Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

MONIKA PIECHACZYK.  Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników.

Podobne prezentacje


Prezentacja na temat: "MONIKA PIECHACZYK.  Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników."— Zapis prezentacji:

1 MONIKA PIECHACZYK

2  Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników do wykonywania określonych działań, takich jak interakcyjne logowanie się do systemu lub tworzenie kopii zapasowych plików i katalogów. Prawa użytkowników różnią się od uprawnień, ponieważ prawa użytkowników dotyczą kont użytkowników, podczas gdy uprawnienia są dołączone do obiektów. Aby uzyskać informacje dotyczące uprawnień, zobacz jaki wpływ na uprawnienia do plików i folderów ma dziedziczenie.  Prawa użytkowników określają ich możliwości na poziomie lokalnym. Chociaż prawa użytkowników można stosować do poszczególnych kont użytkowników, najlepiej administrować nimi przy użyciu grup. Zapewnia to, że użytkownik logujący się jako członek jakiejś grupy automatycznie dziedziczy prawa skojarzone z tą grupą. Przypisywanie praw użytkowników grupom, a nie użytkownikom, upraszcza zadanie administrowania kontami użytkowników. Jeśli wszyscy użytkownicy należący do grupy muszą mieć takie same prawa użytkowników, wystarczy raz przypisać odpowiednie prawa całej grupie, zamiast przypisywać je po kolei wszystkim kontom użytkowników.  Prawa użytkowników przypisane grupie są stosowane do wszystkich członków grupy, dopóki pozostają jej członkami. Jeśli użytkownik jest członkiem wielu grup, jego prawa użytkownika kumulują się, co oznacza, że użytkownik ma więcej niż jeden zestaw praw. Jedyna sytuacja, w której prawa przypisane jednej grupie mogą kolidować z prawami przypisanymi innej grupie, występuje w przypadku pewnych praw logowania. W zasadzie prawa użytkownika przypisane jednej grupie nie kolidują z prawami przypisanymi innej grupie. Aby odebrać użytkownikowi prawa, administrator musi go po prostu usunąć z grupy. W takim wypadku użytkownik przestaje mieć prawa przypisane grupie, z której został usunięty.  Istnieją dwa typy praw użytkowników: przywileje (np. prawo do tworzenia kopii zapasowych plików i katalogów) i prawa logowania (np. prawo do lokalnego logowania się do systemu).

3 Udostępnianie zasobów Udostępnianie zasobów komputera lokalnego jest operacja, która pozwala na dostęp do nich użytkownikom sieciowym, pod warunkiem, e maja do tego odpowiednie uprawnienia. Jeśli zasób nie zostanie udostępniony, wówczas mogą z niego korzystać tylko użytkownicy lokalni. Oprócz terminu „udostępniony zasób” ubywa sie zamiennie określenia „udział sieciowy”. Kładzie ono nacisk na fakt, e zasób jest udostępniany przede wszystkim dla użytkowników sieciowych i stanowi udział wnoszony przez komputer do puli ogólnie dostępnych zasobów sieciowych. Podczas przegladania zasobów lokalnego komputera przy pomocy narzedzi „Eksplorator Windows” lub „Mój Komputer” naley zwrócic uwagę na to, e ikony reprezentujace udziały sieciowe wyświetlane są na podtrzymującej je dłoni.

4 Udostepnianie folderów Foldery sa zazwyczaj udostepniane na serwerach plików, ale system Windows 2003 pozwala na udostepnianie folderów na dowolnym komputerze w sieci. Po udostepnieniu foldery staja sie widoczne w oknie „Moje miejsca sieciowe”, lub - jesli zostana odwzorowane na dysk sieciowy – w oknie „Mój komputer”. Zazwyczaj nazwa, pod która udostepniony folder jest widoczny w sieci róni sie od jego nazwylokalnej. Uwaga: Nie jest moliwe udostepnianie pojedynczych plików. Aby udostepnic wybrane pliki, naley w tym celu utworzyc nowy folder, skopiowac lub przeniesc pliki do tego folderu, a nastepnie udostepnic cały folder.

5 Uytkownicy uprawnieni do udostepniania folderów Czynnosc udostepniania folderów zarezerwowana jest tylko dla niektórych uytkowników. Na komputerach naleacych do domeny foldery moga udostepniac tylko uytkownicy z grup Administratorzy i Operatorzy Serwerów. Na komputerach nie naleacych do domeny (tworzacych grupe robocza, lub komputerach klientach z systemem Windows XP Professional) prawo to przysługuje uytkownikom z grup Administratorzy i Uytkownicy o Rozszerzonych Uprawnieniach. (Power Users)

6 Jak udostepnic folder W celu udostepnienia folderu uruchamiamy program Eksplorator Windows, w jego oknie klikamy folder prawym przyciskiem myszy i z otwartej w ten sposób listy wybieramy opcje „Udostepnianie”. Wyswietla sie wówczas okno z własciwosciami folderu, w którym przy pomocy zakładki otwieramy karte „Udostepnianie”. Na otwartej karcie zaznaczamy opcje „Udostepnij ten folder”, a w pole „Nazwa udziału” wpisujemy nazwe, pod która folder bedzie widoczny w sieci. Pole „Komentarz” ma znaczenie informacyjne i jego wypełnianie nie jest wymagane. Pola „Maksymalna liczba uytkowników” i „Dopuszczalne maksimum” słua do okreslania maksymalnej liczby uytkowników równoczesnie połaczonych z serwerem i równie nie musza byc wypełniane. Dla systemu „Windows XP Professional” nieprzekraczalna liczba uytkowników jednoczesnie połaczonych z udostepnionym folderem wynosi 10, natomiast dla systemu „Windows Server 2003” jest ona zalena od liczby wykupionych licencji.

7 Katalog domowy to podstawa hierarchii katalogów, w których użytkownik umieszcza wszystkie swoje dane. Pliki mogą być składowane w katalogu domowym lub w którymś z jego podkatalogów. W systemach uniksowych katalogiem domowym jest standardowo /home/nazwa_użytkownika/, zaś administratora (root) /root/. W systemach tych katalog domowy aktualnie zalogowanego użytkownika oznaczany jest znakiem ~ (tylda). W rodzinie Windows nie ma ściśle określonego katalogu domowego. Do pewnego stopnia w systemach Microsoft Windows 95/98/Me funkcję taką spełnia katalog o nazwie C:\Moje Dokumenty\ (lub odpowiednio innej, zależnie od wersji językowej) oraz podkatalog systemowy C:\Windows\Dane aplikacji\, dopiero w rodzinie Microsoft Windows NT/2000/XP pojawiła się hierarchia podkatalogów katalogu C:\Documents and Settings\ zawierających dane poszczególnych użytkowników. W Microsoft Windows Vista ścieżkę skrócono do C:\Users\.

8 W Windows 2003 rozbudowane zostały możliwości tworzenia tzw. polis bezpieczeństwa. Dzięki nim administrator określa zestaw uprawnień obowiązujących w danej sieci. Dzięki mechanizmowi dystrybucji, polisy (czyli – zasady bezpieczeństwa) są dystrybuowane na każdy z komputerów w sieci. Polisa jest zbiorem zasad określających ogólne uprawnienia komputera pełniącego określoną rolę w domenie czy też prawa użytkownika. Określane są zasady postępowania z hasłami (minimalna długość, po jakim czasie hasło musi zostać zmienione itp.), w jakich warunkach konto jest blokowane, dokładne mechanizmy dystrybucji informacji w Kerberos czy zasady audytu. Polisy mogą obowiązywać na lokalnym komputerze jak i na komputerach wykorzystującą usługę katalogową. Mechanizm ustawiania polis oraz zakres elementów jest bardzo podobny – w zależności od tego, gdzie polisa ma obowiązywać, należy otworzyć odpowiednią konsolę MMC – Ustawienia zabezpieczeń lokalnych, Ustawienia zabezpieczeń domeny lub Ustawienia zabezpieczeń kontrolera domeny. Wraz z instalacją Windows 2003 Server, instalowane są wzorcowe „zestawy” polis – które określają standardowe zabezpieczenia w zależności od tego, jaką rolę ma pełnić dany serwer czy stacja robocza. Także administrator może opracowywać nowe wzorce a następnie dystrybuować je w sieci, tak by w firmie obowiązywała wspólna polityka bezpieczeństwa. Główne narzędzia do konfiguracji bezpieczeństwa stanowią tzw. pakiet do zarządzania i konfiguracji bezpieczeństwa (ang. Security Confguration Manager). Mogą one służyć do automatyzacji wielu zadań związanych z bezpieczeństwem.

9 Bezpieczeństwo w Windows 2003 Server Microsoft w Windows 2003 Server położył szczególny nacisk na bezpieczeństwo, które w najnowszej wersji Windows było najważniejszym celem, jaki przyświecał projektantom i programistom tego systemu. Wysoki stopień bezpieczeństwa został osiągnięty na wiele sposobów. Oprócz zmian w samej konstrukcji systemu (przebudowanych zostało wiele składników w Windows), zmieniono także „domyślny” poziom bezpieczeństwa, ustawiany w momencie instalowania systemu operacyjnego Wszystko to sprawia, że administrator musi podjąć świadomą decyzję, zanim udostępni określoną usługę czy pozwoli na dostęp użytkownikom do danego serwera. W poprzednich wersjach systemu domyślnie instalowane były niemal wszystkie składniki, teraz instalowane są tylko te, które są potrzebne do realizacji odpowiednich ról. Widać to chyba najlepiej na przykładzie Internet Information Server w wersji 6.0. Jest to zupełnie nowy produkt – o innej, znacznie bezpieczniejszej konstrukcji, w porównaniu z wersją 5.0. Jednak mimo to domyślna instalacja serwera w ogóle nie wgrywa IIS. Aby zainstalować IIS, trzeba dodać rolę serwera aplikacyjnego. Jednak nawet to nie powoduje włączania potencjalnie ryzykownych elementów. Aby np. możliwe było uruchomienie usługi indeksowania, musi zostać jawnie włączone odpowiednie rozszerzenie serwera IIS. Oczywiście można to wszystko wygodnie skonfigurować z poziomu kreatora ról serwera – należy jednak jeszcze raz podkreślić – w Windows 2003 Server administrator musi bardzo dokładnie określić, jakie usługi mają działać na serwerze. Innym przykładem jest np. udostępnianie folderów. W Windows 2000 Server, jeżeli tworzony był udział sieciowy, to domyślnie grupa „Wszyscy” (Everyone) miała pełny dostęp; w Windows 2003 Server – może tylko czytać z danego udziału. Na bezpieczeństwo w Windows 2003 Server składa się kilka kluczowych elementów – różne sposoby autoryzacji i identyfikacji użytkownika, listy dostępu i praw, a także polisy i inne mechanizmy pozwalające tworzyć spójną politykę bezpieczeństwa obejmującą różne aspekty działania serwera.

10 Wstęp Podobnie jak w przypadku sieciowego systemu operacyjnego, najważniejszą częścią zabezpieczeń jest nazwa użytkownika oraz hasło. Istnieją domyślnie utworzeni użytkownicy (jak np. Administrator i Gość), którzy mają hasła powiązane ze swoimi kontami. W momencie, gdy użytkownik próbuje uzyskać uwierzytelnienie lub dostęp do zasobów, wymagane jest podanie hasła do konta użytkownika. Teraz, dzięki Bogu, domena Windows Server 2003 (i nowsza) domyślnie wymaga hasła. Hasło to powinno być chronione na wszelkie sposoby ze względu na ryzyko przechwycenia, odgadnięcia, włamania lub określenia w inny sposób. Istnieje wiele sposobów ochrony haseł w systemie Windows, a ta seria artykułów omówi to, co można zrobić, aby zwiększyć bezpieczeństwo haseł. Po pierwsze, musimy zrozumieć, w jaki sposób hasło jest zakładane i kontrolowane, a następnie, jak może zostać zaatakowane, dzięki czemu możemy podjąć odpowiednie kroki, aby ochronić się przed powszechnymi atakami.

11 Hasła domyślne w systemie Windows  Gdy próbujesz zalogować się do domeny Active Directory, będziesz musiał wprowadzić trzy kluczowe elementy: nazwę użytkownika, hasło, nazwę domeny. Kiedy informacja ta zostaje odebrana przez kontrolera domeny, jest analizowana pod kątem hasła dla danej nazwy użytkownika, wymienionej w bazie danych usługi Active Directory. Jeśli hasło pasuje, to kontroler domeny uwierzytelni użytkownika, dostarczając mu tokena uwierzytelniania, aby uzyskał dostęp do innych zasobów w sieci/domeny. Gdy użytkownik próbuje zmienić hasło do swojego konta, informacja ta jest również przesyłana do kontrolera domeny. Gdy użytkownik wpisuje nowe hasło i zostaje ono przesłane do kontrolera domeny, pojawiają się od razu odpowiednie zasady, mające na celu zapewnienie, że hasło spełnia minimalne wymogi bezpieczeństwa. Kilka uwag dotyczących zasady haseł dla domeny (jak również domyślne dla wszystkich lokalnych kont użytkowników): Wymaganych jest przynajmniej 7 znaków dla hasła w systemie Windows (domeny Windows Server 2003 i późniejsze)  Hasła muszą zawierać trzy z czterech następujących rodzajów znaków: duże litery, małe litery, cyfry, znaki specjalne ($!@*...)  Nowe hasło musi zostać wygenerowane przed upływem 42 dni, aby konto pozostało aktywne  Nowe hasło nie może być ponownie użyte zanim nie stworzy się 24 unikatowych haseł.  Wszystkie te ustawienia są ustalane w części GPO „Computer Configuration”, a wymienione są pod polityką haseł (Password Policy). Rysunek 1 pokazuje ustawienia dla konfiguracji polityki haseł.

12

13 CCo kontroluje Politykę Haseł Domeny? JJ ako długoletni dydaktyk w temacie bezpieczeństwa systemu Windows, od roku 1999 pracowałem z Active Directory i pokazywałem tysiącu specjalistów IT subtelnie punkty zabezpieczeń systemu Windows, w tym szczegóły dotyczące Polityki Haseł w systemie Windows. Bardzo ciekawe wydaje mi się to, że mimo iż Microsoft wypuścił Active Directory już ponad 9 lat temu, to niektórzy specjaliści IT nadal nie orientują się w jaki sposób kontrolowana jest polityka haseł i jakie są opcje do ich modyfikacji. Tak więc: oto rzeczywistość Polityki Haseł w systemie Windows oraz jej możliwości. Po pierwsze, obiekt GPO Domyślnej Polityki Domeny kontroluje Polityki Haseł dla wszystkich komputerów w całej domenie. Tak, w tym kontrolery domeny, serwery i stacje robocze (które należą do domeny) dla całej domeny Active Directory. Domyślna Polityka Domeny jest podłączona do węzła domeny, który oczywiście obejmuje wszystkie komputery w domenie. Po drugie, jakikolwiek obiekt GPO podłączony do domeny może być wykorzystany w celu ustalenia i kontroli ustawień polityki haseł. GPO musi tylko mieć najwyższy priorytet na poziomie domeny, co sprawi, że „wygra” w każdym konflikcie dotyczącym ustawień polityk haseł. Po trzecie, jeżeli obiekt GPO jest powiązany z jednostką organizacyjną (organizational unit - OU), nie będzie kontrolował hasła dla kont użytkowników, które znajdują się w jednostce organizacyjnej. I to jest zdecydowanie najbardziej powszechny błąd, jaki popełniają specjaliści IT. Ustawienia polityk haseł NIE są oparte na użytkownikach, a raczej na komputerach, jak pokazano na rysunku 1 powyżej.

14  Po czwarte, jeżeli obiekt GPO jest powiązany z OU, ustawienia polityk haseł utworzonych w GPO będą miały wpływ na lokalnego Menedżera Zabezpieczeń Kont (SAM – Security Account Manager) na dowolnym komputerze, który znajduje się pod daną jednostką organizacyjną. Będzie to „atutem” dla ustawień polityk haseł skonfigurowanych w obiekcie GPO połączonego z domeną, ale tylko dla lokalnych kont użytkowników przechowywanych w lokalnych menedżerach SAM tych komputerów. Po piąte, jeżeli obiekt GPO jest powiązany z domyślnymi kontrolerami domeny (Default Domain Controllers) jednostki organizacyjnej, nie będzie on kontrolował bazy danych usługi Active Directory użytkowników zapisanych na tych kontrolerach domeny. Jedyny sposób, aby zmodyfikować ustawienia polityk haseł dla kont użytkowników domeny znajduje się w obiekcie GPO, który jest podłączony do domeny (chyba, że używasz domen Windows Server 2008, w których można użyć szczegółowych polityk haseł). Po szóste, LanManager (LM) jest w pełni obsługiwany w większości istniejących środowisk Windows Active Directory. LM jest bardzo starym protokołem uwierzytelniania z bardzo słabą ochroną hasła i z haszowaniem hasła, wygenerowanym do wspierania uwierzytelniania tego protokołu. Istnieją dwa ustawienia GPO (które są faktycznie ustawieniami Rejestru – registry settings), które kontrolują czy LM będzie obsługiwany i czy hasze LM będą przechowywane. W kolejnej części tej serii artykułów opiszę oba te ustawienia, dzięki czemu każdy będzie wiedział jak poprawnie skonfigurować te ustawienia i gdzie dokładnie je zrobić w obiekcie GPO

15 Podsumowanie Domyślne ustawienia polityki haseł w domenie Active Directory nie są straszne, ale można je poprawić. Ustawienia domyślne są konfigurowane i przechowywane w obiekcie GPO Domyślnej Polityki Domeny, który jest powiązany z węzłem domeny. Jeśli chodzi o domeny Windows 2000 i Server 2003, to należy pamiętać, że dla tych domen może być tylko jedna zasada haseł! Oznacza to, że wszyscy użytkownicy (specjaliści IT, programiści, kadra kierownicza, pracownicy HR, itp.) mają takie same ograniczenia zasad haseł. Jeżeli są one słabe dla jednej grupy użytkowników, to są słabe dla wszystkich użytkowników. Zmiany można wprowadzić w lokalnym Menedżerze Zabezpieczeń Kont (SAM) na serwerach i stacjach roboczych (nie na kontrolerach domeny) z obiektów GPO, które są powiązane z jednostkami organizacyjnymi, gdzie znajdują się konta komputerów w AD. Te ustawienia GPO kontrolują tylko konta użytkowników lokalnych, a nie konta użytkowników domeny. LM to stary, niebezpieczny oraz niegodny polecenia protokół uwierzytelniania i powinien być sprawdzony i wyłączony, jeżeli jest to możliwe. W następnym artykule z tej serii omówię nie tylko ochronę przed LM, ale i inne sposoby atakowania haseł w systemie Windows.


Pobierz ppt "MONIKA PIECHACZYK.  Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników."

Podobne prezentacje


Reklamy Google