microsoft, logo, security-4417277.jpg

Що таке принципи безпеки?

До принципів безпеки належать такі:

  1. Будь-яка сутність, яка може бути автентифікована системою, наприклад, обліковий запис користувача, обліковий запис комп’ютера або ланцюжок чи процес, який виконується в контексті безпеки користувача чи облікового запису комп’ютера.
  2. Групи безпеки цих облікових записів.

Кожному принципу безпеки автоматично присвоюється ідентифікатор безпеки (SID) під час його створення. У Windows Server 2003 реєстраційні записи безпеки є основою для контролю доступу до ресурсів, що охороняються.

Облікові записи та групи безпеки

Облікові записи та групи безпеки, створені в домені Active Directory, є об’єктами каталогів, і їх можна використовувати для керування доступом до ресурсів домену.

Локальні облікові записи користувачів і групи безпеки створюються на локальному комп’ютері, і їх можна використовувати для керування доступом до ресурсів на цьому комп’ютері. Локальні облікові записи користувачів і групи безпеки зберігаються в диспетчері облікових записів безпеки (SAM) і керуються ним на локальному комп’ютері.

Облікові записи

Обліковий запис користувача унікально ідентифікує особу за допомогою комп’ютерної системи, тим самим дозволяючи системі примусово надавати або забороняти доступ до ресурсів. Облікові записи користувачів можна створювати в Active Directory, а також на локальних комп’ютерах. Облікові записи користувачів використовуються для:

  1. Представляти, ідентифікувати та автентифікувати особу користувача. Обліковий запис користувача дає змогу користувачеві входити до системи на комп’ютерах і доменах за допомогою унікального профілю, який може бути автентифікований комп’ютером або доменом.
  2. Авторизувати (надати або заборонити) доступ до ресурсів. Після автентифікації користувача авторизовано (надано або відмовлено) доступ до ресурсів на основі дозволів, призначених цьому користувачеві на ресурсі.

Крім того, дії, які здійснюються обліковим записом користувача, можуть бути перевірені.

Групи безпеки

У групах безпеки, які попередньо налаштовані з відповідними правами та дозволами на виконання конкретних завдань. Крім того, можна створити (і, як правило, буде) групу безпеки для кожної унікальної комбінації вимог безпеки, яка застосовується до кількох користувачів у вашій організації.

Групи в Active Directory використовуються для керування правами та дозволами на ресурси домену.

Локальні групи існують у базі даних SAM на локальних комп’ютерах (на всіх комп’ютерах під керуванням Windows), за винятком контролерів домену. Локальні групи використовуються для керування правами та дозволами лише на ресурси на локальному комп’ютері.

Використання груп безпеки для керування доступом вирішує такі проблеми. Використання груп безпеки:

  • Спрощує адміністрування. Ви можете призначити загальний набір прав, загальний набір дозволів або те й інше багатьом обліковим записам одночасно, замість того, щоб призначати їх кожному окремо. Крім того, коли користувачі передають завдання або залишають організацію, дозволи не прив’язуються до їхніх облікових записів користувачів, що полегшує перепризначення або видалення дозволів.
  • Дозволяє реалізувати модель керування доступом на основі ролей для надання дозволів за допомогою груп із різними областями (локальними, глобальними, локальними в домені та універсальними) для відповідних цілей.
  • Зменшує розмір списків контролю доступу (ACL) і прискорює перевірку безпеки. Група безпеки має власний SID; отже, SID групи можна використовувати для визначення дозволів для ресурсу. У середовищі з кількома тисячами користувачів, якщо SID окремих облікових записів користувачів використовуються для визначення доступу до ресурсу, ACL цього ресурсу може стати некеровано великим, а час, необхідний системі для перевірки дозволів на ресурс, може стати неприйнятним.

Технології, пов’язані з принципалами безпеки

Принципали безпеки тісно пов’язані з наведеними нижче компонентами та технологіями Windows Server 2003.

Компоненти авторизації та контролю доступу

  • SIDs. Кожному принципалу безпеки автоматично призначається SID під час його створення.
  • Маркери доступу. Після входу користувача в систему та його автентифікації система створює маркер доступу для користувача, який містить SID користувача, SID усіх доменних і локальних груп безпеки, членом яких є користувач, і деякі добре відомі SID. . Кожен процес, який створює користувач, успадковує маркер доступу користувача, який потім використовується для визначення того, чи надавати цьому користувачеві доступ до системного ресурсу в даному сеансі входу.
  • Дескриптори безпеки та ACL. Дескриптор безпеки — це структура даних, пов’язана з кожним захищеним об’єктом. Дескриптор безпеки містить дискреційний список керування доступом (DACL) із SID для користувачів і груп, яким дозволено або заборонено доступ до цього об’єкта.
  • Дозволи. Дозволи на доступ до захищених об’єктів, таких як об’єкти Active Directory, файли та налаштування реєстру, надаються принципалам безпеки.

Аутентифікація

Облікові записи та групи безпеки, створені в домені Active Directory, зберігаються в базі даних Active Directory і керуються за допомогою інструментів Active Directory.

На наступній діаграмі показано процес авторизації та керування доступом Windows Server 2003. На цій діаграмі
суб’єкт (потік у процесі, ініційованому користувачем) намагається отримати доступ до об’єкта, наприклад до спільної папки. Інформація в маркері доступу користувача порівнюється із записами керування доступом (ACE) у дескрипторе безпеки об’єкта, і приймається рішення щодо доступу.
Ідентифікатори SID учасників безпеки використовуються в токені доступу користувачів і в ACE в дескрипторі безпеки об’єкта.

Джерело

Translate »