1. Сетевые модели организации пользователей: модель рабочих групп и доменная модель. Доверительные отношения



Скачать 165.61 Kb.
Дата13.12.2016
Размер165.61 Kb.
Просмотров721
Скачиваний0
1.Сетевые модели организации пользователей: модель рабочих групп и доменная модель. Доверительные отношения.

Microsoft Network

Важным качеством Microsoft Network является связь разных систем в рамках единой концепции.

В этой концепции 2 модели:

1) Рабочая группа

2) Доменная модель


1) Рабочая группа – организационная единица из нескольких компьютеров (узлов), логически объединенных в единую точку доступа.
G1

G2

G3



ЛВС

- компьютеры

DC
Рис. 12
Надо разделить на подсети (на рабочие группы), требуется наложить структуру.

Логическое деление на рабочие группы позволяет:

1. Объединить ресурсы в сети, к которым можно обращаться непосредственно (особенно это важно при поиске сетевого ресурса).

2. Деление на группы снижает нагрузку на сеть за счет локализации широковещательного трафика.

В рабочей группе у каждого компьютера имеется своя база учетных записей и своя политика защиты.

Stand-Alone Server – изолированный сервер (не входит в домен)


Как осуществляется управление сетью?

Администрирование рабочей группы децентрализовано, т.е. настройки раскиданы по разным узлам. Поэтому трудно обеспечить высокие требования к безопасности.

Администратор должен:

- для каждого пользователя создавать и настраивать учетные записи на рабочем месте пользователя и на всех компьютерах, к которым он будет обращаться по сети.

- на каждой рабочей станции надо следить за локальными профилями пользователей (за парольной политикой и т.д.)

- вручную синхронизировать локальные политики безопасности

- создавать сетевые ресурсы, управлять доступом к ним

- на каждом клиентском компьютере сформировать сетевую среду конкретного пользователя.


Положительные стороны модели рабочей группы:

1. Эту модель можно использовать, когда нет возможностей реализовать качественный серверный вариант для организации домена

2. Для рабочей группы на требуется квалифицированного оператора

3. Когда нужно организовать взаимодействие слабосвязанных пользователей с опытными.


2) Доменная структура

Является основным методом для большой сети.



Доменом Microsoft Network называется логическая совокупность компьютеров, характеризующаяся наличием общей базы учетных записей пользователей и единой политикой безопасности. Всю сеть можно построить как один домен или разделить.
Создание доменов преследует следующие цели:

1. повышает эффективность управления ресурсами, снижает сетевой трафик при делении на домены;

2. позволяет разграничивать административные полномочия;

3. домен позволяет создать единую политику (общие правила управления) безопасности;

4. разделение доменного контекста имен. Т.е. домен формирует пространство имен, доступное всем членам домена. Имена должны быть уникальными в одном домене, а в разных доменах могут быть одинаковые имена, т.к. область имен локализована.
Домен формируется центральным элементом – контроллером домена (DC – Domain Controller) (см. рис.12).

Контроллер домена содержит базу данных учетных записей пользователей.

Следует различать доменную модель:

1) Windows NT (NTDS)

2) Windows 2000/2003 (Native)

Доверительные отношения

Небольшая сеть может быть накрыта одним доменом. Если разделить сеть на домены, домены будут изолированы.

Деление всей сети на несколько доменов позволяет структурировать сеть, распределить администрирование, защитить отдельные части сети. Но в этом случае при плоской модели пользователи оказываются локализованными внутри своего домена, т.е. проходят сквозную (автоматическую) аутентификацию при обращении к ресурсам своего домена. Пользователь одного домена не может обратиться к ресурсам другого домена, т.к. учетная запись не известна. Поэтому чтобы получить доступ, пользователь может провести явную аутентификацию, если там есть учетная запись.

Чтобы создать связную сеть, между доменами устанавливаются доверительные отношения.

Доверительными отношениями называется связь между доменами, при которой один домен использует базу данных учетных записей другого домена

При этом используются понятия:

- trusting domain – доверяющий домен

- trusted domain – доверяемый домен

Доверяющий домен использует базу данных доверяемого домена. Как это делается: контроллер доверяющего домена перенаправляет запрос на аутентификацию контроллеру доверяемого домена.

B

Доверяемый



А

Доверяющий

САША

МАША


Сет. ресурс

БД SAM


САША

МАША


ДАША

Домен А доверяет домену В

Возникает два варианта:

1) Пользователь Саша имеет учетную запись в домене В и не имеет в домене А. За счет доверительных отношений (А доверяет домену В) пользователь Саша может зарегистрироваться на компьютере домена А.

2) Пользователь Маша, работая в домене В, может получить доступ к ресурсу домена А, если это позволяют разрешения доступа.
За счет доверительных отношений имеется возможность описать доступ к ресурсу домена А, описать доступ учетных записей доверяемого домена В.

2.Типовые доменные модели Windows NT. Доменная модель Active Directory.

Microsoft предлагает использовать четыре типовые модели использования доменов на предприятии:


  1. Модель с одним доменом

  2. Модель с главным доменом

  3. Модель с несколькими главными доменами

  4. Модель с полными доверительными отношениями

6.4.1. Модель с одним доменом

Эта модель подходит для организации, в которой имеется не очень много пользователей, и нет необходимости разделять ресурсы сети по организационным подразделениям. Главный ограничитель для этой модели - производительность, которая падает, с увеличением числа серверов в сети.



Преимущества и недостатки модели с одним доменом

Преимущества

Недостатки

Наилучшая модель для предприятий с небольшим числом пользователей и ресурсов.

Централизованное управление пользовательской учетной информацией.

Нет нужды в управлении доверительными отношениями.

Локальные группы нужно определять только однажды.



Низкая производительность, если домен имеет слишком много пользователей и/или серверов.

Невозможность группирования ресурсов.



Использование только одного домена также означает, что один сетевой администратор должен администрировать всю сеть. Разделение сети на несколько доменов позволяет назначать несколько администраторов, каждый из которых может администрировать отдельные серверы, входящие в разные домены.

6.4.2. Модель с главным доменом

Эта модель хорошо подходит для предприятий, где необходимо разбить ресурсы на группы в организационных целях, и в то же время количество пользователей и групп пользователей не очень велико. Эта модель сочетает централизацию администрирования с организационными преимуществами разделения ресурсов между несколькими доменами.



http://citforum.ru/operating_systems/winntadm/winntadm_19.gif

Рис. 6.2. Модель с главным доменом

Главный домен удобно рассматривать как чисто учетный домен, основное назначение которого - хранение и обработка пользовательских учетных данных. Остальные домены в сети - это домены ресурсов, они не хранят и не обрабатывают пользовательскую учетную информацию, а поставляют ресурсы (такие как разделяемые файлы и принтеры) для всей сети. В этой модели пользовательскую учетную информацию хранят только основной и резервный контроллеры главного домена.

Преимущества и недостатки модели с главным доменом

Преимущества

Недостатки

Наилучшая модель для предприятия, у которого не очень много пользователей, а разделяемые ресурсы должны быть распределены по группам.

Учетная информация может централизованно управляться.

Ресурсы логически группируются.

Домены отделов могут иметь своих администраторов, которые управляют ресурсами отдела.

Глобальные группы должны определяться только один раз (в главном домене).


Плохая производительность, если в главном домене слишком много пользователей и групп.

Локальные группы нужно образовывать в каждом домене, где они используются.



6.4.3. Модель с несколькими главными доменами

Эта модель предназначена для больших предприятий, которые хотят поддерживать централизованное администрирование. Эта модель в наибольшей степени масштабируема.

В данной модели имеется небольшое число главных доменов. Главные домены используются как учетные домены, причем учетная информация каждого пользователя создается только в одном из главных доменов. Сотрудники отдела Автоматизированных Информационных Систем (АИС) предприятия могут администрировать все главные домены, в то время как ресурсные домены могут администрировать сотрудники соответствующих отделов.

Каждый главный домен доверяет всем остальным главным доменам. Каждый домен отдела доверяет всем главным доменам, но доменам отделов нет необходимости доверять друг другу.



http://citforum.ru/operating_systems/winntadm/winntadm_20.gif

Рис. 6.3. Модель с несколькими главными доменами

Так как все ресурсные домены доверяют всем главным, то данные о любом пользователе могут использоваться в любом отделе предприятия.

Использование глобальных групп в этой модели несколько сложнее, чем в предыдущих. Если нужно образовать глобальную группу из пользователей, учетная информация о которых хранится в разных главных доменах, то фактически приходится образовывать несколько глобальных групп - по одной в каждом главном домене. В модели с одним главным доменом нужно образовать только одну глобальную группу.

Чтобы упростить решение этой проблемы, целесообразно распределять пользователей по главным доменам по организационному принципу, а не по какому-либо иному, например, по алфавитному.

Преимущества и недостатки модели с несколькими главными доменами

Преимущества

Недостатки

Наилучшая модель для предприятия с большим числом пользователей и центральным отделом АИС.

Хорошо масштабируется.

Ресурсы логически группируются.

Домены отделов могут иметь своих администраторов, которые управляют ресурсами отдела.



Как локальные, так и глобальные группы должны определяться по несколько раз в каждом учетном домене.

Необходимо управлять большим количеством доверительных отношений.

В одном домене локализуются не все данные о пользователях.


6.4.4. Модель с полными доверительными отношениями

Эта модель обеспечивает распределенное администрирование пользователей и доменов. В этой модели каждый домен доверяет каждому. Каждый отдел может управлять своим доменом, определяя своих пользователей и глобальные группы пользователей, и они могут использоваться во всех доменах предприятия.



http://citforum.ru/operating_systems/winntadm/winntadm_22.gif

Рис. 6.4. Модель с полными доверительными отношениями

Из-за резкого увеличения числа доверительных отношений эта модель не подходит для больших предприятий. Для n доменов нужно установить n(n-1) доверительных отношений.

Перед созданием доверительных отношений с другим доменом администратор действительно должен быть уверен, что он доверяет администратору этого домена. Администратор доверяющего домена должен отдавать себе отчет в том, что после того, как он предоставляет права глобальным группам учетного (доверяющего) домена, администратор последнего может добавить в глобальную группу нежелательных или непроверенных пользователей. При администрировании главных доменов такая опасность также имеется. Но риск здесь ниже из-за того, что пользователей в главные домены добавляют сотрудники центрального отдела АИС, а не произвольно назначенный администратором сотрудник производственного отдела предприятия.



Преимущества и недостатки модели с полными доверительными отношениями

Преимущества

Недостатки

Наилучшим образом подходит для предприятий, на которых нет централизованного отдела АИС

Хорошо масштабируется в отношении количества пользователей.

Каждый отдел имеет полное управление над своими пользователями и ресурсами.

Как ресурсы, так и пользователи группируются по отделам.



Модель не подходит для предприятий с централизованным отделом АИС.

Нужно управлять очень большим количеством доверительных отношений.

Каждый отдел должен доверять администраторам других отделов том, что те не включат в состав своих глобальных групп нежелательных пользователей.

Active Directory является улучшением доменной модели Windows NT.

Иерархия доменов в Active Directory позволяет реализовать свойство наследования.

В пределах дерева пользователь, вошедший в домен, может обращаться к ресурсам других доменов, т.к. на ресурсах других доменов можно описать ему доступ.

Active Directory может накрывать несколько деревьев.

AD – это служба каталогов входящая в Windows server 2000. AD является защищенной , распределенной, сегментированной и реплицируемой службой каталогов для сетей от нескольких компов до нескольких тысяч.

AD хранит данные и настройки среды в централизованной БД. 1 служба каталогов AD может объединять несколько служб каталогов AD другими словами можно растить лес с помощью AD.

AD помогает управлять как принтерами так и крупными специализированными серверами работающими одновременно в нескольких сетях

С помощью AD осуществляют манипулирование многими компонентами службы каталогов. Объект это не пустой именованный набор атрибутов обозначающих нечто конкретное: пользователи, принтеры, приложение, атрибут

Контейнер – это объединенная группа объектов или других контейнеров, он так же имеет пространство и принадлежит пространству имен. Контейнер может быть пустым

Дерево – это иерархическое описание объектов и контейнеров. В узлах дерева находится контейнер а конечными элементами является объект.

Непрерывным поддеревом называется любая непрерывная часть дерева, включающая все элементы каждого входящего в него контейнера

AD допускает существование 2 типов имен уникальных и относительных

Уникальное имя –каждый объект имеет уникальное имя. Уникальное имя содержит указание на домен в котором находится этот домен и полный путь который приводит к этому объекту

Относительное имя – это та часть имени которая является частью атрибута объектов .

Контейнеры имен – это любое непрерывное поддерево каталога AD может состоять из 1 или нескольких имен.

Доменная модель служб каталогов

В AD 1 из важных вещей - домен – это совокупность компонентов характеризующихся наличием общей базы учетных записей пользователей и единой политикой безопасности. Использование доменов позволяет разделить пространство имен на несколько фрагментов каждый объект может принадлежать только 1 домену

Цели создания домена:

1 разграничение административных полномочий

2 создание единой политики безопасности

3 разделение доменного контейнера имен

Центральный компонентом – домена является серверы, хранящие фрагменты каталогов эти серверы называются – контроллерами домена

В домене может быть 1 или несколько контроллеров домена

Типы иерархии доменов:

1 родитель-потомок – пространство имен , имя домена включает в себя имя родительского домена (иерархическая)

2 отношение включающее несколько связанных деревьев лес доменов (горизонтальная)

Для объединения объектов хранящихся в разных отношениях должны существовать некоторые доверительные отношения. Выделяют односторонние и двусторонние доверительные отношения. Доверительные отношения позволяют организовать процесс аутентификации принадлежащих 2-ум различным доменам


3.Администрирование учетных записей. Локальные уч.записи и уч.записи в домене. Свойства встроенных уч.записей.

Одна из важных задач администратора – формирование свойств пользователей, их привилегий.

Account – учетная запись пользователя.

Учетная запись характеризуется регистрационным именем и паролем:

login-name / password

Имя пользователя должно быть уникально в домене.

Две формы задания регистрационного имени пользователя в доменной структуре:

1) Когда указанному имени приписывается NetBIOS-имя: домен \ имя

2) имя @dns-имя

При создании учетной записи с ней связываются следующие атрибуты:

- информация о личности владельца

- пароль


- идентификатор безопасности SID. Система генерирует код SID. Именно он предоставляет учетную запись.

- членство пользователя в группах безопасности – Security Groups (способ логического объединения пользователей)

- права (привилегии) пользователя User Rights – это совокупность правил, определяющих пользователей и групп на выполнение определенных действий по отношению к системе в целом.
Существуют две области действия прав пользователей:

1. Если право выдано на контроллере домена, оно распространяется на все контроллеры в домене.

2. Если право выдано не на контроллере домена, оно действует только на данном компьютере.
Типы учетных записей

Учетные записи по месту создания и использованию делятся на:

1) Локальные

2) Доменные (глобальные)

1) Локальная учетная запись формируется на определенном компьютере, хранится в базе данных этого компьютера, позволяет иметь доступ к ресурсам только этого компьютера.

Account: - Админ/р1

- user/p2

Account: - Админ/р2

- user1/p3

- user2/p4

…………..

Res


User1/p3

User


Server DC

Comp1


Домен Kontora
Если пользователь на comp1 (user) не пройдет аутентификацию, он не сможет обратиться к ресурсам другого компьютера, сможет только к своим. Локальные учетные записи используются для автономной работы.

Если знает учетную запись

comp1 > net use * \\ serv \ res

Можно сделать аутентификацию явно:

comp1 > net use * \\ serv \ res / user: KONTORA \ user1
2) Доменные (глобальные) учетные записи. Создаются в домене, хранятся в базе данных учетных записей домена.

Менеджер учетных записей – AM. База данных – SAM (интегрирована в Active Directory, доступна всем членам домена).

Пользователь с любого узла может работать с учетной записью, т.е. получает свойства этой учетной записи.

Глобальная учетная запись позволяет войти в систему с любого компьютера – члена домена и получить доступ к сетевым ресурсам всего домена.

Процесс аутентификации подразумевает передачу имени и пароля пользователя на контроллер домена. Контроллер проверяет их и отправляет обратно.

Механизмы аутентификации в Windows.

1. Механизм аутентификации NTLM (Win NT Lan Manager)

Используется в Windows NT, передает данные по сети в открытом виде, не обеспечивает высокой защиты, т.к. пароль передается открытым текстом.

Модификация NTLM2 – механизм аутентификации с шифрацией пароля.

2. Kerberos (RFC 1510) – многофункциональный надежный протокол аутентификации. Здесь используется симметричная схема шифрации (DES). Чтобы распространить секретные ключи всем участникам, нужна специальная служба распределения ключей – Key Distribution Center (KDC). Она должна быть запущена на каждом контроллере домена.
Каждое соединение между клиентом и сервером обеспечивается уникальным ключом.

Встроенные доменные учетные записи

Когда создается домен, Windows автоматически генерирует несколько пользовательских учетных записей. В Windows 2000 встроенными являются учетные записи Administrator и Guest.

Учетная запись Administrator имеет набор разрешений Full Control на все ресурсы домена и может назначать разрешения пользователям в домене.

Если учетную запись Administrator отключить, при необходимости получение доступа к DC можно будет пользоваться этой учетной записью, загружая DC в режиме Safe Mode (учетная запись Administrator всегда доступна в режиме Safe Mode).

Учетная запись Guest позволяет регистрироваться в домене пользователям, не имеющим учетной записи. Учетная запись Guest не требует пароля, но можно установить для нее разрешения точно так же, как для любой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests.

4.Группы пользователей. Глобальные и локальные группы. Специальные группы.

Группой пользователей называется набор свойств по отношению к системе, присваиваемый сразу несколькими пользователями.

Понятие групп отличается для моделей:

1) Если сеть построена по модели рабочей группы, на каждом компьютере организуются локальные учетные записи. Управление этими объектами выполняется с помощью оснастки «Локальные пользователи и группы». Администратор в этом случае планирует, новые учетные группы или использует встроенные. Затем определяет привилегии для групп. Далее планирует и назначает разрешения доступа к объектам системы для этих групп. Затем определяются члены каждой рабочей группы.

2) Как использовать группы в доменной модели сети.

В доменной модели сети локальные группы сохраняются. Они нужны для возможности изолированной работы. Надо учитывать разные модели, отличающиеся версиями:

NT – модель. В этой модели доменные группы делятся на локальные группы домена и на глобальные группы домена.

Глобальная группа включает только учетные записи пользователей данного домена. Смысл организации глобальной группы – объединение пользователей под одним именем.

Локальная группа домена может включать:

1. учетные записи домена;

2. глобальные группы домена данного и доверяемого.

Основное назначение локальной группы – управление правами доступа к ресурсам.

По области действия выделяют:

- Локальные и изолированные группы;

- Доменные группы включают:


  • Локальные группы домена:

1) Создаются на контроллере;

2) Хранятся в службе каталогов;

3) Имеют открытое членство, т.е. могут включать членов любого домена;

4) Позволяют назначать доступ к ресурсам своего домена.

Основное назначение локальной группы – управление доступом к ресурсам домена.


  • Глобальные группы домена:

1) Создаются на контроллере;

2) Хранятся в службе каталогов;

3) Имеют ограниченное членство, могут включать только членов своего домена;

4) Позволяют назначить доступ к ресурсам любого домена

Основное назначение – объединение пользователей для обеспечения доступа к ресурсам других доменов путем включения глобальных групп в локальные группы других доменов.


  • Универсальные группы:

1) Создаются на контроллере;

2) Хранятся в службе каталогов;

3) Имеют открытое членство, т.е. могут включать членов любого домена;

4) Позволяют описать доступ к ресурсам любого домена

Нужны в сложной архитектуре, когда есть лес доменов.

Специальные системные группы. Не имеют определенного списка членов Эти группы не отображаются в оснаске управления пользователями и группами, включает в текущий момент пользователей текущей работе. недоступны для администрирования, широко используются для назначения доступа к ресурсам

1)Все – включает в себя всех пользователей.

2)ССТЕМА


3)Создатель-владелец

4)Прошедшие проверку

5)УДАЛЕННЫЙ ДОСТУП

6)Анонимный вход

7)Пользователи сервера терминалов

8)Интерактивные

9)Службы

И т.д.


Их удобно использовать что бы например дать доступ к ресурсу любому пользователю и в множестве других случаев подходящих под возможности этих групп.

5.Привилегии (права в локальной политике) уч.записей и групп. Свойства встроенных локальных групп.

привилегии - Совокупность правил определяющих права пользователей и групп на выполнение определенных действий в системе. Например Сетевой вход в систему, Архивирование, Восстановление, Обход перекрестной проверки (если каталог верхнего уровня разрешен а нижнего запрещен), Завершение работы, Удаленное завершение работы, Владение (администратор), вход в систему, Анализ производительности, Отладка
Встроенные группы

Создаются при установке системы, настраиваются на типовые задачи по отношению к системным ресурсам.

Встроенные группы тоже делятся на локальные и глобальные, локальные изолированные, специальные.

Для каждого типа групп есть состав встроенных. Этот состав зависит от типа ОС.

Состав встроенных групп:

- Локальные изолированные группы

Пользуемся оснасткой «Локальные пользователи и группы»

|__группы:

Администраторы;

Опытные пользователи;

Пользователи;

Гости;



Между администраторами и непривилегированными пользователями могут встраиваться:



Операторы учетных записей;

Операторы архивации;

Операторы печати;

Репликатор (настраивает операции репликации)



- Встроенные группы в домене

Доменные группы

AD – пользователи и компьютеры

Лок. доменные группы



+

Builtin | Администраторы

| Операторы



+

| ……

+

|

| Пользователи

| Гости

.

.



+

Users | Администраторы домена

| …


| Пользователи домена

| Гости домена


Контейнер Builtin включает описание доменных и локальных групп. Контейнер Users включает описание глобальных групп домена.

Встроенные группы нужны для того, чтобы создать рабочую ситуацию для описания возможностей доступа по отношению к самой системе.

6.Элементы системы безопасности Windows. Функции программных компонентов: Local Security Authority, Security Account Manager, Security Reference Monitor. Аутентификация локальная и в домене.

Система безопасности

Безопасность делится на две части:

1. Локальная

2. Сетевая

1. Локальная безопасность связана с доступом и хранением данных на компьютере.

2. Сетевая безопасность связана с взаимодействием устройств по сети:

- Защита данных в процессе передачи по линиям связи;

- Защита от несанкционированного удаленного доступа;

- Организация виртуальных сетей VPN;

- Методы аутентификации в сети (особенно если сеть гетерогенная)

В основе систем безопасности Windows 2000/2003 серверов лежит базовая архитектура Windows NT. Кроме базовых свойств ядра нужно добавлять множество компонентов, причем нужно сохранять преемственность.

Наряду с NT добавлены:

1) механизм защищенной аутентификации Kerberos;

2) поддержка смарт-карты;

3) средства шифрующих файловых систем EFS (средства защиты от физического доступа)

4) NTLM


SAM – менеджер учетных записей

WINS – службы именования

PPTP – туннельный протокол точка-точка

5) Средства снижения стоимости разработки приложений могут быть реализованы за счет интерфейсов API

Crypto API

6) PKI (Public Key Infrastructure)

В Windows реализована структура поддержки единого ключа.

7) VPN


8) Certificate Centers

Центры и службы сертификации.

С2 – стандарт безопасности, действовал в рамках военного ведомства США.

С2 – «оранжевая книга»

Основные требования С2:

1)ОС должна защищать данные процесса от использования другими процессами.(Эта защита д. действовать и после заверш процесса)

2)ОС д. защищать себя от вмешательства и попыток модификации в памяти и в файловой системе

3)В системе д. присутствовать понятие «владелец ресурсов», владелец д. иметь полный контроль доступа к ресурсу

4)Кажд. пользователь д.б. уникально идентифиц. в системе.

5)Администраторы д. иметь возможность аудита всех событий, связ. с защитой системы.


C2 – Trusted Computer System Evaluation Criteria – «оранж. книга» (NOSC)

NT+SP3 -> C2


Компоненты:

1)Local Security Authority

(распорядитель локальной безопасности)

-предоставление пользователям доступа в систему

-создание маркеров доступа

-управление интерактивным процессом аутентификации

-создание маркеров доступа

-предоставление Windows возм. подключаться к программам аутентификации 3-х фирм

-управление локальной политикой защиты

-контроль политики аудита, запись сообщений аудита в журнал событий


2)Security Account Manager

(менеджер защиты учётной записи)

Обслуживает работу с БД защиты учётных записей

БД SAM на PDC(BDC) – WinNT

БД Active Directory - WinNT
3)Security Reference Monitor

(справочный монитор защиты)

обеспечивает защиту ресурсов от неавторизованного доступа, т.е. вып-ет проверку прав доступа и вывод необ-ых сообщений аудита.

При попытке открытия файла SRM просматривает все входы списка контроля доступа к объекту и проверяет допустимые запрошенные операции к объекту, когда доступ предоставляется, то формируется ссылка на файл(объект), для того, чтобы при последующих запросах проверка не выполнялась использ. ссылка.


Механизмы аутентификации в Windows.

1. Механизм аутентификации NTLM (Win NT Lan Manager)

Используется в Windows NT, передает данные по сети в открытом виде, не обеспечивает высокой защиты, т.к. пароль передается открытым текстом.

Модификация NTLM2 – механизм аутентификации с шифрацией пароля.

2. Kerberos (RFC 1510) – многофункциональный надежный протокол аутентификации. Здесь используется симметричная схема шифрации (DES). Чтобы распространить секретные ключи всем участникам, нужна специальная служба распределения ключей – Key Distribution Center (KDC). Она должна быть запущена на каждом контроллере домена.
Каждое соединение между клиентом и сервером обеспечивается уникальным ключом.
7.Механизм защиты ресурсов. Маркеры доступа, списки контроля доступа ACL. Схема проверки доступа к объектам.

Маркеры доступа - это информационный объект описывающий пользователя и его порождённые процессы.
Маркер создаётся при регистрации пользователя. Затем маркер ассоциируется с процессом наследования свойств.
В маркер входят:

1.идентификатор безопасности пользователя SID

2.идентификатор групп, к которым принадлежит пользователь

3.привилегии (user rights) по отношении к системе

4.владелец – идентификатор SID, назначаемый в качестве владельца при создании объекта

5.первичная группа – SID, назначаемый в качестве первичной группы объекта (posix)

6.ACL – default, - это список ACL назначаемый по умолчанию при создании объекта
ACLсписок контроля, с информационным описанием
каждая запись – вход контроля доступа – Access Control Entries
ACE – содержит права доступа к идентификаторам и идентификаторы.
Входы контроля доступа сортируются по типам в списке разрешить или запретить.
Запрещающие в начале списка, а в конце с разрешения доступа.
Проверка сначала в конце => отказ преобладает над разрешением доступа. Т.е. пользователь входит в несколько групп и если хоть в одной группе есть отказ, то и общий результат будет отказ.
c:\winnt\....
Everyone{system, administrator}, если запретить для Everyone то и доступ будет запрещён для всех; владелец управляет правами доступа к своим объектам.

Remote Access Server (RAS)



8.Разрешения доступа к каталогам и файлам. Понятие владельца. Стратегия предоставления прав на доступ. Сетевая печать.



Защита файловой системы NTFS

Следует различать разрешение доступа к файлам и каталогам.

Файлы – это элементарные объекты.

Каталоги – контейнерные объекты.

Для файлов защищаемым качеством является содержимое, как информация файла; атрибуты файла; список разрешений и право владением.

Для каталогов: содержимое, как список элементов каталога, атрибуты, список разрешений и права владением.

Но кроме этого: переход в подкаталог, добавление и удаление подкаталогов и файлов.

Управление доступом к этим отдельным категориям качеств ведется с помощью специальных разрешений доступа: для файлов – 13 типов, для каталогов – 14 типов.

Каждое стандартное разрешение доступа является комбинацией нескольких специальных разрешений доступа.

Кроме явно назначенных разрешений доступа необходимо учитывать свойство наследования.

Разрешение доступа на сетевой объект.

Право

Значение для папок

Значение для файлов

Read

List+Разрешает просмотр и листинг файлов и подпапок

Разрешает доступ к содержимому файла

Write

Разрешает добавление файлов и подпапок

Разрешает запись в файл

Read & Execute

Read + выполнение файлов

Read + выполнение файлов

List

Просмотр содержимого каталога как список элементов

N/A

Modify

Read + Write + удаление папки

Read + Write + удаление файла

Full Control

Чтение, запись, изменение, удаление файлов и подпапок

Чтение, запись, изменение, удаление файла.

Владелец может не иметь всех разрешений доступа, однако он обладает важным качеством - всегда имеет возможность управлять разрешениями на доступ к объекту.

Стратегии управления доступом

Требования:

1) Использовать продуманную структуру каталогов. Выбор структуры каталогов должен происходить в соответствии с требованиями по безопасности. Нужно сгруппировать данные по одинаковой степени защиты. Принцип:

- на верхних уровнях каталогов данные открыты большему числу пользователей;

- глубже по иерархии – доступ детализируется, ограничивается.

Пример: защита системных файлов и каталогов.


- Windows

- Program Files

- Documents and Settings
Пример:

- Windows

|__ System32 Пользователи – R&E

|__ config Пользователи - Х (не имеют доступа совсем)

|__ drivers

Права (разрешения) доступа предоставляются только группам, а не отдельным пользователям. Заранее планируются группы по характерам операций.


2) Для доступа к сетевым ресурсам рекомендуется использовать DFS – распределенную файловую систему. DFS позволяет отображать сетевые каталоги на локальное дерево файловой системы (это не монтирование томов).

DFS сама не конфигурирует безопасность данных, действует локальное разрешение.

Рекомендуется использовать стандартные наборы разрешений файловой системы и определить требуемый уровень безопасности. Для настройки доступа к объектам Windows, нужно использовать шаблоны безопасности.

Шаблоны – это заранее подготовленные настройки параметров безопасности в зависимости от категории (например, на рабочей станции или на сервере).
3) Чтобы разобраться с шаблонами, необходимо использовать специальные утилиты:

1. Security Configuration Editor (SCE)

Редактор конфигурации системы безопасности.

2. Security Configuration Manager (SCM)

Диспетчер конфигурации системы безопасности.

Эти утилиты позволяют анализировать и модифицировать конфигурацию по следующим объектам:

- политика учетных записей;

- локальные политики;

- журналы событий;

- ограниченные группы;

- реестр;

- файловая система;

- объекты Active Directory
4) Для защиты от физического доступа нужно использовать шифрующую файловую систему – EFS.

EFS базируется на основе систем открытого ключа, поэтому для работы и для получения доступа нужно хранить ключевую пару. Если Windows теряет ключевые пары, то теряется доступ к данным.

Ключевые пары надо где-то хранить. Можно заставить пользователя запомнить или записать на бумаге.

Имеется возможность в системе:

- хранить одну пользовательскую ключевую пару;

- хранить одну ключевую пару на смарт-карте;

- хранить одну текущую пользовательскую и одну резервную ключевую пару.

Ключевые понятия:

1)Устройство печати – аппаратное устр-во позволяющее вести печать.

2)Принетр – логическое устройство реализующие программный интерфейс между ОС и устройством печати. Принтер определяет, каким именно образом документ попадает на устройство печати. Один принтер может посылать на разные устройства печати.

3)Задания на печать – исходный код для работы устройства печати.

4)Спулер – очередь, принимает задания от драйвера принтера.

5)Спулинг – процесс обеспечивающий спулер, пишет задания в файлы.

6)Визуализация – рендеринг – процесс создания файла на печать.

7)Сервер печати – комп к которому подключено одно или несколько устройств печати.

Операции :

*Создание принтера

*Соединение с принтером

Типы организаций сетевой печати:

1)Принтер подключен к компьютеру через порт принтера

2)принтер подключен к 2м клиентам, каждый клиент формирует очередь печати

3)удаленное локальное устройство печати – очередь одна и видна всем клиентам

4)Сервер управляет несколькими устройствами печати

Как объект принтер имеет разрешения доступа:

*Разрешение на печать

*Управление документами

*Управление принтером

9.Базовые понятия и свойства Active Directory. Применение групповой политики к объектам AD.

Служба Active Directory

 

Расширяемая и масштабируемая служба каталогов  Active Directory ( Активный каталог) позволяет эффективно управлять сетевыми ресурсами.



Active Directory - это иерархически организованное хранилище данных об объектах  сети, обеспечивающее удобные средства для поиска и использования этих данных. Компьютер, на котором работает Active Directory, называется контроллером домена. С Active Directory  связаны практически все административные задачи.

Технология Active Directory основана на стандартных Интернет - протоколах и помогает четко определять структуру сети.

 

Active Directory и DNS



 

В Active Directory используется доменная система имен.

Domen Name System, (DNS) — стандартная служба Интернета, организующая группы компьютеров в домены. Домены DNS имеют иерархическую структуру, которая составляет основу Интернета. Разные уровни этой иерархии идентифицируют компьютеры, домены организаций и домены верхнего уровня. DNS также служит для преобразования имен узлов, например zeta.webatwork.com, в численные IP-адреса, например 192.168.19.2. Средствами DNS иерархию доменов Active Directory можно вписать в пространство Интернета или оставить самостоятельной и изолированной от внешнего доступа.

Для доступа к ресурсам в домене применяется полное имя узла, например zeta.webatwork.com. Здесь zeta — имя индивидуального компьютера, webatwork — домен организации, a com — домен верхнего уровня. Домены верхнего уровня составляют фундамент иерархии DNS и потому называются корневыми доменами (root domains). Они организованы географически, с названиями на основе двухбуквенных кодов стран (ru для России), по типу организации (сот для коммерческих организаций) и по назначению (mil для военных организаций).

Обычные домены, например microsoft.com, называются родительскими (parent domain), поскольку они образуют основу организационной структуры. Родительские домены можно разделить на поддомены разных отделений или удаленных филиалов. Например, полное имя компьютера в офисе Microsoft в Сиэтле может быть jacob.seattle.microsoft.com, где jacob — имя компьютера, sealtle — поддомен, а microsoft.com — родительский домен. Другое название поддомена — дочерний домен (child domain).

 

Компоненты Active Directory



 

Active Directory объединяет физическую и логическую структуру для компонентов сети. Логические структуры Active Directory помогают организовывать объекты каталога и управлять сетевыми учетными записями и общими ресурсами. К логической структуре относятся следующие элементы:

организационное подразделение (organizational unit) — подгруппа компьютеров, как правило, отражающая структуру компании;

домен (domain) — группа компьютеров, совместно использующих общую БД каталога;

дерево доменов (domain tree) — один или несколько доменов, совместно использующих непрерывное пространство имен;

лес доменов (domain forest) — одно или несколько деревьев, совместно использующих информацию каталога.

Физические элементы помогают планировать реальную структуру сети. На основании физических структур формируются сетевые связи и физические границы сетевых ресурсов. К физической структуре относятся следующие элементы:

подсеть (subnet) — сетевая группа с заданной областью IP- адресов и сетевой маской;

сайт (site) — одна или несколько подсетей. Сайт используется для настройки доступа к каталогу и для репликации.

 

Организационные подразделения

 

Организационные подразделения (ОП) — это подгруппы в доменах, которые часто отражают функциональную структуру организации. ОП представляют собой своего рода логические контейнеры, в которых размещаются учетные записи, общие ресурсы и другие ОП. Например, можно создать в домене microsoft.com подразделения Resourses, IT, Marketing. Потом эту схему можно расширить, чтобы она содержала дочерние подразделения.



В ОП разрешается помещать объекты только из родительского домена. Например, ОП из домена Seattle.microsoft.com содержат объекты только этого домена. Добавлять туда объекты из my.microsoft.com нельзя. ОП очень удобны при формировании функциональной или бизнес - структуры организации. Но это не единственная причина их применения.

ОП позволяют определять групповую политику для небольшого набора ресурсов в домене, не применяя ее ко всему домену. С помощью ОП создаются компактные и более управляемые представления объектов каталога в домене, что помогает эффективнее управлять ресурсами.

ОП позволяют делегировать полномочия и контролировать административный доступ к ресурсам домена, что помогает задавать пределы полномочий администраторов в домене. Можно передать пользователю А административные полномочия только для одного ОП и в то же время передать пользователю В административные полномочия для всех OП в домене.

 

Домены

 

Домен Active Directory — это группа компьютеров, совместно использующих общую БД каталога. Имена доменов Active Directory должны быть уникальными. Например, не может быть двух доменов microsoft.com, но может быть родительский домен microsoft.com с дочерними доменами seattle.microsoft.com и my.microsoft.com. Если домен является частью закрытой сети, имя, присвоенное новому домену, не должно конфликтовать ни с одним из существующих имен доменов в этой сети. Если домен — часть глобальной сети Интернет, то его имя не должно конфликтовать ни с одним из существующих имен доменов в Интернете. Чтобы гарантировать уникальность имен в Интернете, имя родительского домена необходимо зарегистрировать через любую полномочную регистрационную организацию.



В каждом домене действуют собственные политики безопасности и доверительные отношения с другими доменами. Зачастую домены распределяются по нескольким физическим расположениям, т. е. состоят из нескольких сайтов, а сайты — объединяют несколько подсетей. В БД каталога домена хранятся объекты, определяющие учетные записи для пользователей, групп и компьютеров, а также общие ресурсы, например принтеры и папки.

Функции домена ограничиваются и регулируются режимом его функционирования. Существует четыре функциональных режима доменов:

смешанный режим Windows 2000 (mixed mode)поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0, Windows 2000 и Windows Server 2003;

основной режим Windows 2000 (native mode)поддерживает контроллеры доменов, работающие под управлением Windows 2000 и Windows Server 2003;

промежуточный режим Windows Server 2003 (interim mode)поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0 и Windows Server 2003;

режим Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003.

 

Леса и деревья

 

Каждый домен Active Directory обладает DNS-именем типа microsoft.com. Домены, совместно использующие данные каталога, образуют лес (forest). Имена доменов леса в иерархии имен DNS бывают несмежными (discontiguous) или смежными (contiguous).



Домены, обладающие смежной структурой имен, называют деревом доменов. Если у доменов леса несмежные DNS-имена, они образуют отдельные деревья доменов в лесу. В лес можно включить одно или несколько деревьев. Для доступа к доменным структурам предназначена консоль Active Directory — домены и доверие (Active Directory Domains and Trusts).

Функции лесов ограничиваются и регулируются функциональным режимом леса. Таких режимов три:

Windows 2000 — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0, Windows 2000 и Windows Server 2003;

промежуточный (interim) Windows Server 2003поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0 и Windows Server 2003;

Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003.

Самые современные функции Active Directory доступны в режиме Windows Server 2003. Если все домены леса работают в этом режиме, можно пользоваться улучшенной репликацией (тиражированием) глобальных каталогов и более эффективной репликацией данных Active Directory. Также есть возможность отключать классы и атрибуты схемы, использовать динамические вспомогательные классы, переименовывать домены и создавать в лесу односторонние, двухсторонние и транзитивные доверительные отношения.

 

Сайты и подсети

 

Сайт — это группа компьютеров в одной или нескольких IP-подсетях, используемая для планирования физической структуры сети. Планирование сайта происходит независимо от логической структуры домена. Active Directory позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов.

В отличие от сайтов, способных охватывать множество областей IP-адресов, подсети обладают заданной областью IP-адресов и сетевой маской. Имена подсетей указываются в формате сеть/битовая маска, например 192.168.19.0/24, где сетевой адрес 192.168.19.0 и сетевая маска 255.255.255.0 скомбинированы в имя подсети 192.168.19.0/24.

Компьютеры приписываются к сайтам в зависимости от местоположения в подсети или в наборе подсетей. Если компьютеры в подсетях способны взаимодействовать на достаточно высоких скоростях, их называют хорошо связанными (well connected).

В идеале сайты состоят из хорошо связанных подсетей и компьютеров, Если скорость обмена между подсетями и компьютерами низка, может потребоваться создать несколько сайтов. Хорошая связь дает сайтам некоторые преимущества.

• Когда клиент входит в домен, в процессе аутентификации сначала производится поиск локального контроллера домена в сайте клиента, т. е. по возможности первыми опрашиваются локальные контроллеры, что ограничивает сетевой трафик и ускоряет аутентификацию.

• Информация каталога реплицируется чаще внутри сайтов, чем между сайтами. Это снижает межсетевой трафик, вызванный репликацией, и гарантирует, что локальные контроллеры доменов быстро получат обновленную информацию.

Можно настроить порядок репликации данных каталога, используя связи сайтов (site links). Например, определить сервер-плацдарм (bridgehead) для репликации между сайтами.



Основная часть нагрузки от репликации между сайтами ляжет на этот специализированный сервер, а не на любой доступный сервер сайта. Сайты и подсети настраиваются в консоли Active Directory — сайты и службы (Active Directory Sites and Services).
Использование групповой политики и Active Directory

Объекты групповых политик
Все настройки, которые вы создадите в рамках групповых политик, будут храниться в объектах групповой политики (Group Policy Object, GPO). Объекты групповых политик бывают двух типов: локальный объект групповой политики и объекты групповых политик Active Directory. Локальный объект групповой политики есть на компьютерах под управлением Windows 2000 и выше. Он может быть только один, и это единственный GPO, который может быть на компьютере, не входящем в домен.
Объект групповой политики — это общее название набора файлов, директорий и записей в базе Active Directory (если это не локальный объект), которые хранят ваши настройки и определяют, какие ещё параметры вы можете изменить с помощью групповых политик. Создавая политику, вы фактически создаёте и изменяете объект групповой политики. Локальный объект групповой политики хранится в %SystemRoot%\System32\GroupPolicy. GPO Active Directory хранятся на контроллере домена и могут быть связаны с сайтом, доменом или OU (Organizational Unit, подразделение или организационная единица). Привязка объекта определяет его область действия. По умолчанию в домене создается два объекта групповой политики: Default Domain Policy и Default Domain Controller Policy. В первом определяется политика по умолчанию для паролей и учетных записей в домене. Второй связывается с OU Domain Controllers и повышает настройки безопасности для контроллеров домена.
Создание объекта групповой политики
Для того чтобы создать политику (то есть фактически создать новый объект групповой политики), открываем Active Directory Users & Computers и выбираем, где создать новый объект. Создавать и привязывать объект групповой политики можно только к объекту сайта, домена или OU.

Порядок применения объектов групповой политики
Когда компьютер запускается, происходят следующие действия:
1. Читается реестр и определяется, к какому сайту принадлежит компьютер. Делается запрос серверу DNS с целью получения IP адресов контроллеров домена, расположенных в этом сайте.
2. Получив адреса, компьютер соединяется с контроллером домена.
3. Клиент запрашивает список объектов GP у контроллера домена и применяет их. Последний присылает список объектов GP в том порядке, в котором они должны применяться.
4. Когда пользователь входит в систему, компьютер снова запрашивает список объектов GP, которые необходимо применить к пользователю, извлекает и применяет их.
Групповые политики применяются при загрузке OC и при входе пользователя в систему. Затем они применяются каждые 90 минут, с вариацией в 30 минут для исключения перегрузки контроллера домена в случае одновременного запроса большого количества клиентов. Для контроллеров домена интервал обновления составляет 5 минут. Изменить это поведение можно в разделе Computer Configuration\Administrative Templates\System\Group Policy. Объект групповой политики может действовать только на объекты «компьютер» и «пользователь». Политика действует только на объекты, находящиеся в объекте каталога (сайт, домен, подразделение), с которым связан GPO и ниже по «дереву» (если не запрещено наследование). Например: Объект GPO создан в OU testers (как мы сделали выше).

Все настройки, сделанные в этом GPO, будут действовать только на пользователей и компьютеры, находящиеся в OU testers и OU InTesters. Рассмотрим порядок применения политик на примере. Пользователь test, расположенный в OU testers, входит на компьютер comp, находящийся в OU compOU



GPO применяются в таком порядке: локальные политики, политики уровня сайта, политики уровня домена, политики уровня OU.
Каталог: files -> stud -> povs
povs -> Лабораторная работа №1 «Сетевое взаимодействие Windows и Linux» студент группы 10-в-2
povs -> Лабораторная работа №2 по дисциплине: «Программное обеспечение вычислительных сетей» «Установка и конфигурирование ос windows 2003 Server»
povs -> Практическая работа №1 «Сетевые свойства и конфигурирование Windows 7» студент группы 10-в-1 Маясов Д. А проверил
povs -> «Сетевые свойства и конфигурирование Windows 7»
povs -> Server-based (Сеть на базе выделенного сервера)
povs -> Лабораторная работа №2 по дисциплине: «Программное обеспечение вычислительных сетей» «Установка и конфигурирование ос windows 2003 Server»
povs -> «Установка и конфигурирование ос windows Server 2003R2»
povs -> 1. Основные задачи начального конфигурирования сетевой среды Microsoft Network. Обзор инструментов администратора
povs -> «Администрирование и управление ресурсами Windows Server»


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал