Доступ к объектам в корпоративной сети

Разграничение доступа к общим ресурсам является одним из важнейших элементов системы сетевой безопасности. Протокол LDAP, на базе которого функционирует Активный каталог, предоставляет гибкую систему управления участниками безопасности путем объединения их в специфические группы, при этом разрешение на доступ к общим объектам могут назначаться как конкретным пользователям, так и целым группам. Один пользователь может быть членом нескольких групп, а группы могут вкладываться друг в друга.

Разберем базовый механизм доступа к объектам. Когда пользователь входит в домен, вводя реквизиты своей учетной записи, последовательно происходит два действия: идентификация и аутентификация. Процесс идентификации заключается в проверке наличия введенных реквизитов учетной записи в базе данных Активного каталога. В случае если идентификация завершилась положительно, начинается процесс аутентификации, смысл которого заключается в назначении пользователю прав доступа к общим ресурсам. В процессе аутентификации создается так называемый маркер доступа. Это специальная функция, с помощью которой можно определить получит пользователь доступ к объекту или нет. Смысл его действия в следующем: каждый объект файловой системы имеет список управления доступом (ACL), представляющий собой список полномочий, делегированный участникам безопасности Активного каталога для доступа к данному ресурсу. Каждое полномочие из этого списка представляет собой логическую функцию, аргументом которой является маркер доступа. Если значение функции истинно, то данное полномочие считается делегированным участнику безопасности и доступ к объекту разрешается. В противном случае доступ к объекту будет запрещен.

В случае если общие ресурсы расположены на томах NTFS, то ACL таких объектов представляет собой пересечение разрешений общего доступа и разрешений NTFS. Причем явные запреты приоритетнее явных разрешений.

Поскольку пользователь может быть членом разных групп, зачастую бывает сложно определить какие права на доступ к тому или иному объекту являются действующими для данного пользователя. Это можно выяснить, используя вкладку Действующие разрешения в свойствах объекта.

Действующие разрешения формируются по следующим правилам: явное разрешение для пользователя приоритетнее разрешений для групп, членом которых он является. Явные запреты приоритетнее явных разрешений. Однако информация на вкладке Действующие разрешения не всегда бывает актуальной, т.к. в ней не учитываются разрешения для встроенных групп безопасности Windows таких как Все, Сеть и прочие. В любом случае, действующие разрешения на доступ к объекту можно определить, используя указанные выше правила и учитывая наследование. По умолчанию разрешения дочерних объектов наследуются от родительских. Однако явно установленные разрешения приоритетнее унаследованных.

По необходимости наследование разрешений можно отключить. Восстанавливать наследование можно двумя способами: от дочернего объекта (явно назначенные разрешения не заменяются родительскими, а отсутствующие разрешения наследуются от родительского объекта), от родительского объекта (при этом явные разрешения, назначенные дочернему объекту, будут заменены разрешениями родительского объекта).

В любом случае, при назначении разрешений на доступ к объектам необходимо пользоваться принципом наименьших привилегий, который заключается в том, чтобы дать пользователю ровно столько прав, сколько ему необходимо для производственных задач.

Обычно при настройке разрешений на доступ к объектам используют следующую схему: в разрешениях общего доступа для группы Все разрешают Полный доступ, конкретные же разрешения настраивают с помощью разрешений NTFS. В случае если необходима более тонкая настройка, разрешения общего доступа также настраивают для конкретных групп или пользователей.

В Windows Server 2003 существуют три группы безопасности (группы распространения мы не рассматриваем, т.к. они используются для рассылки электронных сообщений, а для назначения прав доступа используются группы безопасности): локальная доменная, глобальная и универсальная (указанные группы существуют в доменах, на отдельных компьютерах, также существуют локальные группы. В случае, если доменные учетные записи и учетные записи локального компьютера являются зеркальными, необходимо учитывать разрешения для групп локального компьютера.).

Локальная доменная группа объединяет пользователей из этого домена или других доменов и используется для назначения прав на ресурсы только того домена, в котором они созданы.

Глобальные группы содержат учетные записи пользователей только своего домена, но могут использоваться для назначения прав во всех доменах предприятия.

Универсальные группы содержат учетные записи пользователей из любых доменов на предприятии и могут использоваться для назначения прав на любые общие ресурсы на предприятии.

Группы могут вкладываться друг в друга по следующим правилам: локальные доменные группы и глобальные группы могут быть членами универсальных групп. Глобальные доменные группы могут быть членами локальных групп. Локальные группы могут быть членами локальных групп в этом же домене, универсальные группы могут вкладываться в любые другие. По возможности следует избегать использования универсальных групп.

Также рекомендуется управлять доступом на уровне групп, а не на уровне конкретных пользователей. В этом случае комбинации предустановленных разрешений на доступ к объектам конкретному пользователю может не хватить. Тогда следует использовать механизм делегирования административных полномочий. От имени администратора с помощью Мастера делегирования можно прямо назначить любые из возможных прав на доступ к конкретному объекту.

Мастера отзывов полномочий не существует, поэтому отменить делегирование можно только через Мастер делегирования, сняв галочки напротив соответствующих прав.

При назначении или отмене прав следует учитывать один нюанс: изменения ACL-объекта не актуальны для текущей сессии. Маркер доступа создается при входе пользователя в систему и сравнивается с ACL объекта при первом доступе к объекту. Поэтому при изменении ACL нужно разорвать текущую сессию пользователя, чтобы изменения начали действовать немедленно. Сделать это можно из оснастки Общие папки.

Необходимо следить за использованием пользователями общих ресурсов, для этого нужно использовать Аудит доступа к объектам. Сведения о доступе к объектам будут записываться в журнал Система, который можно просмотреть с помощью утилиты Просмотр событий. Для настройки аудита доступа к объектам необходимо две вещи: включить аудит в свойствах безопасности самого объекта и активировать специальную политику аудита на сервере, где расположен общий ресурс (в политике аудита включить параметр Аудит доступа к объектам ). При этом необходимо выбрать тип регистрируемых событий: успех или отказ различных действий с общим ресурсом (создание, изменение, удаление). Параметры настройки журнала аудита можно получить в справочной системе Windows.

Для обеспечения безопасности необходимо защищать данные не только при передаче по сети и ограничивать к ним доступ посредством аутентификации, но и защищать их от копирования на переносные устройства локального компьютера. Для этого существует система шифрования файлов EFS. Включить шифрования можно в свойствах безопасности объекта. Принцип работы этой системы таков: пользователь задает специальный пароль, на основе которого данные шифруются специальным сложным функциональным преобразованием. Этот пароль хранится вместе с Идентификатором безопасности пользователя. При доступе к объекту зашифровавшего его пользователя данные автоматически расшифровываются. Прочим пользователям будет предложено ввести пароль. Если пароль будет утрачен, расшифровать информацию может только специальный Агент восстановления – пользователь с соответствующим правом, причем он должен быть создан в системе до того как файл был зашифрован. Пароль Агента восстановления универсален для зашифрованных файлов. В случае утраты пароля и отсутствия в системе Агента восстановления, расшифровать информацию будет невозможно. Поэтому, если пользователи не умеют работать с системой EFS, ее внедрение может причинить больше неудобств, чем выгод. Необходимо помнить, что при копировании зашифрованных файлов на тома под управлением любой файловой системы информация остается зашифрованной в отличие от сохранения разрешений (при копировании файла с тома NTFS на том FAT32 остаются только разрешения общего доступа).