[ Pobierz całość w formacie PDF ]
.Kontroluj� wi�c sposoby, na jakie u�ytkownicy i inni wystawcy zabezpiecze� maj�prawo dost�pu do komputera � przy konsoli, przez po��czenie sieciowe, jakous�uga lub jako zadanie wsadowe.Przywileje (Privileges) � kontroluj� dost�p do zasobów systemu i to, czy danyu�ytkownik ma prawo nadpisania uprawnie� ustawionych dla okre�lonego obiektu wkomputerze.Przywileje decyduj� wi�c, którzy u�ytkownicy s� autoryzowani domanipulacji zasobami systemu � ustawiania wewn�trznego zegara komputera,�adowania i usuwania sterowników urz�dze�, zapisu i odzysku kopii zapasowychoraz wszelkich innych czynno�ci wp�ywaj�cych na ca�y system.W przeciwie�stwie do uprawnie�, przyznawanych przez w�a�ciciela obiektu, prawau�ytkowników s� przydzielane w ramach zasad zabezpiecze� komputera.Je�likomputer nie jest DC, prawa u�ytkowników stanowi� zasady zabezpiecze�komputera.Je�li komputer jest kontrolerem domeny Active Directory, takie sameprawa u�ytkowników stosowane s� we wszystkich DC w danej domenie.UwagaAby zobaczy� przydzia� praw u�ytkowników w komputerze, nale�y zalogowa� si� dokonta o przywilejach administracyjnych, otworzy� Narz�dzia administracyjne wPanelu sterowania i uruchomi� lokalne zasady zabezpiecze�.Prawa u�ytkowników mo�na przydziela� do indywidualnych kont u�ytkowników, leczs� one zazwyczaj przydzielane do grup, co jest bardziej wydajn� technik�.Wst�pnie zdefiniowane grupy (wbudowane) posiadaj� zestaw przydzielonych prawu�ytkowników, za� wiele us�ug dodaje do kilku praw u�ytkowników niektóre w�asnegrupy.UwagaSpecjalne konto LocalSystem posiada wbudowane mo�liwo�ci odpowiadaj�ce niemalwszystkim przywilejom i prawom logowania.Procesy dzia�aj�ce jako cz�� systemuoperacyjnego oraz podstawowe us�ugi systemowe s� skojarzone z tym kontem,poniewa� wymagaj� pe�nego zestawu praw u�ytkowników.Chocia� mo�naskonfigurowa� inne us�ugi tak, by korzysta�y z konta LocalSystem, zaleca si�przy tym ostro�no��.Tabela 9.4 przedstawia domy�lne prawa u�ytkowników posiadane przez grupywbudowane w domenie Active Directory, oraz prawa u�ytkowników dla stacjiroboczej Windows 2000 Professional lub serwera cz�onkowskiego Windows 2000Server.Tabela 9.4Domy�lne prawa u�ytkowników, przydzielone do grup wbudowanych domeny ActiveDirectoryPrawo u�ytkownikaPozwala:Grupy posiadaj�ce to prawo w DCGrupy posiadaj�ce to prawo poza DCUzyskiwanie dost�pu do tego komputera z sieciU�ytkownikowi na po��czenie z komputerem przez sie�Administratorzy, U�ytkownicy uwierzytelnieni, U�ytkownicy, WszyscyAdministratorzy, Operatorzy kopii zapasowych, U�ytkownicy zaawansowani,U�ytkownicy, WszyscyDzia�anie jako element systemu operacyjnegoProcesowi na dzia�anie w roli bezpiecznego, zaufanego sk�adnika systemuoperacyjnego; niektóre podsystemy posiadaj� to prawo.Nale�y mie� je pod piln�obserwacj�, poniewa� pozwala procesowi na za��danie dodatkowych przywilejów w�etonie dost�pu i utworzenie anonimowego �etonu, który nie mo�e zosta� poddanyinspekcji.Nie skonfigurowaneNie skonfigurowaneDodawanie stacji roboczych do domenyDoda� maksymalnie 10 komputerów do domeny (wobec czego stosuje si� tylko doDC).Zachowanie tego przywileju jest identyczne jak uprawnienia Tworzenieobiektów Computer, dost�pnego dla OU; aby wi�c móc dodawa� komputery w domenie,nale�y ustawi� to uprawnienie.U�ytkownicy uwierzytelnieniNie skonfigurowaneTworzenie kopii zapasowych plików i katalogówU�ytkownikowi na tworzenie kopii zapasowych plików i katalogów.Prawo to mawy�szy priorytet ni� uprawnienia do plików i katalogów, lecz jedynie przykorzystaniu z API narz�dzia kopii zapasowej NTFS.W przeciwnym razie obowi�zuj�zwyk�e uprawnienia do plików i katalogów.Administratorzy, Operatorzy kopii zapasowych, Operatorzy serwerówAdministratorzy, Operatorzy kopii zapasowychPomijanie sprawdzania przebieguU�ytkownikowi na zmian� katalogu i dost�p do plików i podkatalogów, nawet je�liu�ytkownik nie ma uprawnie� dost�pu do katalogów nadrz�dnych.Przywilej tenpozwala u�ytkownikowi jedynie na przej�cie przez katalog, bez prawa dowy�wietlenia jego zawarto�ci.Administratorzy, U�ytkownicy uwierzytelnieni, U�ytkownicy, WszyscyAdministratorzy, Operatorzy kopii zapasowych, U�ytkownicy zaawansowani,U�ytkownicy, WszyscyZmiana czasu systemowegoU�ytkownikowi na ustawienie czasu w wewn�trznym zegarze komputeraAdministratorzy, Operatorzy serwerówAdministratorzy, U�ytkownicy zaawansowaniTworzenie pliku stronicowaniaU�ytkownikowi na zmian� rozmiarów pliku wymianyAdministratorzyAdministratorzyTworzenie �etonuProcesowi na tworzenie �etonu dost�pu.Konto LocalSystem jest do tego zdolne,wi�c nale�y go u�ywa� dla procesów potrzebuj�cych tego przywileju.Prawo topowinno by� pod �cis�� kontrol� ze wzgl�du na wbudowane zagro�eniebezpiecze�stwa.Nie skonfigurowaneNie skonfigurowaneTworzenie stale udost�pnianych obiektówU�ytkownikowi na tworzenie specjalnych trwa�ych obiektów u�ywanych w Windows2000, np.\\Device.Nie skonfigurowaneNie skonfigurowaneAnalizowanie programówU�ytkownikowi na usuwanie b��dów z wszelkich procesów i obiektów niskiegopoziomu, np.w�tków.AdministratorzyAdministratorzyOdmowa dost�pu do tego komputera z sieciNa nic; blokuje prawo �Uzyskiwanie dost�pu do tego komputera z sieci�.Nie skonfigurowaneNie skonfigurowaneOdmowa logowania w trybie wsadowymNa nic; blokuje prawo �Logowanie w trybie wsadowym�.Nie skonfigurowaneNie skonfigurowaneOdmowa logowania w trybie us�ugiNa nic; blokuje prawo �Logowanie w trybie us�ugi�.Nie skonfigurowaneNie skonfigurowaneOdmowa logowania lokalnegoNa nic; blokuje prawo �Logowanie lokalne�.Nie skonfigurowaneNie skonfigurowaneW��czanie zaufania dla komputera i kont u�ytkowników do delegowaniaU�ytkownikowi na zmian� ustawie� Konto jest zaufane w kwestii delegowaniaobiektu u�ytkownika lub komputera w Active Directory, pod warunkiem, �eu�ytkownik ma te� prawo zapisu znaczników kontroli konta w danym obiekcie.Ustawienie to pozwala na implementacj� wielowarstwowych aplikacjiklient-serwer, gdzie urz�dzenie czo�owe korzysta z po�wiadcze� klienta douwierzytelnienia w urz�dzeniu schowanym (back-end)
[ Pobierz całość w formacie PDF ]