T: Uwierzytelnianie użytkowników i komputerów.



Podobne dokumenty
Microsoft Management Console

SpedCust 5 instrukcja instalacji

Windows Serwer 2008 R2. Moduł 3. DHCP

T: Lokalne konta użytkowników i grup.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Opis instalacji systemu Intranet Komunikator

Moduł Pulpit opcji oraz Narzędzia. Opis v 1.0

epuap Ogólna instrukcja organizacyjna kroków dla realizacji integracji

Znak: OR

Konfiguracja programu Outlook 2007 do pracy z nowym serwerem poczty (Exchange)

Poniżej instrukcja użytkowania platformy

Tomasz Greszata - Koszalin

Pracownia internetowa w każdej szkole. Opiekun pracowni internetowej SBS 2003 PING

Kalkulator Kalorii by CTI. Instrukcja

POLITYKA PRYWATNOŚCI

3S TeleCloud - Aplikacje Instrukcja użytkowania usługi 3S KONTAKTY

Żeglowanie w oceanie informacji czyli poczta internetowa i sieciowe pogaduszki

Procedury uzyskania dostępu do systemu SIL

Zad.1 Pokazać pierwszeństwo trybu odmów przed zezwalaj.

Konfiguracja historii plików

JTW SP. Z OO. Zapytanie ofertowe. Zakup i dostosowanie licencji systemu B2B część 1

Spis treści. Rozdział 1 ewyniki. mmedica - INSTR UKC JA UŻYTKO W NIKA

Kurier POCZTEX XL by CTI. Instrukcja

PRZETWARZANIE DANYCH OSOBOWYCH

INFORMATOR TECHNICZNY WONDERWARE

Instrukcja Obsługi STRONA PODMIOTOWA BIP

Oświęcim, dnia 26 listopada 2013r. Państwowe Muzeum Auschwitz-Birkenau w Oświęcimiu ul. Więźniów Oświęcimia Oświęcim

Ekran startowy płyty instalacyjnej umozliwia nam wybór

Charakterystyka systemów plików

Sieci komputerowe cel

Opis obsługi systemu Ognivo2 w aplikacji Komornik SQL-VAT

PERSON Kraków

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows XP. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

CitiDirect Online Banking. Powiadomienia

Zdalne odnawianie certyfikatów do SWI

Zmiany w wersji 1.18 programu VinCent Office.

Rozwiązywanie nazw w sieci. Identyfikowanie komputerów w sieci

Dziedziczenie : Dziedziczenie to nic innego jak definiowanie nowych klas w oparciu o już istniejące.

INSTRUKCJA TESTOWANIA USŁUG NA PLATFORMIE ELA-ENT

System Informatyczny CELAB. Przygotowanie programu do pracy - Ewidencja Czasu Pracy

Wdrożenie modułu płatności eservice dla systemu Virtuemart 2.0.x

Automatyzacja procesu publikowania w bibliotece cyfrowej

MULTISHOP. Jak w kilka minut stworzyć profesjonalny sklep internetowy.

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

Zarządzanie Zasobami by CTI. Instrukcja

Audyt SEO. Elementy oraz proces przygotowania audytu. strona

Strategia rozwoju kariery zawodowej - Twój scenariusz (program nagrania).

elektroniczna Platforma Usług Administracji Publicznej

Sieci komputerowe. Definicja. Elementy

Podejmowanie decyzji. Piotr Wachowiak

POLITYKA PRYWATNOŚCI SKLEPU INTERNETOWEGO

VinCent Office. Moduł Drukarki Fiskalnej

Wersja z dn r.

Chmura obliczeniowa. do przechowywania plików online. Anna Walkowiak CEN Koszalin

Oprogramowanie FonTel służy do prezentacji nagranych rozmów oraz zarządzania rejestratorami ( zapoznaj się z rodziną rejestratorów FonTel ).

Postanowienia ogólne. Usługodawcy oraz prawa do Witryn internetowych lub Aplikacji internetowych

Wykład 4 Wybrane zagadnienia programowania w C++

zgubił całą naszą korespondencję Można by tak wymieniać bez bezpieczeństwa, gdyby była wykonana dnia poprzedniego rozwiązałaby niejeden problem.

Instrukcja obsługi Podręcznik bezpieczeństwa

Macierze dyskowe RAID

DECYZJA NR 2/11 SZEFA CENTRALNEGO BIURA ANTYKORUPCYJNEGO. z dnia 3 stycznia 2011 r.

Ewidencja środków trwałych. Projekt konceptualny Marcin Hajduczek, Tomasz Landowski

Kontrola wytwarzania energii w systemach PV

I. Zakładanie nowego konta użytkownika.

Instrukcja aplikacji R-Quick

INFORMATOR TECHNICZNY WONDERWARE

Ostatnia cena sprzeda y klienta 1.0 dodatek do Symfonia Faktura dla 1 firmy

BEZPIECZEŃSTWO INFORMACYJNE I CYBERNETYCZNE

Politechnika Warszawska Wydział Matematyki i Nauk Informacyjnych ul. Koszykowa 75, Warszawa

Praca na wielu bazach

Program Płatnik Instrukcja instalacji

Integracja systemów, integracja procesów

Kopia zapasowa i odzyskiwanie Podręcznik użytkownika

INTEGRATOR Instrukcja instalacji, konfiguracji.

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Projektowanie bazy danych

Linux LAMP, czyli Apache, Php i MySQL

DOTACJE NA INNOWACJE ZAPYTANIE OFERTOWE

GEO-SYSTEM Sp. z o.o. GEO-RCiWN Rejestr Cen i Wartości Nieruchomości Podręcznik dla uŝytkowników modułu wyszukiwania danych Warszawa 2007

Gdynia: Księgowość od podstaw Numer ogłoszenia: ; data zamieszczenia: OGŁOSZENIE O ZAMÓWIENIU - usługi

emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym Magento (plugin dostępny w wersji ecommerce)

Regu g l u a l min i n w s w pó p ł ó p ł r p acy O ow o iązuje od dnia

API transakcyjne BitMarket.pl

DE-WZP JJ.3 Warszawa,

Procedura nadawania uprawnień do potwierdzania Profili Zaufanych w Urzędzie Gminy w Ryjewie

Instrukcja logowania do aplikacji ING Agent

Regulamin serwisu internetowego ramowka.fm

Sieć komputerowa grupa komputerów lub innych urządzeo połączonych ze sobą w celu wymiany danych lub współdzielenia różnych zasobów, na przykład:

INSTRUKCJA OBSŁUGI URZĄDZENIA: HC8201

INSTRUKCJA DLA INSPEKTORÓW DS. REJESTRACJI

Bazy danych II. Andrzej Grzybowski. Instytut Fizyki, Uniwersytet Śląski

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Instrukcja programu PControl Powiadowmienia.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ.... (nazwa praktyki) wydana w dniu... przez...

INTENSE BUSINESS INTELLIGENCE PLATFORM

Logowanie do systemu Faktura elektroniczna

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Polityka prywatności strony internetowej wcrims.pl

Transkrypt:

T: Uwierzytelnianie użytkowników i komputerów. Konta użytkowników i konta komputerów usługi Active Directory odpowiadają jednostkom fizycznym, takim jak komputer lub osoba. Konta użytkowników mogą również służyć jako specjalne konta usług dla niektórych aplikacji. Konta użytkowników i konta komputerów (a także ich grupy) są również nazywane podmiotami zabezpieczeń. Podmioty zabezpieczeń to obiekty katalogu, którym są automatycznie przypisywane identyfikatory zabezpieczeń (SID) umożliwiające uzyskanie dostępu do zasobów domeny. Funkcje konta użytkownika lub komputera: Uwierzytelnianie tożsamości użytkownika lub komputera. Konto użytkownika umożliwia mu logowanie się do komputerów i domen przy użyciu tożsamości, która może być uwierzytelniona przez domenę. Każdy użytkownik logujący się do sieci powinien mieć własne, unikatowe konto użytkownika i hasło. Aby zapewnić maksymalne zabezpieczenia, należy unikać sytuacji, w których wielu użytkowników wspólnie korzysta z jednego konta. Udzielanie lub odmawianie dostępu do zasobów domeny. Użytkownik uwierzytelniony otrzymuje zezwolenie na dostęp do zasobów domeny lub odmowę dostępu (na podstawie jawnych uprawnień do zasobów przypisanych temu użytkownikowi). Administrowanie innymi podmiotami zabezpieczeń. Usługa Active Directory tworzy w domenie wewnętrznej obiekty typu obcy podmiot zabezpieczeń reprezentujące każdy podmiot zabezpieczeń z zaufanej domeny zewnętrznej. Inspekcja czynności wykonywanych przy użyciu konta użytkownika lub komputera. Inspekcja może ułatwiać monitorowanie zabezpieczeń kont. Każdy komputer z systemem Windows NT, Windows 2000 lub Windows XP, albo serwer z systemem Windows Server 2003, który zostaje dołączony do domeny, otrzymuje własne konto komputera. Podobnie jak konta użytkowników, konta komputerów umożliwiają uwierzytelnianie oraz inspekcję dostępu komputera do sieci i zasobów domeny. Każde konto komputera musi być unikatowe. Źródło: http://infojama.pl/181,artykul.aspx Jednym z głównych zadań administratora jest zarządzanie kontami użytkowników i grup. Konta użytkowników pozwalają na logowanie się indywidualnych użytkowników do zasobów sieciowych. Natomiast konta grup tworzone są do zarządzania wieloma użytkownikami jednocześnie. Uprawnienia nadawane użytkownikom, są jednym z kluczowych elementów zabezpieczeń systemu. Powinny być możliwie najniższe, potrzebne do wykonywania ich pracy. Nie można np. dawać uprawnień wszystkim użytkownikom do serwera finansowego firmy. Dwa główne składniki modelu zabezpieczeń w Windows Serwer 2003 to uwierzytelnianie użytkowników oraz kontrola dostępu. Uwierzytelnianie obejmuje dwie fazy: interaktywne logowanie oraz uwierzytelnianie sieciowe. Gdy użytkownik się loguje na lokalnym komputerze, uwierzytelnia go proces interaktywnego logowania, sprawdzając tożsamość i nadając mu dostęp do usługi Active Directory. Uwierzytelnianie sieciowe sprawdza uprawnienia użytkownika przy każdym odwołaniu do zasobów sieciowych. System Windows posiada dwa podstawowe protokoły uwierzytelniania sieciowego: Kerberos v5 - podstawowy mechanizm uwierzytelniania w Windows Serwer 2003, standardowy protokół internetowy do uwierzytelniania użytkowników. NT Lan Manager (NTLM) - protokół stosowany przy współpracy z systemami Windows NT. W przypadku, gdy użytkownik loguje się do domeny interaktywny proces logowania przydziela uprawnienie w usłudze Active Directory, dzięki czemu otrzymuje on dostęp do zasobów sieciowych. Co za tym idzie użytkownik może zostać uwierzytelniony automatycznie na każdym komputerze w domenie. Wszystko co zawarte jest w katalogu Active Directory (np. grupy, udostępniane zasoby, użytkownicy), zdefiniowane jest w sposób obiektowy. Dzięki temu, administrator może kontrolować dostęp do tych obiektów poprzez deskryptory zabezpieczeń. Dodatkowo możliwe jest zdefiniowanie właścicieli tych obiektów, zdarzeń których wystąpienie powinno podlegać inspekcji, określenie drobiazgowych praw przyznawanych użytkownikom oraz wybranie użytkowników i grup, które mają prawo dostępu do obiektu. Obiekty Active

Directory mogą dziedziczyć uprawnienia po swoich obiektach nadrzędnych. Jeśli tworzymy wpisy kontroli dostępu musimy pamiętać o dwóch rzeczach: Dziedziczenie wpisów jest domyślnie włączone i wykonywane natychmiastowo po zapisaniu wpisu. Każdy wpis zawiera informacje czy podlega dziedziczeniu, czy też przydzielany jest tylko dla konkretnego obiektu. W Windows Serwer 2003 rozróżniamy dwa rodzaje kont: konta użytkowników i konta grup, których członkami mogą być użytkownicy. Konta grup nie umożliwiają zalogowania się w systemie, służą jedynie do prostszego administrowania wieloma użytkownikami jednocześnie. Jeżeli użytkownik jest członkiem grupy, która ma prawo do korzystania z jakiegoś zasobu, to prawo to przechodzi na niego. Nazwę grupy bardzo często podaje się stosując schemat domena\grupa. Jest to spowodowane tym, że w różnych domenach mogą istnieć grupy o tej samej nazwie. W systemie Windows Serwer 2003 rozróżniane są trzy rodzaje grup: Grupy lokalne - odnoszące się tylko do komputera na którym były zdefiniowane. Tworzy się je korzystając z narzędzia Lokalni użytkownicy i grupy. Grupy zabezpieczeń - mają przydzielone identyfikatory zabezpieczeń (SID), tworzy się je w domenach przy użyciu narzędzia Użytkownicy i komputery Active Directory. Grupy dystrybucji - nie posiadają identyfikatorów zabezpieczeń, tworzy się je jak poprzednio przy użyciu przystawki Użytkownicy i komputery Active Directory, wykorzystywane są, jako listy dystrybucyjne poczty elektronicznej.

Grupy można także podzielić ze względu na obszar ich ważności: Lokalne domenowe - uprawnienia mogą być przydzielane tylko w granicach jednej domeny, członkami mogą być użytkownicy, komputery oraz grupy z tej domeny. Powinny być używane do określenia zasobów do drukarek sieciowych i udostępnionych folderów. Wbudowane grupy lokalne - tak jak poprzednie grupy, posiadają uprawnienia domeny lokalnej, główną różnicą jest to, że nie można ich tworzyć ani usuwać, a jedynie modyfikować im uprawnienia. Globalne - umożliwiają przydzielenie uprawnień do obiektów w dowolnej domenie z lasu lub drzewa domen. Do tej grupy mogą należeć jedynie konta z domeny, w której są zdefiniowane. Grupy te można uczynić członkami domenowych grup lokalnych w celu przydzielenia użytkownikom uprawnień do zasobów. Uniwersalne - wymagają działania Active Directory na poziomie funkcjonalności Windows 2000 lub Windows Server 2003, podobnie jak poprzednie grupy umożliwiają przydzielenie uprawnień w obrębie drzewa lub lasu domen. Do grup tych mogą należeć konta użytkowników, grupy globalne oraz inne grupy uniwersalne. Członkowie grup uniwersalnych nie powinni być często zmieniani, ponieważ każda zmiana wymaga replikacji do wszystkich wykazów globalnych w drzewie lub lesie domen. Członkami tych grupy powinny być raczej inne grupy. Jeżeli organizacja posiada jedną domenę, nie ma potrzeby korzystania z grup uniwersalnych. Podczas przydzielania członków do grup musimy pamiętać, że nie wszystkie działania dostępne są we wszystkich zakresach. Konta użytkowników dzielą się na lokalne i domenowe zdefiniowane w usłudze Active Directory. Konta użytkowników mogą posiadać hasła oraz certyfikaty publiczne, które w celu identyfikacji użytkownika wykorzystują kombinację klucza publicznego i prywatnego. Podczas logowania użytkownika do systemu Windows Server 2003 tworzony jest żeton zabezpieczeń, który zawiera identyfikator użytkownika oraz identyfikatory zabezpieczeń wszystkich grup, do których należy użytkownik. Wynika z tego, że wielkość żetonu zależy od ilości grup, do których użytkownik należy. Żeton ten przesyłany jest do każdego komputera, do którego użytkownik chce się zalogować. W systemie Windows Serwer 2003 stworzone są wbudowane konta logowania, które służą do realizacji szczególnych zadań, są to: -System lokalny (LocalSystem) - służy do uruchamiania procesów systemowych i obsługi zadań systemowych. Z tego konta korzysta większość usług niewymagających dodatkowych uprawnień. Konto posiada uprawnienie Zaloguj jako usługę. -Usługa lokalna (LocalService) - używane w przypadku usług wymagających dodatkowych uprawnień - Zmień czas systemowy, Generuj zdarzenie inspekcji w systemie oraz Zaloguj jako usługę. Z konta tego korzystają takie usługi jak np. Rejestr zdalny, Pomoc TCP/IP Net BIOS, Alertowanie i WebClient. -Usługa sieciowa (NetworkService) - służy do uruchamiania usług, które wymagają dodatkowych praw dostępu do sieci. Usługi uruchomione przy użyciu tego konta posiadają uprawnienia Zaloguj jako usługę, z przywilejem Zmień czas systemowy i Generuj zdarzenie inspekcji zabezpieczeń. Usługi, które korzystają z tego konta to np. Lokalizator usługi zdalnego wywołania procedur (RPC), Klient DNS, Klient DHCP, Koordynator transakcji rozproszonych.

Powyższe konta nie mogą zostać usunięte. Możliwe, że przy instalowaniu dodatkowych rozszerzeń pojawią się jeszcze inne konta domyślne, jednak będą one mogły zostać usunięte. Jeżeli na serwerze zostaną zainstalowane Internetowe usługi informacyjne, pojawią się nowe konta między innymi: IUSR_nazwakomputera (wykorzystywane przez anonimowy dostęp do IIS) oraz IWAM_nazwakomputera (do uruchamiania aplikacji wywołanych przez IIS). Oprócz wbudowanych kont logowania, na serwerze podczas instalacji tworzone są wbudowane konta użytkowników: Administrator, ASPNET, Gość oraz Pomocnik. Posiadają one prawa dostępu w całej domenie i są odrębne od kont lokalnych. Mają swoje odpowiedniki w katalogu Active Directory. Konto Administrator posiada nieograniczony dostęp do usług systemowych, plików czy katalogów. Nie może zostać usunięte ani wyłączone. W katalogu Active Directory posiada ono dostęp do zasobów całej domeny. Konto to, jest krytyczne z punktu widzenie bezpieczeństwa systemu. Ze względu na popularną nazwę może stać się celem ataku nieautoryzowanego dostępu do systemu. Powinno ono posiadać bezpieczne hasło złożone z małych i wielkich liter, znaków specjalnych oraz cyfr. Dobrą praktyką jest zmiana nazwy tego konta na mniej oczywistą a następnie utworzenie konta o nazwie Administrator nieposiadającego żadnych praw. Możliwe jest ograniczenie dostępu Administratorowi do plików czy folderów, jednak zawsze będzie on mógł przywrócić sobie prawa dostępu. W środowisku domenowym konto Administrator wykorzystywane jest głównie do konfiguracji systemu po pierwszej jego instalacji. Później prawdopodobnie nie będzie już wykorzystywane. W przypadku systemów będących częścią grup roboczych konto to będzie wykorzystywane do realizacji zadań administracyjnych. Konto ASPNET posiada domyślnie takie same prawa jak zwykli użytkownicy, należy do grupy Użytkownicy domeny, służy do uruchamiania procesów ASP.NET przez system.net Framework. Konto Gość stworzone zostało do jednorazowego dostępu do systemu. Posiada mocno ograniczone prawa dostępu. Może stać się źródłem problemów zabezpieczeń w systemie, dlatego w domyślnej konfiguracji systemu jest wyłączone. Należy do grupy Goście, Użytkownicy domniemani oraz Wszyscy - która posiada dostęp do plików i katalogów. Podobnie jak w przypadku konta Administrator, dobrze jest zmienić mu nazwę na mniej oczywistą. Konto Pomocnik wykorzystywane jest przez usługę Pomoc i obsługa techniczna, nie posiada prawa do logowania lokalnego (z wyjątkiem logowania jako proces wsadowy), oraz prawa do logowania zdalnego. Należy do grup Użytkownicy domeny oraz Użytkownicy pomocy. Każde konto użytkownika posiada pewne możliwości, które możemy określić. Najczęściej przyznaje się użytkownikowi te możliwości poprzez włączenie go do pewnych grup. W systemie Windows Server 2003 istnieją cztery kategorie potencjalnych zdolności: Przywileje - są to rodzaje uprawnień pozwalające na wykonywanie pewnych zadań np. możliwość wykonania zamknięcia systemu. Prawa logowania - np. uprawnienie do logowania lokalnego, są to typy uprawnień przyznające możliwości logowania do systemu. Uprawnienia wbudowane - to rodzaje uprawnień przypisywane grupom i zawierające ich możliwości np. prawo do tworzenia innych kont.

Prawa dostępu - definiują operacje, jakie mogą być wykonywane na zasobach sieciowych np. prawo do tworzenia plików w katalogu. Zanim zaczniemy budować system uprawnień oparty na grupach, powinniśmy zapoznać się z zasadami ich tworzenia. Niewłaściwe stosowanie np. zakresów grup może doprowadzić do tego, że nakładające się zakresy będą trudne w konfiguracji praw dostępu dla użytkowników. Niezbędna jest też często wiedza o domyślnych ustawieniach kont czy grup. Dobrze nadane prawa mogą przyczynić się do zmniejszenia liczby nadużyć przez użytkowników systemu, a tym samym do zwiększenia jego bezpieczeństwa.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres