Разрешенията за записване са в основата на контрола на достъпа в Windows, Windows IT Pro

Научаване как да прилагате най-важния метод за удостоверяване.

Подсистемата за контрол на достъпа на Windows, която определя кои потребители имат достъп до определени ресурси, се основава на концепциите за разрешения и потребителски права. Разрешенията са свързани с обекти - например разрешения за отпечатване на файл, създаване на папка и добавяне на потребителски обект към Active Directory (AD). Потребителските права са свързани със системата Windows като цяло - например правото на потребителя да влезе в Windows или да промени системния часовник.

Регистрационни права - голямата картина

Windows Server 2003 и Windows XP дефинират 10 различни разрешения, които можете да използвате, за да контролирате различни типове опити за удостоверяване на локални и домейн потребители на Windows системи. Правата за влизане също обхващат процедури за удостоверяване на потребителя, включително влизане в FTP услуга, базирана на Windows. Например, за да сте сигурни, че даден потребителски акаунт е влязъл в FTP услуга, базирана на Windows, трябва да предоставите на акаунта Локално влизане направо в системата Windows, хостваща FTP услугата. Windows 2000 въведе правото на „отказване“ на влизане. Windows 2003, XP и Windows 2000 Service Pack 2 (SP2) и по-нови поддържат права за влизане за терминални услуги.

  • Локално влизане позволява на потребителите да влизат в Windows с помощта на клавишната комбинация Ctrl+Alt+Del или от началния екран. В Windows този метод за влизане се нарича локален или интерактивен. Потребителите на Windows 2000 се нуждаят от това право, за да влязат през терминалните услуги.
  • Достъпът до този компютър от мрежата позволява на потребителите да се свързват с компютъра чрезнето. Това право е необходимо за всички потребители, които искат достъп до отдалечена система за достъп до файл, папка, приложение или друг ресурс. В Windows този метод за влизане се нарича мрежово или неинтерактивно влизане.
  • Влизането като пакетно задание позволява на потребителите да влизат, за да изпълняват пакет от команди. Това право се използва в Windows Task Scheduler и някои други услуги за регистриране на потребители. Scheduled Tasks автоматично предоставя това право при необходимост – в моменти, когато трябва да се изпълни планирана задача.
  • Влизане като услуга позволява на принципал за сигурност да се регистрира като услуга. Това право позволява на услугите на Windows системи да работят във фонов режим. Акаунтите за системни и мрежови услуги на самостоятелни системи и сървъри, които са членове на домейни, получават това право по подразбиране. Ако се използва друг специален запис за стартиране на услугата, трябва изрично да му присвоите това право.
  • Разрешаване на влизане чрез терминални услуги указва кои потребители могат да влизат с помощта на терминални услуги или клиента за отдалечен работен плот.
  • Локалният отказ за влизане не позволява на потребителя да влезе от клавиатурата на компютъра или началния екран. Това право има предимство пред локалното право на влизане.
  • Отказът на достъп до този компютър от мрежата не позволява на потребителя да се свърже с компютъра през мрежата. Това право има предимство пред правото за достъп до този компютър от мрежата.
  • Отказът за влизане като услуга не позволява на принципала за сигурност да се регистрира като услуга, за да формира контекст на сигурността. Това право има предимство пред правото за влизане като услуга.
  • Отказът за влизане като пакетно задание не позволява на потребителя да влезе като пакетен файл;то има предимство пред правото на влизане като пакетно задание.
  • Отказът за влизане през терминални услуги не позволява на потребителя да влезе с терминални услуги или отдалечен работен плот; това право има предимство пред правото Разрешаване на влизане през терминални услуги.

Правата за отказ за влизане са полезни в големи мрежи на Windows. Например, ако искате да предоставите право на достъп до този компютър от мрежата на всички, освен на два конкретни акаунта. В този случай е много по-лесно да присвоите на групата Удостоверени потребители правото Достъп до този компютър от мрежата и на два отделни акаунта правото Отказ на достъп до този компютър от мрежата, вместо да дефинирате всички акаунти, които имат достъп, като ги групирате в специална група и след това присвоите на тази група правото Достъп до този компютър от мрежата.

Управление на правата за записване в Windows

Можете да използвате инструмента Local Security Policy (само за самостоятелни системи) или конзолата за управление на Microsoft (MMC) добавка за обект на групова политика (самостоятелни компютри и системи, членове на домейни), за да присвоите и управлявате права за влизане в Windows. Комплектите ресурси за Windows 2003 и Windows 2000 предоставят два инструмента за команден ред, които ви помагат да управлявате правата за влизане: NTRights (ntrights.exe) и ShowPriv (showpriv.exe).

Инструментът за локална политика за сигурност може да бъде достъпен от раздела Административни инструменти на контролния панел (меню Старт, Настройки, Контролен панел, Административни инструменти, Локална политика за сигурност). В прозореца Локални настройки за защита правата за регистрация се присвояват чрез разширяване на контейнерите Настройки за защита, Локални правила, Присвояване на потребителски права (Екран 1).

За достъп до конзолната добавка за групови правила, стартирайте MMC, след което заредетещракам. За да управлявате правата за влизане в автономни системи, изберете Обект на групови правила за локален компютър (GPO); за да управлявате правата за влизане на домейн контролери (DC), трябва да изберете GPO за домейн контролери по подразбиране. В конзолната добавка за обект на групова политика можете да зададете права за записване, като разширите контейнерите Конфигурация на компютъра, Настройки на Windows, Настройки за защита, Локални правила, Присвояване на потребителски права (Дисплей 2).

Можете да използвате помощната програма NTRights, за да предоставяте и отнемате потребителски права на Windows (както права за влизане, така и привилегии) ​​на потребители и групи на локален или отдалечен компютър. Например, за да дадете на акаунта ServiceAccount1 Влизане като услуга направо на компютъра MyComputer, изпълнете следната команда:

Можете да отмените правото на достъп до този компютър от мрежата за групата Удостоверени потребители, като използвате командата

Помощната програма ShowPriv може да показва потребители и групи, на които е присвоено конкретно потребителско право само в локалната система. Например, за да намерите потребители и групи, които имат локално влизане в дадена система, изпълнете командата

Оптимални процедури

За удобство на контрола на достъпа концепцията за групи е внедрена в Windows. Вместо да присвоявате разрешения и права на много отделни потребители, е много по-лесно да организирате потребителите в групи и след това да присвоявате разрешения и права на групи. Той също така опростява управлението на правата за регистрация.

Друга ефективна техника е да присвоите потребителски права на домейн, а не на локални акаунти. С локален акаунт потребителят може да заобиколи централизираната политика за сигурност, прилагана на ниво домейн на Windows. какКакто е отбелязано в статията „Всичко е въпрос на доверие“, винаги трябва да се опитвате да използвате домейни на Windows, независимо от размера на мрежата.

Също така е добра идея да дадете на сервизните акаунти разрешения за отказ на влизане локално, отказ на достъп до този компютър от мрежата и отказ на влизане чрез разрешения за терминални услуги, когато е възможно. Винаги трябва да следвате принципа на най-малко достатъчни привилегии. В контекста на правата за влизане това означава, че на акаунта за услуга трябва да бъдат присвоени само правата за влизане, от които се нуждае, за да работи.

Може да откриете, че стандартните права за регистрация, изброени в таблица 1, не са достатъчно силни. За да блокирате присвоените права за записване, ви препоръчваме да предприемете следните стъпки:

  • Отменете влизането локално точно за групите Потребители, Опитни потребители и Гост на сървъри, които са членове на домейни.
  • Отменете правото за достъп до този компютър от мрежата за групата Удостоверени потребители на отделни сървъри и домейн контролери.

Права за регистрация и дневници на събития

Регистърът на събитията на Windows изброява събитията за проверка на влизане, които се отнасят до правата за влизане. Прегледът на одитните събития е полезен при диагностициране на проблеми с удостоверяването на Windows. За да генерирате събития за влизане при одит, трябва да активирате режима на събития при влизане в акаунта за одит (както успешни, така и неуспешни) в правилата за одит за автономната система или домейн.

Най-голям интерес за администратора представлява полето Logon Type. Екран 3 показва регистрационно събитие с ID 540, което показва успешна регистрация. В полето Описание можете да видите полето Тип влизане, съдържащо стойност 3, което показва, че влизането е било успешно чрез онлайн влизане. Полето Тип влизане съдържа стойност 2(интерактивно влизане), 3 (влизане в мрежа), 4 (групово влизане) или 5 (регистрация на услуга). Най-често срещаните стойности за тип на влизане са 2 и 3. Тип на влизане 2 в регистрационните файлове на Event Viewer показва, че някой е влязъл интерактивно в системата. Вход тип 3 означава, че някой се е опитал да получи достъп до компютърните ресурси през мрежата. Тип влизане 4 показва, че услугата Планировчик на задачи изпълнява скрипт или програма в пакетен режим. Вход тип 5 означава, че услугата Windows е стартирана от името на конкретен потребителски акаунт.

Мощен инструмент за контрол на достъпа

Правата за влизане в Windows са важен компонент на сигурността на Windows. Заедно с потребителските привилегии, те предоставят мощен метод за контролиране на потребителския достъп до Windows системи. Методите, описани в тази статия за присвояване на права за регистриране и използване на регистъра на събитията за идентифициране на проблеми, осигуряват високо защитен достъп до Windows системи.

Фигура 1: Използване на инструмента за локална политика за сигурност за присвояване на права за записване

Фигура 2: Използване на конзолната добавка за групови правила за присвояване на права за записване.

Фигура 3: Одитно събитие за успешно влизане.

Споделяйте материал с колеги и приятели