хранится на каждом компьютере, и содержит информацию о пользователях данного компьютера.
* Встроенные учетные записи пользователей создаются автоматически при установке Windows XP Professional. В состав встроенных учетных записей входят две основные записи - Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи.
* Учетные записи пользователей домена хранятся на выделенном сервере и содержат личные данные о пользователях локальной сети.

Если пользователь, работая за компьютером, имеет доступ к локальной сети, он должен иметь две учетные записи, одну для доступа к компьютеру (локальная), другую для доступа к сети (пользователь домена). Эти записи могут отличаться (например, могут быть разные пароли), но для удобства работы лучше этого не делать.

Независимо от того, подключен ваш компьютер к локальной сети или нет, он содержит локальную базу данных безопасности. Это позволяет создавать на рабочих станциях локальные учетные записи пользователей и локальные группы, а так же управлять ими. Локальные пользователи - это люди, которые будут пользоваться вашим компьютером, либо работая непосредственно за ним, либо подключаясь по сети. Для каждого из них можно создать отдельную учетную запись, которая будет содержать индивидуальные сведения о пользователе и настройках операционной системы Windows XP Professional. Кроме того, администратор данного компьютера, может установить отдельно для каждого пользователя свою политику безопасности и предоставить индивидуальные права доступа к ресурсам компьютера.

Для удобства управления локальными пользователями, их можно объединять в группы и управлять группами, не устанавливая одни и те же настройки для каждого пользователя в отдельности.

Управление учетными записями пользователей и группами осуществляется при помощи консоли Управление компьютером. Вы можете вызвать ее, в меню Пуск, выбрав Панель управления -> Администрирование или щелкнув правой кнопки мыши пункт Мой компьютер (в меню Пуск) и в контекстном меню выбрав пункт Управление.

 

 

Списки управления доступом ACL

[править]

Access Control List или ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.

Списки контроля доступа являются основой систем с избирательным управлением доступом.

Введение

В типичных ACL каждая запись определяет субъект воздействия и операцию: например, запись (Vasya, delete) в ACL для файла XYZ даёт возможность пользователю Vasya удалить файл XYZ.

В системе с моделью безопасности, основанной на ACL, когда субъект запрашивает выполнение операции над объектом, система сначала проверяет список разрешённых для этого субъекта операций, и только после этого даёт (или не даёт) доступ к запрошенному действию.

При централизованном хранении списков контроля доступа можно говорить о матрице доступа, в которой по осям размещены объекты и субъекты, а в ячейках — соответствующие права. Однако в большом количестве систем списки контроля доступа к объектам хранятся отдельно для каждого объекта, зачастую непосредственно с самим объектом.

Традиционные ACL системы назначают права индивидуальным пользователям, и со временем и ростом числа пользователей в системе списки доступа могут стать громоздкими. Вариантом решения этой проблемы является назначения прав группам пользователей, а не персонально. Другим вариантом решения этой проблемы является «Управление доступом на основе ролей», где функциональные подмножества прав к ряду объектов объединяются в «роли», и эти роли назначаются пользователям. Однако, в первом варианте группы пользователей также часто называются ролями.

Файловые системы с ACL

В файловых системах для реализации ACL используется идентификатор пользователя процесса (UID в терминах POSIX).

Список доступа представляет собой структуру данных (обычно таблицу), содержащую записи, определяющие права индивидуального пользователя или группы на специальные системные объекты, такие как программы, процессы или файлы. Эти записи также известны как ACE (англ. Access Control Entries) в операционных системах Microsoft Windows иOpenVMS. В операционной системе Linux и Mac OS X большинство файловых систем имеют расширенные атрибуты, выполняющие роль ACL. Каждый объект в системе содержит указатель на свой ACL. Привилегии (или полномочия) определяют специальные права доступа, разрешающие пользователю читать из (англ. read), писать в (англ. write), или исполнять (англ. execute) объект. В некоторых реализациях ACE могут определять право пользователя или группы на изменение ACL объекта.

Концепции ACL в разных операционных системах различаются, несмотря на существующий «стандарт» POSIX. (Проекты безопасности POSIX,.1e и.2c, были отозваны, когда стало ясно что они затрагивают слишком обширную область и работа не может быть завершена, но хорошо проработанные части, определяющие ACL, были широко реализованы и известны как «POSIX ACLs».)

Сетевые ACL

В сетях ACL представляют список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.

 

Наследование разрешений NTFS

Если в Windows используется файловая система NTFS (а не FAT), то все файлы, папки, разделы реестра и многие другие объекты имеют разрешения NTFS. Разрешения NTFS применяются как при локальном, так и при дистанционном доступе к объекту. Для просмотра и изменения разрешений NTFS файла или папки достаточно щелкнуть правой кнопкой мыши на объекте, выбрать пункт Properties и перейти к вкладке Security.

В Таблице 1 показаны 7 суммарных разрешений NTFS. Суммарные разрешения представляют собой различные комбинации 14 более детализированных разрешений, показанных в Таблице 2. Просмотреть детализированные разрешения можно, открыв диалоговое окно Advanced Security Settings для объекта щелчком на кнопке Advanced во вкладке Security, а затем щелкнуть на кнопке Edit во вкладке Permissions.

Разрешение Full Control NTFS предоставляет владельцам большие возможности. Обладатель прав такого уровня может изменять разрешения файла и назначить себя владельцем. Вместо того чтобы предоставлять пользователям разрешение Full Control, можно дать им лишь право Modify. Если пользователь — владелец файла, то при необходимости можно вручную запретить ему изменять разрешения.

Технически, разрешения NTFS известны как избирательные списки управления доступом (discretionary ACL — DACL). Разрешения аудита известны как системные ACL (SACL). Большинство защищенных объектов NTFS располагают разрешениями обоих видов.

Наследование

По умолчанию все файлы, папки и разделы реестра наследуют разрешения от родительского контейнера. Наследование можно активизировать или отключить для индивидуальных файлов, папок или разделов реестра и для отдельных пользователей или групп. Поле Apply To на вкладке Permissions диалогового окна Advanced Security Settings показывает, ограничено ли действие конкретного разрешения текущим контейнером, или оно распространяется на подпапки и файлы. Администратор может назначить разрешение (для отдельных пользователей), которые наследуются или нет. В данном примере группа Everyone имеет разрешение Read & Execute в текущей папке, и это разрешение не наследуется.

Если файл или папка наследует большинство своих разрешений, но имеет также и набор явно заданных разрешений, то последние всегда имеют приоритет перед унаследованными правами. Например, можно предоставить пользователю разрешение Full Control-Deny в корневом каталоге конкретного тома, и задать наследование этих разрешений всеми файлами и папками диска. Затем можно назначить любому файлу или папке на диске право доступа, которое отменяет унаследованный режим Full Control-Deny.

Таблица 1. Сводка разрешений NTFS

Разрешение	Действие
Read	Обеспечивает просмотр, копирование, печать и переименование файлов, папок и объектов. Не позволяет запускать выполняемые программы, кроме файлов сценариев. Позволяет считывать разрешения объектов, атрибуты объектов и расширенные атрибуты (например, бит Archive, EFS). Позволяет составить список файлов и подпапок папки
Write	Разрешения чтения, плюс создание и перезапись файлов и папок
List (Folders Only)	Позволяет просматривать имена файлов и подпапок внутри папки
Read & Execute	Чтение разрешений и запуск программных файлов
Modify	Предоставляет все разрешения, кроме возможности присвоить владение и назначать разрешения. Позволяет читать, удалять, изменять и перезаписывать файлы и папки
Full Control	Обеспечивает полное управление папками и файлами, в том числе позволяет назначать разрешения
Special Permissions	Позволяет составлять комбинации из 14 более детальных разрешений, которые не входят ни в одно из остальных 6 суммарных разрешений. К этой группе относится разрешение Synchronize

Таблица 2. Детальные разрешения NTFS

Разрешение	Действие
Traverse Folder / Execute File (Обзор папок / Выполнение файлов)	Traverse Folder позволяет перемещаться по папкам для доступа к другим файлам и папкам, даже если субъект безопасности не имеет разрешений в транзитной папке. Применяется только к папкам. Traverse Folder вступает в силу, только если субъект безопасности не имеет разрешения Bypass traverse checking user (предоставляется группе Everyone по умолчанию). Execute File позволяет запускать программные файлы. Назначение разрешения Traverse Folder для папки не устанавливает автоматически разрешения Execute File для всех файлов в папке
List Folder / Read Data (Содержание папки / Чтение данных)	Обеспечивает просмотр имен файлов и подпапок в папке. List Folder воздействует только на содержимое папки — оно не влияет на то, будет ли внесена в список папка, для которой назначается разрешение. Read Data позволяет просматривать, копировать и печатать файлы
Read Attributes (Чтение атрибутов)	Субъект безопасности видит атрибуты объекта (например, Read-only, System, Hidden)
Read Extended Attributes (Чтение дополнительных атрибутов)	Субъект безопасности видит расширенные атрибуты объекта (например, EFS, Compression)
Create Files / Write Data (Создание папок/ Дозапись данных)	Create Files позволяет создавать файлы внутри папки (применяется только к папкам). Write Data позволяет вносить изменения в файл и перезаписывать существующий контент (применяется только к файлам)
Create Folders / Append Data	Create Folders позволяет создавать папки внутри папки (применяется только к папкам). Append Data позволяет вносить изменения в конец файла, но не изменять, удалять или перезаписывать существующие данные (применяется только к файлам)
Write Attributes (Создание атрибутов)	Определяет, может ли субъект безопасности записывать или изменять стандартные атрибуты (например, Read-only, System, Hidden) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты.
Write Extended Attributes (Создание дополнительных атрибутов)	Определяет, может ли субъект безопасности записывать или изменять расширенные атрибуты (например, EFS, Compression) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты
Delete Subfolders and Files (Удаление подпапок и данных)	Позволяет удалять подпапки и файлы, даже если разрешение Delete не предоставлено подпапке или файлу
Delete (Удаление самого объекта)	Позволяет удалять папку или файл. При отсутствии разрешения Delete для файла или папки ее можно удалить, если имеется разрешение Delete Subfolders and Files в родительской папке
Read Permissions (Чтение разрешений)	Позволяет читать разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет прочитать сам файл
Change Permissions (Смена разрешений)	Позволяет изменять разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет изменять сам файл
Take Ownership (Смена владельца)	Определяет, кто может быть владельцем файла или папки. Владельцы всегда могут иметь Full Control, и их разрешения в файле или папке не могут быть постоянно отменены, если при этом не отменяется и право владения
Synchronize (Синхронизация)	Администраторы редко используют это разрешение. Применяется для синхронизации в многопотоковых, многопроцессных программах и определяет взаимодействие между несколькими потоками, которые обращаются к одному ресурсу