Controllo di protezione Gli oggetti ed entità di protezione
Jesper M. Johansson
Contenuto
Le tuple soggetto, oggetto e azione
Tipi di entità di protezione
Servizi
Disposizione dei
Livello a più semplice, tutti gli elementi protezione boils verso il basso a oggetti e oggetti. Gli oggetti sono le operazioni di protezione e oggetti sono le operazioni di che proteggere gli oggetti di. Tali costrutti due vengono utilizzati in (attestazione che sono autenticazione, autorizzazione (concessione dell'accesso a un valore diverso da) e controllo (verifica che ha accesso quali). Fondamentalmente, questi concetti sono molto semplici, come illustrato nella Figura 1 .
.gif)
Figura 1 un utente tenta leggere un file
Gli oggetti sono cose che eseguire operazioni, mentre gli oggetti sono le operazioni vengano. Inoltre, in alcuni casi gli oggetti per cui gli oggetti eseguire operazioni sono altri oggetti.
Windows supporta alcune semantica immensely RTF quando riguarda protezione e concesso notevolmente le definizioni degli oggetti e gli oggetti. Un oggetto può essere molto più solo a un utente e la rappresentazione è molto più complessa rispetto solo un identificatore di utente di base.
In Windows denominato, un'entità di protezione comprende non solo il tipico argomento (ciò che si potrebbe pensare di come utente) ma anche i gruppi e computer. Un'entità di protezione è che può essere assegnato un identificatore di protezione (SID) e concessa l'autorizzazione per accedere a un elemento.
In questo aggiornamento del controllo di protezione, l'assegnazione un'introduzione alla come argomenti sono rappresentati e utilizzato in Windows.
Le tuple soggetto, oggetto e azione
Gestione della protezione molto spesso riguarda l'oggetto o l'oggetto verso il basso o tupla di azione. L'oggetto è l'attore che sta tentando di eseguire alcune azione su un oggetto. Ad esempio, un utente potrebbe tentare di accedere un file, come illustrato nella Figura 1 . Quando un utente tenta di leggere il file, il sistema operativo deve controllare se autorizzazioni vengono impostati sull'oggetto (file) che consente l'oggetto (utente) per eseguire l'azione (lettura) su tale oggetto specifico. Se le autorizzazioni sono in ordine, la richiesta di accesso ha esito positivo. Se le autorizzazioni non sono in ordine, la richiesta di accesso verrà negata. Finora, questo è tutti molto semplice.
Importante case
In documentazione di Windows quando le parole "Administrator" o "Administrators" con un carattere maiuscolo A, questo in genere intende l'utente o gruppo, rispettivamente. Quando viene visualizzato è stato digitato in tutti i caratteri minuscoli, ovvero "amministratore", fa riferimento a un account utente o persona che dispone di privilegi amministrativi. Lo stesso contiene per altre entità, ad esempio "guest e guest.
Tipi di entità di protezione
Argomenti, o identità di protezione, come deve henceforth fare riferimento a essi, in un sistema basato su Windows e dall'estensione di una rete basate su Windows, possono essere molto più solo gli utenti. Tuttavia, l'utente è ancora il concetto di base.
gli utenti Un utente è alcuni entità distinte che accede a un computer. Fondamentalmente, tutte le identità di protezione almeno piuttosto sono correlate agli utenti. In Windows, possono esistere due tipi di utenti: locali e di dominio. Un utente locale è definito nel database Gestione account di protezione (SAM) locale in un computer. Ogni computer basati su Windows ha SAM, che contiene tutti gli utenti del computer locale.
Comunemente è considerato che i controller di dominio (DC) non sono necessario una SAM locale e agli utenti di conseguenza non locali. Questo, tuttavia, è errato. Anche un controller di dominio ha una SAM locale, ma i conti nel relativa SAM possono essere utilizzati solo in modalità ripristino servizi directory.
SAM locale contiene sempre almeno due account utente: l'amministratore e il Guest e l'account Guest è disattivata sempre per impostazione predefinita.
Su tutte le versioni di Windows Server 2008 (ad eccezione di Windows Small Business Server 2008), l'account amministratore è abilitato per impostazione predefinita ed è necessario utilizzare questo account la prima volta che accede al computer. In Windows Vista, l'account dell'amministratore è disattivato per impostazione predefinita e può essere utilizzato solo in casi molto restrittive.
In entrambi i casi, è necessario creare almeno due account per ogni persona verrà amministrare un determinato computer. Se sono soggetti a quasi tutti i tipi di regolazione (e si è probabilmente, si tratta di un requisito. Per ciascun utente, account uno è in deve di essere l'account amministrativo personali dell'utente. L'altro account è account non amministrativi personali dell'utente per le attività non amministrative.
gli utenti che sono locali non sono gli utenti del dominio È possibile definire gli utenti nel controller di dominio per il dominio. La differenza tra account locali e di dominio è principalmente l'ambito dei conti. Account di dominio possono utilizzarlo in qualsiasi computer nel dominio sono validi solo nel computer in cui sono definiti gli account locali. Inoltre, gli account di dominio possono dispongono del numero decisamente maggiore di proprietà associate a tali rispetto a locale account (vedere figure 2 e 3 per il confronto).
.gif)
Nella figura 2 finestra Proprietà relativa a un account locale
.gif)
Nella figura 3 finestra proprietà di un account di dominio
Account di dominio dispongono di un insieme più ampio di semantica, coprire vari attributi in un ambiente organizzativo, ad esempio numeri di telefono e le relazioni di Gestione account di posta elettronica. Account di dominio sono inoltre molto più utili in una rete poiché possono essere utilizzati e assegnare autorizzazioni nei computer attraverso la rete. Inoltre, definisce gli account in dominio semplifica gestione durante la ora è sufficiente gestire l'account in un'unica posizione.
computer Un computer è infatti un altro tipo di utente. In Active Directory, questo è particolarmente true e borne fuori dal modello di ereditarietà. La struttura di ereditarietà iniziale a un computer è illustrata nella Figura 4 .
.gif)
Nella figura 4 la gerarchia di ereditarietà in Active Directory con la correlazione tra utenti e computer
Esistono varie operazioni molto interessante illustrati nella Figura 4 . In primo luogo, come può notare, tutte le classi di Active Directory derivano dalla classe principale denominata superiore. Infatti, anche superiore viene considerato una sottoclasse di primo piano. In secondo luogo, l'utente classe deriva dalla classe organizationalPerson. Terzo, e questo è il punto più interessante, la classe computer deriva dalla classe utente. In altre parole, in denominato orientato a oggetti, un computer è un tipo di utente. Anthropomorphizing computer in questo modo effettivamente verificare molto utile, tuttavia, quanto computer è necessario essere considerato come argomenti nonché e avere quasi gli stessi attributi come un utente.
i gruppi Un oggetto, verrà richiamare, è che tenta di accedere a un oggetto. Il sistema operativo verificata il tentativo di accesso tramite controllo autorizzazioni dell'oggetto. Molto presto in finestre di progettazione del sistema operativo realizzato che sarebbe molto difficoltoso per assegnare autorizzazioni a ogni singolo oggetto per ogni singolo utente necessario. Per risolvere questo problema, le finestre di progettazione consentito per i membri dei gruppi utenti. Questo consente di assegnare autorizzazioni a gruppi oltre a utenti.
Un utente non può essere un gruppo, ma un gruppo è ancora un tipo di entità di protezione perché dispone di un identificatore, come utenti e computer. In Windows, un utente può essere un membro del numero di gruppi e un oggetto può disporre di autorizzazioni assegnati per numero di gruppi. I gruppi nidificati sono inoltre consentiti, con alcune limitazioni.
Un controller di dominio non è disponibili solo due tipi di gruppi, gruppi incorporati e gruppi locali che l'amministratore ha definito. In Active Directory, tuttavia, sono disponibili sei diversi tipi di gruppi di protezione: gruppi locali di dominio incorporati, gruppi globali incorporati gruppi universali incorporati, gruppi locali di dominio definito dall'utente, definito-user groups globale e gruppi universali definita dall'utente.
Gruppi locali di dominio possono solo assegnare autorizzazioni alle risorse all'interno del dominio in cui sono definiti. Possono, tuttavia contenere gli utenti, gruppi globali e universali da qualsiasi dominio trusted o un insieme di strutture e gruppi locali di dominio dal proprio dominio.
Un gruppo globale può contenere solo gli utenti e gruppi globali di dominio in cui è stato definito, tuttavia talvolta può rappresentare assegnate autorizzazioni a risorse di qualsiasi dominio nell'insieme di strutture del dominio è in parte o qualsiasi insieme di strutture trusting.
Un gruppo universale può contenere gli utenti e gruppi universale e Global di qualsiasi dominio. Un gruppo universale può essere assegnato autorizzazioni alle risorse di qualsiasi dominio o insieme di strutture trusting. In altre parole, un gruppo universale è un tipo di ibrido tra i gruppi locali di dominio e Global.
Mentre una workstation è dotato solo due gruppi per impostazione predefinita, gli utenti dei gruppi Administrators e Guests, ovvero un dominio dotato di un numero relativamente elevato, di tutti e tre i tipi. Figura 5 Mostra i gruppi predefiniti in un dominio. Tutti i vengono utilizzati come gruppi di protezione, che significa che è possibile assegnare autorizzazioni. (Gruppi di protezione non devono essere confuso con i gruppi di distribuzione che vengono utilizzati da Microsoft Exchange Server per raggruppare gli utenti in elenchi di posta elettronica. Entrambi sono definiti in Active Directory.) I gruppi locali presenti su tutti i computer basati su Windows vengono definiti in Active Directory sul controller di dominio.
Nella figura 5 predefinito gruppi definiti nel contenitore Users in Active Directory
Come con i controller di dominio, alcuni controller di dominio non hanno numeri di grandi dimensioni di nonché i gruppi. Figura 6 Mostra 16 gruppi incorporati in un computer dedicato al testing. Il numero esatto di gruppi in qualsiasi computer specificato verrà variano a seconda i ruoli che è stato installato nel computer.
Nella figura 6 gruppi incorporati su un controller di dominio non fare clic su Immagine per una visualizzazione ingrandita
Se si dovesse tenta di assegnare autorizzazioni a un oggetto, è necessario trovare ancora più gruppi oltre a ciò che sono visualizzati finora. In realtà, in un controller di dominio base, è non necessario trovare gruppi meno di 63 e il entità di protezione incorporata, illustrato nella Figura 7 .
Molti dei gruppi 63 illustrati nella Figura 7 sono concetti astratti, che a volte sono noti come "identità speciali", che rappresentano un gruppo dinamico di entità di protezione. Sono anche a volte detto anche categorie di accesso.
gruppi di accesso I gruppi di accesso sono gruppi che rappresentano alcuni aspetti dinamici di un titolo principale, come come un utente o altre entità di protezione ha effettuato l'accesso. Ad esempio, il gruppo INTERACTIVE illustrato nella Figura 7 include tutti gli utenti connessi alla console del computer e tramite Servizi terminal. Al contrario, il gruppo di rete include tutti gli utenti connessi tramite la rete. Per definizione, un utente può essere solo un membro di uno di questi gruppi alla volta e appartenenza a essi viene assegnato all'accesso. È possibile utilizzare questi gruppi per concedere autorizzazioni per tutti gli utenti accedono a un determinato modo ma non è possibile controllare che diventa un membro di questi gruppi.
Nella figura 7 di base controller di dominio non prevede 63 meno di gruppi e identità di protezione incorporate
Esistono altri gruppi di questo tipo. In particolare sono il gruppo Everyone e il gruppo Authenticated Users. Il gruppo Everyone include, come lascia intuire il nome, ogni utente l'accesso a questo computer, con l'eccezione che, a partire da Windows XP, completamente anonima non autenticati gli utenti non sono inclusi. In altre parole, l'utente NULL infamous non è incluso in tutti gli utenti in qualsiasi sistema operativo di basate su Windows supportato. Anche se vengono inclusi, Guest.
Il gruppo Authenticated Users, mentre compilato anche in modo dinamico, include solo gli utenti vengono autenticati effettivamente. Di conseguenza, gli ospiti non sono inclusi gli utenti autenticati. Che è la differenza sola tra queste due categorie. Ma dopo l'unico account guest presente nel sistema operativo è disattivato, non è alcuna differenza funzionale tra gli utenti autenticati e tutti gli utenti a meno che non eseguita procedure manuali per abilitare l'account Guest, in questo caso, probabilmente, si desidera che ospiti per poter accedere alle risorse, e pertanto necessario il gruppo Everyone intatti.
Malgrado di, molti amministratori perse molte ore di sospensione sul fatto che "tutti gli utenti del mondo presenta autorizzazioni sul server" e sono operazioni molto bruschi per modifica autorizzazioni per risolvere questo problema. Queste modifiche sono in genere completamente disastrous risultati. È non necessario alcun motivo alcuno provare a sostituire autorizzazioni per tutti gli utenti con gli utenti autenticati. Oppure si desidera che gli ospiti disporre di autorizzazioni al computer e si attiva l'account guest o non e si lascia disattivato l'account guest. Se si desidera che gli ospiti disporre di autorizzazioni, è necessario le autorizzazioni per il gruppo Everyone. In caso contrario, il gruppo Everyone non è qualsiasi diverso da utenti autenticati.
Alcuni utenti affermare che queste modifiche sono le modifiche di "difesa in profondità". Che sarà true se è definito "difesa in profondità" come "modificato che è impossibile giustificare altro modo". Il fatto è che tali modifiche forniscono richiedendo nessuna o limitata scrittura miglioramento di protezione durante l'esecuzione di un rischio di dimensioni molto grande. Lasciare singolarmente le impostazioni predefinite.
Se tale argomento non era sufficiente persuasiva, è possibile indirizzare è a (885409 articolo della Microsoft Knowledge Base "Supporto di istruzioni del configurazione di protezione"). Indica, in istantaneamente che sostituzione all'ingrosso autorizzazioni possono essere annullati il contratto di assistenza. Quando in tal caso, è fondamentalmente creare il proprio sistema operativo in uso e Microsoft non sarà più possibile garantire che funziona.
È inoltre opportuno verso fuori la differenza tra utenti, è un gruppo predefinito e gli utenti autenticati. La differenza è piuttosto ovvia che gli utenti autenticati include tutti gli utenti che sono autenticati al computer, inclusi gli utenti in domini diversi, gli utenti che sono membri dei gruppi locali diverso da utenti e utenti che non sono membri dei gruppi in tale un elemento (Sì, è possibile. Ciò significa che al gruppo utenti è molto, molto più restrittivo rispetto gli utenti autenticati.
Malgrado di questo fatto, HO visto organizzazioni eliminare le proprie reti tentando di sostituire le autorizzazioni per gli utenti con autorizzazioni per Authenticated Users nel tentativo di "protezione avanzata dei sistemi". È possibile avere argued endlessly con revisori PCI/DSS clueless che dichiara che il settore della scheda pagamento è necessario sostituire tutte le autorizzazioni per gli utenti con gli utenti autenticati. Semplicemente non ha valore true.
Inoltre avere defended organizzazioni di tutto il mondo da consulenti che sembrano visualizzare sostituzione di elenco (ACL, Access Control List) di controllo accesso all'ingrosso un ottimo modo per rack riportate ore fatturabili. Inutile dire che è possibile prevedere i tentativi di wholesale sostituzione di utenti o tutti gli utenti con gli utenti autenticati da gran parte non riuscito relativamente a protezione e stabilità.
Servizi
Windows Vista e Windows Server 2008 supportano un nuovo tipo di entità di protezione: un servizio. Per comprendere come queste entità sono utili, si prenda ad esempio la polemica sui firewall basato su host in corso. Molti utenti supportati rapido da fornitori vendere i prodotti affermare che i firewall basato su host devono filtrare il traffico in uscita sia utile perché questo protegge il resto della rete da un computer compromesso. Minds più obiettivo viene sottolineare che, se un computer è compromessa, il malware è già presente nel computer e in pertanto al malware è in grado di ignorare o disattivare completamente il firewall basato su host.
Per comprendere perché questo è il caso, prendere in considerazione due servizi in esecuzione come entità protezione stesso. È consentito comunicare attraverso il firewall Service B non è un servizio. Se Service B è compromessa, l'intruso potrebbe ignorare tale restrizione semplicemente eseguendo su un altro processo in esecuzione come questa protezione principale, un servizio, per l'istanza e comunicare invece da tale processo.
Per risolvere questo problema, in Microsoft è necessario un modo per applicare autorizzazioni a un processo o in particolare, a un servizio. A tale scopo, servizi è diventato entità di protezione nella propria destra. E di conseguenza, ogni servizio è ora un identificatore che può essere utilizzato per applicare autorizzazioni con. È possibile eseguire il comando "sc showsid" dalla riga di comando per visualizzare il SID di servizio per qualsiasi servizio.
Con SID di servizio, è possibile limitare l'accesso alle risorse per i processi specifici, in contrapposizione all'solo limitando l'accesso per utenti specifici. Questa modifica consente i filtri firewall basato su host in uscita significativo, in alcune situazioni. La natura esatta di queste situazioni è rientra nell'ambito di questa discussione, ma se si desidera leggere ulteriori informazioni su questo, è possibile suggerire che leggere l'articolo che HO scritto su firewall di Windows Vista nel numero di giugno 2008 di TechNet Magazine (vedere la "Gestione dei firewall di Windows Vista").
Disposizione dei
Entità di protezione soggiacciono gran parte delle protezione di Windows è essenziale per gli amministratori conoscere almeno una base funzionamento i vari tipi di entità di protezione e su come vengono utilizzate. Comprendendo solo questi argomenti può è efficace creare una strategia di protezione che utilizza in modo efficiente le entità di protezione. Queste informazioni saranno utili quando è necessario contrastare pointless argomenti da persone non completamente comprendere entità di protezione e prevede di endanger lo stato della rete con le modifiche non necessarie e non appropriate.
In questo articolo si basa su materiale nel mio libro Windows Server 2008 protezione Resource Kit (Microsoft Press) .
Jesper Johansson m è architetto software di protezione principale per una società di aziende Fortune 200 nota, lavorando obiettivi di protezione di base dei rischi e strategia di protezione. È inoltre un redattore di TechNet Magazine. Suo lavoro è costituito da garantire la protezione in alcuni dei sistemi più grandi e più distribuiti nel mondo. Contiene un Ph.d in Management Information Systems, ha oltre 20 anni esperienza nella protezione di ed è un MVP di protezione dell'organizzazione. Il suo ultimo libro è Resource Kit di Windows Server 2008 protezione.