Sunday, July 22nd, 2018

Контроль доступа к ресурсам

Published on Февраль 4, 2009 by   ·   Комментариев нет

Все знают, что очень важно защищать ресурсы в сети. Ресурсы, которые необходимо защищать, включают в себя папки и содержащиеся в них файлы, а также некоторые ключи реестра (Registry keys), которые размещаются на серверах и рабочих станциях по всей корпорации. Мы не должны забывать о тех объектах Active Directory, которые размещаются на контроллерах доменов (domain controller). Все эти ресурсы необходимо охранять таким образом, чтобы доступ к ним имели лишь те пользователи, которые должны его иметь. Для контроля прав к этим ресурсам у вас есть несколько вариантов. Некоторые их этих вариантов более привлекательны, чем другие, но необходимо рассмотреть все варианты.

Права на ресурсы 101

Прежде чем перейти к рассказу о правах на ресурсы, я должен объяснить, о каких ресурсах идет речь, а также как защищать ресурсы при помощи прав. Существует огромное число ресурсов в каждой сети, поэтому я не смогу перечислить все из них. Однако, я расскажу об основных ресурсах, которые вы захотите контролировать.

Перед тем, как я приведу список ресурсов, я хочу пояснить кое-что, что смущает даже опытных администраторов. Существует два типа прав, которые можно настроить на ресурсе. Есть NTFS права, а также права на общий доступ (share permission). Мы будем обсуждать права NTFS. Права на общий доступ в действительности не обеспечивают должной безопасности ресурса, т.к. эти ресурсы контролируют лишь доступ в общую папку (shared folder), вместо обеспечения последовательного доступа к дочерним папкам и файлам, которые в ней содержаться. Чтобы пояснить, где настраиваются каждые из этих прав, то права на общий доступ настраиваются с помощью закладки Share (Доступ), как показано на Рисунке 1.

Mysql контроль доступа PHP

Рисунок 1: Права на общий доступ контролируют вход к общей папки из сети

Права NTFS задаются в закладке Security (безопасность), как показано на рисунке 2.

Контроль доступа к ресурсам

Рисунок 2: Права NTFS размещаются и задаются в закладке Security (безопасность)

Примечание: Закладка Security (безопасность) не доступна для компьютеров, на которых не настроена тома NTFS. Эти тома, которые не являются NTFS, настроены в файловых системах FAT или FAT32.

Ресурсы, с которыми связаны права NTFS, включают в себя:

  • Папки
  • Файлы
  • Ключи реестра
  • Принтеры
  • Объекты Active Directory

Этот список ресурсов очень важен, т.к. только эти ресурсы могут иметь список контроля доступа Access Control List (ACL) в системе Windows. В этой статье мы сфокусируемся на том, как модифицировать права для папок, файлов и объектов Active Directory.

Ручная настройка прав для ресурсов для фалов и папок

Как я уже говорил ранее, вы можете перейти к закладке Security (безопасность) для файла или папки, чтобы получить доступ к списку прав. Есть несколько ключевых моментов, о которых необходимо помнить, при ручной настройке прав для этих ресурсов.

Во-первых, когда вы настраиваете права для файлов и папок, то лучше всего задавать права для групп, а не для отдельных пользователей. Во-вторых, вы должны задать уровень доступа для файла или для папки. Как показано на рисунке 3, существуют некоторые стандартные ресурсы, которые можно задать, не касаясь дополнительных прав для учетной записи.

Мониторинг доступа к общей папке

Рисунок 3: Стандартные права для ресурса можно задать для каждой учетной записи

Рисунок 4 показывает, что вы также можете использовать дополнительные права (Advanced permission), и задать очень подробный уровень прав для каждого ресурса.

Контроль доступу до ресурсів

Рисунок 4: Дополнительные права позволяют настроить более четкий уровень доступа к ресурсу

Примечание:Нажав на кнопку Edit (редактировать), изображенную на рисунке 4, вы сможете увидеть полный список дополнительных прав. Это не лучший способ для управления ресурсами, т.к. приводит к дополнительным накладным расходам при настройке, управлении и отладке доступа к ресурсам.

Ручная настройка прав для ресурсов для объектов Active Directory

Процесс ручной настройки объектов Active Directory аналогичен, но существует мастер (Wizard), который может значительно облегчить настройку. Это очень удобный мастер, т.к. существует свыше 1000 персональных прав на некоторые объекты Active Directory, такие как организационные единицы, изображенные на рисунке 5.

Как контролировать права доступа на папку?

Рисунок 5: Частичный список прав для организационной единицы

Для доступа к мастеру просто нажмите правой кнопкой мыши на узел, который хотите настроить. Появится меню Delegate Control. После его выбора появится диалоговое окно мастера Delegation of Control Wizard, как показано на рисунке 6.

Folder security fat

Рисунок 6: Мастер Delegation of Control Wizard позволяет упростить настройку прав для объектов Active Directory

Этот мастер позволяет вам задать “кто” (пользователь или группа) будет иметь “этот” уровень доступа (эти права) для объектов в Active Directory.

Примечание: Можно использовать закладку Security (безопасности) для объектов Active Directory, точно также, как для настройки прав для файлов или папок. Однако, это очень унылое занятие, которое может озадачить даже самых опытных администраторов.

Настройка прав для ресурсов с помощью политики групп (Group Policy)

Когда дело доходит до управления правами на ресурсы с помощью политик групп (Group Policy), то с ее помощью вы можете управлять лишь файлами и папками, но не объектами Active Directory. (Ключами реестра также можно управлять с помощью политик групп Group Policy). Настройки для управления этими правами расположены в разделе Computer Configuration (конфигурация компьютера) Group Policy, как показано на рисунке 7.

Список прав доступа к ресурсам

Рисунок 7: В узле File System (файловая система) можно настроить права на файлы и папки с помощью политики групп Group Policy

Чтобы воспользоваться этой возможностью вы должны создать объект политики группы Group Policy Object (GPO) и связать его с узлом, который содержит учетную запись компьютера, которую вы хотите настроить. После этого отредактируйте GPO и щелкните правой кнопкой на узле File System (файловая система). После выбора пункта меню Add File (добавить файл), вы сможете указать путь к файлу и/или папке, для которой вы хотите установить права. После того, как вы зададите путь, вы увидите закладку Security (безопасность) для этого ресурса, что видно на рисунке 8.

Контроль сетевых ресурсов

Рисунок 8: Права на безопасность можно задать для файлов и папок с помощью GPO

Хотя это и возможно, но не рекомендуется использовать политику групп Group Policy для редактирования или установки прав на эти ресурсы из-за производительности приложения. Доказано, что если слишком много прав задать с помощью политики групп Group Policy, то существенно замедляется начальный вход, а также работа системы из-за регулярного интервала обновления. Если используется эти настройки, то их следует использовать отдельно для нескольких ресурсов.

Настройка прав для ресурсов с помощью сценариев

После долгих исследований и анализа, я обнаружил, что использование сценариев для установки прав для ресурсов – это очень неэффективный способ установки прав, как для файлов и папок, так и для объектов Active Directory. Однако, я хочу упомянуть некоторые инструменты, которые могут помочь, если вы решите использовать сценарии.

Для установки прав для файлов и папок с помощью сценариев, вы можете использовать CACLS. CACLS позволяет вам задать и получать права для файлов и папок. Это бесплатный инструмент от компании Microsoft, который может использоваться отдельно или совместно с VB или другим языком для написания сценариев.

Для установки прав на объекты Active Directory вы можете использовать новые возможности PowerShell. PowerShell – это новинка, и доступна лишь для Windows XP и более поздних версий. PowerShell имеет мощь для управления правами Active Directory и многое другое.

Я разговаривал со специалистами по написанию сценариев и по PowerShell, и они сообщили мне, что хотя и существует такая возможность, гораздо более проще и эффективнее использовать стандартные метода для установки прав. Однако, сценарии очень удобно использовать в отдельных сложных случаях, поэтому если вы хотите узнать более подробно об этих возможностях, то я направлю вас на следующие сайты:

http://www.microsoft.com/technet/scriptcenter/learnit.mspx http://www.scriptinganswers.com/ http://en.wikipedia.org/wiki/Cacls

Резюме

Контроль над сетевыми ресурсами и правами очень важен для защиты ресурсов вашей компании. Если вам нужно контролировать файлы HR, секреты компании, группы, организационные единицы или любые другие ресурсы, то вы должны установить права на каждый такой ресурс. В вашем распоряжении много возможностей, но этот выбор может сильно повлиять на эффективность и управляемость вашей сети. Ручные методы не очень просты и эффективны, но более точны и перегружают компьютеры в рабочее время. Политики группы (Group Policy) – это другой вариант, но убедитесь, но лучше ограничиться использованием его лишь для нескольких файлов и папок, так как применение этих прав может занять долгое время. Сценарии – это еще один вариант, но помните, что на написание и отладку сценария может уйти гораздо больше времени, чем на ручную установку прав.

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]