Exportovat (0) Tisk
Rozbalit vše
Expand Minimize

Správce zabezpečení účtů (SAM)

K čemu slouží Správce zabezpečení účtů?

Správce zabezpečení účtů je databáze, která se nachází na serverech se systémem Windows Server 2003, ve které jsou uloženy uživatelské účty a popisovače zabezpečení pro uživatele používající místní počítače.

Koho se tato funkce týká?

Tato funkce je určena pro odborníky z oblasti IT, kteří chtějí zjistit chování součásti SAM při zavádění nebo řešit potíže s touto součástí. Řešení potíží může vyžadovat stažení dalších nástrojů. Toto téma se také týká vývojářů s licencemi na protokoly SAMR a LSAR a vývojářů, kteří používají programovací rozhraní TAPI architektury LSA (Local Security Architecture).

Jaké nové funkce byly přidány k této funkci v aktualizaci Service Pack 1 pro systém Windows Server 2003?

Protokolování SAM WPP

Podrobný popis

Protokoly ladění Správce zabezpečení účtů (SAM) je možné během zavádění shromažďovat pomocí preprocesoru sledování softwaru Windows (WPP). Preprocesor WPP je možné použít ke shromažďování informací o tom, co dělá součást SAM během doby, kdy se systém Windows nechová podle očekávání. Tyto informace je možné využít u Služeb odborné pomoci společnosti Microsoft, k tomu aby se vám dostalo pomoci při řešení potíží při zavádění.

Proč je tato změna důležitá? Jaká nebezpečí zmírňuje?

V případě, že jsou informace v protokolu dostačující k určení toho, co se děje, může snížit počet živých relací ladění.

Co funguje jinak?

Nic nefunguje jinak. Pro generování protokolování byla aktivována nová funkce. V následující části uvádíme příkazy logman, které je možné použít k zapnutí protokolování:

logman create trace samlog -p "{f2969c49-b484-4485-b3b0-b908da73cebb}" 3
logman start samlog
rem repeat action that is interesting and that should be captured in log
logman stop samlog

Bude generován rozšířený protokol transakcí (ETL), který bude pracovník odborné pomoci schopen analyzovat pomocí sady symbolů ladění.

Jaké nastavení bylo přidáno nebo se změnilo v aktualizaci Service Pack 1 pro systém Windows Server 2003?

Byla přidána nová položka sledování událostí pro systém Windows (ETW): f2969c49-b484-4485-b3b0-b908da73cebb. Tato položka odráží, zda bylo pro součást SAM aktivováno protokolování. Novou položku obsahuje následující příklad výstupu protokolu tracelog –enumguid.

    Guid                     Enabled  LoggerId Level Flags
-----------------------------------------------------------
1046d4b1-fce5-48bc-8def-fd33196af19a     FALSE  0    0    0
5007c7b1-1444-4303-bdbe-359c79fc032a     FALSE  0    0    0
7e4b70ee-8296-4f0f-a3ba-f58ef7bb4e96     FALSE  0    0    0
77db410c-561e-4358-8b0e-af866e91bb89     FALSE  0    0    0
dd5ef90a-6398-47a4-ad34-4dcecdef795f     FALSE  0    0    0
196e57d9-49c0-4b3b-ac3a-a8a93ada1938     FALSE  0    0    0
1540ff4c-3fd7-4bba-9938-1d1bf31573a7     FALSE  0    0    0
94a984ef-f525-4bf1-be3c-ef374056a592     FALSE  0    0    0
3121cf5d-c5e6-4f37-be86-57083590c333     FALSE  0    0    0
94335eb3-79ea-44d5-8ea9-306f49b3a04e     FALSE  0    0    0
4a8aaa94-cfc4-46a7-8e4e-17bc45608f0a     FALSE  0    0    0
f33959b4-dbec-11d2-895b-00c04f79ab69     FALSE  0    0    0
8e598056-8993-11d2-819e-0000f875a064     FALSE  0    0    0
f2969c49-b484-4485-b3b0-b908da73cebb     FALSE  0    0    0
cc85922f-db41-11d2-9244-006008269001     FALSE  0    0    0
c92cf544-91b3-4dc0-8e11-c580339a0bf8     FALSE  0    0    0
bba3add2-c229-4cdb-ae2b-57eb6966b0c4     FALSE  0    0    0
8fc7e81a-f733-42e0-9708-cfdae07ed969     FALSE  0    0    0
cddc01e2-fdce-479a-b8ee-3c87053fb55e     FALSE  0    0    0
6acd39eb-4cb0-486b-83fa-307aa23767b1     FALSE  0    0    0
65f67abd-ecd2-4501-9b10-d48db2300e6c     FALSE  0    0    0
28cf047a-2437-4b24-b653-b9446a419a69     FALSE  0    0    0
fc4b0d39-e8be-4a83-a32f-c0c7c4f61ee4     FALSE  0    0    0
fc570986-5967-4641-a6f9-05291bce66c5     FALSE  0    0    0
39a7b5e0-be85-47fc-b9f5-593a659abac1     FALSE  0    0    0
dab01d4d-2d48-477d-b1c3-daad0ce6f06b     FALSE  0    0    0
58db8e03-0537-45cb-b29b-597f6cbebbfe     FALSE  0    0    0
58db8e03-0537-45cb-b29b-597f6cbebbfd     FALSE  0    0    0

Ochrana před narušením popisovačů SAM a LSA

Podrobný popis

Při implementaci protokolů SAMR a LSAR na straně serveru jsou nyní implementovány bezpečnostní kontroly k zajištění toho, že aktuální volající je stejný jako ten, který otevřel první popisovač vrácený postupně z SamConnect a LsaOpenPolicy.

Protokol SAMR (Security Account Manager Remote Procedure Call) je zabudovaný podsystém, který slouží k provádění operací správce účtu vzdálené služby, jako je správa uživatelských účtů, a k manipulaci s nimi. Rozhraní SAMR definuje metody vzdáleného volání procedur SAM (Security Account Manager), které jsou volány klientem. SamConnect je funkce, která slouží k připojení k databázi SAM.

Proč je tato změna důležitá?

Tato změna souvisí se změnami služby Vzdálené volání procedur (RPC), které pomáhají zamezit riziku napadení za použití zvýšení oprávnění ve vašem systému. Implementace této změny v rozhraních služby Active Directory pomáhá lépe zabezpečit váš systém při výchozím nastavení.

Co funguje jinak?

Pokud vaše aplikace používá protokoly SAMR nebo LSAR, provádí se kontroly přístupu u každého přijatého volání a ověření, že identita klienta, který otevírá popisovač kontextu, je stejná jako identita klienta, který provádí volání. Pokud daná aplikace tuto konvenci nepoužívá, nebude již dále po instalaci aktualizace Windows Server 2003 Service Pack 1 (SP1) fungovat.

Jak lze tyto problémy vyřešit?

Všechna volání metod SAMR a LSAR musí být ve stejném bezpečnostním kontextu jako volání, které generovalo popisovač kontextu použitý při volání. Pokud nejsou stejné, je třeba upravit aplikaci tak, aby byla v souladu s tímto požadavkem.

Je nutné změnit kód, aby bylo možné pracovat se systémem Windows Server 2003 s aktualizací Service Pack 1?

Většinu aplikací nebude nutné měnit. Pokud však kód aplikace přepíná kontexty zabezpečení při použití popisovačů kontextů získaných z rozhraní SAMR a LSAR, bude nutné ji upravit. Pokud aplikace používá některé z následujících rozhraní API, ověřte u vývojáře aplikace, že se bezpečnostní kontext volání nezmění mezi voláním LsaOpenPolicy a jakýmkoli následným voláním rozhraní API architektury LSA, které používá popisovač vrácený z LsaOpenPolicy.

  • LsaOpenPolicy
  • LsaQueryInformationPolicy
  • LsaSetInformationPolicy
  • LsaQueryDomainInformationPolicy
  • LsaSetDomainInformationPolicy
  • LsaEnumerateTrustedDomains
  • LsaLookupNames
  • LsaLookupNames2
  • LsaLookupSids
  • LsaEnumerateAccountsWithUserRight
  • LsaEnumerateAccountRights
  • LsaAddAccountRights
  • LsaRemoveAccountRights
  • LsaOpenTrustedDomainByName
  • LsaQueryTrustedDomainInfo
  • LsaSetTrustedDomainInformation
  • LsaDeleteTrustedDomain
  • LsaQueryTrustedDomainInfoByName
  • LsaSetTrustedDomainInfoByName
  • LsaEnumerateTrustedDomainsEx
  • LsaCreateTrustedDomainEx
  • LsaQueryForestTrustInformation
  • LsaSetForestTrustInformation
  • LsaForestTrustFindMatch
  • LsaStorePrivateData
  • LsaRetrievePrivateData
Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft