[ Pobierz całość w formacie PDF ]
.Kontroluj¹ wiêc sposoby, na jakie u¿ytkownicy i inni wystawcy zabezpieczeñ maj¹prawo dostêpu do komputera — przy konsoli, przez po³¹czenie sieciowe, jakous³uga lub jako zadanie wsadowe.Przywileje (Privileges) — kontroluj¹ dostêp do zasobów systemu i to, czy danyu¿ytkownik ma prawo nadpisania uprawnieñ ustawionych dla okreœlonego obiektu wkomputerze.Przywileje decyduj¹ wiêc, którzy u¿ytkownicy s¹ autoryzowani domanipulacji zasobami systemu — ustawiania wewnêtrznego zegara komputera,³adowania i usuwania sterowników urz¹dzeñ, zapisu i odzysku kopii zapasowychoraz wszelkich innych czynnoœci wp³ywaj¹cych na ca³y system.W przeciwieñstwie do uprawnieñ, przyznawanych przez w³aœciciela obiektu, prawau¿ytkowników s¹ przydzielane w ramach zasad zabezpieczeñ komputera.Jeœlikomputer nie jest DC, prawa u¿ytkowników stanowi¹ zasady zabezpieczeñkomputera.Jeœli komputer jest kontrolerem domeny Active Directory, takie sameprawa u¿ytkowników stosowane s¹ we wszystkich DC w danej domenie.UwagaAby zobaczyæ przydzia³ praw u¿ytkowników w komputerze, nale¿y zalogowaæ siê dokonta o przywilejach administracyjnych, otworzyæ Narzêdzia administracyjne wPanelu sterowania i uruchomiæ lokalne zasady zabezpieczeñ.Prawa u¿ytkowników mo¿na przydzielaæ do indywidualnych kont u¿ytkowników, leczs¹ one zazwyczaj przydzielane do grup, co jest bardziej wydajn¹ technik¹.Wstêpnie zdefiniowane grupy (wbudowane) posiadaj¹ zestaw przydzielonych prawu¿ytkowników, zaœ wiele us³ug dodaje do kilku praw u¿ytkowników niektóre w³asnegrupy.UwagaSpecjalne konto LocalSystem posiada wbudowane mo¿liwoœci odpowiadaj¹ce niemalwszystkim przywilejom i prawom logowania.Procesy dzia³aj¹ce jako czêœæ systemuoperacyjnego oraz podstawowe us³ugi systemowe s¹ skojarzone z tym kontem,poniewa¿ wymagaj¹ pe³nego zestawu praw u¿ytkowników.Chocia¿ mo¿naskonfigurowaæ inne us³ugi tak, by korzysta³y z konta LocalSystem, zaleca siêprzy tym ostro¿noœæ.Tabela 9.4 przedstawia domyœlne prawa u¿ytkowników posiadane przez grupywbudowane w domenie Active Directory, oraz prawa u¿ytkowników dla stacjiroboczej Windows 2000 Professional lub serwera cz³onkowskiego Windows 2000Server.Tabela 9.4Domyœlne prawa u¿ytkowników, przydzielone do grup wbudowanych domeny ActiveDirectoryPrawo u¿ytkownikaPozwala:Grupy posiadaj¹ce to prawo w DCGrupy posiadaj¹ce to prawo poza DCUzyskiwanie dostêpu do tego komputera z sieciU¿ytkownikowi na po³¹czenie z komputerem przez sieæAdministratorzy, U¿ytkownicy uwierzytelnieni, U¿ytkownicy, WszyscyAdministratorzy, Operatorzy kopii zapasowych, U¿ytkownicy zaawansowani,U¿ytkownicy, WszyscyDzia³anie jako element systemu operacyjnegoProcesowi na dzia³anie w roli bezpiecznego, zaufanego sk³adnika systemuoperacyjnego; niektóre podsystemy posiadaj¹ to prawo.Nale¿y mieæ je pod piln¹obserwacj¹, poniewa¿ pozwala procesowi na za¿¹danie dodatkowych przywilejów w¿etonie dostêpu i utworzenie anonimowego ¿etonu, który nie mo¿e zostaæ poddanyinspekcji.Nie skonfigurowaneNie skonfigurowaneDodawanie stacji roboczych do domenyDodaæ maksymalnie 10 komputerów do domeny (wobec czego stosuje siê tylko doDC).Zachowanie tego przywileju jest identyczne jak uprawnienia Tworzenieobiektów Computer, dostêpnego dla OU; aby wiêc móc dodawaæ komputery w domenie,nale¿y ustawiæ to uprawnienie.U¿ytkownicy uwierzytelnieniNie skonfigurowaneTworzenie kopii zapasowych plików i katalogówU¿ytkownikowi na tworzenie kopii zapasowych plików i katalogów.Prawo to mawy¿szy priorytet ni¿ uprawnienia do plików i katalogów, lecz jedynie przykorzystaniu z API narzêdzia kopii zapasowej NTFS.W przeciwnym razie obowi¹zuj¹zwyk³e uprawnienia do plików i katalogów.Administratorzy, Operatorzy kopii zapasowych, Operatorzy serwerówAdministratorzy, Operatorzy kopii zapasowychPomijanie sprawdzania przebieguU¿ytkownikowi na zmianê katalogu i dostêp do plików i podkatalogów, nawet jeœliu¿ytkownik nie ma uprawnieñ dostêpu do katalogów nadrzêdnych.Przywilej tenpozwala u¿ytkownikowi jedynie na przejœcie przez katalog, bez prawa dowyœwietlenia jego zawartoœci.Administratorzy, U¿ytkownicy uwierzytelnieni, U¿ytkownicy, WszyscyAdministratorzy, Operatorzy kopii zapasowych, U¿ytkownicy zaawansowani,U¿ytkownicy, WszyscyZmiana czasu systemowegoU¿ytkownikowi na ustawienie czasu w wewnêtrznym zegarze komputeraAdministratorzy, Operatorzy serwerówAdministratorzy, U¿ytkownicy zaawansowaniTworzenie pliku stronicowaniaU¿ytkownikowi na zmianê rozmiarów pliku wymianyAdministratorzyAdministratorzyTworzenie ¿etonuProcesowi na tworzenie ¿etonu dostêpu.Konto LocalSystem jest do tego zdolne,wiêc nale¿y go u¿ywaæ dla procesów potrzebuj¹cych tego przywileju.Prawo topowinno byæ pod œcis³¹ kontrol¹ ze wzglêdu na wbudowane zagro¿eniebezpieczeñstwa.Nie skonfigurowaneNie skonfigurowaneTworzenie stale udostêpnianych obiektówU¿ytkownikowi na tworzenie specjalnych trwa³ych obiektów u¿ywanych w Windows2000, np.\\Device.Nie skonfigurowaneNie skonfigurowaneAnalizowanie programówU¿ytkownikowi na usuwanie b³êdów z wszelkich procesów i obiektów niskiegopoziomu, np.w¹tków.AdministratorzyAdministratorzyOdmowa dostêpu do tego komputera z sieciNa nic; blokuje prawo „Uzyskiwanie dostêpu do tego komputera z sieci”.Nie skonfigurowaneNie skonfigurowaneOdmowa logowania w trybie wsadowymNa nic; blokuje prawo „Logowanie w trybie wsadowym”.Nie skonfigurowaneNie skonfigurowaneOdmowa logowania w trybie us³ugiNa nic; blokuje prawo „Logowanie w trybie us³ugi”.Nie skonfigurowaneNie skonfigurowaneOdmowa logowania lokalnegoNa nic; blokuje prawo „Logowanie lokalne”.Nie skonfigurowaneNie skonfigurowaneW³¹czanie zaufania dla komputera i kont u¿ytkowników do delegowaniaU¿ytkownikowi na zmianê ustawieñ Konto jest zaufane w kwestii delegowaniaobiektu u¿ytkownika lub komputera w Active Directory, pod warunkiem, ¿eu¿ytkownik ma te¿ prawo zapisu znaczników kontroli konta w danym obiekcie.Ustawienie to pozwala na implementacjê wielowarstwowych aplikacjiklient-serwer, gdzie urz¹dzenie czo³owe korzysta z poœwiadczeñ klienta douwierzytelnienia w urz¹dzeniu schowanym (back-end)
[ Pobierz całość w formacie PDF ]